💼 Management Samenvatting
Deze beveiligingsmaatregel waarborgt de correcte configuratie van netwerktoegang en beschermt tegen beveiligingsrisico's door ongeautoriseerde toegang tot webdiensten te voorkomen.
Aanbeveling
IMPLEMENTEER HTTP/HTTPS TOEGANGSBEPERKINGEN
Risico zonder
Medium
Risk Score
6/10
Implementatie
3u (tech: 2u)
Van toepassing op:
✓ Azure
Deze instelling is essentieel voor het handhaven van een veilige netwerkomgeving en voorkomt bekende aanvalsvectoren door het afdwingen van netwerkbeveiligingsbest practices. Door HTTP- en HTTPS-verkeer te beperken tot geautoriseerde bronnen, wordt het aanvalsoppervlak aanzienlijk verkleind en wordt voldaan aan het principe van minimale netwerkprivileges.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.Network
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.Network
Implementatie
Netwerkbeveiligingsgroep-regels beperken toegang tot poorten 80 en 443 tot alleen geautoriseerde bronnen en bestemmingen. Dit voorkomt dat webverkeer ongecontroleerd het netwerk kan betreden of verlaten en zorgt voor een strikte controle op HTTP- en HTTPS-communicatie binnen de Azure-omgeving.
Vereisten
Voor het implementeren van HTTP- en HTTPS-toegangsbeperkingen binnen Azure zijn verschillende technische en organisatorische vereisten van belang. Allereerst moet de Azure-omgeving beschikken over Network Security Groups (NSG's) die correct zijn geconfigureerd en gekoppeld zijn aan de betreffende netwerkinterfaces, subnetten of beide. NSG's vormen de basislaag voor het implementeren van netwerkbeveiligingsregels en bieden de mogelijkheid om inkomend en uitgaand verkeer te filteren op basis van bron- en doeladressen, poorten en protocollen. Deze netwerkbeveiligingsgroepen functioneren als stateful firewalls op het netwerkniveau en maken deel uit van de vijf beveiligingslagen die Azure biedt voor cloudgebaseerde resources. De configuratie van NSG's vereist een grondig begrip van de netwerkarchitectuur en de verkeerspatronen binnen de organisatie.
Daarnaast is het essentieel dat organisaties beschikken over een duidelijk gedefinieerd netwerkbeveiligingsbeleid waarin is vastgelegd welke bronnen en bestemmingen geautoriseerd zijn voor HTTP- en HTTPS-communicatie. Dit beleid moet worden ondersteund door een gedetailleerde inventarisatie van alle systemen en diensten die legitiem webverkeer genereren of ontvangen. Zonder een dergelijke inventarisatie bestaat het risico dat legitieme diensten worden geblokkeerd, wat kan leiden tot serviceonderbrekingen en operationele problemen. De inventarisatie moet niet alleen de interne systemen omvatten, maar ook externe diensten en partners waarmee gegevens worden uitgewisseld via HTTP of HTTPS. Hierbij dient rekening te worden gehouden met dynamische IP-adressen van cloudgebaseerde diensten, content delivery networks (CDN's) en API's van derde partijen die door de organisatie worden gebruikt.
Vanuit technisch oogpunt vereist de implementatie toegang tot Azure Portal of Azure PowerShell met voldoende rechten voor het wijzigen van NSG-configuraties. Meestal vereist dit ten minste de rol 'Network Contributor' of equivalente rechten via Azure RBAC. Voor organisaties die gebruikmaken van infrastructuur-als-code, is het aanbevolen om NSG-regels te beheren via Azure Resource Manager-templates of Terraform-configuraties, wat zorgt voor versiebeheer en geautomatiseerde implementaties. Deze aanpak maakt het mogelijk om wijzigingen te volgen, terug te draaien indien nodig en consistentie te waarborgen tussen verschillende omgevingen zoals development, test, acceptatie en productie. Bovendien vergemakkelijkt infrastructuur-als-code de implementatie van DevOps-praktijken waarbij netwerkconfiguraties worden geautomatiseerd en gevalideerd als onderdeel van continue integratie en continue deployment pipelines.
