L2 BIO 13.01 ISO A.8.20 CIS 6.2

VNet Service Endpoints Geconfigureerd

📅 2025-10-29
⏱️ 5 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

VNet service endpoints vormen een beveiligingsmechanisme dat directe, beveiligde connectiviteit tussen virtuele netwerken en Azure PaaS-services mogelijk maakt via het Azure-backbonenetwerk, zonder dat verkeer via het publieke internet hoeft te gaan.

Aanbeveling
GEBRUIK PRIVATE ENDPOINTS - NIET SERVICE ENDPOINTS
Risico zonder
Medium
Risk Score
5/10
Implementatie
2u (tech: 1u)
Van toepassing op:
Azure

Deze configuratie is essentieel voor het handhaven van een veilige netwerkarchitectuur en voorkomt bekende aanvalsvectoren door het afdwingen van netwerkisolatie en het beperken van blootstelling aan het publieke internet. Service endpoints zorgen ervoor dat alleen verkeer vanaf geautoriseerde virtuele netwerken toegang heeft tot Azure-services, waardoor het aanvalsoppervlak aanzienlijk wordt verkleind.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Network

Implementatie

Deze beveiligingsmaatregel configureert VNet service endpoints voor Azure-services zoals Storage Accounts, SQL Database, Cosmos DB en Key Vault via Azure Policy of handmatige configuratie. Dit beschermt systemen volgens actuele beveiligingsframeworks zoals CIS Benchmarks, BIO en ISO 27001 door netwerkverkeer te isoleren en te voorkomen dat gevoelige data via onbeveiligde routes wordt verzonden.

Vereisten

Voor de implementatie van VNet service endpoints zijn verschillende technische en organisatorische vereisten van toepassing. Deze vereisten vormen de basis voor een succesvolle en veilige implementatie van service endpoints binnen de Azure-omgeving van Nederlandse overheidsorganisaties. Technische vereisten omvatten allereerst de aanwezigheid van een virtueel netwerk (VNet) binnen de Azure-omgeving. Dit VNet moet correct zijn geconfigureerd met passende adresruimten en subnetten. De subnetten die service endpoints zullen gebruiken, moeten voldoende IP-adresruimte hebben om naast de bestaande resources ook de service endpoint-functionaliteit te ondersteunen. Het is belangrijk om te beseffen dat service endpoints geen extra IP-adressen verbruiken binnen het subnet, maar wel specifieke routeconfiguraties toevoegen aan de routetabel. Daarnaast moeten de Azure-services die via service endpoints worden beveiligd, ondersteuning bieden voor deze functionaliteit. Niet alle Azure-services ondersteunen service endpoints. De belangrijkste services die wel ondersteuning bieden, zijn onder meer Azure Storage, Azure SQL Database, Azure Cosmos DB, Azure Key Vault, Azure Service Bus, Azure Event Hubs en Azure Data Lake Storage Gen2. Voor elke service moet worden gecontroleerd of service endpoints daadwerkelijk beschikbaar zijn in de regio waar de service wordt gehost. Organisatorische vereisten betreffen vooral de planning en coördinatie van de implementatie. Het is essentieel dat netwerkbeheerders, security officers en applicatie-eigenaren samenwerken bij het ontwerpen van de service endpoint-configuratie. Dit omdat service endpoints invloed hebben op de netwerkconnectiviteit en mogelijk bestaande applicaties kunnen beïnvloeden die momenteel via het publieke internet toegang hebben tot Azure-services. Een kritieke vereiste is het hebben van de juiste Azure RBAC-machtigingen. Voor het configureren van service endpoints zijn minimaal de rollen 'Network Contributor' en 'Storage Account Contributor' (of gelijkwaardige machtigingen) vereist, afhankelijk van welke services worden geconfigureerd. Voor organisaties die werken met Azure Policy voor geautomatiseerde implementatie, zijn aanvullende machtigingen voor Policy Management vereist. Ten slotte is het belangrijk om te beschikken over een gedocumenteerd netwerkontwerp dat duidelijk maakt welke subnetten service endpoints nodig hebben en voor welke specifieke Azure-services deze moeten worden geconfigureerd. Dit ontwerp moet aansluiten bij de algemene netwerksegmentatiestrategie van de organisatie en moet rekening houden met toekomstige uitbreidingen en wijzigingen in de infrastructuur.

Monitoring

Gebruik PowerShell-script vnet-service-endpoints-configured.ps1 (functie Invoke-Monitoring) – Controleren.

