💼 Management Samenvatting
Azure DDoS Protection Standard biedt geavanceerde bescherming tegen gedistribueerde denial-of-service aanvallen met continue monitoring, automatische mitigatie en kostenbescherming voor schaalbare resources tijdens aanvallen.
Aanbeveling
IMPLEMENTEER - ZIE ddos-protection-standard-enabled.json
Risico zonder
Medium
Risk Score
6/10
Implementatie
3u (tech: 2u)
Van toepassing op:
✓ Azure Virtual Networks
Basis DDoS Protection (gratis) biedt slechts beperkte bescherming tegen veelvoorkomende aanvallen. Voor applicaties die publiekelijk toegankelijk zijn, vormen DDoS-aanvallen een reële bedreiging die verschillende vormen kan aannemen. Volumetrische aanvallen kunnen meer dan 100 Gbps aan verkeer genereren en de netwerkbandbreedte volledig overspoelen. Protocolgebaseerde aanvallen zoals SYN floods exploiteren zwakheden in netwerkprotocollen om services onbeschikbaar te maken. Application-layer aanvallen zoals HTTP floods richten zich op specifieke applicaties en kunnen zelfs met relatief lage volumes effectief zijn. Zonder Standard Protection kunnen organisaties te maken krijgen met serviceonderbrekingen die uren tot dagen kunnen duren, exponentieel oplopende schaalkosten tijdens aanvallen die duizenden euro's kunnen bedragen, trage mitigatie die handmatige interventie vereist, en het ontbreken van gedetailleerde aanvalsanalyses voor forensisch onderzoek. DDoS Protection Standard lost deze problemen op door automatische mitigatie binnen seconden te bieden, kostenbescherming waarbij geen schaalkosten worden doorberekend tijdens aanvallen, uitgebreide aanvalsanalyses en forensische rapportage, en 24/7 ondersteuning van DDoS-experts. De kosten bedragen €2944 per maand per abonnement, wat alle virtuele netwerken binnen dat abonnement dekt.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.Network
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.Network
Implementatie
DDoS Protection Standard functioneert via een gelaagde aanpak die begint met het aanmaken van een DDoS Protection-plan op abonnementsniveau. Dit plan wordt vervolgens gekoppeld aan virtuele netwerken die bescherming nodig hebben. Het systeem voert automatische verkeersmonitoring uit met behulp van machine learning-gebaseerde aanvalsdetectie die patronen herkent die wijzen op kwaadaardige activiteit. Wanneer een aanval wordt gedetecteerd, worden automatisch mitigatietriggers geactiveerd die het verkeer filteren en schoonmaken voordat het de beoogde resources bereikt. Het systeem biedt realtime aanvalsmetrieken voor operationele monitoring en genereert gedetailleerde post-aanval rapporten voor analyse en compliance. De bescherming omvat alle publieke IP-adressen, Load Balancers, Azure Application Gateways en Azure Firewall instances binnen de gekoppelde virtuele netwerken. Het systeem mitigeert laag 3 en laag 4 volumetrische aanvallen die gericht zijn op netwerk- en transportlagen, protocolgebaseerde aanvallen die netwerkprotocollen exploiteren, en laag 7 HTTP floods die gericht zijn op applicatielagen, waarbij voor de laatste categorie een Web Application Firewall wordt aanbevolen voor optimale bescherming.
Vereisten
Voor de implementatie van Azure DDoS Protection Standard zijn verschillende technische en organisatorische vereisten van toepassing die zorgvuldig moeten worden overwogen voordat de implementatie wordt gestart. Deze vereisten omvatten zowel technische infrastructuurcomponenten als organisatorische processen die essentieel zijn voor een succesvolle implementatie en effectief beheer van DDoS-bescherming binnen een Azure-omgeving. Organisaties moeten een grondige inventarisatie uitvoeren van hun huidige netwerkinfrastructuur om te bepalen welke resources bescherming vereisen en welke aanpassingen nodig zijn om DDoS Protection Standard te kunnen implementeren.
