💼 Management Samenvatting
VNet Flow Log retentie van minimaal 90 dagen vormt een kritieke beveiligingsmaatregel voor netwerkforensisch onderzoek en compliance-verificatie binnen Azure-omgevingen. Deze configuratie waarborgt dat organisaties voldoende historische netwerkverkeersdata beschikbaar hebben voor incidentrespons, beveiligingsaudits en naleving van Nederlandse overheidsstandaarden zoals de Baseline Informatiebeveiliging Overheid (BIO).
Aanbeveling
IMPLEMENTEER - ZIE vnet-flow-logs-log-analytics.json
Risico zonder
Medium
Risk Score
5/10
Implementatie
1u (tech: 0.5u)
Van toepassing op:
✓ Azure
Netwerkflow logs bevatten essentiële informatie over alle verkeer dat door virtuele netwerken en netwerkbeveiligingsgroepen (NSG's) stroomt. Zonder adequate retentieperiode verliezen organisaties de mogelijkheid om beveiligingsincidenten te onderzoeken, compliance-audits uit te voeren en forensische analyses te verrichten. Een retentieperiode van 90 dagen is het absolute minimum voor effectieve beveiligingsoperaties, waarbij langere perioden (180-365 dagen) aanbevolen worden voor organisaties met strenge compliance-eisen. Deze instelling voorkomt dat kritieke netwerkdata verloren gaat en stelt beveiligingsteams in staat om patronen te identificeren, anomalieën te detecteren en incidenten te reconstrueren.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.Network
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.Network
Implementatie
Deze beveiligingsmaatregel configureert de retentieperiode voor Azure Virtual Network Flow Logs op minimaal 90 dagen. Flow logs registreren alle verkeer dat door NSG's wordt doorgelaten of geblokkeerd, inclusief bron- en doel-IP-adressen, poorten, protocollen en verkeersrichting. Door deze logs minimaal 90 dagen te bewaren, kunnen organisaties voldoen aan compliance-vereisten van frameworks zoals BIO norm 12.04 (logretentie) en ISO 27001:2022 controle A.8.15 (logging). De implementatie gebeurt via Azure Policy of directe configuratie van Network Watcher Flow Logs, waarbij de data wordt opgeslagen in Azure Storage Accounts of Log Analytics workspaces voor geavanceerde analyse.
Vereisten
Voor het implementeren van VNet Flow Log retentie van 90 dagen zijn verschillende technische en organisatorische vereisten van toepassing. Ten eerste moet Network Watcher zijn ingeschakeld in de Azure-regio's waar virtuele netwerken worden gebruikt. Network Watcher is een regionale service die netwerkmonitoring en diagnostische mogelijkheden biedt, inclusief de mogelijkheid om flow logs te genereren en op te slaan. Zonder actieve Network Watcher kunnen flow logs niet worden geconfigureerd of bewaard.
Ten tweede vereist deze configuratie een Azure Storage Account of Log Analytics workspace voor de opslag van flow log data. Storage Accounts bieden kosteneffectieve opslag voor grote volumes netwerkdata, terwijl Log Analytics workspaces geavanceerde query- en analyse-mogelijkheden bieden via KQL (Kusto Query Language). De keuze tussen beide opties hangt af van de organisatorische behoeften: Storage Accounts zijn geschikt voor archivering en compliance, terwijl Log Analytics beter is voor actieve monitoring en incidentrespons. Organisaties moeten de kosten-batenanalyse uitvoeren en rekening houden met de verwachte data-volumes, de frequentie van query's en de behoefte aan real-time analyse versus langetermijnarchivering.
Daarnaast moeten netwerkbeveiligingsgroepen (NSG's) zijn geconfigureerd op de relevante netwerkinterfaces, subnetten of virtuele machines. Flow logs worden gegenereerd op basis van NSG-regels, waardoor elke NSG die verkeer filtert of routeert, flow log data produceert. Organisaties moeten ervoor zorgen dat alle kritieke NSG's zijn geconfigureerd voor flow logging, inclusief NSG's op applicatie-subnetten, database-subnetten en perimeter-netwerken.
