L1/L2 BIO 13.01 ISO A.8.20 CIS 6.9, 6.5, 6.6

Azure VNet Peering Hub-Spoke: Gecentraliseerde Netwerkarchitectuur

📅 2025-01-28
⏱️ 35 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Azure VNet Peering Hub-Spoke architectuur is een netwerkontwerppatroon dat organisaties in staat stelt om gecentraliseerde gedeelde services in een hub Virtual Network te plaatsen terwijl workloads worden geïsoleerd in gescheiden spoke Virtual Networks. Deze architectuur biedt optimale netwerksegmentatie, gecentraliseerde beveiliging, kostenbesparingen door het delen van dure resources zoals VPN Gateways en Azure Firewalls, en vereenvoudigd beheer van netwerkconnectiviteit. Het correct implementeren van VNet Peering in een hub-spoke topologie is essentieel voor het waarborgen van netwerkbeveiliging, het voldoen aan compliance-vereisten zoals BIO, ISO 27001 en NIS2, en het realiseren van een schaalbare en beheersbare cloudnetwerkinfrastructuur. Deze architectuur vormt de basis voor veel enterprise Azure-implementaties en is een kritieke component voor organisaties die een robuuste, beveiligde en schaalbare cloudnetwerkarchitectuur willen realiseren.

Aanbeveling
IMPLEMENTEER HUB-SPOKE VNET PEERING-ARCHITECTUUR
Risico zonder
High
Risk Score
8/10
Implementatie
100u (tech: 60u)
Van toepassing op:
Azure Virtual Networks
Hub-Spoke Architectuur
VNet Peering
Gecentraliseerde Services
Netwerksegmentatie

Zonder een goed ontworpen hub-spoke VNet Peering-architectuur worden organisaties geconfronteerd met aanzienlijke operationele uitdagingen en beveiligingsrisico's. Een vlakke netwerkarchitectuur zonder duidelijke segmentatie maakt laterale beweging door aanvallers mogelijk, waardoor een compromittering van één workload kan leiden tot toegang tot alle workloads binnen hetzelfde Virtual Network. Het ontbreken van gecentraliseerde services betekent dat organisaties dure resources zoals VPN Gateways en Azure Firewalls moeten dupliceren voor elke workload, wat leidt tot onnodige kosten en complexiteit. Zonder hub-spoke architectuur is het ook moeilijk om consistent beveiligingsbeleid toe te passen, omdat elk Virtual Network onafhankelijk moet worden beheerd. Dit is bijzonder kritiek voor Nederlandse overheidsorganisaties die gevoelige gegevens verwerken en moeten voldoen aan strikte beveiligings- en compliance-vereisten. Compliance-frameworks zoals NIS2 Artikel 21 en BIO norm 13.01 vereisen expliciet netwerksegmentatie en -isolatie. Zonder correct geconfigureerde hub-spoke VNet Peering-architectuur kunnen organisaties niet aantonen dat ze voldoen aan deze vereisten, wat kan leiden tot boetes, reputatieschade, en het verlies van vertrouwen van burgers en stakeholders. Bovendien kunnen onjuiste configuraties leiden tot routingproblemen, netwerkonderbrekingen, en het onmogelijk maken van effectieve netwerksegmentatie en toegangscontrole.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Network, Az.Resources, Az.Accounts

Implementatie

Dit artikel beschrijft de volledige implementatieprocedure voor het configureren en beheren van Azure VNet Peering in een hub-spoke architectuur binnen de Nederlandse Baseline voor Veilige Cloud. De focus ligt op zes hoofdcomponenten. Ten eerste strategie en planning: het identificeren van netwerkvereisten en gebruiksscenario's, het ontwerpen van hub-spoke topologie met hub en spoke Virtual Networks, het bepalen van IP-adresbereiken en adresruimteplanning, het identificeren van gedeelde services die in de hub moeten worden geplaatst, en het opstellen van een implementatieplan met tijdlijnen en verantwoordelijkheden. Ten tweede hub Virtual Network-implementatie: het aanmaken en configureren van het hub Virtual Network met gedeelde services zoals Azure Firewall, VPN Gateway, Azure Bastion, en andere gecentraliseerde infrastructuurcomponenten, het configureren van subnetten voor verschillende services, en het valideren van de hub-implementatie. Ten derde spoke Virtual Network-implementatie: het aanmaken en configureren van spoke Virtual Networks voor verschillende workloads, het plannen van IP-adresbereiken die niet overlappen, het configureren van subnetten binnen spokes, en het valideren van spoke-implementaties. Ten vierde VNet Peering-configuratie: het configureren van bidirectionele of unidirectionele peering tussen hub en spokes, het instellen van peering-instellingen zoals gateway transit en remote gateway gebruik, het configureren van routing om verkeer correct te routeren, en het testen van connectiviteit tussen hub en spokes. Ten vijfde routing en transit: het configureren van gebruikersgedefinieerde routes (UDR's) voor gateway transit, het implementeren van hub routing voor inter-spoke communicatie, het configureren van Azure Firewall als centraal routeringspunt, en het testen van routingconfiguraties. Ten zesde monitoring en validatie: het inschakelen van logging en monitoring voor VNet Peering-verbindingen, het configureren van alertregels voor connectiviteitsproblemen, het uitvoeren van regelmatige connectiviteitstests, en het genereren van rapportages voor audit-doeleinden. Het bijbehorende PowerShell-script valideert of VNet Peering-verbindingen correct zijn geconfigureerd, controleert peering-status en connectiviteit, identificeert configuratieproblemen, en genereert compliance-rapportages.

