💼 Management Samenvatting
Azure VPN Gateway vormt de kritieke component voor het opzetten van beveiligde, versleutelde verbindingen tussen Azure Virtual Networks en on-premises netwerken of externe locaties. Als managed service biedt VPN Gateway zowel site-to-site als point-to-site connectiviteit met ondersteuning voor moderne IPsec/IKE-protocollen, automatische failover en hoge beschikbaarheid. Voor Nederlandse overheidsorganisaties die hybride netwerkarchitecturen implementeren is VPN Gateway essentieel voor het waarborgen van veilige gegevensoverdracht tussen cloud en on-premises omgevingen, het ondersteunen van zero-trust netwerkarchitecturen, en het voldoen aan compliance-eisen voor netwerkversleuteling zoals BIO norm 10.01 en ISO 27001:2022 controle A.8.24.
Aanbeveling
IMPLEMENTEER VPN GATEWAYS VOOR ALLE BENODIGDE HYBRIDE NETWERKVERBINDINGEN
Risico zonder
High
Risk Score
9/10
Implementatie
84u (tech: 60u)
Van toepassing op:
✓ Azure Virtual Networks
✓ Hybride netwerken
✓ Site-to-Site VPN
✓ Point-to-Site VPN
✓ ExpressRoute
✓ Hybride netwerken
✓ Site-to-Site VPN
✓ Point-to-Site VPN
✓ ExpressRoute
Zonder correct geconfigureerde VPN Gateways kunnen organisaties geen veilige verbindingen tot stand brengen tussen Azure en on-premises netwerken, wat leidt tot geïsoleerde cloudomgevingen die niet kunnen profiteren van hybride architecturen. Het ontbreken van VPN Gateways betekent dat organisaties afhankelijk zijn van publieke internetverbindingen zonder versleuteling voor gegevensoverdracht, wat aanzienlijke beveiligingsrisico's creëert voor gevoelige overheidsinformatie. Zonder VPN Gateways kunnen gebruikers niet veilig verbinden met Azure-resources vanaf externe locaties, kunnen on-premises systemen niet geïntegreerd worden met cloudservices, en kunnen organisaties niet voldoen aan netwerkbeveiligingsvereisten zoals gespecificeerd in BIO, ISO 27001 en NIS2. Het ontbreken van VPN Gateways beperkt ook de mogelijkheid om disaster recovery-scenario's te implementeren waarbij on-premises systemen kunnen failover naar Azure, en voorkomt dat organisaties profiteren van cloud-schaalbaarheid terwijl ze on-premises investeringen behouden. Voor Nederlandse overheidsorganisaties die moeten voldoen aan compliance-frameworks zoals BIO norm 10.01 (cryptografie), ISO 27001:2022 controle A.8.24 (cryptografie) en NIS2 artikel 21 (technische maatregelen) is het ontbreken van VPN Gateways onacceptabel: deze frameworks vereisen expliciete netwerkversleuteling, beveiligde verbindingsprotocollen en aantoonbare maatregelen tegen netwerkgebaseerde bedreigingen. Tijdens audits zal het ontbreken van VPN Gateways worden gezien als een structurele tekortkoming in de netwerkbeveiligingsmaatregelen die kan leiden tot negatieve auditbevindingen en mogelijke boetes.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Network, Az.Resources, Az.Accounts
Connection:
Connect-AzAccountRequired Modules: Az.Network, Az.Resources, Az.Accounts
Implementatie
Dit artikel beschrijft hoe organisaties binnen de Nederlandse Baseline voor Veilige Cloud Azure VPN Gateways implementeren en configureren voor beveiligde hybride netwerkconnectiviteit. De focus ligt op vijf hoofdcomponenten. Ten eerste architectuur en ontwerp: het begrijpen van VPN Gateway-types en SKU's, het plannen van gateway-implementaties voor verschillende verbindingstypen, het ontwerpen van redundante configuraties voor hoge beschikbaarheid, en het integreren van VPN Gateways in bestaande netwerkarchitecturen zoals hub-spoke topologieën. Ten tweede basisconfiguratie en implementatie: het maken van VPN Gateway-resources, het configureren van IPsec/IKE-parameters, het opzetten van site-to-site en point-to-site verbindingen, het configureren van lokale netwerkgateways en verbindingen, en het valideren van verbindingsstatus en prestaties. Ten derde geavanceerde functies: het implementeren van actief-actief configuraties voor hoge beschikbaarheid, het configureren van BGP voor dynamische routing, het integreren met Azure Firewall en Network Security Groups, en het implementeren van custom IPsec/IKE-beleid voor specifieke beveiligingsvereisten. Ten vierde beveiligingsbest practices: het toepassen van sterke versleutelingsalgoritmen, het implementeren van certificaatgebaseerde authenticatie, het configureren van logging en monitoring, en het regelmatig reviewen en optimaliseren van gateway-configuraties. Ten vijfde operationalisatie en governance: het opzetten van change management-processen voor gateway-wijzigingen, het definiëren van verantwoordelijkheden, het implementeren van periodieke reviews en het borgen van compliance met relevante frameworks. Het bijbehorende PowerShell-script inventariseert alle VPN Gateways in een abonnement, controleert of gateways correct zijn geconfigureerd met passende instellingen en verbindingen, en identificeert ontbrekende of suboptimale configuraties die beveiligingsrisico's kunnen vormen.
Architectuur en fundamenten van VPN Gateway
Azure VPN Gateway vormt een fundamenteel onderdeel van hybride netwerkarchitecturen en werkt als een managed service die beveiligde, versleutelde verbindingen mogelijk maakt tussen Azure Virtual Networks en externe netwerken. In tegenstelling tot traditionele on-premises VPN-apparaten die fysiek moeten worden beheerd en geconfigureerd, is Azure VPN Gateway een volledig beheerde PaaS-service die automatisch wordt geïmplementeerd in een speciaal gateway-subnet binnen een Virtual Network. Deze architectuur biedt verschillende voordelen: VPN Gateways worden automatisch geüpdatet met de nieuwste beveiligingspatches, kunnen eenvoudig worden geschaald door SKU-wijzigingen, en bieden ingebouwde redundantie en failover-mogelijkheden. De gateway wordt geïmplementeerd als een set van twee actieve instanties in een actief-passief configuratie, of als twee actieve instanties in een actief-actief configuratie, wat zorgt voor hoge beschikbaarheid en automatische failover bij hardware- of netwerkproblemen.
VPN Gateways ondersteunen verschillende verbindingstypen die elk specifieke use cases adresseren. Site-to-Site VPN-verbindingen maken het mogelijk om complete on-premises netwerken te verbinden met Azure Virtual Networks via versleutelde IPsec-tunnels, wat ideaal is voor hybride scenario's waarbij on-premises workloads moeten communiceren met cloudresources. Point-to-Site VPN-verbindingen maken het mogelijk voor individuele gebruikers om vanaf externe locaties veilig verbinding te maken met Azure-resources via versleutelde tunnels, wat waardevol is voor remote workers of externe partners die toegang nodig hebben tot specifieke cloudservices. VNet-to-VNet verbindingen maken het mogelijk om meerdere Azure Virtual Networks met elkaar te verbinden via versleutelde tunnels, wat nuttig is voor multi-regio implementaties of voor het verbinden van verschillende omgevingen zoals productie en disaster recovery. ExpressRoute biedt een alternatief voor VPN Gateways met dedicated private verbindingen, maar VPN Gateways blijven de voorkeursoplossing voor veel organisaties vanwege lagere kosten, snellere implementatie, en voldoende prestaties voor de meeste workloads.
