3.3.2.4. Minimale maatregelen in de IoT-zone

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Netwerkzonering:

• Least privilege toepassen voor datastromen van en naar de IoT-zone;

• Logische scheiding met gebruikerszone;

• Indien DMZ aanwezig: proxy verplichten; en

• Toegang vanaf publiek netwerk enkel via mitigerende component (bv. proxyserver)

Transportbeveiliging:

• Versleutelde transportprotocollen (bv. https, sftp) voor informatie die ontsloten is naar het internet;

• Versleutelde transportprotocollen of VPN voor beheerstaken die buiten IoT-zone worden uitgevoerd; en

• Versleutelde transportprotocollen voor write access vanuit gebruikerszone. 

Inbraakpreventie:

• Filtering op basis van IP-adressen en protocollen. 

Antimalware:

• Alle datastromen van en naar de betrokken servers behalve in lokale zone worden gecontroleerd op kwaadaardige software.

Content/URL filtering:

• Whitelist op toepassing voor uitgaand datastromen naar internet. 

SSL-inspectie:

• IDS/ IPS/ antimalware moet alle datastromen kunnen inspecteren. Dit kan via SSL-inspectie, SSL offloading of op de endpoints.

Logging en monitoring:

• Toegang van en naar DMZ moet gelogd worden (betrokken IP-adressen, protocollen en tijdstip);

• Er wordt actief gecontroleerd op ongewenste patronen in datastromen;

• Event logging wordt opgezet op kritische netwerktoestellen in DMZ (o.a. up/down gaan van switch-poorten);

• Voor logging van toegangsbeheer: zie document ‘Vo informatieclassificatie – minimale maatregelen – PAM’; en

• Zie ook document ‘Vo informatieclassificatie – minimale maatregelen – SIEM’. 

Alle maatregelen van Klasse 1 / Klasse 2 +

Netwerkzonering:

• Zones moeten fysiek beveiligd zijn tegen niet-geautoriseerde toegang (zie document ‘Vo informatieclassificatie – minimale maatregelen – fysische maatregelen’).

Transportbeveiliging:

• Versleutelde protocollen van en naar de betrokken component, behalve in lokale zone.

IDS:

• Aanwezig op alle datastromen van en naar IoT-zone.

Inbraakpreventie:

• IPS aanwezig op alle datastromen van en naar IoT-zone.

Content/URL filtering:

• Inspectie op uitgaand datastromen.

Logging en monitoring:

• Event logging op alle netwerktoestellen; en

• IDS/IPS-use cases moeten beschikbaar zijn voor SIEM

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3

Transportbeveiliging:

• Enkel gebruik van versleutelde protocollen van en naar de betrokken component

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 +

Netwerkzonering:

• Segmentatie per component (d.m.v. bijvoorbeeld host-based firewall, VLAN/security zone, security-groepen, …).

Transportbeveiliging:

• Voor transport buiten de zone toegang enkel toegestaan over VPN.

SSL-inspectie:

• Mogelijkheid tot uitzonderingen: bepaalde informatie kan zo gevoelig zijn dat SSL-inspectie niet wenselijk is

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Netwerkzonering:

• Least privilege toepassen voor datastromen van en naar de IoT-zone;

• Logische scheiding met gebruikerszone;

• Indien DMZ aanwezig: proxy verplichten; en

• Toegang vanaf publiek netwerk enkel via mitigerende component (bv. proxyserver)

Transportbeveiliging:

• Versleutelde transportprotocollen (bv. https, sftp) voor informatie die ontsloten is naar het internet (integriteitsbewaking);

• Versleutelde transportprotocollen of VPN voor beheerstaken die buiten IoT-zone worden uitgevoerd (integriteitsbewaking); en

• Versleutelde transportprotocollen voor write access vanuit gebruikerszone (integriteitsbewaking)

Inbraakpreventie:

• Filtering op basis van IP-adressen en protocollen. 

Antimalware:

• Alle datastromen van en naar de betrokken servers behalve in lokale zone worden gecontroleerd op kwaadaardige software.

SSL-inspectie:

• IDS/ IPS/ antimalware moet alle datastromen kunnen inspecteren. Dit kan via SSL-inspectie, SSL offloading of op de endpoints.

