💼 Management Samenvatting
Netwerksegmentatie vormt de fundamentele beveiligingsarchitectuur voor Azure cloudomgevingen en is essentieel voor het waarborgen van een veilige en gecontroleerde netwerkomgeving. Deze beveiligingsmaatregel beschermt organisaties tegen ongeautoriseerde toegang, laterale beweging door aanvallers en potentiële datalekken door het netwerk op te delen in logische en fysieke segmenten met strikte toegangscontroles.
Aanbeveling
IMPLEMENTEER NETWERKSEGMENTATIE
Risico zonder
High
Risk Score
8/10
Implementatie
14u (tech: 10u)
Van toepassing op:
✓ Azure
Zonder adequate netwerksegmentatie ontstaan er significante beveiligingsrisico's die kunnen leiden tot ernstige gevolgen voor organisaties. In een niet-gesegmenteerd netwerk kunnen aanvallers die toegang krijgen tot één systeem zich lateraal door het gehele netwerk bewegen, waardoor zij toegang krijgen tot alle systemen en data binnen de omgeving. Dit verhoogt niet alleen het risico op datalekken aanzienlijk, maar kan ook leiden tot compliance-overtredingen, aanzienlijke financiële schade en ernstige reputatieschade. Voor Nederlandse overheidsorganisaties is het ontbreken van netwerksegmentatie bovendien een directe schending van de Baseline Informatiebeveiliging Overheid (BIO) normen, wat kan resulteren in nalevingsproblemen en mogelijke sancties.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.Network
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.Network
Implementatie
Netwerksegmentatie in Azure betekent het opdelen van de cloudnetwerkomgeving in gescheiden virtuele netwerken en subnetten, waarbij elk segment is toegewezen aan een specifieke applicatielaag, omgeving of beveiligingszone. Dit omvat de implementatie van meerdere virtuele netwerken (VNets) die logisch gescheiden zijn, waarbij productie-omgevingen strikt gescheiden worden van test- en ontwikkelomgevingen. Binnen elk virtueel netwerk worden verder subnetten aangemaakt voor verschillende applicatielagen zoals web-, applicatie- en datalagen, waarbij netwerkbeveiligingsgroepen (NSGs) functioneren als virtuele firewalls die verkeer tussen segmenten filteren en controleren op basis van gedefinieerde beveiligingsregels. Deze segmentatie zorgt ervoor dat zelfs wanneer een aanvaller toegang krijgt tot één deel van het netwerk, de rest van de omgeving beschermd blijft door de strikte toegangscontroles en filtering tussen segmenten.
Vereisten
Netwerksegmentatie vormt de fundamentele basis voor een veilige cloudarchitectuur in Azure en vereist een uitgebreide voorbereiding voordat implementatie kan plaatsvinden. Deze beveiligingsmaatregel is geen eenvoudige technische configuratie, maar een strategische architecturale beslissing die diepgaand inzicht vereist in de applicatie-architectuur, gegevensclassificatie en beveiligingsvereisten van de organisatie. Voordat organisaties kunnen beginnen met het segmenteren van hun netwerk, moeten zij een grondige analyse uitvoeren van hun huidige infrastructuur, toekomstige groeiplannen en nalevingsvereisten. Deze analyse moet niet alleen technische aspecten omvatten, maar ook organisatorische, financiële en compliance-gerelateerde overwegingen. Organisaties moeten begrijpen welke applicaties en systemen zij hebben, hoe deze met elkaar communiceren, welke gegevens zij verwerken en hoe gevoelig deze gegevens zijn, en welke specifieke beveiligings- en compliance-vereisten van toepassing zijn. Zonder deze grondige voorbereiding is het onmogelijk om een effectieve netwerksegmentatie te ontwerpen die zowel beveiliging als functionaliteit waarborgt. De primaire technische vereiste voor netwerksegmentatie is de beschikbaarheid en beheersbaarheid van virtuele netwerken (VNets) in Azure. Een VNet vormt een geïsoleerde netwerkomgeving waarin cloudresources kunnen worden geplaatst en geconfigureerd. Voor effectieve segmentatie moeten organisaties niet alleen beschikken over de technische mogelijkheid om meerdere VNets aan te maken, maar ook over de organisatorische capaciteit om deze te beheren en te onderhouden. Elk VNet vertegenwoordigt een specifieke functie, omgeving of beveiligingszone, waarbij productie-omgevingen strikt gescheiden worden van testomgevingen en ontwikkelomgevingen. Deze scheiding voorkomt dat incidenten in niet-productieomgevingen kunnen overslaan naar kritieke productiesystemen. Het is belangrijk om te begrijpen dat het aanmaken van VNets niet voldoende is; organisaties moeten ook beschikken over de kennis en tools om deze netwerken effectief te beheren, te monitoren en te onderhouden. Dit omvat het begrijpen van VNet-peering, routeeringsconfiguraties, DNS-instellingen en de integratie met andere Azure-services zoals Azure Firewall en ExpressRoute. VNet-peering maakt het mogelijk om verschillende virtuele netwerken veilig met elkaar te verbinden, waardoor resources in verschillende netwerken kunnen communiceren zonder dat verkeer via het openbare internet hoeft te gaan. Dit is essentieel voor complexe organisaties die meerdere omgevingen of afdelingen hebben die gescheiden moeten blijven maar toch moeten kunnen communiceren. Routeeringsconfiguraties bepalen hoe verkeer wordt gerouteerd tussen verschillende subnetten en netwerken, en moeten zorgvuldig worden ontworpen om te voorkomen dat verkeer onbedoeld wordt toegestaan tussen segmenten die gescheiden moeten blijven. DNS-instellingen zijn cruciaal omdat zij bepalen hoe resources elkaar kunnen vinden binnen de gesegmenteerde netwerkomgeving, en verkeerde DNS-configuraties kunnen leiden tot connectiviteitsproblemen of onbedoelde communicatie tussen segmenten. Naast de beschikbaarheid van VNets zijn netwerkbeveiligingsgroepen (NSGs) absoluut essentieel voor het daadwerkelijk implementeren van netwerksegmentatie. NSGs fungeren als virtuele firewalls die verkeer tussen netwerksegmenten kunnen filteren en controleren op basis van gedefinieerde beveiligingsregels. Deze groepen maken het mogelijk om verkeer te controleren op basis van bron- en doeladressen, poorten, protocollen en zelfs specifieke servicetags. Zonder NSGs zou segmentatie slechts een logische scheiding zijn zonder daadwerkelijke beveiligingscontrole, waardoor aanvallers nog steeds vrijelijk tussen segmenten kunnen bewegen. Organisaties moeten daarom beschikken over expertise in het ontwerpen en configureren van