VPN Gateway SKU's bepalen de prestaties, beschikbaarheid en functies die beschikbaar zijn voor een gateway. Basis-SKU's bieden beperkte prestaties en ondersteunen alleen statische routing, wat geschikt is voor testomgevingen of workloads met lage bandbreedtevereisten. Standard-SKU's bieden betere prestaties en ondersteunen zowel statische als dynamische routing via BGP, wat geschikt is voor de meeste productieomgevingen. High Performance-SKU's bieden de hoogste prestaties en zijn geschikt voor workloads met hoge bandbreedtevereisten of lage latentie-eisen. De nieuwste Generation 2 SKU's (VpnGw2, VpnGw2AZ, VpnGw3, VpnGw3AZ, VpnGw4, VpnGw4AZ, VpnGw5, VpnGw5AZ) bieden aanzienlijk betere prestaties, ondersteuning voor meer gelijktijdige verbindingen, en ingebouwde zone-redundantie voor AZ-SKU's. AZ-SKU's (Availability Zone) distribueren gateway-instanties over meerdere beschikbaarheidszones binnen een regio, wat zorgt voor zone-level redundantie en automatische failover bij zone-uitval. Organisaties moeten zorgvuldig de juiste SKU selecteren op basis van hun prestatievereisten, beschikbaarheidseisen, en budgettaire overwegingen.
De integratie van VPN Gateways in netwerkarchitecturen vereist zorgvuldige planning om te voorkomen dat verbindingen conflicteren of dat verkeer onbedoeld wordt gerouteerd. In hub-spoke topologieën worden VPN Gateways typisch geïmplementeerd in de hub-Virtual Network, waar ze fungeren als centrale verbindingspunten voor alle spoke-netwerken en on-premises locaties. Deze architectuur centraliseert netwerkbeveiliging en vereenvoudigt beheer, maar vereist dat alle verkeer tussen spokes en on-premises via de hub gaat, wat potentiële bottlenecks kan creëren. Voor hybride netwerken waarbij Azure Virtual Networks zijn verbonden met on-premises netwerken via VPN of ExpressRoute, moeten routing-configuraties rekening houden met on-premises IP-adresbereiken en moeten organisaties ervoor zorgen dat route tables correct zijn geconfigureerd om verkeer naar de juiste bestemmingen te routeren. Het is belangrijk om te begrijpen dat VPN Gateways alleen verkeer routeren tussen Virtual Networks en externe netwerken: verkeer binnen een Virtual Network wordt niet door de gateway gerouteerd, tenzij het specifiek is geconfigureerd om dat te doen. Organisaties moeten hun netwerkarchitectuur documenteren en duidelijk maken waar VPN Gateways worden toegepast en hoe ze samenwerken met andere netwerkcomponenten zoals Azure Firewall, Network Security Groups, en on-premises routers.
Gateway-subnetten vormen een kritiek onderdeel van VPN Gateway-implementaties en hebben specifieke vereisten die moeten worden nageleefd. Het gateway-subnet moet een minimale grootte hebben van /27 of groter (minimaal 32 IP-adressen), hoewel /26 of groter wordt aanbevolen voor toekomstige uitbreidingen en betere prestaties. Het subnet mag alleen gateway-resources bevatten en geen andere resources zoals virtuele machines of load balancers. De naam van het subnet moet exact 'GatewaySubnet' zijn voor VPN Gateways, wat Azure vertelt dat dit subnet is gereserveerd voor gateway-resources. Het gateway-subnet moet deel uitmaken van hetzelfde Virtual Network als de resources die via de gateway moeten worden bereikt, en moet een uniek IP-adresbereik hebben dat niet overlapt met andere subnetten in het Virtual Network of met on-premises netwerken. Organisaties moeten ervoor zorgen dat het gateway-subnet voldoende IP-adressen heeft voor toekomstige uitbreidingen en voor het ondersteunen van actief-actief configuraties die meer IP-adressen vereisen dan actief-passief configuraties.
Implementatie en configuratie van VPN Gateway
De implementatie van Azure VPN Gateway begint met het maken van het gateway-subnet binnen het Virtual Network waar de gateway moet worden geïmplementeerd. Dit subnet moet de exacte naam 'GatewaySubnet' hebben en moet minimaal /27 zijn, hoewel /26 of groter wordt aanbevolen. Het subnet kan worden gemaakt via Azure Portal, Azure CLI, PowerShell of Infrastructure as Code-tools zoals ARM-templates of Terraform. Na het aanmaken van het gateway-subnet kan de VPN Gateway-resource zelf worden gemaakt, wat kan worden gedaan via dezelfde tools. Tijdens het aanmaken moeten organisaties verschillende configuratie-opties specificeren: de naam van de gateway, de resourcegroep en regio, het Virtual Network waar de gateway moet worden geïmplementeerd, het gateway-subnet, de gateway-type (VPN of ExpressRoute), de VPN-type (RouteBased of PolicyBased), de SKU die de prestaties en functies bepaalt, en of de gateway zone-redundant moet zijn (voor AZ-SKU's). RouteBased gateways worden aanbevolen voor de meeste moderne implementaties omdat ze flexibeler zijn en betere prestaties bieden, terwijl PolicyBased gateways geschikt zijn voor specifieke legacy-scenario's waarbij statische route-based configuraties vereist zijn.
Na het aanmaken van de VPN Gateway moet een lokale netwerkgateway worden geconfigureerd die de on-premises VPN-apparaat of locatie representeert. De lokale netwerkgateway bevat informatie over het on-premises netwerk, inclusief het publieke IP-adres van het on-premises VPN-apparaat, de IP-adresbereiken van het on-premises netwerk, en optioneel BGP-instellingen voor dynamische routing. Deze informatie wordt gebruikt door Azure om te weten waar verkeer naartoe moet worden gerouteerd en hoe verbindingen moeten worden geconfigureerd. Voor site-to-site verbindingen moet ook een verbindingsresource worden gemaakt die de VPN Gateway koppelt aan de lokale netwerkgateway en die de IPsec/IKE-parameters specificeert die moeten worden gebruikt voor de versleutelde tunnel. Deze parameters omvatten de versleutelingsalgoritmen (bijvoorbeeld AES-256), de integriteitsalgoritmen (bijvoorbeeld SHA-256), de Diffie-Hellman-groepen voor key exchange, en de IKE-versie (IKEv1 of IKEv2). Moderne implementaties moeten IKEv2 en sterke versleutelingsalgoritmen gebruiken om te voldoen aan beveiligingsstandaarden zoals BIO norm 10.01 en ISO 27001:2022 controle A.8.24.
