💼 Management Samenvatting
Hybride connectiviteitsbeveiliging omvat alle beveiligingsmaatregelen en controles die nodig zijn om de verbindingen tussen on-premises infrastructuur en Azure cloud services te beveiligen. Deze verbindingen vormen een kritiek beveiligingspunt omdat zij de scheidslijn vormen tussen de gecontroleerde on-premises omgeving en de cloudomgeving. Zonder adequate beveiliging kunnen deze verbindingen worden misbruikt door aanvallers om laterale beweging uit te voeren, on-premises systemen te compromitteren vanuit de cloud, of omgekeerd cloudresources aan te vallen vanuit on-premises netwerken. Voor Nederlandse overheidsorganisaties is het beveiligen van hybride connectiviteit essentieel voor het voldoen aan NIS2-verplichtingen, BIO-normen en ISO 27001-vereisten voor netwerkbeveiliging.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
9/10
Implementatie
75u (tech: 50u)
Van toepassing op:
✓ Azure abonnementen
✓ Hybride cloudomgevingen
✓ On-premises datacenters
✓ Hybride cloudomgevingen
✓ On-premises datacenters
Hybride connectiviteit tussen on-premises datacenters en Azure cloud services vormt een fundamenteel onderdeel van moderne IT-architecturen, maar introduceert ook aanzienlijke beveiligingsrisico's wanneer deze verbindingen niet adequaat worden beveiligd. Zonder strikte beveiligingscontroles kunnen hybride verbindingen worden misbruikt voor laterale beweging door aanvallers, waarbij toegang tot één deel van de infrastructuur kan worden gebruikt om toegang te krijgen tot andere delen. Traditionele netwerkbeveiligingsmodellen die uitgaan van een duidelijk gedefinieerd netwerkperimeter zijn niet langer toereikend wanneer organisaties hybride cloudomgevingen implementeren, omdat de perimeter nu bestaat uit meerdere verbindingspunten die elk hun eigen kwetsbaarheden en bedreigingen introduceren. Zero Trust-netwerkbeveiliging vereist dat alle verkeer wordt geverifieerd en geautoriseerd, ongeacht de bron of bestemming, wat betekent dat hybride connectiviteit moet worden beveiligd met encryptie, authenticatie, autorisatie en continue monitoring. Voor Nederlandse overheidsorganisaties is het beveiligen van hybride connectiviteit niet alleen een best practice, maar een expliciete eis vanuit NIS2 en BIO, die vereisen dat organisaties passende technische maatregelen treffen om netwerkverbindingen te beveiligen en te monitoren. Zonder adequate beveiliging van hybride connectiviteit loopt de organisatie het risico op datalekken, compliance-overtredingen, reputatieschade en mogelijke sancties van toezichthouders.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.Network, Az.Resources
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.Network, Az.Resources
Implementatie
Dit artikel beschrijft een complete aanpak voor het beveiligen van hybride connectiviteit tussen on-premises infrastructuur en Azure cloud services, specifiek toegespitst op de context van Nederlandse overheidsorganisaties. De beveiligingsaanpak omvat meerdere lagen van defensie, beginnend bij de keuze en configuratie van de verbindingstechnologie zelf – zoals Site-to-Site VPN via Azure VPN Gateway of dedicated ExpressRoute-verbindingen – en uitgebreid naar encryptie, authenticatie, autorisatie, netwerksegmentatie, firewall-regels en continue monitoring. Het artikel behandelt gedetailleerd hoe organisaties kunnen implementeren: sterke encryptie voor alle verkeer in transit tussen on-premises en Azure, authenticatiemechanismen voor het verifiëren van de identiteit van beide verbindingspunten, netwerksegmentatie via Virtual Networks en Network Security Groups om verkeer te isoleren en te filteren, Azure Firewall voor gecentraliseerde netwerkbeveiliging en threat intelligence, monitoring en logging voor het detecteren van verdacht verkeer en beveiligingsincidenten, en compliance-documentatie voor audit-doeleinden. Daarnaast wordt uitgelegd hoe deze beveiligingsmaatregelen aansluiten bij Zero Trust-principes, waarbij alle verkeer wordt geverifieerd en geautoriseerd op basis van identiteit, context en risico, en hoe organisaties kunnen voldoen aan NIS2-verplichtingen voor netwerkbeveiliging en BIO-normen voor netwerksegmentatie en beveiliging van verbindingen.
Vereisten
De implementatie van effectieve hybride connectiviteitsbeveiliging vereist een grondige voorbereiding op zowel technisch als organisatorisch vlak. De eerste vereiste is een volledig inzicht in de huidige netwerkinfrastructuur, zowel on-premises als in Azure, inclusief alle bestaande verbindingen, netwerksegmenten, firewall-regels en beveiligingscontroles. Deze inventarisatie moet niet alleen technische details bevatten – zoals IP-adresbereiken, subnetten, routing-tabellen en gateway-configuraties – maar ook functionele context: welke workloads en services zijn afhankelijk van hybride connectiviteit, welke data wordt over deze verbindingen getransporteerd en wat is de classificatie daarvan, welke compliance-vereisten gelden voor deze verbindingen, en wat zijn de beschikbaarheids- en prestatie-eisen. Deze informatie vormt de basis voor het bepalen van welke beveiligingsmaatregelen nodig zijn en welke technologieën het meest geschikt zijn voor de specifieke use case van de organisatie. Een tweede cruciale vereiste is het hebben van een duidelijk netwerkbeveiligingsbeleid dat specifiek is uitgewerkt voor hybride connectiviteit. Dit beleid moet definiëren welke encryptie-standaarden worden gebruikt, welke authenticatiemechanismen worden toegepast, hoe netwerksegmentatie wordt geïmplementeerd, welke firewall-regels worden toegepast, en hoe monitoring en logging worden uitgevoerd. Binnen Nederlandse overheidsorganisaties moet dit beleid expliciet aansluiten bij het BIO-raamwerk, NIS2-verplichtingen en ISO 27001-vereisten voor netwerkbeveiliging. Het beleid moet schriftelijk zijn vastgelegd, door het bestuur zijn goedgekeurd en regelmatig worden herzien op basis van veranderende dreigingen en nieuwe Azure-services. Zonder een dergelijk kader bestaat het risico dat hybride connectiviteit ad hoc wordt beveiligd zonder duidelijke samenhang of dat bepaalde beveiligingsmaatregelen worden overgeslagen omdat de noodzaak niet duidelijk is. Technisch gezien vereist hybride connectiviteitsbeveiliging de beschikbaarheid van de