💼 Management Samenvatting
Privé-eindpunten brengen Platform-as-a-Service (PaaS) diensten zoals opslag, SQL-databases en Key Vault rechtstreeks naar een virtueel netwerk met privé IP-adressen, waardoor blootstelling aan het publieke internet volledig wordt geëlimineerd.
Aanbeveling
IMPLEMENTEER PRIVÉ-EINDPUNTEN
Risico zonder
High
Risk Score
8/10
Implementatie
8u (tech: 6u)
Van toepassing op:
✓ PaaS Services
Publieke eindpunten vormen een aanzienlijk aanvalsoppervlak voor kwaadwillenden. Wanneer PaaS-diensten rechtstreeks via het internet toegankelijk zijn, worden ze blootgesteld aan scanpogingen, brute-force aanvallen en potentiële firewall-bypasses. Dit vergemakkelijkt gegevensexfiltratie en maakt diensten kwetsbaar voor externe dreigingen. Privé-eindpunten lossen deze risico's fundamenteel op door PaaS-diensten uitsluitend toegankelijk te maken vanuit resources binnen het virtuele netwerk. Beveiligingsgroepen op netwerkniveau (NSG) kunnen vervolgens verkeer verder beperken en controleren. Alle verkeer blijft binnen het Azure-backbonenetwerk en wordt nooit gerouteerd via het publieke internet. Deze aanpak is essentieel voor het implementeren van Zero Trust-architectuur, waarbij impliciet vertrouwen wordt vervangen door expliciete verificatie en minimale toegangsrechten.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Network
Connection:
Connect-AzAccountRequired Modules: Az.Network
Implementatie
De implementatie van privé-eindpunten vereist per PaaS-service de aanmaak van een privé-eindpunt resource die wordt gekoppeld aan een subnet binnen het virtuele netwerk. Vervolgens moet publieke netwerktoegang worden uitgeschakeld voor de betreffende service om te garanderen dat alleen verkeer via privé-eindpunten wordt gerouteerd. DNS-configuratie via Private DNS Zones zorgt ervoor dat servicenamen automatisch worden omgezet naar de privé IP-adressen binnen het virtuele netwerk. De kosten bedragen circa €6 per privé-eindpunt per maand, wat een relatief kleine investering is gezien de significante beveiligingswinst. Voor productieomgevingen waar PaaS-diensten worden gebruikt, zijn privé-eindpunten niet langer optioneel maar essentieel voor compliance met moderne beveiligingsstandaarden en risicobeperking.
Implementatie
Gebruik PowerShell-script private-endpoints-configured.ps1 (functie Invoke-Implementation) – Implementeren.
Compliance en Auditing
Monitoring
Gebruik PowerShell-script private-endpoints-configured.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Gebruik PowerShell-script private-endpoints-configured.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance & Frameworks
- CIS M365: Control Multiple (L2) - Private connectivity voor PaaS
- BIO: 13.01.01 - Netwerkbeveiliging
- ISO 27001:2022: A.13.1.1 - Netwerksegmentatie
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Private Endpoints Configured
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 6.3
Controleert private endpoints configuratie.
.NOTES
Filename: private-endpoints-configured.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 6.3
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Network
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Private Endpoints Configured"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$privateEndpoints = Get-AzPrivateEndpoint -ErrorAction SilentlyContinue
$result = @{ TotalEndpoints = $privateEndpoints.Count }
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Private Endpoints: $($r.TotalEndpoints)" -ForegroundColor $(if ($r.TotalEndpoints -gt 0) { 'Green' } else { 'Yellow' })
}
else {
$r = Test-Compliance
Write-Host "`nPrivate Endpoints: $($r.TotalEndpoints)"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Private Endpoints: $($r.TotalEndpoints)" -ForegroundColor $(if ($r.TotalEndpoints -gt 0) { 'Green' } else { 'Yellow' })
}
else {
$r = Test-Compliance
Write-Host "`nPrivate Endpoints: $($r.TotalEndpoints)"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
High: Wanneer PaaS-diensten via publieke eindpunten worden blootgesteld aan het internet, ontstaat een significant aanvalsoppervlak dat door kwaadwillenden kan worden geëxploiteerd. Diensten zoals SQL-databases, opslagaccounts en Key Vault zijn via publieke eindpunten toegankelijk voor iedereen op internet, wat het risico op ongeautoriseerde toegang, gegevensexfiltratie en datalekken drastisch verhoogt. Zelfs met firewallregels en authenticatie zijn publiek toegankelijke eindpunten kwetsbaar voor distributed denial-of-service (DDoS) aanvallen, scanpogingen, en geavanceerde persistent threat (APT) campagnes. Compliance met NIS2-vereisten en Zero Trust-principes wordt onmogelijk zonder netwerkisolatie via privé-eindpunten. Voor productieomgevingen waar PaaS-diensten kritieke gegevens verwerken, is het risico buitengewoon hoog en kan het leiden tot operationele verstoringen, financiële schade, en reputatieschade.
Management Samenvatting
Privé-eindpunten geconfigureerd: Implementeer privé-eindpunten voor alle productie PaaS-diensten inclusief SQL-databases, opslagaccounts, Key Vault en Cosmos DB om uitsluitend toegang via het virtuele netwerk te garanderen. De kosten bedragen ongeveer €6 per maand per privé-eindpunt. De activatie vereist drie stappen: maak privé-eindpunten aan, koppel deze aan subnetten in het virtuele netwerk, en configureer Private DNS Zones voor automatische naamresolutie. Deze maatregel is verplicht voor compliance met NIS2 en Zero Trust-architectuur. De implementatietijd bedraagt ongeveer zes tot acht uur afhankelijk van het aantal diensten. Privé-eindpunten zijn essentieel voor het isoleren van productie PaaS-diensten en vormen de basis voor een veilige cloud-architectuur.
- Implementatietijd: 8 uur
- FTE required: 0.1 FTE