💼 Management Samenvatting
Deze beveiligingsregel waarborgt de correcte configuratie van Azure Firewall in een hub-spoke topologie en beschermt tegen beveiligingsrisico's door gecentraliseerde netwerkbeveiliging te implementeren.
Aanbeveling
IMPLEMENTEER VOOR ENTERPRISE
Risico zonder
Medium
Risk Score
6/10
Implementatie
14u (tech: 10u)
Van toepassing op:
✓ Azure
Deze instelling is essentieel voor het handhaven van een veilige cloudomgeving en voorkomt bekende aanvalsvectoren door het afdwingen van beveiligingsbest practices op netwerkniveau. Door Azure Firewall gecentraliseerd in een hub-netwerk te implementeren, krijgen organisaties controle over alle inkomende en uitgaande netwerkverkeer vanuit meerdere spoke-netwerken. Deze aanpak voorkomt versnippering van beveiligingsbeleid en zorgt voor consistente toepassing van netwerkfiltering, threat intelligence en logging in de gehele cloudinfrastructuur.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.Network
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.Network
Implementatie
Implementeer Azure Firewall in een hub-spoke topologie voor gecentraliseerde netwerkbeveiliging. Azure Firewall fungeert als centraal punt voor alle netwerkverkeer, biedt geavanceerde threat intelligence, volledig gekwalificeerde domeinnaam (FQDN) filtering en destination network address translation (DNAT) mogelijkheden. Deze implementatie zorgt voor uniforme beveiligingscontroles in enterprise cloudomgevingen en voldoet aan compliance-eisen voor netwerksegmentatie en monitoring.
Vereisten en voorbereiding
Voor de implementatie van Azure Firewall in een hub-spoke topologie zijn verschillende technische en organisatorische vereisten van belang. Deze paragraaf behandelt de complete reeks aan vereisten die nodig zijn voor een succesvolle implementatie.
De primaire technische vereiste betreft de aanwezigheid van een hub Virtual Network (VNet) in uw Azure-omgeving. Dit hub-netwerk dient als centraal punt voor alle netwerkverkeer en moet voldoende subnetruimte hebben voor de Azure Firewall-implementatie. Een toegewijd subnet met minimaal een /26 adresbereik wordt aanbevolen voor de Standard tier, terwijl een Premium tier doorgaans minimaal een /25 subnet vereist. Dit subnet moet specifiek geconfigureerd zijn als AzureFirewallSubnet om de juiste werking te garanderen. Daarnaast moet het hub VNet correct verbonden zijn met de spoke-netwerken via virtuele netwerkpeering, waarbij alle route-tabellen correct geconfigureerd zijn om verkeer naar de firewall te sturen.
Financiële vereisten vormen een belangrijke overweging bij de implementatie van Azure Firewall. De Standard tier heeft basiskosten van ongeveer €1,25 per uur, wat neerkomt op circa €900 per maand zonder dataverkeer. Daarnaast worden kosten in rekening gebracht voor verwerkt dataverkeer, afhankelijk van de hoeveelheid gigabytes die door de firewall worden verwerkt. De Premium tier heeft aanzienlijk hogere kosten maar biedt extra functionaliteiten zoals TLS-inspectie en URL-filtering. Organisaties moeten daarom zorgvuldig de kosten-batenanalyse uitvoeren en bepalen welke tier het beste aansluit bij hun beveiligings- en budgettaire vereisten.
Organisatorische vereisten omvatten het verkrijgen van de benodigde machtigingen binnen Azure Active Directory en Azure Resource Manager. De implementerende partij heeft minimaal de rol Network Contributor nodig op het abonnement of de resourcegroep waar de firewall wordt geïmplementeerd. Daarnaast is kennis vereist van netwerkarchitectuur principes, firewallconfiguratie en routing in Azure. Voor grote implementaties kan het zinvol zijn om voorafgaand aan de implementatie een designreview uit te voeren met architecten en beveiligingsexperts om te waarborgen dat de implementatie aansluit bij de enterprise architectuur en beveiligingsstandaarden.
Compliance-vereisten kunnen ook van invloed zijn op de implementatie. Verschillende frameworks zoals BIO, ISO 27001 en NIS2 stellen specifieke eisen aan netwerksegmentatie en filtering. De implementatie moet daarom worden afgestemd op deze vereisten, waarbij mogelijk aanvullende logging, monitoring of configuratie-instellingen nodig zijn. Het is belangrijk om voorafgaand aan de implementatie te inventariseren welke compliance-eisen van toepassing zijn en hoe de Azure Firewall-implementatie hieraan kan voldoen.
Monitoring en verificatie
Gebruik PowerShell-script azure-firewall-deployed-hubs.ps1 (functie Invoke-Monitoring) – Controleren.
