3.3.2.3. Minimale maatregelen in de datazone

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Netwerkzonering:

• Toepassingen worden niet rechtstreeks ontsloten naar publieke netwerken (zoals het internet, derde partijen, …), enkel via een mitigerende component (reverse
  proxy-functionaliteit) in de DMZ waarbij minimaal gecontroleerd wordt op juist protocol gebruik;

• Er zijn geen proxy (forward & reverse) en mail relays toegelaten in deze zone (moeten in de DMZ geplaatst worden);

• Least privilege wordt toegepast voor datastromen van en naar de datazone; en

• Datazone wordt in fysiek gescheiden locaties geplaatst met toegangscontrole en fysieke beveiliging (zie ook 6.1. Minimale maatregelen - Fysische maatregelen )

Transportbeveiliging:

• Versleutelde transportprotocollen worden voorzien voor write access vanuit gebruikerszone (integriteitsbewaking); en

• Versleutelde transportprotocollen of VPN voor beheerstaken die buiten de gebruiker zone worden uitgevoerd (integriteitsbewaking)

Inbraakpreventie:

• Datastromen tussen de datazone en publieke netwerken worden geleid via een firewall in de DMZ, die voldoet aan goede praktijken zoals ISF good practice for
  information security (recente versie) of gelijkwaardig, rekening houdende met volgende criteria:
  

  • Filteren op basis van type datastromen;

  • Beperken of blokkeren van bepaalde datastromen;

  • Stateful inspection of gelijkwaardige technologie;

  • Werken vanuit default deny-principe;

  • Werken vanuit centraal opgestelde regels (ruleset); en

  • Beveiligd beheer van de firewall (d.m.v. authenticatie en beveiligd verkeer);

• IPS wordt actief ingezet op alle datastromen van en naar de datazone

Antimalware:

• Alle datastromen die de DMZ binnenkomen of verlaten, worden gecontroleerd op kwaadaardige software; antimalware moet voldoen aan goede praktijken
  zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria:
  

  • Optreden tegen alle ‘aanvalsvectoren’ met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen;

  • Gecentraliseerd beheer;

  • Altijd actief;

  • Mogelijkheid tot real-time scanning;

  • Niet-intrusief: de gebruiker minimaal belasten;

  • Automatische updates van de signature database;

  • Beveiliging tegen zero-day-aanvallen; en

  • Genereren van alarmen naar de antimalware-beheerders.

Content/URL filtering:

• Whitelist op serverniveau voor uitgaande datastromen.

SSL-inspectie:

• IDS/ IPS/ antimalware moet alle datastromen kunnen inspecteren. Dit kan via SSLinspectie, SSL offloading of op de endpoints.

Logging en monitoring:

• Toegang van en naar DMZ moet gelogd worden (betrokken IP-adressen, protocollen en tijdstip);

• Er wordt actief gecontroleerd op ongewenste patronen in datastromen;

• Event logging wordt opgezet op kritische netwerktoestellen in DMZ (o.a. up/down gaan van switch-poorten);

• Voor logging van toegangsbeheer: zie 5.4. Minimale maatregelen - Priviliged Access Management (PAM)

• Zie ook 5.2. Minimale maatregelen - logging en monitoring (SIEM)

Alle maatregelen van Klasse 1 / Klasse 2 +

Netwerkzonering:

• Out-of-Band opzetten voor beheerstaken.

Transportbeveiliging:

• Versleutelde protocollen van en naar de betrokken server, behalve in lokale zone (bv server naar databank).

Cloud-omgeving:

• Sleutelbeheer buiten de cloud provider (eigen organisatie of trusted partner);

• Geen cloud provider kiezen zonder vestiging in de EU; en

• Auditeerbaarheid contractueel afdwingen.

IDS:

• Aanwezig op alle datastromen van en naar datazone.

Inbraakpreventie:

• IPS aanwezig op alle datastromen van en naar de datazone.

Content/URL filtering:

• Inspectie op alle uitgaande datastromen.

Logging en monitoring:

• Event logging op alle netwerktoestellen; en

• IDS/IPS-use cases moeten beschikbaar zijn voor SIEM.

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

Netwerkzonering:

•  Zonering per toepassing (d.m.v. bijvoorbeeld host-based firewall, VLAN/security zone, security-groepen, …)

Transportbeveiliging:

• Enkel gebruik van versleutelde protocollen van en naar de betrokken server

IDS:

• Aanwezig op alle datastromen van en naar de betrokken servers

Inbraakpreventie:

• IPS aanwezig op alle datastromen van en naar de betrokken servers

Antimalware:

• Aanwezig op alle datastromen van en naar de betrokken server

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 / Klasse 4 +

Netwerkzonering:

• Segmentatie per server (d.m.v. bijvoorbeeld host-based firewall, VLAN/security zone, security-groepen, …).

