💼 Management Samenvatting
Deze beveiligingsmaatregel waarborgt de correcte configuratie van publieke IP-adressen en beschermt tegen beveiligingsrisico's door het periodiek evalueren en opruimen van ongebruikte netwerkresources.
Aanbeveling
Implementeer kwartaalgewijze IP-evaluaties
Risico zonder
Medium
Risk Score
6/10
Implementatie
3u (tech: 1u)
Van toepassing op:
✓ Azure
Deze instelling is essentieel voor het handhaven van een veilige omgeving en voorkomt bekende aanvalsvectoren door het afdwingen van beveiligingsbest practices. Ongebruikte publieke IP-adressen vormen een onnodig aanvalsoppervlak en kunnen door aanvallers worden misbruikt voor ongeautoriseerde toegang of als springplank voor verdere aanvallen binnen de infrastructuur.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.Network
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.Network
Implementatie
Kwartaalgewijze evaluatie van alle publieke IP-adressen waarbij onnodige adressen worden geïdentificeerd en verwijderd om het aanvalsoppervlak te minimaliseren en de netwerkbeveiliging te verbeteren.
Vereisten
Voor het uitvoeren van een periodieke evaluatie van publieke IP-adressen is het essentieel om te beschikken over een volledige en actuele inventarisatie van alle publieke IP-adressen binnen de Azure-omgeving. Deze inventarisatie vormt de basis voor een effectieve evaluatie en moet alle relevante informatie bevatten, waaronder de resourcegroep, het bijbehorende netwerkinterface, de status van het IP-adres, en de datum waarop het adres voor het laatst is gebruikt of gecontroleerd. Zonder een nauwkeurige inventarisatie is het onmogelijk om te bepalen welke IP-adressen daadwerkelijk in gebruik zijn en welke kunnen worden verwijderd zonder negatieve gevolgen voor de bedrijfsvoering. Een grondige inventarisatie stelt organisaties in staat om een duidelijk overzicht te krijgen van hun netwerkinfrastructuur en helpt bij het identificeren van potentiële beveiligingsrisico's die voortkomen uit ongebruikte of vergeten resources.
De inventarisatie moet worden uitgevoerd met behulp van geautomatiseerde tools die toegang hebben tot de Azure Resource Manager API. Dit vereist de juiste machtigingen binnen Azure, specifiek de rol van Network Reader of een vergelijkbare rol die leestoegang biedt tot netwerkresources. De Network Reader rol biedt leestoegang tot alle netwerkresources binnen een abonnement, wat essentieel is voor het verzamelen van een complete inventarisatie. Voor organisaties die werken met meerdere abonnementen of management groups is het belangrijk om ervoor te zorgen dat de inventarisatie-tools toegang hebben tot alle relevante abonnementen, wat kan worden bereikt door de rol toe te wijzen op management group niveau of door een service principal te gebruiken met de benodigde rechten. Het gebruik van service principals met specifieke rollen biedt een veiligere aanpak dan het gebruik van persoonlijke accounts, omdat dit beter past binnen een zero-trust beveiligingsmodel en betere controle biedt over wie toegang heeft tot welke resources.
Daarnaast is het belangrijk dat de inventarisatie regelmatig wordt bijgewerkt, idealiter automatisch via geplande scripts of Azure Automation runbooks. De frequentie van de inventarisatie moet worden afgestemd op de dynamiek van de omgeving; organisaties met veel wijzigingen in hun netwerkinfrastructuur moeten vaker inventariseren dan organisaties met stabiele omgevingen. Als algemene richtlijn wordt aanbevolen om minimaal maandelijks een volledige inventarisatie uit te voeren, met dagelijkse controles op wijzigingen in de status van bekende IP-adressen. Voor organisaties met een zeer dynamische omgeving, zoals ontwikkel- of testomgevingen, kan het zelfs nodig zijn om wekelijks of zelfs dagelijks een volledige inventarisatie uit te voeren om bij te blijven met de snelle veranderingen in de infrastructuur.
