Gateway Security

Web Proxies en Secure Web Gateways

📊 Operationeel 👥 Network Administrators, Security Engineers ⏱️ 27 min lezen
Shadow IT Discovery 23 Discovered 23 unsanctioned apps detected | Risk assessment | Usage analytics 23 Apps 8 High risk
Executive Summary

Webproxies en Secure Web Gateways vormen een cruciale verdedigingslaag voor Nederlandse overheidsorganisaties door al het webverkeer centraal te filteren, te inspecteren en te loggen. Zij combineren URL‑filtering, malwareanalyse, inspectie van versleuteld HTTPS‑verkeer en data‑loss‑prevention om gebruikers te beschermen tegen phishing, malware, kwaadaardige websites en ongeautoriseerde gegevensuitvoer. Door te kiezen voor een moderne architectuur, bijvoorbeeld een cloudgebaseerde Secure Web Gateway in combinatie met Microsoft Defender for Cloud Apps, ontstaat een schaalbare en beheersbare oplossing die zowel kantoorwerkplekken als thuiswerkers en mobiele gebruikers beschermt.

Webproxy en Secure Web Gateway: volledige beveiligingsfunctionaliteit

Een moderne webproxy vormt het centrale knooppunt waar al het uitgaande webverkeer van een organisatie doorheen gaat. Voor Nederlandse overheidsorganisaties is dit essentieel omdat medewerkers vanaf kantoor, thuis en onderweg voortdurend verbinding maken met cloudtoepassingen, websites en samenwerkingsplatformen. Zonder centrale sturing is het onmogelijk om grip te houden op welke data de organisatie verlaat, welke diensten worden gebruikt en aan welke dreigingen gebruikers worden blootgesteld. De webproxy en Secure Web Gateway lossen dit op door beleid centraal af te dwingen en alle websessies gedetailleerd te registreren.

De eerste bouwsteen is URL‑filtering. Websites worden continu geclassificeerd op basis van actuele dreigingsinformatie en duidelijke categorieën, zoals phishing, malware, adult‑content, gokken, sociale media of bestandsdeling. Op basis van deze classificatie definieert de organisatie beleid: bepaalde categorieën worden volledig geblokkeerd, andere worden alleen voor specifieke doelgroepen toegestaan of alleen tijdens kantooruren, en voor risicovolle sites kan eerst een duidelijke waarschuwing worden getoond. Daarnaast kunnen eigen blokkeer- en toestaan‑lijsten worden ingericht voor bijvoorbeeld specifieke leveranciersportalen of opleidingsomgevingen. Hierdoor ontstaat een voorspelbaar en uitlegbaar beleid dat goed te koppelen is aan BIO‑ en bedrijfsregels.

Naast URL‑filtering speelt malwarebescherming een centrale rol. Alle downloads kunnen automatisch worden gescand met meerdere antivirus‑engines en reputatiediensten in de cloud. Verdachte bestanden worden tijdelijk in quarantaine geplaatst zodat zij niet direct op werkplekken terechtkomen. Voor risicovolle bestanden, zoals uitvoerbare bestanden of Office‑documenten met macro's, kan een sandbox worden ingezet waarin het bestand in een gecontroleerde omgeving wordt “uitgevoerd”. Gedrag dat wijst op ransomware, credential‑diefstal of misbruik van kwetsbaarheden wordt daarmee vroegtijdig gedetecteerd, nog voordat het de infrastructuur van de organisatie bereikt.

Omdat het grootste deel van het webverkeer tegenwoordig is versleuteld, is inspectie van HTTPS‑verkeer een belangrijk aandachtspunt. De webproxy kan versleutelde sessies tijdelijk ontsleutelen, inspecteren op malware, datalekken en beleidsafwijkingen, en daarna opnieuw versleuteld naar het internet doorsturen. Dit vereist een zorgvuldig ingericht certificaat van de organisatie en goede communicatie met gebruikers. Tegelijkertijd moeten uitzonderingen worden gemaakt voor privacygevoelige websites, zoals internetbankieren of zorgportalen, waar inspectie om juridische en ethische redenen niet wenselijk is. Het is daarom belangrijk dat juridische, privacy- en securityteams gezamenlijk richtlijnen opstellen en deze keuzes goed documenteren.

Data‑loss‑prevention is een derde pijler. Via de webproxy kan worden gecontroleerd of medewerkers gevoelige gegevens proberen te uploaden naar onbeheerde cloudopslag, persoonlijke webmail of publieke bestandsdelingsdiensten. Denk aan documenten met persoonsgegevens, BSN's, financiële gegevens of vertrouwelijke aanbestedingsinformatie. Met DLP‑regels kan de organisatie dergelijke uploads blokkeren, de gebruiker direct informeren over het beleid en tegelijkertijd een melding sturen naar het security‑ of privacy‑team. Dit ondersteunt de naleving van de AVG en de BIO, en zorgt ervoor dat datalekken eerder worden voorkomen dan achteraf gemeld.