Vanuit een bevoegdhedenperspectief vereist de configuratie van flow logs de rol van Network Contributor of een aangepaste rol met specifieke machtigingen voor Network Watcher en Storage Accounts. Voor Log Analytics-integratie zijn aanvullende machtigingen vereist voor Log Analytics workspaces. Organisaties moeten het principe van least privilege toepassen en alleen de benodigde machtigingen verlenen aan beheerders die verantwoordelijk zijn voor netwerkbeveiliging.
Tot slot moeten organisaties rekening houden met de kosten van data-opslag. Flow logs kunnen aanzienlijke hoeveelheden data genereren, vooral in omgevingen met veel netwerkverkeer. Een retentieperiode van 90 dagen kan resulteren in terabytes aan opgeslagen data, afhankelijk van de omvang van de Azure-omgeving. Organisaties moeten storage-tiering overwegen (hot, cool, archive) om kosten te optimaliseren terwijl compliance-vereisten worden nageleefd. Het is belangrijk om vooraf een schatting te maken van de verwachte data-volumes op basis van het aantal NSG's, de hoeveelheid netwerkverkeer en de gekozen retentieperiode, zodat budgetten correct kunnen worden gealloceerd en kostenverrassingen worden voorkomen.
Bovendien moeten organisaties rekening houden met de netwerk- en prestatie-impact van flow logging. Hoewel flow logs asynchroon worden gegenereerd en geen directe impact hebben op netwerkprestaties, kunnen grote volumes flow log data wel invloed hebben op de opslag- en verwerkingscapaciteit. Organisaties moeten daarom monitoring implementeren voor zowel de flow log generatie als de opslagcapaciteit, en alerting configureren voor situaties waarin opslagcapaciteit dreigt te worden overschreden of wanneer flow logging onverwacht stopt.
Monitoring
Gebruik PowerShell-script vnet-flow-log-retention-90-days.ps1 (functie Invoke-Monitoring) – Controleren.
Het monitoren van VNet Flow Log retentie-instellingen is essentieel om te waarborgen dat organisaties voldoen aan compliance-vereisten en beschikken over voldoende historische data voor forensisch onderzoek. De monitoring moet regelmatig worden uitgevoerd, bij voorkeur wekelijks of maandelijks, afhankelijk van de organisatorische risicoprofiel en compliance-eisen. Het PowerShell-script controleert automatisch of alle geconfigureerde flow logs een retentieperiode van minimaal 90 dagen hebben ingesteld.
De monitoring controleert verschillende aspecten van de flow log configuratie. Ten eerste wordt gecontroleerd of Network Watcher actief is in alle relevante Azure-regio's. Vervolgens wordt per NSG gecontroleerd of flow logging is ingeschakeld en of de retentieperiode correct is geconfigureerd. Het script identificeert ook NSG's waar flow logging ontbreekt of onjuist is geconfigureerd, wat kan wijzen op beveiligingsgaten of configuratiefouten.
Naast de technische configuratiecontrole moet de monitoring ook de daadwerkelijke data-opslag verifiëren. Dit betekent dat organisaties moeten controleren of flow log data daadwerkelijk wordt opgeslagen in de geconfigureerde Storage Accounts of Log Analytics workspaces, en of de data de volledige retentieperiode behoudt. Storage-account lifecycle management policies moeten worden geverifieerd om te voorkomen dat data voortijdig wordt verwijderd.
Voor organisaties met strenge compliance-eisen, zoals Nederlandse overheidsorganisaties die moeten voldoen aan BIO-normen, is het aanbevolen om geautomatiseerde monitoring en alerting te implementeren. Dit kan worden bereikt via Azure Policy voor continue compliance-verificatie, Azure Monitor alerts voor configuratiewijzigingen, en regelmatige audit-rapportages voor compliance-officers. De monitoringresultaten moeten worden gedocumenteerd en beschikbaar zijn voor interne en externe audits.
