Veilige installatie

Netwerk- & Toegangsrichtlijn voor IKO

Waarom deze richtlijn

IKO ontsluit gegevens voor andere systemen. Omdat dit gevoelige informatie kan zijn, moet IKO altijd in een afgeschermde omgeving worden geplaatst en niet direct vanaf het publieke internet bereikbaar zijn.

Richtlijnen voor installatie en deployment

Bij het installeren of deployen van IKO, on-premise of in de cloud, gelden de volgende principes:

• Afgeschermde infrastructuur IKO draait in een privaat netwerksegment en is niet rechtstreeks bereikbaar vanaf het publieke internet. Alleen geautoriseerde systemen mogen via machine-to-machine verkeer toegang krijgen.

• Beheertoegang beperken De beheeromgeving is alleen toegankelijk voor gebruikers met beheerrechten. Toegang loopt via beveiligde beheerkanalen, is beperkt tot de groep die deze daadwerkelijk nodig heeft, en vereist altijd multi-factor authenticatie (MFA).

• Minimale toegang en least-privilege Systemen en gebruikers krijgen alleen de toegang die functioneel noodzakelijk is. Onnodige of verouderde toegangen worden verwijderd om de omgeving schoon en beheersbaar te houden.

• Voorkom onbedoelde externe blootstelling Controleer actief dat componenten niet per ongeluk extern bereikbaar worden (bijvoorbeeld via een publieke load balancer, ingress of cloud-service). IKO biedt standaard geen publieke endpoints.

• Gebruik van cloud-specifieke isolatiemiddelen In cloudomgevingen wordt IKO idealiter geplaatst in private subnets, interne clusters of private service-connecties. Identiteits- en netwerkgebaseerde restricties worden toegepast om toegang te reguleren.

• Inzicht en controle Basislogging en monitoring helpen om ongewenste toegang of configuratiefouten tijdig te signaleren.

Samengevat

IKO dient altijd te draaien binnen een afgeschermde infrastructuur, met strikt gecontroleerde toegang, MFA voor beheer, en zonder directe publieke blootstelling. De exacte technische invulling verschilt per omgeving, maar de bovenstaande principes vormen de basis voor een veilige installatie.