Voor point-to-site verbindingen moet een VPN-clientconfiguratie worden gegenereerd die gebruikers kunnen gebruiken om verbinding te maken met de Azure Virtual Network. Deze configuratie kan worden gedownload vanuit Azure Portal en bevat alle benodigde instellingen voor VPN-clients, inclusief serveradressen, certificaatgegevens, en authenticatiemethoden. Point-to-site verbindingen ondersteunen verschillende authenticatiemethoden: certificaatgebaseerde authenticatie waarbij gebruikers certificaten gebruiken die zijn uitgegeven door een vertrouwde Certificate Authority, Azure AD-authenticatie waarbij gebruikers zich authenticeren met hun Azure AD-referenties, en RADIUS-authenticatie waarbij een externe RADIUS-server wordt gebruikt voor authenticatie. Certificaatgebaseerde authenticatie is de meest gebruikte methode en vereist dat organisaties een PKI-infrastructuur hebben voor het uitgeven en beheren van certificaten. Azure AD-authenticatie is eenvoudiger te beheren omdat het gebruik maakt van bestaande Azure AD-identiteiten, maar vereist dat gebruikers Azure AD-accounts hebben. RADIUS-authenticatie is geschikt voor organisaties die al een RADIUS-infrastructuur hebben en deze willen integreren met Azure VPN.
Het valideren van VPN Gateway-configuraties en verbindingsstatus is essentieel voor het waarborgen van correcte werking. Azure biedt verschillende tools voor het monitoren van gateway-status, verbindingsstatus, en prestaties. De verbindingsstatus kan worden gecontroleerd via Azure Portal, waar organisaties kunnen zien of verbindingen actief zijn, hoeveel data is overgedragen, en of er verbindingsproblemen zijn. Azure Monitor en Log Analytics kunnen worden gebruikt voor gedetailleerde logging en analyse van gateway-activiteiten, inclusief verbindingsgebeurtenissen, prestatiemetrics, en foutmeldingen. Organisaties moeten regelmatig de verbindingsstatus controleren en alerts configureren die waarschuwingen genereren wanneer verbindingen falen of wanneer er ongebruikelijke activiteiten zijn. Het testen van verbindingen moet worden uitgevoerd vanuit zowel Azure als on-premises om te verifiëren dat verkeer correct wordt gerouteerd en dat versleuteling correct werkt. Organisaties moeten ook disaster recovery-tests uitvoeren om te verifiëren dat failover correct werkt in het geval van gateway-uitval.
Gebruik PowerShell-script vpn-gateway-configured.ps1 (functie Invoke-Monitoring) – Voert een monitoringcontrole uit op VPN Gateways om te bepalen of gateways correct zijn geconfigureerd met passende instellingen, verbindingen en best practices..
Geavanceerde functies en optimalisatie
Actief-actief VPN Gateway-configuraties bieden de hoogste beschikbaarheid door twee actieve gateway-instanties te implementeren die beide verkeer kunnen verwerken. In tegenstelling tot actief-passief configuraties waarbij alleen één instantie actief is en de andere wacht op failover, zijn beide instanties in actief-actief configuraties actief en kunnen ze verkeer verwerken, wat zorgt voor betere prestaties en automatische load balancing. Actief-actief configuraties vereisen dat beide gateway-instanties unieke publieke IP-adressen hebben en dat on-premises VPN-apparaten zijn geconfigureerd om verbinding te maken met beide IP-adressen. Deze configuratie is complexer om te implementeren en te beheren dan actief-passief configuraties, maar biedt betere beschikbaarheid en prestaties voor kritieke workloads. Organisaties moeten overwegen om actief-actief configuraties te implementeren wanneer hoge beschikbaarheid essentieel is, wanneer workloads hoge bandbreedtevereisten hebben, of wanneer zero-downtime failover vereist is. AZ-SKU's bieden een alternatieve aanpak voor hoge beschikbaarheid door gateway-instanties te distribueren over meerdere beschikbaarheidszones, wat zone-level redundantie biedt zonder de complexiteit van actief-actief configuraties.
BGP (Border Gateway Protocol) ondersteuning maakt dynamische routing mogelijk tussen Azure Virtual Networks en on-premises netwerken, wat flexibeler en onderhoudbaarder is dan statische routing. Met BGP kunnen organisaties routes automatisch uitwisselen tussen Azure en on-premises routers, wat betekent dat nieuwe routes automatisch worden geadverteerd zonder handmatige configuratie. Dit is vooral waardevol in complexe netwerkarchitecturen met meerdere locaties, wanneer routes regelmatig wijzigen, of wanneer organisaties willen profiteren van automatische failover tussen verschillende verbindingen. BGP vereist dat zowel de VPN Gateway als de on-premises VPN-apparaten BGP ondersteunen en correct zijn geconfigureerd met ASN-nummers (Autonomous System Numbers) en BGP-peer-instellingen. Organisaties moeten ervoor zorgen dat ASN-nummers uniek zijn en niet conflicteren met andere BGP-peers in hun netwerk. BGP-configuratie kan complex zijn en vereist netwerkkennis, maar biedt aanzienlijke voordelen voor organisaties met complexe netwerkarchitecturen of hoge beschikbaarheidseisen.
Custom IPsec/IKE-beleid kan worden geconfigureerd om specifieke beveiligingsvereisten te adresseren die niet worden gedekt door standaardbeleid. Azure biedt standaard IPsec/IKE-beleid dat geschikt is voor de meeste implementaties, maar organisaties kunnen custom beleid configureren wanneer ze specifieke versleutelingsalgoritmen, integriteitsalgoritmen, of key exchange-parameters moeten gebruiken. Custom beleid is vooral waardevol wanneer organisaties moeten voldoen aan specifieke compliance-vereisten, wanneer ze moeten integreren met legacy VPN-apparaten die alleen bepaalde algoritmen ondersteunen, of wanneer ze willen profiteren van de nieuwste cryptografische standaarden. Het configureren van custom beleid vereist diepgaande kennis van IPsec/IKE-protocollen en cryptografie, en organisaties moeten ervoor zorgen dat custom beleid compatibel is met on-premises VPN-apparaten. Organisaties moeten regelmatig custom beleid reviewen om te verifiëren dat ze blijven voldoen aan de nieuwste beveiligingsstandaarden en dat ze niet worden verzwakt door nieuwe kwetsbaarheden in gebruikte algoritmen.
De integratie van VPN Gateways met andere Azure-netwerkbeveiligingsservices zoals Azure Firewall en Network Security Groups is essentieel voor het implementeren van een gelaagde beveiligingsaanpak. VPN Gateways zorgen voor versleutelde verbindingen tussen netwerken, maar bieden geen applicatielaag-filtering of geavanceerde bedreigingsdetectie. Azure Firewall kan worden geïmplementeerd in hub-Virtual Networks om verkeer te filteren dat via VPN Gateways binnenkomt, wat zorgt voor extra beveiligingslaag en bedreigingsbescherming. Network Security Groups kunnen worden gebruikt om verkeer te filteren op subnet- of netwerkinterface-niveau, wat zorgt voor granulair verkeersfiltering binnen Virtual Networks. Deze gelaagde aanpak zorgt ervoor dat verkeer wordt beschermd op meerdere niveaus: versleuteling op netwerkniveau via VPN Gateways, applicatielaag-filtering via Azure Firewall, en netwerklaag-filtering via Network Security Groups. Organisaties moeten hun netwerkarchitectuur documenteren en duidelijk maken hoe deze services samenwerken om een complete beveiligingsoplossing te bieden.
