💼 Management Samenvatting
Hybride netwerkontwerp vormt de fundamentele basis voor het naadloos verbinden van on-premises infrastructuur met Azure cloudservices, waarbij beveiliging, prestaties en schaalbaarheid centraal staan. Een goed doordacht hybride netwerkontwerp implementeert gelaagde beveiligingscontroles, optimale routingstrategieën en gedefinieerde connectiviteitspatronen die organisaties in staat stellen om gefaseerd naar de cloud te migreren zonder de continuïteit van kritieke diensten te verstoren. Voor Nederlandse overheidsorganisaties is een solide hybride netwerkarchitectuur essentieel voor het voldoen aan NIS2-verplichtingen, BIO-normen en ISO 27001-vereisten voor netwerkbeveiliging en data sovereignty.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
120u (tech: 80u)
Van toepassing op:
✓ Azure abonnementen
✓ Hybride cloudomgevingen
✓ On-premises datacenters
✓ Hybride cloudomgevingen
✓ On-premises datacenters
Organisaties die zonder een doordacht hybride netwerkontwerp beginnen met cloudadoptie, lopen aanzienlijke risico's op beveiligingsincidenten, prestatieproblemen en compliance-overtredingen. Zonder een gestructureerde aanpak ontstaan er ad-hoc verbindingen tussen on-premises en cloudomgevingen die moeilijk te beheren, monitoren en beveiligen zijn. Dit kan leiden tot onbeveiligde netwerkpaden die kwaadaardig verkeer toestaan, inconsistente routing die de prestaties schaadt, en een gebrek aan zichtbaarheid die het detecteren van bedreigingen bemoeilijkt. Daarnaast vormen hybride netwerken een complex beveiligingslandschap waarbij verkeer tussen verschillende omgevingen moet worden geïnspecteerd, gefilterd en gemonitord zonder de gebruikerservaring of applicatieprestaties negatief te beïnvloeden. Een goed ontworpen hybride netwerkarchitectuur lost deze uitdagingen op door gecentraliseerde beveiligingsservices te implementeren die al het hybride verkeer inspecteren, optimale routing te configureren die de latentie minimaliseert, en uitgebreide monitoring te implementeren die volledige zichtbaarheid biedt over alle netwerkactiviteiten. Voor Nederlandse overheidsorganisaties is dit bovendien essentieel voor het waarborgen van data sovereignty, waarbij bepaalde gegevens on-premises moeten blijven terwijl andere workloads naar de cloud worden verplaatst, wat complexe netwerkarchitecturen vereist die beide omgevingen naadloos met elkaar verbinden.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.Network, Az.Resources
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.Network, Az.Resources
Implementatie
Dit artikel beschrijft een complete aanpak voor het ontwerpen en implementeren van hybride netwerkarchitecturen in Azure, specifiek toegespitst op de context van Nederlandse overheidsorganisaties. Het artikel behandelt de fundamentele ontwerpprincipes voor hybride netwerken, inclusief de keuze tussen VPN Gateway en ExpressRoute voor connectiviteit, het ontwerpen van netwerkarchitecturen die on-premises en cloudomgevingen verbinden, het implementeren van gecentraliseerde beveiligingsservices voor hybride verkeer, en het configureren van optimale routing en failover-scenario's. Het artikel beschrijft hoe organisaties hub-spoke topologieën kunnen uitbreiden naar hybride scenario's, waarbij het centrale hub-netwerk fungeert als brug tussen on-premises datacenters en Azure-cloudomgevingen. Daarnaast wordt uitgelegd hoe organisaties kunnen voldoen aan compliance-vereisten door gecentraliseerde logging en monitoring te implementeren, netwerksegmentatie toe te passen die on-premises en cloud workloads isoleert, en encryptie en authenticatie te configureren voor alle hybride verbindingen. Het artikel biedt praktische implementatiegidsen voor het configureren van Site-to-Site VPN-verbindingen, ExpressRoute-circuits met redundante peering, Azure Firewall voor gecentraliseerde beveiliging van hybride verkeer, en Network Watcher voor uitgebreide monitoring en diagnostiek van hybride connectiviteit.
Vereisten
Een succesvol hybride netwerkontwerp vereist een grondige voorbereiding op zowel technisch als organisatorisch vlak. De eerste vereiste is een volledige inventarisatie van de bestaande on-premises netwerkinfrastructuur, inclusief alle netwerkapparaten, firewalls, routers, switches en netwerksegmenten. Deze inventarisatie moet niet alleen technische details bevatten – zoals IP-adresruimtes, subnetten, routingconfiguraties en firewallregels – maar ook functionele context: welke workloads zijn kritiek en waar zijn zij gelokaliseerd, welke applicaties hebben connectiviteit nodig tussen on-premises en cloud, wat zijn de bandbreedtevereisten voor verschillende verkeerstypen, en wat zijn de beschikbaarheidsvereisten voor hybride verbindingen. Deze informatie vormt de basis voor het bepalen van de juiste connectiviteitsoplossing – VPN Gateway voor Site-to-Site VPN-verbindingen, ExpressRoute voor dedicated connectiviteit met gegarandeerde SLA's, of een combinatie van beide voor redundante verbindingen. Een tweede cruciale vereiste is het hebben van een duidelijk netwerkarchitectuurbeleid dat specifiek is uitgewerkt voor hybride scenario's. Dit beleid moet definiëren welke workloads in welke omgeving worden geplaatst, welke connectiviteitsopties worden gebruikt voor verschillende verkeerstypen, welke beveiligingsservices worden ingezet voor het inspecteren en filteren van hybride verkeer, en hoe nieuwe workloads worden geïntegreerd in de hybride architectuur. Binnen Nederlandse overheidsorganisaties moet dit beleid expliciet aansluiten bij het BIO-raamwerk, NIS2-verplichtingen en ISO 27001-vereisten voor netwerkbeveiliging en data sovereignty. Het beleid moet schriftelijk zijn vastgelegd, door het bestuur zijn goedgekeurd en regelmatig worden herzien op basis van veranderende dreigingen en nieuwe Azure-services. Zonder een dergelijk kader bestaat het risico dat hybride netwerkverbindingen ad hoc worden geconfigureerd zonder duidelijke samenhang of dat bepaalde beveiligingsservices worden overgeslagen omdat de noodzaak niet duidelijk is. Technisch gezien vereist hybride netwerkontwerp de beschikbaarheid van de juiste Azure-licenties en services. Voor VPN Gateway-verbindingen is een Azure VPN Gateway vereist met een geschikte SKU voor de verwachte bandbreedte en beschikbaarheid. Voor ExpressRoute-verbindingen is een ExpressRoute-circuit vereist dat wordt geleverd door een service provider, waarbij organisaties kunnen kiezen tussen verschillende bandbreedtes en redundantie-opties. Voor gecentraliseerde beveiliging is Azure Firewall vereist in het hub-netwerk voor het inspecteren en filteren van hybride verkeer. Voor monitoring is Azure Network Watcher vereist voor uitgebreide netwerkdiagnostiek en flow logging. Daarnaast vereist hybride netwerkontwerp voldoende IP-adresruimte voor alle netwerken, waarbij moet worden gelet op het voorkomen van IP-adresconflicten tussen on-premises netwerken en Azure-netwerken. Het is belangrijk om een gestructureerd IP-adresplan op te stellen voordat de implementatie begint, inclusief een duidelijk overzicht van welke IP-adresruimtes worden gebruikt in on-premises omgevingen en welke ruimtes beschikbaar zijn voor Azure-netwerken. Daarnaast is er een duidelijke rol- en verantwoordelijkheidsverdeling nodig tussen verschillende teams en functies. De netwerkarchitect is verantwoordelijk voor het ontwerpen van de hybride netwerkarchitectuur en het zorgen dat alle componenten onderling goed samenwerken. Security engineers zijn verantwoordelijk voor de technische implementatie en configuratie van beveiligingsservices zoals Azure Firewall en Network Security Groups voor hybride verkeer. Network