Monitoring van de Azure Firewall-implementatie vormt een cruciaal onderdeel van de continue beveiligingspostuur van uw cloudomgeving. Deze paragraaf behandelt de verschillende aspecten van monitoring en verificatie die nodig zijn om te waarborgen dat de firewall correct functioneert en effectief bescherming biedt.
De implementatiestatus van Azure Firewall kan worden gecontroleerd via Azure Portal, Azure PowerShell of Azure CLI. Via de Azure Portal kunt u navigeren naar de resourcegroep en het hub VNet om te verifiëren dat Azure Firewall succesvol is geïmplementeerd in het toegewezen AzureFirewallSubnet. De firewallstatus moet 'Running' zijn, wat aangeeft dat de firewall actief is en netwerkverkeer kan verwerken. Daarnaast moet de firewall een openbaar IP-adres hebben toegewezen en correct geconfigureerd zijn met de benodigde netwerkregels, toepassingsregels en NAT-regels.
Logging en analytics vormen een essentieel onderdeel van effectieve firewallmonitoring. Azure Firewall integreert naadloos met Azure Monitor en biedt gedetailleerde logging van alle netwerkverkeer dat door de firewall wordt verwerkt. Door diagnostische instellingen te configureren kunnen organisaties logs naar een Log Analytics-workspace sturen, waar geavanceerde query's kunnen worden uitgevoerd om patronen te detecteren, dreigingen te identificeren en compliance-rapportage te genereren. Het is aan te bevelen om minimaal de volgende logcategorieën in te schakelen: AzureFirewallApplicationRule, AzureFirewallNetworkRule en AzureFirewallDnsProxy.
Performance monitoring is eveneens van belang om te waarborgen dat de firewall voldoende capaciteit heeft om het netwerkverkeer te verwerken zonder vertragingen te veroorzaken. Azure Firewall biedt verschillende metrieken die kunnen worden gemonitord via Azure Monitor, waaronder het aantal verwerkte verbindingen, doorvoersnelheden en latentietijden. Door alertregels te configureren kunnen organisaties proactief worden gewaarschuwd wanneer de firewallcapaciteit nadert of wanneer ongebruikelijke patronen worden gedetecteerd die mogelijk wijzen op een aanval of configuratiefout.
Verificatie van firewallregels is een belangrijk onderdeel van continue monitoring. Organisaties moeten regelmatig controleren of de geconfigureerde netwerkregels, toepassingsregels en NAT-regels nog steeds aansluiten bij de beveiligingsvereisten en bedrijfsprocessen. Dit omvat het controleren van whitelists en blacklists, het verifiëren van FQDN-regels en het valideren van IP-adresbereiken. Daarnaast moeten organisaties testen uitvoeren om te waarborgen dat legitiem verkeer niet onterecht wordt geblokkeerd en dat ongewenst verkeer effectief wordt gefilterd.
Threat intelligence-integratie is een krachtige functie van Azure Firewall Premium die geavanceerde monitoring mogelijk maakt. Door gebruik te maken van Microsoft Threat Intelligence feeds kan de firewall automatisch verkeer detecteren en blokkeren dat afkomstig is van bekende kwaadaardige IP-adressen en domeinen. Monitoring van deze threat intelligence-signalen biedt inzicht in de effectiviteit van de firewall en kan helpen bij het identificeren van nieuwe dreigingen voordat deze schade kunnen veroorzaken. Organisaties moeten regelmatig de threat intelligence-rapporten bekijken en actie ondernemen op basis van de geïdentificeerde dreigingen.
Compliance en Auditing
Compliance met relevante beveiligings- en privacyframeworks vormt een essentieel onderdeel van de implementatie van Azure Firewall in een hub-spoke topologie. Deze paragraaf behandelt de verschillende compliance-vereisten en hoe de implementatie hieraan kan voldoen.
De Baseline Informatiebeveiliging Overheid (BIO) stelt in control 13.01 specifieke eisen aan netwerkfiltering. Deze control vereist dat organisaties netwerkverkeer filteren en monitoren om ongeautoriseerde toegang en kwaadaardige activiteiten te voorkomen. De implementatie van Azure Firewall in een hub-spoke topologie voldoet aan deze vereiste door gecentraliseerde netwerkfiltering te bieden met geavanceerde regelengines voor netwerkverkeer, toepassingsverkeer en DNS-verkeer. De firewall biedt gedetailleerde logging van alle verwerkte verkeer, wat noodzakelijk is voor compliance-monitoring en auditing. Organisaties moeten ervoor zorgen dat diagnostische instellingen correct zijn geconfigureerd om logs te verzamelen en op te slaan conform de BIO-retentietermijn van zeven jaar.
