Page Comparison

Netwerkzonering is een preventieve maatregel.

...

Waar vroeger een netwerkarchitectuur geïmplementeerd werd binnen de muren van de organisatie, vervagen deze fysieke grenzen meer en meer door de toepassing van virtualisatie en het gebruik van clouddiensten. Fysieke bescherming en afscherming van een perimeter wordt op deze manier moeilijker omdat ook de fysieke grenzen verdwijnen. In de meeste netwerkarchitecturen vindt men een combinatie van volgende zones: 

...

DMZ: deze zone vormt een buffer tussen de organisatie en de buitenwereld;

...

Gebruikerszone: in deze zone bevindt zich de gebruikersapparatuur, d.w.z. dit is de enige zone waarin gebruikers interageren met ICT-apparatuur;

...

...

IoT-zone (Internet of Things): zone voor koppelen van intelligente apparatuur zoals printers, camera’s, sensoren, …

3.3.3.2.1. Logische indeling

DMZ

Dit domein is een neutraal gebied tussen de buitenwereld en de organisatie en fungeert voornamelijk als doorgeefluik. De buitenkant van een DMZ (demilitarized zone) wordt gevormd door een grensbescherming met filterfuncties, zoals NAT (Network Address Translation) en/of network based firewall. De DMZ omvat één of meer mechanismen voor filtering van protocollen en ongewenste communicatie, afhandelen van malware, functies voor ontkoppeling (proxy), voor protocoltransformatie, misleiding van hackers en monitoring. Als de grensbescherming aan de buitenkant wordt gebroken, dan kan een hacker toegang krijgen tot de data binnen de DMZ. De filterende mechanismen en de grensbescherming tussen DMZ en de organisatie moeten voorkomen dat hackers vanuit de DMZ door kunnen gaan naar interne zones.  

De DMZ bevat in veel gevallen ook webservers, die publiek toegankelijke organisatiegegevens bevatten. Dit zijn zowel informatieverstrekkende webservers opgesteld als webservers die transacties van gebruikers kunnen doorzetten naar de achterliggende, interne omgeving. Vanuit de externe omgeving gerekend fungeert de DMZ als doorgeefluik waar klantinformatie wordt verwerkt tot organisatie-informatie en omgekeerd.  

Een DMZ kan in een eigen datacenter opgezet worden, of hosted bij een provider of in een publieke cloud. 

Gebruikerszone

Deze zone bevat zowel ondersteunende systemen als systemen voor het operationeel verwerken van systemen en de gebruikersapparatuur (bv. laptop, desktop, …). Hier werken toepassingen voor de normale bedrijfsvoering van de organisatie. 

Deze zone is een hoog-risicozone omwille van de grote aantallen aansluitingen, de directe toegang op de toestellen door gebruikers en de relatief grote kwetsbaarheid voor inbreuk. De controle op naleving van beveiligingsrichtlijnen in de gebruikerszone is doorgaans beperkt. 

Gebruikers kunnen potentieel overal zijn: op kantoor, werken van thuis uit of vanuit elke omgeving die één of andere vorm van door de organisatie toegelaten connectiviteit aanbiedt. 

Datazone

Deze zone bevat de apparatuur waarop de toepassingen draaien voor normale bedrijfsvoering van de organisatie. Deze toepassingen worden door de gebruikers in de gebruikerszone benaderd voor verwerking van informatie.  

Vaak kiezen organisaties voor het uitbesteden van het beheer en onderhoud van de toepassingen of van de apparatuur waarop deze toepassingen draaien. Deze apparatuur komt dan fysiek in een datacenter te staan. 

Zo’n datacenter kan onder eigen beheer vallen (on premise) of hosted bij een provider of in een niet-publieke cloud. 