juiste Azure-services en -licenties. Voor Site-to-Site VPN-verbindingen is Azure VPN Gateway vereist, die beschikbaar is in verschillende SKU's met verschillende prestaties en beschikbaarheidsniveaus. Voor ExpressRoute-verbindingen is een ExpressRoute-circuit vereist via een gecertificeerde service provider, wat aanzienlijke kosten met zich meebrengt. Azure Firewall of Network Security Groups zijn vereist voor verkeersfiltering en netwerkbeveiliging. Azure Monitor en Azure Network Watcher zijn nodig voor monitoring en diagnostiek. De keuze tussen VPN Gateway en ExpressRoute hangt af van de specifieke vereisten van de organisatie: VPN Gateway is geschikt voor de meeste organisaties met standaard beveiligings- en prestatie-eisen, terwijl ExpressRoute geschikt is voor enterprise-omgevingen die dedicated connectiviteit, hogere bandbreedte en lagere latentie vereisen. Daarnaast is er expertise nodig in verschillende technologieën en domeinen. Netwerkengineers moeten kennis hebben van VPN-technologieën, BGP-routing, netwerksegmentatie en firewall-configuratie. Security engineers moeten expertise hebben in encryptie, authenticatie, autorisatie en threat intelligence. Cloud-engineers moeten kennis hebben van Azure-netwerkarchitectuur, Virtual Networks, Network Security Groups en Azure Firewall. Zonder deze expertise bestaat het risico dat beveiligingsconfiguraties onjuist worden geïmplementeerd of dat bepaalde beveiligingsmaatregelen worden overgeslagen. Het is belangrijk om te investeren in training en certificering van het team, of om externe expertise in te huren wanneer deze intern niet beschikbaar is. Tot slot vereist hybride connectiviteitsbeveiliging een volwassen proces voor continue monitoring, evaluatie en verbetering. Netwerkbeveiliging is niet statisch maar moet regelmatig worden geëvalueerd op effectiviteit, bijgewerkt op basis van nieuwe dreigingen en Azure-services, en getest om te verifiëren dat alle beveiligingscontroles nog steeds functioneren zoals bedoeld. Dit vereist vaste planningsmomenten in de governancekalender, waarin de hybride connectiviteitsbeveiliging wordt gereviewd, nieuwe bedreigingen worden geëvalueerd en verbetermaatregelen worden geïdentificeerd. Daarnaast moeten er processen zijn voor het reageren op security incidents waarbij wordt geanalyseerd welke beveiligingscontroles hebben gefaald en hoe deze kunnen worden verbeterd. Alleen met een dergelijk continu verbeterproces blijft hybride connectiviteitsbeveiliging effectief in de tijd.
Implementatie
Gebruik PowerShell-script hybrid-connectivity-security.ps1 (functie Invoke-Implementation) – Valideert en implementeert beveiligingsmaatregelen voor hybride connectiviteit tussen on-premises en Azure.
De implementatie van hybride connectiviteitsbeveiliging begint met het kiezen van de juiste verbindingstechnologie op basis van de specifieke vereisten van de organisatie. Voor de meeste Nederlandse overheidsorganisaties is Site-to-Site VPN via Azure VPN Gateway de meest geschikte oplossing, omdat deze betaalbaar, eenvoudig te implementeren en voldoende beveiligd is voor de meeste use cases. ExpressRoute is geschikt voor enterprise-omgevingen die dedicated connectiviteit, hogere bandbreedte, lagere latentie of specifieke SLA-vereisten nodig hebben, maar komt met aanzienlijk hogere kosten en complexiteit. De keuze tussen VPN Gateway en ExpressRoute moet worden gemaakt op basis van een zorgvuldige analyse van de technische vereisten, kosten, beschikbaarheidseisen en compliance-vereisten. Voor Site-to-Site VPN-verbindingen begint de implementatie met het configureren van Azure VPN Gateway in het Azure Virtual Network. De VPN Gateway moet worden geconfigureerd met een geschikte SKU die voldoet aan de prestatie- en beschikbaarheidseisen. Voor productieomgevingen wordt aanbevolen om een VPN Gateway te gebruiken met zone-redundantie of actief-passief configuratie voor hoge beschikbaarheid. De VPN Gateway moet worden geconfigureerd met sterke encryptie-algoritmen, zoals IKEv2 met AES-256 encryptie en SHA-256 authenticatie, en moet worden geconfigureerd met Perfect Forward Secrecy (PFS) om te voorkomen dat eerdere sessies kunnen worden gedecodeerd als de encryptiesleutel wordt gecompromitteerd. De VPN Gateway moet ook worden geconfigureerd met juiste IP-adresbereiken en route-tabellen om ervoor te zorgen dat verkeer correct wordt doorgestuurd tussen on-premises en Azure. Aan de on-premises kant moet een compatibele VPN-apparaat of -gateway worden geconfigureerd die kan communiceren met Azure VPN Gateway. Het VPN-apparaat moet ondersteuning bieden voor dezelfde encryptie- en authenticatie-protocollen als Azure VPN Gateway, en moet worden geconfigureerd met de juiste pre-shared keys of certificaten voor authenticatie. Voor organisaties zonder geschikt VPN-apparaat kunnen alternatieven worden overwogen, zoals Azure Virtual WAN of Azure Route Server, die eenvoudigere configuratie en beheer mogelijk maken. Het is belangrijk om ervoor te zorgen dat het on-premises VPN-apparaat regelmatig wordt gepatcht en bijgewerkt om bekende kwetsbaarheden te verhelpen. Na het opzetten van de basisverbinding moet netwerksegmentatie worden geïmplementeerd om verkeer te isoleren en te beveiligen. Dit begint met het configureren van Virtual Networks in Azure met duidelijke subnetten voor verschillende workloads en services. Network Security Groups moeten worden geconfigureerd voor elk subnet met regels die verkeer filteren op basis van bron- en doel-IP-adressen, poorten en protocollen. De regels moeten worden gebaseerd op het principe van least privilege, waarbij alleen het minimale verkeer dat nodig is voor de functionaliteit wordt toegestaan. User-Defined Routes kunnen worden gebruikt om verkeer te routeren via Azure Firewall voor gecentraliseerde netwerkbeveiliging en threat intelligence. Azure Firewall moet worden geïmplementeerd voor gecentraliseerde netwerkbeveiliging van alle verkeer tussen on-premises en Azure, en tussen verschillende Azure Virtual Networks. Azure Firewall biedt geavanceerde features zoals application rules voor FQDN-filtering, network rules voor IP-adres- en poortfiltering, NAT rules voor outbound-connectiviteit, en threat intelligence-integratie voor het automatisch blokkeren van bekende