Het optimaliseren van VPN Gateway-prestaties is een continu proces dat regelmatige monitoring en aanpassingen vereist. Prestatiemetrics zoals bandbreedtegebruik, latentie, en packet loss moeten regelmatig worden gecontroleerd om te identificeren wanneer upgrades nodig zijn of wanneer configuraties moeten worden geoptimaliseerd. Organisaties moeten overwegen om gateway-SKU's te upgraden wanneer ze regelmatig de maximale bandbreedte bereiken, wanneer latentie te hoog is voor kritieke workloads, of wanneer ze meer gelijktijdige verbindingen nodig hebben. Het gebruik van AZ-SKU's kan prestaties verbeteren door gateway-instanties te distribueren over meerdere zones, wat zorgt voor betere load distribution en lagere latentie. Organisaties moeten ook overwegen om verkeer te optimaliseren door route tables te optimaliseren, door onnodige hops te elimineren, en door verkeer te routeren via de meest efficiënte paden. Het regelmatig reviewen en optimaliseren van gateway-configuraties helpt organisaties om de beste prestaties te behalen en om kosten te optimaliseren door het gebruik van de juiste SKU's voor hun behoeften.
Gebruik PowerShell-script vpn-gateway-configured.ps1 (functie Invoke-Remediation) – Genereert een gedetailleerd overzicht van VPN Gateway-configuraties en identificeert ontbrekende of suboptimale instellingen die moeten worden aangepast..
Beveiligingsbest practices en risicobeheer
Het implementeren van beveiligingsbest practices voor VPN Gateways is essentieel voor het waarborgen van effectieve netwerkbeveiliging en het voorkomen van beveiligingsincidenten. De belangrijkste best practice is het gebruik van sterke versleutelingsalgoritmen die voldoen aan moderne beveiligingsstandaarden. Organisaties moeten AES-256 gebruiken voor symmetrische versleuteling, SHA-256 of sterkere hash-algoritmen voor integriteitscontrole, en moderne Diffie-Hellman-groepen voor key exchange. Verouderde versleutelingsmethoden zoals DES, 3DES, of MD5 zijn niet acceptabel omdat deze bekende beveiligingskwetsbaarheden bevatten en kunnen worden gecompromitteerd door moderne aanvalsmethoden. Organisaties moeten ook IKEv2 gebruiken in plaats van IKEv1 wanneer mogelijk, omdat IKEv2 betere beveiliging biedt en ondersteuning voor moderne functies zoals MOBIKE (Mobility and Multihoming Protocol for IKE) die automatische reconnectie mogelijk maakt bij netwerkwijzigingen. Het gebruik van moderne versleutelingsstandaarden helpt niet alleen om te voldoen aan compliance-eisen zoals BIO norm 10.01 en ISO 27001:2022 controle A.8.24, maar biedt ook betere bescherming tegen actuele en toekomstige bedreigingen.
Certificaatgebaseerde authenticatie voor point-to-site verbindingen is aanbevolen boven wachtwoordgebaseerde authenticatie omdat certificaten moeilijker zijn te stelen of te misbruiken dan wachtwoorden. Organisaties moeten certificaten uitgeven via een vertrouwde PKI-infrastructuur die voldoet aan beveiligingsstandaarden, en moeten ervoor zorgen dat certificaten regelmatig worden vernieuwd voordat ze verlopen. Certificaten moeten worden beveiligd met sterke private keys en moeten worden opgeslagen in beveiligde certificaatstores. Organisaties moeten ook processen implementeren voor het snel intrekken van gecompromitteerde certificaten via Certificate Revocation Lists (CRL) of Online Certificate Status Protocol (OCSP). Voor site-to-site verbindingen moeten organisaties ervoor zorgen dat pre-shared keys (PSK) sterk zijn en regelmatig worden gewijzigd, of overwegen om certificaatgebaseerde authenticatie te gebruiken wanneer ondersteund door on-premises VPN-apparaten. Het gebruik van Azure AD-authenticatie voor point-to-site verbindingen is een alternatief dat gebruik maakt van bestaande identiteitsbeheerinfrastructuur en dat kan worden geïntegreerd met multi-factor authentication voor extra beveiliging.
Het implementeren van logging en monitoring is essentieel voor het detecteren van beveiligingsincidenten en het troubleshooten van verbindingsproblemen. Azure biedt verschillende logging-opties voor VPN Gateways, inclusief diagnostische instellingen die gateway-activiteiten loggen naar Log Analytics Workspace, en verbindingsstatus-logs die informatie bevatten over verbindingsgebeurtenissen en fouten. Organisaties moeten diagnostische instellingen configureren voor alle VPN Gateways en moeten logs naar een centrale Log Analytics-workspace sturen voor geconsolideerde analyse. Logs moeten worden bewaard voor de vereiste retentietermijnen zoals gespecificeerd in compliance-frameworks (typisch 7 jaar voor Nederlandse overheidsorganisaties), en moeten worden beschermd tegen ongeautoriseerde toegang of wijziging. Organisaties moeten ook alertregels configureren die waarschuwingen genereren bij ongebruikelijke activiteiten, zoals plotselinge verbindingsonderbrekingen, ongebruikelijke verkeerspatronen, of herhaalde authenticatiefouten. Deze alerts moeten worden geïntegreerd met incident response-processen om ervoor te zorgen dat beveiligingsincidenten tijdig worden gedetecteerd en aangepakt.
Het regelmatig reviewen en optimaliseren van VPN Gateway-configuraties is een belangrijke best practice die helpt om beveiligingsrisico's te mitigeren en om te verifiëren dat configuraties blijven voldoen aan beveiligingsstandaarden. Organisaties moeten minimaal kwartaalgewijs een review uitvoeren van alle VPN Gateway-configuraties om te verifiëren dat versleutelingsinstellingen correct zijn, dat certificaten niet binnenkort verlopen, dat verbindingen actief zijn en correct werken, en dat er geen onbevoegde wijzigingen zijn aangebracht. Tijdens deze reviews moeten ongebruikte verbindingen worden geïdentificeerd en verwijderd, verouderde configuraties moeten worden geüpgraded naar moderne standaarden, en nieuwe bedrijfsvereisten moeten worden geëvalueerd voor nieuwe configuraties. Deze reviews moeten worden gedocumenteerd en gerapporteerd aan security- en risicocomités, en bevindingen moeten worden vertaald naar concrete verbeteracties met eigenaren en deadlines. Het gebruik van geautomatiseerde tools zoals Azure Policy en monitoring scripts kan helpen bij het identificeren van niet-compliant configuraties en het versnellen van het reviewproces.