Het monitoren van VNet service endpoints is een continu proces dat essentieel is voor het handhaven van netwerkbeveiliging en het waarborgen van compliance met beveiligingsstandaarden. Effectieve monitoring omvat zowel technische verificatie als regelmatige audits van de configuratie. De primaire monitoringactiviteit bestaat uit het controleren of service endpoints daadwerkelijk zijn geconfigureerd voor alle vereiste combinaties van subnetten en Azure-services. Dit kan worden uitgevoerd via het monitoring script dat beschikbaar is in de code repository. Het script verifieert de configuratie van service endpoints voor alle relevante Azure-services binnen de tenant en rapporteert eventuele ontbrekende configuraties. Naast de geautomatiseerde controles via scripts, is het belangrijk om regelmatig de Azure Portal te raadplegen voor visuele verificatie. In de Azure Portal kunnen netwerkbeheerders per subnet controleren welke service endpoints zijn geconfigureerd. Dit biedt een directe manier om de configuratie te valideren en te begrijpen welke services via service endpoints toegankelijk zijn. Azure Monitor en Azure Network Watcher bieden aanvullende mogelijkheden voor het monitoren van service endpoint-verkeer. Hoewel service endpoints zelf geen specifieke metrische gegevens genereren, kunnen netwerkflow logs en Network Watcher packet capture worden gebruikt om te verifiëren dat verkeer naar Azure-services daadwerkelijk via service endpoints wordt gerouteerd en niet via het publieke internet. Voor uitgebreide monitoring en compliance-doeleinden is het raadzaam om Azure Policy te gebruiken voor continue controle. Azure Policy kan automatisch detecteren wanneer service endpoints ontbreken of onjuist zijn geconfigureerd, en kan automatische remediatie initiëren of waarschuwingen genereren voor het security operations team. Het is belangrijk om te beseffen dat service endpoints deel uitmaken van een bredere netwerkbeveiligingsstrategie. Daarom moet monitoring van service endpoints worden geïntegreerd met de monitoring van andere netwerkbeveiligingscomponenten zoals Network Security Groups (NSG's), Azure Firewall en route tabellen. Alleen door deze componenten gezamenlijk te monitoren, kan een volledig beeld worden verkregen van de netwerkbeveiligingsstatus. Voor Nederlandse overheidsorganisaties is het bovendien belangrijk om monitoringresultaten te documenteren voor audit-doeleinden. Dit betekent dat alle verificaties, controles en eventuele bevindingen moeten worden vastgelegd in een audit trail die beschikbaar is voor interne en externe auditors. De monitoringprocessen moeten aansluiten bij de compliance-eisen zoals gesteld in de BIO-normen en ISO 27001-certificering. Ten slotte moet worden opgemerkt dat Microsoft service endpoints heeft gemarkeerd als legacy-technologie. De aanbeveling is om te migreren naar Private Endpoints, die superieure beveiliging bieden door het gebruik van echte private IP-adressen en ondersteuning voor Network Security Groups. Monitoring moet daarom ook de voortgang van migratie naar Private Endpoints omvatten. Voor gedetailleerde informatie over service endpoints en de migratie naar Private Endpoints, verwijzen we naar het gerelateerde artikel over VNet service endpoints in de networking-sectie.