Vanuit technisch perspectief moeten organisaties beschikken over virtuele netwerken die publieke IP-adressen bevatten, aangezien DDoS-aanvallen primair gericht zijn op publiekelijk toegankelijke resources die via het internet bereikbaar zijn. Deze virtuele netwerken kunnen bestaan uit verschillende Azure-services zoals virtuele machines met publieke IP-adressen die directe internetconnectiviteit bieden, Azure Load Balancers die verkeer distribueren over meerdere backend-servers, Application Gateways die laag 7 load balancing en SSL-terminatie verzorgen, of Azure Firewall instances die gecentraliseerde netwerkbeveiliging bieden. Al deze services kunnen het doelwit worden van DDoS-aanvallen en vereisen daarom adequate bescherming. De technische implementatie vereist PowerShell versie 5.1 of hoger voor het uitvoeren van automatiseringstaken en configuratiescripts die de implementatie en het beheer van DDoS Protection-plannen vereenvoudigen. Daarnaast moeten de Azure PowerShell-modules Az.Accounts en Az.Network geïnstalleerd zijn, aangezien deze modules de benodigde cmdlets bevatten voor het beheren van DDoS Protection-plannen, het koppelen van plannen aan virtuele netwerken, en het monitoren van de beschermingsstatus. Deze modules moeten regelmatig worden bijgewerkt naar de nieuwste versies om toegang te hebben tot de meest recente functionaliteiten en beveiligingsupdates.
Vanuit financieel perspectief is budgetgoedkeuring vereist voor de maandelijkse kosten van €2944 per abonnement, wat een aanzienlijke investering vertegenwoordigt maar essentieel is voor adequate bescherming tegen DDoS-aanvallen. Deze kosten zijn onafhankelijk van het aantal virtuele netwerken binnen het abonnement, wat betekent dat organisaties met meerdere virtuele netwerken kunnen profiteren van schaalvoordelen. Organisaties moeten echter ook rekening houden met mogelijke aanvullende kosten die kunnen ontstaan tijdens DDoS-aanvallen, hoewel Azure DDoS Protection Standard kostenbescherming biedt door geen schaalkosten door te berekenen tijdens aanvallen. Het is belangrijk om deze kosten te vergelijken met de potentiële financiële impact van een succesvolle DDoS-aanval, die kan oplopen tot honderdduizenden euro's aan verloren omzet, herstelkosten en reputatieschade.
Organisatorisch gezien moeten organisaties een DDoS Response Plan document ontwikkelen dat uitgebreide procedures beschrijft voor het detecteren, reageren op en herstellen van DDoS-incidenten. Dit plan moet duidelijk definiëren wie verantwoordelijk is voor welke aspecten van de DDoS-respons, welke escalatieprocedures moeten worden gevolgd wanneer een aanval wordt gedetecteerd, en welke communicatieprotocollen moeten worden gebruikt voor zowel interne stakeholders als externe partijen zoals internet service providers, klanten en partners. Het plan moet ook procedures bevatten voor het coördineren met Microsoft Azure Support tijdens grote aanvallen, het documenteren van incidenten voor forensische analyse en compliance-doeleinden, en het uitvoeren van post-incident reviews om lessen te leren en de responscapaciteit te verbeteren. Ten slotte is een 24/7 on-call structuur vereist voor DDoS-incidenten, aangezien aanvallen op elk moment kunnen plaatsvinden en snelle respons cruciaal is voor het minimaliseren van impact op bedrijfscontinuïteit. Deze structuur moet ervoor zorgen dat er altijd gekwalificeerd personeel beschikbaar is om te reageren op DDoS-incidenten, zelfs buiten kantooruren en tijdens weekends en feestdagen.
Monitoring
Effectieve monitoring van DDoS Protection Standard is essentieel voor het waarborgen van continue bescherming en het tijdig detecteren van configuratiewijzigingen die de beveiligingspostuur kunnen beïnvloeden. Monitoring vormt de ruggengraat van een robuuste DDoS-beschermingsstrategie en stelt organisaties in staat om proactief te reageren op bedreigingen en te verifiëren dat alle kritieke resources adequaat zijn beschermd tegen potentiële aanvallen. Zonder adequate monitoring kunnen organisaties onbewust kwetsbaar blijven voor DDoS-aanvallen door configuratiefouten, ontbrekende koppelingen tussen virtuele netwerken en DDoS Protection-plannen, of wijzigingen die per ongeluk de bescherming uitschakelen. Monitoring omvat verschillende aspecten die regelmatig gecontroleerd moeten worden om ervoor te zorgen dat alle kritieke virtuele netwerken adequaat beschermd zijn tegen DDoS-aanvallen en dat de configuratie voldoet aan de organisatorische en compliance-vereisten.