Het implementeren van zero-trust netwerkarchitecturen vereist dat organisaties VPN-verbindingen behandelen als onbetrouwbaar en dat ze aanvullende verificatie en autorisatie implementeren voor toegang tot resources. Zero-trust betekent dat organisaties niet automatisch vertrouwen op verbindingen, zelfs niet wanneer ze versleuteld zijn via VPN, en dat ze continue verificatie en autorisatie vereisen voor toegang tot specifieke resources. Dit kan worden geïmplementeerd door VPN-verbindingen te combineren met Conditional Access policies die aanvullende verificatie vereisen, door Network Security Groups te gebruiken om verkeer te filteren op basis van gebruikersidentiteit, en door Azure Firewall te gebruiken om applicatielaag-filtering en bedreigingsbescherming te bieden. Zero-trust netwerkarchitecturen helpen organisaties om de impact van gecompromitteerde verbindingen te beperken door ervoor te zorgen dat aanvallers niet automatisch toegang hebben tot alle resources, zelfs wanneer ze succesvol verbinding maken via VPN. Deze aanpak is vooral belangrijk voor Nederlandse overheidsorganisaties die werken met gevoelige informatie en die moeten voldoen aan strikte beveiligingsvereisten.
Beheer, governance en compliance
Effectief beheer van VPN Gateways vereist duidelijke governance-structuren, gedefinieerde processen en continue monitoring. Organisaties moeten vastleggen wie verantwoordelijk is voor het dagelijks beheer van VPN Gateways, wie gateway-configuraties mag wijzigen, en hoe wijzigingen worden gecontroleerd en goedgekeurd. Role-Based Access Control (RBAC) in Azure moet worden gebruikt om toegang te beperken tot alleen die personen en rollen die daadwerkelijk gateway-beheer nodig hebben. Het is aanbevolen om verschillende rollen te definiëren: gateway-beheerders die volledige controle hebben over gateway-configuraties, verbindingsbeheerders die verbindingen kunnen toevoegen en wijzigen maar geen fundamentele configuraties kunnen aanpassen, en lezers die alleen monitoring en rapportage kunnen uitvoeren. Just-in-Time-toegang via Azure Privileged Identity Management kan worden gebruikt om beheeracties te beperken in tijd en scope, waardoor het risico van misbruik wordt verminderd. Organisaties moeten ook processen implementeren voor het delegeren van beheer wanneer gateway-beheerders niet beschikbaar zijn, en moeten ervoor zorgen dat er altijd voldoende getraind personeel beschikbaar is om gateway-problemen te kunnen oplossen.
Change management is cruciaal voor het voorkomen van configuratiefouten en het borgen van compliance. Alle wijzigingen aan VPN Gateway-configuraties moeten worden gedocumenteerd met informatie over wie de wijziging heeft aangevraagd, waarom de wijziging nodig is, welke risico's zijn geëvalueerd, en wie de wijziging heeft goedgekeurd. Voor productieomgevingen moeten wijzigingen eerst worden getest in een niet-productieomgeving om te verifiëren dat de wijzigingen werken zoals bedoeld en geen onbedoelde gevolgen hebben, zoals verbindingsonderbrekingen of routingproblemen. Wijzigingen moeten worden gepland tijdens onderhoudsvensters wanneer mogelijk, en er moeten rollback-plannen zijn voor het geval een wijziging problemen veroorzaakt. Organisaties moeten een changelog bijhouden waarin alle wijzigingen worden vastgelegd, inclusief datum, tijd, persoon, reden en impact, voor auditdoeleinden en troubleshooting. Het gebruik van Infrastructure as Code-tools zoals ARM-templates of Terraform kan helpen bij het beheren van wijzigingen door configuraties te versiebeheren en door wijzigingen te testen voordat ze worden geïmplementeerd.
Periodieke reviews en audits zijn essentieel om te waarborgen dat VPN Gateway-configuraties up-to-date blijven en aansluiten bij veranderende bedrijfsbehoeften en beveiligingsvereisten. Organisaties moeten minimaal kwartaalgewijs een review uitvoeren van alle VPN Gateway-configuraties om te verifiëren dat versleutelingsinstellingen correct zijn, dat certificaten niet binnenkort verlopen, dat verbindingen actief zijn en correct werken, en dat er geen onbevoegde wijzigingen zijn aangebracht. Tijdens deze reviews moeten ongebruikte verbindingen worden geïdentificeerd en verwijderd, verouderde configuraties moeten worden geüpgraded naar moderne standaarden, en nieuwe bedrijfsvereisten moeten worden geëvalueerd voor nieuwe configuraties. Daarnaast moeten logging-configuraties worden gecontroleerd om te waarborgen dat alle benodigde logs worden verzameld, moeten prestatiemetrics worden geanalyseerd om te identificeren of gateways voldoende capaciteit hebben, en moeten disaster recovery-plannen worden getest om te verifiëren dat failover correct werkt. Deze reviews moeten worden gedocumenteerd en gerapporteerd aan security- en risicocomités, en bevindingen moeten worden vertaald naar concrete verbeteracties met eigenaren en deadlines.
Compliance met relevante frameworks zoals BIO, ISO 27001 en NIS2 vereist dat organisaties kunnen aantonen dat VPN Gateways correct zijn geconfigureerd en effectief werken. Tijdens audits moeten organisaties kunnen laten zien: dat VPN Gateways zijn geïmplementeerd voor alle benodigde hybride verbindingen, dat versleutelingsinstellingen voldoen aan moderne beveiligingsstandaarden zoals gespecificeerd in BIO norm 10.01 en ISO 27001:2022 controle A.8.24, dat logging correct is geconfigureerd en logs worden bewaard volgens de vereiste retentietermijnen, dat verbindingen regelmatig worden gereviewd en geoptimaliseerd, en dat er processen zijn voor incidentdetectie en -respons op basis van gateway-logs. Het bijbehorende PowerShell-script kan worden gebruikt om compliance-rapportages te genereren die aantonen welke VPN Gateways zijn geïmplementeerd, hoe ze zijn geconfigureerd, en of ze voldoen aan de gestelde eisen. Deze rapportages moeten regelmatig worden gegenereerd en gedeeld met interne audit-teams, compliance-officers en externe auditors om transparantie te bieden en vertrouwen op te bouwen in de beveiligingsmaatregelen.
Compliance, auditing en verantwoording
VPN Gateway-implementatie raakt direct aan meerdere compliancekaders waar Nederlandse overheidsorganisaties aan gebonden zijn. Vanuit de Baseline Informatiebeveiliging Overheid (BIO) geldt dat netwerkverkeer moet worden versleuteld en gemonitord om ongeautoriseerde toegang en kwaadaardige activiteiten te voorkomen. Control 10.01 vereist expliciet dat organisaties passende cryptografische maatregelen implementeren om de vertrouwelijkheid en integriteit van gegevens tijdens transport te waarborgen, en VPN Gateways vormen een belangrijk onderdeel van het bewijs dat deze vereiste wordt nageleefd. Tijdens BIO-audits wordt niet alleen gekeken naar het bestaan van VPN Gateways, maar vooral naar de kwaliteit van de configuratie, de wijze van beheer, de monitoringresultaten en de aansluiting op incidentresponsprocessen. Organisaties moeten kunnen aantonen dat moderne versleutelingsalgoritmen worden gebruikt (bijvoorbeeld AES-256, SHA-256), dat logging correct is geconfigureerd en logs worden bewaard voor de vereiste 7-jarige periode, en dat regelmatige reviews plaatsvinden om te waarborgen dat configuraties up-to-date blijven.
