Wat is een iDMZ?
Een iDMZ (Industrial Demilitarized Zone) is een beveiligde netwerkzone die functioneert als buffer tussen het kantoor-IT-netwerk en het productie-OT-netwerk. De iDMZ voorkomt dat directe communicatie tussen IT en OT mogelijk is, en controleert en beperkt de gegevensstromen tussen beide werelden.
De iDMZ is een essentieel onderdeel van een Defense in Depth-Architectuur in industriële netwerken.
🧠 Hoe werkt een iDMZ?
- De iDMZ is een tussenliggende netwerkomgeving die wordt afgeschermd door twee firewalls:
- Eén firewall tussen IT en iDMZ
- Eén firewall tussen OT en iDMZ
- Alleen gecontroleerde en gedefinieerde datastromen worden toegestaan via:
- Proxy’s
- Jump Servers
- Remote desktop RDP
- Historians
- Secure file transfer
- iDMZ’s ondersteunen unidirectionele communicatie, vaak via data diodes of gepaste filtering
Hiermee worden OT-systemen beschermd tegen malware, aanvallen en onbedoelde IT-invloed.
🏭 Toepassing van iDMZ in industriële netwerken
- Plaatsing van een Historian in de iDMZ voor data-uitwisseling met ERP/MES
- Gebruik van een Jump Server om OT-systemen vanaf IT-werkstations te beheren
- Centrale locatie voor Antivirus updates of Patchmanagement richting OT
- Externe leveranciers loggen in op iDMZ-servers, niet direct op OT-apparatuur
- SIEM-connectoren of Syslog forwarding van OT → iDMZ → IT/SOC
Een correct ingerichte iDMZ voorkomt laterale beweging van aanvallers tussen IT en OT.
🔍 Verschil tussen DMZ en iDMZ
| Aspect | DMZ (klassiek) | iDMZ (industriële toepassing) |
|---|---|---|
| Doel | Publieke services scheiden van intern netwerk | IT en OT-netwerken scheiden |
| Locatie | Tussen internet en intern netwerk | Tussen IT-netwerk en OT-netwerk |
| Voorbeelden | Webserver, mailserver | Historian, jump server, SIEM-collector |
| Beveiliging | Regelgebaseerd, vaak minder specifiek | Zeer strikt, met deep packet inspection en logging |
🔐 Beveiligingsaspecten
- iDMZ voorkomt directe verbinding tussen OT ↔ IT → minder risico op ransomwareverspreiding
- Combineer met Firewall, Netwerksegmentatie, Access Control, MFA
- Alleen noodzakelijke protocollen (bijv. HTTPS, OPC UA, Syslog) toegestaan
- Monitoring via Anomaliedetectie of SIEM noodzakelijk voor logging en forensics
- Ondersteunt IEC 62443, Zero Trust en NIS2-vereisten
Veel aanvallen in OT beginnen via IT → iDMZ → OT – segmentatie is cruciaal.
📌 Samengevat
Een iDMZ is een kritieke beveiligingszone die veilige gegevensuitwisseling mogelijk maakt tussen IT en OT, zonder directe koppeling. Het beschermt productieomgevingen tegen cyberrisico’s vanuit de kantooromgeving en externe toegang.