ISM Guidelines

ISM Communications Infrastructure: Network Security en Service Continuity

📊 Operationeel 👥 Network Engineers, Security Architects ⏱️ 20 min lezen
FIREWALL HTTPS: Allow SSH: Allow FTP: Block Telnet: Block RDP: Monitor Internet Protected Malware DDoS Active Protection
Executive Summary

Een moderne overheidsorganisatie kan alleen veilig en continu functioneren als de onderliggende netwerk- en communicatielaag robuust is ontworpen. Deze richtlijn binnen het ISM Communications Infrastructure domein beschrijft hoe netwerksegmentatie, streng firewallbeleid, WPA3-Enterprise draadloze toegang met 802.1X-authenticatie, en redundante verbindingen samen een veerkrachtige basis vormen voor kritieke diensten. Door logische scheiding van afdelingen, beheeromgevingen en internetgerichte systemen wordt het aanvalsoppervlak drastisch verkleind en kunnen incidenten beter worden ingedamd. Aanvullend zorgen centrale monitoring met NetFlow, SNMP en logcollectie in een SIEM voor vroegtijdige detectie van afwijkingen en misbruik. Organisaties die deze uitgangspunten consequent toepassen, zien in de praktijk een sterke daling van netwerkincidenten en verstoringen, terwijl de beschikbaarheid van essentiële diensten juist toeneemt. Hoewel de benodigde investering voor segmentatie, moderne firewalls, draadloze infrastructuur en monitoring substantieel kan zijn, blijft deze meestal aanzienlijk lager dan de directe en indirecte schade van een geslaagde aanval of langdurige uitval van primaire processen.

Secure Network Architecture

Een veilige netwerkarchitectuur voor Nederlandse overheidsorganisaties begint bij een heldere scheiding tussen verschillende typen verkeer en systemen. In plaats van één groot vlak netwerk wordt de infrastructuur logisch opgedeeld in segmenten, bijvoorbeeld per organisatieonderdeel, per risicoprofiel of per type systeem. Gebruikerswerkplekken, servers, beheeromgevingen en internetgerichte systemen horen nadrukkelijk niet in hetzelfde segment thuis. Door gebruik te maken van VLANs en bijbehorende routering kunnen organisaties deze scheiding afdwingen en wordt laterale beweging van een aanvaller sterk bemoeilijkt. Een compromis in een werkplekomgeving hoeft dan niet automatisch te betekenen dat ook back-end systemen of administratieve kernapplicaties direct kwetsbaar zijn.

Tussen de verschillende netwerksegmenten worden volgende-generatie firewalls geplaatst die verkeer inspecteren op basis van applicatie, identiteit en context. Het uitgangspunt is een strikt "deny-by-default"-beleid: alle communicatie tussen segmenten is standaard geblokkeerd en wordt alleen expliciet toegestaan als er een aantoonbare functionele noodzaak is. Voor beheerverbindingen naar servers en netwerkcomponenten wordt uitsluitend gebruikgemaakt van versleutelde protocollen zoals SSH en HTTPS, gecombineerd met sterke authenticatie. Beheerdersaccounts worden gescheiden van normale gebruikersaccounts en beheer vindt idealiter plaats vanaf speciaal uitgeruste beheerwerkplekken die zich in een extra streng beveiligd segment bevinden.

Voor systemen die vanuit het internet bereikbaar moeten zijn, zoals publieke websites of koppelvlakken met ketenpartners, wordt een afgeschermd demilitarized zone (DMZ)-segment ingericht. Deze DMZ vormt een bufferzone tussen het internet en de interne netwerken. Verkeer van buitenaf wordt eerst grondig gefilterd, gelogd en zo nodig gedesinfecteerd voordat het met interne systemen mag communiceren. Inkomende verbindingen worden alleen naar strikt noodzakelijke diensten doorgestuurd, zoals een webserver of reverse proxy, en beheer op deze systemen verloopt via gescheiden beheerkanalen die niet rechtstreeks vanaf het internet toegankelijk zijn.

Draadloze netwerken vormen een essentieel onderdeel van de communicatie-infrastructuur, maar brengen ook specifieke risico's met zich mee. In een veilige netwerkarchitectuur wordt daarom gekozen voor WPA3-Enterprise met 802.1X-authenticatie op basis van certificaten of sterk beheerde inloggegevens. Dit zorgt ervoor dat alleen geautoriseerde apparaten en gebruikers toegang krijgen en dat versleuteling op een hoog niveau is geborgd. Gastgebruikers krijgen toegang tot een volledig gescheiden gastomgeving die alleen naar het internet uitgaand verkeer toestaat en geen toegang biedt tot interne systemen of beheerdiensten. Voor gevoelige omgevingen kan worden overwogen om draadloze toegang te beperken of aanvullende detectiemiddelen in te zetten die ongeautoriseerde access points en clients signaleren.

