Netwerksegmentatie: Isoleer uw zwakste schakel

Stefan Groenhof

De beveiliging van bedrijfsinformatie is zo sterk als de zwakste schakel. In de praktijk blijkt dat de mens vaak deze zwakste schakel is. In steeds meer gevallen maken kwaadwillenden gebruik van valse e-mails of social engineering om zich, via de medewerkers van een organisatie, toegang te verschaffen tot gevoelige informatie.

Geen verrassing, want de technische beveiligingsmaatregelen, zoals firewalls, zijn tegenwoordig dusdanig effectief dat binnendringen van buitenaf bijna niet meer mogelijk is. Wanneer de aanwezige technische beveiligingen echter kunnen worden omzeild, door bijvoorbeeld gebruik te maken van de menselijke factor, heeft de kwaadwillende alsnog vrij spel.

Wat de redenen ook zijn om naar de netwerkomgeving van de klant te kijken, nieuwe implementaties, healthchecks of wijzigingen aan de infrastructuur, vaak laten mijn collega’s en ik tijdens een bezoek de woorden (Micro)Segmentatie en Network Access Control (NAC) vallen en peilen we reacties. In veel gevallen zien we dan toch wel wat opgetrokken wenkbrauwen of vragende blikken onze kant op komen. Vervolgens leggen we uit wat deze termen betekenen en hoe ze kunnen bijdragen aan een betere beveiliging van kostbare bedrijfsinformatie.

Uiteraard doen wij dat bij PQR met veel plezier. Het is dan ook mooi om te zien hoe de uitleg van deze mogelijkheden van de technologie vaak tot nieuw inzicht leidt bij onze klanten. Om deze informatie nog breder beschikbaar te maken gaan we in de komende maanden een serie blogartikelen doen uitkomen met diverse uitgediepte netwerk thema’s. We hopen dat we met het schrijven van deze artikelen meer mensen kunnen informeren over beveiliging van hun belangrijkste bezit: bedrijfsinformatie.

Netwerkcommunicatie

In traditionele netwerken wordt vaak gebruik gemaakt van  “Virtuele Local Area Netwerken” (VLAN’s). Een VLAN = is een manier om meerdere logische switches binnen een fysieke switch te creëren. Poorten worden aan VLAN’s toegekend en alleen apparaten die in hetzelfde VLAN zitten kunnen met elkaar praten. Mocht er toch communicatie nodig zijn met apparaten in andere VLAN’s (wat meestal het geval is), dan zal dit verkeer moeten worden “gerouteerd”. Dat houdt in dat een zogeheten router pakketjes van het ene VLAN overzet (routeert) naar het andere VLAN, zodat de apparaten in verschillende VLAN’s toch met elkaar kunnen praten. VLAN’s worden al jaren gebruikt, bijvoorbeeld om een scheiding te kunnen maken tussen type verkeer. De meest gebruikte voorbeelden van VLAN’s zijn server, client en voice VLAN’s.

(In dit artikel van mijn collega Ronald de Jong wordt dit tevens aan de hand van wat illustraties uitgelegd: https://www.pqr.com/blogs/fortinet-integratie-met-nsx-en-verder).

Een Core switch faciliteert vaak de routering tussen deze VLAN’s. Deze doet dat over het algemeen zonder controle of inspectie en laat alle verkeer door. Het toelaten hiervan brengt uiteraard risico’s met zich mee.

Netwerk Segmentatie

Wanneer we bovengenoemde router zouden vervangen door een apparaat wat in staat is om te filteren (welke dataverkeer is toegestaan of niet) en/of te inspecteren (zitten er geen bedreigingen in het dataverkeer), dan levert dat een veiligere communicatie op. Een apparaat wat dat kan doen is een Firewall.

Vaak bundelen we één of meerdere VLAN’s met een gelijk beveiligingsniveau tot een “segment”. Alle communicatie binnen het segment mag vrij plaatsvinden maar voor communicatie van het ene segment naar het andere segment, moet gebruik gemaakt worden van een firewall. Deze kan dan worden gebruikt om ongewenste datastromen te blokkeren en eventueel te controleren of er geen bedreigingen binnen komen.

Met het oog op segmentatie vind ik de analogie met een onderzeeër altijd een toepasselijke. Een onderzeeër bestaat uit diverse compartimenten om, wanneer er een lek is, het gebied te in te sluiten om zo verspreiding van water tegen te gaan.

