💼 Management Samenvatting
Azure Network Watcher moet ingeschakeld zijn in alle gebruikte Azure regio's om uitgebreide netwerkdiagnostiek, monitoring en probleemoplossing mogelijk te maken. Deze service vormt de basis voor effectief netwerkbeheer en beveiligingsmonitoring in cloudomgevingen.
Aanbeveling
IMPLEMENTEER NETWORK WATCHER
Risico zonder
Medium
Risk Score
5/10
Implementatie
1u (tech: 1u)
Van toepassing op:
✓ Azure
Azure Network Watcher biedt essentiële functionaliteiten voor netwerkmonitoring en probleemoplossing die onmisbaar zijn voor moderne cloudbeveiliging. De service maakt verkeerslogboekregistratie mogelijk voor gedetailleerde verkeersanalyse, waardoor organisaties volledig inzicht krijgen in al het netwerkverkeer dat door hun virtuele netwerken stroomt. Deze verkeerslogboekregistratie, ook wel flow logs genoemd, stelt beveiligingsteams in staat om elk pakket dat door hun netwerk stroomt te traceren, te analyseren en te categoriseren. Dit niveau van zichtbaarheid is essentieel voor het detecteren van verdachte activiteiten, het identificeren van potentiële beveiligingsdreigingen, en het uitvoeren van forensisch onderzoek na een beveiligingsincident. Zonder deze gedetailleerde loggingcapaciteiten opereren organisaties in feite blind, zonder inzicht in wat er gebeurt in hun netwerkinfrastructuur. Daarnaast biedt de service continue connectiviteitscontrole via connection monitor functionaliteiten, waardoor organisaties proactief problemen kunnen detecteren voordat ze impact hebben op gebruikers of services. Deze continue monitoring stelt organisaties in staat om netwerkproblemen te identificeren voordat gebruikers deze ervaren, waardoor de beschikbaarheid en betrouwbaarheid van services aanzienlijk wordt verbeterd. Tijdens beveiligingsincidenten stelt packet capture functionaliteit organisaties in staat om diepgaande netwerkanalyse uit te voeren, waardoor zij precies kunnen begrijpen wat er gebeurt in hun netwerk wanneer er een probleem of aanval plaatsvindt. Deze functionaliteiten zijn vereist voor Network Security Group flow logs en uitgebreide netwerkbeveiligingsmonitoring, waardoor organisaties hun netwerkverkeer kunnen monitoren, analyseren en beveiligen volgens Nederlandse beveiligingsstandaarden zoals de BIO-normen en CIS controls. Zonder Network Watcher beschikken organisaties niet over de fundamentele monitoringcapaciteiten die nodig zijn om te voldoen aan compliance-vereisten en om effectief te reageren op beveiligingsdreigingen.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Network
Connection:
Connect-AzAccountRequired Modules: Az.Network
Implementatie
Azure Network Watcher is een regionale service die netwerkmonitoring en diagnostische tools biedt voor virtuele netwerken in Azure. De service verzamelt en analyseert netwerkverkeerdata, stelt beheerders in staat om connectiviteitsproblemen te diagnosticeren en biedt inzicht in netwerkprestaties en beveiligingsgebeurtenissen. De service functioneert als een centrale hub voor alle netwerkgerelateerde monitoring en diagnostiek binnen een specifieke Azure-regio, waardoor organisaties een geïntegreerd overzicht krijgen van hun netwerkinfrastructuur. Network Watcher biedt verschillende kernfunctionaliteiten die essentieel zijn voor effectief netwerkbeheer, waaronder NSG Flow Logs voor gedetailleerde verkeersanalyse, Connection Monitor voor continue connectiviteitscontrole, Packet Capture voor diepgaande netwerkanalyse tijdens incidenten, en IP Flow Verify voor het diagnosticeren van connectiviteitsproblemen. Door Network Watcher in te schakelen op alle regio's waar virtuele netwerken actief zijn, kunnen organisaties een complete netwerkzichtbaarheid realiseren die essentieel is voor proactieve beveiliging en naleving van compliance frameworks zoals CIS en BIO. Deze volledige zichtbaarheid stelt organisaties in staat om beveiligingsdreigingen vroegtijdig te detecteren, incidenten snel te onderzoeken, en te voldoen aan audit- en compliance-vereisten die uitgebreide netwerkmonitoring vereisen.
Vereisten
Voordat u Azure Network Watcher kunt inschakelen en configureren, dient u te beschikken over de juiste rechten en inzicht in uw Azure-omgeving. Deze vereisten zijn essentieel voor een succesvolle implementatie en operationeel gebruik van de netwerkmonitoring service. Het begrijpen en voorbereiden van deze vereisten voorkomt implementatiefouten en zorgt ervoor dat de service vanaf het begin optimaal functioneert binnen uw organisatie.