kwaadaardige IP-adressen en domeinen. Azure Firewall policies moeten worden geconfigureerd met regels die specifiek zijn afgestemd op de hybride connectiviteitsvereisten, waarbij verkeer wordt gefilterd op basis van de bron, bestemming, applicatie en context. Threat intelligence moet worden ingeschakeld om automatisch verkeer te blokkeren van bekende bedreigingen. Monitoring en logging zijn essentieel voor het detecteren van beveiligingsincidenten en het waarborgen van compliance. Azure Monitor moet worden geconfigureerd voor het verzamelen en analyseren van netwerkmetrieken en logs van VPN Gateway, Azure Firewall, Network Security Groups en andere netwerkresources. NSG Flow Logs moeten worden ingeschakeld voor gedetailleerde logging van netwerkverkeer, waarbij logs worden opgeslagen in Azure Storage of Log Analytics voor analyse. Azure Sentinel kan worden gebruikt voor Security Information and Event Management (SIEM), waarbij logs worden geaggregeerd, geanalyseerd en gevisualiseerd in dashboards en waarbij automatische waarschuwingen worden gegenereerd voor verdacht verkeer of beveiligingsincidenten. Waarschuwingen moeten worden geconfigureerd voor belangrijke gebeurtenissen zoals VPN-verbindingsfouten, firewall-blokkeringen, ongeautoriseerde toegangspogingen en anomalieën in netwerkverkeer. Tot slot moeten compliance- en governanceprocessen worden geïmplementeerd. Azure Policy moet worden gebruikt om ervoor te zorgen dat nieuwe netwerkresources voldoen aan de hybride connectiviteitsbeveiligingsvereisten, zoals het vereisen van bepaalde encryptie-instellingen, het voorkomen van onbeveiligde verbindingen, of het vereisen van Network Security Groups op alle subnetten. Tagging moet worden geïmplementeerd voor consistente resource-organisatie en kostenbeheer. Documentatie moet worden bijgewerkt met netwerkdiagrammen, IP-adresplannen, firewall-regels en beveiligingsconfiguraties. Regelmatige security assessments moeten worden ingepland om te verifiëren dat de beveiliging nog steeds voldoet aan de vereisten en om verbetermaatregelen te identificeren.
Monitoring
Gebruik PowerShell-script hybrid-connectivity-security.ps1 (functie Invoke-Monitoring) – Monitort de status en beveiliging van hybride connectiviteit tussen on-premises en Azure.
Effectieve monitoring van hybride connectiviteitsbeveiliging is essentieel om te waarborgen dat alle beveiligingscontroles correct blijven functioneren en dat bedreigingen tijdig worden gedetecteerd. Monitoring richt zich niet alleen op individuele componenten zoals VPN Gateway of Azure Firewall, maar vooral ook op de samenhang tussen componenten en de algehele beveiliging van de hybride verbinding. In de praktijk betekent dit dat de organisatie een beperkt aantal kernindicatoren definieert – Key Security Indicators (KSI's) – die periodiek worden gemeten en gerapporteerd aan CISO, CIO en bestuur. Voor elke component worden specifieke metrics gedefinieerd die aangeven of de component effectief functioneert en of er sprake is van beveiligingsincidenten. Voor VPN Gateway-verbindingen worden metrics gemeten zoals de beschikbaarheid en gezondheid van de VPN-verbinding, het aantal actieve tunnels, de doorvoer en latentie van de verbinding, het aantal verbindingsfouten en reconnecties, en de encryptie- en authenticatie-status. Voor Azure Firewall worden metrics gemeten zoals het aantal geblokkeerde bedreigingen en verdacht verkeer, de doorvoer en latentie van de firewall, het aantal firewall-regels dat actief is, en het percentage verkeer dat wordt geïnspecteerd en geblokkeerd. Voor Network Security Groups worden metrics gemeten zoals het aantal NSG-regels dat actief is, het aantal geblokkeerde verkeerspogingen, en anomalieën in netwerkverkeerpatronen. Een belangrijk onderdeel van monitoring is het creëren van geïntegreerde dashboards die de status van alle hybride connectiviteitsbeveiligingscomponenten samenbrengen in één overzichtelijk beeld. In plaats van afzonderlijke dashboards per component, wordt informatie samengebracht in een centraal beveiligingsdashboard dat laat zien hoe de verschillende componenten samenwerken en waar potentiële zwaktes bestaan. Dit dashboard moet niet alleen technische details tonen, maar vooral ook risico-indicatoren die begrijpelijk zijn voor bestuurders en niet-technische stakeholders. Binnen Nederlandse overheidsorganisaties sluit dit aan bij de behoefte aan overzichtelijke rapportages die voldoen aan NIS2- en BIO-verplichtingen voor security reporting. De monitoringfunctie moet ook concrete drempelwaarden en escalatiepaden definiëren. Voor elke KSI wordt vastgelegd bij welke waarde het risiconiveau verandert – bijvoorbeeld van 'aanvaardbaar' naar 'zorgelijk' of 'onacceptabel' – en welke acties dan vereist zijn. Dit kan variëren van het verplicht opstellen van een verbeterplan binnen een maand, via het tijdelijk blokkeren van verdacht verkeer of het escaleren van security incidents, tot het escaleren naar de CISO of het bestuurlijke crisisteam bij zeer ernstige beveiligingsincidenten. Deze drempelwaarden worden afgestemd op de bestaande risicobereidheid van de organisatie en op wettelijke vereisten vanuit NIS2 en BIO. Tot slot vereist monitoring een nauwe koppeling tussen de dagelijkse operationele securityprocessen – zoals SOC-monitoring, netwerkbeheer en incident response – en de meerjarige beveiligingssturing. Operationele teams leveren signalen over concrete incidenten, near misses en ontdekt misbruik van configuratiefouten. Deze signalen moeten systematisch worden geanalyseerd om te bepalen of zij duiden op structurele tekortkomingen in hybride connectiviteitsbeveiliging of de configuraties daarvan. Wanneer bijvoorbeeld meerdere incidenten wijzen op onvoldoende encryptie, zwakke authenticatie of onvoldoende netwerksegmentatie, moet dit leiden tot een herziening van de relevante componenten en verbetermaatregelen. Het PowerShell-script dat bij dit artikel hoort, kan dienen als technisch hulpmiddel om op vaste momenten kernstatistieken uit Azure op te halen – zoals VPN-verbindingsstatus, firewall-health, NSG-compliance en netwerkverkeersvolumes – en die als bijlage toe te voegen aan periodieke security rapportages. Zo ontstaat een gesloten feedbacklus tussen monitoring, analyse en bijsturing.
