Versions Compared

Version Old Version 3 New Version Current
Changes made by

Tom De Cubber

Tom De Cubber

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Note

Om review makkelijker te maken werden de wijzigingen tegenover ICR v2.x als volgt in de tekst duidelijk gemaakt:

  • Nieuwe tekst wordt overal in het rood weergegeven

Netwerkzonering is een preventieve maatregel.

...

Waar vroeger een netwerkarchitectuur geïmplementeerd werd binnen de muren van de organisatie, vervagen deze fysieke grenzen meer en meer door de toepassing van virtualisatie en het gebruik van clouddiensten. Fysieke bescherming en afscherming van een perimeter wordt op deze manier moeilijker omdat ook de fysieke grenzen verdwijnen. 

3.3.3.2.1. Logische indeling

Elke context of zone vereist een specifieke benadering in termen van beveiligingsbeleid en -maatregelen om te zorgen voor een veilige en efficiënte IT-omgeving. Door deze in de praktische uitwerking te aligneren met de referentie architectuur zorgt dit tevens voor een versterking in het overkoepelende beveiligingsopzet. 

De vijf zones die we bij de Vlaamse overheid onderscheiden zijn demilitarized zone of DMZ, applicatiezone, gebruikerszone, toestellenzone of IoT zone, en bezoekerszone. 

DMZ

De DMZ, of demilitarized zone, is een kritische component in netwerkbeveiliging, fungerend als een bufferzone tussen het interne netwerk van een organisatie en externe netwerken zoals het internet. Deze zone is speciaal ontworpen om externe toegang tot bepaalde publieke diensten te faciliteren terwijl de veiligheid en integriteit van het interne netwerk behouden blijven.  

De buitenrand van een DMZ bevat robuuste beveiligingsmaatregelen zoals firewalls en Network Address Translation (NAT) die alle inkomende en uitgaande verkeer filteren. Deze maatregelen zijn ontworpen om ongewenste toegang te blokkeren en aanvallen van buitenaf af te weren.  

Binnen de DMZ worden specifieke externe diensten gehost zoals web-, e-mail-, en DNS-servers. Deze servers zijn geoptimaliseerd om externe aanvragen te verwerken, terwijl ze strikt gescheiden blijven van het kernnetwerk van de organisatie. Verkeer dat door de DMZ gaat, wordt nauwkeurig geïnspecteerd en gelogd om verdachte activiteiten te detecteren en te reageren op potentiële beveiligingsincidenten. Mechanismen zoals intrusion detection systems (IDS) en intrusion prevention systems (IPS) zijn vaak geïmplementeerd om deze functionaliteit te ondersteunen.  

Een DMZ kan lokaal in een eigen datacenter worden opgezet, maar ook gehost worden bij een serviceprovider of in een cloud omgeving. Dit biedt organisaties de flexibiliteit om de beveiligingsarchitectuur aan te passen aan hun specifieke behoeften en schaal. 

Applicatiezone

De applicatiezone omvat de omgevingen waarin softwaretoepassingen draaien, essentieel voor de dagelijkse bedrijfsvoering. Dit gebied bestaat voornamelijk uit servers, databases en de bijbehorende infrastructuur die nodig zijn om applicaties soepel en efficiënt te laten functioneren. De applicatiezone omvat bedrijfskritische systemen zoals CRM-systemen, ERP-software, financiële toepassingen en andere gespecialiseerde software die nodig zijn voor specifieke bedrijfsactiviteiten. 

Gebruikerszone

De gebruikerszone is gericht op de interactie tussen gebruikers en de IT-systemen. Hier vind je werkstations van medewerkers en toegangspunten die gebruikt worden voor dagelijkse taken zoals e-mail, documentverwerking en toegang tot bedrijfsspecifieke applicaties. Deze zone herbergt ook de gebruikersprofielen en -credentials die hen toegang geven tot verschillende onderdelen van het IT-netwerk, afhankelijk van hun rol en verantwoordelijkheden binnen de organisatie. 

