Network Security
Azure Network Security: Application Gateway Web Application Firewall
Azure Application Gateway met Web Application Firewall (WAF) vormt een essentiële verdedigingslaag voor internetgerichte webapplicaties van Nederlandse overheidsorganisaties. Waar traditionele netwerkfirewalls verkeer filteren op poort- en IP-niveau, analyseert WAF HTTP(S)-verkeer diepgaand op patronen die wijzen op SQL-injectie, Cross-Site Scripting (XSS), Remote Code Execution (RCE) en andere OWASP Top 10-risico's. Door WAF centraal te positioneren in combinatie met loadbalancing en TLS-terminatie, ontstaat een strategisch aangrijpingspunt waar beveiligingsbeleid consistent kan worden afgedwongen en gemonitord over meerdere applicaties en omgevingen heen.
Azure Firewall Geïmplementeerd In Hubs
Deze beveiligingsregel waarborgt de correcte configuratie van Azure Firewall in een hub-spoke topologie en beschermt tegen beveiligingsrisico's door gecentraliseerde netwerkbeveiliging te implementeren.
Azure Firewall: Implementatie En Configuratie
Azure Firewall vormt een essentiële beveiligingslaag voor Azure Virtual Networks en hybride cloudomgevingen van Nederlandse overheidsorganisaties. Als volledig beheerde, stateful firewall-as-a-service biedt Azure Firewall geavanceerde netwerkfiltering, threat intelligence-integratie, FQDN-filtering en NAT-capaciteiten die organisaties in staat stellen om consistente beveiligingscontroles af te dwingen over alle netwerkverkeer binnen en tussen cloudomgevingen. In tegenstelling tot traditionele netwerkbeveiligingsgroepen die werken op Layer 3 en 4, biedt Azure Firewall diepgaande inspectie op applicatieniveau, waardoor organisaties kunnen beschermen tegen moderne bedreigingen zoals malware, ransomware en geavanceerde persistent threats (APT's) die via netwerkverkeer worden verspreid.
Azure Bastion Geïmplementeerd
Azure Bastion biedt een beheerde, veilige manier om verbinding te maken met virtuele machines in Azure zonder dat deze virtuele machines een openbaar IP-adres of directe internettoegang nodig hebben. Deze beveiligingsmaatregel waarborgt de correcte configuratie van externe toegang en beschermt organisaties tegen aanzienlijke beveiligingsrisico's die gepaard gaan met traditionele RDP- en SSH-verbindingen.
Bastion Voor Admin Access
Deze beveiligingsmaatregel waarborgt de correcte configuratie van Azure Bastion voor administratieve toegang en beschermt tegen kritieke beveiligingsrisico's door het afdwingen van veilige externe toegangsmethoden.
DDoS Protection Ingeschakeld Voor Azure Virtual Networks
DDoS Protection vormt een fundamentele beveiligingsmaatregel voor alle Azure-resources die publiekelijk toegankelijk zijn via het internet. Zonder adequate DDoS-bescherming zijn organisaties kwetsbaar voor gedistribueerde denial-of-service aanvallen die de beschikbaarheid van kritieke diensten kunnen verstoren en aanzienlijke operationele en financiële schade kunnen veroorzaken.
Azure: Schakel In DDoS Bescherming Standard
Azure DDoS Protection Standard biedt geavanceerde DDoS-mitigatie met actieve verdediging tegen volumetrische, protocol- en applicatielaag-aanvallen, terwijl de Basic-versie passief is en slechts beperkte bescherming biedt.
ExpressRoute Hybrid Connectivity
ExpressRoute biedt een dedicated private verbinding tussen on-premises infrastructuur en Azure cloud services, zonder gebruik te maken van het publieke internet.
HTTP/HTTPS Toegangsbeperking
Deze beveiligingsmaatregel waarborgt de correcte configuratie van netwerktoegang en beschermt tegen beveiligingsrisico's door ongeautoriseerde toegang tot webdiensten te voorkomen.
Hub-Spoke Network Topology
Deze beveiligingsmaatregel is essentieel voor het waarborgen van een veilige cloudomgeving en beschermt tegen ongeautoriseerde toegang en datalekken.
