L2 BIO 12.04 ISO A.8.15 CIS 6.4

NSG Flow Logs Ingeschakeld

📅 2025-10-29
⏱️ 6 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

NSG Flow Logs bieden essentiële netwerkzichtbaarheid door gedetailleerde informatie te verzamelen over al het verkeer dat door Network Security Groups wordt gecontroleerd, wat cruciaal is voor beveiligingsmonitoring, forensische analyse en compliance-naleving.

Aanbeveling
IMPLEMENTEER - NSG Flow Logs zijn essentieel voor netwerkzichtbaarheid en compliance
Risico zonder
High
Risk Score
8/10
Implementatie
5u (tech: 3u)
Van toepassing op:
Azure

Zonder NSG Flow Logs hebben beveiligingsteams geen inzicht in netwerkverkeerpatronen, kunnen ze laterale bewegingen van aanvallers niet detecteren, en kunnen ze niet voldoen aan compliance-vereisten zoals CIS 6.4, BIO 12.04 en ISO 27001. Dit leidt tot verhoogde beveiligingsrisico's, compliance-overtredingen en beperkte mogelijkheden voor incidentafhandeling en forensische onderzoeken.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Network

Implementatie

Deze beveiligingsmaatregel vereist dat NSG Flow Logs zijn ingeschakeld voor alle Network Security Groups in de Azure-omgeving. Flow logs verzamelen metadata over netwerkverkeer inclusief bron- en doel-IP-adressen, poorten, protocollen en verkeersbeslissingen, en slaan deze op in Azure Storage en optioneel in Log Analytics Workspace voor geavanceerde analyse en langetermijnarchivering.

Vereisten

Voor het implementeren van NSG Flow Logs zijn verschillende Azure-componenten vereist die samen een complete logging- en monitoringoplossing vormen. Deze componenten werken samen om netwerkverkeer te monitoren, te analyseren en te archiveren voor beveiligings- en compliance-doeleinden.

Ten eerste zijn Network Security Groups (NSGs) nodig. NSGs fungeren als virtuele firewalls die het inkomende en uitgaande verkeer naar Azure-resources controleren. Zonder actieve NSGs kunnen er geen flow logs worden gegenereerd, omdat er geen netwerkregels zijn om te monitoren. Elke NSG kan individueel worden geconfigureerd met specifieke regels voor subnetten of netwerkinterfaces, wat zorgt voor gedetailleerde controle over netwerkverkeer.

Een opslagaccount is essentieel voor het opslaan van de gegenereerde flow log-bestanden. Dit opslagaccount moet zich in dezelfde Azure-regio bevinden als de NSG om latentie te minimaliseren en kosten te optimaliseren. Het opslagaccount moet worden geconfigureerd met de juiste beveiligingsinstellingen, waaronder versleuteling in rust, netwerktoegangsbeperkingen en lifecycle-beheer voor automatische archivering naar goedkopere opslaglagen na verloop van tijd.

Log Analytics Workspace is vereist voor geavanceerde analyse en zoekopdrachten op de flow log-data. Door flow logs te integreren met Log Analytics kunnen beveiligingsteams complexe zoekopdrachten uitvoeren om patronen te detecteren, anomalieën te identificeren en forensische onderzoeken uit te voeren. De Log Analytics-integratie maakt het mogelijk om flow log-data te correleren met andere beveiligingslogs, wat een holistisch beeld geeft van de beveiligingsstatus van de cloudomgeving.

Azure Network Watcher is een regionale service die netwerkmonitoring en diagnostische mogelijkheden biedt. Network Watcher moet worden ingeschakeld in elke regio waar NSGs worden gebruikt. Deze service faciliteert de configuratie van flow logs en biedt aanvullende tools zoals pakketopname, verbindingsprobleemoplossing en IP-flowverificatie. Network Watcher fungeert als de centrale hub voor alle netwerkmonitoring-activiteiten in Azure.

Naast deze primaire componenten zijn er ook specifieke machtigingen vereist. De service principal of gebruiker die flow logs configureert moet beschikken over de rol 'Network Contributor' of 'Contributor' op het abonnement of de resourcegroep. Daarnaast zijn schrijfmachtigingen nodig op het opslagaccount en het Log Analytics Workspace. Voor organisaties die Azure Policy gebruiken om flow logs te implementeren, zijn ook Policy Contributor-machtigingen vereist.

