3.3.2.4. Minimale maatregelen in de IoT-zone

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Netwerkzonering: 

• Least privilege toepassen voor datastromen van en naar de IoT-zone; 

• Logische scheiding met gebruikerszone; 

• Indien DMZ aanwezig: proxy verplichten; en 

• Toegang vanaf publiek netwerk enkel via mitigerende component (bv. proxyserver).  

Transportbeveiliging: 

• Versleutelde transportprotocollen (bv. https, sftp) voor informatie die ontsloten is naar het internet; 

• Versleutelde transportprotocollen of VPN voor beheerstaken die buiten IoT-zone worden uitgevoerd; en 

• Versleutelde transportprotocollen voor write access vanuit gebruikerszone.  

Inbraakpreventie:  

• Filtering op basis van IP-adressen en protocollen. 

Antimalware:  

• Alle datastromen van en naar de betrokken servers behalve in lokale zone worden gecontroleerd op kwaadaardige software. 

Content/URL filtering:  

• Whitelist op toepassing voor uitgaand datastromen naar internet. 

SSL-inspectie:  

• IDS/IPS/antimalware moet alle datastromen kunnen inspecteren. Dit kan via SSL-inspectie, SSL offloading of op de endpoints. 

Logging en monitoring:

• Toegang van en naar netwerkzone moet gelogd worden (betrokken IP-adressen, protocollen en tijdstip); 

• Toegang van server-beheer en beheer netwerkapparatuur moet kunnen worden gelinkt aan een toestel, en het toestel aan de eigenaar; 

• Voor logging van toegangsbeheer: zie 5.4. Minimale maatregelen - Priviliged Access Management (PAM) ; en

• Zie 5.2. Minimale maatregelen - logging en monitoring (SIEM) . 

Alle maatregelen van Klasse 1 / Klasse 2 +

Netwerkzonering:

• Zones moeten fysiek beveiligd zijn tegen niet-geautoriseerde toegang (zie 6.1. Minimale maatregelen - Fysische maatregelen ).

Transportbeveiliging:  

• Versleutelde protocollen van en naar de betrokken component, behalve in lokale zone. 

IDS:  

• Aanwezig op alle datastromen van en naar IoT-zone. 

Inbraakpreventie:  

• IPS aanwezig op alle datastromen van en naar IoT-zone. 

Content/URL filtering:  

• Inspectie op uitgaand datastromen. 

Logging en monitoring: 

• Event logging op alle netwerktoestellen; en 

• IDS/IPS-use cases moeten beschikbaar zijn voor SIEM.

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3

Transportbeveiliging:

• Enkel gebruik van versleutelde protocollen van en naar de betrokken component

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 +

Netwerkzonering:  

• Segmentatie per component (d.m.v. bijvoorbeeld host-based firewall, VLAN/security zone, security-groepen, …). 

Transportbeveiliging:  

• Voor transport buiten de zone toegang enkel toegestaan over VPN. 

SSL-inspectie:  

• Mogelijkheid tot uitzonderingen: bepaalde informatie kan zo gevoelig zijn dat SSL-inspectie niet wenselijk is. 

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Netwerkzonering: 

• Least privilege toepassen voor datastromen van en naar de IoT-zone; 

• Logische scheiding met gebruikerszone; 

• Indien DMZ aanwezig: proxy verplichten; en 

• Toegang vanaf publiek netwerk enkel via mitigerende component (bv. proxyserver). 

Transportbeveiliging: 

• Versleutelde transportprotocollen (bv. https, sftp) voor informatie die ontsloten is naar het internet (integriteitsbewaking); 

• Versleutelde transportprotocollen of VPN voor beheerstaken die buiten IoT-zone worden uitgevoerd (integriteitsbewaking); en 

• Versleutelde transportprotocollen voor write access vanuit gebruikerszone (integriteitsbewaking). 

Inbraakpreventie:  

• Filtering op basis van IP-adressen en protocollen. 

Antimalware:  

• Alle datastromen van en naar de betrokken servers behalve in lokale zone worden gecontroleerd op kwaadaardige software. 

SSL-inspectie:  

• IDS/IPS/antimalware moet alle datastromen kunnen inspecteren. Dit kan via SSL-inspectie, SSL offloading of op de endpoints. 