Netwerkbeleidsregels Gedocumenteerd
Deze beveiligingsregel waarborgt de correcte configuratie van netwerkbeleidsregels en beschermt tegen beveiligingsrisico's door middel van volledige en actuele documentatie.
Network Security Groups: Configuratie En Best Practices
Network Security Groups (NSG's) vormen de fundamentele beveiligingslaag voor Azure Virtual Networks en zijn essentieel voor het implementeren van netwerksegmentatie en toegangscontrole op subnet- en netwerkinterfaceniveau. Zonder correct geconfigureerde NSG's zijn Azure-resources blootgesteld aan ongeautoriseerd netwerkverkeer, wat kan leiden tot datalekken, ongeautoriseerde toegang en compliance-schendingen.
Azure Network Security Groups: Fundament Voor Netwerkbeveiliging
Azure Network Security Groups (NSG's) vormen het fundament van netwerkbeveiliging binnen Azure Virtual Networks en zijn essentieel voor het implementeren van een verdedigingsstrategie in meerdere lagen. Als stateful firewalls op netwerkniveau bieden NSG's gedetailleerde controle over inkomend en uitgaand verkeer naar Azure-resources zoals virtuele machines, subnetten en netwerkinterfaces. In tegenstelling tot traditionele hardware firewalls werken NSG's als gedistribueerde beveiligingscontroles die direct zijn geïntegreerd in de Azure-netwerkinfrastructuur, waardoor organisaties granulair verkeer kunnen filteren op basis van bron- en doel-IP-adressen, poorten, protocollen en service tags. Voor Nederlandse overheidsorganisaties die moeten voldoen aan BIO, NIS2 en ISO 27001 vormen NSG's een verplichte beveiligingslaag die voorkomt dat ongeautoriseerd verkeer kritieke workloads bereikt en die laterale beweging van aanvallers binnen netwerken beperkt.
Netwerksegmentatie Geïmplementeerd
Netwerksegmentatie vormt de fundamentele beveiligingsarchitectuur voor Azure cloudomgevingen en is essentieel voor het waarborgen van een veilige en gecontroleerde netwerkomgeving. Deze beveiligingsmaatregel beschermt organisaties tegen ongeautoriseerde toegang, laterale beweging door aanvallers en potentiële datalekken door het netwerk op te delen in logische en fysieke segmenten met strikte toegangscontroles.
Netwerksegmentatie: Architectuur En Implementatie
Netwerksegmentatie vormt een fundamentele beveiligingsstrategie voor Azure-omgevingen van Nederlandse overheidsorganisaties en is essentieel voor het implementeren van een defense-in-depth benadering en Zero Trust-architectuur. Door netwerken logisch en fysiek te scheiden in verschillende segmenten op basis van beveiligingsvereisten, vertrouwensniveaus en functionele behoeften, kunnen organisaties de impact van beveiligingsincidenten beperken, ongeautoriseerde toegang voorkomen en compliance met relevante frameworks waarborgen. Netwerksegmentatie gaat verder dan alleen het maken van verschillende subnetten: het vereist een doordacht architectuurontwerp waarbij netwerkverkeer wordt gecontroleerd, geïsoleerd en gemonitord op basis van expliciete beveiligingsbeleid en bedrijfsvereisten.
Azure Network Watcher Ingeschakeld Per Region
Azure Network Watcher moet ingeschakeld zijn in elke Azure-regio waar resources zijn geïmplementeerd om netwerkdiagnostiek, monitoring, connectiviteitsprobleemoplossing en beveiligingsanalyses mogelijk te maken via NSG Flow Logs, Traffic Analytics en netwerktopologievisualisatie.
Geen Brede NSG-regels
Network Security Groups (NSG's) vormen de eerste verdedigingslinie in Azure-netwerken door netwerkverkeer te filteren op basis van IP-adressen, poorten en protocollen. Deze beveiligingscomponenten werken als een virtuele firewall die bepaalt welke netwerkverkeer wordt toegestaan of geblokkeerd tussen verschillende resources binnen een Azure-omgeving. Brede NSG-regels die gebruik maken van wildcards zoals 'Any' voor bron- of bestemmingsadressen creëren echter onnodige beveiligingsrisico's en schenden het principe van minimale benodigde netwerktoegang. Het toepassen van specifieke IP-adressen en poorten is essentieel voor het handhaven van een sterke beveiligingspostuur in cloudomgevingen.