Deze compartimenten zijn te vergelijken met netwerksegmenten binnen een netwerk. Wanneer er ergens in het netwerk een lek ontstaat zorgen ze ervoor dat verspreiding minimaal is, het lek snel is te lokaliseren en te neutraliseren.

Deze segmentatie kan uiteraard met behulp van fysieke apparaten gebeuren, maar tegenwoordig wordt meestal gebruik gemaakt van een scheiding met behulp van virtuele componenten. Het resultaat is vergelijkbaar.

 

 

Waarom netwerken segmenteren?

Het idee om netwerksegmentatie toe te passen is niet nieuw. Het wordt vaak gezien als een uitdagend traject wat vaak niet echt de hoogste prioriteit heeft. Maar door hedendaagse bedreigingen, eisen en wetgevingen zien we deze prioriteit steeds wat hoger worden en het komt steeds vaker ter sprake. Terecht vinden wij.

Zoals in eerste gedeelte al aangegeven, in veel gevallen komen we traditionele netwerksituaties tegen waarin netwerken voornamelijk tegen de buitenwereld worden beveiligd. Een flinke “perimeter” firewall staat aan de buitenkant van het netwerk met diverse “Next Generation” technieken om indringers en bedreigingen buiten te houden. Eenmaal binnen is er vaak nauwelijks nog enige vorm van beveiliging. De traditionele (platte) netwerkstructuur is makkelijk te onderhouden maar geeft een indringer bijna ongelimiteerde mogelijkheden.
Vanuit voorschriften en wetgeving wordt segmentatie steeds vaker een leidend onderwerp in gesprekken over netwerkinrichting. Een goed voorbeeld hiervan zijn creditcard bedrijven die persoonlijke data van kaarthouders fysiek moeten scheiden van infrastructuur gebruikt voor en door andere applicaties. Ook zie we dat de AVG/GDPR-wetgeving er voor zorgt dat steeds vaker de wens ontstaat om dit met diverse andere applicaties en systemen te gaan doen.

Netwerksegmentatie geeft dus een extra laag van beveiliging in uw organisatie. Daarnaast biedt het inzicht in wat er gaande is binnen uw interne netwerk.

De voordelen van netwerksegmentatie

Netwerk segmentatie brengt de volgende voordelen met zich mee:

  • Betere beveiliging: netwerkverkeer kan geïsoleerd, gefilterd of gelimiteerd worden waardoor problemen lokaal blijven.
  • Meer controle op wie, waar, wat mag.
  • Meer overzicht: inzicht op toegestaan en geweigerd netwerkverkeer en verdacht gedrag.
  • Betere prestaties: door kleinere logische netwerken wordt verkeer binnen de gehele infrastructuur verminderd.

Balans

Wanneer beveiliging wordt toegepast gaat dit bijna altijd ten koste van gebruiksgemak. Het is daarom belangrijk om een goede balans hiertussen te vinden. Een beperkte invoering van segmentatie is al mogelijk en aan te raden van het MKB tot bedrijven met grote netwerkinfrastructuren. De transitie van een bestaand netwerk waarin alle apparaten met elkaar kunnen communiceren naar een netwerk dat middels firewall regels, (virtuele) routers en NAC is beveiligd, is iets dat goed gepland en uitgevoerd moet worden om tot een resultaat te komen waarbij gebruiksgemak, beheer en beveiliging in een goede balans zijn met elkaar.

Segmentatie zorgt ervoor dat het moeilijker wordt voor kwaadwillenden om binnen te dringen in uw netwerk. Uiteraard heeft alles een prijskaartje en zal het ontwerp en beheer van de netwerkomgeving meer tijd vergen.

Haast met het ontwerpen en toepassen van dit proces komt niet ten goede aan de uiteindelijke voordelen van netwerksegmentatie. Het is een proces dat voorzichtige en passende aanpak vereist maar grote voordelen met zich mee kan brengen voor nu en de toekomst.

Komende artikelen

In de volgende artikelen in deze serie nemen ik en mijn collega’s u mee in de verschillende technieken en tooling waar netwerk segmentatie mee gepaard gaat. Uiteraard laten we zien hoe dit toegepast kan worden.

  • Microsegmentatie
  • Network Access Control (NAC)
  • Internal Segmentation Firewall
  • Software Defined (SD)-WAN

Kunt u niet wachten op de komende artikelen of wilt u een keer van gedachten wisselen in hoeverre deze technieken en de daarbij behorende producten passen binnen uw eigen organisatie? Vraag het mij (stefan.groenhof@pqr.nl) of neem contact op met PQR of uw accountmanager.

>> meer blogs

Reacties

Reactie toevoegen