Document toolboxDocument toolbox

3.3.2.1. Minimale maatregelen in de DMZ

Owned by Yentl Goossens (Unlicensed)
Last updated: 23 Apr, 2024
7 min read

Vertrouwelijkheid

IC klasse 

Minimale maatregelen

IC klasse 

Minimale maatregelen

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Netwerkzonering:

Transportbeveiliging:

  • Versleutelde transportprotocollen of VPN voor beheerstaken die buiten de DMZ worden uitgevoerd.

IDS:

  • Wordt ingezet op alle datastromen van en naar de DMZ.

Inbraakpreventie:

  • Datastromen tussen DMZ en publieke netwerken worden geleid via een firewall, die voldoet aan goede praktijken zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria:

    • Filteren op basis van type datastromen;

    • Beperken of blokkeren van bepaalde datastromen;

    • Stateful inspection of gelijkwaardige technologie;

    • Werken vanuit default deny-principe;

    • Werken vanuit centraal opgestelde regels (ruleset); en

    • Beveiligd beheer van de firewall (d.m.v. authenticatie en beveiligd
      verkeer);

  • IPS moet de DMZ beveiligen tegen aanvallen vanuit publieke netwerken.

Antimalware:

  • Alle datastromen die de DMZ binnenkomen of verlaten, worden gecontroleerd op kwaadaardige software; antimalware moet voldoen aan goede praktijken zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria:

    • Optreden tegen alle ‘aanvalsvectoren’ met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen;

    • Gecentraliseerd beheer;

    • Altijd actief;

    • Mogelijkheid tot real-time scanning;

    • Niet-intrusief: de gebruiker minimaal belasten;

    • Automatische updates van de signature database;

    • Beveiliging tegen zero-day aanvallen; en

    • Genereren van alarmen naar de antimalware-beheerders.

Content/URL filtering:

  • Een whitelist wordt opgesteld en actief onderhouden op serverniveau voor uitgaande datastromen naar internet.

SSL-inspectie:

  • IDS/ IPS/ antimalware moet alle datastromen kunnen inspecteren. Dit kan via SSL-inspectie, SSL offloading of op de endpoints.

Logging:

Klasse 3, Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 +

Netwerkzonering:

  • Out-of-Band opzetten voor beheerstaken.

Transportbeveiliging:

  • Binnen de DMZ wordt enkel gebruik gemaakt van versleutelde protocollen. Cloud-omgeving:

  • Sleutelbeheer buiten de cloud provider (eigen organisatie of trusted partner);

  • Geen cloud provider kiezen zonder vestiging in de EU; en

  • Auditeerbaarheid contractueel afdwingen.

Content/URL filtering:

  • Inspectie op alle datastromen die naar buiten gaan.

Logging:

  • Event logging wordt opgezet voor alle netwerktoestellen; en

  • IDS/IPS-use cases moeten beschikbaar zijn voor SIEM.

Integriteit

IC klasse 

Minimale maatregelen

IC klasse 

Minimale maatregelen

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Netwerkzonering:

  • Er moet een DMZ opgezet worden voor ontsluiting naar publieke netwerken (zoals internet en derde partijen), componenten met rechtstreekse verbinding naar publieke netwerken moeten hierin geplaatst worden;

  • Datastromen tussen verschillende organisaties worden van mekaar gescheiden door een DMZ. Organisaties kunnen enkel in hun eigen container (= eigen afschermings-boundary) onderling afspraken maken over de inrichting van de datastromen zonder DMZ;

  • Servers in de DMZ hebben zo beperkt mogelijk toegang tot publieke netwerken;

  • Indien aanwezig worden proxy (forward & reverse) en mail relays in de DMZ geplaatst;

  • Least privilege wordt toegepast voor datastromen van en naar de DMZ; en

  • DMZ mag fysiek niet toegankelijk zijn voor onbevoegden (niet door de organisatie geautoriseerde personen) en moet fysiek beveiligd zijn (zie ook 6.1. Minimale maatregelen - Fysische maatregelen )

Transportbeveiliging:

  • Versleutelde transportprotocollen of VPN voor beheerstaken die buiten de DMZ worden uitgevoerd.

IDS:

  • Wordt ingezet op alle datastromen van en naar de DMZ.

Inbraakpreventie:

  • Datastromen tussen DMZ en publieke netwerken worden geleid via een firewall, die voldoet aan goede praktijken zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria:

    • Filteren op basis van type datastromen;

    • Beperken of blokkeren van bepaalde datastromen;

    • Stateful inspection of gelijkwaardige technologie;

    • Werken vanuit default deny-principe;

    • Werken vanuit centraal opgestelde regels (ruleset); en

    • Beveiligd beheer van de firewall (d.m.v. authenticatie en beveiligd verkeer);

  • IPS moet de DMZ beveiligen tegen aanvallen vanuit publieke netwerken.