Naast de technische inventarisatie is ook organisatorische voorbereiding nodig. Dit omvat het definiëren van criteria voor wat als 'onnodig' of 'ongebruikt' wordt beschouwd, het opstellen van procedures voor het verwijderen van IP-adressen, en het vaststellen van een goedkeuringsproces voor het opruimen van resources. Deze criteria moeten duidelijk en meetbaar zijn, bijvoorbeeld door te bepalen dat een IP-adres als ongebruikt wordt beschouwd als het langer dan negentig dagen niet is gekoppeld aan een actieve netwerkinterface of taakverdeler, en als er geen netwerkactiviteit is geweest in diezelfde periode. Het is belangrijk dat deze criteria worden gedocumenteerd en worden gedeeld met alle betrokken partijen. De criteria moeten ook worden afgestemd op de specifieke behoeften van de organisatie, waarbij rekening wordt gehouden met factoren zoals seizoensgebonden variaties in gebruik, geplande onderhoudsperioden, en de kritikaliteit van verschillende omgevingen.
Het is essentieel dat alle betrokken partijen, waaronder netwerkbeheerders, beveiligingsmedewerkers en applicatie-eigenaren, betrokken zijn bij dit proces om te voorkomen dat kritieke resources per ongeluk worden verwijderd. Dit vereist een gestructureerde aanpak waarbij verantwoordelijkheden duidelijk zijn gedefinieerd en waarin communicatie tussen verschillende teams centraal staat. Voor grotere organisaties kan het nuttig zijn om een cross-functioneel team samen te stellen dat zich specifiek richt op het beheer van het aanvalsoppervlak, waarbij het beheer van publieke IP-adressen een belangrijk onderdeel vormt. Dit team moet regelmatig bijeenkomen om de resultaten van evaluaties te bespreken, beslissingen te nemen over het verwijderen van resources, en te zorgen voor continue verbetering van het proces. Door een gestructureerde samenwerking tussen verschillende teams te faciliteren, kunnen organisaties ervoor zorgen dat het evaluatieproces zowel effectief als veilig is.
Voor Nederlandse overheidsorganisaties is het bovendien belangrijk om te voldoen aan compliance-eisen zoals de BIO-normen en ISO 27001. Dit betekent dat het evaluatieproces moet worden gedocumenteerd en dat audit trails moeten worden bijgehouden voor alle acties die worden ondernomen met betrekking tot publieke IP-adressen. De inventarisatie en evaluatie moeten daarom worden uitgevoerd met tools die deze auditlogboeken kunnen genereren en bewaren voor de vereiste bewaartermijn. Deze auditlogboeken moeten informatie bevatten over wie het IP-adres heeft geëvalueerd, wanneer de evaluatie heeft plaatsgevonden, welke beslissing is genomen en waarom, en wie de beslissing heeft goedgekeurd. Daarnaast moeten deze logboeken worden beschermd tegen wijziging of verwijdering, zodat ze betrouwbaar kunnen worden gebruikt tijdens audits en compliance-controles. Het gebruik van onveranderlijke opslag of write-once-read-many technologieën kan hierbij helpen om de integriteit van de auditlogboeken te waarborgen.
Monitoring
Gebruik PowerShell-script public-ip-periodic-evaluation.ps1 (functie Invoke-Monitoring) – Controleren.
Het monitoren van publieke IP-adressen is een continu proces dat regelmatige aandacht vereist en een fundamenteel onderdeel vormt van effectief netwerkbeveiligingsbeheer. Het monitoringproces begint met het verzamelen van een volledige lijst van alle publieke IP-adressen binnen de Azure-omgeving, wat een essentiële eerste stap is voor elke evaluatie. Dit omvat zowel statische als dynamische IP-adressen, en zowel standaard als basis SKU's. Statische IP-adressen blijven behouden wanneer resources worden vrijgegeven, terwijl dynamische IP-adressen worden vrijgegeven wanneer de resource wordt gestopt of verwijderd. Standaard SKU's bieden betere beveiligingskenmerken zoals DDoS-bescherming, terwijl basis SKU's eenvoudiger zijn maar minder beveiligingsfuncties bieden. Het is belangrijk om te begrijpen dat het gebruik van standaard SKU's wordt aanbevolen voor productieomgevingen vanwege de ingebouwde beveiligingsfuncties, terwijl basis SKU's alleen geschikt zijn voor ontwikkel- of testomgevingen waar beveiliging minder kritisch is.
