Haal Centraal in de praktijk: Sittard-Geleen als voorbeeld van een geslaagde APISIX-implementatie

Via het programma Haal Centraal van de Vereniging van Nederlandse Gemeenten (VNG) kunnen de systemen van gemeenten via verschillende API's rechtstreeks met de centrale instanties communiceren. Steeds vaker mogen gegevens niet meer lokaal worden opgeslagen. Door gebruik te maken van één centrale bron, de zogenaamde ‘single source of truth’, werken alle instanties met dezelfde, actuele informatie.

De Rijksdienst voor Identiteitsgegevens (RvIG) stelt als onderdeel van dit programma dat gemeenten een API-gateway moeten implementeren. De gateway zorgt ervoor dat alleen bevoegde gemeentemedewerkers toegang krijgen tot (delen van) de RvIG-API, en dat de databeveiliging optimaal is geregeld.

De gemeente Sittard-Geleen heeft voor de APISIX-gateway van Apache gekozen om aan de eisen van het RvIG te voldoen. APISIX is open-source. Dit is in lijn met de Wet Open Overheid, in tegenstelling tot gesloten alternatieven zoals Layer7, WSO2 of de enterprise versie van Kong. 

Volledige controle met eigen Kubernetes Haven Cluster

Een cruciaal aspect van deze implementatie is de keuze voor een eigen Kubernetes-cluster, aangeduid als het Haven Cluster. Dit geeft de gemeente de volledige controle over haar infrastructuur, waardoor ze de omgeving kunnen optimaliseren voor hun specifieke behoeften. Door gebruik te maken van Kubernetes kunnen ze applicaties containeriseren en orkestreren, wat resulteert in een flexibele en schaalbare omgeving die essentieel is voor het afhandelen van de fluctuerende belasting van digitale diensten.

Snelle en veilige verbinding via Microsoft Azure

Om een snelle en veilige dataoverdracht te garanderen, is de infrastructuur gekoppeld aan een Express Route van Microsoft Azure. Deze directe, privéverbinding tussen het on-premises netwerk van de gemeente en de Azure-cloud biedt een lagere latentie en hogere bandbreedte dan een openbare internetverbinding, wat cruciaal is voor de betrouwbaarheid van de dienstverlening.

Daarnaast is er gezorgd voor zowel fysieke toegang tot het internet als tot Diginet-services. Deze combinatie maakt een veelzijdige connectiviteit mogelijk, waarbij Diginet een gesloten overheidsnetwerk is dat wordt gebruikt voor veilige communicatie tussen overheidsinstanties. Dit zorgt ervoor dat er zowel met burgers als met andere overheidsinstanties veilig gecommuniceerd kan worden.

Beveiliging en risicobeperking

Een belangrijk aandachtspunt bij de implementatie is de beveiliging. APISIX fungeert als een beveiligingslaag die authenticatie en autorisatie afhandelt, waardoor de noodzaak om gevoelige credentials direct te delen, wordt geëlimineerd. Dit minimaliseert het risico op datalekken en ongeautoriseerde toegang, wat essentieel is voor het vertrouwen van de burgers in de digitale diensten van de gemeente.

Betrouwbare softwareontwikkeling met CI/CD

Om een gestroomlijnde en betrouwbare implementatie van updates en wijzigingen te garanderen, maakt de gemeente gebruik van een Continuous Delivery (CD) pipeline voor het versiebeheer van gecontroleerde configuraties. Hierdoor worden API-configuraties automatisch getest, gebouwd en uitgerold, wat zorgt voor een betrouwbare en consistente werkwijze.

Een extra beveiligingslaag wordt geboden door de implementatie van Mutual Transport Layer Security (mTLS). Dit dwingt wederzijdse authenticatie af, waarbij zowel de client als de server hun identiteit verifiëren voordat een verbinding tot stand wordt gebracht. Dit beschermt tegen man-in-the-middle aanvallen en versterkt de algehele databeveiliging.

Aansluiting op landelijke voorzieningen

Ten slotte is de APISIX-gateway gekoppeld aan de Haal Centraal Connector van WeAreFrank!. Deze tussenlaag zorgt er bijvoorbeeld voor dat huidige XML-interfaces gewoon kunnen blijven draaien. 

Door deze gestructureerde aanpak heeft de gemeente Sittard-Geleen een robuuste, veilige en schaalbare digitale infrastructuur gecreëerd die klaar is voor de toekomst. Oude applicaties kunnen gewoon blijven draaien en de gemeente kan zelf bepalen of deze op den duur worden vervangen. Het zorgt ervoor dat het project veel kleiner kon worden gehouden, waardoor de APISIX-implementatie eigenlijk vlekkeloos is verlopen. 

Wil jouw gemeente ook veilig en toekomstbestendig koppelen met het RvIG of andere Haal Centraal-voorzieningen? WeAreFrank! helpt gemeenten met snelle en veilige APISIX-implementaties. Neem contact met ons op, we denken graag met je mee.