Het primaire monitoringdoel is het verifiëren dat DDoS Protection-plannen correct zijn geconfigureerd op abonnementsniveau en dat alle relevante virtuele netwerken zijn gekoppeld aan deze plannen. Deze verificatie moet regelmatig worden uitgevoerd om ervoor te zorgen dat nieuwe virtuele netwerken die zijn aangemaakt na de initiële implementatie ook worden beschermd, en dat bestaande koppelingen niet per ongeluk zijn verwijderd tijdens configuratiewijzigingen of migraties. Daarnaast moet worden gecontroleerd of de DDoS Protection-status actief is en of er geen configuratiewijzigingen zijn aangebracht die de bescherming kunnen uitschakelen of verminderen. Organisaties moeten een gestructureerde monitoringaanpak implementeren die zowel proactieve controles als reactieve verificaties omvat na configuratiewijzigingen in de Azure-omgeving. Deze aanpak moet geautomatiseerd worden waar mogelijk om menselijke fouten te voorkomen en de consistentie van de monitoring te waarborgen.
Gebruik PowerShell-script vnet-ddos-protection.ps1 (functie Invoke-Monitoring) – Voert uitgebreide monitoring uit van DDoS Protection-configuraties en rapporteert de status van alle virtuele netwerken binnen het abonnement.
De monitoringprocessen moeten regelmatig worden uitgevoerd, bij voorkeur wekelijks of na elke significante wijziging in de netwerktopologie zoals het toevoegen van nieuwe virtuele netwerken, het migreren van resources tussen abonnementen, of het wijzigen van netwerkconfiguraties die invloed kunnen hebben op de DDoS-bescherming. Het monitoringproces begint met het verifiëren van het bestaan en de configuratie van DDoS Protection-plannen binnen elk abonnement, waarbij wordt gecontroleerd of de plannen correct zijn geconfigureerd met de juiste naamgeving en tags volgens organisatorische standaarden. Vervolgens worden alle virtuele netwerken geïnventariseerd en gecontroleerd op hun koppeling aan DDoS Protection-plannen, waarbij speciale aandacht wordt besteed aan virtuele netwerken die publieke IP-adressen bevatten of die kritieke services hosten. Voor virtuele netwerken met publieke IP-adressen die niet zijn gekoppeld aan een DDoS Protection-plan, moet onmiddellijk een waarschuwing worden gegenereerd omdat deze resources kwetsbaar zijn voor DDoS-aanvallen en prioriteit moeten krijgen voor remediatie.
De monitoring moet ook controleren op wijzigingen in de DDoS Protection-status, zoals het per ongeluk uitschakelen van bescherming door onbevoegde gebruikers, het verwijderen van koppelingen tussen plannen en virtuele netwerken tijdens configuratiewijzigingen, of wijzigingen in de DDoS Protection-planconfiguratie die de effectiviteit van de bescherming kunnen verminderen. Deze wijzigingen moeten worden gedetecteerd en gemeld aan de verantwoordelijke teams voor onmiddellijke actie. Daarnaast moeten organisaties de aanvalsmetrieken en logs regelmatig reviewen om trends te identificeren en potentiële bedreigingen vroegtijdig te detecteren. Deze reviews moeten niet alleen kijken naar daadwerkelijke aanvallen, maar ook naar verdachte patronen in het netwerkverkeer die kunnen wijzen op voorbereidingen voor toekomstige aanvallen of aanhoudende low-level aanvallen die mogelijk niet direct worden gedetecteerd door automatische systemen.
Gebruik PowerShell-script vnet-ddos-bescherming.ps1 (functie Test-Compliance) – Test de compliance status van DDoS bescherming voor elk virtueel netwerk en genereert gedetailleerde rapportage over de beschermingsstatus.