Ten eerste moet u beschikken over een actief Azure-abonnement met voldoende rechten om services te configureren. U heeft minimaal de rol Contributor of Network Contributor nodig op het abonnement of de resourcegroep waar u Network Watcher wilt inschakelen. Deze rollen stellen u in staat om netwerkresources te beheren zonder dat u volledige eigenaarsrechten nodig hebt, wat overeenkomt met het principe van least privilege access. Het is belangrijk om te begrijpen dat deze rollen specifieke machtigingen verlenen die nodig zijn voor het beheer van netwerkresources, maar niet de volledige controle geven over alle Azure-services. Voor organisaties die werken met meerdere abonnementen of resourcegroepen, moet deze rol worden toegewezen op het juiste niveau om ervoor te zorgen dat Network Watcher kan worden geconfigureerd waar dat nodig is. In complexe omgevingen met meerdere teams of afdelingen is het raadzaam om een overzicht te maken van wie welke rechten heeft en waar deze rechten zijn toegewezen, zodat er geen verrassingen ontstaan tijdens de implementatie.
Daarnaast is het cruciaal om een overzicht te hebben van alle Azure-regio's waar virtuele netwerken (VNets) actief zijn. Network Watcher moet namelijk per regio worden ingeschakeld, omdat het een regionale service is. U dient daarom een inventarisatie te maken van alle geïmplementeerde virtuele netwerken en te bepalen in welke regio's deze zich bevinden. Deze inventarisatie kunt u uitvoeren via de Azure Portal, Azure PowerShell of Azure CLI. Het maken van een complete inventarisatie is een fundamentele stap die vaak wordt onderschat, maar die essentieel is voor een succesvolle implementatie. Zonder een volledig overzicht van alle actieve virtuele netwerken en hun locaties, loopt u het risico dat u Network Watcher vergeet in te schakelen in bepaalde regio's, wat resulteert in gaten in uw netwerkmonitoring. Voor organisaties die werken met meerdere Azure-abonnementen, moet deze inventarisatie worden uitgevoerd voor elk abonnement afzonderlijk. Het is ook belangrijk om rekening te houden met toekomstige uitbreidingen, zodat u een proces hebt om nieuwe regio's automatisch te identificeren en Network Watcher daar te configureren wanneer nieuwe virtuele netwerken worden geïmplementeerd.
Verder moet u rekening houden met de kostenstructuur van Network Watcher. Hoewel het inschakelen van de service zelf gratis is, brengen sommige functies zoals NSG Flow Logs opslagkosten met zich mee. Het is daarom aan te raden om vooraf een kostenraming te maken en budgettoewijzing te regelen voor de opslag van logdata, met name als u van plan bent om uitgebreide flow log-configuraties te implementeren. De kosten voor opslag kunnen aanzienlijk zijn, vooral wanneer u flow logs configureert voor meerdere Network Security Groups in verschillende regio's. Het is belangrijk om te begrijpen dat de opslagkosten afhankelijk zijn van de hoeveelheid netwerkverkeer die wordt gelogd, de retentieperiode die u configureert, en het type opslagaccount dat u gebruikt. Voor Nederlandse overheidsorganisaties is het vaak vereist om logdata voor langere perioden te bewaren voor auditdoeleinden, wat de opslagkosten verder kan verhogen. Het is daarom verstandig om een kostenanalyse uit te voeren voordat u begint met de implementatie, waarbij u rekening houdt met uw verwachte netwerkverkeer, de gewenste retentieperiode, en de compliance-vereisten die van toepassing zijn op uw organisatie. Door deze analyse uit te voeren, kunt u realistische budgetten vaststellen en voorkomen dat u later wordt verrast door onverwachte kosten.
Tenslotte moet u beschikken over een werkende Azure-verbinding met geïnstalleerde Azure PowerShell-modules (Az.Network) of Azure CLI als u van plan bent om Network Watcher programmatisch in te schakelen. Voor handmatige configuratie via de Azure Portal is uiteraard alleen een webbrowser met toegang tot de Azure Portal vereist. Het hebben van de juiste tools en verbindingen is essentieel voor een efficiënte implementatie, vooral wanneer u werkt met meerdere regio's of abonnementen. Voor organisaties die automatisering prefereren, is het belangrijk om te zorgen dat de benodigde PowerShell-modules zijn geïnstalleerd en up-to-date zijn, zodat u gebruik kunt maken van de nieuwste functionaliteiten en bugfixes. Daarnaast moet u ervoor zorgen dat uw Azure-verbinding correct is geconfigureerd met de juiste authenticatiemethoden, zoals service principals of managed identities, wanneer u werkt met geautomatiseerde scripts. Voor handmatige configuratie via de Azure Portal is het belangrijk om te beschikken over een moderne webbrowser die ondersteuning biedt voor alle Azure Portal functionaliteiten, en om te zorgen dat u toegang hebt tot alle benodigde abonnementen en resourcegroepen.
Monitoring
Gebruik PowerShell-script network-watcher-enabled-all-regions.ps1 (functie Invoke-Monitoring) – Controleren.
Het controleren van de Network Watcher-status vormt een essentieel onderdeel van uw netwerkmonitoringstrategie. Organisaties dienen regelmatig te verifiëren dat Network Watcher daadwerkelijk ingeschakeld is in alle Azure-regio's waar virtuele netwerken actief zijn. Deze verificatie voorkomt dat organisaties onbewust opereren zonder volledige netwerkzichtbaarheid, wat kan leiden tot beveiligingslekken en compliance-problemen. In moderne cloudomgevingen waar resources dynamisch worden toegevoegd en verwijderd, is het niet ongebruikelijk dat nieuwe virtuele netwerken worden geïmplementeerd in regio's waar Network Watcher nog niet is geconfigureerd. Zonder regelmatige monitoring en verificatie kunnen deze situaties onopgemerkt blijven, waardoor organisaties een vals gevoel van beveiliging krijgen terwijl er in werkelijkheid gaten in de monitoringdekking bestaan. Deze gaten kunnen worden uitgebuit door aanvallers of kunnen leiden tot situaties waarin beveiligingsincidenten niet worden gedetecteerd totdat het te laat is. Het is daarom van cruciaal belang dat organisaties een gestructureerde aanpak volgen voor het regelmatig controleren van de Network Watcher-status, waarbij alle relevante regio's systematisch worden gecontroleerd en eventuele ontbrekende configuraties onmiddellijk worden geïdentificeerd en opgelost.