Compliance en Auditing
Hybride connectiviteitsbeveiliging is niet alleen een best practice voor cloudbeveiliging, maar een expliciete eis vanuit verschillende nationale en internationale kaders die gelden voor Nederlandse overheidsorganisaties en andere vitale of belangrijke entiteiten. De NIS2-richtlijn verlangt dat organisaties passende technische en organisatorische maatregelen treffen voor risicobeheersing en beveiliging, waarbij wordt benadrukt dat beveiliging moet worden toegepast op basis van risicoanalyse en niet op basis van verondersteld vertrouwen. Dit betekent concreet dat organisaties niet kunnen volstaan met onbeveiligde of zwak beveiligde hybride verbindingen, maar moeten kunnen aantonen dat zij een uitgebreide beveiligingsaanpak hebben geïmplementeerd die verkeer isoleert, inspecteert en controleert op basis van contextuele signalen. Het hier beschreven hybride connectiviteitsbeveiligingsraamwerk levert precies dat aantoonbare spoor: van encryptie en authenticatie via netwerksegmentatie en firewall-regels tot gedetailleerde logging en monitoring. Het BIO-raamwerk benadrukt in meerdere thema's – met name thema 13 (Netwerkbeveiliging) en thema 12 (Beveiligingsmaatregelen) – dat overheidsorganisaties structureel moeten bepalen welke beveiligingsmaatregelen nodig zijn en hoe deze worden geïmplementeerd en gemonitord op basis van risicoanalyse. In moderne omgevingen bevinden veel van deze maatregelen zich in Azure, en zonder een specifiek uitgewerkt hybride connectiviteitsbeveiligingskader is het vrijwel onmogelijk om aan te tonen dat de BIO-eisen voor netwerkbeveiliging daadwerkelijk zijn ingevuld voor deze verbindingen. Door hybride connectiviteitsbeveiliging te integreren in hetzelfde beveiligingskader en dezelfde governancecyclus als on-premises systemen en andere IT-diensten, kan de organisatie aan auditors laten zien dat cloudverbindingen niet als losstaand eiland worden behandeld, maar als integraal onderdeel van de beveiligingsarchitectuur. Ook ISO 27001 speelt een rol in hybride connectiviteitsbeveiliging, met name waar het gaat om netwerkbeveiliging en toegangscontrole. Controle A.8.20 vereist dat organisaties netwerken beveiligen en beheren om de beschikbaarheid, integriteit en vertrouwelijkheid van informatie te waarborgen, waarbij encryptie en netwerksegmentatie belangrijke middelen zijn om de impact van beveiligingsincidenten te beperken. In de context van Azure betekent dit onder meer dat men moet beoordelen welke risico's er zijn voor verlies, ongeautoriseerde toegang of onbeschikbaarheid van informatie door cloud-specifieke dreigingen, en welke hybride connectiviteitsbeveiligingsmaatregelen hiervoor zijn gekozen (zoals encryptie, authenticatie, netwerksegmentatie, firewall-regels en monitoring). Deze keuzes en de onderbouwing ervan moeten worden gedocumenteerd, zodat bij een incident of audit kan worden aangetoond dat de organisatie weloverwogen en proportionele maatregelen heeft getroffen op basis van risicoanalyse. Auditors – zowel interne auditdiensten als externe toezichthouders – verwachten steeds vaker dat organisaties een consistente methode hanteren voor netwerkbeveiliging over alle technologieën heen, inclusief hybride cloudverbindingen. Het beschreven hybride connectiviteitsbeveiligingsraamwerk biedt hiervoor een duidelijke kapstok. Voor auditdoeleinden is het essentieel dat de organisatie kan laten zien dat: er een formeel vastgesteld netwerkbeveiligingsbeleid is dat ook voor hybride connectiviteit geldt; hybride connectiviteitsbeveiliging is geïmplementeerd met alle benodigde componenten; de resultaten zijn vastgelegd in beveiligingsdocumentatie met toegewezen eigenaarschap; en dat uitgevoerde maatregelen en resterende risico's traceerbaar zijn naar concrete besluiten en acties. Het gebruik van gestandaardiseerde formats, centrale opslag van configuraties en systematische koppeling met compliance-dashboards is hierbij onmisbaar. Het PowerShell-script uit dit artikel kan aanvullend worden gebruikt als bron van objectief bewijsmateriaal over de technische inrichting van de hybride connectiviteitsbeveiliging, bijvoorbeeld om te onderbouwen dat er daadwerkelijk encryptie is geconfigureerd, dat Network Security Groups correct zijn ingesteld en dat monitoring adequaat is ingericht.
Remediatie
Gebruik PowerShell-script hybrid-connectivity-security.ps1 (functie Invoke-Remediation) – Identificeert en herstelt ontbrekende of zwakke beveiligingsconfiguraties voor hybride connectiviteit.