Compliance-verificatie vormt een cruciaal onderdeel van de monitoringstrategie, waarbij wordt gecontroleerd of de implementatie voldoet aan de vereisten van relevante frameworks zoals CIS Azure Foundations, NIS2 en ISO 27001. Deze verificatie moet niet alleen controleren of de technische configuratie correct is, maar ook of er adequate documentatie en procedures aanwezig zijn voor incidentrespons, of er regelmatige reviews worden uitgevoerd, en of de organisatie kan aantonen dat zij proactief omgaat met DDoS-bedreigingen. De compliance-controles moeten verifiëren dat alle vereiste virtuele netwerken zijn beschermd volgens de specifieke vereisten van elk framework, dat de DDoS Protection-configuratie correct is ingesteld volgens best practices en organisatorische standaarden, en dat er adequate documentatie en procedures aanwezig zijn voor incidentrespons die voldoen aan de compliance-vereisten. De resultaten van monitoring- en compliance-controles moeten worden gedocumenteerd in een gestructureerd formaat en regelmatig worden gedeeld met relevante stakeholders, waaronder security teams, netwerkbeheerders, compliance officers en management, om transparantie te waarborgen en continue aandacht voor DDoS-bescherming te garanderen. Deze rapportage helpt bij het waarborgen van continue aandacht voor DDoS-bescherming, het identificeren van verbeterpunten in de beveiligingspostuur, en het demonstreren van compliance tijdens interne en externe audits.
Compliance en Auditing
Azure DDoS Protection Standard speelt een cruciale rol bij het voldoen aan verschillende compliance- en beveiligingsframeworks die van toepassing zijn op Nederlandse overheidsorganisaties en kritieke infrastructuren. De implementatie van DDoS Protection is niet alleen een best practice, maar wordt expliciet vereist door verschillende normen en regelgevingen die gericht zijn op het waarborgen van beschikbaarheid en continuïteit van IT-diensten. Voor organisaties die opereren in de publieke sector of kritieke infrastructuren beheren, is compliance met deze frameworks vaak verplicht en kan non-compliance leiden tot aanzienlijke boetes, reputatieschade en in sommige gevallen zelfs juridische aansprakelijkheid. Daarom is het essentieel dat organisaties een grondig begrip hebben van de compliance-vereisten en kunnen aantonen dat zij adequate maatregelen hebben getroffen om DDoS-aanvallen te mitigeren.
Binnen het CIS Azure Foundations Benchmark wordt DDoS Protection behandeld in control 6.1, die specifiek vereist dat DDoS Protection Standard is ingeschakeld op alle virtuele netwerken die publieke IP-adressen bevatten. Deze control is geclassificeerd als Level 2, wat betekent dat het wordt aanbevolen voor organisaties met verhoogde beveiligingsvereisten en vaak verplicht is voor organisaties die gevoelige data verwerken of kritieke services leveren. De CIS Benchmark biedt gedetailleerde richtlijnen voor de implementatie en configuratie van DDoS Protection en vormt een belangrijke referentie voor organisaties die hun Azure-beveiligingspostuur willen verbeteren en compliance willen aantonen tijdens audits. Organisaties die het CIS Azure Foundations Benchmark volgen, moeten regelmatig controleren of alle virtuele netwerken met publieke IP-adressen zijn beschermd en moeten documentatie bijhouden die aantoont dat de implementatie voldoet aan de CIS-vereisten. Deze documentatie moet beschikbaar zijn voor interne en externe audits en moet regelmatig worden bijgewerkt om wijzigingen in de configuratie te reflecteren.
Voor Nederlandse organisaties die onder de Network and Information Systems Directive 2 (NIS2) vallen, is DDoS-bescherming een verplicht onderdeel van de beschikbaarheidsmaatregelen zoals beschreven in Artikel 21. NIS2 is een Europese richtlijn die van toepassing is op essentiële en belangrijke entiteiten die opereren in sectoren zoals energie, transport, bankwezen, gezondheidszorg, en digitale infrastructuur. De richtlijn vereist dat deze organisaties passende technische en organisatorische maatregelen treffen om de beschikbaarheid van hun netwerk- en informatiesystemen te waarborgen, waarbij DDoS-bescherming expliciet wordt genoemd als een essentiële maatregel. DDoS-aanvallen vormen een significante bedreiging voor de beschikbaarheid van online diensten en kunnen leiden tot aanzienlijke verstoringen in kritieke infrastructuren, waardoor adequate DDoS-bescherming een essentieel onderdeel is van NIS2-compliance. Organisaties moeten kunnen aantonen dat zij passende maatregelen hebben getroffen om DDoS-aanvallen te detecteren, te mitigeren en te reageren, wat Azure DDoS Protection Standard in combinatie met een goed DDoS Response Plan kan bieden. Deze maatregelen moeten regelmatig worden getest en geëvalueerd om ervoor te zorgen dat zij effectief blijven tegen evoluerende bedreigingen.