Het is belangrijk om te benadrukken dat deze componenten niet alleen technisch aanwezig moeten zijn, maar ook correct moeten worden geconfigureerd volgens de beveiligingsstandaarden van de organisatie. Dit omvat het implementeren van netwerkisolatie voor opslagaccounts, het configureren van diagnostische instellingen voor Network Watcher zelf, en het instellen van juiste retentieperiodes die voldoen aan compliance-vereisten zoals de BIO-normen of AVG-verplichtingen.

Monitoring

Gebruik PowerShell-script nsg-flow-logs-enabled.ps1 (functie Invoke-Monitoring) – Controleren.

Het monitoren van NSG Flow Logs is een kritieke activiteit voor het waarborgen van netwerkbeveiliging en compliance. Regelmatige controle moet worden uitgevoerd om te verifiëren dat flow logs daadwerkelijk zijn ingeschakeld voor alle Network Security Groups binnen de Azure-omgeving. Dit monitoringproces omvat niet alleen het controleren van de configuratiestatus, maar ook het valideren van de daadwerkelijke loggeneratie en de integriteit van de opgeslagen data.

De monitoringactiviteiten moeten systematisch worden uitgevoerd met behulp van geautomatiseerde scripts die alle NSGs in een abonnement of resourcegroep doorlopen. Het PowerShell-script dat beschikbaar is via de scriptReference-functie biedt een gestandaardiseerde manier om de status van flow logs te controleren. Dit script controleert per NSG of flow logging is ingeschakeld, of de configuratie correct is ingesteld met het juiste opslagaccount en Log Analytics Workspace, en of er geen configuratiefouten zijn die de loggeneratie kunnen blokkeren.

Naast de technische configuratiecontrole is het belangrijk om te monitoren of flow logs daadwerkelijk worden gegenereerd en opgeslagen. Dit kan worden geverifieerd door het opslagaccount te controleren op nieuwe logbestanden, die typisch elk uur worden gegenereerd wanneer er netwerkverkeer plaatsvindt. De afwezigheid van nieuwe logbestanden gedurende een langere periode kan wijzen op een probleem met de configuratie, een gebrek aan netwerkverkeer, of een onderliggend technisch probleem met de Network Watcher-service.

Voor organisaties die Log Analytics gebruiken voor geavanceerde analyse, moet ook worden gemonitord of flow log-data correct wordt opgenomen in het Log Analytics Workspace. Dit kan worden gecontroleerd door zoekopdrachten uit te voeren op de AzureNetworkFlow-tabel, die de opgenomen flow log-records bevat. Regelmatige zoekopdrachten kunnen helpen bij het identificeren van trends, het detecteren van anomalieën en het valideren van de data-integriteit.

Het monitoringproces moet worden gedocumenteerd en geautomatiseerd waar mogelijk. Dit omvat het instellen van Azure Monitor alerts die waarschuwen wanneer flow logs worden uitgeschakeld of wanneer er configuratiewijzigingen worden gedetecteerd. Daarnaast moeten regelmatige rapportages worden gegenereerd die de compliance-status weergeven, inclusief welke NSGs flow logs hebben ingeschakeld en welke mogelijk aandacht vereisen. Deze rapportages zijn essentieel voor audit-doeleinden en helpen bij het aantonen van naleving van beveiligingsstandaarden zoals CIS, BIO en ISO 27001.

Voor Nederlandse overheidsorganisaties is het monitoren van flow logs niet alleen een technische verplichting, maar ook een compliance-vereiste. De BIO-normen en NIS2-richtlijnen vereisen dat organisaties adequate logging en monitoring implementeren voor netwerkactiviteiten. Regelmatige controle en validatie van flow log-configuraties zijn daarom essentieel voor het waarborgen van continue compliance en het kunnen aantonen van effectieve netwerkbeveiliging tijdens audits en inspecties.