De monitoringprocedure bestaat uit het ophalen van een overzicht van alle Network Watcher-instanties binnen uw Azure-abonnement. Via het PowerShell-script kunnen organisaties een complete lijst genereren van alle actieve Network Watcher-instanties, inclusief de regio's waar deze geconfigureerd zijn. Dit geeft direct inzicht in welke regio's al beschermd zijn en waar nog actie vereist is. Het script voert een systematische scan uit van alle abonnementen en regio's die toegankelijk zijn met de huidige referenties, en genereert een duidelijk rapport dat aangeeft waar Network Watcher actief is en waar deze ontbreekt. Dit rapport kan worden gebruikt voor compliance-doeleinden, voor het plannen van implementaties, en voor het identificeren van potentiële beveiligingsrisico's. Voor organisaties met meerdere Azure-abonnementen is het belangrijk om ervoor te zorgen dat het script wordt uitgevoerd met referenties die toegang hebben tot alle relevante abonnementen, zodat er geen regio's worden gemist tijdens de verificatie. Het is ook aan te raden om de resultaten van deze verificatie te documenteren en op te slaan voor auditdoeleinden, zodat organisaties kunnen aantonen dat zij regelmatig controleren of Network Watcher correct is geconfigureerd. Deze documentatie vormt een belangrijk onderdeel van compliance-verificatie en kan worden gebruikt tijdens externe audits of certificeringsprocedures om aan te tonen dat organisaties proactief werken aan het handhaven van beveiligingsstandaarden.
Bij de verificatie per regio is het belangrijk om niet alleen te controleren of Network Watcher bestaat, maar ook of deze correct geconfigureerd is en operationeel is. Organisaties dienen te bevestigen dat de service daadwerkelijk logdata verzamelt en dat de benodigde opslagaccounts voor flow logs correct gekoppeld zijn. Een geïnstalleerde maar niet-functionele Network Watcher-instantie biedt geen beveiligingswaarde. Het is daarom essentieel om verder te gaan dan alleen het controleren van het bestaan van de service, en daadwerkelijk te verifiëren dat de service operationeel is en zijn functies correct uitvoert. Dit betekent dat organisaties moeten controleren of flow logs daadwerkelijk worden gegenereerd en opgeslagen, of connection monitors actief zijn en metingen uitvoeren, en of packet capture functionaliteiten beschikbaar zijn wanneer dat nodig is. Voor organisaties die compliance-vereisten moeten naleven, is het niet voldoende om alleen te kunnen aantonen dat Network Watcher is geïnstalleerd; organisaties moeten ook kunnen bewijzen dat de service daadwerkelijk functioneert en logdata produceert die kan worden gebruikt voor beveiligingsanalyse en incidentonderzoek. Deze verificatie kan worden uitgevoerd door de opslagaccounts te controleren waar flow logs worden opgeslagen, door connection monitor resultaten te bekijken, en door te testen of packet capture functionaliteiten beschikbaar zijn. Het is belangrijk om te begrijpen dat een Network Watcher-instantie die wel bestaat maar niet correct functioneert, geen waarde biedt voor beveiligingsmonitoring of compliance-verificatie, en daarom moet worden beschouwd als een kritiek probleem dat onmiddellijk moet worden opgelost.
Het wordt aanbevolen om deze controle minimaal maandelijks uit te voeren, vooral na het toevoegen van nieuwe virtuele netwerken of het uitbreiden naar nieuwe Azure-regio's. Door dit te automatiseren met het beschikbare PowerShell-script kunnen organisaties deze verificatie opnemen in hun reguliere compliance- en beveiligingscontroles, waardoor zij proactief blijven en problemen vroegtijdig identificeren. Automatisering van deze verificatie is bijzonder waardevol voor organisaties die werken met DevOps-praktijken of infrastructure-as-code, omdat het ervoor zorgt dat monitoring altijd up-to-date blijft met de infrastructuur. Door het script te integreren in CI/CD-pijplijnen of door het regelmatig uit te voeren via Azure Automation of een andere orchestratie-tool, kunnen organisaties ervoor zorgen dat nieuwe regio's automatisch worden gecontroleerd zodra ze worden toegevoegd. Dit voorkomt dat er tijd verstrijkt tussen het toevoegen van nieuwe resources en het configureren van monitoring, wat kritiek is voor het handhaven van continue beveiligingsdekking. Daarnaast kan automatisering helpen bij het genereren van regelmatige compliance-rapporten die kunnen worden gebruikt tijdens audits of certificeringsprocedures, waardoor organisaties tijd besparen en ervoor zorgen dat zij altijd beschikken over actuele informatie over de status van hun netwerkmonitoring. Voor Nederlandse overheidsorganisaties die moeten voldoen aan BIO-vereisten of andere compliance-frameworks, is regelmatige geautomatiseerde verificatie niet alleen een best practice, maar vaak ook een verplichting die moet worden nageleefd om te kunnen aantonen dat passende monitoringmaatregelen zijn geïmplementeerd en worden onderhouden.
