Nettverkssikkerhet: Perimeteren er død, lenge leve perimeteren

Tenk selv, idiot! Nettverkssikkerhet pleide å være enkelt: hardt skall, mykt inni. Brannmur holder dårlige gutter ute, alt inne er betrodd. Det var alltid fantasi, men det var behagelig.

Hack23s tilnærming til nettverkssikkerhet bygger på zero-trust-prinsipper implementert gjennom AWS sky-infrastruktur. Vi antar at perimeteren allerede er kompromittert, og derfor designer vi sikkerheten vår i lag.

AWS Zero-Trust Arkitektur

Nettverkssikkerheten vår er implementert gjennom:

• CloudFront + WAF: DDoS-beskyttelse og applikasjonslag filtrering
• GuardDuty: Trusselsdeteksjon basert på VPC Flow Logs, DNS-logger og CloudTrail-hendelser
• Security Hub: Sentralisert sikkerhetsovervåking og compliance
• VPC Flow Logs: Nettverkstrafikanalyse for anomalideteksjon
• Multi-region deployment: eu-west-1 (primær), eu-central-1 (backup)

Nøkkelprinsipper

• Anta brudd: Design under antagelse om at angripere allerede er inne
• Zero trust: Stol på ingenting, verifiser alt
• Segmentering: Isoler systemer og tjenester
• Kryptering: TLS 1.2+ for all trafikk
• Overvåking: Sanntids trusselsdeteksjon

For mer detaljert informasjon, se den engelske versjonen av denne policyen.

ISO 27001:2022 Mapping

A.8.20: Network Security | A.8.21: Security of network services | A.8.22: Segregation of networks

NIST CSF 2.0: PR.AC-5 (Network segmentation), DE.CM-1 (Network monitoring)

CIS Controls v8.1: 12 (Network Infrastructure Management), 13 (Network Monitoring and Defense)