💼 Management Samenvatting
Deze beveiligingsmaatregel waarborgt de correcte configuratie van Azure Bastion voor administratieve toegang en beschermt tegen kritieke beveiligingsrisico's door het afdwingen van veilige externe toegangsmethoden.
Aanbeveling
BASTION GEBRUIK AFDWINGEN
Risico zonder
High
Risk Score
7/10
Implementatie
3u (tech: 2u)
Van toepassing op:
✓ Azure
Deze instelling is essentieel voor het handhaven van een veilige cloudomgeving en voorkomt bekende aanvalsvectoren door het afdwingen van beveiligingsbeste praktijken. Zonder correcte implementatie van Bastion kunnen beheerders directe RDP- of SSH-verbindingen gebruiken, wat de netwerkbeveiliging ernstig compromitteert en organisaties blootstelt aan externe aanvallen via internet.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.Network
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.Network
Implementatie
Deze maatregel past de benodigde beveiligingsinstellingen toe via Azure Policy en Network Security Groups om ervoor te zorgen dat alle administratieve toegang tot virtuele machines uitsluitend via Azure Bastion plaatsvindt, overeenkomstig actuele beveiligingsframeworks zoals CIS Benchmarks, BIO-normen en ISO 27001:2022.
Vereisten en Voorbereiding
Voor de succesvolle implementatie van Azure Bastion voor administratieve toegang moeten organisaties aan specifieke infrastructurele en organisatorische vereisten voldoen. De primaire technische voorwaarde betreft de aanwezigheid van een werkende Azure Bastion-instantie binnen het virtuele netwerk waar de te beheren virtuele machines zich bevinden. Dit betekent dat Bastion moet zijn geconfigureerd met de juiste subnet-configuratie, een openbaar IP-adres en de benodigde netwerkverbindingen naar de doelresources. Naast de technische infrastructuur vereist deze implementatie een duidelijk organisatorisch raamwerk. Beheerders moeten beschikken over de juiste Azure RBAC-rollen, met name rollen zoals Contributor of Network Contributor voor het configureren van Network Security Groups en Azure Policies. Bovendien is het essentieel dat er een goed gedocumenteerd proces bestaat voor het aanvragen en goedkeuren van administratieve toegang, waarbij elke toegang wordt gelogd en geauditeerd. De implementatie vraagt ook om een grondige inventarisatie van alle bestaande virtuele machines die directe RDP- of SSH-toegang hebben via internet. Organisaties moeten een migratieplan ontwikkelen dat gefaseerd de overgang naar Bastion-gestuurde toegang begeleidt, waarbij rekening wordt gehouden met kritieke workloads en mogelijke serviceonderbrekingen. Het is aan te raden om eerst een proefproject uit te voeren in een testomgeving om eventuele configuratieproblemen te identificeren voordat de volledige productie-omgeving wordt aangepast. Tijdens dit proefproject moeten organisaties verschillende scenario's testen, zoals het verbinden met verschillende typen virtuele machines, het gebruik van verschillende authenticatiemethoden, en het valideren van de prestaties en betrouwbaarheid van de Bastion-verbindingen onder verschillende netwerkcondities.
Monitoring en Controle
Gebruik PowerShell-script bastion-hosts-admin-access.ps1 (functie Invoke-Monitoring) – Controleren.
Effectieve monitoring van Azure Bastion-toegang vormt een kritiek onderdeel van de beveiligingsstrategie. Organisaties moeten systematisch controleren of alle administratieve toegang daadwerkelijk via Bastion verloopt en niet via directe RDP- of SSH-verbindingen. Dit vereist een geïntegreerde monitoringaanpak die meerdere Azure-services combineert. De primaire monitoringbron vormen de Azure Bastion-logs die gedetailleerde informatie bevatten over elke verbinding, inclusief tijdstempel, bron-IP-adres, doel-VM en sessieduur. Deze logs moeten regelmatig worden geanalyseerd op afwijkende patronen, zoals verbindingen buiten normale werktijden, ongebruikelijke geografische locaties of onverwacht lange sessies. Azure Monitor en Azure Log Analytics bieden geavanceerde query-mogelijkheden om deze analyses te automatiseren en proactieve waarschuwingen in te stellen. Naast Bastion-specifieke monitoring moeten organisaties ook Network Security Group-flowlogs analyseren om te detecteren of er pogingen worden ondernomen om directe toegang tot virtuele machines te verkrijgen via poort 3389 (RDP) of 22 (SSH). Deze pogingen kunnen indicatoren zijn van aanvallen of niet-geautoriseerde toegangspogingen. Azure Security Center kan aanvullende inzichten bieden door beveiligingsaanbevelingen te genereren wanneer virtuele machines zijn geconfigureerd met openbare IP-adressen en directe toegang mogelijk maken. De monitoringinspanningen moeten worden gecombineerd met regelmatige compliance-audits waarbij wordt geverifieerd dat alle virtuele machines in de productieomgeving correct zijn geconfigureerd met NSG-regels die directe RDP/SSH-toegang blokkeren. Deze audits moeten minimaal maandelijks worden uitgevoerd, met prioriteit voor kritieke workloads en systemen die gevoelige gegevens verwerken.
