De implementatie van een veilig netwerkontwerp (netwerk segmentatie)
Beveiligingsrisico’s worden steeds vaker voorkomend, vooral nu AI een steeds grotere rol speelt, zien we een toename in AI-gebaseerde hack- of exploitpogingen. Elke organisatie die digitaal verbonden is via netwerken, loopt mogelijk risico. Hier zijn enkele statistieken:ย
Volgens een peiling van het Deloitte Center for Controllership: “In de afgelopen 12 maanden rapporteerde 34,5% van de ondervraagde leidinggevenden dat de boekhoudkundige en financiรซle gegevens van hun organisaties het doelwit waren van cyberaanvallen. Binnen deze groep had 22% minstens รฉรฉn cyberincident meegemaakt en 12,5% ervoer meerdere incidenten.” En “bijna de helft (48,8%) van de C-suite en andere leidinggevenden verwacht dat het aantal en de omvang van cyberincidenten gericht op de boekhoudkundige en financiรซle gegevens van hun organisaties het komende jaar zullen toenemen. Toch zegt slechts 20,3% van de ondervraagden dat hun boekhoudkundige en financiรซle teams nauw en consistent samenwerken met hun collega’s in cybersecurity.”
Veilig netwerkontwerp & netwerk segmentatie
Hoewel netwerkbeveiliging niet alle beveiligingsproblemen oplost, heeft het zeker een grote impact op het algehele beveiligingsniveau van de organisatie.ย
“Netwerk segmentatie minimaliseert beveiligingsrisico’s door een meerlaagse aanvalsvlak te creรซren die laterale netwerk aanvallen voorkomt. Als gevolg hiervan, zelfs als aanvallers door je eerste verdedigingslinie breken, worden ze beperkt tot het netwerksegment dat ze hebben bereikt.”
Hoe werkt netwerk segmentatie?
“Er zijn een paar manieren om je netwerk te segmenteren. Segmentatie wordt meestal uitgevoerd door een combinatie van firewalls, Virtual Local Area Networks (VLAN’s) en Software Defined Networking (SDN)”.
**VLAN-segmentatie**: Netwerken worden meestal gesegmenteerd met VLAN’s of subnetten. VLAN’s creรซren kleinere netwerksegmenten die hosts virtueel verbinden. Subnetten gebruiken IP-adressen om het netwerk te segmenteren, verbonden door netwerkapparaten. Hoewel deze benaderingen het netwerk effectief segmenteren, vereisen ze vaak een uitgebreide herstructurering en kunnen ze complex zijn om te onderhouden.
**Firewall-segmentatie**: Firewalls zijn een alternatief om segmentatie af te dwingen. Firewalls worden binnen het netwerk ingezet om interne zones te creรซren die functionele gebieden van elkaar scheiden.
**SDN-segmentatie**: Een modernere benadering van segmentatie past een SDN-geautomatiseerde netwerkoverlay toe. Een uitdaging bij deze aanpak is het niveau van complexiteit dat nodig is voor succesvolle micro-segmentatie.
Huidige staat van organisaties?
Veel organisaties bewaken het netwerk aan de buitenkant, maar laten het interne netwerk open en toegankelijk, ook al is er een perimeterfirewall geรฏnstalleerd en klaar voor gebruik. Het beveiligen van het externe deel van het netwerk is slechts een klein onderdeel van het implementeren van een veilig netwerkontwerp. In deze blog duiken we dieper in enkele van de basisprincipes voor het implementeren van een veilig netwerkontwerp.
Ben je kwetsbaar en herken je deze symptomen?
-
- Heb je een firewall die aan de rand van je netwerk zit?
-
- Is je interne netwerk open voor alle soorten onbeperkte communicatie? (bijvoorbeeld: kunnen printers communiceren met je klantendocumenten, je werkstations (desktops en laptops) of andere interne bronnen?)
-
- Is je interne netwerk open voor alle soorten onbeperkte communicatie? (bijvoorbeeld: kunnen printers communiceren met je klantendocumenten, je werkstations (desktops en laptops) of andere interne bronnen?)
-
- Zijn er bedrijfsbronnen binnen ditzelfde netwerk die toegankelijk zijn en bedrijfsgevoelige gegevens bevatten?
-
- Werken je medewerkers in deze netwerk segmenten en hebben zij toegang tot cloudgegevens vanuit dezelfde netwerken?
