Netwerksegmentatie: wat u uit de Titanic-ramp kan leren

Het principe van waterdichte compartimenten en branddeuren kan ook toegepast worden om de impact van cyberaanvallen te beperken. Ook uw netwerk kan u voorzien van ‘branddeuren’ door het onder te verdelen in zones: uw netwerk segmenteren heet dat dan. Indien er zich in een gesegmenteerd netwerk een cyberaanval voordoet in één van de zones, blijft de aanval begrensd tot die ene zone. Zo blijft de impact van een cyberaanval beperkt en blijven andere segmenten veilig. 

Traditioneel gezien gebeurde netwerksegmentatie op het niveau van de netwerkapparatuur en was dit vooral een manier om overzicht te bewaren en het beheer van uw netwerk efficiënter te maken. Maar vandaag is netwerksegmentatie een belangrijk onderdeel van een IT-securitystrategie. Er bestaan nu security-producten en -diensten die niet enkel inkomend en uitgaand verkeer gaan scannen maar ook het interne, door elk segment apart te bewaken.

Waarom segmenteren?

Onlangs maakte een IT-manager van een groot ziekenhuis zich zorgen over het security-risico dat externe leveranciers met zich meebrengen. Zijn röntgenmachines worden dikwijls onderhouden door een extern persoon die zijn eigen materiaal tijdelijk aansluit op het interne netwerk van het ziekenhuis. Aangezien dit materiaal niet onder de controle is van het ziekenhuis, kan malware via deze manier zich een weg naar binnen banen. De klant koos ervoor zijn röntgenmachines te gaan segmenteren. Er werd een firewall geplaatst in iedere onderzoeksruimte in plaats van een traditionele switch. Zo wordt een eventuele verspreiding van malware geblokkeerd binnen dit lokaal voor het de rest van het netwerk kan besmetten.

Dat is één voorbeeld van een goede reden om een netwerk te segmenteren. Maar er zijn nog delen van uw netwerk die u maar beter goed afschermt. Productieprocessen, bijvoorbeeld, zijn vaak een doelwit van cybercriminelen omdat het juist daar is dat een organisatie het meest kwetsbaar is. Een extra securitylaag specifiek voor de productie is dus zeker geen overbodige luxe. Ook productiemachines worden overigens dikwijls onderhouden door externen, zij het nu on-site of vanop afstand. En dit brengt zoals gezegd zijn risico’s mee.

Om deze problemen te verhelpen werden er industriële firewalls ontwikkeld. Dit zijn traditionele firewalls die een robuuste behuizing gekregen hebben om gewapend te zijn tegen de ruwe omstandigheden binnen een productieomgeving (warmte of koude, stof, …). Daarnaast zijn deze firewalls extra uitgerust met securitytoepassingen die specifiek beschermen tegen malware die industriële processen (denk bijvoorbeeld aan SCADA) als doelwit hebben.

Aan de slag met IT-netwerksegmentatie

De vraag is niet of maar wanneer u aangevallen wordt. Het is dus uiterst belangrijk om niet alleen de kans op een aanval, maar ook de impact ervan te beperken. Hierin is een goede netwerksegmentatie cruciaal. Maar hoe gaat u nu best met netwerksegmentatie aan de slag? De eerste stap is altijd ervoor te zorgen dat er segmentatie op netwerkniveau aanwezig is. VLAN’s creëren voor productie, kantoor, WiFi, … is cruciaal. Dit basisprincipe voorkomt al een hele hoop narigheid.

Daarna kan er gekeken worden om te gaan segmenteren op het niveau van de firewall. Dit kan op een aantal manieren. Eén daarvan is het segmenteren van zones met fysieke toestellen, zoals we hierboven al aangaven. Een andere manier is op een centrale locatie zoals het datacenter alle interne trafiek te laten routeren en segmenteren door één enkele krachtige firewall cluster. Dit kan in essentie zowel virtueel als fysiek. Hier opteren we dikwijls voor virtuele gateways aangezien een 10G connectiviteit veelal noodzakelijk is om de hoge hoeveelheid intern verkeer efficiënt te kunnen verwerken.