Toestellenzone of IoT-zone

De toestellenzone omvat alle vaste netwerkverbonden apparaten die gegevens leveren of verwerken, maar die niet primair door gebruikers voor algemene computertaken worden bediend. Dit gebied bevat IoT-apparaten, industriële controle systemen, printers, scanners, en andere gespecialiseerde apparatuur zoals meetinstrumenten die essentieel zijn voor het verzamelen van data en uitvoeren van specifieke functies binnen een organisatie. Deze zone speelt een belangrijke rol in de automatisering van processen en het verzamelen van operationele data die gebruikt worden voor besluitvorming en prestatiebeoordeling. 

Bezoekerszone 

De bezoekerszone omvat de toegang en controle van bezoekers binnen het netwerk. Het bieden van beperkte en gecontroleerde toegang voor bezoekers via tijdelijke accounts en/of afgescheiden gastnetwerken is essentieel.  

Nauwlettend volgen van de netwerkactiviteiten van bezoekers om ongebruikelijk of ongeautoriseerd gedrag snel te detecteren is een belangrijk aspect van deze zone. Zorgen voor een duidelijke scheiding tussen de middelen die toegankelijk zijn voor bezoekers en de interne systemen van de organisatie helpt de algemene netwerkveiligheid te handhaven.  

3.3.3.2.2. Verfijnde netwerkzonering binnen applicaties

Microsegmentatie 

  • Microsegmentatie is een verfijndere vorm van netwerksegmentatie. Hierbij worden individuele werklasten, applicaties en zelfs applicatielagen in afzonderlijke netwerk segmenten beveiligd. Dit helpt om beveiligingsbeleid gedetailleerder en strikter toe te passen en beperkt de mogelijke bewegingen van potentiële bedreigingen binnen het netwerk. 

  • Onder applicatielagen wordt verstaan: presentatie laag, business logica laag en persistentie laag: elk van deze lagen wordt volledig apart ontwikkeld en interactie op netwerkniveau is enkel mogelijk tussen deze lagen onderling, niet van buitenaf 

 

...

3.3.3.2.3. Beheer

Alle ICT-apparatuur moet op één of andere wijze beheerd worden. Problemen moeten opgelost worden, configuraties aangepast, updates en wijzigingen geïmplementeerd. Waar dit in een ver verleden vaak rechtstreeks op het apparaat zelf werd uitgevoerd, gebeurt dit nu via een netwerk-verbinding. 

...

Om de scheiding tussen connectiviteit voor beheer en voor operationele datastromen uit te voeren, wordt vaak Out-of-Band gewerkt. Hierbij wordt een specifieke netwerkverbinding voor beheer van de toestellen opgezet die verschilt van de zone voor de reguliere gebruiker (de gebruikerszone). Omdat over deze OoB enkel netwerktrafiek gerelateerd aan beheersprocessen gaat, wordt het vaak als een beveiligd kanaal opgezet. 

3.3.3.2.4. Datacenter

Een datacenter bevat bedrijfskritische ICT-apparatuur. Een datacenter is dan ook uitgerust met diverse voorzieningen zoals klimaatbeheersing, geavanceerde branddetectie en -blussystemen, beveiliging enz. 

...

Meer en meer wordt het opzetten en beheer van een datacenter uitbesteed. Gespecialiseerde organisaties (serviceproviders) zetten groots opgebouwde datacenters op voor de verschillende klanten die hun systemen hierin plaatsen en laten beheren. Het netwerk (of op zijn minst toch een gedeelte ervan) in zo’n datacenter wordt dan gedeeld door de verschillende klant-organisaties, wat natuurlijk aangepaste beveiliging vergt om de scheiding tussen de verschillende klanten te handhaven. 

3.3.3.2.5. Fysieke indeling

Er bestaan diverse manieren om netwerken op te zetten. Zo is een belangrijk onderscheid te maken tussen bekabelde en draadloze netwerken. Onder de draadloze netwerken is wifi het meest verspreide. Draadloze netwerken hebben zo hun eigen uitdagingen wat betreft beveiliging, omdat de netwerktrafiek en -signalen over de lucht gaan en dus niet fysiek af te scheiden zijn. 

...