In Sachen IT-Sicherheit wird es immer unterschiedliche Meinungen geben. Ich hatte z.B. mal einen Kollegen, der der Meinung war, jeder Server muss in ein eigenes VLAN, so dass im Falle eines Falles keine Ausbreitung einer Infektion auf andere Rechner möglich sei. Das hört sich zunächst einmal gut an, jedoch wird das Setup bei vielen Servern schnell sehr komplex und die Firewall muss entsprechend sauber konfiguriert sein. Der Haken an der Sache war, dass die Config so komplex wurde, dass niemand außer ihm mehr verstanden hat, was denn nun wie geroutet wird und was nicht. Und ein Doppel-NAT mit zwei Routern kann sehr schnell in eine ähnliche Richtung laufen. Trotz aller Sicherheitsmaßnahmen, die gut und wichtig sind, sollte die Komplexität nicht zu hoch werden, da hier neue Fehlerquellen drohen, die das Gesamtsystem auch unsicherer machen können.
Deshalb bin ich da ganz bei @boba: Man sollte sich an die Best Practises halten und die Netze so gut es geht absichern, aber nicht durch wenige Einzelmaßnahmen, sondern jede einzelne Komponente betrachten und die nötigen Maßnahmen zur bestmöglichen Sicherheit ergreifen. Bei "normalen" Clients mit Windows, Linux usw. bedeutet das, dass sowohl Betriebssystem, Anwendungen, Treiber als auch Firmware/BIOS stets aktuell gehalten werden müssen. Damit verringert man die Gefahr eines Angriffs bereits deutlich, da Zero Days, welche noch nicht gepatcht wurden, eher wenig angegriffen werden, weil sich die Masse der Kriminellen auf die Ziele konzentriert, welche schnell viel Erfolg versprechen.
Bei anderen Clients wie Mobilgeräten, IoT-Devices usw. ist der Software-Support oft eher Mangelware. Solche Devices gehören stets vom "Produktiv-Netz" getrennt in eine separates Netz/VLAN, für welches strengere Firewall-Regeln gelten und eben kein Zugriff auf andere Netzbereiche gestattet wird. So kann man eine Ausbreitung einer Infektion weitestgehend verhindern.
Darüber hinaus gehören möglicherweise schwer beherrschbare Komponenten wie z.B. NAS-Appliances NIE aber auch GAR NIE direkt ins Internet, sprich keine Port-Weiterleitungen, Freigaben, Cloud-Anbindungen oder was auch immer. Diese Geräte erhalten Updates oft sehr zeitverzögert im Gegensatz zu "normalen" Linux-Distributionen. Zudem implementieren die Hersteller dieser Appliances ihre eigenen Dienste oft eher "quick and dirty". Sollte ein Zugriff auf solche Geräte von außen erforderlich sein, dann bitte ausschließlich eine entsprechend abgesicherte VPN-Verbindung. Und auch hier gibt es genügend Fallstricke, die man vermeiden sollte, wie z.B. IKEv1 mit dem Aggressive Mode ist nicht mehr state-of-the-art.
Man sollte in Sachen IT-Sicherheit stets selbst auf dem aktuellen Stand bleiben und seine Maßnahmen daran anpassen. Ich kenne auch Kollegen, die der Meinung sind, eine vor 15 Jahren (!) selbst aufgesetzte Linux-Firewall mit einem Uralt-SUSE-Linux 8.0 wäre noch heute "sicher", weil "Linux ja sicher ist". Denen kann ich leider auch nicht mehr helfen, die leben in ihrer eigenen Welt, die jedoch nichts, aber auch gar nichts mit der heutigen Realität zu tun hat.
