Backend beveiliging

De waarde van de ACM-authenticatie staat of valt met de kwaliteit van de beveiliging van het kanaal tussen de reverse proxy en de toepassing.

De toepassing wordt gehost in NMC4 of VPC overgangszone

In geval de toepassing in NMC4 of VPC overgangszone gehost wordt, dan verloopt de trafiek van de reverse proxy naar de toepassing via een VPN (via de transit gateway): deze specifieke datastroom dient aangevraagd te worden bij het netwerk-team.

De reverse proxy stuurt steeds een client certificaat mee om zich te identificeren: de toepassing KAN valideren dat de requests van de reverse proxy afkomstig zijn door enkel dit certificaat voor inkomende connecties toe te laten.

Wat moet de toepassing voorzien ?

• de toepassing dient een VO PKI server certificaat te gebruiken, waarbij de CN overeenkomt met de gebruikte hostname.
• de toepassing KAN mTLS afdwingen door te valideren dat de requests wel degelijk afkomstig zijn van de reverse proxy (dit wordt sterk aanbevolen)

De toepassing wordt gehost in een ander datacenter / bij een cloud provider

In geval de toepassing gehost wordt in een ander datacenter of bij een cloud provider, dan wordt de connectie tussen de reverse proxy en de toepassing beschermd via een mTLS tunnel. De reverse proxy stuurt steeds een client certificaat mee om zijn identiteit kenbaar te maken.

Wat moet de toepassing voorzien ?

• de toepassing dient een VO PKI server certificaat te gebruiken, waarbij de CN overeenkomt met de gebruikte hostname.
• de toepassing MOET mTLS afdwingen door te valideren dat de requests wel degelijk afkomstig zijn van de reverse proxy
• de toepassing MOET een monitoring opzetten, waarbij er scenario’s getest worden die geen toegang mogen verschaffen (zoals een connectie zonder client certificaat of met een client certificaat van dezelfde issuer, maar met een andere CN).