Compliance en Auditing

NSG Flow Logs spelen een cruciale rol bij het voldoen aan verschillende beveiligings- en compliance-frameworks die relevant zijn voor Nederlandse overheidsorganisaties. De implementatie van flow logs is niet alleen een technische best practice, maar ook een verplichting onder meerdere normen en richtlijnen die specifieke eisen stellen aan netwerklogging en monitoring.

De CIS Microsoft Azure Foundations Benchmark controle 6.4 vereist expliciet dat NSG Flow Logs zijn ingeschakeld voor alle Network Security Groups. Deze controle valt onder de categorie 'Logging and Monitoring' en is geclassificeerd als Level 2, wat betekent dat het wordt aanbevolen voor omgevingen met verhoogde beveiligingsvereisten. Het niet naleven van deze controle kan leiden tot een verminderde CIS-compliance-score en kan worden geïdentificeerd tijdens beveiligingsbeoordelingen en audits. Organisaties die streven naar volledige CIS-compliance moeten ervoor zorgen dat flow logs niet alleen zijn ingeschakeld, maar ook correct zijn geconfigureerd met adequate retentieperiodes en geïntegreerd zijn met centrale logging-oplossingen.

De Baseline Informatiebeveiliging Overheid (BIO) norm 12.04 stelt eisen aan netwerklogging en monitoring. Deze norm vereist dat organisaties adequate logging implementeren voor netwerkactiviteiten om detectie, analyse en respons op beveiligingsincidenten mogelijk te maken. NSG Flow Logs voorzien in deze vereiste door gedetailleerde informatie te verzamelen over alle netwerkverkeer dat door NSGs wordt gecontroleerd. Voor Nederlandse overheidsorganisaties is naleving van BIO-normen verplicht, en het ontbreken van adequate netwerklogging kan worden geconstateerd tijdens BIO-audits. Flow logs moeten worden geconfigureerd met retentieperiodes die voldoen aan de BIO-vereisten, typisch minimaal zeven jaar voor kritieke systemen, en moeten worden beschermd tegen ongeautoriseerde toegang of wijziging.

ISO 27001:2022 controle A.8.15 richt zich op logging en monitoring van netwerkactiviteiten. Deze controle vereist dat organisaties logging implementeren voor netwerkverkeer en dat deze logs worden beveiligd, bewaard en regelmatig worden geanalyseerd. NSG Flow Logs bieden de benodigde logging-capaciteit en kunnen worden geïntegreerd met Security Information and Event Management (SIEM)-systemen voor geavanceerde analyse. Voor organisaties die ISO 27001-certificering nastreven of behouden, is het essentieel om te kunnen aantonen dat netwerklogging adequaat is geïmplementeerd en dat de gegenereerde logs worden gebruikt voor beveiligingsmonitoring en incidentafhandeling.

De NIS2-richtlijn, zoals geïmplementeerd in Nederlandse wetgeving, stelt in Artikel 21 specifieke eisen aan logging en monitoring voor essentiële en belangrijke entiteiten. Deze richtlijn vereist dat organisaties adequate logging implementeren voor netwerkactiviteiten en dat deze logs worden gebruikt voor detectie en respons op cyberdreigingen. NSG Flow Logs zijn een essentieel onderdeel van de logging-infrastructuur die nodig is om te voldoen aan NIS2-vereisten. Organisaties die onder de NIS2-richtlijn vallen moeten kunnen aantonen dat zij beschikken over adequate netwerklogging en dat deze logs worden gebruikt voor proactieve beveiligingsmonitoring en incidentafhandeling.

Naast deze specifieke normen en richtlijnen zijn flow logs ook relevant voor naleving van de Algemene Verordening Gegevensbescherming (AVG), met name voor het kunnen aantonen van adequate beveiligingsmaatregelen zoals vereist in Artikel 32. Flow logs kunnen helpen bij het detecteren van ongeautoriseerde toegang tot persoonsgegevens en kunnen worden gebruikt als bewijsmateriaal bij datalekonderzoeken. Daarnaast kunnen flow logs worden gebruikt om te voldoen aan de accountability-vereiste van de AVG door te demonstreren dat organisaties proactief netwerkactiviteiten monitoren en analyseren.