Binnen het ISO 27001 informatiebeveiligingsmanagementsysteem wordt DDoS-bescherming behandeld in controle A.17.2.1, die betrekking heeft op de beschikbaarheid van informatieverwerkingsfaciliteiten. Deze controle vereist dat organisaties maatregelen implementeren om ervoor te zorgen dat informatieverwerkingsfaciliteiten beschikbaar blijven, zelfs tijdens verstoringen zoals natuurrampen, technische storingen of kwaadaardige aanvallen. DDoS-aanvallen kunnen leiden tot aanzienlijke verstoringen in de beschikbaarheid van IT-diensten en kunnen organisaties beletten om hun normale bedrijfsactiviteiten uit te voeren, waardoor DDoS-bescherming een belangrijk onderdeel is van de maatregelen die onder deze controle vallen. Organisaties die ISO 27001 gecertificeerd zijn of streven naar certificering, moeten kunnen aantonen dat zij adequate maatregelen hebben getroffen om DDoS-aanvallen te mitigeren, dat zij procedures hebben voor het detecteren en reageren op dergelijke aanvallen, en dat deze procedures regelmatig worden getest en geëvalueerd. Azure DDoS Protection Standard, in combinatie met adequate monitoring en incidentresponsprocedures, kan helpen bij het voldoen aan deze ISO 27001-vereisten en kan worden opgenomen in de Statement of Applicability die deel uitmaakt van de ISO 27001-certificering.
Voor auditing doeleinden moeten organisaties uitgebreide documentatie bijhouden die aantoont dat DDoS Protection correct is geconfigureerd en actief is op alle relevante virtuele netwerken. Deze documentatie moet niet alleen de technische configuratie beschrijven, maar ook de organisatorische processen, procedures en verantwoordelijkheden die betrokken zijn bij het beheer en de monitoring van DDoS-bescherming. De documentatie moet regelmatig worden gecontroleerd tijdens interne en externe audits om te verifiëren dat de organisatie voldoet aan de vereisten van de verschillende compliance-frameworks en om eventuele afwijkingen of verbeterpunten te identificeren. Auditors zullen typisch controleren op het bestaan van DDoS Protection-plannen en hun configuratie, de koppeling van virtuele netwerken aan deze plannen, de configuratie van monitoring en alerting systemen, de aanwezigheid van adequate incidentresponsprocedures en de documentatie daarvan, en het bewijs van regelmatige tests en evaluaties van de DDoS-bescherming. Organisaties moeten daarom zorgen voor uitgebreide documentatie die alle aspecten van de DDoS-bescherming dekt, regelmatige verificatie van de DDoS Protection-configuratie uitvoeren, en audit trails bijhouden die aantonen wanneer wijzigingen zijn aangebracht en door wie, om auditbevindingen te voorkomen en te demonstreren dat zij proactief omgaan met bedreigingen tegen de beschikbaarheid van hun IT-diensten.
Remediatie
Wanneer monitoring of compliance-controles aantonen dat DDoS Protection niet correct is geconfigureerd of ontbreekt op kritieke virtuele netwerken, moet onmiddellijk remediatie worden uitgevoerd om de beveiligingspostuur te herstellen en de organisatie te beschermen tegen potentiële DDoS-aanvallen. Non-compliance met DDoS-beschermingsvereisten kan leiden tot aanzienlijke risico's voor de beschikbaarheid van kritieke services en kan resulteren in compliance-overtredingen die kunnen leiden tot boetes, reputatieschade en in sommige gevallen zelfs juridische aansprakelijkheid. Daarom is het essentieel dat organisaties een gestructureerd en gedocumenteerd remediatieproces hebben dat snel kan worden uitgevoerd wanneer non-compliance wordt gedetecteerd, zonder negatieve impact op de beschikbaarheid of prestaties van bestaande services.