Wanneer uit audits, incidenten of periodieke assessments blijkt dat hybride connectiviteitsbeveiliging onvoldoende is geïmplementeerd of dat bepaalde componenten zwak zijn, is een gestructureerd remediatieproces noodzakelijk om het beveiligingsniveau snel en gecontroleerd te verhogen. De eerste stap in dit proces is het uitvoeren van een gap-analyse ten opzichte van het gewenste hybride connectiviteitsbeveiligingsraamwerk: welke componenten zijn al aanwezig en correct geconfigureerd, welke componenten zijn gedeeltelijk geïmplementeerd maar hebben tekortkomingen, en welke componenten ontbreken volledig? Deze gap-analyse wordt idealiter uitgevoerd door een multidisciplinair team bestaande uit netwerkarchitect, security engineers, cloudbeheerders en vertegenwoordigers uit de business. Het resultaat is een overzicht van concrete tekortkomingen per component, geprioriteerd op basis van risico en compliance-impact. Vervolgens wordt per tekortkoming een gerichte remediatiestrategie bepaald. Ontbreekt bijvoorbeeld encryptie voor hybride verbindingen, dan is de remediatie het configureren van sterke encryptie-algoritmen zoals IKEv2 met AES-256 en SHA-256. Zijn Network Security Groups gedeeltelijk aanwezig maar ontbreken specifieke firewall-regels, dan ligt de nadruk op het toevoegen van ontbrekende regels op basis van least privilege-principes. In situaties waarin meerdere componenten zwak zijn – wat zeker bij versneld gecreëerde cloudomgevingen vaak voorkomt – moet een gefaseerde aanpak worden gevolgd waarbij eerst de meest kritieke beveiligingsmaatregelen worden geïmplementeerd, gevolgd door aanvullende maatregelen en tot slot monitoring en logging. Een belangrijk remediatiepad betreft het migreren van bestaande onbeveiligde of zwak beveiligde hybride verbindingen naar een beveiligde configuratie. Wanneer organisaties momenteel onbeveiligde verbindingen hebben of verouderde encryptie- en authenticatie-protocollen gebruiken, vereist de migratie naar een beveiligde configuratie een gefaseerde aanpak. De eerste fase omvat het ontwerpen van de nieuwe beveiligingsarchitectuur, inclusief het identificeren van welke encryptie- en authenticatiemechanismen moeten worden gebruikt, hoe netwerksegmentatie moet worden geïmplementeerd, en welke firewall-regels nodig zijn. Deze ontwerpfase is cruciaal en moet worden uitgevoerd door ervaren netwerk- en beveiligingsexperts. De implementatiefase begint met het configureren van sterke encryptie en authenticatie voor bestaande verbindingen, gevolgd door het implementeren van netwerksegmentatie en firewall-regels, waarbij zorgvuldig moet worden gecontroleerd dat alle functionaliteit behouden blijft. Technisch gezien kan remediatie ook bestaan uit het versterken van bestaande beveiligingsconfiguraties. Denk aan het upgraden van encryptie-algoritmen naar sterkere versies, het verbeteren van firewall-configuraties met threat intelligence en application rules, het implementeren van aanvullende Network Security Groups voor subnet-niveau beveiliging waar deze ontbreken, of het configureren van route tables om verkeer te routeren via Azure Firewall. Het inschakelen van uitgebreide monitoring en logging waar deze nog niet zijn geconfigureerd. Deze stappen moeten altijd worden uitgevoerd op basis van een gedetailleerd migratieplan, inclusief impactanalyse, fallbackscenario's en communicatie met betrokken teams. Tot slot moet elke remediatie-inspanning worden afgesloten met een expliciete evaluatie en bijstelling van het hybride connectiviteitsbeveiligingsraamwerk. De lessen uit incidenten en audits – bijvoorbeeld een succesvolle aanval die hybride connectiviteit heeft misbruikt of onvoldoende detectie van verdacht verkeer – moeten structureel worden verwerkt in de netwerkarchitectuur, configuraties en procedures. Het is raadzaam om na afronding van een remediatieprogramma een integrale security assessment te laten uitvoeren door een interne auditdienst of een onafhankelijke derde, zodat kan worden vastgesteld of het nieuwe niveau van hybride connectiviteitsbeveiliging daadwerkelijk in lijn is met NIS2, BIO en de verwachtingen van het bestuur. De uitkomsten hiervan worden vastgelegd in beveiligingsdocumentatie en vormen het nieuwe vertrekpunt voor de reguliere cyclus van monitoring en verbetering.
Compliance & Frameworks
- BIO: 13.01 - Netwerkbeveiliging en veilige connectiviteit
- ISO 27001:2022: A.8.20 - Netwerkbeveiliging en toegangscontrole
- NIS2: Artikel - Passende technische en organisatorische maatregelen voor netwerkbeveiliging op basis van risicoanalyse
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Azure Hybride Connectiviteitsbeveiliging validatie en implementatie
.DESCRIPTION
Dit script ondersteunt Nederlandse overheidsorganisaties bij het valideren en
implementeren van beveiligingsmaatregelen voor hybride connectiviteit tussen
on-premises infrastructuur en Azure cloud services. Het script controleert de
status van alle hybride connectiviteitscomponenten: VPN Gateway-verbindingen,
ExpressRoute-circuits, netwerkbeveiliging, encryptie-configuraties en monitoring.
Het script is ontworpen om veilig lokaal of vanuit een beheerde automation-runner
te draaien met READ-ONLY rechten voor monitoring, en met beperkte schrijfrechten
voor remediatie. Het voert configuratiewijzigingen alleen uit na expliciete
bevestiging of in WhatIf-modus.
.NOTES
Filename: hybrid-connectivity-security.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-01-15
Version: 1.0
Related JSON: content/azure/network/hybrid-connectivity-security.json
Category: network
Workload: azure
.LINK
https://github.com/m365-tenant-best-practise
.EXAMPLE
.\hybrid-connectivity-security.ps1 -Monitoring
Voert een read-only validatie uit van alle hybride connectiviteitsbeveiligingscomponenten
en toont een samenvatting van de huidige status.
.EXAMPLE
.\hybrid-connectivity-security.ps1 -Remediation -WhatIf
Genereert een rapport met concrete aanbevelingen zonder wijzigingen aan te brengen.
.EXAMPLE
.\hybrid-connectivity-security.ps1 -ExportPath .\hybrid-connectivity-report.json
Exporteert de validatie- en aanbevelingsgegevens naar een JSON-bestand.
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Network, Az.Resources
[CmdletBinding()]
param(
[Parameter(HelpMessage = "Voer een read-only validatie uit van alle hybride connectiviteitsbeveiligingscomponenten")]
[switch]$Monitoring,
[Parameter(HelpMessage = "Genereer aanbevelingen en implementeer ontbrekende hybride connectiviteitsbeveiligingsconfiguraties")]
[switch]$Remediation,
[Parameter(HelpMessage = "Draai implementatiewijzigingen terug (indien mogelijk)")]
[switch]$Revert,
[Parameter(HelpMessage = "Toon welke acties zouden worden uitgevoerd zonder deze echt uit te voeren")]
[switch]$WhatIf,
[Parameter(HelpMessage = "Optioneel pad om resultaten als JSON te exporteren")]
[string]$ExportPath
)
$ErrorActionPreference = 'Stop'
# ============================================================================
# HEADER
# ============================================================================
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Azure Hybride Connectiviteitsbeveiliging" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
# ============================================================================
# HULPFUNCTIES
# ============================================================================
function Connect-NbvvcAzContext {
<#
.SYNOPSIS
Zorgt voor een geldige Az-context voor leesacties
.DESCRIPTION
Probeert eerst een bestaande context te gebruiken. Als er geen context is,
wordt Connect-AzAccount aangeroepen. Dit is geschikt voor lokale debug-
scenario's met een interactieve sessie of een managed identity.
