Microsegmentatie: denk klein!

Als je vandaag een nieuwe applicatie aansluit of een extra vestiging toevoegt, denk je waarschijnlijk na over netwerksegmentatie. De vraag is alleen of de manier waarop je segmenteert nog past bij wat je probeert te beschermen. De oplossing? Microsegmentatie.

Vrijwel elk netwerk heeft segmentatie. VLAN’s hier, een firewallregel daar, en ergens een diagram dat de architectuur goed weergeeft. Dat werkt meestal. Tot het netwerk verandert, het gebruik verschuift, of een incident ineens laat zien hoe breed sommige segmenten eigenlijk zijn. In de praktijk blijkt segmentatie vaak grover dan het op basis van het risicoprofiel zou moeten zijn. Terwijl dreigingen steeds specifieker worden, blijven netwerken opvallend vaak ingericht rond brede zones en vaste aannames over vertrouwen. Die spanning wordt vooral zichtbaar buiten het datacenter. Op vestigingsniveau, waar gebruikers, IoT, OT en cloudapplicaties samenkomen, lopen klassieke segmentatiemodellen tegen hun grenzen aan.

VLAN’s zijn niet meer genoeg

Het punt is namelijk dat VLAN’s zijn ontworpen voor overzicht en schaal, niet voor context. Ze delen een netwerk op in logische blokken, gebaseerd op locatie, functie of afdeling. Dat is prima, zolang alle systemen binnen zo’n blok vergelijkbare risico’s hebben en zich voorspelbaar gedragen. Maar dat is steeds minder vaak het geval:

• Werkplekken, printers, camera’s en SaaS-connectors delen hetzelfde VLAN omdat ‘dat zo gegroeid is’.
• Een applicatieomgeving is logisch gescheiden, maar gebruikers krijgen via VPN alsnog breed netwerktoegang.
• Nieuwe cloudapplicaties vereisen uitzonderingen op bestaande firewallregels, en zo verdwijnt langzaam het overzicht.

Het probleem zit niet in VLAN’s zelf, maar in het feit dat ze geen rekening houden met identiteit, gedrag of context. Alles binnen een VLAN wordt in principe vertrouwd, terwijl risico’s juist per device, per gebruiker of per applicatie verschillen.

Daar komt bij dat aanvallen zelden netjes binnen één zone blijven. Laterale beweging, privilege-escalatie en misbruik van legitieme accounts maken klassieke netwerkgrenzen poreus. Als één endpoint binnen een VLAN wordt gecompromitteerd, ligt de rest vaak open.

Microsegmentatie buiten het datacenter

Microsegmentatie wordt vaak geassocieerd met datacenters en cloudomgevingen, bijvoorbeeld bij workload-isolatie, east-west traffic control en software-defined networking. Maar hetzelfde principe is minstens zo relevant op vestigingsniveau. Daar verschuift de focus van de klassieke vraag waar iets zich in het netwerk bevindt naar wat het precies is en welke rol het vervult.

Niet de netwerkpoort of het VLAN is leidend, maar de identiteit van een gebruiker, device of applicatie. Wat mag dit systeem doen, met welke andere onderdelen mag het communiceren en onder welke voorwaarden is die toegang toegestaan? Context zoals locatie, status van het apparaat, authenticatie en gedrag weegt mee, waardoor toegang niet langer impliciet is, maar telkens opnieuw wordt afgedwongen.

In plaats van brede netwerkzones werk je met policies die verkeer toestaan op basis van identiteit, rol en context. Een werkplek krijgt dan niet ‘toegang tot het netwerk’, maar toegang tot specifieke diensten. Een camera mag alleen praten met zijn videoplatform. Een applicatiecomponent mag alleen communiceren met zijn backend, en zo voort.

Technisch kan dat op verschillende manieren:

• Network Access Control (NAC) op basis van device-identiteit en posture
• Host-based firewalls met centrale policy
• Software-defined networking in campus- of WAN-omgevingen
• Cloud-native policies die on-prem en cloud verbinden

Het belangrijke verschil met klassieke segmentatie is dat de scheiding niet meer primair aan de netwerklaag hangt, maar aan beleid.