Voor audit-doeleinden is het belangrijk dat organisaties kunnen aantonen dat flow logs correct zijn geconfigureerd en actief worden gebruikt. Dit omvat het documenteren van de configuratie, het bewaren van audit trails van configuratiewijzigingen, en het kunnen presenteren van voorbeelden van hoe flow log-data wordt gebruikt voor beveiligingsmonitoring en incidentafhandeling. Regelmatige compliance-checks moeten worden uitgevoerd om te verifiëren dat alle NSGs flow logs hebben ingeschakeld en dat de configuratie voldoet aan de vereisten van de relevante normen en richtlijnen.

Remediatie

Gebruik PowerShell-script nsg-flow-logs-enabled.ps1 (functie Invoke-Remediation) – Herstellen.

Wanneer NSG Flow Logs niet zijn ingeschakeld of onjuist zijn geconfigureerd, is het essentieel om snel remediatie uit te voeren om de beveiligings- en compliance-risico's te minimaliseren. Het remediatieproces moet systematisch worden uitgevoerd om ervoor te zorgen dat alle NSGs correct worden geconfigureerd en dat de flow logs daadwerkelijk worden gegenereerd en opgeslagen.

De eerste stap in het remediatieproces is het identificeren van alle NSGs die flow logs missen of onjuist hebben geconfigureerd. Dit kan worden gedaan met behulp van het PowerShell-script dat beschikbaar is via de scriptReference-functie. Het script doorloopt alle NSGs in het abonnement of de opgegeven resourcegroepen en identificeert welke NSGs flow logs missen of onjuist hebben geconfigureerd. Deze inventarisatie is essentieel voor het plannen van de remediatie-activiteiten en het waarborgen dat geen NSG wordt overgeslagen.

Voordat flow logs kunnen worden ingeschakeld, moeten de benodigde infrastructuurcomponenten aanwezig zijn. Dit omvat het verifiëren dat er een geschikt opslagaccount beschikbaar is in dezelfde regio als de NSG, dat Azure Network Watcher is ingeschakeld in de regio, en dat er indien nodig een Log Analytics Workspace is geconfigureerd. Als deze componenten ontbreken, moeten ze eerst worden gecreëerd voordat flow logs kunnen worden ingeschakeld. Het opslagaccount moet worden geconfigureerd met de juiste beveiligingsinstellingen, waaronder versleuteling in rust en netwerktoegangsbeperkingen.

Het daadwerkelijk inschakelen van flow logs kan worden gedaan via verschillende methoden. De meest efficiënte aanpak is het gebruik van het geautomatiseerde PowerShell-script dat beschikbaar is via de scriptReference-functie. Dit script kan worden uitgevoerd om flow logs in te schakelen voor alle geïdentificeerde NSGs in één keer, wat tijd bespaart en consistentie waarborgt. Het script configureert flow logs met de juiste instellingen, inclusief het opslagaccount, de retentieperiode, en indien gewenst de integratie met Log Analytics.

Voor organisaties die Azure Policy gebruiken voor governance, kunnen flow logs ook worden geïmplementeerd via een beleidsinitiatief dat automatisch flow logs inschakelt voor alle nieuwe en bestaande NSGs. Deze aanpak zorgt ervoor dat flow logs automatisch worden ingeschakeld wanneer nieuwe NSGs worden gecreëerd, wat helpt bij het voorkomen van compliance-problemen in de toekomst. Beleidsinitiatieven kunnen worden geconfigureerd om automatische remediatie uit te voeren, wat betekent dat flow logs automatisch worden ingeschakeld wanneer een NSG wordt gedetecteerd zonder flow logs.

Na het inschakelen van flow logs is het belangrijk om te verifiëren dat de configuratie correct is en dat flow logs daadwerkelijk worden gegenereerd. Dit kan worden gedaan door het opslagaccount te controleren op nieuwe logbestanden, die typisch elk uur worden gegenereerd wanneer er netwerkverkeer plaatsvindt. Als er geen logbestanden worden gegenereerd, kan dit wijzen op een probleem met de configuratie, een gebrek aan netwerkverkeer, of een onderliggend technisch probleem. In dergelijke gevallen moeten aanvullende diagnostische stappen worden ondernomen om het probleem te identificeren en op te lossen.

