® 
Netwerksegmentatie
Definitie
Netwerksegmentatie is het opdelen van een computernetwerk in kleinere, geïsoleerde subnetten. Het beperkt de schade bij een inbraak: als een aanvaller een segment binnendringt, heeft hij geen directe toegang tot de rest van het netwerk.
Netwerksegmentatie is het opdelen van een computernetwerk in kleinere, gecontroleerde subnetten om de beveiliging te versterken en de impact van beveiligingsincidenten te beperken. Bij een inbraak heeft de aanvaller geen directe toegang tot het gehele netwerk. Volgens het IBM Cost of Data Breach Report 2024 besparen organisaties met effectieve netwerksegmentatie gemiddeld $1,3 miljoen per incident.
Hoe werkt netwerksegmentatie?
Netwerksegmentatie verdeelt het netwerk in zones met gecontroleerde toegangspunten ertussen. Verkeer tussen zones passeert firewalls of access control lists die bepalen welke communicatie is toegestaan. Het principe is dat alleen noodzakelijk verkeer tussen zones mag stromen, waardoor laterale beweging van aanvallers wordt bemoeilijkt.
Soorten netwerksegmentatie
VLAN-segmentatie verdeelt het netwerk in logische segmenten op Layer 2. Firewall-gebaseerde segmentatie plaatst firewalls tussen netwerksegmenten. DMZ (Demilitarized Zone) isoleert publiek toegankelijke diensten van het interne netwerk. Microsegmentatie is de meest geavanceerde vorm: elke individuele workload of applicatie heeft een eigen beveiligingsperimeter, onafhankelijk van de netwerklocatie. Dit is een kernprincipe van Zero Trust-architectuur.
Impact voor organisaties
Zonder segmentatie biedt een plat netwerk aanvallers vrij spel na een initiele compromittering. Ransomware-wormen zoals WannaCry en NotPetya konden zich snel verspreiden door gebrek aan segmentatie. NIS2 verplicht organisaties tot adequate netwerksegmentatie als onderdeel van technische beveiligingsmaatregelen. ISO 27001 stelt eisen aan netwerktoegangscontrole. DORA vereist segmentatie van kritieke financiele systemen.
Bescherming
Segmenteer minimaal: kantoor, servers, OT-systemen, gasten en management in aparte zones. Implementeer het principle of least privilege op netwerkniveau. Monitor verkeer tussen segmenten. Overweeg microsegmentatie voor kritieke workloads.
Hoe DEFION helpt
DEFION evalueert netwerksegmentatie als onderdeel van Security Assessments en pentests. Internal pentests testen of laterale beweging tussen segmenten mogelijk is. Het adviesteam helpt bij het ontwerpen van een effectieve segmentatiestrategie.