Er moet een DMZ opgezet worden voor ontsluiting naar publieke netwerken (zoals internet en derde partijen), componenten met rechtstreekse verbinding naar publieke netwerken moeten hierin geplaatst worden;
Datastromen tussen verschillende organisaties worden van mekaar gescheiden door een DMZ. Organisaties kunnen enkel in hun eigen container (= eigen afschermings-boundary) onderling afspraken maken over de inrichting van de datastromen zonder DMZ;
Servers in de DMZ hebben zo beperkt mogelijk toegang tot publieke netwerken;
Indien aanwezig worden proxy (forward & reverse) en mailrelays in de DMZ geplaatst;
Leastprivilege wordt toegepast voor datastromen van en naar de DMZ; en
DMZ mag fysiek niet toegankelijk zijn voor onbevoegden (niet door de organisatie geautoriseerde personen) en moet fysiek beveiligd zijn (zie ook 6.1. Minimale maatregelen - Fysische maatregelen).
Toegangscontrole
Implementeer Zero Trust Network Access (ZTNA) principes waarbij alle gebruikers en apparaten bij elke aanvraag worden geverifieerd en geautoriseerd voordat toegang wordt verleend. Hierbij worden de strikte beperkingen die vastgelegd zijn voor toegang tot de specifieke vertrouwelijkheidsklasse van de data gehanteerd (zie 5.1. Minimale maatregelen - Identity en Access Management (IAM))
Toegang gebaseerd op geografische situering afhankelijk van risico beoordeling
Enkel toegang tot data via applicaties toegestaan.
Transportbeveiliging:
Versleutelde transportprotocollen (bv. https, sftp) voor alle informatiestromen
Sleutelbeheer van de transport certificaten altijd binnen de eigen organisatie of bij een trustedpartner.
Datastroominspectie:
Datastromen tussen DMZ en publieke netwerken worden geleid via een next gen firewall, die voldoet aan goede praktijken zoals ISF goodpracticeforinformationsecurity of gelijkwaardig, rekening houdende met volgende criteria:
Filteren op basis van type datastromen;
Beperken of blokkeren van bepaalde datastromen;
TLS inspectie van alle datastromen
Whitelist op serverniveau voor uitgaande datastromen.
Statefulinspection of gelijkwaardige technologie;
Werken vanuit defaultdeny-principe;
Werken vanuit centraal opgestelde regels (ruleset); en
IDS/IPS wordt ingezet op alle datastromen van en naar de DMZ voor monitoring (detectie, rapportering) van abnormaal gedrag.
Web- en emailfilters moeten worden ingezet voor controle van web- en email verkeer.
Alle datastromen die de DMZ binnenkomen of verlaten, worden gecontroleerd op kwaadaardige software en spam; antimalware moet voldoen aan goede praktijken zoals ISF goodpracticeforinformationsecurity of gelijkwaardig, rekening houdende met volgende criteria:
Optreden tegen alle ‘aanvalsvectoren’ met mogelijkheid tot blokkeren of minimaal in quarantaine plaatsen;
Gecentraliseerd beheer;
Altijd actief;
Scanning van bijlagen;
Mogelijkheid tot real-timescanning;
Niet-intrusief: de gebruiker minimaal belasten;
Automatische updates van de signaturedatabase;
Beveiliging tegen zero-day-aanvallen; en
Genereren van alarmen naar de antimalware-beheerders.
Logging en monitoring:
Toegang van en naar DMZ moet gelogd worden (betrokken IP-adressen, protocollen en tijdstip);
Er wordt actief gecontroleerd op ongewenste patronen in datastromen;
Toegang van serverbeheer en beheer van netwerkapparatuur moet kunnen worden gelinkt aan een toestel, en het toestel aan de eigenaar
Eventlogging wordt opgezet op kritische netwerktoestellen in DMZ (o.a. up/down gaan van switch-poorten);
Ingeval van hosting bij externe bedrijven: auditeerbaarheid en logging contractueel afdwingen
Alle data geanalyseerd indien aanwezig via een SIEM oplossing
Versleutelde transportprotocollen of VPN moeten worden toegepast voor beheerstaken
Gevalideerd proces noodzakelijk voor machine naar machine connecties
In geval van hosting bij externe bedrijven: exit proces of procedure contractueel opnemen)
Klasse 3, Klasse 4 en Klasse 5 kennen dezelfde maatregelen:
Alle maatregelen van Klasse 1 / Klasse 2 +
Netwerkzonering:
DMZ zones moeten binnen de EU gelokaliseerd zijn.
Toegangscontrole:
Implementeer Zero Trust Network Access (ZTNA) principes waarbij alle gebruikers en apparaten bij elke aanvraag worden geverifieerd en geautoriseerd voordat toegang wordt verleend. Hierbij worden de strikte beperkingen die vastgelegd zijn voor toegang tot de specifieke vertrouwelijkheidsklasse van de data gehanteerd (zie 5.1. Minimale maatregelen - Identity en Access Management (IAM)Toegang gebaseerd op sterke gebruikersauthenticatie (multi factor authenticatie)
Datastroominspectie:
TLS inspectie van alle datastromen met Data Loss Prevention maatregelen.
Logging en monitoring:
Eventlogging wordt opgezet voor alle netwerktoestellen.