IoT-zone

Een IoT-zone (Internet of Things) bestaat uit toestellen die met elkaar communiceren. Deze communicatie omvat het meten en doorsturen van meetgegevens vanuit diverse sensoren, het verzamelen van gegevens en het geven van commando’s. Sommige apparatuur doet specifiek één taak, anderen combineren meerdere taken. Een voorbeeld van IoT is het aansturen van huishoudapparatuur vanaf de smartphone, maar ook bijvoorbeeld printers op een netwerk, camera’s en toegangspoortjes voor beheer van gebouwen, enz. 

IoT kan over diverse netwerken werken. Sommige netwerken zijn heel specifiek en beperkt tot een bepaalde omgeving of zelfs organisatie (bv. ProRail van de Nederlandse Spoorwegen). Maar er zijn ook publieke netwerken voor IoT. Het mobiele netwerk (3G, 4G, 5G), GPRS, bluetooth en wifi worden als IoT-netwerk ingeschakeld waar er grote hoeveelheden data aan hoge snelheid moeten worden verwerkt, maar er zijn ook standaarden ontwikkeld specifiek voor IoT met als voornaamste kenmerk een laag verbruik. Ze worden LPWA (Low Power Wide Area) genoemd en voorbeelden hiervan zijn LoRa en SigFox. Een geslaagd IoT-netwerk bestaat uit de juiste combinatie van LPWA en de klassieke mobiele, bluetooth- en wifi-oplossingen. 

Beveiliging van IoT-netwerken is een belangrijk onderwerp. Niet alleen toegang tot deze netwerken, maar ook de beveiliging van (gevoelige) data die over deze netwerken gaan, moeten in orde zijn. Elke context of zone vereist een specifieke benadering in termen van beveiligingsbeleid en -maatregelen om te zorgen voor een veilige en efficiënte IT-omgeving. Door deze in de praktische uitwerking te aligneren met de referentie architectuur zorgt dit tevens voor een versterking in het overkoepelende beveiligingsopzet. 

De vijf zones die we bij de Vlaamse overheid onderscheiden zijn demilitarized zone of DMZ, applicatiezone, gebruikerszone, toestellenzone of IoT zone, en bezoekerszone. 

DMZ

De DMZ, of demilitarized zone, is een kritische component in netwerkbeveiliging, fungerend als een bufferzone tussen het interne netwerk van een organisatie en externe netwerken zoals het internet. Deze zone is speciaal ontworpen om externe toegang tot bepaalde publieke diensten te faciliteren terwijl de veiligheid en integriteit van het interne netwerk behouden blijven.  

De buitenrand van een DMZ bevat robuuste beveiligingsmaatregelen zoals firewalls en Network Address Translation (NAT) die alle inkomende en uitgaande verkeer filteren. Deze maatregelen zijn ontworpen om ongewenste toegang te blokkeren en aanvallen van buitenaf af te weren.  

Binnen de DMZ worden specifieke externe diensten gehost zoals web-, e-mail-, en DNS-servers. Deze servers zijn geoptimaliseerd om externe aanvragen te verwerken, terwijl ze strikt gescheiden blijven van het kernnetwerk van de organisatie. Verkeer dat door de DMZ gaat, wordt nauwkeurig geïnspecteerd en gelogd om verdachte activiteiten te detecteren en te reageren op potentiële beveiligingsincidenten. Mechanismen zoals intrusion detection systems (IDS) en intrusion prevention systems (IPS) zijn vaak geïmplementeerd om deze functionaliteit te ondersteunen.  

Een DMZ kan lokaal in een eigen datacenter worden opgezet, maar ook gehost worden bij een serviceprovider of in een cloud omgeving. Dit biedt organisaties de flexibiliteit om de beveiligingsarchitectuur aan te passen aan hun specifieke behoeften en schaal. 

Applicatiezone

De applicatiezone omvat de omgevingen waarin softwaretoepassingen draaien, essentieel voor de dagelijkse bedrijfsvoering. Dit gebied bestaat voornamelijk uit servers, databases en de bijbehorende infrastructuur die nodig zijn om applicaties soepel en efficiënt te laten functioneren. De applicatiezone omvat bedrijfskritische systemen zoals CRM-systemen, ERP-software, financiële toepassingen en andere gespecialiseerde software die nodig zijn voor specifieke bedrijfsactiviteiten. 