Tot slot is het belangrijk dat netwerkbeheerders beschikken over adequate kennis van netwerkbeveiligingsprincipes, inclusief het begrijpen van CIDR-notatie, IP-adresbereiken en de implicaties van firewallregels op netwerkverkeer. Tijdens de implementatie dient te worden gewerkt met een gefaseerde aanpak waarbij eerst alleen uitgaand verkeer wordt beperkt, gevolgd door inkomend verkeer, om onverwachte serviceonderbrekingen te voorkomen. Deze gefaseerde implementatie moet worden voorafgegaan door uitgebreide testen in een geïsoleerde testomgeving waarin verschillende scenario's kunnen worden gesimuleerd. Organisaties moeten bovendien beschikken over duidelijke procedures voor het hanteren van uitzonderingen en het toevoegen van nieuwe geautoriseerde bronnen wanneer dit nodig is voor bedrijfsoperaties. Het is aanbevolen om regelmatige trainingen te organiseren voor netwerkbeheerders om hen actueel te houden met de nieuwste ontwikkelingen in Azure-netwerkbeveiliging en best practices op dit gebied.
Naast de technische vereisten zijn er ook organisatorische aspecten die aandacht vereisen. De implementatie van HTTP- en HTTPS-toegangsbeperkingen heeft vaak invloed op meerdere afdelingen binnen een organisatie, waaronder de IT-afdeling, beveiligingsafdeling, compliance-afdeling en verschillende bedrijfsonderdelen. Het is daarom belangrijk om een werkgroep of projectteam samen te stellen waarin vertegenwoordigers van deze verschillende afdelingen zitting hebben. Dit team is verantwoordelijk voor het opstellen van het netwerkbeveiligingsbeleid, het inventariseren van legitieme diensten, het bepalen van de implementatiestrategie en het communiceren van wijzigingen naar betrokken partijen. Effectieve communicatie is cruciaal om weerstand tegen de maatregelen te voorkomen en om ervoor te zorgen dat alle stakeholders begrijpen waarom de beperkingen noodzakelijk zijn voor de beveiliging van de organisatie.
Financiële overwegingen spelen eveneens een rol bij de implementatie. Hoewel de basis NSG-functionaliteit zonder extra kosten beschikbaar is in Azure, kunnen er indirecte kosten ontstaan door de tijd die nodig is voor planning, implementatie en onderhoud. Organisaties moeten budget reserveren voor training van personeel, mogelijk externe expertise wanneer interne kennis ontbreekt, en voor monitoringtools die aanvullende functionaliteit bieden bovenop de standaard Azure-monitoringmogelijkheden. Daarnaast kan het gebruik van geavanceerde netwerkbeveiligingsfuncties zoals Azure Firewall of Network Virtual Appliances leiden tot aanvullende kosten, hoewel deze niet strikt noodzakelijk zijn voor de basisimplementatie van HTTP- en HTTPS-toegangsbeperkingen via NSG's.
Monitoring
Gebruik PowerShell-script http-https-access-restricted.ps1 (functie Invoke-Monitoring) – Controleren.
Effectieve monitoring van HTTP- en HTTPS-toegangsbeperkingen vormt een kritieke component van een robuuste netwerkbeveiligingsstrategie. Continu toezicht op netwerkbeveiligingsgroep-regels voor poorten 80 en 443 is essentieel om te garanderen dat de beveiligingsconfiguratie intact blijft en dat ongeautoriseerde wijzigingen tijdig worden gedetecteerd. Organisaties dienen regelmatig, bij voorkeur wekelijks of dagelijks, te controleren of de NSG-regels nog steeds correct zijn geconfigureerd en overeenkomen met het vastgestelde beveiligingsbeleid. Deze continue monitoring is van cruciaal belang omdat netwerkbeveiligingsconfiguraties niet statisch zijn, maar regelmatig worden aangepast aan veranderende bedrijfsvereisten, nieuwe diensten of technologische ontwikkelingen.
De monitoringactiviteiten moeten zich richten op verschillende aspecten van de netwerkbeveiligingsconfiguratie. Allereerst dient te worden gecontroleerd of er geen nieuwe regels zijn toegevoegd die HTTP- of HTTPS-verkeer toestaan vanaf onbeperkte bronadressen (0.0.0.0/0). Dergelijke regels vormen een aanzienlijk beveiligingsrisico omdat ze het principe van minimale privileges ondermijnen en het netwerk blootstellen aan potentiële aanvallen vanuit het openbare internet. Daarnaast moeten organisaties controleren op regels die worden gewijzigd zonder de juiste goedkeuring of autorisatie, wat kan duiden op ongeautoriseerde toegang of fouten in het configuratiebeheerproces.