Strategie en planning

Het succesvol implementeren van een hub-spoke VNet Peering-architectuur vereist een doordachte strategie en grondige planning voordat de daadwerkelijke implementatie begint. Deze planningfase is cruciaal omdat een slecht geplande architectuur kan leiden tot netwerkproblemen, beveiligingskwetsbaarheden, prestatieproblemen, en onnodige operationele complexiteit. De eerste stap in het planningsproces is het uitvoeren van een uitgebreide analyse van de netwerkvereisten en het identificeren van alle workloads en gebruiksscenario's die deel moeten uitmaken van de hub-spoke architectuur. Deze analyse moet alle applicaties en diensten omvatten die in spoke Virtual Networks zullen worden geplaatst, alle gedeelde services die in de hub moeten worden geplaatst, de verwachte netwerkverkeerspatronen tussen verschillende componenten, en de beveiligings- en compliance-vereisten die van toepassing zijn op elke workload.

Het ontwerpen van de hub-spoke topologie begint met het identificeren van welke services gecentraliseerd moeten worden in de hub Virtual Network. Typische services die in de hub worden geplaatst zijn Azure Firewall voor gecentraliseerde netwerkbeveiliging, VPN Gateway voor hybride connectiviteit, Azure Bastion voor beveiligde toegang tot virtuele machines, Network Watcher voor netwerkmonitoring, gedeelde DNS-servers, en andere gecentraliseerde infrastructuurcomponenten. De hub moet worden ontworpen met voldoende IP-adresruimte om alle gedeelde services te accommoderen en moet worden geconfigureerd met robuuste beveiligingsmaatregelen omdat het als centrale component dient voor alle spoke Virtual Networks. Spoke Virtual Networks moeten worden ontworpen om workloads te isoleren op basis van verschillende criteria, zoals omgevingstype (productie, ontwikkeling, test), business unit, compliance-vereisten, of beveiligingsclassificatie. Elke spoke moet voldoende IP-adresruimte hebben om toekomstige groei te accommoderen, en spokes moeten worden ontworpen met netwerksegmentatie in gedachten om laterale beweging te voorkomen.

IP-adresbereikplanning en adresruimteplanning vormen een kritiek aspect van de hub-spoke architectuur planning. Organisaties moeten ervoor zorgen dat hub en alle spoke Virtual Networks niet-overlappende IP-adresbereiken gebruiken om routingconflicten te voorkomen. Een veelgebruikte best practice is het gebruik van RFC 1918 privé IP-adresbereiken waarbij zorgvuldig wordt gepland welke bereiken worden gebruikt voor welke doeleinden. Bijvoorbeeld, organisaties kunnen 10.0.0.0/16 gebruiken voor de hub Virtual Network, 10.1.0.0/16, 10.2.0.0/16, en 10.3.0.0/16 gebruiken voor verschillende spoke Virtual Networks, waarbij elk /16 netwerk verder kan worden gesegmenteerd met subnetten. De adresruimteplanning moet ook rekening houden met toekomstige groei en uitbreidingen, en moet worden gedocumenteerd voor referentie en troubleshooting. Daarnaast moeten organisaties overwegen of ze gateway transit willen gebruiken, wat spokes in staat stelt om de VPN Gateway in de hub te gebruiken voor hybride connectiviteit, of of ze andere routingmechanismen willen gebruiken voor inter-spoke communicatie via de hub.