Het remediatieproces begint met een grondige analyse van de huidige situatie om te identificeren welke virtuele netwerken niet zijn beschermd, wat de omvang van het probleem is, en wat de onderliggende oorzaak is van de non-compliance. Deze analyse moet worden uitgevoerd door gekwalificeerd personeel dat begrijpt hoe DDoS Protection werkt en hoe het moet worden geconfigureerd, en moet resulteren in een gedetailleerd rapport dat de huidige status beschrijft, de geïdentificeerde problemen, en een plan voor remediatie. Mogelijke oorzaken van non-compliance kunnen zijn dat nieuwe virtuele netwerken zijn aangemaakt zonder DDoS Protection te koppelen tijdens migraties of nieuwe implementaties, dat bestaande koppelingen per ongeluk zijn verwijderd tijdens configuratiewijzigingen of netwerkherstructureringen, dat DDoS Protection-plannen niet zijn aangemaakt op abonnementsniveau bij nieuwe abonnementen, of dat er wijzigingen zijn aangebracht in de DDoS Protection-configuratie die de effectiviteit hebben verminderd. Een gestructureerde remediatieaanpak is essentieel om ervoor te zorgen dat alle stappen correct worden uitgevoerd, dat er geen negatieve impact is op de beschikbaarheid van bestaande services, en dat de remediatie kan worden gedocumenteerd voor audit- en compliance-doeleinden.
Het remediatieproces omvat verschillende stappen die in de juiste volgorde moeten worden uitgevoerd om ervoor te zorgen dat de remediatie succesvol is en geen onbedoelde gevolgen heeft. Ten eerste moet worden gecontroleerd of er een DDoS Protection-plan bestaat op abonnementsniveau, waarbij wordt gecontroleerd of het plan correct is geconfigureerd met de juiste naamgeving en tags volgens organisatorische standaarden. Als dit niet het geval is, moet een nieuw plan worden aangemaakt met de juiste configuratie en naamgeving volgens de organisatorische standaarden, waarbij wordt gelet op de kosten die gepaard gaan met het plan en de impact op het budget. Vervolgens moeten alle virtuele netwerken met publieke IP-adressen worden geïdentificeerd en gecontroleerd op hun koppeling aan het DDoS Protection-plan, waarbij speciale aandacht wordt besteed aan virtuele netwerken die kritieke services hosten of die een hoog risico vormen voor de organisatie. Voor virtuele netwerken die niet zijn gekoppeld, moet de koppeling worden gemaakt met behulp van de juiste Azure PowerShell-cmdlets of via de Azure Portal, waarbij wordt gelet op de juiste syntax en configuratieparameters. Het is belangrijk om tijdens dit proces te verifiëren dat de koppeling succesvol is en dat de DDoS Protection-status actief is geworden, door de configuratie te controleren en te testen of de bescherming daadwerkelijk werkt.
Gebruik PowerShell-script vnet-ddos-protection.ps1 (functie Invoke-Remediation) – Voert automatische remediatie uit door DDoS Protection-plannen aan te maken waar nodig en alle relevante virtuele netwerken te koppelen aan deze plannen.
Na de remediatie moet een uitgebreide verificatiecontrole worden uitgevoerd om te bevestigen dat alle virtuele netwerken nu correct zijn beschermd en dat de configuratie voldoet aan de compliance-vereisten. Deze verificatie moet niet alleen controleren of de technische configuratie correct is, maar ook of de bescherming daadwerkelijk actief is en functioneert zoals verwacht. De verificatie moet worden uitgevoerd met behulp van geautomatiseerde scripts waar mogelijk om consistentie te waarborgen en menselijke fouten te voorkomen, en moet resulteren in een gedetailleerd rapport dat de status van alle virtuele netwerken beschrijft en eventuele resterende problemen identificeert. Als er tijdens de verificatie nog steeds problemen worden geïdentificeerd, moeten deze onmiddellijk worden aangepakt voordat de remediatie als voltooid wordt beschouwd.
