Secure Communication & Network Architecture
Context
TrailBlaze Adventures is een internationale aanbieder van outdoor- en adventure-activiteiten. De organisatie gebruikt een moderne digitale infrastructuur met cloud-native applicaties, mobiele apps, IoT-apparatuur, analytics, betaalsystemen, sociale media koppelingen en externe leveranciers.
Jullie zijn ingehuurd als cybersecurity consultants om een veilige communicatie- en netwerkarchitectuur te ontwerpen voor TrailBlaze.
Leerdoelen
- Netwerksegmentatie ontwerpen.
- Communicatiebeveiliging toepassen.
- Netwerkrisico's analyseren.
- Security controls selecteren en onderbouwen.
- Een professionele security architectuur visualiseren.
- Security maatregelen koppelen aan concrete dreigingen.
Deliverable
Maak een professionele architectuurplaat waarin alle onderdelen van de TrailBlaze infrastructuur voorkomen. De architectuurplaat moet worden voorzien van een toelichtend rapport.
Architectuurplaat
Laat netwerksegmenten, datastromen, security maatregelen en vertrouwenszones duidelijk zien.
Toelichtend rapport
Onderbouw keuzes, risico's, maatregelen en plaatsing van controls.
Onderzoek
Onderzoek zelfstandig technische details van geselecteerde security measures.
Opdrachtdeel 1 – Analyse van de omgeving
Bestudeer de aangeleverde TrailBlaze Digital Infrastructure. Beschrijf minimaal de volgende gebruikersgroepen:
- Klanten
- Gidsen
- Systeembeheerders
- Data-analisten
- Helpdeskmedewerkers
- Marketingmedewerkers
- Externe leveranciers
- Cloud engineers
Beschrijf per gebruikersgroep welke systemen zij gebruiken, welke gegevens zij verwerken, welke rechten zij nodig hebben en vanuit welke locatie zij werken.
Opdrachtdeel 2 – Netwerkzones ontwerpen
Maak een logisch netwerkontwerp met minimaal deze zones:
Internet Zone
Publiek internet en externe toegang.
DMZ
Publieke systemen zoals webserver, API gateway, reverse proxy en load balancer.
Internal Network
Interne bedrijfsdiensten.
Management Network
Beheeromgeving voor beheerders en cloud engineers.
Database Network
Databases en gevoelige opslag.
Analytics Network
Data Lake en analytics platform.
IoT Network
GPS trackers, SOS devices en sensoren.
Guest Network
Netwerk voor bezoekers, gescheiden van interne systemen.
Cloud Network
AWS/Azure omgeving met private subnets, security groups en logging.
Opdrachtdeel 3 – Risicoanalyse
Voer een risicoanalyse uit met minimaal 15 risico's.
| Onderdeel | Beschrijving |
|---|---|
| Asset | Wat wordt beschermd? |
| Threat | Welke dreiging? |
| Vulnerability | Welke kwetsbaarheid? |
| Impact | Wat is het mogelijke gevolg? |
| Likelihood | Hoe waarschijnlijk is het risico? |
| Risk Score | Laag, middel of hoog. |
| Mitigation | Welke maatregel verlaagt het risico? |
Voorbeelden: ransomware, DDoS, man-in-the-middle, credential theft, rogue access point, insider threat, DNS poisoning, session hijacking, API abuse, IoT compromise, data exfiltration, privilege escalation, lateral movement, supply chain attack en cloud misconfiguration.
Opdrachtdeel 4 – Security Architecture
Voeg security maatregelen toe aan jullie architectuur. Teken ze op de juiste plaats in het netwerk. Beschrijf voor iedere maatregel:
- Waar wordt deze geplaatst?
- Waarom daar?
- Tegen welke dreigingen beschermt deze?
Verplichte Security Measures
Gebruik minimaal 25 maatregelen uit onderstaande lijst.
- Next Generation Firewall (NGFW)
- Web Application Firewall (WAF)
- DDoS Protection
- Reverse Proxy
- API Gateway
- VLAN Segmentation
- DMZ
- Micro-segmentation
- Private Subnets
- Network Access Control (NAC)
- Security Groups
- Network ACLs
- Least Privilege Access
- Role Based Access Control (RBAC)
- Privileged Access Management (PAM)
- WPA3 Enterprise
- 802.1X Authentication
- RADIUS Server
- Rogue AP Detection
- Guest WiFi Isolation
- TLS 1.3
- IPsec VPN
- Site-to-Site VPN
- SSH
- Secure DNS / DNSSEC
- IDS
- IPS
- Security Information and Event Management (SIEM)
- Security Operations Center (SOC)
- NetFlow Monitoring
- Mobile Device Management (MDM)
- Endpoint Detection & Response (EDR)
- IoT Device Authentication
- Device Certificates
- Cloud Security Groups
- Zero Trust Access
- Bastion Host
- Cloud Logging
- Backup Network
- Redundant Firewalls
- High Availability VPN
- Disaster Recovery Site
Opdrachtdeel 5 – Onderzoek Security Controls
Iedere groep kiest 10 maatregelen uit de lijst en onderzoekt per maatregel:
- Wat is het?
- Hoe werkt het technisch?
- Waar wordt het toegepast binnen de TrailBlaze architectuur?
- Welke aanval wordt voorkomen of beperkt?
- Wat zijn de beperkingen?
Opdrachtdeel 6 – Security Operations Center
Ontwerp een SOC voor TrailBlaze. Beschrijf welke bronnen logs leveren, welke detecties plaatsvinden en welke acties het SOC uitvoert.
Logbronnen
Firewalls, VPN, servers, cloud, databases, IoT devices, mobile apps.
Detecties
Brute force, VPN abuse, malware, data exfiltration, DDoS, privilege escalation, rogue AP detection.
Acties
Analyse, incident response, containment en recovery.
Opdrachtdeel 7 – Architectuurdiagram
Het einddiagram bevat minimaal:
- Gebruikers: klanten, gidsen, medewerkers en beheerders.
- Zones: Internet, DMZ, Cloud, Internal Network, IoT Network, Analytics Network en Management Network.
- Security controls: minimaal 25.
- Monitoring: IDS, IPS, SIEM en SOC.
- Communicatiebeveiliging: TLS, VPN, WPA3 en RADIUS.
- Segmentatie: VLAN's, Security Groups en ACL's.
Bonusopdracht – Zero Trust
Ontwerp de architectuur volgens een Zero Trust model. Beschrijf authenticatie, autorisatie, apparaatvalidatie, micro-segmentatie en continue verificatie.
Beoordelingscriteria
| Onderdeel | Weging |
|---|---|
| Architectuurkwaliteit | 25% |
| Risicoanalyse | 20% |
| Correct gebruik security controls | 20% |
| Technische onderbouwing | 15% |
| SOC ontwerp | 10% |
| Presentatie & visualisatie | 10% |
Eindresultaat
Een professioneel beveiligingsontwerp dat vergelijkbaar is met een high-level enterprise network security architecture zoals gebruikt wordt door cloud-native organisaties. Het ontwerp laat zien hoe Communication & Network Security uit CISSP Domain 4 in de praktijk wordt toegepast.