IP-allowlisting is een beveiligingsmechanisme dat de toegang tot netwerken, systemen of applicaties beperkt op basis van goedgekeurde IP-adressen(nieuw venster). Alleen IP-adressen op de allowlist mogen verbinding maken, terwijl alle andere de toegang wordt geweigerd. Deze methode wordt doorgaans toegepast door IT-beheerders om de netwerkbeveiliging van een organisatie te verbeteren door alleen vertrouwde IP-adressen toe te staan te communiceren met de bronnen van de organisatie.

Hoewel dit lang bekend stond als IP-whitelisting, geven we de voorkeur aan de term allowlisting, omdat deze beschrijvender en cultureel neutraal is. Zoals we later in dit artikel zullen bespreken, kunnen klanten van Proton VPN for Business de IT-bronnen van hun bedrijf beveiligen door de IP-adressen van toegewijde VPN-servers die alleen toegankelijk zijn voor geautoriseerd personeel te allowlisten (whitelisten).

In dit artikel kijken we naar:

Wat is een IP-adres?

Een Internet Protocol (IP)-adres is een computervriendelijk numeriek label dat elk apparaat dat rechtstreeks verbinding maakt met het internet op unieke wijze identificeert (dus als u verbinding maakt met het internet via een wifi-verbinding, is uw IP-adres dat van de modem/router waarmee u via wifi verbinding maakt, in plaats van uw apparaat zelf).

IP-adressen werken net als postadressen, waardoor datapakketten hun juiste bestemming kunnen bereiken.

Meer informatie over IP-adressen(nieuw venster)

Met betrekking tot IP-allowlisting (IP-whitelisting) is de eerste van deze functies het meest relevant — het uniek identificeren van een internetverbinding. IP-adressen worden meestal toegewezen door uw internetprovider(nieuw venster) (ISP).

Hoe werkt IP-allowlisting?

IP-allowlisting (IP-whitelisting) is de praktijk waarbij alleen specifieke IP-adressen verbinding mogen maken met een IT-bron van een bedrijf, zoals een gatewayserver die de toegang tot een lokaal kantoornetwerk (LAN) regelt, of een online software as a service (SaaS)-platform. Alle andere verbindingen worden geweigerd.

Het is de spiegel van blocklisting (ook wel blacklisting genoemd), wat verbindingen toestaat vanaf elk IP-adres dat niet specifiek is geblokkeerd. Voorbeelden van hoe IP-allowlisting wordt gebruikt om de bedrijfsbeveiliging te verbeteren, zijn:

  • Toegang op afstand: Het beperken van VPN- of extern bureaublad-toegang tot specifieke IP-adressen zorgt ervoor dat alleen bekende en vertrouwde apparaten verbinding kunnen maken met uw bedrijfsbronnen.
  • Webapplicaties: Het beperken van toegang tot administratieve interfaces of API’s tot een set bekende IP-adressen helpt ongeautoriseerde toegang te voorkomen.
  • Databaseservers: Door ervoor te zorgen dat alleen applicatieservers binnen een specifiek IP-bereik verbinding kunnen maken met de databaseserver, wordt het risico op gegevensschendingen verminderd.
  • E-mailservers: Het alleen toestaan van e-mail-relaying vanaf specifieke IP-adressen helpt ongeautoriseerd gebruik te voorkomen en spam te verminderen.

Voordelen van IP-allowlisting

Bedrijven gebruiken IP-allowlisting (IP-whitelisting) om netwerk- en cloudbeveiliging te verbeteren door de toegang tot bedrijfsbronnen te beperken tot alleen personeelsleden die verbinding maken vanaf geautoriseerde IP-adressen. IP-allowlisting biedt de volgende voordelen:

Toegangscontrole

Door expliciet te definiëren welke IP-adressen verbinding kunnen maken met een netwerk, server of applicatie, hebben beheerders nauwkeurige controle over wie toegang heeft tot specifieke bronnen. Dit helpt ervoor te zorgen dat alleen vertrouwde gebruikers of systemen toegang hebben.

Verminderd aanvalsoppervlak

Het beperken van toegang tot een bekende set IP-adressen minimaliseert het aantal potentiële aanvalsvectoren. Dit maakt het moeilijker voor kwaadwillenden om kwetsbaarheden te misbruiken, omdat ze eerst de allowlist moeten omzeilen.

Eenvoudig te implementeren

IP-allowlisting is eenvoudig te implementeren en te configureren. De meeste firewalls, routers en webservers ondersteunen IP-allowlisting via toegangscontrolelijsten(nieuw venster) (ACL’s) of vergelijkbare mechanismen.

Verbeterde monitoring en auditing

Met IP-allowlisting (IP-whitelisting) wordt het eenvoudiger om toegangspogingen te monitoren en te loggen. Elke toegangspoging vanaf een niet-geallowlist IP kan worden gemarkeerd en onderzocht, wat waardevolle gegevens oplevert voor beveiligingsaudits en incidentrespons.