Na het voltooien van de remediatie moeten organisaties een post-remediatie review uitvoeren om te evalueren of het proces succesvol was, welke lessen zijn geleerd, en of er verbeterpunten zijn geïdentificeerd die kunnen worden toegepast op toekomstige remediaties. Deze review moet ook controleren of er geen onbedoelde gevolgen zijn geweest voor de beschikbaarheid of prestaties van bestaande services, door de service status te monitoren en feedback te verzamelen van gebruikers en beheerders. Daarnaast moet worden gedocumenteerd welke wijzigingen zijn aangebracht, wanneer deze zijn uitgevoerd, door wie, en waarom, voor audit- en compliance-doeleinden. Deze documentatie moet worden opgeslagen in een centraal systeem dat toegankelijk is voor auditors en compliance officers, en moet regelmatig worden bijgewerkt om wijzigingen te reflecteren. Het is ook aan te bevelen om de monitoringfrequentie tijdelijk te verhogen na remediatie om te verifiëren dat de configuratie stabiel blijft en dat er geen regressies optreden die de bescherming kunnen verminderen of uitschakelen. Organisaties moeten ook overwegen om preventieve maatregelen te implementeren, zoals automatische controles bij het aanmaken van nieuwe virtuele netwerken die ervoor zorgen dat DDoS Protection automatisch wordt gekoppeld, policy-based governance die ervoor zorgt dat DDoS Protection verplicht is voor alle nieuwe resources, of geautomatiseerde monitoring die onmiddellijk waarschuwingen genereert wanneer non-compliance wordt gedetecteerd, om toekomstige non-compliance te voorkomen en de beveiligingspostuur proactief te waarborgen.
Compliance & Frameworks
- CIS M365: Control 6.1 (L2) - zorg ervoor dat DDoS bescherming Standard is ingeschakeld op VNets
- BIO: 17.02.01 - Beschikbaarheid van IT-voorzieningen
- ISO 27001:2022: A.17.2.1 - Beschikbaarheid van informatieverwerkingsfaciliteiten
- NIS2: Artikel - DDoS bescherming voor beschikbaarheid
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Azure VNet DDoS Protection
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 6.1
Controleert DDoS Protection op VNets.
.NOTES
Filename: vnet-ddos-protection.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 6.1
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Network
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "VNet DDoS Protection"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$vnets = Get-AzVirtualNetwork -ErrorAction SilentlyContinue
$result = @{ TotalVNets = $vnets.Count; WithDDoS = 0 }
foreach ($vnet in $vnets) {
if ($vnet.EnableDdosProtection) { $result.WithDDoS++ }
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total VNets: $($r.TotalVNets)" -ForegroundColor White
Write-Host "With DDoS Protection: $($r.WithDDoS)" -ForegroundColor $(if ($r.WithDDoS -gt 0) { 'Green' } else { 'Yellow' })
if ($r.WithDDoS -eq 0 -and $r.TotalVNets -gt 0) {
Write-Host "`n⚠️ Geen DDoS Protection - overweeg voor productie VNets" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nDDoS Protection: $($r.WithDDoS)/$($r.TotalVNets) VNets"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total VNets: $($r.TotalVNets)" -ForegroundColor White
Write-Host "With DDoS Protection: $($r.WithDDoS)" -ForegroundColor $(if ($r.WithDDoS -gt 0) { 'Green' } else { 'Yellow' })
if ($r.WithDDoS -eq 0 -and $r.TotalVNets -gt 0) {
Write-Host "`n⚠️ Geen DDoS Protection - overweeg voor productie VNets" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nDDoS Protection: $($r.WithDDoS)/$($r.TotalVNets) VNets"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Medium: DDoS-aanvallen kunnen leiden tot meerdere uren durende uitval, met kosten van €50.000 tot €500.000 of meer per incident. Compliance: CIS 6.1, BIO 17.01, NIS2. Het risico is medium tot hoog voor publiekelijk toegankelijke services.
Management Samenvatting
Alternatieve verificatie voor DDoS Protection. Zie network-security/ddos-protection-standard-enabled.json voor volledige implementatie (Standard tier, €2.700/maand). Verplicht voor publiekelijk toegankelijke productieomgevingen, verplicht voor NIS2.
- Implementatietijd: 3 uur
- FTE required: 0.03 FTE