Document toolboxDocument toolbox

3.3.2.4. Minimale maatregelen in de IoT-zone

Vertrouwelijkheid

IC klasse 

Minimale maatregelen

IC klasse 

Minimale maatregelen

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Netwerkzonering: 

  • Least privilege toepassen voor datastromen van en naar de IoT-zone; 

  • Logische scheiding met gebruikerszone; 

  • Indien DMZ aanwezig: proxy verplichten; en 

  • Toegang vanaf publiek netwerk enkel via mitigerende component (bv. proxyserver).  

Transportbeveiliging: 

  • Versleutelde transportprotocollen (bv. https, sftp) voor informatie die ontsloten is naar het internet; 

  • Versleutelde transportprotocollen of VPN voor beheerstaken die buiten IoT-zone worden uitgevoerd; en 

  • Versleutelde transportprotocollen voor write access vanuit gebruikerszone.  

Inbraakpreventie:  

  • Filtering op basis van IP-adressen en protocollen. 

Antimalware:  

  • Alle datastromen van en naar de betrokken servers behalve in lokale zone worden gecontroleerd op kwaadaardige software. 

Content/URL filtering:  

  • Whitelist op toepassing voor uitgaand datastromen naar internet. 

SSL-inspectie:  

  • IDS/IPS/antimalware moet alle datastromen kunnen inspecteren. Dit kan via SSL-inspectie, SSL offloading of op de endpoints. 

Logging en monitoring:

Alle maatregelen van Klasse 1 / Klasse 2 +

Netwerkzonering:

Transportbeveiliging:  

  • Versleutelde protocollen van en naar de betrokken component, behalve in lokale zone. 

IDS:  

  • Aanwezig op alle datastromen van en naar IoT-zone. 

Inbraakpreventie:  

  • IPS aanwezig op alle datastromen van en naar IoT-zone. 

Content/URL filtering:  

  • Inspectie op uitgaand datastromen. 

Logging en monitoring: 

  • Event logging op alle netwerktoestellen; en 

  • IDS/IPS-use cases moeten beschikbaar zijn voor SIEM.

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3

Transportbeveiliging:

  • Enkel gebruik van versleutelde protocollen van en naar de betrokken component

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 +

Netwerkzonering:  

  • Segmentatie per component (d.m.v. bijvoorbeeld host-based firewall, VLAN/security zone, security-groepen, …). 

Transportbeveiliging:  

  • Voor transport buiten de zone toegang enkel toegestaan over VPN. 

SSL-inspectie:  

  • Mogelijkheid tot uitzonderingen: bepaalde informatie kan zo gevoelig zijn dat SSL-inspectie niet wenselijk is. 

Integriteit

IC klasse 

Minimale maatregelen

IC klasse 

Minimale maatregelen

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Netwerkzonering: 

  • Least privilege toepassen voor datastromen van en naar de IoT-zone; 

  • Logische scheiding met gebruikerszone; 

  • Indien DMZ aanwezig: proxy verplichten; en 

  • Toegang vanaf publiek netwerk enkel via mitigerende component (bv. proxyserver). 

Transportbeveiliging: 

  • Versleutelde transportprotocollen (bv. https, sftp) voor informatie die ontsloten is naar het internet (integriteitsbewaking); 

  • Versleutelde transportprotocollen of VPN voor beheerstaken die buiten IoT-zone worden uitgevoerd (integriteitsbewaking); en 

  • Versleutelde transportprotocollen voor write access vanuit gebruikerszone (integriteitsbewaking). 

Inbraakpreventie:  

  • Filtering op basis van IP-adressen en protocollen. 

Antimalware:  

  • Alle datastromen van en naar de betrokken servers behalve in lokale zone worden gecontroleerd op kwaadaardige software. 

SSL-inspectie:  

  • IDS/IPS/antimalware moet alle datastromen kunnen inspecteren. Dit kan via SSL-inspectie, SSL offloading of op de endpoints. 

Logging en monitoring:

Alle maatregelen van Klasse 1 / Klasse 2 +

Netwerkzonering:

Transportbeveiliging:  

  • Versleutelde protocollen van en naar de betrokken component, behalve in lokale zone (integriteitsbewaking). 

IDS:  

  • Aanwezig op alle datastromen van en naar IoT-zone. 

Inbraakpreventie:  

  • IPS aanwezig op alle datastromen van en naar IoT-zone. 

Logging en monitoring: 

  • Event logging op alle netwerktoestellen; en 

  • IDS/IPS-use cases moeten beschikbaar zijn voor SIEM

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

Transportbeveiliging:

  • Enkel gebruik van versleutelde protocollen van en naar de betrokken component (integriteitsbewaking)

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 +

Netwerkzonering:  

  • Segmentatie per component (d.m.v. bijvoorbeeld host-based firewall, VLAN/security zone, security-groepen, …). 

Transportbeveiliging:  

  • Voor transport buiten de zone toegang enkel toegestaan over VPN (integriteitsbewaking). 

SSL-inspectie:  

  • Mogelijkheid tot uitzonderingen: bepaalde informatie kan zo gevoelig zijn dat SSL-inspectie niet wenselijk is. 

Beschikbaarheid

IC klasse 

Minimale maatregelen

IC klasse 

Minimale maatregelen

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Netwerkzonering:

  • Least privilege toepassen voor datastromen van en naar de IoT-zone; 

  • Logische scheiding met gebruikerszone; 

  • Indien DMZ aanwezig: proxy verplichten; en 

  • Toegang vanaf publiek netwerk enkel via mitigerende component (bv. proxyserver).  

Transportbeveiliging: 

  • Versleutelde transportprotocollen (bv. https, sftp) voor informatie die ontsloten is naar het internet; 

  • Versleutelde transportprotocollen of VPN voor beheerstaken die buiten IoT-zone worden uitgevoerd; en 

  • Versleutelde transportprotocollen voor write access vanuit gebruikerszone. 

Inbraakpreventie:  

  • Filtering op basis van IP-adressen en protocollen. 

Antimalware:  

  • Alle datastromen van en naar de betrokken servers behalve in lokale zone worden gecontroleerd op kwaadaardige software. 

SSL-inspectie:  

  • IDS/IPS/antimalware moet alle datastromen kunnen inspecteren. Dit kan via SSL-inspectie, SSL offloading of op de endpoints. 

Logging en monitoring:

High-availability:

  • Het voorzien van reserve-onderdelen en reservecomponenten volstaat

Alle maatregelen van Klasse 1 / Klasse 2 +

Netwerkzonering:

IDS:  

  • Aanwezig op alle datastromen van en naar IoT-zone. 

Inbraakpreventie:  

  • IPS aanwezig op alle datastromen van en naar IoT-zone. 

Logging in het kader van beschikbaarheid:  

  • Event logging op alle netwerktoestellen; en 

  • IDS/IPS-use cases moeten beschikbaar zijn voor SIEM. 

High-availability:  

  • High-availability-infrastructuur implementeren (loadbalancing, clustering, safe failover, …).  

Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

Netwerkzonering:

  • Segmentatie per component (d.m.v. bijvoorbeeld host-based firewall, VLAN/security zone, security-groepen, …).Â