Compliance en Auditing

VNet service endpoints spelen een cruciale rol in het voldoen aan verschillende beveiligingsstandaarden en compliance-frameworks die van toepassing zijn op Nederlandse overheidsorganisaties. Het correct configureren en onderhouden van service endpoints is essentieel voor het behalen en behouden van certificeringen en het voldoen aan wettelijke verplichtingen. De CIS Microsoft Azure Foundations Benchmark versie 2.0 bevat in controle 6.2 specifieke eisen met betrekking tot het gebruik van service endpoints. Deze controle vereist dat organisaties service endpoints configureren voor kritieke Azure-services om te voorkomen dat verkeer naar deze services via het publieke internet wordt gerouteerd. Het niet naleven van deze controle kan leiden tot een verhoogd risico op datalekken en onbevoegde toegang tot gevoelige informatie. Voor Nederlandse overheidsorganisaties die werken met persoonsgegevens en gevoelige overheidsinformatie, is het naleven van CIS Benchmarks niet alleen een best practice, maar vaak ook een vereiste voor het verkrijgen van security clearances en het deelnemen aan overheidsprojecten. De Baseline Informatiebeveiliging Overheid (BIO) bevat in norm 13.01 specifieke eisen voor veilige netwerkconnectiviteit. Deze norm stelt dat organisaties moeten zorgen voor beveiligde verbindingen tussen systemen en dat netwerkverkeer moet worden geïsoleerd waar mogelijk. Service endpoints dragen direct bij aan het voldoen aan deze norm door te zorgen voor directe, beveiligde connectiviteit tussen virtuele netwerken en Azure-services via het Azure-backbonenetwerk. Het gebruik van service endpoints voorkomt dat gevoelige data via het publieke internet wordt verzonden, wat een belangrijk aspect is van de BIO-normen voor gegevensbescherming. ISO 27001:2022 bevat in controle A.8.20 specifieke eisen voor netwerkbeveiliging. Deze controle vereist dat organisaties netwerkbeveiligingsmaatregelen implementeren om te beschermen tegen bedreigingen en om te zorgen voor de beschikbaarheid, integriteit en vertrouwelijkheid van netwerkdiensten. Service endpoints vormen een belangrijke technische controle die bijdraagt aan het voldoen aan deze eisen door netwerkisolatie te bieden en het aanvalsoppervlak te verkleinen. Voor organisaties die ISO 27001-certificering nastreven of behouden, is het correct configureren van service endpoints een auditbare vereiste. Naast deze specifieke standaarden, dragen service endpoints ook bij aan het voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Artikel 32 van de AVG vereist dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen. Het gebruik van service endpoints om te voorkomen dat persoonsgegevens via onbeveiligde netwerkverbindingen worden verzonden, kan worden beschouwd als een dergelijke passende maatregel. Dit is vooral relevant voor Nederlandse overheidsorganisaties die werken met persoonsgegevens van burgers. Voor audit-doeleinden is het belangrijk om te documenteren welke service endpoints zijn geconfigureerd, voor welke services en subnetten, en wanneer deze configuratie is uitgevoerd. Deze documentatie moet worden bijgehouden in een configuration management database (CMDB) of vergelijkbaar systeem, en moet beschikbaar zijn voor auditors. Regelmatige verificaties via geautomatiseerde scripts en handmatige controles moeten worden uitgevoerd en de resultaten moeten worden gedocumenteerd. Het is belangrijk om te beseffen dat service endpoints, hoewel ze bijdragen aan compliance, worden beschouwd als legacy-technologie. Microsoft beveelt aan om te migreren naar Private Endpoints, die superieure beveiliging bieden. Voor nieuwe implementaties moet daarom worden overwogen om direct Private Endpoints te gebruiken in plaats van service endpoints. Voor bestaande implementaties moet een migratieplan worden ontwikkeld dat voldoet aan de compliance-eisen en die migratie geleidelijk uitvoert zonder de beveiliging of beschikbaarheid te compromitteren.

Remediatie

Gebruik PowerShell-script vnet-service-endpoints-configured.ps1 (functie Invoke-Remediation) – Herstellen.