NSG-regels die zowel beveiliging als functionaliteit waarborgen. Het is cruciaal om te begrijpen dat NSG-regels moeten worden ontworpen volgens het principe van minimale privileges, waarbij alleen het absoluut noodzakelijke verkeer wordt toegestaan. Dit vereist diepgaand inzicht in de communicatiepatronen tussen applicaties en systemen, en een goed begrip van welke poorten en protocollen daadwerkelijk nodig zijn voor de bedrijfsvoering. Verkeerd geconfigureerde NSG-regels kunnen ofwel de beveiliging ondermijnen door te permissief te zijn, ofwel de functionaliteit belemmeren door te restrictief te zijn. NSG-regels worden geëvalueerd in volgorde van prioriteit, waarbij regels met lagere nummers eerst worden geëvalueerd, en zodra een regel overeenkomt wordt de actie (toestaan of weigeren) uitgevoerd en worden verdere regels niet meer geëvalueerd. Dit betekent dat de volgorde van regels cruciaal is, en dat algemene regels die veel verkeer toestaan niet moeten worden geplaatst vóór specifieke regels die specifiek verkeer moeten blokkeren. Organisaties moeten ook regelmatig hun NSG-regels evalueren om te identificeren of er regels zijn die niet meer nodig zijn, of die te permissief zijn geworden door wijzigingen in de applicatie-architectuur. Een goed doordacht en gedocumenteerd netwerkontwerp vormt de derde kritische vereiste voor succesvolle netwerksegmentatie. Organisaties moeten een architectuur ontwikkelen die rekening houdt met de verschillende lagen van hun applicaties, de gevoeligheid en classificatie van gegevens, en de communicatiepatronen tussen systemen. Dit ontwerp moet uitgebreid documenteren welke subnetten nodig zijn voor elke applicatielaag, hoe deze subnetten met elkaar mogen communiceren volgens het principe van minimale privileges, en welke specifieke beveiligingsregels van toepassing zijn voor elk segment. Het netwerkontwerp dient ook rekening te houden met toekomstige groei, schaalbaarheid en wijzigingen, zodat segmentatie flexibel kan worden aangepast zonder de gehele architectuur te moeten herzien. Dit vereist vaak samenwerking tussen netwerkarchitecten, beveiligingsfunctionarissen en applicatie-eigenaren. Het ontwerp moet niet alleen technische specificaties bevatten, maar ook duidelijke documentatie over de rationale achter elke beslissing, de beveiligingsdoelstellingen die worden nagestreefd, en de procedures voor het beheren en onderhouden van de segmentatie. Een goed netwerkontwerp is een levend document dat regelmatig wordt bijgewerkt wanneer de organisatie groeit of wanneer nieuwe applicaties en systemen worden toegevoegd. Het ontwerp moet ook rekening houden met verschillende scenario's, zoals failover-situaties waarbij resources moeten kunnen communiceren met back-up systemen, of disaster recovery-scenario's waarbij segmentatie tijdelijk moet worden aangepast om hersteloperaties mogelijk te maken. Deze scenario's moeten van tevoren worden doordacht en gedocumenteerd, zodat bij een incident niet ad-hoc beslissingen hoeven te worden genomen die de beveiliging kunnen ondermijnen. Voor Nederlandse overheidsorganisaties komen hierbij aanvullende nalevingsvereisten kijken die het implementatieproces complexer maken. De Baseline Informatiebeveiliging Overheid (BIO) stelt specifieke eisen aan netwerksegmentatie in norm 13.01, en organisaties moeten kunnen aantonen dat hun netwerkarchitectuur niet alleen technisch correct is, maar ook volledig voldoet aan deze normen. Dit betekent dat het netwerkontwerp uitgebreid moet worden gedocumenteerd op een wijze die geschikt is voor audits en compliance-controles, waarbij elke beslissing moet worden onderbouwd en gerechtvaardigd. Organisaties moeten procedures hebben voor het beoordelen en goedkeuren van wijzigingen aan de netwerkconfiguratie, en moeten kunnen aantonen dat segmentatie actief wordt beheerd en gemonitord. Het niet voldoen aan BIO-normen kan leiden tot formele bevindingen tijdens audits, verplichte verbeteracties, en in extreme gevallen tot het stopzetten van dienstverlening. Daarom is het van cruciaal belang dat Nederlandse overheidsorganisaties hun netwerksegmentatie niet alleen technisch correct implementeren, maar ook kunnen aantonen dat zij voldoen aan alle relevante normen en regelgeving. BIO-audits zullen specifiek evalueren of organisaties kunnen aantonen dat hun netwerksegmentatie is gebaseerd op een risico-analyse, dat de architectuur regelmatig wordt geëvalueerd op effectiviteit, en dat er procedures zijn voor het beheren en onderhouden van segmentatie. Organisaties moeten ook kunnen aantonen dat zij regelmatig testen uitvoeren om te verifiëren dat segmentatie effectief werkt, en dat zij procedures hebben voor het identificeren en corrigeren van afwijkingen. Bovendien vereist netwerksegmentatie vaak organisatorische veranderingen en training. IT-teams moeten worden getraind in het werken met gesegmenteerde netwerken, en procedures moeten worden aangepast om rekening te houden met de nieuwe architectuur. Dit omvat wijzigingen in implementatieprocessen, monitoringprocedures en incidentresponsprotocollen. Organisaties moeten ook beschikken over tools en scripts voor het automatiseren van controles en verificaties, zodat segmentatie niet per ongeluk wordt verzwakt door latere wijzigingen of configuratiefouten. Training is essentieel omdat medewerkers moeten begrijpen hoe zij moeten werken binnen een gesegmenteerd netwerk, hoe zij wijzigingen moeten aanvragen en goedkeuren, en hoe zij problemen moeten identificeren en oplossen. Zonder adequate training en organisatorische aanpassingen zal netwerksegmentatie niet effectief zijn, zelfs als de technische implementatie perfect is. Training moet niet alleen technisch zijn, maar moet ook de rationale achter segmentatie uitleggen, zodat medewerkers begrijpen waarom bepaalde beperkingen nodig zijn en waarom zij niet zomaar wijzigingen kunnen doorvoeren zonder goedkeuring. Dit helpt bij het creëren van een cultuur waarin beveiliging wordt begrepen en gerespecteerd, in plaats van alleen maar als een belemmering wordt gezien. Organisaties moeten ook procedures hebben voor het escaleren van uitzonderingen, waarbij in uitzonderlijke gevallen tijdelijk afgeweken kan worden van de segmentatieregels, maar alleen na een formele risico-analyse en goedkeuring door beveiligingsfunctionarissen.