Implementatie
Gebruik PowerShell-script network-watcher-enabled-all-regions.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van Azure Network Watcher is relatief eenvoudig maar vereist wel een systematische aanpak per regio. Network Watcher wordt automatisch ingeschakeld in de meeste Azure-regio's wanneer organisaties de eerste virtuele netwerkresource in die regio aanmaken. Dit betekent dat veel organisaties al gedeeltelijk geconfigureerd zijn zonder dit te beseffen. Desondanks is het belangrijk om expliciet te verifiëren en waar nodig handmatig in te schakelen. De automatische activering is een handige functie die ervoor zorgt dat veel organisaties al een basisconfiguratie hebben, maar het is cruciaal om te begrijpen dat deze automatische activering niet altijd plaatsvindt in alle scenario's. Bijvoorbeeld, wanneer virtuele netwerken worden geïmporteerd via Azure Resource Manager-sjablonen of wanneer resources worden gemigreerd tussen abonnementen, kan het zijn dat Network Watcher niet automatisch wordt geactiveerd. Daarom is het altijd aan te raden om een expliciete verificatie uit te voeren en waar nodig handmatig te activeren, ongeacht of organisaties denken dat de service al actief is. Deze verificatie moet worden uitgevoerd voor alle regio's waar virtuele netwerken actief zijn, en moet worden herhaald wanneer nieuwe regio's worden toegevoegd aan de infrastructuur, om ervoor te zorgen dat de netwerkmonitoringdekking altijd compleet blijft.
De implementatiestap begint met het identificeren van alle regio's waar virtuele netwerken actief zijn. Organisaties kunnen dit doen door alle virtuele netwerken in hun abonnement op te vragen en de regio's te verzamelen. Voor elke unieke regio moet vervolgens een Network Watcher-instantie worden geconfigureerd. Deze instantie wordt automatisch aangemaakt met een voorgedefinieerde naam en locatie binnen de specifieke regio. Het identificeren van alle actieve regio's is een kritieke stap die niet mag worden overgeslagen, omdat het ontbreken van Network Watcher in zelfs maar één regio kan leiden tot blinde vlekken in de netwerkmonitoring. Voor organisaties met complexe multi-abonnement omgevingen kan dit een uitdaging zijn, omdat virtuele netwerken verspreid kunnen zijn over meerdere abonnementen, resourcegroepen en regio's. Het is daarom belangrijk om een systematische aanpak te volgen waarbij organisaties alle abonnementen doorlopen en voor elk abonnement alle regio's identificeert waar virtuele netwerken actief zijn. Deze inventarisatie kan worden uitgevoerd met behulp van Azure PowerShell, Azure CLI, of via de Azure Portal, afhankelijk van de voorkeur en de tools die beschikbaar zijn in de omgeving. Het is belangrijk om te begrijpen dat deze inventarisatie niet eenmalig is, maar regelmatig moet worden herhaald wanneer nieuwe virtuele netwerken worden toegevoegd of wanneer de infrastructuur wordt uitgebreid naar nieuwe regio's, om ervoor te zorgen dat de monitoringdekking altijd compleet blijft.
In gevallen waar Network Watcher niet automatisch is ingeschakeld, kunnen organisaties dit handmatig doen via de Azure Portal of programmatisch via Azure PowerShell. Het PowerShell-script dat beschikbaar is gesteld, voert deze implementatie geautomatiseerd uit voor alle benodigde regio's. Na implementatie dienen organisaties via de Get-AzNetworkWatcher cmdlet te verifiëren dat alle instanties correct zijn aangemaakt en operationeel zijn. Handmatige implementatie via de Azure Portal is geschikt voor organisaties die werken met een beperkt aantal regio's of die de voorkeur geven aan een visuele interface. Via de portal kunnen organisaties naar elke regio navigeren, Network Watcher openen, en de service activeren met een paar klikken. Voor organisaties die werken met meerdere regio's of die automatisering prefereren, is programmatische implementatie via PowerShell de aanbevolen aanpak. Het beschikbare PowerShell-script automatiseert het hele proces, waardoor organisaties tijd besparen en ervoor zorgen dat de implementatie consistent wordt uitgevoerd voor alle regio's. Het script identificeert automatisch alle regio's waar Network Watcher ontbreekt, maakt de benodigde instanties aan, en verifieert dat alles correct is geconfigureerd. Na de implementatie is het belangrijk om een verificatie uit te voeren om te bevestigen dat alle Network Watcher-instanties correct zijn aangemaakt en operationeel zijn. Deze verificatie moet niet alleen controleren of de instanties bestaan, maar ook of zij daadwerkelijk functioneren en logdata kunnen verzamelen, zodat organisaties er zeker van kunnen zijn dat de netwerkmonitoring volledig operationeel is.