Daarnaast is het van belang om te monitoren op regels die poorten 80 en 443 expliciet openstellen voor specifieke bronadressen, waarbij moet worden gecontroleerd of deze bronadressen nog steeds legitiem zijn en nodig zijn voor bedrijfsoperaties. Regelmatige reviews van de geautoriseerde bronadressen helpen voorkomen dat oude of niet meer gebruikte IP-adresbereiken onnodige toegang behouden, wat het aanvalsoppervlak vergroot. Deze reviews moeten worden uitgevoerd in samenwerking met de verschillende afdelingen binnen de organisatie om te verifiëren dat alle geautoriseerde bronadressen daadwerkelijk nog in gebruik zijn en noodzakelijk zijn voor de bedrijfsoperaties.
Naast passieve monitoring via configuratiecontroles, verdient het aanbeveling om ook actieve monitoring te implementeren met behulp van Azure Network Watcher of Azure Monitor. Deze diensten bieden inzicht in daadwerkelijk netwerkverkeer en kunnen waarschuwingen genereren wanneer er afwijkingen worden gedetecteerd in het verkeerspatroon. Door netwerkflow-logboeken te analyseren, kunnen beveiligingsteams anomalieën identificeren, zoals onverwacht hoge volumes aan HTTP- of HTTPS-verkeer of verbindingen vanaf niet-geautoriseerde bronadressen. Deze actieve monitoring maakt het mogelijk om niet alleen te detecteren wanneer configuraties worden gewijzigd, maar ook wanneer er daadwerkelijk ongeautoriseerde toegang wordt geprobeerd of wanneer er afwijkingen optreden in het netwerkverkeer.
Voor compliance-doeleinden is het essentieel om alle monitoringactiviteiten en controles te documenteren, inclusief de datum en tijd van uitvoering, de resultaten van de controle en eventuele afwijkingen die zijn geconstateerd. Deze documentatie vormt bewijs voor auditors en helpt organisaties te voldoen aan normen zoals BIO 13.01 en ISO 27001:2022 A.8.20, die eisen stellen aan netwerktoegangscontrole en -monitoring. De documentatie moet niet alleen de resultaten van de controles bevatten, maar ook de acties die zijn ondernomen om geconstateerde afwijkingen op te lossen, inclusief tijdlijnen en verantwoordelijke personen.
Een belangrijk aspect van effectieve monitoring is het gebruik van geautomatiseerde tools en scripts die regelmatig de NSG-configuraties controleren en waarschuwingen genereren wanneer er afwijkingen worden gedetecteerd. Deze automatisering maakt het mogelijk om monitoring te implementeren op een schaal die niet haalbaar is met handmatige controles alleen. PowerShell-scripts of Azure Policy-initiatieven kunnen worden gebruikt om automatisch te controleren of NSG-regels voldoen aan het vastgestelde beveiligingsbeleid en om waarschuwingen te genereren wanneer dit niet het geval is. Deze geautomatiseerde controles moeten worden aangevuld met regelmatige handmatige reviews door beveiligingsexperts om ervoor te zorgen dat het beveiligingsbeleid correct wordt geïnterpreteerd en geïmplementeerd.
Tevens is het belangrijk om monitoring te implementeren op meerdere niveaus van de netwerkarchitectuur. Naast monitoring op het niveau van individuele NSG-regels, moeten organisaties ook monitoren op het niveau van netwerkinterfaces, subnetten en virtuele netwerken om een volledig beeld te krijgen van de netwerkbeveiligingsconfiguratie. Deze gelaagde monitoringbenadering maakt het mogelijk om afwijkingen te detecteren die mogelijk niet zichtbaar zijn wanneer alleen wordt gekeken naar individuele regels of configuraties. Bovendien helpt het organisaties om inzicht te krijgen in de algehele netwerkbeveiligingsposture en om trends te identificeren die kunnen duiden op structurele problemen in de netwerkbeveiligingsconfiguratie.
