3.3.2.1. Minimale maatregelen in de DMZ

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Netwerkzonering:

• Er moet een DMZ opgezet worden voor ontsluiting naar publieke netwerken (zoals internet en derde partijen), componenten met rechtstreekse verbinding naar publieke netwerken moeten hierin geplaatst worden;

• Datastromen tussen verschillende organisaties worden van mekaar gescheiden door een DMZ. Organisaties kunnen enkel in hun eigen container (= eigen afschermings-boundary) onderling afspraken maken over de inrichting van de datastromen zonder DMZ;

• Servers in de DMZ hebben zo beperkt mogelijk toegang tot publieke netwerken;

• Indien aanwezig worden proxy (forward & reverse) en mail relays in de DMZ geplaatst;

• Least privilege wordt toegepast voor datastromen van en naar de DMZ; en

• DMZ mag fysiek niet toegankelijk zijn voor onbevoegden (niet door de organisatie geautoriseerde personen) en moet fysiek beveiligd zijn (zie ook document ‘Vo Informatieclassificatie – minimale maatregelen – fysische maatregelen’).

Transportbeveiliging:

• Versleutelde transportprotocollen of VPN voor beheerstaken die buiten de DMZ worden uitgevoerd.

IDS:

• Wordt ingezet op alle datastromen van en naar de DMZ.

Inbraakpreventie:

• Datastromen tussen DMZ en publieke netwerken worden geleid via een firewall, die voldoet aan goede praktijken zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria:
  

  • Filteren op basis van type datastromen;

  • Beperken of blokkeren van bepaalde datastromen;

  • Stateful inspection of gelijkwaardige technologie;

  • Werken vanuit default deny-principe;

  • Werken vanuit centraal opgestelde regels (ruleset); en

  • Beveiligd beheer van de firewall (d.m.v. authenticatie en beveiligd
    verkeer);

• IPS moet de DMZ beveiligen tegen aanvallen vanuit publieke netwerken.

Antimalware:

• Alle datastromen die de DMZ binnenkomen of verlaten, worden gecontroleerd op kwaadaardige software; antimalware moet voldoen aan goede praktijken zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria:
  

  • Optreden tegen alle ‘aanvalsvectoren’ met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen;

  • Gecentraliseerd beheer;

  • Altijd actief;

  • Mogelijkheid tot real-time scanning;

  • Niet-intrusief: de gebruiker minimaal belasten;

  • Automatische updates van de signature database;

  • Beveiliging tegen zero-day aanvallen; en

  • Genereren van alarmen naar de antimalware-beheerders.

Content/URL filtering:

• Een whitelist wordt opgesteld en actief onderhouden op serverniveau voor uitgaande datastromen naar internet.

SSL-inspectie:

• IDS/ IPS/ antimalware moet alle datastromen kunnen inspecteren. Dit kan via SSL-inspectie, SSL offloading of op de endpoints.

Logging:

• Toegang van en naar DMZ moet gelogd worden (betrokken IP-adressen, protocollen en tijdstip);

• Er wordt actief gecontroleerd op ongewenste patronen in datastromen;

• Event logging wordt opgezet op kritische netwerktoestellen in DMZ (o.a. up/down gaan van switch-poorten);

• Voor logging van toegangsbeheer: zie document ‘Vo Informatieclassificatie – minimale maatregelen – PAM’; en 

• Zie ook document ‘Vo Informatieclassificatie – minimale maatregelen – SIEM’.

Klasse 3, Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 +

Netwerkzonering:

• Out-of-Band opzetten voor beheerstaken.

Transportbeveiliging:

• Binnen de DMZ wordt enkel gebruik gemaakt van versleutelde protocollen. Cloud-omgeving:

• Sleutelbeheer buiten de cloud provider (eigen organisatie of trusted partner);

• Geen cloud provider kiezen zonder vestiging in de EU; en

• Auditeerbaarheid contractueel afdwingen.

Content/URL filtering:

• Inspectie op alle datastromen die naar buiten gaan.

Logging:

• Event logging wordt opgezet voor alle netwerktoestellen; en

• IDS/IPS-use cases moeten beschikbaar zijn voor SIEM.