Segmentatie op device-, rol- en applicatieniveau

En daarbij wordt microsegmentatie nog interessanter wanneer je verschillende invalshoeken combineert.

Device-niveau
Niet elk apparaat is gelijk. Een beheerde werkplek met EDR en actuele patches vormt een ander risico dan een IoT-sensor of een BYOD-apparaat. Door devices te classificeren en daar policies aan te koppelen, beperk je wat ze überhaupt mogen.

Rol-niveau
Gebruikers hebben verschillende verantwoordelijkheden. Iemand van finance heeft andere applicaties nodig dan iemand in productie. Segmentatie op rolniveau voorkomt dat netwerktoegang breder is dan functioneel noodzakelijk, ook als gebruikers van locatie wisselen.

Applicatieniveau
Steeds meer verkeer is applicatiegericht en versleuteld. Door policies te baseren op applicatie-identiteit in plaats van IP-adressen, sluit segmentatie beter aan bij moderne omgevingen. Dat geldt zowel voor on-prem applicaties als voor SaaS en cloud-native diensten.

De niveaus versterken elkaar. Een onbekend device met een geldige gebruikerslogin krijgt dan alsnog beperkte toegang. Een bekende werkplek buiten compliance valt automatisch in een restrictiever profiel.

De relatie met zero trust

Microsegmentatie is een praktisch onderdeel van zero trust-architecturen. Het uitgangspunt blijft hetzelfde: vertrouw niets impliciet, verifieer continu en beperk toegang tot wat strikt noodzakelijk is.

Terwijl zero trust vaak abstract blijft, maakt microsegmentatie het concreet. Policies worden afdwingbaar op netwerk- en applicatieniveau, ook buiten het datacenter. Dat betekent dat ‘binnen’ en ‘buiten’ steeds minder relevant worden. Het gaat dus om de context.

Een veelgehoorde zorg is dat fijnmazige segmentatie beheercomplexiteit toevoegt. En dat is inderdaad een risico, vooral als je microsegmentatie benadert als een technisch kunstje in plaats van als een architectuur.

Met de juiste segmentatie wordt het beheer juist overzichtelijker. Verkeersstromen liggen expliciet vast in beleid, waardoor duidelijk is welk verkeer wordt verwacht en welk niet. Afwijkingen vallen sneller op en zijn eenvoudiger te herleiden tot een specifieke oorzaak.

Tegelijk blijven incidenten beter afgebakend, omdat verstoringen of compromittering zich niet automatisch door grote delen van de omgeving kunnen verspreiden. De sleutel zit in zichtbaarheid en tooling.

Hoe ver ga je zonder het onnodig complex te maken?

Pas op met de verleiding om alles tegelijk te segmenteren. Dat werkt zelden. Effectieve microsegmentatie begint klein en groeit mee met inzicht.

Een paar praktische uitgangspunten:

• Start met de meest risicovolle assets of processen
• Segmenteer op basis van daadwerkelijk verkeer, niet op aannames
• Automatiseer waar mogelijk, handmatig beheer schaalt slecht
• Documenteer intentie, niet alleen regels

Belangrijker nog: microsegmentatie is geen project met een einddatum. Het is een structurele maatregel die meebeweegt met veranderingen in applicaties, werkvormen en dreigingen. Nieuwe vestiging? Nieuwe applicatie? Dan hoort segmentatie daar standaard bij, niet als sluitstuk, maar als ontwerpprincipe.

Van netwerkontwerp naar gedragsmodel

VLAN’s brengen vooral orde in infrastructuur, microsegmentatie over controle op gedrag. Dat vraagt een andere manier van denken. Minder focus op fysieke of logische grenzen, meer op context en intentie. Op vestigingsniveau is die verschuiving misschien wel het meest zichtbaar. Juist daar komen oude netwerkmodellen en nieuwe realiteit hard met elkaar in aanraking. Wie daar durft los te laten dat alles binnen één locatie vertrouwd is, zet een belangrijke stap. De bottom line: het netwerk wordt er niet simpeler van, maar wel een stuk realistischer.

Het bericht Microsegmentatie: denk klein! verscheen eerst op ChannelConnect.