Monitoring
Gebruik PowerShell-script network-segmentation-implemented.ps1 (functie Invoke-Monitoring) – Controleren.
Het monitoren van netwerksegmentatie vormt een continu en kritiek proces dat regelmatige controle, evaluatie en bijsturing vereist om ervoor te zorgen dat de beveiligingsarchitectuur effectief blijft functioneren in een dynamische cloudomgeving. Organisaties moeten periodiek en systematisch de netwerktopologie beoordelen om te verifiëren dat segmentatie niet alleen correct is geïmplementeerd, maar ook blijft functioneren zoals bedoeld ondanks voortdurende wijzigingen in de cloudomgeving. Dit omvat het uitgebreid controleren van de configuratie van virtuele netwerken, subnetten en netwerkbeveiligingsgroepen om ervoor te zorgen dat beveiligingsregels correct zijn toegepast, dat er geen onbedoelde communicatie tussen segmenten mogelijk is, en dat nieuwe resources automatisch in de juiste segmenten worden geplaatst conform de gedefinieerde netwerkarchitectuur. Monitoring is geen eenmalige activiteit, maar een continu proces dat moet worden geïntegreerd in de dagelijkse operaties van de organisatie. Zonder effectieve monitoring kan netwerksegmentatie geleidelijk worden verzwakt door wijzigingen, configuratiefouten of nieuwe implementaties, waardoor de beveiliging wordt ondermijnd zonder dat dit wordt opgemerkt. Het is daarom essentieel dat organisaties beschikken over geautomatiseerde monitoringtools en procedures die proactief afwijkingen kunnen identificeren en waarschuwingen kunnen genereren wanneer segmentatie niet meer voldoet aan de gedefinieerde beveiligingsvereisten. Effectieve monitoring vereist niet alleen de juiste tools, maar ook een goed begrip van wat normaal is en wat afwijkend is binnen de specifieke netwerkarchitectuur van de organisatie. Dit betekent dat organisaties eerst een baseline moeten vaststellen van wat normale netwerkactiviteit is, zodat zij kunnen identificeren wanneer er ongebruikelijke patronen optreden die mogelijk wijzen op beveiligingsproblemen of configuratiefouten. Een effectief en compleet monitoringproces begint met het grondig in kaart brengen en documenteren van de huidige netwerkarchitectuur. Dit betekent dat organisaties moeten beschikken over actuele, gedetailleerde netwerkdiagrammen die duidelijk en volledig tonen welke virtuele netwerken en subnetten bestaan, hoe deze met elkaar verbonden zijn via peering of gateways, welke netwerkbeveiligingsgroep-regels van toepassing zijn op elk segment, en welke resources zich in elk segment bevinden. Deze documentatie moet niet alleen regelmatig worden bijgewerkt wanneer wijzigingen worden doorgevoerd in de netwerkconfiguratie, maar moet ook worden gebruikt als referentie voor nieuwe teamleden en als basis voor compliance-rapportages. Het ontbreken van actuele documentatie vormt een veelvoorkomende oorzaak van beveiligingsproblemen, omdat teams dan niet meer weten welke segmentatieregels van toepassing zijn en per ongeluk wijzigingen kunnen doorvoeren die de beveiliging ondermijnen. Documentatie moet niet alleen technische details bevatten, maar ook de rationale achter elke beslissing, de beveiligingsdoelstellingen die worden nagestreefd, en de procedures voor het beheren en onderhouden van de segmentatie. Goede documentatie maakt het mogelijk om snel te identificeren wanneer segmentatie niet meer voldoet aan de oorspronkelijke ontwerpdoelstellingen en om nieuwe teamleden effectief te trainen in de netwerkarchitectuur. Documentatie moet ook worden gebruikt als basis voor compliance-rapportages, waarbij auditors willen zien dat organisaties een duidelijk beeld hebben van hun netwerkarchitectuur en dat zij kunnen aantonen dat segmentatie actief wordt beheerd. Voor Nederlandse overheidsorganisaties is dit extra belangrijk omdat BIO-audits specifiek zullen evalueren of organisaties beschikken over actuele en volledige documentatie van hun netwerkarchitectuur. Technische monitoring vormt de kern van een effectief segmentatiebeheerproces en kan worden uitgevoerd met behulp van gespecialiseerde tools zoals Azure Network Watcher, Azure Policy, en andere monitoringtools die diepgaand inzicht geven in netwerkverkeer, configuratie en compliance-status. Deze tools kunnen helpen bij het proactief identificeren van afwijkingen in de netwerkconfiguratie, zoals netwerkbeveiligingsgroep-regels die per ongeluk te permissief zijn ingesteld tijdens probleemoplossingsoperaties, subnetten die onbedoeld met elkaar kunnen communiceren door verkeerde peering-configuraties, of resources die in de verkeerde segmenten zijn geplaatst waardoor gevoelige gegevens onbeschermd raken. Automatische controles en beleidsregels kunnen worden geconfigureerd om onmiddellijk waarschuwingen te genereren wanneer segmentatieregels worden gewijzigd, wanneer er ongebruikelijk verkeer tussen segmenten wordt gedetecteerd dat mogelijk wijst op een beveiligingsincident, of wanneer nieuwe resources worden aangemaakt zonder de juiste netwerkbeveiligingsgroep-toewijzingen