Tot slot moeten organisaties een proces hebben voor het reageren op geconstateerde afwijkingen tijdens monitoringactiviteiten. Dit proces moet duidelijke stappen bevatten voor het verifiëren van afwijkingen, het bepalen van de ernst en impact, het implementeren van remediërende maatregelen en het documenteren van alle genomen acties. Het proces moet ook voorzien in escalatieprocedures voor ernstige afwijkingen die onmiddellijke aandacht vereisen, zoals ongeautoriseerde wijzigingen in productieomgevingen of pogingen tot ongeautoriseerde toegang tot netwerkresources. Door een gestructureerd proces te hebben voor het reageren op geconstateerde afwijkingen, kunnen organisaties ervoor zorgen dat beveiligingsincidenten snel worden opgelost en dat de impact op bedrijfsoperaties wordt geminimaliseerd.
Compliance en Auditing
Het implementeren van HTTP- en HTTPS-toegangsbeperkingen draagt significant bij aan het voldoen aan verschillende compliance-eisen en beveiligingsnormen die gelden voor Nederlandse overheidsorganisaties en bedrijven die werken met gevoelige informatie. De Baseline Informatiebeveiliging Overheid (BIO) controle 13.01 richt zich specifiek op netwerktoegangscontrole en authenticatie, waarbij wordt geëist dat organisaties passende maatregelen treffen om ongeautoriseerde toegang tot netwerkresources te voorkomen. Door HTTP- en HTTPS-verkeer te beperken tot geautoriseerde bronnen, voldoen organisaties aan het fundamentale principe van minimale netwerkprivileges dat centraal staat in de BIO-normen. Deze normen zijn ontwikkeld om Nederlandse overheidsorganisaties te helpen bij het implementeren van passende beveiligingsmaatregelen en vormen een concrete vertaling van internationale best practices naar de Nederlandse context.
De ISO 27001:2022 norm, specifiek control A.8.20 genaamd 'Networks security', vereist dat organisaties netwerkbeveiligingsmechanismen implementeren om te beschermen tegen bedreigingen en om de beschikbaarheid, integriteit en vertrouwelijkheid van informatie te waarborgen. Het beperken van HTTP- en HTTPS-toegang vormt een concrete implementatie van deze eis, omdat het direct bijdraagt aan het verminderen van het aanvalsoppervlak en het voorkomen van ongeautoriseerde toegang tot netwerkdiensten. Deze internationale norm wordt wereldwijd erkend als een best practice voor informatiebeveiligingsmanagement en helpt organisaties bij het implementeren van een gestructureerde aanpak voor het beheren van informatiebeveiligingsrisico's. Voor organisaties die ISO 27001-gecertificeerd willen worden of blijven, is het implementeren van netwerkbeveiligingsmaatregelen zoals toegangsbeperkingen een essentiële vereiste.
Bij audits en compliance-controles wordt verwacht dat organisaties kunnen aantonen dat netwerktoegangsbeperkingen daadwerkelijk zijn geïmplementeerd en worden onderhouden. Dit betekent dat auditlogboeken moeten worden bijgehouden die documenteren wanneer NSG-regels zijn gewijzigd, wie deze wijzigingen heeft doorgevoerd, en welke beveiligingsreviews zijn uitgevoerd. Azure biedt hierbij ondersteuning via Activity Logs en Azure Policy, waarmee organisaties kunnen traceren wie toegang heeft tot NSG-configuraties en welke wijzigingen zijn aangebracht. Deze auditlogboeken vormen cruciaal bewijsmateriaal tijdens compliance-audits en helpen organisaties te demonstreren dat zij actief werken aan het handhaven van netwerkbeveiligingsconfiguraties. Daarnaast maken deze logboeken het mogelijk om trends te identificeren in netwerkconfiguratiewijzigingen en om afwijkingen te detecteren die kunnen duiden op ongeautoriseerde toegang of fouten in het configuratiebeheerproces.
