Authentification et segmentation intelligente avec F5 BIG-IP APM : accès contextuel et MFA

Le module APM (Access Policy Manager) de F5 BIG-IP permet d’implémenter des politiques d’accès centralisées, dynamiques et fortement contextualisées. Que ce soit pour renforcer la sécurité Zero Trust, intégrer un MFA, ou appliquer une segmentation utilisateur basée sur le rôle ou l’emplacement, APM devient un outil clé dans une architecture de contrôle d’accès moderne. Voici un guide avancé avec des cas concrets et configurations via TMSH et VPE.

1. Création d’une politique d’accès MFA via Radius

tmsh create apm aaa radius my-radius-server server 192.168.100.10 secret mySecret

# Liaison à un profil d’accès
 tmsh create apm profile access ap-my-policy aaa-server { radius my-radius-server }

Permet de déléguer la 2FA à un serveur tiers comme Duo, FortiAuth, Okta ou FreeRadius.

2. Construction d’une Access Policy avec le Visual Policy Editor

Via le VPE, il est possible de combiner :

• Logon Page
• LDAP Query
• AD Group Membership
• Client Cert Auth
• Branch Rules conditionnels (User-Agent, adresse IP, device posture)

Chaque branche peut déclencher une autorisation, une redirection ou une requête API REST.

3. Blocage d’un type d’OS ou d’utilisateur

expr {[mcget {session.user.agent]} contains "Android"}

Utile pour empêcher les connexions depuis des OS mobiles non managés, ou bloquer certains navigateurs.

4. Redirection dynamique selon le groupe AD

expr {[mcget {session.ad.last.attr.memberOf}] contains "CN=IT-Admin"}

Permet de rediriger les utilisateurs dans des interfaces web spécifiques selon leur rôle métier.

5. Application d’un ACL par utilisateur

tmsh create apm acl secure_users
 tmsh modify apm acl secure_users rules add { deny_all { action deny } allow_dns { destination any protocol udp port 53 action allow } }

Utilisé pour restreindre finement l’accès réseau post-authentification (ex : DNS only, ou HTTPS interne uniquement).

6. Intégration avec Azure AD ou SAML

tmsh create apm aaa saml-idp my-idp \
  idp-entity-id https://f5-idp.company.com \
  idp-sso-uri https://f5-idp.company.com/sso \
  idp-cert my-cert

Permet une fédération d’identité avec login unique (SSO) compatible cloud ou applications internes.

7. Journalisation fine et SIEM ready

tmsh modify sys syslog include "filter f_apm { program(apmd); }; log { source(s_sys); filter(f_apm); destination(log_srv); };"

Trace les événements d’authentification, les refus d’accès, et les décisions de politique.

Conclusion

F5 APM permet de centraliser les règles d’accès sur une passerelle unique, avec une flexibilité complète grâce au moteur VPE et ses intégrations multiples. Dans un contexte de sécurité moderne (Zero Trust, cloud hybride, MFA obligatoire), son déploiement réduit les risques, améliore l’expérience utilisateur et centralise les audits d’accès.