Compliance en Auditing
De implementatie van Azure Bastion voor administratieve toegang draagt direct bij aan compliance met meerdere beveiligingsstandaarden die relevant zijn voor Nederlandse overheidsorganisaties en publieke sector entiteiten. De BIO-norm 13.01 vereist specifiek dat externe toegang wordt geïmplementeerd via beveiligde kanalen en dat alle externe toegang wordt gecontroleerd en gelogd. Azure Bastion voldoet aan deze vereisten door alle administratieve sessies te routeren via een beveiligd, gecontroleerd kanaal waarbij geen directe blootstelling aan internet plaatsvindt. ISO 27001:2022 controle A.8.20 (Netwerkbeveiliging) verplicht organisaties om netwerkverbindingen te beveiligen en te controleren. Het gebruik van Bastion past naadloos binnen deze eis door ervoor te zorgen dat alle beheerdersverbindingen worden gerealiseerd via een gedefinieerd, beveiligd netwerkpad waarbij logging en monitoring centraal plaatsvinden. Bovendien ondersteunt Bastion meervoudige authenticatie, wat aanvullende beveiligingslagen biedt die passen bij de defensie-in-diepte benadering die ISO 27001 voorschrijft. Voor Nederlandse organisaties die onder de AVG (Algemene Verordening Gegevensbescherming) vallen, biedt de centrale logging van alle administratieve toegang via Bastion waardevolle audit-traceerbaarheid. Dit stelt organisaties in staat om in geval van een datalek exact te documenteren wie toegang had tot welke systemen en wanneer, wat een vereiste is voor de meldplicht datalekken. De logretentieperiode van zeven jaar, zoals gespecificeerd in de auditEvidence-sectie, zorgt ervoor dat organisaties kunnen voldoen aan langlopende compliance-vereisten. Tijdens externe audits moeten organisaties kunnen aantonen dat alle virtuele machines correct zijn geconfigureerd met NSG-regels die directe RDP/SSH-toegang blokkeren, dat alle administratieve toegang daadwerkelijk via Bastion verloopt, en dat er adequate monitoring en logging plaatsvindt. Azure Policy-definities kunnen hierbij ondersteuning bieden door automatisch te controleren of virtuele machines niet zijn geconfigureerd met openbare IP-adressen of NSG-regels die directe toegang toestaan. De compliance-verificatie moet worden ondersteund door regelmatige rapportage aan het management en de auditcommissie. Deze rapportages moeten kwantitatieve gegevens bevatten over het aantal virtuele machines dat via Bastion toegankelijk is, het aantal geblokkeerde directe toegangspogingen, en trends in beveiligingsincidenten. Door deze informatie periodiek te delen, kunnen organisaties aantonen dat zij proactief werken aan het verbeteren van hun beveiligingspostuur en voldoen aan de vereisten van verschillende compliance-frameworks.
Remediatie en Implementatie
Gebruik PowerShell-script bastion-hosts-admin-access.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer monitoring of audits uitwijzen dat virtuele machines nog steeds directe RDP- of SSH-toegang toestaan via internet, is directe remediatie vereist om de beveiligingspositie te herstellen. Het remediatieproces begint met de identificatie van alle betrokken resources, waarbij specifiek wordt gekeken naar virtuele machines met openbare IP-adressen en Network Security Groups die inkomend verkeer op poort 3389 of 22 toestaan. De eerste stap in het remediatieproces betreft het configureren of bijwerken van Network Security Group-regels om alle inkomende RDP- en SSH-verbindingen vanaf internet expliciet te weigeren. Dit moet worden gedaan zonder de bestaande uitgaande connectiviteit of de toegang via Bastion te beïnvloeden. Organisaties moeten voorzichtig zijn om geen blokkades in te stellen die legitieme bedrijfsprocessen verstoren, daarom is het aan te raden om eerst een test-VM te configureren en te valideren dat toegang via Bastion correct functioneert. Voor virtuele machines die zijn geconfigureerd met openbare IP-adressen uitsluitend voor beheerdoeleinden, moet worden overwogen om deze IP-adressen te verwijderen en de virtuele machines volledig privé te maken binnen het virtuele netwerk. Dit elimineert direct het risico van externe toegang en versterkt de beveiligingspositie aanzienlijk. Voor workloads die legitieme openbare toegang vereisen, zoals webservers, moet het openbare IP-adres behouden blijven maar moeten de beheerpoorten (RDP/SSH) worden geblokkeerd