Voor Nederlandse organisaties die vallen onder de NIS2-richtlijn of de Europese Cybersecurity Act, vormt het implementeren van netwerkbeveiligingsmaatregelen zoals toegangsbeperkingen een essentieel onderdeel van de due diligence. Deze regelgeving verplicht organisaties om passende technische en organisatorische maatregelen te treffen om de beveiliging van netwerk- en informatiesystemen te waarborgen. Het ontbreken van dergelijke maatregelen kan leiden tot nalevingsproblemen en mogelijke boetes of andere sancties. De NIS2-richtlijn richt zich specifiek op essentiële diensten en belangrijke entiteiten en verplicht deze organisaties om passende beveiligingsmaatregelen te implementeren en incidenten te melden aan relevante autoriteiten. Netwerkbeveiligingsmaatregelen zoals toegangsbeperkingen vormen een belangrijke component van de technische beveiligingsmaatregelen die worden vereist door deze regelgeving.
Naast formele compliance-eisen, draagt de implementatie van HTTP- en HTTPS-toegangsbeperkingen ook bij aan het voldoen aan algemene beveiligingsbest practices en frameworks zoals het NIST Cybersecurity Framework en de CIS Controls. Deze frameworks benadrukken het belang van netwerksegmentatie en toegangscontrole als fundamentele beveiligingsmaatregelen. Door deze maatregelen te implementeren, demonstreren organisaties hun inzet voor informatiebeveiliging en verkleinen ze het risico op succesvolle cyberaanvallen. Het NIST Cybersecurity Framework biedt een gestructureerde aanpak voor het identificeren, beschermen, detecteren, reageren en herstellen van beveiligingsincidenten, en netwerkbeveiligingsmaatregelen zoals toegangsbeperkingen vormen een belangrijk onderdeel van de 'Protect'-fase van dit framework.
Voor Nederlandse organisaties die werken met persoonsgegevens, is ook de Algemene Verordening Gegevensbescherming (AVG) van belang. Hoewel de AVG niet specifiek eisen stelt aan netwerkbeveiligingsconfiguraties, vereist artikel 32 van de AVG dat organisaties passende technische en organisatorische maatregelen treffen om persoonsgegevens te beschermen tegen ongeautoriseerde toegang, verlies, vernietiging of wijziging. Netwerkbeveiligingsmaatregelen zoals HTTP- en HTTPS-toegangsbeperkingen dragen bij aan het voldoen aan deze eis door het risico op ongeautoriseerde toegang tot systemen die persoonsgegevens bevatten te verminderen. Organisaties die persoonsgegevens verwerken moeten kunnen aantonen dat zij passende beveiligingsmaatregelen hebben geïmplementeerd, en netwerktoegangsbeperkingen vormen een belangrijk onderdeel van deze maatregelen.
Tijdens compliance-audits wordt vaak verwacht dat organisaties kunnen aantonen dat beveiligingsmaatregelen niet alleen zijn geïmplementeerd, maar ook regelmatig worden gecontroleerd en bijgewerkt. Dit betekent dat organisaties regelmatige beveiligingsreviews moeten uitvoeren en moeten kunnen aantonen dat zij actief werken aan het handhaven van hun beveiligingsconfiguraties. De implementatie van monitoring en auditingprocessen voor HTTP- en HTTPS-toegangsbeperkingen helpt organisaties te voldoen aan deze verwachtingen en maakt het mogelijk om tijdens audits te demonstreren dat beveiligingsmaatregelen daadwerkelijk worden onderhouden en gecontroleerd. Bovendien helpen deze processen organisaties om tijdig afwijkingen te detecteren en te corrigeren, wat het risico op beveiligingsincidenten en compliance-problemen vermindert.
Remediatie
Gebruik PowerShell-script http-https-access-restricted.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer tijdens monitoring- of auditactiviteiten wordt geconstateerd dat HTTP- en HTTPS-toegangsbeperkingen niet correct zijn geconfigureerd, is het van cruciaal belang om snel remediërende maatregelen te treffen. De remediatieprocedure begint met een grondige analyse van de huidige NSG-configuratie om te identificeren welke regels moeten worden aangepast, toegevoegd of verwijderd. Deze analyse moet worden uitgevoerd door een gekwalificeerde netwerkbeheerder die beschikt over voldoende kennis van de bedrijfsprocessen en de legitieme netwerkvereisten van de organisatie. Tijdens deze analyse is het belangrijk om niet alleen te kijken naar de technische configuratie, maar ook naar de bedrijfscontext en de impact die wijzigingen kunnen hebben op verschillende afdelingen en diensten binnen de organisatie.