Het script dat beschikbaar is voor deze taak voert een uitgebreide scan uit van alle abonnementen en resourcegroepen om een complete inventarisatie te maken. Het script verzamelt niet alleen de basisinformatie zoals het IP-adres en de resourcegroep, maar ook aanvullende metadata zoals de koppeling aan netwerkinterfaces, virtuele machines, of taakverdelers. Deze metadata is essentieel voor het bepalen of een IP-adres daadwerkelijk in gebruik is of kan worden vrijgegeven zonder negatieve gevolgen. Het script moet daarom worden uitgevoerd met de juiste machtigingen om toegang te hebben tot alle relevante resources binnen de Azure-omgeving. Het script genereert een gedetailleerd rapport dat kan worden gebruikt voor verdere analyse en besluitvorming, waarbij elke IP-adres wordt geclassificeerd op basis van verschillende criteria zoals gebruik, documentatie, en kritikaliteit. Dit rapport vormt de basis voor het evaluatieproces en helpt bij het identificeren van IP-adressen die mogelijk kunnen worden verwijderd.
Na het verzamelen van de lijst moet elke publieke IP worden geëvalueerd op basis van verschillende criteria. Ten eerste moet worden vastgesteld of het IP-adres daadwerkelijk in gebruik is door te controleren of het is gekoppeld aan een actieve netwerkinterface of taakverdeler. Een IP-adres dat niet is gekoppeld aan een actieve resource is een duidelijke kandidaat voor verwijdering, maar het is belangrijk om te controleren of er plannen zijn om de resource opnieuw te starten of te activeren. Ten tweede moet worden nagegaan of er recente netwerkactiviteit is geweest op het IP-adres, wat kan worden gedaan door Azure Network Watcher logs te analyseren of door netwerkflow logs te bekijken. Deze logs bieden inzicht in het werkelijke gebruik van het IP-adres en kunnen helpen bij het identificeren van IP-adressen die wel gekoppeld zijn maar geen verkeer ontvangen. Het analyseren van netwerkflow logs kan ook helpen bij het identificeren van ongebruikte IP-adressen die nog wel gekoppeld zijn aan resources, maar waar geen verkeer naartoe of vandaan gaat gedurende een langere periode.
Daarnaast is het belangrijk om te controleren of het IP-adres is gedocumenteerd en of er een duidelijke eigenaar of verantwoordelijke is aangewezen. Documentatie moet informatie bevatten over het doel van het IP-adres, de eigenaar of verantwoordelijke, en eventuele specifieke configuraties of afhankelijkheden. IP-adressen zonder documentatie of zonder duidelijke eigenaar zijn vaak kandidaten voor verwijdering, tenzij ze deel uitmaken van een kritieke infrastructuurcomponent. Het is ook verstandig om te controleren of het IP-adres is opgenomen in firewallregels of andere beveiligingsconfiguraties, omdat het verwijderen van dergelijke adressen kan leiden tot onverwachte onderbrekingen of beveiligingslekken. Het controleren van firewallregels en beveiligingsconfiguraties is een kritieke stap die niet mag worden overgeslagen, omdat het verwijderen van een IP-adres dat wordt gebruikt in firewallregels kan leiden tot onverwachte blokkades of toegangsproblemen voor legitieme gebruikers of systemen.
Het evaluatieproces moet worden uitgevoerd met een gestructureerde aanpak waarbij elke IP wordt gescoord op basis van criteria zoals gebruik, documentatie, en kritikaliteit. IP-adressen die laag scoren op alle criteria kunnen worden gemarkeerd voor verwijdering, terwijl adressen met een hoge score behouden moeten blijven. Een veelgebruikte scoringsmethode is om elk criterium een gewicht toe te kennen en vervolgens een totaalscore te berekenen. Criteria met een hogere prioriteit, zoals kritikaliteit voor de bedrijfsvoering, krijgen dan een hoger gewicht dan criteria met een lagere prioriteit, zoals de aanwezigheid van documentatie. Het is belangrijk om dit proces te documenteren en de resultaten te rapporteren aan de relevante belanghebbenden voordat daadwerkelijk tot verwijdering wordt overgegaan. De scoringsmethode moet transparant zijn en gebaseerd zijn op objectieve criteria die kunnen worden geverifieerd en gereproduceerd. Dit helpt bij het waarborgen van consistentie in het evaluatieproces en maakt het mogelijk om het proces te verbeteren op basis van ervaringen en feedback.