waardoor zij buiten de beoogde beveiligingscontroles vallen. Het is belangrijk om te begrijpen dat technische monitoring niet alleen reactief moet zijn, maar ook proactief. Organisaties moeten regelmatig netwerkverkeer analyseren om te identificeren of er ongebruikelijke patronen zijn die kunnen wijzen op beveiligingsproblemen of configuratiefouten. Dit vereist niet alleen de juiste tools, maar ook expertise in het interpreteren van monitoringdata en het identificeren van afwijkingen die mogelijk wijzen op beveiligingsrisico's. Azure Network Watcher biedt bijvoorbeeld functionaliteiten zoals Network Topology, die een visuele weergave geeft van de netwerkarchitectuur, en Connection Monitor, die de connectiviteit tussen resources kan testen en monitoren. Azure Policy kan worden gebruikt om automatisch te controleren of resources voldoen aan gedefinieerde netwerksegmentatievereisten, en kan automatisch waarschuwingen genereren of zelfs voorkomen dat resources worden aangemaakt die niet voldoen aan de vereisten. Naast technische monitoring is ook procesmatige en organisatorische monitoring van cruciaal belang voor het waarborgen van effectieve netwerksegmentatie op de lange termijn. Organisaties moeten robuuste procedures hebben voor het beoordelen, goedkeuren en documenteren van wijzigingsverzoeken die betrekking hebben op netwerksegmentatie, en moeten kunnen aantonen dat alle wijzigingen worden geëvalueerd op hun impact op de beveiliging voordat zij worden doorgevoerd. Dit is met name belangrijk voor compliance-doeleinden, waarbij auditors willen zien dat netwerksegmentatie actief wordt beheerd als een levend proces en niet slechts eenmalig is geïmplementeerd en daarna vergeten. Processen moeten ook voorzien in regelmatige evaluaties van de effectiviteit van segmentatie, waarbij wordt geanalyseerd of de huidige architectuur nog steeds voldoet aan de beveiligingsvereisten, of er nieuwe risico's zijn ontstaan door wijzigingen in de applicatie-architectuur, en of aanpassingen nodig zijn om de beveiliging te verbeteren of te optimaliseren. Deze evaluaties moeten niet alleen technisch zijn, maar ook organisatorisch, waarbij wordt geëvalueerd of procedures nog steeds effectief zijn, of training nog steeds adequaat is, en of er wijzigingen nodig zijn in de manier waarop netwerksegmentatie wordt beheerd. Zonder deze procesmatige monitoring zal netwerksegmentatie geleidelijk verslechteren, zelfs als de technische monitoring perfect is. Organisaties moeten ook procedures hebben voor het regelmatig testen van segmentatie, bijvoorbeeld door middel van penetratietests of door het simuleren van aanvallen om te verifiëren dat segmentatie effectief werkt en dat aanvallers niet tussen segmenten kunnen bewegen. Deze tests moeten worden gedocumenteerd en de resultaten moeten worden gebruikt om de segmentatie te verbeteren waar nodig. Voor Nederlandse overheidsorganisaties is monitoring extra belangrijk en complex omdat zij moeten kunnen aantonen dat hun netwerksegmentatie niet alleen voldoet aan de eisen van de Baseline Informatiebeveiliging Overheid (BIO), maar ook aan andere relevante normen zoals ISO 27001 en NIS2. Dit betekent dat monitoringresultaten uitgebreid moeten worden gedocumenteerd en bewaard voor audit-doeleinden volgens de vereiste bewaartermijnen, dat afwijkingen moeten worden geïdentificeerd, geclassificeerd op basis van risico en impact, en gecorrigeerd binnen acceptabele termijnen die zijn vastgelegd in beveiligingsbeleid. Organisaties moeten ook kunnen aantonen dat zij procedures hebben voor het escaleren van kritieke afwijkingen naar management en beveiligingsfunctionarissen, en dat zij regelmatig management-rapportages genereren over de status van netwerksegmentatie inclusief compliance-naleving en geïdentificeerde risico's. Deze rapportages moeten niet alleen technische details bevatten zoals aantallen virtuele netwerken, subnetten en netwerkbeveiligingsgroep-regels, maar ook de compliance-status ten opzichte van relevante normen, eventuele risico's die zijn geïdentificeerd tijdens monitoring, en acties die zijn ondernomen of gepland om deze risico's te mitigeren. Voor Nederlandse overheidsorganisaties is het van cruciaal belang dat monitoring niet alleen technisch correct is, maar ook volledig voldoet aan alle relevante normen en regelgeving. Dit vereist vaak extra documentatie, extra procedures en extra rapportages die niet nodig zijn voor commerciële organisaties, maar wel verplicht zijn voor overheidsorganisaties. BIO-audits zullen specifiek evalueren of organisaties kunnen aantonen dat zij regelmatig monitoring uitvoeren, dat zij procedures hebben voor het identificeren en corrigeren van afwijkingen, en dat zij management-rapportages genereren over de status van netwerksegmentatie. Organisaties moeten ook kunnen aantonen dat zij procedures hebben voor het bewaren van monitoringdata voor audit-doeleinden, en dat zij kunnen aantonen dat segmentatie effectief werkt door middel van testresultaten en monitoring-data.