ISO 27001:2022 legt in control A.8.24 nadruk op cryptografie en vereist dat organisaties cryptografische controles implementeren om informatie te beschermen. VPN Gateways voldoen aan deze vereiste door geavanceerde versleuteling te bieden op basis van moderne cryptografische standaarden. De implementatie moet onderdeel zijn van een breder Information Security Management System (ISMS) waarin beleid, procedures, rollen en verantwoordelijkheden zijn gedocumenteerd. Organisaties moeten kunnen aantonen dat de keuze voor VPN Gateways voortkomt uit een risicoafweging, dat versleutelingsconfiguraties zijn gebaseerd op bedrijfsvereisten en beveiligingsbeleid, en dat er processen zijn voor het beoordelen en bijwerken van configuraties. Auditors zullen willen zien dat uitzonderingen en custom configuraties niet ad-hoc worden toegevoegd, maar dat elke wijziging een eigenaar, motivatie en goedkeuringsproces heeft. Organisaties moeten ook kunnen aantonen dat certificaten correct worden beheerd, dat certificaatvervaldatums worden gemonitord, en dat er processen zijn voor het snel intrekken van gecompromitteerde certificaten.
De Network and Information Systems Directive 2 (NIS2) stelt in artikel 21 specifieke eisen aan netwerkbeveiliging en monitoring voor essentiële en belangrijke entiteiten. Deze richtlijn vereist dat organisaties passende en evenredige technische en organisatorische maatregelen nemen om beveiligingsrisico's te beheren, inclusief maatregelen voor netwerkbeveiliging, detectie en incidentrespons. VPN Gateways voldoen aan deze vereiste door geavanceerde versleuteling te bieden met gedetailleerde logging van alle netwerkactiviteiten. Organisaties moeten kunnen aantonen dat incidentresponsprocedures correct zijn gedocumenteerd, dat beveiligingsincidenten tijdig worden gedetecteerd via gateway-logs en alerts, en dat incidenten worden gemeld aan de relevante autoriteiten volgens de vereiste meldplichten. Het bijbehorende PowerShell-script kan worden gebruikt om compliance-rapportages te genereren die aantonen hoe NIS2-vereisten worden ingevuld. Organisaties moeten ook kunnen aantonen dat ze regelmatig netwerkbeveiligingstests uitvoeren, dat ze processen hebben voor het identificeren en mitigeren van beveiligingskwetsbaarheden, en dat ze disaster recovery-plannen hebben die specifiek zijn voor VPN-verbindingen.
Voor verantwoording richting bestuur en politiek is het belangrijk dat de complexiteit van VPN Gateway-configuraties wordt vertaald naar begrijpelijke stuurinformatie. Bestuurders hoeven niet te weten welke specifieke versleutelingsalgoritmen worden gebruikt, maar wel of alle benodigde hybride verbindingen zijn beveiligd, hoeveel verkeer wordt versleuteld via VPN Gateways, of er recente incidenten zijn geweest die door gateway-monitoring zijn gedetecteerd, en welke rest-risico's nog geaccepteerd worden. Deze informatie kan worden samengevat in periodieke rapportages en dashboards die onderdeel zijn van de bredere rapportagelijn over cyberweerbaarheid. Voor Nederlandse overheidsorganisaties draagt dit bij aan transparante verantwoording richting gemeenteraad, Provinciale Staten, Tweede Kamer of toezichthouders en ondersteunt het bij het onderbouwen van investeringen in verdere versterking van digitale weerbaarheid. Organisaties moeten ervoor zorgen dat deze rapportages regelmatig worden bijgewerkt en dat ze accurate informatie bevatten over de status van VPN Gateway-implementaties en de mate waarin ze bijdragen aan de algehele beveiligingspostuur van de organisatie.
Compliance & Frameworks
- CIS M365: Control 6.29 (L1/L2) - Implementeer VPN Gateways voor beveiligde hybride netwerkconnectiviteit en borg netwerkversleuteling in lijn met de CIS Azure Foundations Benchmark.
- BIO: 10.01, 12.04 - Netwerkversleuteling en logging voor netwerkverkeer binnen de Baseline Informatiebeveiliging Overheid.
- ISO 27001:2022: A.8.24, A.8.15 - Cryptografie en monitoring van beveiligingsgebeurtenissen in het kader van een Information Security Management System.
- NIS2: Artikel - Technische en organisatorische maatregelen voor risicobeheersing, inclusief netwerkbeveiliging en detectie van beveiligingsincidenten.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
VPN Gateway Monitoring en Remediation
.DESCRIPTION
Controleert of VPN Gateways correct zijn geïmplementeerd en geconfigureerd
met passende instellingen, verbindingen en best practices.