Bij het identificeren van niet-conforme configuraties moet het monitoringproces ook de impact analyseren. NSG's zonder flow logging of met onvoldoende retentie vormen een beveiligingsrisico, vooral als ze kritieke workloads beschermen of zich in perimeter-netwerken bevinden. De monitoring moet prioritering bieden voor remediatie, waarbij kritieke NSG's voorrang krijgen boven minder kritieke configuraties. Deze prioritering moet gebaseerd zijn op factoren zoals de kritikaliteit van de beschermde workloads, de gevoeligheid van de data die door het netwerk stroomt, en de blootstelling aan externe netwerken of het internet.
Voor effectieve monitoring moeten organisaties ook regelmatig de kwaliteit en volledigheid van de flow log data verifiëren. Dit omvat het controleren of flow logs daadwerkelijk worden gegenereerd voor alle verwachte NSG's, of de data-inhoud compleet en accuraat is, en of er geen onderbrekingen zijn geweest in de loggeneratie. Organisaties moeten ook alerting configureren voor situaties waarin flow logging onverwacht stopt of wanneer er afwijkingen worden gedetecteerd in de verwachte data-volumes, wat kan wijzen op configuratiefouten of beveiligingsincidenten.
Compliance en Auditing
VNet Flow Log retentie van 90 dagen draagt direct bij aan naleving van verschillende cybersecurity- en compliance-frameworks die relevant zijn voor Nederlandse overheidsorganisaties en bedrijven. De Baseline Informatiebeveiliging Overheid (BIO) norm 12.04 vereist dat organisaties loggegevens bewaren voor een periode die voldoende is voor forensisch onderzoek, incident response en compliance-verificatie. Hoewel de BIO geen specifieke retentieperiode voorschrijft, wordt 90 dagen algemeen beschouwd als het absolute minimum, waarbij langere perioden (180-365 dagen) worden aanbevolen voor organisaties met kritieke workloads of strenge compliance-eisen.
ISO 27001:2022 controle A.8.15 (Logging) vereist dat organisaties logging-mechanismen implementeren die voldoende informatie vastleggen voor beveiligingsmonitoring, incidentdetectie en forensisch onderzoek. Flow logs vormen een essentieel onderdeel van deze logging-infrastructuur, omdat ze netwerkverkeer documenteren dat niet door traditionele applicatie-logs wordt vastgelegd. De retentieperiode van 90 dagen waarborgt dat organisaties beschikken over voldoende historische data om beveiligingsincidenten te onderzoeken en compliance-audits te ondersteunen. Deze historische data is onmisbaar voor het identificeren van aanvalspatronen, het reconstrueren van incidenten en het aantonen van naleving tijdens externe audits door certificeringsinstanties.
Voor Nederlandse organisaties die onder de Algemene Verordening Gegevensbescherming (AVG) vallen, kunnen flow logs persoonsgegevens bevatten wanneer IP-adressen kunnen worden gekoppeld aan individuele gebruikers. Organisaties moeten daarom rekening houden met AVG-vereisten voor gegevensminimalisatie, doelbinding en bewaartermijnen. Flow logs moeten worden beveiligd tegen ongeautoriseerde toegang en moeten worden verwijderd wanneer de retentieperiode verloopt, tenzij er een gerechtvaardigd belang bestaat voor langere bewaartermijnen.
Naast deze primaire compliance-frameworks draagt flow log retentie ook bij aan naleving van sector-specifieke normen. Voor financiële instellingen kunnen aanvullende eisen gelden vanuit de DNB (De Nederlandsche Bank) of de AFM (Autoriteit Financiële Markten). Zorginstellingen moeten mogelijk voldoen aan NEN 7510 normen voor informatiebeveiliging in de zorg. In alle gevallen vormt adequate logretentie een fundamentele vereiste voor beveiligingsgovernance en risicomanagement. Organisaties moeten kunnen aantonen dat zij beschikken over voldoende historische netwerkdata om te voldoen aan zowel algemene als sector-specifieke compliance-vereisten, wat essentieel is voor het behoud van certificeringen en het voorkomen van boetes of reputatieschade.