Compliance en Auditing
Netwerksegmentatie vormt een fundamentele en verplichte beveiligingsmaatregel die wordt vereist door meerdere internationale en nationale compliance-frameworks, normen en wetgeving. Voor Nederlandse overheidsorganisaties is het van cruciaal strategisch belang om te kunnen aantonen dat netwerksegmentatie niet alleen correct is geïmplementeerd, maar ook actief wordt onderhouden, gemonitord en geëvalueerd, omdat dit een verplicht onderdeel vormt van verschillende normen en wetgeving waar niet-naleving kan leiden tot aanzienlijke consequenties. Compliance met deze normen is niet alleen een technische uitdaging, maar vereist ook een goed begrip van de specifieke eisen van elk framework en de manier waarop deze eisen kunnen worden aangetoond tijdens audits en toezicht-inspecties. Organisaties moeten niet alleen kunnen aantonen dat zij technisch voldoen aan de eisen, maar ook dat zij procedures hebben voor het beheren, monitoren en evalueren van netwerksegmentatie, en dat zij regelmatig testen uitvoeren om te verifiëren dat segmentatie effectief werkt. De CIS Controls, een internationaal erkend en veelgebruikt framework voor cybersecurity dat wordt ontwikkeld door het Center for Internet Security, bevat in control 6.4 zeer specifieke en gedetailleerde vereisten voor netwerksegmentatie. Deze control stelt expliciet dat organisaties hun netwerken moeten segmenteren op basis van de gevoeligheid en classificatie van data en systemen, en dat al het verkeer tussen segmenten moet worden gecontroleerd, gefilterd en gelogd. Voor Azure-omgevingen betekent dit dat organisaties tijdens audits moeten kunnen aantonen dat VNets en subnetten correct zijn geconfigureerd volgens een gedocumenteerd ontwerp, dat NSG-regels effectief verkeer tussen segmenten controleren volgens het principe van minimale privileges, en dat er monitoring en logging plaatsvindt van alle netwerkverkeer tussen segmenten. Organisaties moeten ook kunnen demonstreren dat segmentatie is gebaseerd op een risico-analyse en dat de architectuur regelmatig wordt geëvalueerd op effectiviteit. CIS Controls-audits zullen specifiek evalueren of organisaties kunnen aantonen dat zij hun netwerken hebben gesegmenteerd op basis van de gevoeligheid en classificatie van data en systemen, dat zij procedures hebben voor het controleren, filteren en loggen van verkeer tussen segmenten, en dat zij regelmatig evalueren of segmentatie nog steeds effectief is. Organisaties moeten ook kunnen aantonen dat zij procedures hebben voor het beheren en onderhouden van segmentatie, en dat zij regelmatig testen uitvoeren om te verifiëren dat segmentatie werkt zoals bedoeld. De Baseline Informatiebeveiliging Overheid (BIO), het verplichte informatiebeveiligingsframework voor alle Nederlandse overheidsorganisaties, bevat in norm 13.01 zeer specifieke en bindende eisen aan netwerksegmentatie. Deze norm vereist niet alleen dat organisaties hun netwerken segmenteren om de impact van beveiligingsincidenten te beperken en om te voorkomen dat aanvallers zich lateraal door het netwerk kunnen bewegen, maar stelt ook eisen aan de documentatie, het beheer en de monitoring van segmentatie. Nederlandse overheidsorganisaties moeten tijdens BIO-audits kunnen aantonen dat hun netwerkarchitectuur volledig voldoet aan deze eisen, dat segmentatie actief wordt beheerd volgens gedocumenteerde procedures, en dat regelmatige evaluaties plaatsvinden om te verifiëren dat segmentatie effectief blijft. Het niet voldoen aan BIO-normen kan leiden tot formele bevindingen, verplichte verbeteracties en in extreme gevallen tot het stopzetten van dienstverlening. BIO-audits zullen specifiek evalueren of organisaties kunnen aantonen dat zij hun netwerken hebben gesegmenteerd om de impact van beveiligingsincidenten te beperken, dat zij procedures hebben voor het beheren en monitoren van segmentatie, en dat zij regelmatig evalueren of segmentatie nog steeds effectief is. Organisaties moeten ook kunnen aantonen dat zij uitgebreide documentatie hebben van hun netwerkarchitectuur, dat zij procedures hebben voor het beoordelen en goedkeuren van wijzigingen aan de netwerkconfiguratie, en dat zij regelmatig testen uitvoeren om te verifiëren dat segmentatie werkt zoals bedoeld. Voor Nederlandse overheidsorganisaties is compliance met BIO-normen niet alleen een technische uitdaging, maar ook een organisatorische uitdaging die vereist dat procedures worden gedocumenteerd, dat medewerkers worden getraind, en dat regelmatig wordt geëvalueerd of procedures nog steeds effectief zijn. ISO 27001:2022, de internationale standaard voor informatiebeveiligingsmanagement, bevat in controle A.8.20 (Networks security) uitgebreide vereisten voor netwerkbeveiliging die netwerksegmentatie als een kernmaatregel omvatten. Organisaties die