Delen via

Netwerkisolatie (Secure Future Initiative)

Naam van de pijler: Netwerken beveiligen
Patroonnaam: Netwerkisolatie

Context en probleem

Moderne bedreigingsactoren maken gebruik van zwakke netwerkgrenzen om lateraal te worden verplaatst en bevoegdheden te escaleren. Veelvoorkomende aanvalspaden zijn gestolen referenties, protocolmisbruik en opnieuw afspelen van tokens. Binnenin maken kwaadwillende aanvallers vaak gebruik van slechte segmentatie, te veel machtigingen of gedeelde infrastructuur voor toegang tot gevoelige workloads.  

Traditionele platte netwerken maken het lastig om toegang tot minimale bevoegdheden af te dwingen en resources vaak breed bereikbaar te laten. Zonder duidelijke isolatie kunnen interne en externe bedreigingen snel meerdere systemen in gevaar komen. De uitdaging is om netwerksegmentatie te standaardiseren, perimeters te handhaven en ervoor te zorgen dat verkeersstromen strikt worden gecontroleerd om zijwaartse verplaatsing te voorkomen en inbreuken te beheersen.

Solution

Netwerkisolatie beveiligt netwerken door netwerken te verdelen en te isoleren in segmenten en netwerktoegang tot deze netwerken te beheren. Het combineert identiteitsbewuste netwerkbeveiligingsoplossingen en verbeteringen in zichtbaarheid, bewaking en detectiemogelijkheden. Kernprocedures zijn onder andere:

  • Netwerksegmentatie en softwaregedefinieerde perimeters: Stel in dat er sprake is van inbreuk en het beperken van laterale verplaatsingen met netwerkpartitionering en dynamische, op risico's gebaseerde toegang. Het principe van minimaal privilege afdwingen met gescopeerde toegang en expliciet verifiëren met identiteitsgebaseerde toegangscontroles.

  • SASE en ZTNA: Secure Access Service Edge (SASE) en Zero Trust Network Access (ZTNA) architecturen gebruiken om beveiliging en netwerken te integreren. U kunt Zero Trust-principes uitlijnen door toegang te verlenen en te beperken op basis van context- en identiteits- en voorwaardelijke toegangsbeheer.

  • Versleuteling en communicatie: Stel dat er sprake is van inbreuk door gegevens tijdens de overdracht te beschermen en het risico op manipulatie van gegevens te beperken met sterke, moderne versleuteling en communicatie en het blokkeren van zwakke protocollen.

  • Zichtbaarheid en detectie van bedreigingen: Ga uit van een veiligheidsinbreuk met continue zichtbaarheid en monitoring, en logboekregistratie van netwerkactiviteit. Dwing minimale bevoegdheden af en verifieer expliciet met toegangscontroles en detectie van bedreigingen om afwijkingen te vinden en weer te geven. Dwing Zero Trust af door implementatie, beheer en toewijzing van netwerkresources en besturingselementen op schaal te automatiseren. Zonder automatisering kunnen vertragingen, inconsistenties en hiaten zich snel voordoen.

  • Door beleid gestuurde controles: Verifieer expliciet en pas minimum bevoegdheid toe met gedetailleerde, adaptieve, identiteit-gecentreerde beleidsbesturingselementen voor voorwaardelijke toegang. Stel een inbreuk voor met een standaard-weigerbeleid en evalueer risico's constant opnieuw.

  • Cloud- en hybride netwerkbeveiliging: Ga uit van een mogelijke inbreuk en verifieer expliciet in multicloud- en hybride omgevingen door cloudworkloads te isoleren in beveiligde microperimeters, en door gebruik te maken van identiteitsbewuste proxy's en Cloud Security Access Broker (CASB) oplossingen voor SaaS- en PaaS-applicaties. Pas Zero Trust-principes toe met geïntegreerd beveiligingsbeleid in de cloud en on-premises, veilige hybride verbindingsmechanismen, verbetering van de cloud-/hybride beveiligingspostuur en gecentraliseerde beveiligingsbewaking.