-
- Kunnen gasten verbinding maken met alle apparaten binnen je interne netwerk?
-
- Hoe frequent worden de interne systemen ge-updatet en onderhouden?
-
- Hoeveel technische kennis is er aanwezig van alle componenten die geupdatet zouden moeten worden?
-
- Worden er periodiek pentests / configuratie validaties uitgevoerd?
Een veilig netwerk begint met een goed netwerkontwerp. De meeste bedrijven hebben een firewall (of apparaat dat als firewall fungeert) die je interne netwerk beschermt tegen externe bedreigingen. Maar ze vergeten volledig om beveiliging binnen hun interne netwerk te implementeren. Meestal is het gewoon makkelijker om het interne netwerk open en toegankelijk te laten, zodat alles met alles kan communiceren en al je applicaties en verbindingen “out-of-the-box” werken. Dit betekent dat niet alleen je applicaties “out-of-the-box” werken, maar ook de applicaties van een hacker of de verspreiding van ransomware werken “out-of-the-box” op alle segmenten binnen je netwerk.
Hoe pakt ANT Networks dit aan?
Wanneer organisaties denken aan beveiliging en het implementeren van een veiliger netwerk, zijn ze vaak bang dat de kosten aanzienlijk zullen stijgen. Hoewel dit waar kan zijn voor het investeren in sommige producten die beveiliging kunnen afdwingen, zoals: NAC (Network Access Control) apparaten, Firewalls (Fortinet, Checkpoint, Palo Alto): die het interne en externe netwerk filteren en segmenteren, en SDN-oplossingen zoals Cisco ACI (Application Centric Infrastructure), Cisco ISE (Identity Services Engine) en Cisco SDA (Software Defined Access).
Meestal kun je met een paar tips de beveiliging gemakkelijk verbeteren met de tools die al beschikbaar zijn door simpelweg opnieuw te ontwerpen (uren investeren):
-
- Implementeer netwerk (logische) segmentatie door dezelfde soorten eindpunten in dezelfde netwerken te plaatsen, en hun standaard gateways op een firewall apparaat te plaatsen dat specifieke verbindingen alleen kan inspecteren en toestaan.
-
- Implementeer een NAC-oplossing die apparaten en gebruikers binnen je netwerk authenticatie verleent en alleen internettoegang geeft aan niet-geauthenticeerde gasten.
-
- Ruim oude configuraties op en versterk en beperk het beleid van de nog steeds actief gebruikte configuraties.
-
- Beperk de toegang tot beheer en gebruik meervoudige authenticatie.
-
- Patch kwetsbaarheden op randapparaten zo snel mogelijk of mitigeer ze.
-
- Dwing specifieke firewall regel implementaties af tussen netwerken.
-
- Monitor het verkeer en analyseer afwijkingen.
ANT Networks kan helpen!
ANT Networks is hier om te helpen. We hebben ervaring op deze gebieden, omdat we ons hierin specialiseren, en er zijn meerdere opties variรซrend in prijs en effectiviteit die je kunnen helpen om je bedrijf veiliger te maken. Samen kunnen we beslissen welke opties als eerste moeten worden geรฏmplementeerd om de grootste resultaten te behalen. Enkele van de opties zijn hieronder vermeld:
-
- We kunnen je huidige ontwerp en de staat van je netwerk valideren (valideren).
-
- We kunnen je adviseren over het optimaliseren van de beveiliging van je netwerk (eenmalig advies).
-
- Je kunt ons vragen om een veiliger netwerk te implementeren op projectbasis in je huidige omgeving. Of het nu gaat om firewalls, NAC-implementatie, externe blootstelling, datacenter (SDN) en cloud netwerkbeveiliging, maar ook voor kantoor-, campus- of vestigingsbeveiliging (consultancy en projecten).
-
- Je kunt ons vragen om de volledige (of gedeeltelijke) netwerkbeveiliging te verzorgen (Managed Secure Network Services).
Bedankt voor het lezen van deze blog. Hopelijk was dit nuttig en informatief.ย
Ben je bang dat je netwerk niet goed is ontworpen of geรฏmplementeerd? Of wil je dat wij professioneel voor je netwerk zorgen en de beveiliging ervan verbeteren? Neem contact met ons op via email: contact@ant-networks.com of telefonisch via: 085 401 60 11