Transportbeveiliging:

• Voor transport buiten de zone toegang enkel toegestaan over VPN.

SSL-inspectie:

• Mogelijkheid tot uitzonderingen: bepaalde informatie kan zo gevoelig zijn dat SSL-inspectie niet wenselijk is.

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Netwerkzonering:

• Toepassingen worden niet rechtstreeks ontsloten naar publieke netwerken (zoals het internet, derde partijen, …), enkel via een mitigerende component (reverse
  proxy-functionaliteit) in de DMZ waarbij minimaal gecontroleerd wordt op juist protocol gebruik;

• Er zijn geen proxy (forward & reverse) en mail relays toegelaten in deze zone (moeten in de DMZ geplaatst worden);

• Least privilege wordt toegepast voor datastromen van en naar de datazone; en

• Datazone wordt in fysiek gescheiden locaties geplaatst met toegangscontrole en fysieke beveiliging (zie ook 6.1. Minimale maatregelen - Fysische maatregelen )

Transportbeveiliging:

• Versleutelde transportprotocollen worden voorzien voor write access vanuit gebruikerszone (integriteitsbewaking); en

• Versleutelde transportprotocollen of VPN voor beheerstaken die buiten de gebruiker zone worden uitgevoerd (integriteitsbewaking)

Inbraakpreventie:

• Datastromen tussen de datazone en publieke netwerken worden geleid via een firewall in de DMZ, die voldoet aan goede praktijken zoals ISF good practice for
  information security (recente versie) of gelijkwaardig, rekening houdende met volgende criteria:
  

  • Filteren op basis van type datastromen;

  • Beperken of blokkeren van bepaalde datastromen;

  • Stateful inspection of gelijkwaardige technologie;

  • Werken vanuit default deny-principe;

  • Werken vanuit centraal opgestelde regels (ruleset); en

  • Beveiligd beheer van de firewall (d.m.v. authenticatie en beveiligd verkeer);

• IPS wordt actief ingezet op alle datastromen van en naar de datazone

Antimalware:

• Alle datastromen die de DMZ binnenkomen of verlaten, worden gecontroleerd op kwaadaardige software; antimalware moet voldoen aan goede praktijken
  zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria:
  

  • Optreden tegen alle ‘aanvalsvectoren’ met mogelijkheid tot blokkeren of
    minimaal in quarantaine plaatsen;

  • Gecentraliseerd beheer;

  • Altijd actief;

  • Mogelijkheid tot real-time scanning;

  • Niet-intrusief: de gebruiker minimaal belasten;

  • Automatische updates van de signature database;

  • Beveiliging tegen zero-day-aanvallen; en

  • Genereren van alarmen naar de antimalware-beheerders.

SSL-inspectie:

• IDS/ IPS/ antimalware moet alle datastromen kunnen inspecteren. Dit kan via SSL-inspectie, SSL offloading of op de endpoints.

Logging en monitoring:

• Toegang van en naar DMZ moet gelogd worden (betrokken IP-adressen, protocollen en tijdstip);

• Er wordt actief gecontroleerd op ongewenste patronen in datastromen;

• Event logging wordt opgezet op kritische netwerktoestellen in DMZ (o.a. up/down gaan van switch-poorten);

• Voor logging van toegangsbeheer: zie 5.4. Minimale maatregelen - Priviliged Access Management (PAM)

• Zie ook 5.2. Minimale maatregelen - logging en monitoring (SIEM)

Alle maatregelen van Klasse 1 / Klasse 2 +

Netwerkzonering:

• Out-of-Band opzetten voor beheerstaken.

Transportbeveiliging:

• Versleutelde protocollen van en naar de betrokken server, behalve in lokale zone (bv. server naar databank) (integriteitsbewaking).

Cloud-omgeving:

• Sleutelbeheer buiten de cloud provider (eigen organisatie of trusted partner);

• Geen cloud provider kiezen zonder vestiging in de EU; en

• Auditeerbaarheid contractueel afdwingen.

IDS:

• Aanwezig op alle datastromen van en naar datazone.

Inbraakpreventie:

• IPS aanwezig op alle datastromen van en naar de datazone.

Logging en monitoring:

• Event logging op alle netwerktoestellen; en

• IDS/IPS-use cases moeten beschikbaar zijn voor SIEM.

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

Netwerkzonering:

• Zonering per toepassing (d.m.v. bijvoorbeeld host-based firewall, VLAN/security zone, security-groepen, …).

Transportbeveiliging:

• Enkel gebruik van versleutelde protocollen van en naar de betrokken server (integriteitsbewaking).

IDS:

• Aanwezig op alle datastromen van en naar de betrokken servers

Inbraakpreventie:

• IPS aanwezig op alle datastromen van en naar de betrokken servers.

Antimalware:

• Aanwezig op alle datastromen van en naar de betrokken servers

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 +

Netwerkzonering:

• Segmentatie per server (d.m.v. bijvoorbeeld host-based firewall, VLAN/‘security zone, security-groepen, …).