Belangrijk om te onthouden is dat Network Watcher een regionale service is. Dit betekent dat als organisaties virtuele netwerken hebben in meerdere regio's, zij ook Network Watcher in al die regio's moeten inschakelen om volledige netwerkzichtbaarheid te garanderen. Een Network Watcher in regio A kan bijvoorbeeld geen monitoring uitvoeren op virtuele netwerken in regio B, zelfs als ze tot hetzelfde abonnement behoren. Deze regionale architectuur is een fundamenteel aspect van hoe Network Watcher werkt, en het is essentieel om dit te begrijpen bij het plannen en implementeren van de service. Voor organisaties die werken met globale of multi-regionale deployments betekent dit dat zij Network Watcher moeten configureren in elke regio waar zij virtuele netwerken hebben, ongeacht of deze netwerken met elkaar verbonden zijn of niet. Het is ook belangrijk om te begrijpen dat wanneer nieuwe regio's worden toegevoegd aan de infrastructuur, organisaties ook Network Watcher moeten configureren in die nieuwe regio's om ervoor te zorgen dat de monitoringdekking compleet blijft. Dit maakt het belangrijk om een proces te hebben voor het identificeren van nieuwe regio's en het automatisch configureren van Network Watcher wanneer dat nodig is. Voor Nederlandse overheidsorganisaties die vaak werken met meerdere regio's voor redundantie en beschikbaarheid, is het essentieel om te begrijpen dat Network Watcher in elke regio afzonderlijk moet worden geconfigureerd, en dat het ontbreken van Network Watcher in zelfs maar één regio kan leiden tot compliance-problemen en beveiligingsrisico's.
Na de initiële implementatie is het raadzaam om onmiddellijk te beginnen met het configureren van aanvullende functies zoals NSG Flow Logs en Connection Monitor. Deze functies bieden de werkelijke monitoringwaarde en zijn essentieel voor compliance met beveiligingsstandaarden. De implementatie van Network Watcher zelf is slechts de eerste stap in het opzetten van een complete netwerkmonitoring-oplossing. NSG Flow Logs stellen organisaties in staat om gedetailleerde informatie te verzamelen over al het verkeer dat door hun Network Security Groups stroomt, wat essentieel is voor beveiligingsanalyse, forensisch onderzoek, en compliance-verificatie. Connection Monitor biedt continue monitoring van connectiviteit tussen verschillende endpoints, waardoor organisaties proactief problemen kunnen detecteren voordat ze impact hebben op gebruikers of services. Packet Capture functionaliteiten stellen organisaties in staat om diepgaande netwerkanalyse uit te voeren tijdens incidenten, waardoor zij kunnen begrijpen wat er precies gebeurt in hun netwerk wanneer er een probleem of beveiligingsincident optreedt. Al deze functies zijn afhankelijk van Network Watcher, wat betekent dat de implementatie van Network Watcher de fundamentele basis is waarop al deze geavanceerde monitoringfunctionaliteiten zijn gebouwd. Zonder Network Watcher kunnen deze functies niet worden gebruikt, wat de kritieke waarde van deze service onderstreept. Voor Nederlandse overheidsorganisaties die moeten voldoen aan BIO-normen of andere compliance-frameworks, is het daarom essentieel om niet alleen Network Watcher te implementeren, maar ook om deze aanvullende functies te configureren, zodat zij kunnen aantonen dat zij beschikken over uitgebreide netwerkmonitoringcapaciteiten die nodig zijn voor compliance-verificatie en beveiligingsanalyse.
Compliance en Auditing
Azure Network Watcher is niet alleen een praktische monitoringtool, maar ook een essentiële component voor naleving van verschillende beveiligings- en compliance-frameworks die relevant zijn voor Nederlandse overheidsorganisaties en publieke sector instellingen. De implementatie van Network Watcher helpt organisaties te voldoen aan zowel internationale als nationale beveiligingsstandaarden. In de huidige digitale omgeving waar cyberdreigingen steeds geavanceerder worden en compliance-vereisten strenger, is het hebben van uitgebreide netwerkmonitoring niet langer optioneel maar een absolute noodzaak. Organisaties die niet beschikken over adequate monitoringcapaciteiten lopen niet alleen het risico op beveiligingsincidenten, maar ook op boetes, reputatieschade, en het verlies van vertrouwen van burgers en stakeholders. Network Watcher biedt de fundamentele infrastructuur die nodig is om te voldoen aan deze steeds strengere eisen, waardoor organisaties kunnen aantonen dat zij passende maatregelen hebben genomen om hun netwerkverkeer te monitoren, te analyseren en te beveiligen.
Vanuit het CIS (Center for Internet Security) Azure Foundations Benchmark perspectief is Network Watcher verplicht volgens control 6.5. Deze control vereist expliciet dat Azure Network Watcher is ingeschakeld op alle regio's waar virtuele netwerken actief zijn. CIS-controles zijn wereldwijd erkend als best practices voor cloudbeveiliging en worden vaak gebruikt als basis voor compliance-verificatie door externe auditors en certificeringsinstanties. De CIS Azure Foundations Benchmark is een uitgebreide set van beveiligingsrichtlijnen die specifiek zijn ontwikkeld voor Azure-omgevingen, en wordt beschouwd als een van de meest gezaghebbende bronnen voor cloudbeveiligingsbest practices. Control 6.5 is specifiek gericht op netwerkmonitoring en vereist dat organisaties Network Watcher implementeren om ervoor te zorgen dat zij volledige zichtbaarheid hebben in hun netwerkverkeer. Voor organisaties die certificering nastreven of die moeten voldoen aan contractuele vereisten die verwijzen naar CIS controls, is de implementatie van Network Watcher niet optioneel maar verplicht. Tijdens externe audits of certificeringsprocedures zullen auditors expliciet controleren of Network Watcher is geconfigureerd in alle relevante regio's, en het ontbreken hiervan kan leiden tot het niet behalen van certificeringen of het niet voldoen aan contractuele verplichtingen.