Begeleiding

Organisaties kunnen een vergelijkbaar patroon gebruiken met behulp van de volgende praktische procedures:

Gebruiksituatie Aanbevolen actie Hulpbron
Microsegmentatie
  • Gebruik netwerkbeveiligingsgroepen (NSG's) en ACL's om toegang tot minimale overzichtsrechten tussen workloads af te dwingen.
 Overzicht van Azure-netwerkbeveiligingsgroepen
Virtuele netwerken isoleren
  • Tools zoals Microsoft Defender Vulnerability Management gebruiken om systemen te scannen en CVE's te prioriteren.
 VNets isoleren - Virtuele Azure-netwerken
Perimeterbeveiliging voor PaaS-resources
  • Gebruik Azure Network Security beveiligde toegang tot services zoals Storage, SQL en Key Vault.
 Wat is een netwerkbeveiligingsperimeter?
Connectiviteit met virtuele machines beveiligen
  • Gebruik Azure Bastion om beveiligde RDP-/SSH-connectiviteit met virtuele machines tot stand te brengen zonder resources beschikbaar te maken op internet.
 Over Azure Bastion
Uitgaande virtuele toegang beperken
  • Verwijder standaard uitgaande internettoegang en pas netwerk met minimale bevoegdheden toe voor uitgaand verkeer van services.
 Standaardinstellingen voor uitgaand verkeer in Azure - Azure Virtual Network
Gelaagde perimeterbeveiliging
  • Pas firewalls, servicetags, NSG's en DDoS-beveiliging toe om beveiliging met meerdere lagen af te dwingen.
 Overzicht van Azure DDoS Protection
Gecentraliseerd beleidsbeheer
  • Gebruik Azure Virtual Network Manager met beveiligingsbeheerdersregels om het netwerkisolatiebeleid centraal te beheren.
 Beveiligingsbeheerdersregels in Azure Virtual Network Manager

Resultaten

Voordelen

  • Weerbaarheid: beperkt de explosieradius van een inbraak.  
  • Schaalbaarheid: Gestandaardiseerde netwerkisolatie ondersteunt omgevingen op ondernemingsniveau.  
  • Zichtbaarheid: Servicetags en -bewaking bieden duidelijkere toeschrijving van verkeersstromen.  
  • Uitlijning van regelgeving: ondersteunt naleving van frameworks waarvoor strikte scheiding van gevoelige resources is vereist.  

Trade-offs

  • Operationele overhead: voor het ontwerpen en onderhouden van gesegmenteerde netwerken zijn plannings- en doorlopende updates vereist.
  • Complexiteit: Meer segmentatie kan extra beheerlagen introduceren en automatisering vereisen om te schalen.  
  • Prestatieoverwegingen: Sommige isolatiemetingen kunnen de latentie enigszins verhogen.  

Belangrijke succesfactoren

Als u succes wilt bijhouden, meet u het volgende:

  • Aantal workloads dat is geïmplementeerd in geïsoleerde virtuele netwerken zonder directe blootstelling aan internet.  
  • Percentage diensten die wordt beheerd door gecentraliseerde beveiligingsbeheerregels.  
  • Vermindering van laterale verplaatsingspaden die tijdens het uitvoeren van rood-team tests zijn geïdentificeerd.  
  • Naleving van beleid met minimale bevoegdheden in omgevingen.  
  • Tijd voor het detecteren en herstellen van afwijkende netwerkactiviteit.  

Samenvatting

Netwerkisolatie is een fundamentele strategie voor het voorkomen van laterale verplaatsing en het beveiligen van gevoelige workloads. Door resources te segmenteren, perimeters af te dwingen en gelaagde verdediging toe te passen, verminderen organisaties hun kwetsbaarheid voor aanvallen en bouwen ze tolerantie tegen moderne aanvallers.

Het isoleren van netwerken is niet langer optioneel---it is een noodzakelijke controle voor het beveiligen van cloud- en hybride omgevingen. De netwerkisolatiedoelstelling biedt een duidelijk kader voor het verminderen van zijwaartse verplaatsing, in overeenstemming met Zero Trust en het beveiligen van omgevingen op ondernemingsniveau.  

Bovendien moeten alle activiteiten van het netwerk, de identiteit en het apparaat continu worden bewaakt. Centraliseer logboekregistratie en correleer beveiligingswaarschuwingen met behulp van XDR-oplossingen (Extended Detection and Response) en SIEM-hulpprogramma's om afwijkingen en bedreigingen effectief te detecteren. Combineer detectie met gedragsanalyse, grondige pakketinspectie en geautomatiseerde respons op bedreigingen om snel verdachte activiteiten in te dammen en efficiënte incidentafhandeling te ondersteunen.

Evalueer uw huidige netwerktopologie en implementeer segmentatie- en perimeterbesturingselementen om te voldoen aan de netwerkisolatiedoelstelling.

  • Last updated on