ISO 27001:2022 control A.8.20 stelt eisen aan netwerkbeveiliging. Deze control vereist dat organisaties netwerkbeveiligingscontroles implementeren om te beschermen tegen bedreigingen en om te voldoen aan beveiligingsvereisten. Azure Firewall voldoet aan deze vereiste door geavanceerde firewallfunctionaliteiten te bieden, waaronder stateful packet inspection, threat intelligence-integratie en gedetailleerde logging. De implementatie in een hub-spoke topologie zorgt voor consistente toepassing van beveiligingscontroles in de gehele cloudinfrastructuur, wat belangrijk is voor een effectief informatiebeveiligingsmanagementsysteem (ISMS) volgens ISO 27001. Organisaties moeten ervoor zorgen dat firewallregels regelmatig worden gecontroleerd en bijgewerkt om te voldoen aan veranderende beveiligingsvereisten.
De Network and Information Systems Directive 2 (NIS2) stelt in artikel 21 specifieke eisen aan netwerkbeveiliging en monitoring voor essentiële en belangrijke entiteiten. Deze richtlijn vereist dat organisaties passende en evenredige technische en organisatorische maatregelen nemen om beveiligingsrisico's te beheren. Azure Firewall voldoet aan deze vereiste door geavanceerde netwerkbeveiliging te bieden met threat intelligence-integratie, automatische updates van dreigingsinformatie en gedetailleerde logging van alle netwerkactiviteiten. De implementatie in een hub-spoke topologie zorgt voor een gecentraliseerde aanpak van netwerkbeveiliging, wat belangrijk is voor effectieve risicobeheer volgens NIS2. Organisaties moeten ervoor zorgen dat incidentresponsprocedures correct zijn gedocumenteerd en dat beveiligingsincidenten tijdig worden gemeld aan de relevante autoriteiten.
Auditing vormt een belangrijk onderdeel van compliance. Organisaties moeten regelmatig audits uitvoeren om te verifiëren dat de Azure Firewall-implementatie voldoet aan de gestelde compliance-vereisten. Dit omvat het controleren van firewallconfiguraties, het verifiëren van logging en monitoring, en het valideren van regelconfiguraties. Azure Firewall biedt uitgebreide logging via Azure Monitor en Log Analytics, wat auditing mogelijk maakt. Organisaties moeten ervoor zorgen dat logs correct zijn geconfigureerd, voldoende retentietermijn hebben en regelmatig worden gecontroleerd op afwijkingen of schendingen van beveiligingsbeleid. Daarnaast moeten organisaties documentatie bijhouden van firewallconfiguraties, regelwijzigingen en incidentresponsactiviteiten om auditbewijs te kunnen leveren.
Naast de specifieke framework-vereisten zijn er ook algemene compliance-overwegingen die van belang zijn. Organisaties moeten ervoor zorgen dat de Azure Firewall-implementatie voldoet aan interne beveiligingsstandaarden en -beleid. Dit kan aanvullende configuratie-eisen omvatten, zoals specifieke logging-niveaus, regelmatige beveiligingsassessments of specifieke monitoringvereisten. Het is belangrijk om voorafgaand aan de implementatie een compliance-impactanalyse uit te voeren om te identificeren welke specifieke vereisten van toepassing zijn en hoe de implementatie hieraan kan voldoen.
Remediatie en herstel
Gebruik PowerShell-script azure-firewall-deployed-hubs.ps1 (functie Invoke-Remediation) – Herstellen.
Remediatie van problemen met de Azure Firewall-implementatie vormt een essentieel onderdeel van het beheer en onderhoud van de cloudbeveiligingsinfrastructuur. Deze paragraaf behandelt de verschillende aspecten van remediatie en herstel die nodig zijn om problemen met de firewall-implementatie op te lossen en de beveiligingspostuur te herstellen.
Wanneer monitoring aangeeft dat Azure Firewall niet correct is geïmplementeerd of niet naar behoren functioneert, moeten organisaties snel actie ondernemen om de beveiligingsgaten te dichten. Het eerste wat moet gebeuren is het identificeren van het specifieke probleem. Dit kan variëren van een ontbrekende firewall-implementatie tot incorrecte configuratie van firewallregels of problemen met de netwerkroutering. Via Azure Portal, Azure PowerShell of Azure CLI kan de huidige status van de firewall worden gecontroleerd en kunnen problemen worden geïdentificeerd.
Als Azure Firewall ontbreekt in het hub VNet, moet de firewall worden geïmplementeerd in het toegewezen AzureFirewallSubnet. Dit omvat het maken van een nieuwe Azure Firewall-resource, het selecteren van de juiste resourcegroep en locatie, het configureren van het subnet en het toewijzen van een openbaar IP-adres. De firewall moet worden geconfigureerd met de benodigde netwerkregels, toepassingsregels en NAT-regels om te voldoen aan de beveiligingsvereisten van de organisatie. Tijdens de implementatie moet zorgvuldig worden gecontroleerd of alle vereisten zijn nageleefd en of de firewall correct is geconfigureerd.