Compliance

Veel sectoren zijn onderworpen aan wettelijke vereisten die strikte toegangscontroles voorschrijven. IP-allowlisting kan organisaties helpen aan dergelijke voorschriften te voldoen door ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot gevoelige gegevens of systemen.

Bescherming tegen DDoS-aanvallen

IP-allowlisting kan het risico op distributed denial-of-service(nieuw venster) (DDoS)-aanvallen beperken door alleen legitiem verkeer van geallowliste IP’s toe te staan. Dit helpt de beschikbaarheid en prestaties van kritieke diensten te behouden.

Verbeterde netwerkprestaties

Door de toegang te beperken tot een beperkte set IP-adressen, kan netwerkverkeer efficiënter worden beheerd en gefilterd, wat mogelijk de algehele netwerkprestaties verbetert.

Kosteneffectief

Vergeleken met andere beveiligingsmaatregelen is IP-allowlisting (IP-whitelisting) een kosteneffectieve manier om een extra beveiligingslaag toe te voegen. Het vereist geen dure hardware of software en kan worden beheerd met bestaande netwerkinfrastructuur.

Schaalbaarheid

IP-allowlisting kan eenvoudig worden geschaald om groeiende netwerken aan te kunnen. Nieuwe IP-adressen kunnen naar behoefte aan de whitelist worden toegevoegd, zodat legitieme gebruikers toegang blijven houden terwijl de beveiliging gehandhaafd blijft.

Nadelen van IP-allowlisting

Hoewel het enkele duidelijke beveiligingsvoordelen biedt, hebben traditionele maatregelen voor IP-allowlisting (IP-whitelisting) enkele potentiële nadelen. Zoals we hieronder zullen bespreken, kunnen veel van deze nadelen echter worden overwonnen met dedicated IP-adressen van Proton VPN for Business.

Onderhoudsoverhead

Het bijhouden van een actuele allowlist kan tijdrovend en arbeidsintensief zijn. Aangezien de IP-adressen van gebruikers veranderen (vooral als ze dynamische IP-adressen gebruiken), moet de whitelist regelmatig worden bijgewerkt om deze wijzigingen weer te geven.

Beperkte flexibiliteit

IP-allowlisting (IP-whitelisting) kan beperkend zijn voor gebruikers die toegang nodig hebben tot bronnen vanaf meerdere locaties, zoals externe werknemers, mobiele gebruikers of werknemers die vaak reizen. Elke nieuwe locatie kan een update van de whitelist vereisen.

Schaalbaarheid

De mogelijkheid om naar behoefte IP-adressen aan de allowlist toe te voegen kan een voordeel zijn, maar naarmate het aantal gebruikers of IP-adressen dat geallowlist moet worden groeit, kan het beheren van de allowlist omslachtig worden. Dit is vooral een uitdaging in grote organisaties met veel gebruikers en apparaten.

Moeilijkheden met dynamische IP-adressen

Veel mensen, vooral degenen die residentiële ISP’s gebruiken, hebben dynamische IP-adressen die kunnen veranderen. Dit vereist constante updates van de allowlist, wat onpraktisch en foutgevoelig kan zijn.

Configuratiefouten

Het handmatig beheren van een allowlist verhoogt het risico op configuratiefouten. Het per ongeluk uitsluiten van een legitiem IP-adres kan voorkomen dat uw team toegang krijgt tot noodzakelijke bronnen, terwijl het per ongeluk opnemen van een ongeautoriseerd IP-adres beveiligingslekken kan creëren.

Beperkte bescherming

IP-allowlisting (allowlisting) controleert de toegang alleen op basis van IP-adressen. Het beschermt niet tegen bedreigingen die afkomstig zijn van geallowliste IP’s, zoals gecompromitteerde apparaten of interne bedreigingen. Aanvullende beveiligingsmaatregelen zijn nodig om deze risico’s aan te pakken.

Gebruiksvriendelijkheidsuitdagingen

Voor eindgebruikers kan IP-allowlisting uitdagingen op het gebied van gebruiksvriendelijkheid creëren. Legitieme gebruikers kunnen worden geblokkeerd als hun IP-adres verandert of als ze proberen toegang te krijgen tot bronnen vanaf een niet-geallowliste locatie. Dit kan leiden tot frustratie en de productiviteit belemmeren.

Reizen

Gebruikers die tijdens internationale reizen toegang tot bronnen nodig hebben, kunnen toegangsproblemen ondervinden door wijzigingen in IP-adressen. Het bijwerken van de allowlist om nieuwe internationale IP-adressen op te nemen kan traag en moeilijk zijn.

Toegevoegde netwerkcomplexiteit

Het implementeren van IP-allowlisting kan complexiteit toevoegen aan netwerkconfiguratie en -beheer. Netwerkbeheerders moeten regels voor allowlisting zorgvuldig plannen en implementeren, wat probleemoplossing en netwerkontwerp kan compliceren.