Voor Nederlandse overheidsorganisaties is de BIO (Baseline Informatiebeveiliging Overheid) norm 12.04 van direct belang. Deze norm richt zich op netwerkmonitoring en vereist dat organisaties adequate monitoringcapaciteiten hebben om netwerkverkeer te analyseren, verdachte activiteiten te detecteren en incidenten te onderzoeken. Network Watcher, met name in combinatie met NSG Flow Logs, biedt deze monitoringcapaciteiten en stelt organisaties in staat om te voldoen aan deze BIO-vereisten. De BIO is de Nederlandse standaard voor informatiebeveiliging in de publieke sector en is verplicht voor alle Nederlandse overheidsorganisaties. Norm 12.04 specifiek richt zich op netwerkmonitoring en vereist dat organisaties beschikken over tools en processen om netwerkverkeer te monitoren, te analyseren en te beveiligen. Dit betekent niet alleen dat organisaties moeten beschikken over de technische capaciteiten om monitoring uit te voeren, maar ook dat zij moeten kunnen aantonen dat deze capaciteiten daadwerkelijk worden gebruikt en effectief zijn. Network Watcher, in combinatie met NSG Flow Logs, biedt de technische basis die nodig is om te voldoen aan deze norm, door uitgebreide logging en monitoring mogelijk te maken die kan worden gebruikt voor beveiligingsanalyse, incidentonderzoek, en compliance-verificatie. Voor Nederlandse overheidsorganisaties is het daarom essentieel om Network Watcher te implementeren, niet alleen om te voldoen aan de technische vereisten van de BIO, maar ook om te kunnen aantonen tijdens audits en certificeringsprocedures dat zij voldoen aan deze normen.
Bovendien draagt Network Watcher bij aan naleving van de AVG (Algemene Verordening Gegevensbescherming), omdat uitgebreide logging en monitoring helpen bij het detecteren van ongeautoriseerde toegang tot persoonsgegevens. Door netwerkverkeer te monitoren en te loggen, kunnen organisaties bewijzen dat zij passende technische maatregelen hebben getroffen om persoonsgegevens te beschermen, zoals vereist in AVG artikel 32. Artikel 32 van de AVG vereist dat organisaties passende technische en organisatorische maatregelen treffen om persoonsgegevens te beschermen tegen ongeautoriseerde toegang, verlies, vernietiging of wijziging. Netwerkmonitoring is een essentieel onderdeel van deze maatregelen, omdat het organisaties in staat stelt om te detecteren wanneer er ongeautoriseerde toegang plaatsvindt tot systemen die persoonsgegevens bevatten. Wanneer er een datalek plaatsvindt, moeten organisaties kunnen aantonen dat zij passende maatregelen hebben genomen om dit te voorkomen, en uitgebreide netwerkmonitoring is een belangrijk onderdeel van dit bewijs. Network Watcher, met name in combinatie met NSG Flow Logs, biedt de logging en monitoringcapaciteiten die nodig zijn om te voldoen aan deze AVG-vereisten, door organisaties in staat te stellen om netwerkverkeer te monitoren, verdachte activiteiten te detecteren, en bewijs te verzamelen voor incidentonderzoek en compliance-verificatie.
Voor auditdoeleinden moet u kunnen aantonen dat Network Watcher daadwerkelijk geconfigureerd en operationeel is in alle relevante regio's. Dit betekent dat u regelmatig controle-rapporten moet genereren die de status van Network Watcher-instanties documenteren. Deze rapporten dienen minimaal 7 jaar bewaard te worden volgens algemene auditvereisten, en kunnen worden gebruikt als bewijs van naleving tijdens externe audits of certificeringsprocedures. Het genereren en bewaren van deze rapporten is niet alleen belangrijk voor compliance-doeleinden, maar ook voor het kunnen aantonen tijdens audits dat u proactief werkt aan het handhaven van beveiligingsstandaarden. Tijdens externe audits of certificeringsprocedures zullen auditors vragen om bewijs dat Network Watcher is geconfigureerd en operationeel is, en het hebben van regelmatige rapporten die dit documenteren maakt het veel eenvoudiger om aan deze vereisten te voldoen. Daarnaast kunnen deze rapporten worden gebruikt voor interne doeleinden, zoals het identificeren van trends, het plannen van verbeteringen, en het communiceren van de beveiligingsstatus naar management en stakeholders. Het is belangrijk om deze rapporten op een veilige manier op te slaan, met passende toegangscontroles en back-up procedures, zodat ze beschikbaar blijven voor de volledige bewaarperiode van 7 jaar, zelfs in het geval van systeemstoringen of andere incidenten.