Als de firewall wel is geïmplementeerd maar niet correct functioneert, moeten de configuraties worden gecontroleerd en gecorrigeerd. Dit kan het controleren van firewallregels omvatten om te waarborgen dat verkeer correct wordt gefilterd, het verifiëren van route-tabellen om te waarborgen dat verkeer naar de firewall wordt gestuurd, en het controleren van diagnostische instellingen om te waarborgen dat logging correct is geconfigureerd. Daarnaast moeten organisaties controleren of de firewall voldoende capaciteit heeft om het netwerkverkeer te verwerken zonder vertragingen te veroorzaken, en of threat intelligence-updates correct worden toegepast.
Na het uitvoeren van remediatie-acties moeten organisaties testen uitvoeren om te verifiëren dat de problemen zijn opgelost en dat de firewall correct functioneert. Dit omvat het testen van netwerkconnectiviteit, het verifiëren van firewallregels en het controleren van logging om te waarborgen dat alle verkeer correct wordt gelogd. Organisaties moeten ook controleren of de remediatie geen negatieve impact heeft gehad op andere onderdelen van de cloudinfrastructuur en of alle compliance-vereisten nog steeds worden nageleefd.
Preventieve remediatie is eveneens belangrijk om problemen te voorkomen voordat ze optreden. Dit omvat het regelmatig controleren van firewallconfiguraties, het bijwerken van firewallregels wanneer bedrijfsprocessen veranderen, en het monitoren van firewallcapaciteit om te waarborgen dat er voldoende resources beschikbaar zijn. Daarnaast moeten organisaties ervoor zorgen dat firewallconfiguraties correct worden gedocumenteerd en dat wijzigingen worden getest voordat ze in productie worden gezet, om te voorkomen dat configuratiefouten leiden tot beveiligingsproblemen of serviceonderbrekingen.
Compliance & Frameworks
- BIO: 13.01 - Netwerkfiltering
- ISO 27001:2022: A.8.20 - Netwerkbeveiliging
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Azure Firewall Deployed in Hubs
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 6.4
Controleert of Azure Firewall is gedeployed in hub VNets.
.NOTES
Filename: azure-firewall-deployed-hubs.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 6.4
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Network
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Azure Firewall Deployed in Hubs"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$firewalls = Get-AzFirewall -ErrorAction SilentlyContinue
$vnets = Get-AzVirtualNetwork -ErrorAction SilentlyContinue
$result = @{ TotalFirewalls = $firewalls.Count; TotalVNets = $vnets.Count }
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Azure Firewalls: $($r.TotalFirewalls)" -ForegroundColor $(if ($r.TotalFirewalls -gt 0) { 'Green' } else { 'Yellow' })
Write-Host "Virtual Networks: $($r.TotalVNets)" -ForegroundColor White
if ($r.TotalFirewalls -eq 0 -and $r.TotalVNets -gt 0) {
Write-Host "`n⚠️ Overweeg Azure Firewall voor hub-spoke topologie" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nAzure Firewalls: $($r.TotalFirewalls) deployed"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Azure Firewalls: $($r.TotalFirewalls)" -ForegroundColor $(if ($r.TotalFirewalls -gt 0) { 'Green' } else { 'Yellow' })
Write-Host "Virtual Networks: $($r.TotalVNets)" -ForegroundColor White
if ($r.TotalFirewalls -eq 0 -and $r.TotalVNets -gt 0) {
Write-Host "`n⚠️ Overweeg Azure Firewall voor hub-spoke topologie" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nAzure Firewalls: $($r.TotalFirewalls) deployed"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Een hub-spoke topologie zonder gecentraliseerde firewall leidt tot verspreide beveiligingscontroles en inconsistente filtering. Azure Firewall vormt een centraal punt voor uitgaand en inkomend netwerkverkeer en biedt uniforme beveiligingscontroles in de gehele cloudinfrastructuur. Compliance met enterprise architectuur best practices vereist gecentraliseerde netwerkbeveiliging. Het risico is medium en deze implementatie is primair geschikt voor enterprise-omgevingen.
Management Samenvatting
Azure Firewall Hub-implementatie: Gecentraliseerde firewall in hub VNet (hub-spoke topologie) met threat intelligence, FQDN-filtering en DNAT. Kosten: €900+ per maand (Standard tier). Activatie: Implementeer Azure Firewall in hub VNet. Implementatie: 10-14 uur. Enterprise-schaal netwerkbeveiliging. Optioneel voor kleine/medium organisaties, waardevol voor enterprise-omgevingen.
- Implementatietijd: 14 uur
- FTE required: 0.15 FTE