Transportbeveiliging:

• Voor transport buiten de zone toegang enkel toegestaan over VPN (integriteitsbewaking).

SSL-inspectie:

• Mogelijkheid tot uitzonderingen: bepaalde informatie kan zo gevoelig zijn dat SSL-inspectie niet wenselijk is.

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Netwerkzonering:

• Toepassingen worden niet rechtstreeks ontsloten naar publieke netwerken (zoals het internet, derde partijen, …), enkel via een mitigerende component (reverse
  proxy-functionaliteit) in de DMZ waarbij minimaal gecontroleerd wordt op juist protocol gebruik;

• Er zijn geen proxy (forward & reverse) en mail relays toegelaten in deze zone (moeten in de DMZ geplaatst worden);

• Least privilege wordt toegepast voor datastromen van en naar de datazone; en

• Datazone wordt in fysiek gescheiden locaties geplaatst met toegangscontrole en fysieke beveiliging (zie ook 6.1. Minimale maatregelen - Fysische maatregelen )

Transportbeveiliging:

• Versleutelde transportprotocollen of VPN worden toegepast voor beheerstaken die buiten de datazone worden uitgevoerd. 

Inbraakpreventie:

• Datastromen tussen de datazone en publieke netwerken worden geleid via een firewall in de DMZ, die voldoet aan goede praktijken zoals ISF good practice for
  information security (recente versie) of gelijkwaardig, rekening houdende met volgende criteria:
  

  • Filteren op basis van type datastromen;

  • Beperken of blokkeren van bepaalde datastromen;

  • Stateful inspection of gelijkwaardige technologie;

  • Werken vanuit default deny-principe;

  • Werken vanuit centraal opgestelde regels (ruleset); en

  • Beveiligd beheer van de firewall (d.m.v. authenticatie en beveiligd verkeer);

• IPS wordt actief ingezet op alle datastromen van en naar de datazone

Antimalware:

• Alle datastromen die de DMZ binnenkomen of verlaten, worden gecontroleerd op kwaadaardige software; antimalware moet voldoen aan goede praktijken
  zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria:
  

  • Optreden tegen alle ‘aanvalsvectoren’ met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen;

  • Gecentraliseerd beheer;

  • Altijd actief;

  • Mogelijkheid tot real-time scanning;

  • Niet-intrusief: de gebruiker minimaal belasten;

  • Automatische updates van de signature database;

  • Beveiliging tegen zero-day-aanvallen; en

  • Genereren van alarmen naar de antimalware-beheerders.

SSL-inspectie:

• IDS/ IPS/ antimalware moet alle datastromen kunnen inspecteren. Dit kan via SSL-inspectie, SSL offloading of op de endpoints.

Logging en monitoring:

• Toegang van en naar DMZ moet gelogd worden (betrokken IP-adressen, protocollen en tijdstip);

• Er wordt actief gecontroleerd op ongewenste patronen in datastromen;

• Event logging wordt opgezet op kritische netwerktoestellen in DMZ (o.a. up/down gaan van switch-poorten);

• Voor logging van toegangsbeheer: zie 5.4. Minimale maatregelen - Priviliged Access Management (PAM) ; en

• Zie ook 5.2. Minimale maatregelen - logging en monitoring (SIEM)

High-availability:

• Het voorzien van reserve-onderdelen en reservecomponenten volstaat.

Cloud-omgeving:

• Auditeerbaarheid contractueel afdwingen; en

• Exit procedure (opnemen in contract).

Alle maatregelen van Klasse 1 / Klasse 2 +

Netwerkzonering:

• Out-of-Band opzetten voor beheerstaken.

IDS:

• Aanwezig op alle datastromen van en naar datazone.

Inbraakpreventie:

•  IPS aanwezig op alle datastromen van en naar de datazone.

Logging en monitoring in het kader van beschikbaarheid:

• Event logging op alle netwerktoestellen; en

• IDS/IPS-use cases moeten beschikbaar zijn voor SIEM.

High-availability:

• ‘High-availability'-infrastructuur implementeren (loadbalancing, clustering, safe failover, …). 

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

Netwerkzonering:

• Zonering per toepassing (d.m.v. bijvoorbeeld host-based firewall, VLAN/security zone, security-groepen, …).

IDS:

• Aanwezig op alle datastromen van en naar de betrokken servers.

Inbraakpreventie:

• IPS aanwezig op alle datastromen van en naar de betrokken servers.

Antimalware:

• Aanwezig op alle datastromen van en naar de betrokken servers.

Cloud provider:

• Back-up van data bij een andere partij dan de cloud provider (om vendor lock-in te vermijden).

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 +

Netwerkzonering:

• Segmentatie per server (d.m.v. bijvoorbeeld host-based firewall, VLAN/security zone, security-groepen, …).