Gebruikerszone

De gebruikerszone is gericht op de interactie tussen gebruikers en de IT-systemen. Hier vind je werkstations van medewerkers en toegangspunten die gebruikt worden voor dagelijkse taken zoals e-mail, documentverwerking en toegang tot bedrijfsspecifieke applicaties. Deze zone herbergt ook de gebruikersprofielen en -credentials die hen toegang geven tot verschillende onderdelen van het IT-netwerk, afhankelijk van hun rol en verantwoordelijkheden binnen de organisatie. 

Toestellenzone of IoT-zone

De toestellenzone omvat alle vaste netwerkverbonden apparaten die gegevens leveren of verwerken, maar die niet primair door gebruikers voor algemene computertaken worden bediend. Dit gebied bevat IoT-apparaten, industriële controle systemen, printers, scanners, en andere gespecialiseerde apparatuur zoals meetinstrumenten die essentieel zijn voor het verzamelen van data en uitvoeren van specifieke functies binnen een organisatie. Deze zone speelt een belangrijke rol in de automatisering van processen en het verzamelen van operationele data die gebruikt worden voor besluitvorming en prestatiebeoordeling. 

Bezoekerszone 

De bezoekerszone omvat de toegang en controle van bezoekers binnen het netwerk. Het bieden van beperkte en gecontroleerde toegang voor bezoekers via tijdelijke accounts en/of afgescheiden gastnetwerken is essentieel.  

Nauwlettend volgen van de netwerkactiviteiten van bezoekers om ongebruikelijk of ongeautoriseerd gedrag snel te detecteren is een belangrijk aspect van deze zone. Zorgen voor een duidelijke scheiding tussen de middelen die toegankelijk zijn voor bezoekers en de interne systemen van de organisatie helpt de algemene netwerkveiligheid te handhaven.  

3.3.3.2.2. Verfijnde netwerkzonering binnen applicaties

Microsegmentatie 

• Microsegmentatie is een verfijndere vorm van netwerksegmentatie. Hierbij worden individuele werklasten, applicaties en zelfs applicatielagen in afzonderlijke netwerk segmenten beveiligd. Dit helpt om beveiligingsbeleid gedetailleerder en strikter toe te passen en beperkt de mogelijke bewegingen van potentiële bedreigingen binnen het netwerk. 

• Onder applicatielagen wordt verstaan: presentatie laag, business logica laag en persistentie laag: elk van deze lagen wordt volledig apart ontwikkeld en interactie op netwerkniveau is enkel mogelijk tussen deze lagen onderling, niet van buitenaf 

...

3.3.3.2.

...

3. Beheer

Alle ICT-apparatuur moet op één of andere wijze beheerd worden. Problemen moeten opgelost worden, configuraties aangepast, updates en wijzigingen geïmplementeerd. Waar dit in een ver verleden vaak rechtstreeks op het apparaat zelf werd uitgevoerd, gebeurt dit nu via een netwerk-verbinding. 

...

Om de scheiding tussen connectiviteit voor beheer en voor operationele datastromen uit te voeren, wordt vaak Out-of-Band gewerkt. Hierbij wordt een specifieke netwerkverbinding voor beheer van de toestellen opgezet die verschilt van de zone voor de reguliere gebruiker (de gebruikerszone). Omdat over deze OoB enkel netwerktrafiek gerelateerd aan beheersprocessen gaat, wordt het vaak als een beveiligd kanaal opgezet. 

3.3.3.2.

...

4. Datacenter

Een datacenter bevat bedrijfskritische ICT-apparatuur. Een datacenter is dan ook uitgerust met diverse voorzieningen zoals klimaatbeheersing, geavanceerde branddetectie en -blussystemen, beveiliging enz. 

...