.NOTES
Filename: vpn-gateway-configured.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 6.29
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Network, Az.Resources
[CmdletBinding()]
param(
[Parameter()][switch]$Monitoring,
[Parameter()][switch]$Remediation,
[Parameter()][switch]$Revert,
[Parameter()][switch]$WhatIf
)
$ErrorActionPreference = 'Stop'
$PolicyName = "VPN Gateway Configured"
function Connect-RequiredServices {
if (-not (Get-AzContext)) {
Write-Host "Verbinden met Azure..." -ForegroundColor Yellow
Connect-AzAccount | Out-Null
}
}
function Test-VPNGatewayCompliance {
<#
.SYNOPSIS
Controleert VPN Gateway-implementaties op compliance
#>
param()
try {
$vpnGateways = Get-AzVirtualNetworkGateway -ErrorAction SilentlyContinue | Where-Object { $_.GatewayType -eq 'Vpn' }
$results = @()
if ($vpnGateways.Count -eq 0) {
return @{
TotalVPNGateways = 0
CompliantGateways = 0
IsCompliant = $false
Details = @()
}
}
foreach ($gateway in $vpnGateways) {
$gatewayResult = @{
Name = $gateway.Name
ResourceGroup = $gateway.ResourceGroupName
Location = $gateway.Location
Sku = $gateway.Sku.Name
GatewayType = $gateway.GatewayType
VpnType = $gateway.VpnType
ActiveActive = $gateway.ActiveActive
HasConnections = $false
ConnectionCount = 0
HasDiagnosticSettings = $false
IsModernSku = $false
IsCompliant = $false
}
# Controleer of SKU modern is (VpnGw of AZ)
if ($gateway.Sku.Name -like "*VpnGw*" -or $gateway.Sku.Name -like "*Az*") {
$gatewayResult.IsModernSku = $true
}
# Controleer verbindingen
$connections = Get-AzVirtualNetworkGatewayConnection -ResourceGroupName $gateway.ResourceGroupName -ErrorAction SilentlyContinue |
Where-Object { $_.VirtualNetworkGateway1.Id -eq $gateway.Id -or $_.VirtualNetworkGateway2.Id -eq $gateway.Id }
if ($connections) {
$gatewayResult.HasConnections = $true
$gatewayResult.ConnectionCount = $connections.Count
}
# Controleer diagnostische instellingen
$resourceId = $gateway.Id
$diagnosticSettings = Get-AzDiagnosticSetting -ResourceId $resourceId -ErrorAction SilentlyContinue
if ($diagnosticSettings) {
$gatewayResult.HasDiagnosticSettings = $true
}
# Bepaal compliance
$gatewayResult.IsCompliant = (
$gatewayResult.IsModernSku -and
$gatewayResult.HasConnections
)
$results += $gatewayResult
}
$compliantCount = ($results | Where-Object { $_.IsCompliant }).Count
return @{
TotalVPNGateways = $vpnGateways.Count
CompliantGateways = $compliantCount
IsCompliant = ($compliantCount -eq $vpnGateways.Count -and $vpnGateways.Count -gt 0)
Details = $results
}
}
catch {
Write-Error "Fout bij het controleren van VPN Gateway compliance: $_"
return @{
TotalVPNGateways = 0
CompliantGateways = 0
IsCompliant = $false
Details = @()
Error = $_.Exception.Message
}
}
}
function Get-VPNGatewayConnections {
<#
.SYNOPSIS
Haalt alle VPN Gateway-verbindingen op
#>
param()
try {
$connections = Get-AzVirtualNetworkGatewayConnection -ErrorAction SilentlyContinue
$connectionResults = @()
foreach ($connection in $connections) {
$connectionResult = @{
Name = $connection.Name
ResourceGroup = $connection.ResourceGroupName
ConnectionStatus = $connection.ConnectionStatus
ConnectionType = $connection.ConnectionType
VirtualNetworkGateway1 = $connection.VirtualNetworkGateway1.Id
LocalNetworkGateway2 = $connection.LocalNetworkGateway2.Id
RoutingWeight = $connection.RoutingWeight
EnableBgp = $connection.EnableBgp
}
$connectionResults += $connectionResult
}
return $connectionResults
}
catch {
Write-Error "Fout bij het ophalen van VPN Gateway-verbindingen: $_"
return @()
}
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status van VPN Gateways
#>
[CmdletBinding()]
param()
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName - Monitoring" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
try {
Connect-RequiredServices
$result = Test-VPNGatewayCompliance
$connections = Get-VPNGatewayConnections
Write-Host "VPN Gateway Overzicht:" -ForegroundColor Yellow
Write-Host " Totaal aantal VPN Gateways: $($result.TotalVPNGateways)" -ForegroundColor White
if ($result.TotalVPNGateways -eq 0) {
Write-Host "`n⚠️ Geen VPN Gateway-implementaties gevonden" -ForegroundColor Yellow
Write-Host " Overweeg VPN Gateways te implementeren voor hybride netwerkconnectiviteit" -ForegroundColor Yellow
Write-Host " Dit is acceptabel voor cloud-only omgevingen zonder on-premises verbindingen" -ForegroundColor Gray
Write-Host "`nNON-COMPLIANT" -ForegroundColor Red
exit 1
}
Write-Host " Compliante Gateways: $($result.CompliantGateways)" -ForegroundColor $(if ($result.CompliantGateways -eq $result.TotalVPNGateways) { 'Green' } else { 'Yellow' })
# Verbindingsstatus
$activeConnections = ($connections | Where-Object { $_.ConnectionStatus -eq 'Connected' }).Count
$totalConnections = $connections.Count
if ($totalConnections -gt 0) {
Write-Host "`nVPN Gateway Verbindingen:" -ForegroundColor Yellow
Write-Host " Actieve verbindingen: $activeConnections / $totalConnections" -ForegroundColor $(if ($activeConnections -eq $totalConnections) { 'Green' } else { 'Yellow' })
if ($activeConnections -lt $totalConnections) {
Write-Host "`n⚠️ Verbindingen met problemen:" -ForegroundColor Yellow
foreach ($conn in ($connections | Where-Object { $_.ConnectionStatus -ne 'Connected' })) {
Write-Host " - $($conn.Name) ($($conn.ResourceGroup)): $($conn.ConnectionStatus)" -ForegroundColor Red
}
}
}
Write-Host "`nGedetailleerde Status per VPN Gateway:" -ForegroundColor Yellow
foreach ($detail in $result.Details) {
$statusColor = if ($detail.IsCompliant) { 'Green' } else { 'Red' }
$statusText = if ($detail.IsCompliant) { 'COMPLIANT' } else { 'NON-COMPLIANT' }
Write-Host "`n VPN Gateway: $($detail.Name)" -ForegroundColor Cyan
Write-Host " Resource Group: $($detail.ResourceGroup)" -ForegroundColor White
Write-Host " Locatie: $($detail.Location)" -ForegroundColor White
Write-Host " SKU: $($detail.Sku)" -ForegroundColor White
Write-Host " Type: $($detail.VpnType)" -ForegroundColor White
Write-Host " Actief-Actief: $($detail.ActiveActive)" -ForegroundColor White
Write-Host " Status: $statusText" -ForegroundColor $statusColor
if (-not $detail.IsCompliant) {
Write-Host " Ontbrekende of problematische configuraties:" -ForegroundColor Yellow
if (-not $detail.IsModernSku) {
Write-Host " - Verouderde SKU gedetecteerd (upgrade naar VpnGw of AZ SKU aanbevolen)" -ForegroundColor Red
}
if (-not $detail.HasConnections) {
Write-Host " - Geen verbindingen geconfigureerd" -ForegroundColor Red
}
} else {
Write-Host " Configuratie:" -ForegroundColor Green
Write-Host " ✓ Moderne SKU geconfigureerd" -ForegroundColor Green
Write-Host " ✓ Verbindingen geconfigureerd ($($detail.ConnectionCount))" -ForegroundColor Green
if ($detail.HasDiagnosticSettings) {
Write-Host " ✓ Diagnostische instellingen geconfigureerd" -ForegroundColor Green
} else {
Write-Host " ⚠ Diagnostische instellingen niet geconfigureerd (aanbevolen)" -ForegroundColor Yellow
}
}
}
Write-Host "`n========================================" -ForegroundColor Cyan
if ($result.IsCompliant -and $activeConnections -eq $totalConnections -and $totalConnections -gt 0) {
Write-Host "COMPLIANT" -ForegroundColor Green
exit 0
} else {
Write-Host "NON-COMPLIANT" -ForegroundColor Red
Write-Host "`nGebruik -Remediation om aanbevelingen te krijgen voor het verbeteren van de configuratie." -ForegroundColor Yellow
exit 1
}
}
catch {
Write-Host "`nERROR: $_" -ForegroundColor Red
exit 2
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Genereert aanbevelingen voor het verbeteren van VPN Gateway-configuraties
.DESCRIPTION
Dit script genereert een gedetailleerd overzicht van ontbrekende of suboptimale
configuraties en biedt aanbevelingen voor verbetering.