Voor Nederlandse overheidsorganisaties is het bovendien belangrijk om het monitoringproces te koppelen aan compliance-vereisten. Dit betekent dat alle evaluaties moeten worden vastgelegd in auditlogboeken en dat er regelmatig rapportages moeten worden gemaakt voor interne en externe auditors. Het monitoringproces moet daarom worden uitgevoerd met tools die deze documentatie en rapportage ondersteunen, en de resultaten moeten worden opgeslagen voor de vereiste bewaartermijn van zeven jaar. Deze rapportages moeten niet alleen informatie bevatten over welke IP-adressen zijn geëvalueerd, maar ook over de criteria die zijn gebruikt, de scores die zijn toegekend, en de beslissingen die zijn genomen. De rapportages moeten ook worden gedeeld met relevante stakeholders, waaronder security officers, compliance officers, en netwerkbeheerders, om te zorgen voor transparantie en verantwoording. Door regelmatig rapportages te maken en te delen, kunnen organisaties aantonen dat ze proactief werken aan het beheer van hun netwerkinfrastructuur en het minimaliseren van hun aanvalsoppervlak.
Compliance en Audit
De periodieke evaluatie van publieke IP-adressen is direct gerelateerd aan verschillende compliance-vereisten die van toepassing zijn op Nederlandse overheidsorganisaties. De belangrijkste normen die hierbij relevant zijn, zijn de Baseline Informatiebeveiliging Overheid (BIO) en de ISO 27001:2022 standaard. Beide normen benadrukken het belang van proactief beheer van het aanvalsoppervlak en het regelmatig evalueren van netwerkresources. Deze normen zijn niet alleen belangrijk voor het voldoen aan wettelijke en regelgevende vereisten, maar ook voor het handhaven van een veilige en beveiligde IT-omgeving waarin vertrouwelijke overheidsgegevens worden beschermd.
BIO controle 13.01 richt zich specifiek op het beheer van het aanvalsoppervlak en vereist dat organisaties regelmatig evalueren welke resources daadwerkelijk nodig zijn en welke kunnen worden verwijderd of beveiligd. Publieke IP-adressen vormen een belangrijk onderdeel van het aanvalsoppervlak omdat ze direct toegankelijk zijn vanaf het internet en daardoor een potentieel doelwit vormen voor cybercriminelen. Onnodige publieke IP-adressen vergroten het aanvalsoppervlak zonder dat dit toegevoegde waarde biedt voor de organisatie, wat in strijd is met het principe van minimale benodigde toegang. Het periodiek evalueren en opruimen van onnodige publieke IP-adressen draagt daarom direct bij aan het voldoen aan deze controle en helpt organisaties om hun aanvalsoppervlak te minimaliseren.
ISO 27001:2022 controle A.8.20 behandelt netwerkbeveiliging en vereist dat organisaties passende maatregelen nemen om netwerkresources te beveiligen. Dit omvat niet alleen het implementeren van beveiligingsmaatregelen zoals firewalls en netwerksegmentatie, maar ook het regelmatig evalueren van de netwerkinfrastructuur om te zorgen dat alleen noodzakelijke resources beschikbaar zijn. Het periodiek evalueren van publieke IP-adressen is daarom een belangrijk onderdeel van het voldoen aan deze controle, omdat het helpt om ervoor te zorgen dat alleen noodzakelijke netwerkresources beschikbaar zijn en dat onnodige resources worden verwijderd of beveiligd.
Voor het voldoen aan deze compliance-vereisten is het belangrijk dat het evaluatieproces wordt gedocumenteerd en dat er audit trails worden bijgehouden. Dit betekent dat alle acties die worden ondernomen met betrekking tot publieke IP-adressen moeten worden vastgelegd, inclusief de reden voor verwijdering, de persoon die de actie heeft uitgevoerd, en de datum en tijd van de actie. Deze audit trails moeten niet alleen informatie bevatten over wat er is gebeurd, maar ook over waarom bepaalde beslissingen zijn genomen en wie deze beslissingen heeft goedgekeurd. Deze informatie moet worden bewaard voor de vereiste bewaartermijn, die voor Nederlandse overheidsorganisaties doorgaans zeven jaar bedraagt, en moet beschikbaar zijn voor interne en externe auditors.
Daarnaast is het belangrijk om regelmatig rapportages te maken over het evaluatieproces en de resultaten daarvan. Deze rapportages moeten worden gedeeld met relevante belanghebbenden, waaronder beveiligingsmedewerkers, compliance-medewerkers, en interne auditors. De rapportages moeten niet alleen informatie bevatten over het aantal geëvalueerde IP-adressen, het aantal verwijderde adressen, en de redenen voor verwijdering, maar ook over trends in het gebruik van publieke IP-adressen, eventuele risico's die zijn geïdentificeerd, en aanbevelingen voor verbeteringen. Dit helpt niet alleen bij het voldoen aan compliance-vereisten, maar ook bij het demonstreren van proactief beveiligingsbeheer aan externe auditors en toezichthouders, en bij het verkrijgen van management support voor verdere investeringen in netwerkbeveiliging.