ten gunste van Bastion-toegang. Azure Policy biedt geautomatiseerde remediatie-mogelijkheden die kunnen worden ingezet om proactief te voorkomen dat nieuwe virtuele machines worden geconfigureerd met directe beheerstoegang. Het implementeren van een Azure Policy-initiatief dat automatisch NSG-regels toevoegt die RDP/SSH-toegang blokkeren bij het aanmaken van nieuwe resources, zorgt ervoor dat de organisatie niet opnieuw in een onveilige situatie belandt. Deze beleidsregels moeten worden getest in een testomgeving voordat ze worden toegepast op productieresources. Na implementatie van de remediatiemaatregelen moet een verificatieproces worden uitgevoerd waarbij wordt gecontroleerd dat alle virtuele machines correct zijn geconfigureerd, dat toegang via Bastion nog steeds functioneel is, en dat er geen onbedoelde impact is op bestaande processen. Dit verificatieproces moet worden gedocumenteerd en opgenomen worden in de compliance-auditrapportage. Het is belangrijk om te benadrukken dat remediatie niet een eenmalige activiteit is, maar een continu proces. Nieuwe virtuele machines worden regelmatig geïmplementeerd en bestaande configuraties kunnen worden gewijzigd door verschillende teamleden. Daarom moet de organisatie een geautomatiseerd monitoring- en remediatiesysteem implementeren dat proactief detecteert wanneer virtuele machines onjuist worden geconfigureerd en automatisch corrigerende maatregelen neemt. Dit vereist een combinatie van Azure Policy voor preventieve controle, Azure Automation voor geautomatiseerde remediatie, en regelmatige handmatige audits om te verifiëren dat het systeem correct functioneert.
Compliance & Frameworks
- BIO: 13.01 - veilige externe toegang
- ISO 27001:2022: A.8.20 - Netwerkbeveiliging
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Bastion Hosts Admin Access
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 6.5
Controleert of Bastion hosts worden gebruikt voor admin toegang.
.NOTES
Filename: bastion-hosts-admin-access.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 6.5
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Network, Az.Compute
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Bastion Hosts Admin Access"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$bastions = Get-AzBastion -ErrorAction SilentlyContinue
$vms = Get-AzVM -ErrorAction SilentlyContinue
$result = @{ TotalBastions = $bastions.Count; TotalVMs = $vms.Count }
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Bastion Hosts: $($r.TotalBastions)" -ForegroundColor White
Write-Host "Virtual Machines: $($r.TotalVMs)" -ForegroundColor White
if ($r.TotalBastions -eq 0 -and $r.TotalVMs -gt 0) {
Write-Host "`n⚠️ Bastion aanbevolen voor $($r.TotalVMs) VMs" -ForegroundColor Yellow
}
elseif ($r.TotalBastions -gt 0) {
Write-Host "`n✓ Bastion configured voor veilige admin toegang" -ForegroundColor Green
}
}
else {
$r = Test-Compliance
Write-Host "`nBastion: $($r.TotalBastions) hosts voor $($r.TotalVMs) VMs"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Bastion Hosts: $($r.TotalBastions)" -ForegroundColor White
Write-Host "Virtual Machines: $($r.TotalVMs)" -ForegroundColor White
if ($r.TotalBastions -eq 0 -and $r.TotalVMs -gt 0) {
Write-Host "`n⚠️ Bastion aanbevolen voor $($r.TotalVMs) VMs" -ForegroundColor Yellow
}
elseif ($r.TotalBastions -gt 0) {
Write-Host "`n✓ Bastion configured voor veilige admin toegang" -ForegroundColor Green
}
}
else {
$r = Test-Compliance
Write-Host "`nBastion: $($r.TotalBastions) hosts voor $($r.TotalVMs) VMs"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
High: Wanneer Azure Bastion is geïmplementeerd maar het gebruik niet wordt afgedwongen, kunnen beheerders de beveiligingsmaatregelen omzeilen door directe RDP- of SSH-verbindingen te gebruiken. Dit schendt de compliance-vereisten van BIO-norm 13.01. Het risico is gemiddeld tot hoog vanwege het ontbreken van beleidsafdwinging, wat de beveiligingspositie aanzienlijk verzwakt.
Management Samenvatting
Bastion Hosts Admin Access: Dwing Bastion-gebruik af via NSG-regels (blokkeer directe RDP/SSH-toegang), Azure Policy weigert openbare IP-adressen op virtuele machines. Activatie: NSG weigert 3389/22 vanaf internet + Policy. Gratis. Verplicht BIO 13.01. Implementatie: 2-3 uur. Dwingt veilige toegang af.
- Implementatietijd: 3 uur
- FTE required: 0.03 FTE