engineers zijn verantwoordelijk voor het configureren van VPN Gateway of ExpressRoute-verbindingen, routingregels en netwerkconnectiviteit tussen on-premises en cloud. Operations teams zijn verantwoordelijk voor het dagelijks beheer en monitoring van de hybride netwerkarchitectuur. On-premises netwerkteams zijn verantwoordelijk voor het configureren van de on-premises kant van hybride verbindingen, inclusief VPN-apparaten, routingconfiguraties en firewallregels. Zonder deze duidelijke verdeling ontstaat verwarring over wie verantwoordelijk is voor welke component, wat kan leiden tot gaten in de beveiliging of overlappende inspanningen. Tot slot vereist hybride netwerkontwerp een volwassen proces voor continue monitoring, evaluatie en verbetering. Hybride netwerkarchitecturen zijn niet statisch maar moeten regelmatig worden geëvalueerd op effectiviteit, bijgewerkt op basis van nieuwe dreigingen en Azure-services, en getest om te verifiëren dat zij nog steeds functioneren zoals bedoeld. Dit vereist vaste planningsmomenten in de governancekalender, waarin de hybride netwerkarchitectuur wordt gereviewd, nieuwe bedreigingen worden geëvalueerd en verbetermaatregelen worden geïdentificeerd. Daarnaast moeten er processen zijn voor het reageren op security incidents waarbij wordt geanalyseerd welke netwerkcontroles hebben gefaald en hoe deze kunnen worden verbeterd. Alleen met een dergelijk continu verbeterproces blijft een hybride netwerkontwerp effectief in de tijd en kan het blijven voldoen aan compliance-vereisten en beveiligingsbest practices.
Implementatie
Gebruik PowerShell-script hybrid-networking-design.ps1 (functie Invoke-Implementation) – Valideert en implementeert hybride netwerkarchitectuur met alle benodigde componenten.
De implementatie van hybride netwerkontwerp in Azure begint met het opstellen van een gedetailleerd implementatieplan dat alle componenten omvat en prioriteert op basis van risico en kritiekheid van workloads. Het plan moet per component beschrijven welke Azure-services worden ingezet, welke configuraties worden toegepast, welke resources worden beschermd en in welke volgorde de implementatie plaatsvindt. In de praktijk wordt vaak begonnen met het ontwerpen en implementeren van het centrale hub-netwerk dat fungeert als brug tussen on-premises en cloudomgevingen, gevolgd door het configureren van connectiviteit via VPN Gateway of ExpressRoute, en tot slot het implementeren van aanvullende beveiligingsservices en monitoring. De eerste stap in het implementatieproces is het ontwerpen van de hybride netwerkarchitectuur op basis van de inventarisatie van on-premises netwerken en de vereisten uit het netwerkarchitectuurbeleid. Het hub-netwerk moet worden ontworpen met voldoende IP-adresruimte voor alle gedeelde services en hybride connectiviteit, waarbij rekening wordt gehouden met toekomstige groei. Typische subnetten in het hub-netwerk omvatten een subnet voor Azure Firewall, een subnet voor VPN Gateway of ExpressRoute Gateway, een subnet voor Azure Bastion, en subnetten voor hybride verbindingen. Het is belangrijk om IP-adresruimte te reserveren die niet conflicteert met on-premises netwerken, wat vereist dat organisaties een volledig overzicht hebben van alle IP-adresruimtes die worden gebruikt in on-premises omgevingen. Voor connectiviteit tussen on-premises en Azure moeten organisaties een keuze maken tussen VPN Gateway voor Site-to-Site VPN-verbindingen en ExpressRoute voor dedicated connectiviteit. VPN Gateway is geschikt voor organisaties die een snelle, kosteneffectieve oplossing nodig hebben voor hybride connectiviteit, met bandbreedtes tot 1.25 Gbps per gateway en ondersteuning voor redundante verbindingen voor hoge beschikbaarheid. ExpressRoute is geschikt voor organisaties die dedicated connectiviteit nodig hebben met gegarandeerde bandbreedte, lagere latentie en hogere beschikbaarheid, met bandbreedtes tot 100 Gbps en SLA's tot 99.95% beschikbaarheid. Voor kritieke workloads wordt vaak gekozen voor ExpressRoute als primaire verbinding met VPN Gateway als back-up voor redundante connectiviteit. De implementatie van VPN Gateway begint met het creëren van een virtueel netwerk gateway in het hub-netwerk, waarbij de juiste SKU wordt gekozen op basis van de verwachte bandbreedte en beschikbaarheid. De gateway wordt geconfigureerd met de juiste routing type – route-based voor flexibele routingconfiguraties of policy-based voor eenvoudige IPsec-tunnels. Vervolgens wordt een lokale netwerk gateway geconfigureerd die de on-premises netwerkadresruimte en het publieke IP-adres van het on-premises VPN-apparaat vertegenwoordigt. Tot slot wordt een Site-to-Site VPN-verbinding geconfigureerd tussen de Azure VPN Gateway en de lokale netwerk gateway, waarbij pre-shared keys of certificaten worden gebruikt voor authenticatie. De on-premises VPN-apparaat moet worden geconfigureerd met de juiste instellingen voor IPsec-tunneling, inclusief IKE-versie, encryptie-algoritmen en hash-algoritmen die compatibel zijn met Azure VPN Gateway. De implementatie van ExpressRoute begint met het aanvragen van een ExpressRoute-circuit bij een service provider, waarbij organisaties kunnen kiezen tussen verschillende bandbreedtes en peering-locaties. Na het inrichten van het circuit worden peering-configuraties geconfigureerd – Azure Private Peering voor connectiviteit tussen on-premises netwerken en Azure Virtual Networks, Azure Public Peering voor connectiviteit naar Azure-services via publieke IP-adressen, en Microsoft Peering voor connectiviteit naar Microsoft 365 en Dynamics 365 services. Voor redundante connectiviteit kunnen organisaties ExpressRoute-circuits configureren op verschillende peering-locaties of een secundair circuit gebruiken als back-up. De on-premises kant van ExpressRoute moet worden geconfigureerd met Border Gateway Protocol (BGP) voor dynamische routing tussen on-premises en Azure-netwerken. Na het configureren van connectiviteit worden aanvullende beveiligingsservices geïmplementeerd. Azure Firewall wordt geconfigureerd in het hub-netwerk met network rules voor verkeersfiltering tussen on-premises en cloudomgevingen, en application rules voor FQDN-filtering en bedreigingsinformatie. User-defined routes worden geconfigureerd om al het hybride verkeer via Azure Firewall te routeren, zodat alle verkeer wordt geïnspecteerd en gefilterd voordat het wordt doorgestuurd. Network Security Groups worden geconfigureerd voor subnet-niveau beveiliging in alle netwerken, waarbij regels worden toegepast die verkeer filteren op basis van bron- en doel-IP-adressen, poorten en protocollen. Azure Bastion wordt geïmplementeerd voor veilige beheerstoegang tot virtuele machines zonder publieke IP-adressen, wat essentieel is voor het beheren van hybride workloads. Tot slot worden monitoring- en logging-services geïmplementeerd. Azure Network Watcher wordt ingeschakeld voor uitgebreide netwerkmonitoring en diagnostiek, waarbij NSG flow logs worden geconfigureerd voor gedetailleerde logging van hybride netwerkverkeer. Azure Monitor wordt geconfigureerd voor het verzamelen en analyseren van netwerkmetrieken en logs, waarbij waarschuwingen worden ingesteld voor verbindingsproblemen, hoge latentie of verdacht verkeer. Connection Monitor wordt geconfigureerd voor het continu monitoren van connectiviteit tussen on-premises en Azure-omgevingen, waarbij automatische waarschuwingen worden gegenereerd wanneer verbindingen falen of prestaties verslechteren. Deze monitoring-capaciteiten zijn essentieel voor het waarborgen van de beschikbaarheid en prestaties van hybride verbindingen en voor het detecteren van beveiligingsbedreigingen.