Remediatie
Gebruik PowerShell-script network-watcher-enabled-all-regions.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer tijdens monitoring wordt geconstateerd dat Azure Network Watcher niet is ingeschakeld in een of meerdere regio's, dient onmiddellijk remediatie plaats te vinden. Het ontbreken van Network Watcher betekent namelijk dat er geen netwerkmonitoring en diagnostiek mogelijk is, wat een significant beveiligingsrisico vormt en kan leiden tot niet-naleving van compliance-vereisten. Elke dag dat Network Watcher ontbreekt in een regio is een dag waarop organisaties blind opereren zonder inzicht in hun netwerkverkeer, wat betekent dat beveiligingsincidenten mogelijk niet worden gedetecteerd, dat compliance-vereisten niet worden nageleefd, en dat organisaties kwetsbaar zijn voor cyberdreigingen. Het is daarom essentieel om remediatie uit te voeren zodra een probleem wordt geïdentificeerd, zonder onnodige vertraging. Voor organisaties die werken met service level agreements of compliance-vereisten die specifieke response tijden vereisen, kan het uitstellen van remediatie leiden tot het niet voldoen aan deze vereisten, wat kan resulteren in boetes, contractuele problemen, of reputatieschade.
De remediatieprocedure start met het identificeren van alle regio's waar Network Watcher ontbreekt. Via het beschikbare PowerShell-remediatiescript kunt u automatisch detecteren welke regio's niet beschikken over een actieve Network Watcher-instantie. Het script kan vervolgens automatisch de ontbrekende instanties aanmaken, waardoor de remediatie geautomatiseerd en consistent wordt uitgevoerd. Het gebruik van geautomatiseerde remediatie is bijzonder waardevol omdat het ervoor zorgt dat de remediatie consistent wordt uitgevoerd voor alle regio's, ongeacht wie de remediatie uitvoert of wanneer deze wordt uitgevoerd. Dit voorkomt menselijke fouten, zoals het vergeten van bepaalde regio's of het incorrect configureren van de service, en zorgt ervoor dat alle Network Watcher-instanties op dezelfde manier worden geconfigureerd. Voor organisaties die werken met meerdere teams of afdelingen die verantwoordelijk zijn voor verschillende regio's of abonnementen, zorgt geautomatiseerde remediatie ervoor dat alle teams dezelfde procedures volgen, wat consistentie en kwaliteit garandeert. Het script identificeert automatisch alle regio's waar Network Watcher ontbreekt, ongeacht in welk abonnement of resourcegroep deze regio's zich bevinden, waardoor u er zeker van kunt zijn dat geen regio's worden gemist tijdens de remediatie.
Na het inschakelen van Network Watcher in ontbrekende regio's is het belangrijk om te verifiëren dat de service daadwerkelijk operationeel is en correct geconfigureerd. U dient te controleren of de Network Watcher-instantie toegang heeft tot de juiste netwerkresources en of eventuele benodigde storage-accounts voor flow logs correct zijn gekoppeld. Deze verificatie voorkomt dat u denkt dat de remediatie succesvol is, terwijl de service in werkelijkheid niet functioneert. Het is niet ongebruikelijk dat Network Watcher wordt aangemaakt maar niet correct is geconfigureerd, bijvoorbeeld omdat er problemen zijn met machtigingen, omdat storage-accounts niet correct zijn gekoppeld, of omdat er configuratiefouten zijn opgetreden tijdens het aanmaken van de instantie. Zonder verificatie kunnen deze problemen onopgemerkt blijven, waardoor organisaties denken dat zij volledige netwerkmonitoring hebben terwijl er in werkelijkheid nog steeds gaten in de monitoringdekking bestaan. De verificatie moet daarom een integraal onderdeel zijn van elke remediatieprocedure, en moet worden uitgevoerd onmiddellijk na het inschakelen van Network Watcher, zodat eventuele problemen snel kunnen worden geïdentificeerd en opgelost voordat ze impact hebben op de beveiliging of compliance van de organisatie.
Indien Network Watcher handmatig moet worden hersteld, kunt u dit doen via de Azure Portal door naar de specifieke regio te navigeren en Network Watcher te activeren. Het wordt echter aanbevolen om gebruik te maken van het geautomatiseerde remediatiescript, omdat dit consistentie garandeert, fouten voorkomt en tijd bespaart, vooral in omgevingen met meerdere regio's en abonnementen. Handmatige remediatie kan geschikt zijn voor organisaties die werken met een zeer beperkt aantal regio's of voor situaties waarin geautomatiseerde tools niet beschikbaar zijn, maar voor de meeste organisaties biedt geautomatiseerde remediatie significante voordelen. Geautomatiseerde remediatie is sneller dan handmatige remediatie, vooral wanneer u werkt met meerdere regio's, en het voorkomt menselijke fouten die kunnen optreden bij handmatige configuratie. Daarnaast zorgt geautomatiseerde remediatie voor consistentie, omdat alle Network Watcher-instanties op dezelfde manier worden geconfigureerd, ongeacht wie de remediatie uitvoert of wanneer deze wordt uitgevoerd. Dit is bijzonder belangrijk voor organisaties die moeten voldoen aan compliance-vereisten die specifieke configuratiestandaarden vereisen, omdat geautomatiseerde remediatie ervoor zorgt dat deze standaarden altijd worden gevolgd.
