Wat is een Bastion Host?
Een Bastion Host is een speciaal beveiligde server die dient als toegangsportaal tot een intern netwerk. Het fungeert als een gecontroleerd toegangspunt tussen een onveilig netwerk (bijv. internet of IT) en een beveiligd OT-netwerk, en wordt vaak gebruikt voor beheer op afstand.
In OT-omgevingen voorkomt een bastion host directe toegang tot PLC, SCADA of Engineering Station vanuit onbeveiligde Zone.
🧠 Hoe werkt een Bastion Host?
- Externe gebruiker logt in op de Bastion Host
- Authenticatie en controle
- Vaak met MFA, Access Control, Audit Logging
- Toegang tot interne systemen
- Bastion host maakt verbinding met OT-resources namens de gebruiker
Belangrijke functies:
- Eén enkel toegangspunt voor beheer
- Geïsoleerd van andere systemen
- Volledige monitoring en logging mogelijk
- Vaak “hardened” OS zonder onnodige services
Denk aan een bastion host als een digitale beveiligingssluis tussen IT en OT.
🏭 Gebruik van Bastion Hosts in OT-netwerken
- Toegangscontrole tot Jump Server of Engineering Station
- Externe onderhoudspartijen loggen eerst in op bastion vóór toegang tot OT
- Remote Access met volledige sessieregistratie en Anomaliedetectie
- Gedeelde toegang met RBAC voor auditeerbare sessies
- Plaatsing in de IDMZ tussen IT en OT (volgens Purdue Model)
Bastion Hosts zijn cruciaal voor het afdwingen van Zero Trust Access in OT-omgevingen.
🔍 Bastion Host vs. Jump Server
| Aspect | Bastion Host | Jump Server |
|---|---|---|
| Doel | Veilig toegangsportaal | Toegangsbrug tussen zones |
| Beveiliging | Verhoogd (gehard, minimaal attack surface) | Afhankelijk van implementatie |
| Logging & audit | Standaard inbegrepen | Optioneel |
| Gebruik in OT | Front-end toegangspunt voor externe connecties | Interne brug tussen OT-segmenten |
🔐 Beveiligingsaspecten
- MFA vereist voor inloggen op de bastion host
- SIEM-integratie voor realtime monitoring
- Alleen toegang via whitelisted IP’s en poorten
- Regelmatig geüpdatet en gepatcht
- Firewall-regels beperken verkeer tussen bastion en OT
- Volledige sessielogging en opname voor compliance
Een bastion host is effectief als het strak beheerd, beperkt toegankelijk en goed gemonitord is.
📌 Samengevat
Een Bastion Host is een kritieke component in een OT-beveiligingsarchitectuur, en biedt gecontroleerde, logbare en veilige toegang tot interne systemen. Het voorkomt directe verbindingen en versterkt Toegangsbeheer op een centrale plek.