Monitoring
Gebruik PowerShell-script hybrid-networking-design.ps1 (functie Invoke-Monitoring) – Monitort de status van hybride netwerkarchitectuur en alle componenten.
Effectieve monitoring van hybride netwerkarchitecturen in Azure is essentieel om te waarborgen dat alle componenten correct blijven functioneren, dat hybride verbindingen beschikbaar blijven en dat bedreigingen tijdig worden gedetecteerd. Monitoring richt zich niet alleen op individuele componenten, maar vooral ook op de samenhang tussen componenten en de algehele gezondheid van hybride connectiviteit. In de praktijk betekent dit dat de organisatie een beperkt aantal kernindicatoren definieert – Key Network Indicators (KNI's) – die periodiek worden gemeten en gerapporteerd aan CISO, CIO en bestuur. Voor elke component worden specifieke metrics gedefinieerd die aangeven of de component effectief functioneert. Voor VPN Gateway-verbindingen worden metrics gemeten zoals de beschikbaarheid en gezondheid van de gateway, de status van Site-to-Site VPN-verbindingen, de bandbreedte en doorvoer van verbindingen, de latentie tussen on-premises en Azure-omgevingen, en het aantal verbindingsonderbrekingen. Voor ExpressRoute-circuits worden metrics gemeten zoals de beschikbaarheid en gezondheid van het circuit, de status van peering-configuraties, de bandbreedte en doorvoer van het circuit, de latentie tussen on-premises en Azure-omgevingen, en BGP-sessiestatus. Voor hybride netwerkbeveiliging worden metrics gemeten zoals het aantal geblokkeerde bedreigingen door Azure Firewall, het aantal NSG rules dat actief is, het aantal geblokkeerde verkeerspogingen, en het percentage verkeer dat wordt geïnspecteerd door beveiligingsservices. Een belangrijk onderdeel van monitoring is het creëren van geïntegreerde dashboards die de status van alle hybride netwerkcomponenten samenbrengen in één overzichtelijk beeld. In plaats van afzonderlijke dashboards per component, wordt informatie samengebracht in een centraal hybride netwerkdashboard dat laat zien hoe de verschillende componenten samenwerken en waar potentiële zwaktes bestaan. Dit dashboard moet niet alleen technische details tonen, maar vooral ook risico-indicatoren die begrijpelijk zijn voor bestuurders en niet-technische stakeholders. Binnen Nederlandse overheidsorganisaties sluit dit aan bij de behoefte aan overzichtelijke rapportages die voldoen aan NIS2- en BIO-verplichtingen voor security reporting. Connection Monitor is een essentieel hulpmiddel voor het monitoren van hybride connectiviteit. Connection Monitor stelt organisaties in staat om continu de connectiviteit te monitoren tussen on-premises endpoints en Azure-resources, waarbij automatische waarschuwingen worden gegenereerd wanneer verbindingen falen of prestaties verslechteren. Connection Monitor meet metrics zoals round-trip time (RTT), packet loss, en beschikbaarheid, en biedt historische data voor trendanalyse. Door Connection Monitor te configureren voor kritieke hybride verbindingen kunnen organisaties proactief problemen detecteren voordat zij impact hebben op gebruikers of applicaties. NSG Flow Logs bieden gedetailleerde inzichten in netwerkverkeer tussen on-premises en Azure-omgevingen. Flow logs registreren alle netwerkverbindingen die worden gemaakt door Network Security Groups, inclusief bron- en doel-IP-adressen, poorten, protocollen en verkeersrichting. Deze logs kunnen worden geanalyseerd om patronen te identificeren, verdacht verkeer te detecteren en compliance-vereisten te voldoen. Flow logs kunnen worden geïntegreerd met Azure Sentinel voor geavanceerde security analytics en threat detection, waarbij machine learning-algoritmes worden gebruikt om afwijkende netwerkpatronen te identificeren die kunnen wijzen op beveiligingsbedreigingen. De monitoringfunctie moet ook concrete drempelwaarden en escalatiepaden definiëren. Voor elke KNI wordt vastgelegd bij welke waarde het risiconiveau verandert – bijvoorbeeld van 'aanvaardbaar' naar 'zorgelijk' of 'onacceptabel' – en welke acties dan vereist zijn. Dit kan variëren van het verplicht opstellen van een verbeterplan binnen een maand, via het tijdelijk blokkeren van nieuwe hybride verbindingen die niet voldoen aan vereisten, tot het escaleren naar de CISO of het bestuurlijke crisisteam bij zeer ernstige afwijkingen. Deze drempelwaarden worden afgestemd op de bestaande risicobereidheid van de organisatie en op wettelijke vereisten vanuit NIS2 en BIO. Tot slot vereist monitoring een nauwe koppeling tussen de dagelijkse operationele securityprocessen – zoals SOC-monitoring, netwerkbeheer en incident response – en de meerjarige beveiligingssturing. Operationele teams leveren signalen over concrete incidenten, near misses en ontdekt misbruik van hybride verbindingen. Deze signalen moeten systematisch worden geanalyseerd om te bepalen of zij duiden op structurele tekortkomingen in hybride netwerkconfiguraties of de beveiliging daarvan. Wanneer bijvoorbeeld meerdere incidenten wijzen op onvoldoende netwerksegmentatie of zwakke firewallconfiguraties voor hybride verkeer, moet dit leiden tot een herziening van de relevante componenten en verbetermaatregelen. Het PowerShell-script dat bij dit artikel hoort, kan dienen als technisch hulpmiddel om op vaste momenten kernstatistieken uit Azure op te halen – zoals VPN Gateway-status, ExpressRoute-circuit gezondheid, firewall performance en hybride netwerkverkeersvolumes – en die als bijlage toe te voegen aan periodieke security rapportages. Zo ontstaat een gesloten feedbacklus tussen monitoring, analyse en bijsturing.
