- Door
- Jeroen Mulder
- geplaatst op
- 1 september 2015 08:00 uur
Dit overkomt Surfnet wel vaker: in de markt een bepaalde service uitvragen om er vervolgens achter te komen dat de markt in de basis wel oplossingen heeft, maar niet toegesneden op de diensten zoals Surfnet die levert aan haar klanten,;te weten onderwijs- en onderzoeksinstellingen. En dan ontwikkelt Surfnet het zelf. Zoals two-factor authenticatie voor clouddiensten die worden afgenomen in het eigen cloudplatform Surfconext.
Surfnet begon al in 2012 met studies naar authenticatie die zou voldoen op Surfconext. Vanuit de markt kwam er echter geen bevredigend resultaat. Het valt voor ‘reguliere’ leveranciers ook niet mee om aan de eisen van Surfnet te voldoen: de organisatie werkt op een enorm hoog niveau als het gaat om het opstellen van de gewenste architectuur. En dat terwijl je toch zou veronderstellen dat twee-staps authenticatie inmiddels redelijk gemeengoed is in de IT. Veel organisaties werken voor de beveiliging van persoonlijke data met dubbele authenticatie: username, password plus de identificatie door middel van bijvoorbeeld een token. Precies wat de oplossing van Surfnet ook doet.
Probleem is echter dat, zoals Surfnet het zelf formuleert, het ecosysteem van Surfnet veel complexer is. Via Surfconext bieden diverse cloudleveranciers diensten aan voor een veelvoud van onderwijs- en onderzoeksinstellingen. Sommige van die diensten bevatten persoonlijke data waarvoor two-factor authenticatie wenselijk is, andere diensten kunnen volstaan met een gebruikersnaam en wachtwoord. Cloudleveranciers kunnen bepalen of de sterke authenticatie nodig is, maar ook onderwijsinstellingen kunnen dit verplichten voor bepaalde diensten. Dat geheel maakt de oplossing uniek.
De service maakt gebruik van SAML 2.0. Elke gebruiker meldt zich eenmaal bij een servicedesk waar hij of zij een telefoon (sms), een Yubikey of een app (Tiqr) laat registreren. Een van deze drie methoden wordt vervolgens voortaan gebruikt als extra authenticatiemiddel. De ontwikkeling heeft na de eerste pilot ongeveer een jaar gekost. De daadwerkelijke release vond deze maand plaats.
Daarmee loopt Surfnet toch voorop als het gaat om security in de cloud: dat moet inderdaad serieus worden genomen. Veel serieuzer, zeker bij bedrijfsmatige toepassingen en eigenlijk ook op de eindgebruikers/consumentenmarkt. Veel aanbieders van clouddiensten zijn echter bang dat klanten het teveel rompslomp vinden. Maar de grote vraag luidt of dat echt wel het geval is. Voor financiële apps en toepassingen in de cloud, vinden we het al geen probleem. Waarom zou dat dan wel gelden voor andere diensten waar persoonlijke data mee gemoeid is? En laten we eerlijk zijn: veel bedrijven maken de overstap naar (public) cloud niet, omdat ze het domweg niet vertrouwen. Juist voor cloudsecurity en dataprotectie is er nog een wereld te winnen. Dan biedt cloud oneindig veel mogelijkheden en zal de adoptie alleen maar toenemen.