Na succesvolle remediatie dient u een follow-up monitoring uit te voeren om te bevestigen dat alle regio's nu correct geconfigureerd zijn. Daarnaast is het raadzaam om te onderzoeken waarom Network Watcher ontbrak in bepaalde regio's en eventuele processen aan te passen om te voorkomen dat dit in de toekomst opnieuw gebeurt. Dit kan bijvoorbeeld betekenen dat u Network Watcher configuratie opneemt in uw standaard onboarding-procedures voor nieuwe virtuele netwerken. Follow-up monitoring is essentieel om te bevestigen dat de remediatie daadwerkelijk succesvol is geweest en dat alle regio's nu correct zijn geconfigureerd. Zonder follow-up monitoring loopt u het risico dat problemen onopgemerkt blijven, bijvoorbeeld als de remediatie gedeeltelijk is mislukt of als er configuratiefouten zijn opgetreden. Het onderzoeken van de oorzaak van het probleem is eveneens belangrijk, omdat dit u in staat stelt om processen aan te passen om te voorkomen dat het probleem opnieuw optreedt. Als Network Watcher bijvoorbeeld ontbrak omdat nieuwe virtuele netwerken werden geïmplementeerd zonder dat Network Watcher werd geconfigureerd, dan moet u uw onboarding-procedures aanpassen om ervoor te zorgen dat Network Watcher automatisch wordt geconfigureerd wanneer nieuwe virtuele netwerken worden toegevoegd. Dit voorkomt dat hetzelfde probleem opnieuw optreedt en zorgt ervoor dat uw netwerkmonitoring altijd up-to-date blijft met uw infrastructuur.
Compliance & Frameworks
- CIS M365: Control 6.5 (L1) - Azure Network Watcher
- BIO: 12.04 - Network monitoring
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Network Watcher Enabled All Regions
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 5.25
Controleert of Network Watcher is ingeschakeld in alle regio's.
.NOTES
Filename: network-watcher-enabled-all-regions.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 5.25
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Network
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Network Watcher Enabled All Regions"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$networkWatchers = Get-AzNetworkWatcher -ErrorAction SilentlyContinue
$locations = Get-AzLocation | Where-Object { $_.Providers -contains 'Microsoft.Network' }
$result = @{ TotalWatchers = $networkWatchers.Count; TotalLocations = $locations.Count }
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Network Watchers: $($r.TotalWatchers)" -ForegroundColor $(if ($r.TotalWatchers -gt 0) { 'Green' } else { 'Yellow' })
Write-Host "Azure Locations: $($r.TotalLocations)" -ForegroundColor White
if ($r.TotalWatchers -eq 0) {
Write-Host "`n⚠️ Network Watcher moet ingeschakeld zijn" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nNetwork Watcher: $($r.TotalWatchers) in $($r.TotalLocations) locations"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Network Watchers: $($r.TotalWatchers)" -ForegroundColor $(if ($r.TotalWatchers -gt 0) { 'Green' } else { 'Yellow' })
Write-Host "Azure Locations: $($r.TotalLocations)" -ForegroundColor White
if ($r.TotalWatchers -eq 0) {
Write-Host "`n⚠️ Network Watcher moet ingeschakeld zijn" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nNetwork Watcher: $($r.TotalWatchers) in $($r.TotalLocations) locations"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Wanneer Network Watcher niet is ingeschakeld, zijn NSG Flow Logs onmogelijk te configureren en zijn netwerkdiagnostiek functionaliteiten volledig onbeschikbaar. Dit vormt een fundamenteel probleem omdat Network Watcher een vereiste is voor netwerkzichtbaarheid en monitoring. Organisaties die deze service niet geïmplementeerd hebben, opereren zonder inzicht in hun netwerkverkeer, wat betekent dat beveiligingsincidenten mogelijk niet worden gedetecteerd en dat compliance met CIS 6.5 en BIO 12.04 niet kan worden aangetoond. Het risico wordt geclassificeerd als medium, omdat het de basis vormt voor alle netwerkmonitoring en zonder deze basis andere beveiligingsmaatregelen minder effectief zijn.
Management Samenvatting
Network Watcher ingeschakeld voor alle regio's: Schakel Azure Network Watcher in voor elke Azure-regio waar virtuele netwerken actief zijn. Deze service vormt een fundamentele vereiste voor Network Security Group flow logs, het oplossen van connectiviteitsproblemen en packet capture functionaliteiten die essentieel zijn voor netwerkbeveiliging en monitoring. De activatie kan worden uitgevoerd via Network Watcher in de Azure Portal per regio, of geautomatiseerd via Azure PowerShell voor efficiënte implementatie in omgevingen met meerdere regio's. Het inschakelen van de service zelf is gratis, hoewel opslagkosten in rekening worden gebracht voor de opslag van flow logs data in Azure Storage accounts. Deze implementatie is verplicht volgens CIS control 6.5 en BIO norm 12.04, en vormt de basis voor alle netwerkmonitoring in Azure-omgevingen. De implementatietijd bedraagt ongeveer één uur, afhankelijk van het aantal regio's waar virtuele netwerken actief zijn. Network Watcher vormt de fundamentele basis voor alle netwerkmonitoring in Azure en is onmisbaar voor organisaties die moeten voldoen aan beveiligings- en compliance-vereisten.
- Implementatietijd: 1 uur
- FTE required: 0.02 FTE