De eerste stap in het remediatieproces is het documenteren van alle huidige NSG-regels die betrekking hebben op poorten 80 en 443. Dit omvat het vastleggen van de bron- en doeladressen, de actie (toestaan of weigeren), de prioriteit van de regel en de naam of beschrijving van de regel. Deze documentatie vormt een baseline voor de huidige configuratie en helpt voorkomen dat legitieme diensten per ongeluk worden geblokkeerd tijdens het remediatieproces. Daarnaast moet worden vastgelegd wanneer elke regel is aangemaakt, door wie deze is aangemaakt, en wat de bedrijfsreden is voor het bestaan van de regel. Deze informatie is essentieel om te begrijpen of een regel nog steeds nodig is of kan worden verwijderd zonder impact op bedrijfsoperaties.
Vervolgens moeten alle regels die HTTP- of HTTPS-verkeer toestaan vanaf onbeperkte bronadressen (0.0.0.0/0) worden geïdentificeerd. Deze regels vormen het grootste beveiligingsrisico en dienen als eerste te worden aangepakt. In plaats van deze regels volledig te verwijderen, wat kan leiden tot serviceonderbrekingen, dienen organisaties een gefaseerde aanpak te volgen waarbij eerst de toegestane bronadressen worden beperkt tot specifieke, geautoriseerde IP-adresbereiken. Tijdens deze gefaseerde aanpak is het belangrijk om nauw samen te werken met de verschillende afdelingen binnen de organisatie om te identificeren welke bronadressen legitiem zijn en nodig zijn voor bedrijfsoperaties. Deze samenwerking helpt voorkomen dat legitieme diensten worden geblokkeerd en zorgt ervoor dat alle stakeholders betrokken zijn bij het remediatieproces.
Tijdens het implementeren van remediatiemaatregelen is het belangrijk om te werken met een wijzigingsbeheerproces dat zorgt voor adequate testen voordat wijzigingen in productieomgevingen worden doorgevoerd. Indien mogelijk, moeten wijzigingen eerst worden getest in een test- of acceptatieomgeving om te verifiëren dat legitieme diensten blijven functioneren. Daarnaast dienen organisaties een rollback-plan te hebben voor het geval dat de remediatiemaatregelen onverwachte gevolgen hebben voor bedrijfskritieke processen. Het wijzigingsbeheerproces moet voorzien in adequate communicatie naar betrokken stakeholders, inclusief de verschillende afdelingen die mogelijk worden beïnvloed door de wijzigingen. Deze communicatie helpt voorkomen dat bedrijfsoperaties worden verstoord en zorgt ervoor dat alle partijen op de hoogte zijn van de geplande wijzigingen en de verwachte impact.
Na de implementatie van remediatiemaatregelen moet een na-implementatiereview worden uitgevoerd om te verifiëren dat de wijzigingen correct zijn doorgevoerd en dat de beveiligingsconfiguratie nu voldoet aan het vastgestelde beleid. Deze review moet worden gedocumenteerd en gedeeld met relevante stakeholders, waaronder het beveiligingsteam, de compliance-afdeling en het management. Tot slot dienen organisaties de monitoringfrequentie tijdelijk te verhogen na het implementeren van remediatiemaatregelen om te zorgen dat geen nieuwe afwijkingen ontstaan. Deze verhoogde monitoring moet worden gehandhaafd gedurende een periode die lang genoeg is om te verifiëren dat de remediatiemaatregelen effectief zijn en geen onbedoelde gevolgen hebben voor bedrijfsoperaties.
Voor ernstige afwijkingen die een onmiddellijk beveiligingsrisico vormen, kan het nodig zijn om een snellere remediatieaanpak te volgen waarbij kritieke regels worden aangepast of verwijderd zonder de volledige wijzigingsbeheerprocedure te doorlopen. In dergelijke gevallen is het belangrijk om de wijzigingen zo snel mogelijk te documenteren en achteraf een volledige analyse uit te voeren om te verifiëren dat de genomen maatregelen correct zijn en geen onbedoelde gevolgen hebben gehad. Deze spoedremediatieprocedures moeten duidelijk zijn gedefinieerd in het beveiligingsbeleid en moeten voorzien in adequate communicatie en documentatie om ervoor te zorgen dat alle stakeholders op de hoogte zijn van de genomen maatregelen en de redenen daarvoor.