Voor Nederlandse overheidsorganisaties is het bovendien belangrijk om te voldoen aan aanvullende compliance-eisen zoals de AVG, die eist dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen. Het beheer van het aanvalsoppervlak, inclusief het beheer van publieke IP-adressen, is een belangrijk onderdeel van deze maatregelen omdat het helpt om ongeautoriseerde toegang tot systemen en gegevens te voorkomen. Het is daarom essentieel dat het evaluatieproces van publieke IP-adressen wordt uitgevoerd met het oog op zowel compliance met beveiligingsnormen als compliance met privacywetgeving, en dat de resultaten van deze evaluatie worden gebruikt om de algehele beveiligings- en privacypositie van de organisatie te verbeteren.
Remediatie
Gebruik PowerShell-script public-ip-periodic-evaluation.ps1 (functie Invoke-Remediation) – Herstellen.
Het remediatieproces voor publieke IP-adressen begint met het identificeren van IP-adressen die als onnodig of ongebruikt zijn geclassificeerd tijdens het monitoringproces. Voordat daadwerkelijk tot verwijdering wordt overgegaan, is het belangrijk om een zorgvuldige verificatie uit te voeren om te voorkomen dat kritieke resources per ongeluk worden verwijderd. Dit betekent dat elk IP-adres dat is gemarkeerd voor verwijdering opnieuw moet worden gecontroleerd, waarbij wordt gekeken naar de laatste gebruikstijd, de gekoppelde resources, en eventuele afhankelijkheden. Deze verificatie moet worden uitgevoerd door meerdere personen om te voorkomen dat individuele fouten leiden tot het verwijderen van kritieke resources.
Het script dat beschikbaar is voor remediatie biedt functionaliteit om onnodige publieke IP-adressen automatisch te verwijderen, maar het is belangrijk om dit proces zorgvuldig te beheren. In productieomgevingen wordt aanbevolen om eerst een testomgeving te gebruiken om te verifiëren dat het script correct werkt en geen onbedoelde gevolgen heeft. Deze testomgeving moet zo veel mogelijk lijken op de productieomgeving om ervoor te zorgen dat de resultaten representatief zijn. Daarnaast is het verstandig om het script eerst in testmodus uit te voeren, waarbij alleen wordt gerapporteerd wat zou worden verwijderd zonder daadwerkelijk actie te ondernemen. Dit geeft de mogelijkheid om de geplande verwijderingen te controleren voordat ze worden uitgevoerd.
Voor het verwijderen van publieke IP-adressen is het belangrijk om te begrijpen wat de gevolgen kunnen zijn. Als een IP-adres is gekoppeld aan een actieve netwerkinterface, kan het verwijderen ervan leiden tot onderbrekingen in de netwerkconnectiviteit. Als een IP-adres is opgenomen in firewallregels of andere beveiligingsconfiguraties, kan het verwijderen ervan leiden tot onverwachte blokkades of toegangsproblemen. Het is daarom belangrijk om voor elk IP-adres dat wordt verwijderd te documenteren waarom het veilig kan worden verwijderd en wat de verwachte gevolgen zijn. Deze documentatie moet ook informatie bevatten over eventuele mitigatiemaatregelen die zijn genomen om de gevolgen van verwijdering te beperken.
Na het verwijderen van publieke IP-adressen is het belangrijk om te monitoren of er onverwachte problemen optreden. Dit betekent dat er een periode van verhoogde monitoring moet worden ingesteld na elke remediatie-ronde, waarbij wordt gekeken naar netwerkfouten, connectiviteitsproblemen, of andere indicatoren van problemen. Deze monitoringperiode moet minimaal zeven dagen duren om ervoor te zorgen dat eventuele vertraagde effecten van de verwijdering worden gedetecteerd. Als er problemen optreden, moet het mogelijk zijn om snel te reageren en indien nodig de verwijderde IP-adressen te herstellen of alternatieve oplossingen te implementeren. Dit vereist dat er een rollback-procedure beschikbaar is die kan worden uitgevoerd binnen een acceptabele tijd om de impact van eventuele problemen te minimaliseren.