Het remediatieproces moet worden gedocumenteerd voor audit-doeleinden. Dit omvat het vastleggen van welke NSGs zijn gerepareerd, wanneer de remediatie is uitgevoerd, en wie verantwoordelijk was voor de activiteiten. Deze documentatie is essentieel voor het kunnen aantonen van proactieve compliance-management en kan worden gebruikt tijdens audits en inspecties. Daarnaast moeten organisaties overwegen om monitoring en alerting in te stellen om te waarschuwen wanneer flow logs worden uitgeschakeld of wanneer er configuratiewijzigingen worden gedetecteerd, wat helpt bij het voorkomen van toekomstige compliance-problemen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS NSG Flow Logs Enabled .DESCRIPTION CIS Azure Foundations Benchmark - Control 6.18 Controleert of NSG flow logging is ingeschakeld. .NOTES Filename: nsg-flow-logs-enabled.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 6.18 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Network [CmdletBinding()] param([Parameter()][switch]$Monitoring) $ErrorActionPreference = 'Stop' $PolicyName = "NSG Flow Logs Enabled" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } function Test-Compliance { $nsgs = Get-AzNetworkSecurityGroup -ErrorAction SilentlyContinue $networkWatchers = Get-AzNetworkWatcher -ErrorAction SilentlyContinue $flowLogCount = 0 foreach ($watcher in $networkWatchers) { $flowLogs = Get-AzNetworkWatcherFlowLog -NetworkWatcher $watcher -ErrorAction SilentlyContinue $flowLogCount += $flowLogs.Count } $result = @{ TotalNSGs = $nsgs.Count; TotalFlowLogs = $flowLogCount } return $result } try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Total NSGs: $($r.TotalNSGs)" -ForegroundColor White Write-Host "Flow Logs Enabled: $($r.TotalFlowLogs)" -ForegroundColor $(if ($r.TotalFlowLogs -gt 0) { 'Green' } else { 'Yellow' }) if ($r.TotalFlowLogs -eq 0 -and $r.TotalNSGs -gt 0) { Write-Host "`n⚠️ Geen NSG flow logs ingeschakeld" -ForegroundColor Yellow } } else { $r = Test-Compliance Write-Host "`nNSG Flow Logs: $($r.TotalFlowLogs)/$($r.TotalNSGs) NSGs" } } catch { Write-Error $_; exit 1 } # ================================================================================ # Standaard Invoke-* Functions (Auto-generated) # ================================================================================ function Invoke-Implementation { <# .SYNOPSIS Implementeert de configuratie #> [CmdletBinding()] param() Invoke-Remediation } function Invoke-Monitoring { <# .SYNOPSIS Controleert de huidige configuratie status #> [CmdletBinding()] param() $Monitoring = $true try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Total NSGs: $($r.TotalNSGs)" -ForegroundColor White Write-Host "Flow Logs Enabled: $($r.TotalFlowLogs)" -ForegroundColor $(if ($r.TotalFlowLogs -gt 0) { 'Green' } else { 'Yellow' }) if ($r.TotalFlowLogs -eq 0 -and $r.TotalNSGs -gt 0) { Write-Host "`n⚠️ Geen NSG flow logs ingeschakeld" -ForegroundColor Yellow } } else { $r = Test-Compliance Write-Host "`nNSG Flow Logs: $($r.TotalFlowLogs)/$($r.TotalNSGs) NSGs" } } catch { Write-Error $_; exit 1 } } function Invoke-Remediation { <# .SYNOPSIS Herstelt de configuratie naar de gewenste staat .DESCRIPTION Dit is een monitoring-only control, remediation delegeert naar monitoring #> [CmdletBinding()] param() Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan Invoke-Monitoring }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder netwerkzichtbaarheid zijn organisaties blind voor laterale bewegingen van aanvallers. Compliance-vereisten: CIS 6.4, BIO 12.04. Het risico is HOOG.

Management Samenvatting

NSG Flow Logs bieden essentiële netwerkzichtbaarheid en zijn verplicht voor CIS 6.4 compliance. Alle Network Security Groups moeten flow logs hebben ingeschakeld voor adequate monitoring en forensische analyse.