Voor audit-doeleinden moeten organisaties kunnen aantonen dat flow logs daadwerkelijk worden gegenereerd, opgeslagen en bewaard voor de volledige retentieperiode. Dit vereist documentatie van de configuratie, regelmatige verificatie van de opslag, en rapportages die aantonen dat compliance-vereisten worden nageleefd. Azure Policy kan worden gebruikt om continue compliance te waarborgen en automatische rapportages te genereren voor audit-teams en compliance-officers. Deze rapportages moeten gedetailleerde informatie bevatten over welke NSG's flow logging hebben geconfigureerd, de ingestelde retentieperioden, de opslaglocaties, en eventuele afwijkingen of niet-conforme configuraties.
Organisaties moeten ook rekening houden met internationale compliance-vereisten wanneer zij data opslaan in Azure-regio's buiten de Europese Unie. Voor Nederlandse organisaties die onder de AVG vallen, is het belangrijk om te verifiëren dat flow log data wordt opgeslagen in EU-regio's of dat er adequate contractuele waarborgen zijn getroffen voor data-opslag buiten de EU. Bovendien moeten organisaties kunnen aantonen dat zij beschikken over adequate beveiligingsmaatregelen voor de flow log data, inclusief encryptie in rust en in transit, toegangscontrole, en logging van toegang tot de flow log data zelf.
Remediatie
Gebruik PowerShell-script vnet-flow-log-retention-90-days.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer monitoring aangeeft dat VNet Flow Log retentie niet correct is geconfigureerd, moet onmiddellijk worden overgegaan tot remediatie om compliance-vereisten te herstellen en beveiligingsrisico's te mitigeren. Het PowerShell-remediatiescript configureert automatisch flow logs met een retentieperiode van minimaal 90 dagen voor alle geïdentificeerde NSG's die niet voldoen aan de vereisten. De remediatie kan worden uitgevoerd op individuele NSG's of op schaal voor hele Azure-abonnementen of resourcegroepen.
Het remediatieproces begint met het verifiëren van de beschikbaarheid van Network Watcher in de relevante Azure-regio's. Indien Network Watcher niet actief is, wordt deze automatisch ingeschakeld, wat enkele minuten kan duren. Vervolgens wordt voor elke NSG gecontroleerd of flow logging al is geconfigureerd. Voor NSG's zonder flow logging wordt een nieuwe configuratie aangemaakt met de juiste retentie-instellingen. Voor NSG's met bestaande flow logging wordt de retentieperiode bijgewerkt naar minimaal 90 dagen.
Een kritiek aspect van de remediatie is de selectie van het juiste opslagdoel. Het script moet kunnen werken met zowel Azure Storage Accounts als Log Analytics workspaces, afhankelijk van de organisatorische voorkeur. Voor Storage Accounts moet worden gecontroleerd of de juiste toegangsrechten zijn geconfigureerd en of lifecycle management policies zijn ingesteld om data te behouden voor de volledige retentieperiode. Voor Log Analytics moet worden geverifieerd dat de workspace voldoende capaciteit heeft voor de verwachte data-volumes.
Na de technische configuratie moet de remediatie ook organisatorische aspecten adresseren. Dit omvat het documenteren van de wijzigingen, het informeren van relevante stakeholders (zoals security teams, compliance-officers en netwerkbeheerders), en het bijwerken van configuratiebeheer-documentatie. Voor organisaties met change management processen moet de remediatie worden geregistreerd als een geplande wijziging, zelfs wanneer deze wordt uitgevoerd om compliance te herstellen.
Na voltooiing van de remediatie moet verificatie worden uitgevoerd om te bevestigen dat de configuratie correct is toegepast. Dit omvat het controleren van de flow log configuratie via Azure Portal of PowerShell, het verifiëren dat data daadwerkelijk wordt opgeslagen in het geconfigureerde opslagdoel, en het valideren dat de retentieperiode correct is ingesteld. Voor kritieke omgevingen wordt aanbevolen om een test-flow log te genereren en te verifiëren dat deze correct wordt opgeslagen en behouden blijft.