Voor Nederlandse overheidsorganisaties is het bovendien belangrijk om het remediatieproces te koppelen aan change management procedures. Dit betekent dat het verwijderen van publieke IP-adressen moet worden behandeld als een wijziging in de infrastructuur en moet worden goedgekeurd door de relevante belanghebbenden voordat het wordt uitgevoerd. Deze goedkeuringsprocedure moet duidelijk gedefinieerd zijn en moet informatie bevatten over wie verantwoordelijk is voor goedkeuring, welke criteria worden gebruikt voor goedkeuring, en hoe lang het goedkeuringsproces mag duren. Daarnaast moeten alle remediatie-acties worden vastgelegd in change logs en audit trails, zodat ze kunnen worden geverifieerd tijdens interne en externe audits.
Het is ook belangrijk om te leren van het remediatieproces en de resultaten daarvan te gebruiken om het evaluatie- en monitoringproces te verbeteren. Dit betekent dat na elke remediatie-ronde een evaluatie moet worden uitgevoerd waarin wordt gekeken naar wat goed ging, wat beter had gekund, en welke lessen kunnen worden geleerd voor toekomstige evaluaties. Deze lessen moeten worden gedocumenteerd en worden gedeeld met alle betrokken partijen om ervoor te zorgen dat het proces continu wordt verbeterd. Dit helpt niet alleen om het remediatieproces efficiënter te maken, maar ook om ervoor te zorgen dat toekomstige evaluaties beter kunnen voorspellen welke IP-adressen veilig kunnen worden verwijderd.
Compliance & Frameworks
- BIO: 13.01 - Beheer van het aanvalsoppervlak
- ISO 27001:2022: A.8.20 - Netwerkbeveiliging
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Public IP Periodic Evaluation
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 6.22
Controleert publieke IPs voor periodieke evaluatie.
.NOTES
Filename: public-ip-periodic-evaluation.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 6.22
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Network
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Public IP Periodic Evaluation"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$publicIPs = Get-AzPublicIpAddress -ErrorAction SilentlyContinue
$result = @{ TotalPublicIPs = $publicIPs.Count; Allocated = 0; Unallocated = 0 }
foreach ($pip in $publicIPs) {
if ($pip.IpConfiguration) {
$result.Allocated++
}
else {
$result.Unallocated++
}
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Public IPs: $($r.TotalPublicIPs)" -ForegroundColor White
Write-Host "Allocated: $($r.Allocated)" -ForegroundColor Green
Write-Host "Unallocated: $($r.Unallocated)" -ForegroundColor $(if ($r.Unallocated -gt 0) { 'Yellow' } else { 'Green' })
if ($r.Unallocated -gt 0) {
Write-Host "`n⚠️ Verwijder ongebruikte publieke IPs" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nPublic IPs: $($r.TotalPublicIPs) ($($r.Unallocated) unused)"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Public IPs: $($r.TotalPublicIPs)" -ForegroundColor White
Write-Host "Allocated: $($r.Allocated)" -ForegroundColor Green
Write-Host "Unallocated: $($r.Unallocated)" -ForegroundColor $(if ($r.Unallocated -gt 0) { 'Yellow' } else { 'Green' })
if ($r.Unallocated -gt 0) {
Write-Host "`n⚠️ Verwijder ongebruikte publieke IPs" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nPublic IPs: $($r.TotalPublicIPs) ($($r.Unallocated) unused)"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Verweesde publieke IP-adressen blijven bestaan en vormen een onnodig aanvalsoppervlak. Vergeten resources en ongebruikte IP-adressen hopen zich op in de loop van de tijd, waardoor het aanvalsoppervlak groeit zonder dat dit wordt opgemerkt. Dit leidt tot compliance-problemen omdat organisaties niet kunnen aantonen dat ze proactief hun netwerkinfrastructuur beheren. Het risico is gemiddeld en heeft betrekking op aanvalsoppervlakbeheer, waarbij onnodige netwerkresources kunnen worden misbruikt door aanvallers voor ongeautoriseerde toegang of als springplank voor verdere aanvallen.
Management Samenvatting
Periodieke evaluatie van publieke IP-adressen: Voer kwartaalgewijze evaluaties uit van alle publieke IP-adressen waarbij wordt gecontroleerd of ze nog nodig zijn en verweesde adressen worden verwijderd. Dit vermindert het aanvalsoppervlak aanzienlijk. Activatie: Voer kwartaalgewijze audits uit en verwijder ongebruikte adressen. Geen extra kosten. Implementatie: 1-3 uur per kwartaal. Dit draagt bij aan hygiëne van het aanvalsoppervlak en helpt bij het voldoen aan compliance-vereisten zoals BIO en ISO 27001.
- Implementatietijd: 3 uur
- FTE required: 0.02 FTE