Tijdens het remediatieproces is het ook belangrijk om te leren van geconstateerde afwijkingen en om maatregelen te treffen om te voorkomen dat soortgelijke afwijkingen in de toekomst opnieuw optreden. Dit kan betekenen dat er aanvullende controles worden geïmplementeerd in het configuratiebeheerproces, dat er extra training wordt gegeven aan netwerkbeheerders, of dat er geautomatiseerde controles worden ingevoerd die waarschuwingen genereren wanneer configuraties worden gewijzigd op een manier die niet voldoet aan het beveiligingsbeleid. Door deze preventieve maatregelen te implementeren, kunnen organisaties ervoor zorgen dat afwijkingen in de toekomst sneller worden gedetecteerd en voorkomen voordat zij een beveiligingsrisico vormen.
Compliance & Frameworks
- BIO: 13.01 - Netwerktoegangscontrole en authenticatie
- ISO 27001:2022: A.8.20 - Netwerkbeveiliging
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
HTTP/HTTPS Access Restricted
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 6.8
Controleert restrictieve NSG rules voor HTTP/HTTPS toegang.
.NOTES
Filename: http-https-access-restricted.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 6.8
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Network
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "HTTP/HTTPS Access Restricted"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$nsgs = Get-AzNetworkSecurityGroup -ErrorAction SilentlyContinue
$result = @{ TotalNSGs = $nsgs.Count; WithHTTPRules = 0 }
foreach ($nsg in $nsgs) {
$httpRules = $nsg.SecurityRules | Where-Object {
($_.DestinationPortRange -eq '80' -or $_.DestinationPortRange -eq '443' -or
$_.DestinationPortRange -eq '80-443') -and $_.Direction -eq 'Inbound'
}
if ($httpRules) { $result.WithHTTPRules++ }
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total NSGs: $($r.TotalNSGs)" -ForegroundColor White
Write-Host "With HTTP/HTTPS Rules: $($r.WithHTTPRules)" -ForegroundColor Yellow
Write-Host "`nℹ️ Controleer dat HTTP/HTTPS regels restrictief zijn" -ForegroundColor Gray
}
else {
$r = Test-Compliance
Write-Host "`nHTTP/HTTPS Rules: $($r.WithHTTPRules)/$($r.TotalNSGs) NSGs"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total NSGs: $($r.TotalNSGs)" -ForegroundColor White
Write-Host "With HTTP/HTTPS Rules: $($r.WithHTTPRules)" -ForegroundColor Yellow
Write-Host "`nℹ️ Controleer dat HTTP/HTTPS regels restrictief zijn" -ForegroundColor Gray
}
else {
$r = Test-Compliance
Write-Host "`nHTTP/HTTPS Rules: $($r.WithHTTPRules)/$($r.TotalNSGs) NSGs"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Onbeperkte HTTP/HTTPS-toegang betekent onnodige blootstelling van webdiensten aan het publieke internet, wat het aanvalsoppervlak aanzienlijk vergroot. Vanuit compliance-perspectief vereisen normen zoals BIO en ISO 27001 het principe van minimale netwerkprivileges, wat betekent dat toegang alleen mag worden verleend wanneer dit strikt noodzakelijk is. Het risico wordt geclassificeerd als medium en betreft met name toegangscontrole en netwerkbeveiliging. Zonder deze beperkingen lopen organisaties een verhoogd risico op ongeautoriseerde toegang, data-exfiltratie en potentiële schendingen van compliance-eisen.
Management Samenvatting
HTTP/HTTPS Toegangsbeperking: Netwerkbeveiligingsgroep-regels beperken webverkeer tot uitsluitend specifieke geautoriseerde bronnen en bestemmingen (niet 0.0.0.0/0). Dit implementeert het principe van minimale netwerkprivileges door alleen noodzakelijk webverkeer toe te staan. Activering: NSG-regels configureren om HTTP/HTTPS te beperken. Geen additionele licentiekosten. Implementatietijd: 2-3 uur. Verhoogt de netwerkbeveiliging door ongewenst webverkeer te blokkeren.
- Implementatietijd: 3 uur
- FTE required: 0.03 FTE