Webproxies en Secure Web Gateways bieden daarnaast steeds vaker applicatie‑bewust beleid. In plaats van alleen te kijken naar domeinnamen, herkent de oplossing concrete cloudtoepassingen en functionaliteiten. Zo kan bijvoorbeeld zakelijk gebruik van Microsoft 365 worden toegestaan, terwijl persoonlijke accounts of risicovolle functies, zoals ongecontroleerde bestandsdeling, worden beperkt. Via gedragsanalyse wordt zichtbaar welke nieuwe clouddiensten spontaan opduiken binnen de organisatie en welke daarvan mogelijk een risico vormen. Dit vormt de basis voor shadow‑IT‑detectie en een volwassen cloudgovernance‑proces.

Authenticatie en gebruikersherkenning zijn onmisbaar om fijnmazig beleid te kunnen toepassen. Integratie met Entra ID en bestaande identiteitsbronnen maakt het mogelijk om regels te koppelen aan afdelingen, functies of risicoprofielen. Verkeer van privileged‑accounts kan bijvoorbeeld extra streng worden ingeperkt en intensiever worden gelogd. Ook kan verkeer vanuit beheernetwerken anders worden behandeld dan verkeer vanaf kantoorwerkplekken of thuiswerkopstellingen. Door logging en rapportages slim in te richten ontstaat bovendien een rijke bron aan data voor audits, interne onderzoeken en continue verbetering van het beveiligingsbeleid.

Tot slot moet iedere organisatie een passende architectuur kiezen. Sommige organisaties gebruiken nog on‑premises proxies in de DMZ, die via browserinstellingen of PAC‑bestanden worden geconfigureerd. Steeds vaker wordt echter gekozen voor een cloudgebaseerde Secure Web Gateway waarbij een lichte agent op de eindpuntapparatuur het verkeer naar de dichtstbijzijnde beveiligingsnode stuurt. Dit sluit goed aan bij hybride werken en zorgt ervoor dat ook mobiele apparaten, thuiswerkplekken en externe leveranciers op een consistente manier worden beschermd. Ongeacht de gekozen variant staat één principe centraal: alle uitgaande webverbindingen lopen via een gecontroleerd en gemonitord punt, waardoor de organisatie daadwerkelijk regie voert over haar digitale toegang tot het internet.

Conclusie

Voor Nederlandse overheidsorganisaties zijn webproxies en Secure Web Gateways geen luxe, maar een basisvoorwaarde voor veilige en controleerbare toegang tot het internet. Door URL‑filtering, geavanceerde malwarebescherming, inspectie van versleuteld verkeer, data‑loss‑prevention en applicatiebewuste beleidsregels te combineren, ontstaat een krachtige verdedigingslinie tegen phishing, ransomware en ongeautoriseerde gegevensuitvoer. Cloudgebaseerde oplossingen sluiten goed aan bij hybride werken en maken het mogelijk om zowel kantoorwerkplekken als thuiswerkers en mobiele gebruikers uniform te beschermen. In combinatie met een Cloud Access Security Broker zoals Microsoft Defender for Cloud Apps krijgt de organisatie bovendien diepgaand inzicht in het gebruik van clouddiensten, inclusief shadow‑IT. Een structurele investering in een volwassen webproxy‑programma levert daardoor direct meetbare risicoreductie op en ondersteunt aantoonbare naleving van de BIO en de AVG.

Executive Aanbevelingen
  • Implementeer een centrale webproxy of Secure Web Gateway die al het uitgaande webverkeer van de organisatie filtert en logt.
  • Kies bij voorkeur een cloudgebaseerde Secure Web Gateway voor schaalbare bescherming van zowel kantoorwerkplekken als thuiswerkers en mobiele gebruikers.
  • Richt gecontroleerde HTTPS‑inspectie in zodat versleuteld verkeer op malware en datalekken kan worden gecontroleerd, met duidelijke uitzonderingen voor privacygevoelige websites.
  • Definieer DLP‑beleid dat het uploaden van gevoelige gegevens naar onbeheerde cloudopslag, persoonlijke webmail en publieke bestandsdelingsdiensten voorkomt.
  • Combineer de webproxy met een Cloud Access Security Broker om shadow‑IT te ontdekken en beleid af te dwingen op het gebruik van clouddiensten.
Web Proxy Secure Web Gateway URL Filtering Content Filtering