...
DMZ: deze zone vormt een buffer tussen de organisatie en de buitenwereld;
Gebruikerszone: in deze zone bevindt zich de gebruikersapparatuur, d.w.z. dit is de enige zone waarin gebruikers interageren met ICT-apparatuur;
Datazone: deze zone bevat alle ICT-apparatuur nodig voor gebruikerstoepassingen; en
IoT-zone (Internet of Things): zone voor koppelen van intelligente apparatuur zoals printers, camera’s, sensoren, …
3.3.3.2.1. Logische indeling
DMZ
Dit domein is een neutraal gebied tussen de buitenwereld en de organisatie en fungeert voornamelijk als doorgeefluik. De buitenkant van een DMZ (demilitarized zone) wordt gevormd door een grensbescherming met filterfuncties, zoals NAT (Network Address Translation) en/of network based firewall. De DMZ omvat één of meer mechanismen voor filtering van protocollen en ongewenste communicatie, afhandelen van malware, functies voor ontkoppeling (proxy), voor protocoltransformatie, misleiding van hackers en monitoring. Als de grensbescherming aan de buitenkant wordt gebroken, dan kan een hacker toegang krijgen tot de data binnen de DMZ. De filterende mechanismen en de grensbescherming tussen DMZ en de organisatie moeten voorkomen dat hackers vanuit de DMZ door kunnen gaan naar interne zones.
...
Beveiliging van IoT-netwerken is een belangrijk onderwerp. Niet alleen toegang tot deze netwerken, maar ook de beveiliging van (gevoelige) data die over deze netwerken gaan, moeten in orde zijn.
3.3.3.2.2. Beheer
Alle ICT-apparatuur moet op één of andere wijze beheerd worden. Problemen moeten opgelost worden, configuraties aangepast, updates en wijzigingen geïmplementeerd. Waar dit in een ver verleden vaak rechtstreeks op het apparaat zelf werd uitgevoerd, gebeurt dit nu via een netwerk-verbinding.
...
Om de scheiding tussen connectiviteit voor beheer en voor operationele datastromen uit te voeren, wordt vaak Out-of-Band gewerkt. Hierbij wordt een specifieke netwerkverbinding voor beheer van de toestellen opgezet die verschilt van de zone voor de reguliere gebruiker (de gebruikerszone). Omdat over deze OoB enkel netwerktrafiek gerelateerd aan beheersprocessen gaat, wordt het vaak als een beveiligd kanaal opgezet.
3.3.3.2.3. Datacenter
Een datacenter bevat bedrijfskritische ICT-apparatuur. Een datacenter is dan ook uitgerust met diverse voorzieningen zoals klimaatbeheersing, geavanceerde branddetectie en -blussystemen, beveiliging enz.
...
Meer en meer wordt het opzetten en beheer van een datacenter uitbesteed. Gespecialiseerde organisaties (serviceproviders) zetten groots opgebouwde datacenters op voor de verschillende klanten die hun systemen hierin plaatsen en laten beheren. Het netwerk (of op zijn minst toch een gedeelte ervan) in zo’n datacenter wordt dan gedeeld door de verschillende klant-organisaties, wat natuurlijk aangepaste beveiliging vergt om de scheiding tussen de verschillende klanten te handhaven.
3.3.3.2.4. Fysieke indeling
Er bestaan diverse manieren om netwerken op te zetten. Zo is een belangrijk onderscheid te maken tussen bekabelde en draadloze netwerken. Onder de draadloze netwerken is wifi het meest verspreide. Draadloze netwerken hebben zo hun eigen uitdagingen wat betreft beveiliging, omdat de netwerktrafiek en -signalen over de lucht gaan en dus niet fysiek af te scheiden zijn.
...
Hoewel draadloze netwerken aan een niet te stuiten opmars bezig zijn, vindt men nog steeds veel bekabelde netwerken, bijvoorbeeld in de kantooromgeving en in datacenters. Om fysieke inbreuk zoals interceptie en beschadiging, illegale verbindingen of wijzigingen in de netwerktopologie te voorkomen, is het dan ook belangrijk om de nodige fysieke controlemaatregelen te nemen. Hiertoehoren de fysieke afscheiding van hoofdkabels door middel van kabelgoten of mantelbuizen, een doordacht bekabelingsschema waarbij de kabels zo min mogelijk door openbare ruimten lopen, het gebruik van afsluitbare patch-kasten en het toezicht op het gebruik van de sleutels ervan. Beveiliging van het bekabeld netwerk houdt ook in dat enkel geautoriseerde netwerkverbindingen mogen opgezet worden, bijvoorbeeld door toegang tot de patch-kasten te beperken tot geautoriseerd personeel of door machine-authenticatie toe te passen zie hoofdstuk ‘machine-authenticatie als maatregel' (op volgende pagina 3.2. Minimale maatregelen - ICT )
WiFi
Inbreukgevoeligheid is één van de belangrijkste bedreigingen van draadloze lokale netwerken. Naast de implementatie van beveiligde netwerkprotocollen zoals WPA 2, moet de nodige aandacht besteed worden aan beveiliging tegen de inherente risico’s van het mobiele apparaat zelf. De inbreukgevoeligheid en de mogelijkheden voor aftappen van het draadloze netwerk wordt gereduceerd door versleuteling van de communicatie (zie hiervoor ook 3.1. Minimale maatregelen - Cryptografie ) en het up-to-date houden van OS (operating systems) door regelmatige installatie van patches.
...