Netwerksegmentatie is een van de meest effectieve maatregelen om de impact van een cyberaanval in industriële omgevingen te beperken. Toch werken veel OT-netwerken nog als een plat netwerk waar IT, OT en soms zelfs het internet aan hetzelfde segment hangen. In dit artikel leggen we uit hoe segmentatie werkt en hoe u het toepast conform IEC 62443.

Kernprincipe: Bij netwerksegmentatie verdeelt u het netwerk in zones met elk een eigen beveiligingsniveau. Communicatie tussen zones verloopt via gecontroleerde conduits (gedefinieerde verbindingspaden).

Het Purdue-model als basis

Het Purdue Enterprise Reference Architecture-model (ook wel Purdue-model) is de standaardreflerentie voor het structureren van industriële netwerken. Het definieert lagen van het fysieke proces tot het bedrijfsnetwerk:

L0

Fysiek proces
(sensoren, actuatoren)

L1

Besturing
(PLC's, RTU's)

L2

Supervisie
(HMI, SCADA)

L3

Operations
(MES, historici)

DMZ

IT/OT-grens
(firewalls, proxies)

L4-5

Enterprise IT
(ERP, e-mail, internet)

Zones en conduits (IEC 62443)

IEC 62443-3-2 beschrijft het concept van zones en conduits:

  • Zone: een logische groepering van assets met hetzelfde beveiligingsniveau (Security Level). Bijvoorbeeld: alle PLC's van productielijn A vormen samen een zone.
  • Conduit: een gedefinieerd communicatiepad tussen twee zones. Elk conduit wordt gecontroleerd door firewalls, access control lists of data diodes.

Het doel is om bij een compromittatie de schade te beperken tot een enkele zone en laterale beweging van aanvallers te blokkeren.

Praktische aanpak in 5 stappen

  1. Inventariseer alle assets en datastromen — u kunt niet segmenteren wat u niet kent
  2. Definieer zones — groepeer assets op basis van functie, locatie en vereist beveiligingsniveau
  3. Bepaal Security Levels per zone — SL-1 (basis) tot SL-4 (bescherming tegen statelijke actoren)
  4. Ontwerp conduits — bepaal welke communicatie nodig is tussen zones en beperk al het andere
  5. Implementeer en monitor — firewalls, VLAN's, data diodes en netwerk-detectie

Veelgemaakte fouten

  • Alleen een firewall tussen IT en OT plaatsen — intern moet het OT-netwerk ook gesegmenteerd zijn
  • VLAN's zonder ACL's — een VLAN zonder access control is geen echte segmentatie
  • Uitzonderingen voor leveranciers — VPN-toegang voor onderhoud mag nooit rechtstreeks naar het OT-netwerk gaan
  • Segmentatie als eenmalig project — netwerken veranderen, segmentatie moet meegroeien

Let op: Bij segmentatie-projecten in bestaande OT-omgevingen is een uitgebreide impact-analyse essentieel. Verkeerde firewallregels kunnen productieprocessen stilleggen.

Hulp nodig bij netwerksegmentatie?

Resotech ontwerpt en implementeert segmentatieplannen conform IEC 62443 voor industriële omgevingen. Zonder productieonderbreking.

Plan een gesprek   Gratis OT-scan