gecertificeerd zijn of willen worden volgens ISO 27001 moeten tijdens certificatie-audits kunnen aantonen dat hun netwerken zijn beveiligd tegen ongeautoriseerde toegang, dat verkeer tussen verschillende delen van het netwerk wordt gecontroleerd en gefilterd, en dat er adequate logging en monitoring plaatsvindt. Dit vereist uitgebreide documentatie van de netwerkarchitectuur, bewijs dat beveiligingsmaatregelen effectief zijn door middel van testresultaten en monitoring-data, en procedures voor het beheren en onderhouden van netwerksegmentatie. ISO 27001-auditors zullen ook evalueren of segmentatie is gebaseerd op een risico-analyse en of de maatregelen proportioneel zijn ten opzichte van de geïdentificeerde risico's. ISO 27001-certificering vereist dat organisaties kunnen aantonen dat zij een Information Security Management System (ISMS) hebben geïmplementeerd dat netwerksegmentatie omvat als onderdeel van hun beveiligingsmaatregelen. Dit betekent dat organisaties niet alleen moeten kunnen aantonen dat zij technisch voldoen aan de eisen, maar ook dat zij procedures hebben voor het beheren, monitoren en evalueren van netwerksegmentatie, en dat zij regelmatig risico-analyses uitvoeren om te identificeren of aanpassingen nodig zijn. ISO 27001-audits zullen ook evalueren of organisaties kunnen aantonen dat zij procedures hebben voor het beoordelen en goedkeuren van wijzigingen aan de netwerkconfiguratie, en dat zij regelmatig testen uitvoeren om te verifiëren dat segmentatie effectief werkt. De NIS2-richtlijn, die is geïmplementeerd in Nederlandse wetgeving via de Wet beveiliging netwerk- en informatiesystemen, bevat in artikel 21 specifieke en bindende eisen aan netwerkbeveiliging voor essentiële en belangrijke entiteiten in sectoren zoals energie, transport, gezondheidszorg en digitale infrastructuur. Deze eisen omvatten onder meer netwerksegmentatie als een technische maatregel om de beschikbaarheid, integriteit en vertrouwelijkheid van netwerken en informatiesystemen te waarborgen. Nederlandse organisaties die onder de reikwijdte van NIS2 vallen moeten tijdens toezicht-inspecties door de Autoriteit Consument en Markt (ACM) kunnen aantonen dat zij passende en effectieve maatregelen hebben genomen om hun netwerken te beveiligen, waaronder uitgebreide netwerksegmentatie. Het niet voldoen aan NIS2-vereisten kan leiden tot boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. NIS2-toezicht-inspecties zullen specifiek evalueren of organisaties kunnen aantonen dat zij passende en effectieve maatregelen hebben genomen om hun netwerken te beveiligen, dat zij procedures hebben voor het beheren en monitoren van netwerksegmentatie, en dat zij regelmatig evalueren of segmentatie nog steeds effectief is. Organisaties moeten ook kunnen aantonen dat zij uitgebreide documentatie hebben van hun netwerkarchitectuur, dat zij procedures hebben voor het beoordelen en goedkeuren van wijzigingen aan de netwerkconfiguratie, en dat zij regelmatig testen uitvoeren om te verifiëren dat segmentatie werkt zoals bedoeld. Voor organisaties die onder de reikwijdte van NIS2 vallen is compliance niet alleen een technische uitdaging, maar ook een wettelijke verplichting die kan leiden tot aanzienlijke boetes bij niet-naleving. Voor audit-doeleinden, ongeacht welk framework van toepassing is, moeten organisaties beschikken over uitgebreide en actuele documentatie die duidelijk aantoont hoe netwerksegmentatie is geïmplementeerd volgens een gedocumenteerd ontwerp, welke specifieke beveiligingsregels van toepassing zijn op elk segment en waarom, en hoe segmentatie wordt gemonitord, geëvalueerd en onderhouden als een continu proces. Deze documentatie moet regelmatig worden bijgewerkt wanneer wijzigingen worden doorgevoerd en moet toegankelijk zijn voor auditors, compliance-officers en toezichthouders. Organisaties moeten ook kunnen aantonen dat zij robuuste procedures hebben voor het beoordelen, goedkeuren, testen en documenteren van wijzigingen aan de netwerkconfiguratie, zodat segmentatie niet per ongeluk wordt verzwakt door latere wijzigingen. Audit-evidence moet ook aantonen dat segmentatie effectief is door middel van testresultaten, monitoring-data en incident-analyses. Voor alle compliance-frameworks is het van cruciaal belang dat organisaties niet alleen kunnen aantonen dat zij technisch voldoen aan de eisen, maar ook dat zij procedures hebben voor het beheren, monitoren en evalueren van netwerksegmentatie, en dat zij regelmatig testen uitvoeren om te verifiëren dat segmentatie effectief werkt. Organisaties moeten ook kunnen aantonen dat zij procedures hebben voor het identificeren en corrigeren van afwijkingen, en dat zij management-rapportages genereren over de status van netwerksegmentatie inclusief compliance-naleving en geïdentificeerde risico's.