Compliance en Auditing
Hybride netwerkontwerp is niet alleen een best practice voor cloudbeveiliging, maar een expliciete eis vanuit verschillende nationale en internationale kaders die gelden voor Nederlandse overheidsorganisaties en andere vitale of belangrijke entiteiten. De NIS2-richtlijn verlangt dat organisaties passende technische en organisatorische maatregelen treffen voor risicobeheersing en beveiliging, waarbij wordt benadrukt dat beveiliging moet worden toegepast op basis van risicoanalyse en niet op basis van verondersteld vertrouwen. Dit betekent concreet dat organisaties niet kunnen volstaan met onbeveiligde of ad-hoc hybride netwerkverbindingen, maar moeten kunnen aantonen dat zij een gestructureerde hybride netwerkarchitectuur hebben geïmplementeerd die netwerkverkeer isoleert, inspecteert en controleert op basis van contextuele signalen. Het hier beschreven hybride netwerkontwerp levert precies dat aantoonbare spoor: van netwerksegmentatie via gecentraliseerde beveiliging tot gedetailleerde logging en monitoring van alle hybride verkeer. Het BIO-raamwerk benadrukt in meerdere thema's – met name thema 13 (Netwerkbeveiliging) en thema 12 (Beveiligingsmaatregelen) – dat overheidsorganisaties structureel moeten bepalen welke beveiligingsmaatregelen nodig zijn en hoe deze worden geïmplementeerd en gemonitord op basis van risicoanalyse. In moderne hybride omgevingen bevinden veel van deze maatregelen zich in de netwerklaag die on-premises en cloudomgevingen verbindt, en zonder een specifiek uitgewerkt hybride netwerkontwerp is het vrijwel onmogelijk om aan te tonen dat de BIO-eisen voor netwerkbeveiliging en segmentatie daadwerkelijk zijn ingevuld voor hybride scenario's. Door hybride netwerkontwerp te integreren in hetzelfde beveiligingskader en dezelfde governancecyclus als on-premises systemen en andere IT-diensten, kan de organisatie aan auditors laten zien dat hybride connectiviteit niet als losstaand eiland wordt behandeld, maar als integraal onderdeel van de beveiligingsarchitectuur. Ook ISO 27001 speelt een rol in hybride netwerkontwerp, met name waar het gaat om netwerkbeveiliging en toegangscontrole. Controle A.8.20 vereist dat organisaties netwerken beveiligen en beheren om de beschikbaarheid, integriteit en vertrouwelijkheid van informatie te waarborgen, waarbij netwerksegmentatie een belangrijk middel is om de impact van beveiligingsincidenten te beperken. In de context van hybride netwerken betekent dit onder meer dat men moet beoordelen welke risico's er zijn voor verlies, ongeautoriseerde toegang of onbeschikbaarheid van informatie door hybride netwerkdreigingen, en welke hybride netwerkmaatregelen hiervoor zijn gekozen (zoals gecentraliseerde firewall, encryptie, private connectivity en monitoring). Deze keuzes en de onderbouwing ervan moeten worden gedocumenteerd, zodat bij een incident of audit kan worden aangetoond dat de organisatie weloverwogen en proportionele maatregelen heeft getroffen op basis van risicoanalyse. De Algemene Verordening Gegevensbescherming (AVG), Artikel 32, verplicht organisaties om passende technische en organisatorische maatregelen te treffen om persoonsgegevens te beveiligen, waarbij encryptie en toegangscontrole essentiële componenten zijn. Voor hybride netwerken betekent dit dat alle verkeer tussen on-premises en cloudomgevingen moet worden versleuteld, waarbij sterke encryptie-algoritmen zoals AES-256 worden gebruikt. Daarnaast moeten organisaties kunnen aantonen dat zij toegang tot persoonsgegevens via hybride netwerken monitoren en loggen, wat vereist dat uitgebreide logging wordt geïmplementeerd voor alle hybride netwerkverkeer. Het niet implementeren van adequate encryptie en monitoring voor hybride netwerken kan leiden tot niet-naleving van de AVG, wat kan resulteren in boetes tot 4 procent van de wereldwijde jaaromzet of 20 miljoen euro, afhankelijk van wat hoger is. Auditors – zowel interne auditdiensten als externe toezichthouders – verwachten steeds vaker dat organisaties een consistente methode hanteren voor netwerkbeveiliging over alle technologieën heen, inclusief hybride scenario's. Het beschreven hybride netwerkontwerp biedt hiervoor een duidelijke kapstok. Voor auditdoeleinden is het essentieel dat de organisatie kan laten zien dat: er een formeel vastgesteld hybride netwerkarchitectuurbeleid is; hybride netwerkarchitectuur is geïmplementeerd met alle benodigde componenten; de resultaten zijn vastgelegd in beveiligingsdocumentatie met toegewezen eigenaarschap; en dat uitgevoerde maatregelen en resterende risico's traceerbaar zijn naar concrete besluiten en acties. Het gebruik van gestandaardiseerde formats, centrale opslag van configuraties en systematische koppeling met compliance-dashboards is hierbij onmisbaar. Het PowerShell-script uit dit artikel kan aanvullend worden gebruikt als bron van objectief bewijsmateriaal over de technische inrichting van de hybride netwerkarchitectuur, bijvoorbeeld om te onderbouwen dat er daadwerkelijk beveiligde hybride verbindingen zijn geïmplementeerd en dat deze correct functioneren.
Remediatie
Gebruik PowerShell-script hybrid-networking-design.ps1 (functie Invoke-Remediation) – Identificeert en herstelt ontbrekende of zwakke hybride netwerkconfiguraties.