#>
[CmdletBinding()]
param()
try {
$context = Get-AzContext -ErrorAction SilentlyContinue
if (-not $context) {
Write-Host "Geen actieve Azure-context gevonden. Probeer te verbinden..." -ForegroundColor Yellow
Connect-AzAccount -ErrorAction Stop | Out-Null
$context = Get-AzContext -ErrorAction Stop
}
Write-Host "Actieve Azure-context: $($context.Subscription.Name) [$($context.Subscription.Id)]" -ForegroundColor Gray
return $context
}
catch {
Write-Host "[FAIL] Kon geen geldige Azure-context verkrijgen: $_" -ForegroundColor Red
throw
}
}
function Get-NbvvcHybridConnectivityStatus {
<#
.SYNOPSIS
Verzamelt de status van alle hybride connectiviteitsbeveiligingscomponenten
.DESCRIPTION
Haalt de status op van VPN Gateway-verbindingen, ExpressRoute-circuits,
netwerkbeveiliging, encryptie-configuraties en monitoring. De validatie
is read-only en bedoeld als input voor verder beveiligings- en compliancewerk.
.OUTPUTS
Hashtable met hybride connectiviteitsstatus per component
#>
[CmdletBinding()]
param()
$status = @{
timestamp = Get-Date
subscriptionId = (Get-AzContext).Subscription.Id
vpnGateways = @{
count = 0
activeConnections = 0
strongEncryption = 0
findings = @()
}
expressRoute = @{
circuits = 0
provisioned = 0
findings = @()
}
networkSecurity = @{
nsgCount = 0
firewallCount = 0
privateEndpoints = 0
findings = @()
}
encryption = @{
strongProtocols = 0
findings = @()
}
monitoring = @{
flowLogsEnabled = 0
networkWatcher = $false
findings = @()
}
overallScore = 0
}
Write-Host "`nValidatie van hybride connectiviteitsbeveiligingscomponenten (read-only)..." -ForegroundColor Yellow
# VPN Gateways - Controleer VPN Gateway-verbindingen en encryptie
try {
$vpngateways = Get-AzVirtualNetworkGateway -ErrorAction SilentlyContinue
$status.vpnGateways.count = $vpngateways.Count
foreach ($gateway in $vpngateways) {
Write-Host " VPN Gateway gevonden: $($gateway.Name)" -ForegroundColor Gray
# Controleer actieve verbindingen
$connections = Get-AzVirtualNetworkGatewayConnection -ResourceGroupName $gateway.ResourceGroupName -ErrorAction SilentlyContinue
$activeConnections = $connections | Where-Object { $_.ConnectionStatus -eq "Connected" }
$status.vpnGateways.activeConnections += $activeConnections.Count
if ($activeConnections.Count -eq 0) {
$status.vpnGateways.findings += "VPN Gateway $($gateway.Name) heeft geen actieve verbindingen; controleer configuratie en on-premises VPN-apparaat."
}
# Controleer encryptie-instellingen (vereenvoudigd - in productie zou dit dieper gaan)
# VPN Gateway SKU's met "VpnGw" ondersteunen sterkere encryptie
if ($gateway.Sku.Name -like "VpnGw*") {
$status.vpnGateways.strongEncryption++
Write-Host " Sterke encryptie ondersteund: $($gateway.Sku.Name)" -ForegroundColor Gray
}
else {
$status.vpnGateways.findings += "VPN Gateway $($gateway.Name) gebruikt oude SKU ($($gateway.Sku.Name)); overweeg upgrade naar VpnGw-serie voor sterkere encryptie."
}
}
if ($vpngateways.Count -eq 0) {
$status.vpnGateways.findings += "Geen VPN Gateways gevonden; overweeg implementatie voor Site-to-Site VPN-verbindingen tussen on-premises en Azure."
}
}
catch {
Write-Host " [WARN] Kon VPN Gateway-status niet volledig valideren: $_" -ForegroundColor Yellow
$status.vpnGateways.findings += "Kon VPN Gateway-status niet volledig valideren; controleer rechten en Az.Network-module."
}
# ExpressRoute - Controleer ExpressRoute-circuits
try {
$expressRouteCircuits = Get-AzExpressRouteCircuit -ErrorAction SilentlyContinue
$status.expressRoute.circuits = $expressRouteCircuits.Count
foreach ($circuit in $expressRouteCircuits) {
Write-Host " ExpressRoute-circuit gevonden: $($circuit.Name)" -ForegroundColor Gray
if ($circuit.ServiceProviderProvisioningState -eq 'Provisioned') {
$status.expressRoute.provisioned++
Write-Host " Status: Provisioned" -ForegroundColor Gray
}
else {
$status.expressRoute.findings += "ExpressRoute-circuit $($circuit.Name) heeft status '$($circuit.ServiceProviderProvisioningState)'; verifieer configuratie met service provider."
}
}
if ($expressRouteCircuits.Count -eq 0 -and $status.vpnGateways.count -eq 0) {
$status.expressRoute.findings += "Geen ExpressRoute-circuits of VPN Gateways gevonden; overweeg implementatie van hybride connectiviteit voor on-premises integratie."
}
}
catch {
Write-Host " [WARN] Kon ExpressRoute-status niet volledig valideren: $_" -ForegroundColor Yellow
$status.expressRoute.findings += "Kon ExpressRoute-status niet volledig valideren; controleer rechten en Az.Network-module."
}
# Netwerkbeveiliging - Controleer NSG's, Firewalls en private endpoints
try {
$nsgs = Get-AzNetworkSecurityGroup -ErrorAction SilentlyContinue
$status.networkSecurity.nsgCount = $nsgs.Count
Write-Host " Netwerkbeveiliging: $($nsgs.Count) Network Security Group(s) gevonden" -ForegroundColor Gray
$firewalls = Get-AzFirewall -ErrorAction SilentlyContinue
$status.networkSecurity.firewallCount = $firewalls.Count
Write-Host " Netwerkbeveiliging: $($firewalls.Count) Azure Firewall(s) gevonden" -ForegroundColor Gray
$privateEndpoints = Get-AzPrivateEndpoint -ErrorAction SilentlyContinue
$status.networkSecurity.privateEndpoints = $privateEndpoints.Count
Write-Host " Netwerkbeveiliging: $($privateEndpoints.Count) private endpoint(s) gevonden" -ForegroundColor Gray
if ($nsgs.Count -eq 0) {
$status.networkSecurity.findings += "Geen Network Security Groups gevonden; overweeg implementatie voor subnet-niveau beveiliging in hybride connectiviteitsnetwerken."