Logging en monitoring:

• Toegang van en naar DMZ moet gelogd worden (betrokken IP-adressen, protocollen en tijdstip);

• Er wordt actief gecontroleerd op ongewenste patronen in datastromen;

• Event logging wordt opgezet op kritische netwerktoestellen in DMZ (o.a. up/down gaan van switch-poorten);

• Voor logging van toegangsbeheer: zie document ‘Vo informatieclassificatie – minimale maatregelen – PAM’; en

• Zie ook document ‘Vo informatieclassificatie – minimale maatregelen – SIEM’. 

Alle maatregelen van Klasse 1 / Klasse 2 +

Netwerkzonering:

• Zones moeten fysiek beveiligd zijn tegen niet-geautoriseerde toegang (zie document ‘Vo informatieclassificatie – minimale maatregelen – fysische maatregelen’).

Transportbeveiliging:

• Versleutelde protocollen van en naar de betrokken component, behalve in lokale zone (integriteitsbewaking). 

IDS:

• Aanwezig op alle datastromen van en naar IoT-zone.

Inbraakpreventie:

• IPS aanwezig op alle datastromen van en naar IoT-zone.

Logging en monitoring:

• Event logging op alle netwerktoestellen; en

• IDS/IPS-use cases moeten beschikbaar zijn voor SIEM

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

Transportbeveiliging:

• Enkel gebruik van versleutelde protocollen van en naar de betrokken component (integriteitsbewaking)

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 +

Netwerkzonering:

• Segmentatie per component (d.m.v. bijvoorbeeld host-based firewall, VLAN/security zone, security-groepen, …).

Transportbeveiliging:

• Voor transport buiten de zone toegang enkel toegestaan over VPN (integriteitsbewaking).

SSL-inspectie:

• Mogelijkheid tot uitzonderingen: bepaalde informatie kan zo gevoelig zijn dat SSL-inspectie niet wenselijk is

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Netwerkzonering:

• Least privilege toepassen voor datastromen van en naar de IoT-zone;

• Logische scheiding met gebruikerszone;

• Indien DMZ aanwezig: proxy verplichten; en

• Toegang vanaf publiek netwerk enkel via mitigerende component (bv. proxyserver)

Transportbeveiliging:

• Versleutelde transportprotocollen (bv. https, sftp) voor informatie die ontsloten is naar het internet;

• Versleutelde transportprotocollen of VPN voor beheerstaken die buiten IoT-zone worden uitgevoerd; en

• Versleutelde transportprotocollen voor write access vanuit gebruikerszone. 

Inbraakpreventie:

• Filtering op basis van IP-adressen en protocollen. 

Antimalware:

• Alle datastromen van en naar de betrokken servers behalve in lokale zone worden gecontroleerd op kwaadaardige software.

SSL-inspectie:

• IDS/ IPS/ antimalware moet alle datastromen kunnen inspecteren. Dit kan via SSL-inspectie, SSL-offloading of op de endpoints.

Logging en monitoring:

• Toegang van en naar DMZ moet gelogd worden (betrokken IP-adressen, protocollen en tijdstip);

• Er wordt actief gecontroleerd op ongewenste patronen in datastromen;

• Event logging wordt opgezet op kritische netwerktoestellen in DMZ (o.a. up/down gaan van switch-poorten);

• Voor logging van toegangsbeheer: zie document ‘Vo informatieclassificatie – minimale maatregelen – PAM’; en

• Zie ook document ‘Vo informatieclassificatie – minimale maatregelen – SIEM’. 

High-availability:

• Het voorzien van reserve-onderdelen en reservecomponenten volstaat

Alle maatregelen van Klasse 1 / Klasse 2 +

Netwerkzonering:

• Zones moeten fysiek beveiligd zijn tegen niet-geautoriseerde toegang (zie document ‘Vo informatieclassificatie – minimale maatregelen – fysische maatregelen’).

IDS:

• Aanwezig op alle datastromen van en naar IoT-zone.

Inbraakpreventie:

• IPS aanwezig op alle datastromen van en naar IoT-zone.

Logging en monitoring:

• Event logging op alle netwerktoestellen; en

• IDS/ IPS-use cases moeten beschikbaar zijn voor SIEM

High-availability:

• High-availability-infrastructuur implementeren (loadbalancing, clustering, safe failover, …). 

Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

Netwerkzonering:

• Segmentatie per component (d.m.v.) bijvoorbeeld host-based firewall, VLAN/security zone, security-groepen, …).