Antimalware:

  • Alle datastromen die de DMZ binnenkomen of verlaten, worden gecontroleerd op kwaadaardige software; antimalware moet voldoen aan goede praktijken zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria:

    • Optreden tegen alle ‘aanvalsvectoren’ met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen;

    • Gecentraliseerd beheer;

    • Altijd actief;

    • Mogelijkheid tot real-time scanning;

    • Niet-intrusief: de gebruiker minimaal belasten;

    • Automatische updates van de signature database;

    • Beveiliging tegen zero-day-aanvallen; en

    • Genereren van alarmen naar de antimalware-beheerders.

SSL-inspectie:

  • IDS/ IPS/ antimalware moet alle datastromen kunnen inspecteren. Dit kan via SSL-inspectie, SSL offloading of op de endpoints.

Logging en monitoring:

Alle maatregelen van Klasse 1 / Klasse 2 +

Netwerkzonering:

  •  Out-of-Band opzetten voor beheerstaken.

Transportbeveiliging:

  • Binnen de DMZ wordt enkel gebruik gemaakt van versleutelde protocollen (integriteitsbewaking).

Cloud-omgeving:

  • Sleutelbeheer buiten de cloud provider (eigen organisatie of trusted partner);

  • Geen cloud provider kiezen zonder vestiging in de EU; en

  • Auditeerbaarheid contractueel afdwingen.

Logging en monitoring:

  • Event logging wordt opgezet voor alle netwerktoestellen; en

  • IDS/ IPS-use cases moeten beschikbaar zijn voor SIEM.

Beschikbaarheid

IC klasse 

Minimale maatregelen

IC klasse 

Minimale maatregelen

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Netwerkzonering:

  • Er moet een DMZ opgezet worden voor ontsluiting naar publieke netwerken (zoals internet en derde partijen), componenten met rechtstreekse verbinding naar publieke netwerken moeten hierin geplaatst worden;

  • Datastromen tussen verschillende organisaties worden van mekaar gescheiden door een DMZ. Organisaties kunnen enkel in hun eigen container (= eigen afschermings-boundary) onderling afspraken maken over de inrichting van de datastromen zonder DMZ;

  • Servers in de DMZ hebben zo beperkt mogelijk toegang tot publieke netwerken;

  • Indien aanwezig worden proxy (forward & reverse) en mail relays in de DMZ geplaatst;

  • Least privilege wordt toegepast voor datastromen van en naar de DMZ; en 

  • DMZ mag fysiek niet toegankelijk zijn voor onbevoegden (niet door de organisatie geautoriseerde personen) en moet fysiek beveiligd zijn (zie ook 6.1. Minimale maatregelen - Fysische maatregelen )

IDS:

  • Wordt ingezet op alle datastromen van en naar de DMZ.

Inbraakpreventie:

  • Datastromen tussen DMZ en publieke netwerken worden geleid via een firewall, die voldoet aan goede praktijken zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria:

    • Filteren op basis van type datastromen;

    • Beperken of blokkeren van bepaalde datastromen;

    • Stateful inspection of gelijkwaardige technologie;

    • Werken vanuit default deny-principe;

    • Werken vanuit centraal opgestelde regels (ruleset); en

    • Beveiligd beheer van de firewall (d.m.v. authenticatie en beveiligd
      verkeer);

    • IPS moet de DMZ beveiligen tegen aanvallen vanuit publieke netwerken.

Antimalware:

  • Alle datastromen die de DMZ binnenkomen of verlaten, worden gecontroleerd nop kwaadaardige software; antimalware moet voldoen aan goede praktijken zoals ISF good practice for information security of gelijkwaardig, rekening houdende met volgende criteria:

    • Optreden tegen alle ‘aanvalsvectoren’ met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen;

    • Gecentraliseerd beheer;

    • Altijd actief;

    • Mogelijkheid tot real-time scanning;

    • Niet-intrusief: de gebruiker minimaal belasten;

    • Automatische updates van de signature database;

    • Beveiliging tegen zero-day-aanvallen; en

    • Genereren van alarmen naar de antimalware-beheerders.

SSL-inspectie:

  • IDS/ IPS/ antimalware moet alle datastromen kunnen inspecteren. Dit kan via SSL-inspectie, SSL offloading of op de endpoints.

Logging en monitoring:

High-availability:

  • Het voorzien van reserve-onderdelen en reservecomponenten volstaat.

Cloud-omgeving:

  • Auditeerbaarheid contractueel afdwingen; en

  • Exit procedure (opnemen in contract). 

Alle maatregelen van Klasse 1 / Klasse 2 +

Netwerkzonering:

  • Out-of-Band opzetten voor beheerstaken.

Logging en monitoring in het kader van beschikbaarheid:

  • Event logging wordt opgezet voor alle netwerktoestellen; en

  • IDS/IPS-use cases moeten beschikbaar zijn voor SIEM.

High-availability:

  • High-availability-infrastructuur implementeren (loadbalancing, clustering, safe failover, ...).

Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

Cloud provider:

  • Back-up van data bij een andere partij dan de cloud provider (om vendor lock-in te vermijden).