Wanneer uit audits, incidenten of periodieke assessments blijkt dat hybride netwerkontwerp onvoldoende is geïmplementeerd of dat bepaalde componenten zwak zijn, is een gestructureerd remediatieproces noodzakelijk om het beveiligingsniveau snel en gecontroleerd te verhogen. De eerste stap in dit proces is het uitvoeren van een gap-analyse ten opzichte van het gewenste hybride netwerkontwerp: welke componenten zijn al aanwezig en correct geconfigureerd, welke componenten zijn gedeeltelijk geïmplementeerd maar hebben tekortkomingen, en welke componenten ontbreken volledig? Deze gap-analyse wordt idealiter uitgevoerd door een multidisciplinair team bestaande uit netwerkarchitect, security engineers, cloudbeheerders en vertegenwoordigers uit de business. Het resultaat is een overzicht van concrete tekortkomingen per component, geprioriteerd op basis van risico en compliance-impact. Vervolgens wordt per tekortkoming een gerichte remediatiestrategie bepaald. Ontbreekt bijvoorbeeld hybride connectiviteit volledig, dan is de remediatie het inrichten van een project waarin VPN Gateway of ExpressRoute-verbindingen worden geconfigureerd tussen on-premises en Azure-omgevingen. Zijn hybride verbindingen gedeeltelijk aanwezig maar ontbreekt gecentraliseerde beveiliging, dan ligt de nadruk op het implementeren van Azure Firewall in het hub-netwerk voor het inspecteren en filteren van hybride verkeer. In situaties waarin meerdere componenten zwak zijn – wat zeker bij versneld gecreëerde hybride omgevingen vaak voorkomt – moet een gefaseerde aanpak worden gevolgd waarbij eerst connectiviteit wordt geconfigureerd, gevolgd door beveiligingsservices, en tot slot monitoring en logging. Een belangrijk remediatiepad betreft het migreren van bestaande onbeveiligde of ad-hoc hybride verbindingen naar een gestructureerde hybride netwerkarchitectuur. Wanneer organisaties momenteel directe verbindingen hebben tussen on-premises en cloudomgevingen zonder gecentraliseerde beveiliging of monitoring, vereist de migratie naar een hub-spoke topologie met gecentraliseerde firewall een gefaseerde aanpak. De eerste fase omvat het ontwerpen van de nieuwe architectuur, inclusief het identificeren van welke services in het centrale hub-netwerk moeten worden geplaatst en hoe bestaande verbindingen moeten worden herrouteerd via het hub-netwerk. Deze ontwerpfase is cruciaal en moet worden uitgevoerd door ervaren netwerkarchitecten in samenwerking met beveiligingsexperts. De implementatiefase begint met het creëren van het centrale hub-netwerk en het configureren van VPN Gateway of ExpressRoute-verbindingen. Vervolgens moeten user-defined routes worden geconfigureerd om al het hybride verkeer via Azure Firewall te routeren, waarbij zorgvuldig moet worden gecontroleerd dat alle afhankelijkheden en verbindingen correct worden gehandhaafd. Technisch gezien kan remediatie ook bestaan uit het verbeteren van bestaande hybride netwerkconfiguraties om beveiliging te versterken. Denk aan het upgraden van VPN Gateways naar sterkere SKU's met betere encryptie, het configureren van redundante ExpressRoute-circuits voor hoge beschikbaarheid, of het implementeren van Network Security Groups voor subnet-niveau beveiliging waar deze ontbreken. Het configureren van Azure Bastion voor veilige beheerstoegang zonder publieke IP-adressen, of het inschakelen van Network Watcher en NSG flow logs voor uitgebreide monitoring waar deze nog niet zijn geconfigureerd. Deze stappen moeten altijd worden uitgevoerd op basis van een gedetailleerd migratieplan, inclusief impactanalyse, fallbackscenario's en communicatie met betrokken teams. Tot slot moet elke remediatie-inspanning worden afgesloten met een expliciete evaluatie en bijstelling van het hybride netwerkontwerp. De lessen uit incidenten en audits – bijvoorbeeld een succesvolle aanval die hybride verbindingen heeft gecompromitteerd of onvoldoende detectie van verdacht verkeer – moeten structureel worden verwerkt in de netwerkarchitectuur, configuraties en procedures. Het is raadzaam om na afronding van een remediatieprogramma een integrale security assessment te laten uitvoeren door een interne auditdienst of een onafhankelijke derde, zodat kan worden vastgesteld of het nieuwe niveau van hybride netwerkbeveiliging daadwerkelijk in lijn is met NIS2, BIO en de verwachtingen van het bestuur. De uitkomsten hiervan worden vastgelegd in beveiligingsdocumentatie en vormen het nieuwe vertrekpunt voor de reguliere cyclus van monitoring en verbetering.
Compliance & Frameworks
- BIO: 13.01 - Netwerksegmentatie en beveiliging voor hybride omgevingen
- ISO 27001:2022: A.8.20 - Netwerkbeveiliging en toegangscontrole voor hybride netwerken
- NIS2: Artikel - Passende technische en organisatorische maatregelen voor netwerkbeveiliging in hybride scenario's op basis van risicoanalyse
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Azure Hybride Netwerkontwerp validatie en implementatie
.DESCRIPTION
Dit script ondersteunt Nederlandse overheidsorganisaties bij het valideren en
implementeren van hybride netwerkarchitecturen die on-premises infrastructuur
naadloos verbinden met Azure cloud services. Het script controleert de status
van alle hybride netwerkcomponenten: hub-netwerk, VPN Gateway-verbindingen,
ExpressRoute-circuits, netwerkbeveiliging en monitoring.
Het script is ontworpen om veilig lokaal of vanuit een beheerde automation-runner
te draaien met READ-ONLY rechten voor monitoring, en met beperkte schrijfrechten
voor remediatie. Het voert configuratiewijzigingen alleen uit na expliciete
bevestiging of in WhatIf-modus.
.NOTES
Filename: hybrid-networking-design.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-01-15
Version: 1.0
Related JSON: content/azure/network/hybrid-networking-design.json
Category: network
Workload: azure
.LINK
https://github.com/m365-tenant-best-practise
.EXAMPLE
.\hybrid-networking-design.ps1 -Monitoring
Voert een read-only validatie uit van alle hybride netwerkcomponenten en
toont een samenvatting van de huidige status.
.EXAMPLE
.\hybrid-networking-design.ps1 -Remediation -WhatIf
Genereert een rapport met concrete aanbevelingen zonder wijzigingen aan te brengen.
.EXAMPLE
.\hybrid-networking-design.ps1 -ExportPath .\hybrid-networking-report.json
Exporteert de validatie- en aanbevelingsgegevens naar een JSON-bestand.
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Network, Az.Resources
[CmdletBinding()]
param(
[Parameter(HelpMessage = "Voer een read-only validatie uit van alle hybride netwerkcomponenten")]
[switch]$Monitoring,
[Parameter(HelpMessage = "Genereer aanbevelingen en implementeer ontbrekende hybride netwerkconfiguraties")]
[switch]$Remediation,
[Parameter(HelpMessage = "Draai implementatiewijzigingen terug (indien mogelijk)")]
[switch]$Revert,
[Parameter(HelpMessage = "Toon welke acties zouden worden uitgevoerd zonder deze echt uit te voeren")]
[switch]$WhatIf,
[Parameter(HelpMessage = "Optioneel pad om resultaten als JSON te exporteren")]
[string]$ExportPath
)
$ErrorActionPreference = 'Stop'
# ============================================================================
# HEADER
# ============================================================================
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Azure Hybride Netwerkontwerp – Validatie" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
# ============================================================================
# HULPFUNCTIES
# ============================================================================
function Connect-NbvvcAzContext {
<#
.SYNOPSIS
Zorgt voor een geldige Az-context voor leesacties
.DESCRIPTION
Probeert eerst een bestaande context te gebruiken. Als er geen context is,
wordt Connect-AzAccount aangeroepen. Dit is geschikt voor lokale debug-
scenario's met een interactieve sessie of een managed identity.