}
if ($firewalls.Count -eq 0) {
$status.networkSecurity.findings += "Geen Azure Firewalls gevonden; overweeg implementatie voor gecentraliseerde netwerkbeveiliging en threat intelligence voor hybride verkeer."
}
if ($privateEndpoints.Count -eq 0) {
$status.networkSecurity.findings += "Geen private endpoints gevonden; overweeg implementatie voor private connectivity naar Azure-services zonder publieke toegang."
}
}
catch {
Write-Host " [WARN] Kon netwerkbeveiligingsstatus niet volledig valideren: $_" -ForegroundColor Yellow
$status.networkSecurity.findings += "Kon netwerkbeveiligingsstatus niet volledig valideren; controleer rechten en benodigde modules."
}
# Monitoring - Controleer Network Watcher en Flow Logs
try {
$networkWatchers = Get-AzNetworkWatcher -ErrorAction SilentlyContinue
if ($networkWatchers.Count -gt 0) {
$status.monitoring.networkWatcher = $true
Write-Host " Monitoring: Network Watcher ingeschakeld" -ForegroundColor Gray
}
else {
$status.monitoring.findings += "Network Watcher niet gevonden; overweeg implementatie voor uitgebreide netwerkmonitoring en diagnostiek."
}
# Controleer NSG Flow Logs (vereenvoudigd - in productie zou dit dieper gaan)
$flowLogs = Get-AzNetworkWatcherFlowLog -ErrorAction SilentlyContinue
if ($flowLogs.Count -gt 0) {
$status.monitoring.flowLogsEnabled = $flowLogs.Count
Write-Host " Monitoring: $($flowLogs.Count) NSG Flow Log(s) gevonden" -ForegroundColor Gray
}
else {
$status.monitoring.findings += "Geen NSG Flow Logs gevonden; overweeg implementatie voor gedetailleerde logging van hybride netwerkverkeer."
}
}
catch {
Write-Host " [WARN] Kon monitoringstatus niet volledig valideren: $_" -ForegroundColor Yellow
$status.monitoring.findings += "Kon monitoringstatus niet volledig valideren; controleer rechten en Az.Network-module."
}
# Bereken overall score (eenvoudige berekening op basis van beschikbare controles)
$scoreComponents = 0
$scoreTotal = 0
if ($status.vpnGateways.count -gt 0 -or $status.expressRoute.circuits -gt 0) { $scoreComponents++ }
$scoreTotal += 1
if ($status.vpnGateways.activeConnections -gt 0 -or $status.expressRoute.provisioned -gt 0) { $scoreComponents++ }
$scoreTotal += 1
if ($status.networkSecurity.nsgCount -gt 0) { $scoreComponents++ }
$scoreTotal += 1
if ($status.networkSecurity.firewallCount -gt 0) { $scoreComponents++ }
$scoreTotal += 1
if ($status.monitoring.networkWatcher) { $scoreComponents++ }
$scoreTotal += 1
if ($status.monitoring.flowLogsEnabled -gt 0) { $scoreComponents++ }
$scoreTotal += 1
if ($scoreTotal -gt 0) {
$status.overallScore = [math]::Round(($scoreComponents / $scoreTotal) * 100, 1)
}
return $status
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Voert een read-only hybride connectiviteitsbeveiligingsvalidatie uit
.DESCRIPTION
Gebruikt statuscontroles om inzicht te geven in de huidige hybride
connectiviteitsbeveiliging per component. Dit helpt bij het prioriteren
van implementatietrajecten en het identificeren van gaten in de beveiliging.
.OUTPUTS
Hashtable met samenvattende metrics en status per component
#>
[CmdletBinding()]
param()
$null = Connect-NbvvcAzContext
$status = Get-NbvvcHybridConnectivityStatus
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "SAMENVATTING HYBRIDE CONNECTIVITEITSBEVEILIGING" -ForegroundColor Cyan
Write-Host " Overall Score : $($status.overallScore)%" -ForegroundColor White
Write-Host "`n VPN Gateways:" -ForegroundColor Yellow
Write-Host " Aantal Gateways : $($status.vpnGateways.count)" -ForegroundColor Gray
Write-Host " Actieve verbindingen : $($status.vpnGateways.activeConnections)" -ForegroundColor Gray
Write-Host " Sterke encryptie : $($status.vpnGateways.strongEncryption)" -ForegroundColor Gray
Write-Host "`n ExpressRoute:" -ForegroundColor Yellow
Write-Host " Aantal circuits : $($status.expressRoute.circuits)" -ForegroundColor Gray
Write-Host " Provisioned : $($status.expressRoute.provisioned)" -ForegroundColor Gray
Write-Host "`n Netwerkbeveiliging:" -ForegroundColor Yellow
Write-Host " Network Security Groups: $($status.networkSecurity.nsgCount)" -ForegroundColor Gray
Write-Host " Azure Firewalls : $($status.networkSecurity.firewallCount)" -ForegroundColor Gray
Write-Host " Private Endpoints : $($status.networkSecurity.privateEndpoints)" -ForegroundColor Gray
Write-Host "`n Monitoring:" -ForegroundColor Yellow
Write-Host " Network Watcher : $($status.monitoring.networkWatcher)" -ForegroundColor Gray
Write-Host " NSG Flow Logs : $($status.monitoring.flowLogsEnabled)" -ForegroundColor Gray
$allFindings = @()
$allFindings += $status.vpnGateways.findings
$allFindings += $status.expressRoute.findings
$allFindings += $status.networkSecurity.findings
$allFindings += $status.encryption.findings
$allFindings += $status.monitoring.findings
if ($allFindings.Count -gt 0) {
Write-Host "`nAandachtspunten:" -ForegroundColor Yellow
foreach ($f in $allFindings) {
Write-Host " - $f" -ForegroundColor Yellow
}
}
else {
Write-Host "`nGeen specifieke aandachtspunten gedetecteerd op basis van deze scan." -ForegroundColor Green
}
return @{
status = $status
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Genereert hybride connectiviteitsbeveiligingsaanbevelingen en implementeert ontbrekende configuraties
.DESCRIPTION
Op basis van de statusvalidatie worden concrete aanbevelingen gegenereerd
voor vervolgstappen zoals het implementeren van ontbrekende hybride
connectiviteitsbeveiligingscomponenten. Het script voert configuratiewijzigingen
alleen uit na expliciete bevestiging of in WhatIf-modus.
