Netværkssikkerhed: Perimeteren er død, længe leve perimeteren

Tænk selv, idiot! Netværkssikkerhed plejede at være enkelt: hård skal, blød indeni. Firewall holder dårlige fyre ude, alt indenfor er betroet. Det var altid fantasi, men det var behageligt.

Hack23s tilgang til netværkssikkerhed bygger på zero-trust-principper implementeret gennem AWS cloud-infrastruktur. Vi antager, at perimeteren allerede er kompromitteret, og designer derfor vores sikkerhed i lag.

AWS Zero-Trust Arkitektur

Vores netværkssikkerhed er implementeret gennem:

• CloudFront + WAF: DDoS-beskyttelse og applikationslag filtrering
• GuardDuty: Trusselsdetektion baseret på VPC Flow Logs, DNS logs, og CloudTrail events
• Security Hub: Centraliseret sikkerhedsovervågning og compliance
• VPC Flow Logs: Netværkstrafikanalyse for anomalidetektion
• Multi-region deployment: eu-west-1 (primær), eu-central-1 (backup)

Nøgleprincipper

• Antag brud: Design under antagelse om, at angribere allerede er inde
• Zero trust: Tillid intet, verificer alt
• Segmentering: Isoler systemer og tjenester
• Kryptering: TLS 1.2+ for al trafik
• Overvågning: Real-time trusselsdetektion

For mere detaljeret information, se den engelske version af denne politik.

ISO 27001:2022 Mapping

A.8.20: Network Security | A.8.21: Security of network services | A.8.22: Segregation of networks

NIST CSF 2.0: PR.AC-5 (Network segmentation), DE.CM-1 (Network monitoring)

CIS Controls v8.1: 12 (Network Infrastructure Management), 13 (Network Monitoring and Defense)