Remediatie
Gebruik PowerShell-script network-segmentation-implemented.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer netwerksegmentatie niet correct is geïmplementeerd, wanneer er afwijkingen worden geconstateerd tijdens monitoring, of wanneer beveiligingsincidenten aantonen dat segmentatie niet effectief functioneert, is het van cruciaal en urgent belang om snel en gestructureerd te handelen om de beveiligingsrisico's te beperken en te voorkomen dat aanvallers kunnen profiteren van de zwakke plekken. Remediatie van netwerksegmentatieproblemen vereist een gestructureerde, gedocumenteerde aanpak die begint met het grondig identificeren en classificeren van de specifieke problemen, gevolgd door een risicogebaseerde prioritering, en eindigt met uitgebreide verificatie dat de oplossing correct werkt en de beveiliging daadwerkelijk verbetert. Het remediatieproces moet niet alleen technisch correct zijn, maar moet ook rekening houden met de impact op bedrijfsprocessen, gebruikers en andere systemen, en moet worden uitgevoerd op een manier die minimale verstoring veroorzaakt terwijl de beveiliging wordt verbeterd. Organisaties moeten beschikken over goed gedefinieerde procedures voor remediatie die duidelijk specificeren wie verantwoordelijk is voor welke activiteiten, welke goedkeuringen nodig zijn voordat wijzigingen worden doorgevoerd, en hoe wijzigingen worden getest en geverifieerd voordat zij in productie worden geïmplementeerd. Het remediatieproces begint altijd met een grondige en systematische analyse van de huidige netwerkconfiguratie om alle segmentatieproblemen te identificeren. Dit omvat het uitgebreid scannen en analyseren van alle virtuele netwerken en subnetten om te identificeren welke niet correct zijn gesegmenteerd volgens het gedocumenteerde ontwerp, het grondig controleren van alle netwerkbeveiligingsgroep-regels om te identificeren welke te permissief zijn ingesteld of niet voldoen aan het principe van minimale privileges, en het detecteren van onbedoelde of ongeautoriseerde communicatie tussen netwerksegmenten die niet zou moeten plaatsvinden. Organisaties moeten beschikken over geavanceerde tools, scripts en mogelijk geautomatiseerde controles die deze analyse kunnen uitvoeren op regelmatige basis, zodat problemen proactief kunnen worden geïdentificeerd voordat zij kunnen worden uitgebuit door aanvallers. Deze analyse moet ook evalueren of de huidige segmentatie nog steeds voldoet aan de beveiligingsvereisten, of er nieuwe risico's zijn ontstaan door wijzigingen in de applicatie-architectuur, en of de segmentatie moet worden aangepast aan nieuwe compliance-vereisten zoals wijzigingen in de BIO-normen of nieuwe eisen vanuit NIS2. De analyse moet niet alleen technisch zijn, maar moet ook evalueren wat de impact is van de geïdentificeerde problemen op de beveiliging, welke risico's er zijn verbonden aan het niet oplossen van deze problemen, en welke resources nodig zijn om de problemen op te lossen. Deze informatie is essentieel voor het bepalen van de prioritering en voor het ontwikkelen van effectieve remediatieplannen die niet alleen de problemen oplossen, maar ook voorkomen dat vergelijkbare problemen in de toekomst optreden. Eenmaal geïdentificeerd en gedocumenteerd, moeten alle segmentatieproblemen worden geclassificeerd en opgelost volgens een strikte prioritering op basis van risico, impact en exploitatie-waarschijnlijkheid. Kritieke en hoog-risicoproblemen, zoals het volledig ontbreken van segmentatie tussen productie- en testomgevingen waardoor test-activiteiten productiesystemen kunnen beïnvloeden, het ontbreken van netwerkbeveiligingsgroep-regels tussen subnetten met verschillende gevoeligheidsniveaus waardoor gevoelige data onbeschermd is, of het bestaan van directe communicatiepaden tussen internet-facing en interne systemen waardoor aanvallers direct toegang kunnen krijgen tot kritieke systemen, moeten onmiddellijk en met hoge prioriteit worden aangepakt, mogelijk zelfs buiten normale werkuren als het risico hoog genoeg is. Minder kritieke maar nog steeds belangrijke problemen, zoals suboptimale netwerkbeveiligingsgroep-regels die te restrictief zijn en functionaliteit belemmeren waardoor gebruikers hun werk niet kunnen uitvoeren, of resources die in bijna-correcte maar niet optimale segmenten zijn geplaatst waardoor de netwerkarchitectuur niet volledig aansluit bij het gedocumenteerde ontwerp, kunnen worden gepland voor geplande onderhoudsvensters om verstoring van bedrijfsprocessen en gebruikers te minimaliseren. Voor elk probleem moet een remediatieplan worden ontwikkeld dat de stappen, rollback-procedures en verificatie-criteria specificeert. Het remediatieplan moet ook specificeren wie verantwoordelijk is voor de uitvoering, welke goedkeuringen nodig zijn, welke tests moeten worden uitgevoerd voordat wijzigingen in productie worden geïmplementeerd, en hoe de impact op bedrijfsprocessen en gebruikers wordt geminimaliseerd. Prioritering moet niet alleen gebaseerd zijn op technische risico's, maar moet ook rekening houden met de impact op bedrijfsprocessen, de beschikbaarheid van resources, en de complexiteit van de remediatie. De daadwerkelijke technische remediatie omvat het zorgvuldig aanmaken of wijzigen van virtuele netwerken en subnetten volgens het goedgekeurde netwerkontwerp, het configureren en testen van netwerkbeveiligingsgroep-regels om ervoor te zorgen dat zij zowel beveiliging als functionaliteit waarborgen, en het verplaatsen van resources naar de juiste netwerksegmenten zonder service-onderbrekingen die gebruikers of bedrijfsprocessen kunnen beïnvloeden. Dit proces moet zeer zorgvuldig en gefaseerd worden uitgevoerd om te voorkomen dat bestaande services worden verstoord of dat gebruikers worden beïnvloed door tijdelijke netwerkonderbrekingen. Organisaties moeten beschikken over uitgebreide rollback-plannen en procedures voor het geval dat wijzigingen onverwachte problemen veroorzaken zoals netwerkconnectiviteitsproblemen of applicatiefouten, en moeten wijzigingen eerst testen in niet-productieomgevingen wanneer mogelijk om te verifiëren dat de configuratie correct werkt voordat deze in productie wordt geïmplementeerd. Communicatie met betrokken teams en gebruikers is essentieel om verstoringen te minimaliseren en om begrip te creëren voor de noodzaak van de wijzigingen, vooral wanneer wijzigingen gepland zijn tijdens werkuren. Technische remediatie moet worden uitgevoerd door ervaren netwerk- en beveiligingsprofessionals die volledig begrijpen hoe de