Wanneer monitoring of audits uitwijzen dat service endpoints ontbreken of onjuist zijn geconfigureerd, is het essentieel om snel en effectief remediatie uit te voeren. Het remediatieproces moet worden uitgevoerd volgens een gestructureerde aanpak die zowel de technische configuratie als de organisatorische aspecten omvat. De eerste stap in het remediatieproces is het identificeren van welke service endpoints ontbreken of onjuist zijn geconfigureerd. Dit kan worden gedaan via het geautomatiseerde remediatie script dat beschikbaar is in de code repository. Het script kan automatisch ontbrekende service endpoints configureren voor alle geïdentificeerde combinaties van subnetten en Azure-services. Het is echter belangrijk om vooraf te valideren welke configuraties daadwerkelijk nodig zijn, om te voorkomen dat onnodige of ongewenste configuraties worden toegepast. Voor handmatige remediatie via de Azure Portal, moet de netwerkbeheerder naar het betreffende subnet navigeren in het virtuele netwerk. In de subnetconfiguratie kan onder de sectie 'Service endpoints' worden geselecteerd voor welke Azure-services service endpoints moeten worden ingeschakeld. Het is belangrijk om te beseffen dat het inschakelen van service endpoints mogelijk invloed heeft op bestaande applicaties die momenteel via het publieke internet toegang hebben tot Azure-services. Daarom moet vooraf worden gecontroleerd welke applicaties mogelijk worden beïnvloed en moet worden gepland hoe deze applicaties kunnen blijven functioneren. Een kritiek aspect van remediatie is het configureren van de juiste firewallregels op de Azure-services zelf. Het inschakelen van service endpoints op subnetniveau is slechts de helft van de configuratie. De Azure-services (zoals Storage Accounts of SQL Databases) moeten ook worden geconfigureerd om alleen verkeer vanaf de geautoriseerde subnetten toe te staan. Dit wordt gedaan via de firewall-instellingen van de betreffende service, waar de specifieke subnetten moeten worden toegevoegd aan de lijst van toegestane netwerken. Voor organisaties die Azure Policy gebruiken voor governance, kan remediatie worden geautomatiseerd via Policy-assignments met remediation tasks. Dit zorgt ervoor dat wanneer een resource wordt gedetecteerd die niet voldoet aan de policy-eisen, automatisch remediatie wordt uitgevoerd zonder handmatige interventie. Dit is vooral waardevol voor grote omgevingen met honderden of duizenden resources. Na het uitvoeren van remediatie, is het essentieel om te verifiëren dat de configuratie correct is toegepast en dat bestaande applicaties nog steeds functioneren. Dit betekent dat netwerkconnectiviteit moet worden getest vanaf virtuele machines binnen de geconfigureerde subnetten naar de betreffende Azure-services. Eventuele problemen moeten worden opgelost voordat de remediatie als voltooid wordt beschouwd. Het is belangrijk om te documenteren welke remediatie-acties zijn uitgevoerd, wanneer deze zijn uitgevoerd, en door wie. Deze documentatie is essentieel voor audit-doeleinden en voor het begrijpen van de geschiedenis van configuratiewijzigingen. Bovendien moet worden overwogen om een change management proces te volgen voor belangrijke remediatie-acties, vooral in productieomgevingen. Ten slotte moet worden opgemerkt dat, gezien het feit dat service endpoints worden beschouwd als legacy-technologie, remediatie mogelijk ook het ontwikkelen van een migratieplan naar Private Endpoints moet omvatten. Voor nieuwe implementaties moet worden overwogen om direct Private Endpoints te gebruiken in plaats van service endpoints te configureren. Voor bestaande implementaties moet een migratieplan worden ontwikkeld dat geleidelijk service endpoints vervangt door Private Endpoints, waarbij de beveiliging en beschikbaarheid op elk moment worden gewaarborgd.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS VNet Service Endpoints Configured .DESCRIPTION CIS Azure Foundations Benchmark - Control 6.28 Controleert VNet service endpoints configuratie. .NOTES Filename: vnet-service-endpoints-configured.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 6.28 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Network [CmdletBinding()] param([Parameter()][switch]$Monitoring) $ErrorActionPreference = 'Stop' $PolicyName = "VNet Service Endpoints Configured" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } function Test-Compliance { $vnets = Get-AzVirtualNetwork -ErrorAction SilentlyContinue $result = @{ TotalSubnets = 0; WithServiceEndpoints = 0 } foreach ($vnet in $vnets) { foreach ($subnet in $vnet.Subnets) { $result.TotalSubnets++ if ($subnet.ServiceEndpoints.Count -gt 0) { $result.WithServiceEndpoints++ } } } return $result } try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Total Subnets: $($r.TotalSubnets)" -ForegroundColor White Write-Host "With Service Endpoints: $($r.WithServiceEndpoints)" -ForegroundColor $(if ($r.WithServiceEndpoints -gt 0) { 'Green' } else { 'Yellow' }) if ($r.WithServiceEndpoints -eq 0 -and $r.TotalSubnets -gt 0) { Write-Host "`nℹ️ Overweeg Service Endpoints voor PaaS connectivity" -ForegroundColor Yellow } } else { $r = Test-Compliance Write-Host "`nService Endpoints: $($r.WithServiceEndpoints)/$($r.TotalSubnets) subnets" } } catch { Write-Error $_; exit 1 } # ================================================================================ # Standaard Invoke-* Functions (Auto-generated) # ================================================================================ function Invoke-Implementation { <# .SYNOPSIS Implementeert de configuratie #> [CmdletBinding()] param() Invoke-Remediation } function Invoke-Monitoring { <# .SYNOPSIS Controleert de huidige configuratie status #> [CmdletBinding()] param() $Monitoring = $true try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Total Subnets: $($r.TotalSubnets)" -ForegroundColor White Write-Host "With Service Endpoints: $($r.WithServiceEndpoints)" -ForegroundColor $(if ($r.WithServiceEndpoints -gt 0) { 'Green' } else { 'Yellow' }) if ($r.WithServiceEndpoints -eq 0 -and $r.TotalSubnets -gt 0) { Write-Host "`nℹ️ Overweeg Service Endpoints voor PaaS connectivity" -ForegroundColor Yellow } } else { $r = Test-Compliance Write-Host "`nService Endpoints: $($r.WithServiceEndpoints)/$($r.TotalSubnets) subnets" } } catch { Write-Error $_; exit 1 } } function Invoke-Remediation { <# .SYNOPSIS Herstelt de configuratie naar de gewenste staat .DESCRIPTION Dit is een monitoring-only control, remediation delegeert naar monitoring #> [CmdletBinding()] param() Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan Invoke-Monitoring }

Risico zonder implementatie

Risico zonder implementatie
Medium: Service Endpoints worden beschouwd als verouderde technologie. Private Endpoints hebben de voorkeur. Het risico is laag - het betreft een architecturale keuze.

Management Samenvatting

VNet Service Endpoints: VEROUDERD - gebruik in plaats daarvan Private Endpoints (betere beveiliging, echte private IP-adressen, NSG-ondersteuning). Zie networking/vnet-service-endpoints.json voor details. Migratie wordt aanbevolen.