Azure: Geen Publieke IP-adressen Op Virtuele Machines
Geen publieke IP-adressen op virtuele machines - alle beheerders toegang verloopt via Azure Bastion of VPN (Zero Trust: beheerinterfaces nooit blootstellen aan internet).
No RDP/SSH Van Internet
Deze beveiligingscontrole waarborgt de correcte configuratie en beschermt tegen beveiligingsrisico's.
NSG Geconfigureerd Alle Subnets
Deze beveiligingsregel waarborgt de correcte configuratie van Netwerkbeveiligingsgroepen (NSG's) op alle subnetten binnen Azure Virtual Networks en beschermt organisaties tegen beveiligingsrisico's door ongefilterd netwerkverkeer.
Azure NSG: Standaard Deny Alle Verkeer
Netwerkbeveiligingsgroepen (NSG's) moeten standaard een 'blokkeer alles'-regel bevatten met een whitelist-benadering. Dit betekent dat alleen expliciet toegestaan verkeer wordt doorgelaten, in lijn met het Zero Trust-principe: nooit vertrouwen, altijd verifiëren.
NSG Standaard Deny Rules
Deze beveiligingsregel waarborgt de correcte configuratie van Network Security Groups met standaard deny-regels en beschermt tegen beveiligingsrisico's door ongeautoriseerd netwerkverkeer te blokkeren.
NSG Flow Logs Retentie 90 Dagen
Deze beveiligingsregel waarborgt de correcte configuratie van retentieperiodes voor NSG Flow Logs en beschermt organisaties tegen beveiligingsrisico's door onvoldoende forensische capaciteit.
NSG Flow Logs Ingeschakeld
NSG Flow Logs bieden essentiële netwerkzichtbaarheid door gedetailleerde informatie te verzamelen over al het verkeer dat door Network Security Groups wordt gecontroleerd, wat cruciaal is voor beveiligingsmonitoring, forensische analyse en compliance-naleving.
NSG Flow Logs Retentiebeleid
Het retentiebeleid voor Network Security Group (NSG) Flow Logs vormt een kritieke component binnen de netwerkbeveiligingsstrategie van Azure-omgevingen. Deze beveiligingsmaatregel waarborgt dat netwerkverkeerslogboeken gedurende een voldoende lange periode worden bewaard, waardoor organisaties in staat zijn om forensische analyses uit te voeren, compliance-vereisten na te leven en beveiligingsincidenten effectief te onderzoeken. Zonder een adequaat retentiebeleid lopen organisaties het risico dat essentiële bewijsstukken verloren gaan, wat de mogelijkheid om cyberaanvallen te traceren en te analyseren aanzienlijk beperkt.
Private DNS Zones Geconfigureerd
Private DNS zones vormen een essentieel onderdeel van een veilige Azure-netwerkinfrastructuur voor privé endpoints. Deze zones zorgen ervoor dat naamresolutie binnen het privénetwerk plaatsvindt zonder dat verkeer het openbare internet hoeft te passeren, wat een fundamenteel principe is van Zero Trust-architectuur.
Azure Private Endpoints: Inschakelen En Configureren Voor Netwerkisolatie
Azure Private Endpoints vormen een fundamentele beveiligingsmaatregel die Platform-as-a-Service (PaaS) diensten binnen een Azure Virtual Network brengt met privé IP-adressen, waardoor publieke internetblootstelling volledig wordt geëlimineerd. Het inschakelen van Private Endpoints is essentieel voor het implementeren van Zero Trust-architectuur, netwerksegmentatie en compliance met moderne beveiligingsstandaarden zoals NIS2, ISO 27001 en BIO. Deze netwerkisolatie is niet langer optioneel maar een verplichte beveiligingsmaatregel voor alle productieomgevingen die gevoelige gegevens verwerken of kritieke bedrijfsfunctionaliteit leveren.
Private Link Endpoints Voor PaaS
Privé-eindpunten (Private Endpoints) vormen een kritieke beveiligingslaag voor Platform-as-a-Service (PaaS) services in Azure. Door PaaS-services te koppelen aan een virtueel netwerk via privé-eindpunten, elimineert u publieke internettoegang en creëert u een geïsoleerde, beveiligde omgeving die volledig voldoet aan Zero Trust-principes en Nederlandse compliance-eisen zoals de BIO en NIS2.