#>
[CmdletBinding()]
param()
try {
$context = Get-AzContext -ErrorAction SilentlyContinue
if (-not $context) {
Write-Host "Geen actieve Azure-context gevonden. Probeer te verbinden..." -ForegroundColor Yellow
Connect-AzAccount -ErrorAction Stop | Out-Null
$context = Get-AzContext -ErrorAction Stop
}
Write-Host "Actieve Azure-context: $($context.Subscription.Name) [$($context.Subscription.Id)]" -ForegroundColor Gray
return $context
}
catch {
Write-Host "[FAIL] Kon geen geldige Azure-context verkrijgen: $_" -ForegroundColor Red
throw
}
}
function Get-NbvvcHybridNetworkingStatus {
<#
.SYNOPSIS
Verzamelt de status van alle hybride netwerkcomponenten
.DESCRIPTION
Haalt de status op van hub-netwerk, VPN Gateway-verbindingen, ExpressRoute-circuits,
netwerkbeveiliging en monitoring. De validatie is read-only
en bedoeld als input voor verder architectuur- en compliancewerk.
.OUTPUTS
Hashtable met hybride netwerkstatus per component
#>
[CmdletBinding()]
param()
$status = @{
timestamp = Get-Date
subscriptionId = (Get-AzContext).Subscription.Id
hubNetwork = @{
exists = $false
vnetName = $null
firewallEnabled = $false
bastionEnabled = $false
findings = @()
}
connectivity = @{
vpnGateways = 0
vpnConnections = 0
expressRouteCircuits = 0
expressRouteProvisioned = 0
findings = @()
}
networkSecurity = @{
nsgCount = 0
firewallCount = 0
privateEndpoints = 0
findings = @()
}
monitoring = @{
networkWatcher = $false
flowLogsEnabled = 0
findings = @()
}
overallScore = 0
}
Write-Host "`nValidatie van hybride netwerkcomponenten (read-only)..." -ForegroundColor Yellow
# Hub-netwerk - Controleer op VNets met typische hub-subnetten
try {
$vnets = Get-AzVirtualNetwork -ErrorAction SilentlyContinue
$hubVNet = $null
foreach ($vnet in $vnets) {
$subnetNames = $vnet.Subnets | ForEach-Object { $_.Name }
# Typische hub-subnetten: AzureFirewallSubnet, GatewaySubnet, AzureBastionSubnet
if ($subnetNames -contains "AzureFirewallSubnet" -or
$subnetNames -contains "GatewaySubnet" -or
$subnetNames -contains "AzureBastionSubnet") {
$hubVNet = $vnet
break
}
}
if ($hubVNet) {
$status.hubNetwork.exists = $true
$status.hubNetwork.vnetName = $hubVNet.Name
Write-Host " Hub-netwerk: $($hubVNet.Name) gevonden" -ForegroundColor Gray
# Controleer Azure Firewall
$firewalls = Get-AzFirewall -ErrorAction SilentlyContinue
if ($firewalls.Count -gt 0) {
$status.hubNetwork.firewallEnabled = $true
Write-Host " Hub-netwerk: $($firewalls.Count) Azure Firewall(s) gevonden" -ForegroundColor Gray
}
else {
$status.hubNetwork.findings += "Geen Azure Firewall gevonden in hub-netwerk; overweeg implementatie voor gecentraliseerde beveiliging van hybride verkeer."
}
# Controleer Azure Bastion
$bastions = Get-AzBastion -ErrorAction SilentlyContinue
if ($bastions.Count -gt 0) {
$status.hubNetwork.bastionEnabled = $true
Write-Host " Hub-netwerk: $($bastions.Count) Azure Bastion(s) gevonden" -ForegroundColor Gray
}
else {
$status.hubNetwork.findings += "Geen Azure Bastion gevonden in hub-netwerk; overweeg implementatie voor veilige beheerstoegang tot hybride workloads."
}
}
else {
$status.hubNetwork.findings += "Geen hub-netwerk gevonden met typische hub-subnetten (AzureFirewallSubnet, GatewaySubnet, AzureBastionSubnet); overweeg implementatie voor hybride netwerkarchitectuur."
}
}
catch {
Write-Host " [WARN] Kon hub-netwerkstatus niet volledig valideren: $_" -ForegroundColor Yellow
$status.hubNetwork.findings += "Kon hub-netwerkstatus niet volledig valideren; controleer rechten en Az.Network-module."
}
# Connectiviteit - Controleer VPN Gateways en ExpressRoute
try {
$vpngateways = Get-AzVirtualNetworkGateway -ErrorAction SilentlyContinue | Where-Object { $_.GatewayType -eq "Vpn" }
$status.connectivity.vpnGateways = $vpngateways.Count
foreach ($gateway in $vpngateways) {
Write-Host " VPN Gateway gevonden: $($gateway.Name)" -ForegroundColor Gray
# Controleer VPN-verbindingen
$connections = Get-AzVirtualNetworkGatewayConnection -ResourceGroupName $gateway.ResourceGroupName -ErrorAction SilentlyContinue
$activeConnections = $connections | Where-Object { $_.ConnectionStatus -eq "Connected" }
$status.connectivity.vpnConnections += $activeConnections.Count
if ($activeConnections.Count -eq 0) {
$status.connectivity.findings += "VPN Gateway $($gateway.Name) heeft geen actieve verbindingen; controleer configuratie en on-premises VPN-apparaat."
}
}
if ($vpngateways.Count -eq 0) {
$status.connectivity.findings += "Geen VPN Gateways gevonden; overweeg implementatie voor Site-to-Site VPN-verbindingen tussen on-premises en Azure."
}
# Controleer ExpressRoute-circuits
$expressRouteCircuits = Get-AzExpressRouteCircuit -ErrorAction SilentlyContinue
$status.connectivity.expressRouteCircuits = $expressRouteCircuits.Count
foreach ($circuit in $expressRouteCircuits) {
Write-Host " ExpressRoute-circuit gevonden: $($circuit.Name)" -ForegroundColor Gray
if ($circuit.ServiceProviderProvisioningState -eq 'Provisioned') {
$status.connectivity.expressRouteProvisioned++
Write-Host " Status: Provisioned" -ForegroundColor Gray
}
else {
$status.connectivity.findings += "ExpressRoute-circuit $($circuit.Name) heeft status '$($circuit.ServiceProviderProvisioningState)'; verifieer configuratie met service provider."
}
}
if ($expressRouteCircuits.Count -eq 0 -and $vpngateways.Count -eq 0) {
$status.connectivity.findings += "Geen ExpressRoute-circuits of VPN Gateways gevonden; overweeg implementatie van hybride connectiviteit voor on-premises integratie."
}
}
catch {
Write-Host " [WARN] Kon connectiviteitsstatus niet volledig valideren: $_" -ForegroundColor Yellow
$status.connectivity.findings += "Kon connectiviteitsstatus niet volledig valideren; controleer rechten en Az.Network-module."