#>
[CmdletBinding(SupportsShouldProcess)]
param(
[string]$ReportPath
)
if ($WhatIf) {
Write-Host "`nWhatIf: er wordt een aanbevelingsrapport gegenereerd op basis van statusvalidatie, maar er vinden geen wijzigingen plaats." -ForegroundColor Yellow
}
$result = Invoke-Monitoring
$status = $result.status
$recommendations = @()
if ($status.vpnGateways.count -eq 0 -and $status.expressRoute.circuits -eq 0) {
$recommendations += "Implementeer hybride connectiviteit met Azure VPN Gateway voor Site-to-Site VPN-verbindingen of ExpressRoute voor dedicated connectiviteit tussen on-premises en Azure."
}
if ($status.vpnGateways.count -gt 0 -and $status.vpnGateways.activeConnections -eq 0) {
$recommendations += "Controleer en herstel VPN Gateway-verbindingen; verifieer configuratie van on-premises VPN-apparaat en pre-shared keys of certificaten."
}
if ($status.vpnGateways.strongEncryption -lt $status.vpnGateways.count) {
$recommendations += "Upgrade VPN Gateways naar VpnGw-serie SKU's voor sterkere encryptie (IKEv2 met AES-256 en SHA-256) en betere beveiliging."
}
if ($status.networkSecurity.firewallCount -eq 0) {
$recommendations += "Implementeer Azure Firewall voor gecentraliseerde netwerkbeveiliging en threat intelligence voor hybride netwerkverkeer."
}
if ($status.networkSecurity.nsgCount -eq 0) {
$recommendations += "Implementeer Network Security Groups voor subnet-niveau beveiliging in alle hybride connectiviteitsnetwerken."
}
if (-not $status.monitoring.networkWatcher) {
$recommendations += "Implementeer Azure Network Watcher voor uitgebreide netwerkmonitoring, diagnostiek en troubleshooting van hybride connectiviteit."
}
if ($status.monitoring.flowLogsEnabled -eq 0) {
$recommendations += "Schakel NSG Flow Logs in voor gedetailleerde logging van netwerkverkeer tussen on-premises en Azure voor security en compliance doeleinden."
}
if ($recommendations.Count -eq 0) {
$recommendations += "Geen specifieke aanbevelingen op basis van deze scan; voer een diepgaand hybride connectiviteitsbeveiligings-assessment uit voor kernsystemen."
}
Write-Host "`nAanbevolen vervolgstappen:" -ForegroundColor Cyan
foreach ($rec in $recommendations) {
Write-Host " - $rec" -ForegroundColor White
}
$report = @{
generatedAt = Get-Date
subscriptionId = $status.subscriptionId
overallScore = $status.overallScore
hybridConnectivity = @{
status = $status
recommendations = $recommendations
}
}
$targetPath = $null
if ($PSBoundParameters.ContainsKey("ReportPath") -and $ReportPath) {
$targetPath = $ReportPath
}
elseif ($ExportPath) {
$targetPath = $ExportPath
}
if ($targetPath) {
if ($PSCmdlet.ShouldProcess($targetPath, "Schrijf hybride connectiviteitsbeveiligingsrapport naar JSON-bestand")) {
$report | ConvertTo-Json -Depth 6 | Out-File -FilePath $targetPath -Encoding UTF8
Write-Host "`n[OK] Rapport geschreven naar: $targetPath" -ForegroundColor Green
}
}
}
function Invoke-Revert {
<#
.SYNOPSIS
Draai implementatiewijzigingen terug
.DESCRIPTION
Dit script voert configuratiewijzigingen alleen uit na expliciete bevestiging.
Revert-functionaliteit is beperkt omdat hybride connectiviteitsbeveiligingsimplementaties
complex zijn en handmatige interventie vereisen. De functie is aanwezig voor consistentie
met andere scripts binnen de Nederlandse Baseline voor Veilige Cloud.
#>
[CmdletBinding(SupportsShouldProcess)]
param()
Write-Host "`nHybride connectiviteitsbeveiligingsimplementaties vereisen handmatige interventie voor revert-operaties." -ForegroundColor Yellow
Write-Host "Raadpleeg de documentatie en Azure-portal voor specifieke revert-stappen per component." -ForegroundColor Gray
}
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert hybride connectiviteitsbeveiliging
.DESCRIPTION
Deze functie is een alias voor Invoke-Remediation voor consistentie
met andere scripts binnen de Nederlandse Baseline voor Veilige Cloud.
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
# ============================================================================
# MAIN EXECUTION
# ============================================================================
try {
if ($Revert) {
Invoke-Revert
}
elseif ($Remediation) {
Invoke-Remediation -ReportPath $ExportPath
}
elseif ($Monitoring) {
$null = Invoke-Monitoring
}
else {
Write-Host "Beschikbare parameters:" -ForegroundColor Yellow
Write-Host " -Monitoring : Voer een read-only hybride connectiviteitsbeveiligingsvalidatie uit" -ForegroundColor Gray
Write-Host " -Remediation : Genereer hybride connectiviteitsbeveiligingsaanbevelingen (geen wijzigingen)" -ForegroundColor Gray
Write-Host " -Revert : Beperkte revert-functionaliteit (handmatige interventie vereist)" -ForegroundColor Gray
Write-Host " -WhatIf : Toon welke acties logisch zouden zijn zonder uitvoer" -ForegroundColor Gray
Write-Host " -ExportPath : Optioneel pad voor JSON-rapport" -ForegroundColor Gray
Write-Host "`nVoorbeeld: .\hybrid-connectivity-security.ps1 -Monitoring" -ForegroundColor Cyan
}
}
catch {
Write-Error "Scriptuitvoering mislukt: $_"
exit 2
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
# Exitcodes:
# 0 = Succesvolle uitvoering
# 2 = Fout tijdens uitvoering
Risico zonder implementatie
Risico zonder implementatie
High: Kritiek - Zonder adequate beveiliging van hybride connectiviteit is de organisatie kwetsbaar voor laterale beweging door aanvallers, datalekken, compliance-overtredingen en niet-naleving van NIS2 en BIO vereisten.
Management Samenvatting
Implementeer uitgebreide beveiligingsmaatregelen voor hybride connectiviteit tussen on-premises en Azure, inclusief encryptie, authenticatie, netwerksegmentatie, firewall-regels en monitoring. Essentieel voor Zero Trust, netwerkbeveiliging en NIS2/BIO compliance. Implementatie: 75 uur.
- Implementatietijd: 75 uur
- FTE required: 0.4 FTE