wijzigingen de netwerkarchitectuur beïnvloeden en die kunnen identificeren en oplossen wanneer er onverwachte problemen optreden. Organisaties moeten ook beschikken over monitoringtools die kunnen worden gebruikt om te verifiëren dat wijzigingen correct zijn doorgevoerd en dat er geen onbedoelde gevolgen zijn voor de netwerkconnectiviteit of beveiliging. Na implementatie van alle remediatiemaatregelen moet uitgebreid worden geverifieerd en getest dat de segmentatie correct werkt en de beveiliging daadwerkelijk verbetert. Dit omvat het grondig testen van netwerkconnectiviteit tussen alle segmenten om te bevestigen dat alleen toegestaan verkeer volgens de gedefinieerde regels kan passeren en dat ongeautoriseerd verkeer daadwerkelijk wordt geblokkeerd, het controleren van alle netwerkbeveiligingsgroep-regels om te verifiëren dat deze correct zijn geconfigureerd en werken zoals bedoeld, en het uitvoeren van penetratietests om te valideren dat aanvallers niet langer tussen segmenten kunnen bewegen en dat laterale beweging daadwerkelijk is geblokkeerd. Monitoringtools moeten worden gebruikt om te bevestigen dat er geen onbedoeld of ongeautoriseerd verkeer tussen segmenten plaatsvindt, en dat alle verkeer correct wordt gelogd voor audit-doeleinden zodat events kunnen worden gecorrelleerd tijdens beveiligingsincidenten. Deze verificatie moet worden gedocumenteerd als bewijs dat de remediatie effectief is en dat de beveiliging daadwerkelijk is verbeterd ten opzichte van de situatie voor de remediatie. Verificatie moet niet alleen technisch zijn, maar moet ook evalueren of de remediatie de beveiliging daadwerkelijk heeft verbeterd, of er nieuwe risico's zijn ontstaan door de wijzigingen, en of de remediatie heeft geleid tot verbeteringen in de compliance-status. Organisaties moeten ook evalueren of de remediatie heeft geleid tot verbeteringen in de algehele beveiligingspositie, en of er lessen kunnen worden getrokken uit het remediatieproces die kunnen worden gebruikt om toekomstige problemen te voorkomen. Voor Nederlandse overheidsorganisaties is het van extra groot belang dat alle remediatie-activiteiten uitgebreid worden gedocumenteerd voor compliance-doeleinden en audit-readiness. Dit betekent dat organisaties moeten kunnen aantonen welke problemen zijn geïdentificeerd tijdens monitoring of incidenten, welke risico-analyse is uitgevoerd om de prioritering te bepalen, welke specifieke maatregelen zijn genomen om deze problemen op te lossen, waarom deze maatregelen zijn gekozen boven alternatieven, en dat de oplossing effectief is gebleken door middel van testresultaten en monitoring-data die aantonen dat de beveiliging is verbeterd. Deze documentatie is essentieel voor BIO-audits, ISO 27001-certificering, en NIS2-toezicht door de Autoriteit Consument en Markt, en kan helpen bij het voorkomen van vergelijkbare problemen in de toekomst door lessen te trekken uit eerdere incidenten en door te zorgen dat kennis wordt behouden binnen de organisatie zodat hetzelfde probleem niet opnieuw optreedt. De documentatie moet ook aantonen dat remediatie plaatsvindt binnen acceptabele termijnen zoals gedefinieerd in beveiligingsbeleid, en moet bijdragen aan het verbeteren van de algehele beveiligingspositie van de organisatie op de lange termijn. Voor Nederlandse overheidsorganisaties is het van cruciaal belang dat remediatie-activiteiten niet alleen technisch correct zijn, maar ook volledig voldoen aan alle relevante normen en regelgeving, en dat organisaties kunnen aantonen dat zij procedures hebben voor het identificeren, prioriteren en oplossen van netwerksegmentatieproblemen. Organisaties moeten ook kunnen aantonen dat zij procedures hebben voor het evalueren van de effectiviteit van remediatie-activiteiten, en dat zij regelmatig evalueren of hun remediatieprocessen nog steeds effectief zijn en of er verbeteringen nodig zijn.
Compliance & Frameworks
- CIS M365: Control 6.4 (L1) - Netwerksegmentatie
- BIO: 13.01 - Netwerksegmentatie
- ISO 27001:2022: A.8.20 - Netwerkbeveiliging
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Network Segmentation Implemented
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 6.11
Controleert of network segmentatie is geïmplementeerd via subnets.
.NOTES
Filename: network-segmentation-implemented.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 6.11
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Network
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Network Segmentation Implemented"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$vnets = Get-AzVirtualNetwork -ErrorAction SilentlyContinue
$result = @{ TotalVNets = $vnets.Count; TotalSubnets = 0 }
foreach ($vnet in $vnets) {
$result.TotalSubnets += $vnet.Subnets.Count
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Virtual Networks: $($r.TotalVNets)" -ForegroundColor White
Write-Host "Total Subnets: $($r.TotalSubnets)" -ForegroundColor $(if ($r.TotalSubnets -gt $r.TotalVNets) { 'Green' } else { 'Yellow' })
if ($r.TotalSubnets -le $r.TotalVNets) {
Write-Host "`nℹ️ Overweeg meer subnets voor betere segmentatie" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nNetwork Segmentation: $($r.TotalSubnets) subnets in $($r.TotalVNets) VNets"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Virtual Networks: $($r.TotalVNets)" -ForegroundColor White
Write-Host "Total Subnets: $($r.TotalSubnets)" -ForegroundColor $(if ($r.TotalSubnets -gt $r.TotalVNets) { 'Green' } else { 'Yellow' })
if ($r.TotalSubnets -le $r.TotalVNets) {
Write-Host "`nℹ️ Overweeg meer subnets voor betere segmentatie" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nNetwork Segmentation: $($r.TotalSubnets) subnets in $($r.TotalVNets) VNets"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
High: Een plat netwerk maakt laterale beweging eenvoudig mogelijk. Een enkele gecompromitteerde virtuele machine kan toegang krijgen tot alle virtuele machines. Compliance: CIS 6.4, BIO 13.01, Zero Trust. Het risico is hoog - preventie van laterale beweging is essentieel.
Management Samenvatting
Netwerksegmentatie: Gescheiden virtuele netwerken en subnetten per laag (web, applicatie, data), netwerkbeveiligingsgroepen tussen lagen, standaard-weigeringsregels. Beperkt laterale beweging. Activatie: Ontwerp segmentatie → Implementeer subnetten → Configureer netwerkbeveiligingsgroepen. Gratis (architectuur). Verplicht CIS 6.4, BIO 13.01, Zero Trust. Implementatie: 10-14 uur. Kritieke beveiligingsarchitectuur.
- Implementatietijd: 14 uur
- FTE required: 0.15 FTE