}
# Netwerkbeveiliging - Controleer NSG's, Firewalls en private endpoints
try {
$nsgs = Get-AzNetworkSecurityGroup -ErrorAction SilentlyContinue
$status.networkSecurity.nsgCount = $nsgs.Count
Write-Host " Netwerkbeveiliging: $($nsgs.Count) Network Security Group(s) gevonden" -ForegroundColor Gray
$firewalls = Get-AzFirewall -ErrorAction SilentlyContinue
$status.networkSecurity.firewallCount = $firewalls.Count
Write-Host " Netwerkbeveiliging: $($firewalls.Count) Azure Firewall(s) gevonden" -ForegroundColor Gray
$privateEndpoints = Get-AzPrivateEndpoint -ErrorAction SilentlyContinue
$status.networkSecurity.privateEndpoints = $privateEndpoints.Count
Write-Host " Netwerkbeveiliging: $($privateEndpoints.Count) private endpoint(s) gevonden" -ForegroundColor Gray
if ($nsgs.Count -eq 0) {
$status.networkSecurity.findings += "Geen Network Security Groups gevonden; overweeg implementatie voor subnet-niveau beveiliging in hybride netwerken."
}
if ($firewalls.Count -eq 0) {
$status.networkSecurity.findings += "Geen Azure Firewalls gevonden; overweeg implementatie voor gecentraliseerde netwerkbeveiliging en threat intelligence voor hybride verkeer."
}
if ($privateEndpoints.Count -eq 0) {
$status.networkSecurity.findings += "Geen private endpoints gevonden; overweeg implementatie voor private connectivity naar Azure-services zonder publieke toegang."
}
}
catch {
Write-Host " [WARN] Kon netwerkbeveiligingsstatus niet volledig valideren: $_" -ForegroundColor Yellow
$status.networkSecurity.findings += "Kon netwerkbeveiligingsstatus niet volledig valideren; controleer rechten en benodigde modules."
}
# Monitoring - Controleer Network Watcher en Flow Logs
try {
$networkWatchers = Get-AzNetworkWatcher -ErrorAction SilentlyContinue
if ($networkWatchers.Count -gt 0) {
$status.monitoring.networkWatcher = $true
Write-Host " Monitoring: Network Watcher ingeschakeld" -ForegroundColor Gray
}
else {
$status.monitoring.findings += "Network Watcher niet gevonden; overweeg implementatie voor uitgebreide netwerkmonitoring en diagnostiek van hybride connectiviteit."
}
# Controleer NSG Flow Logs
$flowLogs = Get-AzNetworkWatcherFlowLog -ErrorAction SilentlyContinue
if ($flowLogs.Count -gt 0) {
$status.monitoring.flowLogsEnabled = $flowLogs.Count
Write-Host " Monitoring: $($flowLogs.Count) NSG Flow Log(s) gevonden" -ForegroundColor Gray
}
else {
$status.monitoring.findings += "Geen NSG Flow Logs gevonden; overweeg implementatie voor gedetailleerde logging van hybride netwerkverkeer voor security en compliance doeleinden."
}
}
catch {
Write-Host " [WARN] Kon monitoringstatus niet volledig valideren: $_" -ForegroundColor Yellow
$status.monitoring.findings += "Kon monitoringstatus niet volledig valideren; controleer rechten en Az.Network-module."
}
# Bereken overall score (eenvoudige berekening op basis van beschikbare controles)
$scoreComponents = 0
$scoreTotal = 0
if ($status.hubNetwork.exists) { $scoreComponents++ }
if ($status.hubNetwork.firewallEnabled) { $scoreComponents++ }
if ($status.hubNetwork.bastionEnabled) { $scoreComponents++ }
$scoreTotal += 3
if ($status.connectivity.vpnGateways -gt 0 -or $status.connectivity.expressRouteCircuits -gt 0) { $scoreComponents++ }
if ($status.connectivity.vpnConnections -gt 0 -or $status.connectivity.expressRouteProvisioned -gt 0) { $scoreComponents++ }
$scoreTotal += 2
if ($status.networkSecurity.nsgCount -gt 0) { $scoreComponents++ }
if ($status.networkSecurity.firewallCount -gt 0) { $scoreComponents++ }
$scoreTotal += 2
if ($status.monitoring.networkWatcher) { $scoreComponents++ }
if ($status.monitoring.flowLogsEnabled -gt 0) { $scoreComponents++ }
$scoreTotal += 2
if ($scoreTotal -gt 0) {
$status.overallScore = [math]::Round(($scoreComponents / $scoreTotal) * 100, 1)
}
return $status
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Voert een read-only hybride netwerkvalidatie uit
.DESCRIPTION
Gebruikt statuscontroles om inzicht te geven in de huidige hybride
netwerkarchitectuur per component. Dit helpt bij het prioriteren van
implementatietrajecten en het identificeren van gaten in de beveiliging.
.OUTPUTS
Hashtable met samenvattende metrics en status per component
#>
[CmdletBinding()]
param()
$null = Connect-NbvvcAzContext
$status = Get-NbvvcHybridNetworkingStatus
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "SAMENVATTING HYBRIDE NETWERKSTATUS" -ForegroundColor Cyan
Write-Host " Overall Score : $($status.overallScore)%" -ForegroundColor White
Write-Host "`n Hub-netwerk:" -ForegroundColor Yellow
Write-Host " Hub-netwerk gevonden : $($status.hubNetwork.exists)" -ForegroundColor Gray
if ($status.hubNetwork.exists) {
Write-Host " Hub VNet naam : $($status.hubNetwork.vnetName)" -ForegroundColor Gray
}
Write-Host " Firewall ingeschakeld : $($status.hubNetwork.firewallEnabled)" -ForegroundColor Gray
Write-Host " Bastion ingeschakeld : $($status.hubNetwork.bastionEnabled)" -ForegroundColor Gray
Write-Host "`n Connectiviteit:" -ForegroundColor Yellow
Write-Host " VPN Gateways : $($status.connectivity.vpnGateways)" -ForegroundColor Gray
Write-Host " VPN Verbindingen : $($status.connectivity.vpnConnections)" -ForegroundColor Gray
Write-Host " ExpressRoute-circuits : $($status.connectivity.expressRouteCircuits)" -ForegroundColor Gray
Write-Host " ExpressRoute provisioned: $($status.connectivity.expressRouteProvisioned)" -ForegroundColor Gray
Write-Host "`n Netwerkbeveiliging:" -ForegroundColor Yellow
Write-Host " Network Security Groups: $($status.networkSecurity.nsgCount)" -ForegroundColor Gray
Write-Host " Azure Firewalls : $($status.networkSecurity.firewallCount)" -ForegroundColor Gray
Write-Host " Private Endpoints : $($status.networkSecurity.privateEndpoints)" -ForegroundColor Gray
Write-Host "`n Monitoring:" -ForegroundColor Yellow
Write-Host " Network Watcher : $($status.monitoring.networkWatcher)" -ForegroundColor Gray
Write-Host " NSG Flow Logs : $($status.monitoring.flowLogsEnabled)" -ForegroundColor Gray
$allFindings = @()
$allFindings += $status.hubNetwork.findings
$allFindings += $status.connectivity.findings
$allFindings += $status.networkSecurity.findings
$allFindings += $status.monitoring.findings
if ($allFindings.Count -gt 0) {
Write-Host "`nAandachtspunten:" -ForegroundColor Yellow
foreach ($f in $allFindings) {
Write-Host " - $f" -ForegroundColor Yellow
}
}
else {
Write-Host "`nGeen specifieke aandachtspunten gedetecteerd op basis van deze scan." -ForegroundColor Green
}
return @{
status = $status
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Genereert hybride netwerkaanbevelingen en implementeert ontbrekende configuraties
.DESCRIPTION
Op basis van de statusvalidatie worden concrete aanbevelingen gegenereerd
voor vervolgstappen zoals het implementeren van ontbrekende hybride netwerkcomponenten.