Periodieke Evaluatie Van Publieke IP-adressen
Deze beveiligingsmaatregel waarborgt de correcte configuratie van publieke IP-adressen en beschermt tegen beveiligingsrisico's door het periodiek evalueren en opruimen van ongebruikte netwerkresources.
RDP Toegang Beperkt Vanaf Internet
RDP-toegang (TCP-poort 3389) vanaf internet moet worden geblokkeerd via Netwerkbeveiligingsgroepen om brute force-aanvallen, credential stuffing en geautomatiseerde exploitatie te voorkomen. Gebruik in plaats daarvan Azure Bastion of Just-in-Time (JIT) toegang voor veilige remote access.
SSH Toegang Beperkt Vanaf Internet
Het blokkeren van SSH-toegang (TCP-poort 22) vanaf het publieke internet via netwerkbeveiligingsgroepregels voorkomt brute-force-aanvallen, credential stuffing en geautomatiseerde scans tegen Linux- en Unix-servers, waarbij veilige alternatieven zoals Azure Bastion of Just-In-Time VM Access worden gebruikt voor legitieme administratieve toegang.
Traffic Analytics Ingeschakeld
Deze beveiligingsregeling waarborgt de correcte configuratie van Traffic Analytics en beschermt tegen beveiligingsrisico's door geavanceerde netwerkmonitoring.
UDP-toegang Beperkt
Deze beveiligingsregel waarborgt de correcte configuratie van UDP-toegang en beschermt tegen beveiligingsrisico's door onnodige poorten te blokkeren.
VNet Flow Loggen Retention 90 Days
VNet Flow Log retentie van minimaal 90 dagen vormt een kritieke beveiligingsmaatregel voor netwerkforensisch onderzoek en compliance-verificatie binnen Azure-omgevingen. Deze configuratie waarborgt dat organisaties voldoende historische netwerkverkeersdata beschikbaar hebben voor incidentrespons, beveiligingsaudits en naleving van Nederlandse overheidsstandaarden zoals de Baseline Informatiebeveiliging Overheid (BIO).
VNet Service Endpoints Geconfigureerd
VNet service endpoints vormen een beveiligingsmechanisme dat directe, beveiligde connectiviteit tussen virtuele netwerken en Azure PaaS-services mogelijk maakt via het Azure-backbonenetwerk, zonder dat verkeer via het publieke internet hoeft te gaan.
Azure VPN Gateway: Configuratie En Implementatie
Azure VPN Gateway vormt de kritieke component voor het opzetten van beveiligde, versleutelde verbindingen tussen Azure Virtual Networks en on-premises netwerken of externe locaties. Als managed service biedt VPN Gateway zowel site-to-site als point-to-site connectiviteit met ondersteuning voor moderne IPsec/IKE-protocollen, automatische failover en hoge beschikbaarheid. Voor Nederlandse overheidsorganisaties die hybride netwerkarchitecturen implementeren is VPN Gateway essentieel voor het waarborgen van veilige gegevensoverdracht tussen cloud en on-premises omgevingen, het ondersteunen van zero-trust netwerkarchitecturen, en het voldoen aan compliance-eisen voor netwerkversleuteling zoals BIO norm 10.01 en ISO 27001:2022 controle A.8.24.
VPN Gateway Veilige Configuratie
Deze beveiligingsregel waarborgt de correcte configuratie van VPN Gateways en beschermt tegen beveiligingsrisico's door het afdwingen van sterke versleuteling en moderne protocollen.
Azure Web Application Firewall: WAF Implementeren Voor Internetgerichte Applicaties
Elke internetgerichte webapplicatie die diensten levert aan burgers, ketenpartners of interne gebruikers van Nederlandse overheidsorganisaties moet achter Azure Web Application Firewall (WAF) worden geplaatst. Deze beveiligingslaag onderschept en filtert verkeer voordat het de applicatie raakt, waardoor OWASP Top 10-aanvallen, botactiviteiten en brute-force pogingen in de perimeter worden gestopt en de kans op een incident drastisch daalt.