image

Amerikaanse overheid adviseert organisaties netwerksegmentatie

vrijdag 28 januari 2022, 11:39 door Redactie, 12 reacties

Organisaties en bedrijven doen er verstandig aan om netwerksegmentatie toe te passen en zo hun netwerken te beveiligen. Dat advies komt van het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Volgens het CISA is netwerksegmentatie een belangrijke beveiligingsmaatregel, waarbij een netwerk virtueel of fysiek in verschillende segmenten wordt verdeeld.

Elk segment fungeert als een eigen subnetwerk. Hierdoor is het bijvoorbeeld mogelijk om OT (operationele technologie) en IT (informatietechnologie) netwerken te scheiden, waardoor de impact van een succesvolle aanval kan worden beperkt. "Segmentatie beperkt toegang tot apparaten, data en applicaties en beperkt communicatie tussen netwerken. Segmentatie scheidt en beschermt ook OT-netwerklagen en zorgt ervoor dat industriële en andere vitale processen zoals bedoeld blijven werken", aldus het CISA.

De Amerikaanse overheidsinstantie heeft een Infographic gepubliceerd waarin het ingaat op de werking en voordelen van netwerksegmentatie (pdf). Ook worden er verschillende generieke aanbevelingen gedaan, zoals het toepassen van een Demilitarized Zone (DMZ). Er zijn echter ook critici die stellen dat het om gedateerd advies gaat en er wordt aangenomen dat bedrijven nog steeds hun eigen servers hebben staan in plaats van clouddiensten gebruiken.

Image

Reacties (12)
28-01-2022, 11:55 door Anoniem
No shit, Sherlock!

Eh... dit deden we 25 jaar geleden al. Fijn dat het inmiddels ook hier is doorgedrongen.
28-01-2022, 12:50 door Anoniem
Door Anoniem: No shit, Sherlock!

Eh... dit deden we 25 jaar geleden al. Fijn dat het inmiddels ook hier is doorgedrongen.
Het zal je verbazen hoeveel organisaties nog altijd 1 groot netwerk hebben.
28-01-2022, 12:51 door Anoniem
Door Anoniem: No shit, Sherlock!

Eh... dit deden we 25 jaar geleden al. Fijn dat het inmiddels ook hier is doorgedrongen.

En toch gebeurd het bij het MKB zelden. Want kost geld en beheer.
28-01-2022, 13:34 door Anoniem
Goed Punt, maar men moet er bij zeggen dat op het moment dat je (micro)segementatie toepast, je weer routeringen en aparte toegangs regels moet maken om ketens met elkaar te kunnen laten communiceren.
Oftewel je maakt het weer plat, daar waar het nodig is dat devices met elkaar communiceren.
28-01-2022, 14:23 door Anoniem
28-01-2022, 14:25 door SecOps
je kan ook micro segmentering doen op basis van host based firewalls (zie bv product van Guardicore)...
28-01-2022, 14:53 door Anoniem
Door SecOps: je kan ook micro segmentering doen op basis van host based firewalls (zie bv product van Guardicore)...

ik zou course grain firewalling doen op netwerk zelf per subnet en fine grain daar bovenop op de hosts.
28-01-2022, 18:34 door Anoniem
Door Anoniem: Eh... dit deden we 25 jaar geleden al. Fijn dat het inmiddels ook hier is doorgedrongen.
Ja jij en ik doen dat al 25 jaar en meer. Maar er lopen nog van die gasten rond die segmentatie (compartimentering) nooit hebben geïmplementeerd, laat staan hebben toegepast.
28-01-2022, 19:51 door Anoniem
Wat men er vergeet bij te adviseren is dat de segmenten dan wel gescheiden moeten worden middels firewalling.
Segmentatie kan ook via routering over switchen. Hiermee bereik je alleen enige performance verbeteringen om dat niet alles door elkaar staat te broadcasten.
Firewalling zorgt ervoor dat de segmenten alleen met elkaar kunnen communiceren of de poorten die strikt noodzakelijk zijn.

Dit vraagt wel het nodige van een beheerdersteam.

Nog een stap verder?

Middels host firewalling kun je het verkeer binnen de segmenten ook nog sturen.
Werkstations hoeven onderling niet te communiceren. Voor hen volstaat communicatie naar de gaten die vervolgens alleen noodzakelijk verkeer doorlaat naar de andere segmenten.

Maar nogmaals security vraagt heel wat van de beheerders en vaak is hier in de kleine en MKB bedrijven geen budget voor.
28-01-2022, 20:15 door Anoniem
De Fox datadiode werkt niet in industriele omgevingen, die kan die protocollen niet aan.
29-01-2022, 13:03 door Anoniem
Door Anoniem:
Door SecOps: je kan ook micro segmentering doen op basis van host based firewalls (zie bv product van Guardicore)...

ik zou course grain firewalling doen op netwerk zelf per subnet en fine grain daar bovenop op de hosts.
Ja hoor weer een closed source product er bij. Wij doen dit al jaren met firewalld en fail2ban. Maar ja Linux he
30-01-2022, 16:18 door Anoniem
Door Anoniem: No shit, Sherlock!

Eh... dit deden we 25 jaar geleden al. Fijn dat het inmiddels ook hier is doorgedrongen.
Dat doorgedrongen is maar de vraag. Ik zie bij veel overheidsinstelling een andere stroming ontstaan dat ze alles buiten de deur gaan plaatsen, of reeds hebben geplaatst, en daarmee ook geen flauw benul hebben of de zaken veilig zijn of niet. Het hele Log4j debacle bracht dat wel aan het licht want een aantal bleken volledig afhankelijk te zijn van hun leverancier en zelf dus niet in control te zijn. Ik vraag me af wat erger is, fouten maken bij de opzet van je netwerk en applicatie landsschap, of alles in handen van Cloud leveranciers leggen en eigenlijk niet weten wat er gebeurd met je data. Het eerste laat zich herstellen maar of dat ook zo bij de Cloud werkt is maar de vraag. We worden wel steeds afhankelijker gemaakt (of we doen dat zelf) van een handjevol techbedrijven waarvan we niet exact weten hoe zij de zaken echt geregeld hebben.
Ik ben geen tegenstander van de Cloud, integendeel, ik zie graag dat veel zaken daar naar toe gaan vanwege het feit dat diepgaande kennis over beheer en netwerken steeds minder te vinden is. Alleen moet je als uitbesteder wel in control zijn over wat je uitbesteed. Op een vraag waar je data staat en hoe deze beveiligd is zou je niet met je leverancier moeten gaan bellen maar zelf een document uit de kast kunnen trekken om te laten zien op welke wijze dat geregeld is en hoe vaak je dit controleeert. Het liefst nog met recente verklaring van pentesten en audits bij de leverancier. Ik vrees alleen dat veel uitbesteders hun Cloud leveranciers op de blauwe ogen geloven en op zo'n vraag inderdaad met de leverancier gaan bellen/mailen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.