Het script voert configuratiewijzigingen alleen uit na expliciete bevestiging
of in WhatIf-modus.
#>
[CmdletBinding(SupportsShouldProcess)]
param(
[string]$ReportPath
)
if ($WhatIf) {
Write-Host "`nWhatIf: er wordt een aanbevelingsrapport gegenereerd op basis van statusvalidatie, maar er vinden geen wijzigingen plaats." -ForegroundColor Yellow
}
$result = Invoke-Monitoring
$status = $result.status
$recommendations = @()
if (-not $status.hubNetwork.exists) {
$recommendations += "Implementeer een centraal hub-netwerk met gedeelde beveiligingsservices zoals Azure Firewall, VPN Gateway en Azure Bastion voor hybride netwerkarchitectuur."
}
if (-not $status.hubNetwork.firewallEnabled) {
$recommendations += "Implementeer Azure Firewall in het hub-netwerk voor gecentraliseerde beveiliging en threat intelligence voor hybride netwerkverkeer."
}
if ($status.connectivity.vpnGateways -eq 0 -and $status.connectivity.expressRouteCircuits -eq 0) {
$recommendations += "Implementeer hybride connectiviteit met Azure VPN Gateway voor Site-to-Site VPN-verbindingen of ExpressRoute voor dedicated connectiviteit tussen on-premises en Azure."
}
if ($status.connectivity.vpnGateways -gt 0 -and $status.connectivity.vpnConnections -eq 0) {
$recommendations += "Controleer en herstel VPN Gateway-verbindingen; verifieer configuratie van on-premises VPN-apparaat en pre-shared keys of certificaten."
}
if ($status.networkSecurity.firewallCount -eq 0) {
$recommendations += "Implementeer Azure Firewall voor gecentraliseerde netwerkbeveiliging en threat intelligence voor hybride netwerkverkeer."
}
if ($status.networkSecurity.nsgCount -eq 0) {
$recommendations += "Implementeer Network Security Groups voor subnet-niveau beveiliging in alle hybride netwerken."
}
if (-not $status.monitoring.networkWatcher) {
$recommendations += "Implementeer Azure Network Watcher voor uitgebreide netwerkmonitoring, diagnostiek en troubleshooting van hybride connectiviteit."
}
if ($status.monitoring.flowLogsEnabled -eq 0) {
$recommendations += "Schakel NSG Flow Logs in voor gedetailleerde logging van netwerkverkeer tussen on-premises en Azure voor security en compliance doeleinden."
}
if ($recommendations.Count -eq 0) {
$recommendations += "Geen specifieke aanbevelingen op basis van deze scan; voer een diepgaand hybride netwerkarchitectuur-assessment uit voor kernsystemen."
}
Write-Host "`nAanbevolen vervolgstappen:" -ForegroundColor Cyan
foreach ($rec in $recommendations) {
Write-Host " - $rec" -ForegroundColor White
}
$report = @{
generatedAt = Get-Date
subscriptionId = $status.subscriptionId
overallScore = $status.overallScore
hybridNetworking = @{
status = $status
recommendations = $recommendations
}
}
$targetPath = $null
if ($PSBoundParameters.ContainsKey("ReportPath") -and $ReportPath) {
$targetPath = $ReportPath
}
elseif ($ExportPath) {
$targetPath = $ExportPath
}
if ($targetPath) {
if ($PSCmdlet.ShouldProcess($targetPath, "Schrijf hybride netwerkrapport naar JSON-bestand")) {
$report | ConvertTo-Json -Depth 6 | Out-File -FilePath $targetPath -Encoding UTF8
Write-Host "`n[OK] Rapport geschreven naar: $targetPath" -ForegroundColor Green
}
}
}
function Invoke-Revert {
<#
.SYNOPSIS
Draai implementatiewijzigingen terug
.DESCRIPTION
Dit script voert configuratiewijzigingen alleen uit na expliciete bevestiging.
Revert-functionaliteit is beperkt omdat hybride netwerkimplementaties complex zijn
en handmatige interventie vereisen. De functie is aanwezig voor consistentie
met andere scripts binnen de Nederlandse Baseline voor Veilige Cloud.
#>
[CmdletBinding(SupportsShouldProcess)]
param()
Write-Host "`nHybride netwerkimplementaties vereisen handmatige interventie voor revert-operaties." -ForegroundColor Yellow
Write-Host "Raadpleeg de documentatie en Azure-portal voor specifieke revert-stappen per component." -ForegroundColor Gray
}
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert hybride netwerkarchitectuur
.DESCRIPTION
Deze functie is een alias voor Invoke-Remediation voor consistentie
met andere scripts binnen de Nederlandse Baseline voor Veilige Cloud.
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
# ============================================================================
# MAIN EXECUTION
# ============================================================================
try {
if ($Revert) {
Invoke-Revert
}
elseif ($Remediation) {
Invoke-Remediation -ReportPath $ExportPath
}
elseif ($Monitoring) {
$null = Invoke-Monitoring
}
else {
Write-Host "Beschikbare parameters:" -ForegroundColor Yellow
Write-Host " -Monitoring : Voer een read-only hybride netwerkvalidatie uit" -ForegroundColor Gray
Write-Host " -Remediation : Genereer hybride netwerkaanbevelingen (geen wijzigingen)" -ForegroundColor Gray
Write-Host " -Revert : Beperkte revert-functionaliteit (handmatige interventie vereist)" -ForegroundColor Gray
Write-Host " -WhatIf : Toon welke acties logisch zouden zijn zonder uitvoer" -ForegroundColor Gray
Write-Host " -ExportPath : Optioneel pad voor JSON-rapport" -ForegroundColor Gray
Write-Host "`nVoorbeeld: .\hybrid-networking-design.ps1 -Monitoring" -ForegroundColor Cyan
}
}
catch {
Write-Error "Scriptuitvoering mislukt: $_"
exit 2
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
# Exitcodes:
# 0 = Succesvolle uitvoering
# 2 = Fout tijdens uitvoering
Risico zonder implementatie
Risico zonder implementatie
High: Kritiek - Zonder doordacht hybride netwerkontwerp is de organisatie kwetsbaar voor beveiligingsincidenten, prestatieproblemen en compliance-overtredingen in hybride scenario's, wat kan leiden tot datalekken en niet-naleving van NIS2 en BIO vereisten.
Management Samenvatting
Implementeer een gestructureerd hybride netwerkontwerp met VPN Gateway of ExpressRoute voor connectiviteit, gecentraliseerde beveiliging via Azure Firewall, en uitgebreide monitoring. Essentieel voor hybride cloudbeveiliging, Zero Trust en NIS2/BIO compliance. Implementatie: 120 uur.
- Implementatietijd: 120 uur
- FTE required: 0.5 FTE