Servicecontinuïteit is een integraal onderdeel van de netwerkarchitectuur. Dit betekent dat kritieke onderdelen, zoals internetkoppelingen, kernrouters, firewalls en draadloze controllers, redundant worden uitgevoerd. Idealiter wordt gebruikgemaakt van twee onafhankelijke internetproviders, redundante koppelingen naar datacenters en een hoge beschikbaarheidsopstelling voor firewalls. De netwerkontwerpers zorgen voor gescheiden paden door het netwerk, zodat een fysieke kabelbreuk of verstoring in één traject niet direct leidt tot uitval van de hele dienst. Automatisch failover-mechanismen worden uitgebreid getest, zodat de organisatie er niet pas tijdens een incident achter komt dat een schakel nog onjuist is geconfigureerd.

Effectief netwerkbeheer en -bewaking vormen de ruggengraat van een secure network architecture. Alle belangrijke componenten worden centraal beheerd via beveiligde beheersystemen, waarbij configuratiewijzigingen alleen volgens een vastgesteld changeproces worden doorgevoerd. Configuraties worden regelmatig geback-upt en op een veilige locatie opgeslagen, zodat herstel na een storing snel mogelijk is. Tegelijkertijd wordt uitgebreide monitoring ingericht: NetFlow-gegevens geven inzicht in patroonveranderingen in het verkeer, SNMP-gegevens tonen de gezondheid en belasting van apparaten, en syslog-berichten worden centraal verzameld in een SIEM-platform. Door slimme detectieregels en use-cases te definiëren, kan het securityteam afwijkingen vroegtijdig signaleren, bijvoorbeeld plotselinge datastromen naar onbekende externe adressen of ongebruikelijke beheeractiviteiten buiten kantoortijden.

Tot slot is het cruciaal dat de netwerkarchitectuur niet als een eenmalig project wordt benaderd, maar als een doorlopend verbeterproces. Nieuwe diensten, cloudkoppelingen en samenwerkingen met externe partijen brengen telkens nieuwe communicatiestromen met zich mee. Deze moeten vooraf worden beoordeeld op risico's en zorgvuldig worden ingepast in de bestaande segmentatie en beveiligingsmaatregelen. Door periodiek architectuurreviews, penetratietesten en configuration baselines uit te voeren, blijft de organisatie aantoonbaar in control over haar communicatienetwerk en voldoet zij aan relevante normen zoals de BIO, NIS2 en het ISM.

Conclusie

De ISM Communications Infrastructure-richtlijn helpt Nederlandse overheidsorganisaties om hun netwerk niet langer als een homogene, kwetsbare laag te zien, maar als een zorgvuldig ontworpen beveiligings- en continuïteitsfundament. Door logische segmentatie, een streng en goed onderbouwd firewallbeleid, veilige draadloze toegang op basis van WPA3-Enterprise en 802.1X, en redundante verbindingen met automatische omschakeling, wordt de impact van aanvallen en verstoringen substantieel beperkt. In combinatie met doordachte beheerprocessen en continue monitoring via NetFlow, SNMP en een centraal SIEM ontstaat een netwerk dat afwijkingen tijdig signaleert en waarop de organisatie kan vertrouwen tijdens crises. Hoewel de implementatie inspanning en investering vraagt, levert een goed ingerichte netwerkarchitectuur aantoonbare meerwaarde op voor de beschikbaarheid, integriteit en vertrouwelijkheid van vitale overheidsdiensten.

Executive Aanbevelingen
  • Richt een duidelijke netwerksegmentatie in waarbij werkplekken, servers, beheeromgevingen en internetgerichte systemen strikt van elkaar worden gescheiden.
  • Voer een modern firewallbeleid in met een deny-by-default-principe en beperk communicatie tussen segmenten tot aantoonbaar noodzakelijke stromen.
  • Implementeer WPA3-Enterprise met 802.1X-authenticatie voor alle interne draadloze netwerken en zorg voor een volledig gescheiden gastomgeving.
  • Realiseer redundante internetkoppelingen, kernrouters en firewalls met automatisch failover om de beschikbaarheid van kritieke diensten te waarborgen.
  • Organiseer centrale netwerkmonitoring en loganalyse in een SIEM en laat minimaal elk kwartaal een technische en procesmatige beoordeling van de netwerkbeveiliging uitvoeren.
ISM Network Security Wireless Security