Wat is een DMZ (Demilitarized Zone)?
Een DMZ (Demilitarized Zone) is een afgeschermd netwerksegment dat tussen een intern netwerk (zoals IT of OT) en een extern netwerk (zoals internet) ligt.
Het doel van een DMZ is om gevoelige systemen af te schermen en tegelijkertijd bepaalde diensten of systemen beveiligd toegankelijk te maken van buitenaf (bijv. voor Remote Access, data-uitwisseling of Monitoring).
🧱 Wat doet een DMZ?
Een DMZ:
- Isoleert externe toegang van het interne netwerk
- Beperkt risico’s bij een hack: aanvallers komen niet direct in het interne netwerk terecht
- Faciliteert gecontroleerde communicatie tussen IT en OT, of tussen internet en interne systemen
📦 Voorbeelden van systemen in een DMZ
| Systeem | Functie in de DMZ |
|---|---|
| Jump server | Gecentraliseerde toegang tot interne systemen |
| Data broker / proxy | Doorgeven van SCADA/MES-data aan externe partijen |
| Historian replicatie | Synchronisatie van procesdata naar IT of cloud |
| Remote access gateway | Beveiligde toegang voor leveranciers of onderhoudsteams |
| Webserver / API gateway | Publiceren van diensten zonder direct toegang tot interne systemen |
🔐 Hoe wordt een DMZ beveiligd?
- Firewalls aan beide zijden: één tussen DMZ ↔ internet, één tussen DMZ ↔ intern netwerk
- Whitelisting van verkeer: alleen specifiek toegestane communicatie
- Monitoring en logging: inspectie van toegang en gedrag binnen de DMZ
- Geen rechtstreekse verbindingen tussen internet en OT/SCADA-systemen
🔄 DMZ in industriële netwerken (Purdue model)
In een OT-omgeving bevindt de DMZ zich meestal tussen:
✅ Voordelen van een DMZ
- Verhoogt netwerksegmentatie en beveiliging
- Maakt veilige externe toegang mogelijk zonder interne risico’s
- Ondersteunt compliance (bijv. ISO 27001, IEC 62443)
- Beperkt schade bij een inbraak tot de DMZ-laag
📌 Samengevat
Een DMZ is een extra beveiligingslaag tussen het interne netwerk en de buitenwereld, die gecontroleerde toegang mogelijk maakt zonder directe blootstelling van kritieke systemen zoals SCADA of MES.