Logging en monitoring:

• Toegang van en naar netwerkzone moet gelogd worden (betrokken IP-adressen, protocollen en tijdstip); 

• Toegang van server-beheer en beheer netwerkapparatuur moet kunnen worden gelinkt aan een toestel, en het toestel aan de eigenaar; 

• Voor logging van toegangsbeheer: zie 5.4. Minimale maatregelen - Priviliged Access Management (PAM) ; en

• Zie 5.2. Minimale maatregelen - logging en monitoring (SIEM)

Alle maatregelen van Klasse 1 / Klasse 2 +

Netwerkzonering:

• Zones moeten fysiek beveiligd zijn tegen niet-geautoriseerde toegang (zie 6.1. Minimale maatregelen - Fysische maatregelen .

Transportbeveiliging:  

• Versleutelde protocollen van en naar de betrokken component, behalve in lokale zone (integriteitsbewaking). 

IDS:  

• Aanwezig op alle datastromen van en naar IoT-zone. 

Inbraakpreventie:  

• IPS aanwezig op alle datastromen van en naar IoT-zone. 

Logging en monitoring: 

• Event logging op alle netwerktoestellen; en 

• IDS/IPS-use cases moeten beschikbaar zijn voor SIEM

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

Transportbeveiliging:

• Enkel gebruik van versleutelde protocollen van en naar de betrokken component (integriteitsbewaking)

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 +

Netwerkzonering:  

• Segmentatie per component (d.m.v. bijvoorbeeld host-based firewall, VLAN/security zone, security-groepen, …). 

Transportbeveiliging:  

• Voor transport buiten de zone toegang enkel toegestaan over VPN (integriteitsbewaking). 

SSL-inspectie:  

• Mogelijkheid tot uitzonderingen: bepaalde informatie kan zo gevoelig zijn dat SSL-inspectie niet wenselijk is. 

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Netwerkzonering:

• Least privilege toepassen voor datastromen van en naar de IoT-zone; 

• Logische scheiding met gebruikerszone; 

• Indien DMZ aanwezig: proxy verplichten; en 

• Toegang vanaf publiek netwerk enkel via mitigerende component (bv. proxyserver).  

Transportbeveiliging: 

• Versleutelde transportprotocollen (bv. https, sftp) voor informatie die ontsloten is naar het internet; 

• Versleutelde transportprotocollen of VPN voor beheerstaken die buiten IoT-zone worden uitgevoerd; en 

• Versleutelde transportprotocollen voor write access vanuit gebruikerszone. 

Inbraakpreventie:  

• Filtering op basis van IP-adressen en protocollen. 

Antimalware:  

• Alle datastromen van en naar de betrokken servers behalve in lokale zone worden gecontroleerd op kwaadaardige software. 

SSL-inspectie:  

• IDS/IPS/antimalware moet alle datastromen kunnen inspecteren. Dit kan via SSL-inspectie, SSL offloading of op de endpoints. 

Logging en monitoring:

• Toegang van en naar netwerkzone moet gelogd worden (betrokken IP-adressen, protocollen en tijdstip); 

• Toegang van server-beheer en beheer netwerkapparatuur moet kunnen worden gelinkt aan een toestel, en het toestel aan de eigenaar; 

• Voor logging van toegangsbeheer: zie 5.4. Minimale maatregelen - Priviliged Access Management (PAM) ; en

• Zie 5.2. Minimale maatregelen - logging en monitoring (SIEM)  

High-availability:

• Het voorzien van reserve-onderdelen en reservecomponenten volstaat

Alle maatregelen van Klasse 1 / Klasse 2 +

Netwerkzonering:

• Zones moeten fysiek beveiligd zijn tegen niet-geautoriseerde toegang (zie 6.1. Minimale maatregelen - Fysische maatregelen )

IDS:  

• Aanwezig op alle datastromen van en naar IoT-zone. 

Inbraakpreventie:  

• IPS aanwezig op alle datastromen van en naar IoT-zone. 

Logging in het kader van beschikbaarheid:  

• Event logging op alle netwerktoestellen; en 

• IDS/IPS-use cases moeten beschikbaar zijn voor SIEM. 

High-availability:  

• High-availability-infrastructuur implementeren (loadbalancing, clustering, safe failover, …).  

Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

Netwerkzonering:

• Segmentatie per component (d.m.v. bijvoorbeeld host-based firewall, VLAN/security zone, security-groepen, …).