Vals gevoel van veiligheid

Alleen vertrouwen op IP-allowlisting (IP-whitelisting) kan een vals gevoel van veiligheid geven. Hoewel het een extra verdedigingslaag biedt, moet het deel uitmaken van een bredere, meerlaagse beveiligingsstrategie die firewalls, versleuteling, authenticatie en andere beveiligingsmaatregelen omvat.

Proton VPN dedicated IP’s

Een robuuste oplossing voor veel van de bovenstaande nadelen is het huren van toegewijde servers(nieuw venster) met vaste IP-adressen van Proton VPN. Dit zijn VPN-servers waartoe alleen uw geautoriseerde personeel toegang heeft. U allowlist vervolgens alleen de IP-adressen van deze servers, waardoor uw personeel veilige gesegmenteerde toegang heeft tot de kantoor-LAN’s van uw bedrijf en SaaS-, CaaS-, PaaS- en IaaS-(nieuw venster)bronnen.

Hoe dedicated IP-adressen werken

Meer informatie over toegewijde servers en IP-adressen (nieuw venster)

Dit pakt veel (zo niet alle) nadelen aan die geassocieerd worden met meer traditionele benaderingen van IP-allowlisting.

Eenvoudig onderhoud en configuratie

Uw bedrijf hoeft alleen de IP-adressen te allowlisten van dedicated servers die u van ons hebt gehuurd. Dit maakt ook gesegmenteerde toegang tot uw verschillende IT-bronnen mogelijk, aangezien u dedicated IP’s voor sommige bronnen kunt allowlisten, maar niet voor andere.

U beheert bijvoorbeeld een bedrijf dat drie dedicated serveradressen van Proton VPN huurt. Alle personeelsleden kunnen server #1 gebruiken om toegang te krijgen tot veelgebruikte IT-bronnen van het bedrijf, zoals uw CRM en samenwerkingsplatforms. Slechts enkele personeelsleden kunnen server #2 gebruiken, die need-to-know toegang biedt tot specifieke bedrijfsbronnen, en alleen senior personeelsleden hebben toegang tot server #3, waarmee ze personeelsbeheertools en andere gevoelige bronnen kunnen inzien.

Merk op dat toegang tot dedicated Proton VPN-servers sowieso veilig is, met volledige ondersteuning voor tweestapsverificatie(nieuw venster) (2FA) via een mobiele authenticatie-app of beveiligingssleutel. Maar het op deze manier allowlisten van IP’s biedt een extra beveiligingslaag.

Proton VPN for Business ondersteunt ook single sign on(nieuw venster) (SSO), waardoor het voor uw personeel eenvoudig is om veilig verbinding te maken met de IT-bronnen van het bedrijf die ze nodig hebben.

Beveiliging waarop u kunt vertrouwen

Proton VPN wordt vertrouwd door miljoenen bedrijven, journalisten, activisten en gewone mensen over de hele wereld om hen privé en veilig op internet te houden. Het is wat we doen. We gebruiken alleen de sterkste VPN-protocollen(nieuw venster) met hun beste versleutelingsalgoritmen(nieuw venster) om ervoor te zorgen dat de verbinding tussen de apparaten van uw personeelsleden en onze VPN-servers niet in gevaar kan worden gebracht, en monitoren onze bare metal-servers continu met volledige schijfversleuteling op potentiële problemen.

Uw personeel kan 2FA gebruiken om veilig toegang te krijgen tot uw dedicated gateways, en onze NetShield Ad-blocker(nieuw venster)-functie kan helpen uw apparaten vrij te houden van malware.

Overal toegang

Omdat u alleen de IP’s van uw dedicated VPN-servers hoeft te allowlisten, maakt het niet uit of uw personeel op afstand werkt of op reis is. Zolang ze geautoriseerd zijn om in te loggen op uw dedicated servers, hebben ze overal ter wereld toegang tot de bronnen die ze nodig hebben, ongeacht of hun eigen IP-adres verandert.

Leer hoe u IP-allowlisting gebruikt om uw IT-bronnen te beveiligen(nieuw venster)

Laatste gedachten:

IP-allowlisting (IP-whitelisting) kan een waardevolle beveiligingstool zijn, maar het is belangrijk om bewust te zijn van de beperkingen van traditionele methoden voor IP-allowlisting, en om het alleen te implementeren als onderdeel van een uitgebreide beveiligingsstrategie die een reeks potentiële bedreigingen en uitdagingen aanpakt.

Echter, het allowlisten van IP’s van dedicated servers van Proton VPN for Business biedt een extra beveiligingslaag voor de fysieke en online bronnen van uw bedrijf, en biedt een flexibele en moderne beveiligingsoplossing zonder de nadelen van meer traditionele IP-allowlisting.