Om toekomstige configuratiedrift te voorkomen, moet na remediatie Azure Policy worden geïmplementeerd om continue compliance te waarborgen. Deze policies detecteren automatisch wanneer flow log configuraties worden gewijzigd of wanneer nieuwe NSG's worden aangemaakt zonder de juiste flow log configuratie. Gecombineerd met regelmatige monitoring voorkomt dit dat organisaties opnieuw niet-conform raken en waarborgt het continue naleving van compliance-vereisten. Azure Policy kan worden geconfigureerd om automatisch remediatie uit te voeren wanneer niet-conforme configuraties worden gedetecteerd, wat zorgt voor continue naleving zonder handmatige interventie.
Naast technische remediatie moeten organisaties ook organisatorische maatregelen treffen om te voorkomen dat configuratiedrift opnieuw optreedt. Dit omvat het opnemen van flow log configuratievereisten in change management processen, het trainen van netwerkbeheerders en cloud engineers in de juiste configuratieprocedures, en het implementeren van code review processen voor Infrastructure as Code (IaC) templates om te verifiëren dat nieuwe NSG's automatisch worden geconfigureerd met flow logging. Organisaties moeten ook regelmatige awareness-sessies organiseren om ervoor te zorgen dat alle betrokkenen begrijpen waarom flow log retentie belangrijk is en wat de gevolgen zijn van niet-conforme configuraties.
Compliance & Frameworks
- BIO: 12.04 - Logretentie
- ISO 27001:2022: A.8.15 - Logging
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
VNet Flow Log Retention 90 Days
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 6.27
Controleert VNet flow log retention van minimaal 90 dagen.
.NOTES
Filename: vnet-flow-log-retention-90-days.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 6.27
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Network
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "VNet Flow Log Retention 90 Days"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$networkWatchers = Get-AzNetworkWatcher -ErrorAction SilentlyContinue
$result = @{ TotalFlowLogs = 0; With90DaysRetention = 0 }
foreach ($watcher in $networkWatchers) {
$flowLogs = Get-AzNetworkWatcherFlowLog -NetworkWatcher $watcher -ErrorAction SilentlyContinue
foreach ($log in $flowLogs) {
$result.TotalFlowLogs++
if ($log.RetentionPolicy.Days -ge 90) {
$result.With90DaysRetention++
}
}
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Flow Logs: $($r.TotalFlowLogs)" -ForegroundColor White
Write-Host "With 90+ Days Retention: $($r.With90DaysRetention)" -ForegroundColor $(if ($r.With90DaysRetention -eq $r.TotalFlowLogs) { 'Green' } else { 'Yellow' })
if ($r.With90DaysRetention -lt $r.TotalFlowLogs) {
Write-Host "`n⚠️ Verhoog retention naar minimaal 90 dagen" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nVNet Flow Log Retention: $($r.With90DaysRetention)/$($r.TotalFlowLogs) ≥90 days"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Flow Logs: $($r.TotalFlowLogs)" -ForegroundColor White
Write-Host "With 90+ Days Retention: $($r.With90DaysRetention)" -ForegroundColor $(if ($r.With90DaysRetention -eq $r.TotalFlowLogs) { 'Green' } else { 'Yellow' })
if ($r.With90DaysRetention -lt $r.TotalFlowLogs) {
Write-Host "`n⚠️ Verhoog retention naar minimaal 90 dagen" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nVNet Flow Log Retention: $($r.With90DaysRetention)/$($r.TotalFlowLogs) ≥90 days"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Korte VNet Flow Log retentie is onvoldoende voor effectieve beveiligingsoperaties en compliance. Het risico is medium, met mogelijke gevolgen voor incidentrespons, forensisch onderzoek en naleving van BIO- en ISO 27001-vereisten.
Management Samenvatting
Alternatieve verificatie voor VNet Flow Log Retentie. Zie logging-monitoring/vnet-flow-logs-log-analytics.json voor implementatie met retentie van 90+ dagen via Log Analytics workspace.
- Implementatietijd: 1 uur
- FTE required: 0.01 FTE