Meer en meer wordt het opzetten en beheer van een datacenter uitbesteed. Gespecialiseerde organisaties (serviceproviders) zetten groots opgebouwde datacenters op voor de verschillende klanten die hun systemen hierin plaatsen en laten beheren. Het netwerk (of op zijn minst toch een gedeelte ervan) in zo’n datacenter wordt dan gedeeld door de verschillende klant-organisaties, wat natuurlijk aangepaste beveiliging vergt om de scheiding tussen de verschillende klanten te handhaven. 

3.3.3.2.

...

5. Fysieke indeling

Er bestaan diverse manieren om netwerken op te zetten. Zo is een belangrijk onderscheid te maken tussen bekabelde en draadloze netwerken. Onder de draadloze netwerken is wifi het meest verspreide. Draadloze netwerken hebben zo hun eigen uitdagingen wat betreft beveiliging, omdat de netwerktrafiek en -signalen over de lucht gaan en dus niet fysiek af te scheiden zijn. 

...

Hoewel draadloze netwerken aan een niet te stuiten opmars bezig zijn, vindt men nog steeds veel bekabelde netwerken, bijvoorbeeld in de kantooromgeving en in datacenters. Om fysieke inbreuk zoals interceptie en beschadiging, illegale verbindingen of wijzigingen in de netwerktopologie te voorkomen, is het dan ook belangrijk om de nodige fysieke controlemaatregelen te nemen. Hiertoehoren de fysieke afscheiding van hoofdkabels door middel van kabelgoten of mantelbuizen, een doordacht bekabelingsschema waarbij de kabels zo min mogelijk door openbare ruimten lopen, het gebruik van afsluitbare patch-kasten en het toezicht op het gebruik van de sleutels ervan. Beveiliging van het bekabeld netwerk houdt ook in dat enkel geautoriseerde netwerkverbindingen mogen opgezet worden, bijvoorbeeld door toegang tot de patch-kasten te beperken tot geautoriseerd personeel of door machine-authenticatie toe te passen zie hoofdstuk ‘machine-authenticatie als maatregel' (op volgende pagina 3.2. Minimale maatregelen - ICT 3.0 )

WiFi

Inbreukgevoeligheid is één van de belangrijkste bedreigingen van draadloze lokale netwerken. Naast de implementatie van beveiligde netwerkprotocollen zoals WPA 2, moet de nodige aandacht besteed worden aan beveiliging tegen de inherente risico’s van het mobiele apparaat zelf. De inbreukgevoeligheid en de mogelijkheden voor aftappen van het draadloze netwerk wordt gereduceerd door versleuteling van de communicatie (zie hiervoor ook 3.1. Minimale maatregelen - Cryptografie 3.0 )  en het up-to-date houden van OS (operating systems) door regelmatige installatie van patches. 

Er kunnen ook fysieke maatregelen genomen worden om afluisteren zo veel mogelijk te voorkomen, namelijk door het netwerk zodanig in te delen dat er zo weinig mogelijk straling buiten de fysiek beveiligde zone van een organisatie terecht komt. Richtantennes en ontwerp-tools voor de fysieke netwerktopologie helpen daarbij. Zo’n zone kan ook gesitueerd worden in een bepaalde ruimte in een gebouw. Met behulp van speciale beheers-tools is het stralingsdiagram van wifi-netwerken nauwkeurig vast te stellen. De beschikbaarheid wordt gegarandeerd door te zorgen dat er geen dode plekken in het stralingsdiagram van wifi-netwerken voorkomen en dat het netwerk qua nuttige bandbreedte geografisch zo goed mogelijk is afgestemd op het gebruik binnen de organisatie.

...

Als het bluetoothapparaat niet voldoende beveiligd wordt, kan illegaal informatie verzonden worden naar het apparaat. Het ongevraagd en dus illegaal lezen van de documenten via bluetooth is ook mogelijk. Verder kan een apparaat onbruikbaar worden gemaakt door middel van DoS-aanvallen.