#>
[CmdletBinding()]
param()
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName - Remediation" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
try {
Connect-RequiredServices
$result = Test-VPNGatewayCompliance
$connections = Get-VPNGatewayConnections
if ($result.TotalVPNGateways -eq 0) {
Write-Host "Geen VPN Gateway-implementaties gevonden." -ForegroundColor Yellow
Write-Host "`nAanbeveling: Implementeer VPN Gateways voor hybride netwerkconnectiviteit wanneer nodig." -ForegroundColor Yellow
Write-Host "Zie het artikel voor implementatie-instructies." -ForegroundColor Yellow
exit 0
}
Write-Host "Remediatie-aanbevelingen per VPN Gateway:" -ForegroundColor Yellow
foreach ($detail in $result.Details) {
Write-Host "`nVPN Gateway: $($detail.Name) ($($detail.ResourceGroup))" -ForegroundColor Cyan
$recommendations = @()
if (-not $detail.IsModernSku) {
$recommendations += "Upgrade naar een moderne SKU (VpnGw2, VpnGw3, VpnGw4, VpnGw5 of AZ-varianten) voor betere prestaties en functies"
}
if (-not $detail.HasConnections) {
$recommendations += "Configureer verbindingen (site-to-site of point-to-site) om de gateway te gebruiken"
}
if (-not $detail.HasDiagnosticSettings) {
$recommendations += "Configureer diagnostische instellingen om gateway-activiteiten te loggen naar Log Analytics"
}
if (-not $detail.ActiveActive -and $detail.VpnType -eq 'RouteBased') {
$recommendations += "Overweeg actief-actief configuratie voor hogere beschikbaarheid (indien vereist)"
}
if ($recommendations.Count -eq 0) {
Write-Host " ✓ Geen remediatie nodig - VPN Gateway is correct geconfigureerd" -ForegroundColor Green
} else {
Write-Host " Aanbevelingen:" -ForegroundColor Yellow
foreach ($rec in $recommendations) {
Write-Host " - $rec" -ForegroundColor White
}
}
}
# Verbindingsaanbevelingen
$problematicConnections = $connections | Where-Object { $_.ConnectionStatus -ne 'Connected' }
if ($problematicConnections.Count -gt 0) {
Write-Host "`nVerbindingen met problemen:" -ForegroundColor Yellow
foreach ($conn in $problematicConnections) {
Write-Host " - $($conn.Name) ($($conn.ResourceGroup))" -ForegroundColor White
Write-Host " Status: $($conn.ConnectionStatus)" -ForegroundColor Red
Write-Host " Aanbeveling: Controleer on-premises VPN-apparaat configuratie en netwerkconnectiviteit" -ForegroundColor Yellow
}
}
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Voor gedetailleerde implementatie-instructies, zie het bijbehorende artikel." -ForegroundColor Yellow
Write-Host "========================================`n" -ForegroundColor Cyan
exit 0
}
catch {
Write-Host "`nERROR: $_" -ForegroundColor Red
exit 2
}
}
function Invoke-Revert {
<#
.SYNOPSIS
Herstelt wijzigingen (niet van toepassing voor monitoring-only script)
#>
[CmdletBinding()]
param()
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName - Revert" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
Write-Host "[INFO] Dit script voert alleen monitoring uit." -ForegroundColor Yellow
Write-Host "[INFO] Er zijn geen automatische wijzigingen om terug te draaien." -ForegroundColor Yellow
Write-Host "`nGebruik -Monitoring om de huidige status te controleren." -ForegroundColor Yellow
Write-Host "========================================`n" -ForegroundColor Cyan
exit 0
}
# Main execution
try {
if ($Revert) {
Invoke-Revert
}
elseif ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
Invoke-Remediation
}
else {
Write-Host "`nGebruik: -Monitoring | -Remediation | -Revert" -ForegroundColor Yellow
Write-Host "`nVoorbeelden:" -ForegroundColor Cyan
Write-Host " .\vpn-gateway-configured.ps1 -Monitoring" -ForegroundColor White
Write-Host " .\vpn-gateway-configured.ps1 -Remediation" -ForegroundColor White
}
}
catch {
Write-Host "`nFATALE FOUT: $_" -ForegroundColor Red
exit 2
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder correct geconfigureerde VPN Gateways kunnen organisaties geen veilige verbindingen tot stand brengen tussen Azure en on-premises netwerken, wat leidt tot geïsoleerde cloudomgevingen die niet kunnen profiteren van hybride architecturen. Het ontbreken van VPN Gateways betekent dat organisaties afhankelijk zijn van publieke internetverbindingen zonder versleuteling voor gegevensoverdracht, wat aanzienlijke beveiligingsrisico's creëert voor gevoelige overheidsinformatie. Zonder VPN Gateways kunnen gebruikers niet veilig verbinden met Azure-resources vanaf externe locaties, kunnen on-premises systemen niet geïntegreerd worden met cloudservices, en kunnen organisaties niet voldoen aan netwerkbeveiligingsvereisten zoals gespecificeerd in BIO, ISO 27001 en NIS2. Het ontbreken van VPN Gateways beperkt ook de mogelijkheid om disaster recovery-scenario's te implementeren waarbij on-premises systemen kunnen failover naar Azure, en voorkomt dat organisaties profiteren van cloud-schaalbaarheid terwijl ze on-premises investeringen behouden. Voor Nederlandse overheidsorganisaties die moeten voldoen aan compliance-frameworks zoals BIO norm 10.01, ISO 27001:2022 controle A.8.24 en NIS2 artikel 21 is het ontbreken van VPN Gateways onacceptabel: deze frameworks vereisen expliciete netwerkversleuteling, beveiligde verbindingsprotocollen en aantoonbare maatregelen tegen netwerkgebaseerde bedreigingen. In audits zal het ontbreken van VPN Gateways worden gezien als een structurele tekortkoming in de netwerkbeveiligingsmaatregelen die kan leiden tot negatieve auditbevindingen en mogelijke boetes.
Management Samenvatting
Azure VPN Gateway vormt een verplichte component voor beveiligde hybride netwerkconnectiviteit binnen de Nederlandse Baseline voor Veilige Cloud. Door een gestandaardiseerde architectuur, moderne VPN Gateway-configuratie met sterke versleuteling en strakke integratie met logging en monitoring te implementeren, worden netwerkverbindingen beveiligd en wordt een rijk beeld van netwerkactiviteiten opgebouwd. Het bijbehorende PowerShell-script inventariseert automatisch welke VPN Gateways aanwezig zijn, hoe ze zijn geconfigureerd en of ze voldoen aan de gestelde eisen, zodat hiaten snel zichtbaar worden. De benodigde inspanning is beperkt (circa 84 uur initiële implementatie), terwijl de risicoreductie en auditbaarheid aanzienlijk zijn voor alle hybride netwerkdiensten in Azure.
- Implementatietijd: 84 uur
- FTE required: 0.5 FTE