Het opstellen van een gedetailleerd implementatieplan met duidelijke tijdlijnen, mijlpalen, verantwoordelijkheden en rollback-procedures is essentieel voor een succesvolle implementatie. Dit plan moet per component specifieke implementatiestappen definiëren, inclusief de volgorde van acties, afhankelijkheden tussen verschillende configuratiestappen, en verificatiecriteria om te bevestigen dat elke stap succesvol is voltooid. Het plan moet ook onderhoudsvensters identificeren wanneer implementaties kunnen worden uitgevoerd met minimale impact op productieomgevingen, en het moet communicatieplannen bevatten om stakeholders te informeren over geplande wijzigingen en mogelijke impact. Rollback-procedures moeten worden gedocumenteerd voor het geval implementaties problemen veroorzaken of onverwachte netwerkonderbrekingen introduceren. Deze procedures moeten duidelijk maken hoe VNet Peering-verbindingen kunnen worden teruggedraaid, hoe routingconfiguraties kunnen worden hersteld, en hoe alternatieve connectiviteitsopties kunnen worden geactiveerd indien nodig. Testscenario's moeten worden gedefinieerd om te verifiëren dat alle applicaties en diensten correct blijven functioneren na de implementatie van hub-spoke VNet Peering, en deze tests moeten worden uitgevoerd in niet-productieomgevingen voordat productie-implementaties worden gestart.

Hub Virtual Network-implementatie

De implementatie van het hub Virtual Network vormt de basis van de hub-spoke architectuur en vereist zorgvuldige configuratie omdat alle gedeelde services hier worden geplaatst. Deze implementatie kan worden uitgevoerd via verschillende methoden, waaronder de Azure Portal voor ad-hoc implementaties, Azure PowerShell of Azure CLI voor geautomatiseerde en herhaalbare implementaties, of infrastructure-as-code tools zoals Azure Resource Manager-templates, Bicep of Terraform voor volledig geautomatiseerde en versioned implementaties. De keuze voor het implementatiemiddel hangt af van de organisatorische voorkeur, bestaande DevOps-processen, de behoefte aan herhaalbaarheid en versionering van infrastructuurconfiguraties, en de complexiteit van de omgeving. Voor organisaties die infrastructure-as-code omarmen, is het sterk aanbevolen om hub Virtual Network-implementaties te automatiseren via templates of scripts, wat consistentie waarborgt, menselijke fouten reduceert, en het mogelijk maakt om configuraties te versioneren en te reviewen voordat ze worden geïmplementeerd.

Bij het aanmaken van het hub Virtual Network moet een geschikte IP-adresruimte worden geselecteerd die voldoende ruimte biedt voor alle gedeelde services en toekomstige uitbreidingen. Het hub Virtual Network moet worden geconfigureerd met meerdere subnetten voor verschillende doeleinden, waaronder een subnet voor Azure Firewall, een subnet voor VPN Gateway (GatewaySubnet), een subnet voor Azure Bastion, subnetten voor andere gedeelde services, en eventueel een subnet voor toekomstige services. Elk subnet moet voldoende groot zijn om de verwachte workloads te accommoderen, en subnetgrootten moeten worden gepland met toekomstige groei in gedachten. Het GatewaySubnet moet minimaal /27 (32 adressen) groot zijn en moet worden gereserveerd uitsluitend voor VPN Gateway-resources. Andere subnetten kunnen variëren in grootte afhankelijk van de verwachte workloads, maar moeten altijd rekening houden met Azure-subnetlimieten en toekomstige uitbreidingsmogelijkheden.

Gedeelde services moeten worden geïmplementeerd in het hub Virtual Network volgens de gedefinieerde architectuur. Azure Firewall moet worden geïmplementeerd in een dedicated subnet en moet worden geconfigureerd met de juiste firewallregels voor verkeer tussen hub en spokes. VPN Gateway, indien gebruikt voor hybride connectiviteit, moet worden geïmplementeerd in het GatewaySubnet en moet worden geconfigureerd met de juiste SKU en type voor de vereiste connectiviteit. Azure Bastion moet worden geïmplementeerd in een dedicated subnet voor beveiligde toegang tot virtuele machines in zowel hub als spokes. Andere gedeelde services zoals DNS-servers, Network Watcher, en monitoring-tools moeten ook worden geïmplementeerd volgens de architecturale specificaties. Alle services moeten worden geconfigureerd met de juiste beveiligingsinstellingen, Network Security Groups moeten worden toegepast op subnetten, en logging en monitoring moeten worden ingeschakeld voor alle kritieke services.

Network Security Groups en beveiligingsconfiguraties moeten worden geïmplementeerd in het hub Virtual Network om ervoor te zorgen dat alleen geautoriseerd verkeer wordt toegestaan. Hub-specifieke NSG-regels moeten worden geconfigureerd om verkeer tussen hub-services te controleren, verkeer van spokes naar hub-services te filteren, en onbevoegd verkeer te blokkeren. Azure Firewall moet worden geconfigureerd als centraal punt voor netwerkbeveiliging en routing, waarbij alle verkeer tussen spokes en naar het internet via de firewall wordt gerouteerd voor inspectie en filtering. Na voltooiing van de hub-implementatie moet connectiviteit en functionaliteit uitgebreid worden getest om te verifiëren dat alle services correct functioneren en dat de hub klaar is voor het koppelen van spoke Virtual Networks. Het bijbehorende PowerShell-script kan worden gebruikt om de hub-implementatie te valideren en om te controleren dat alle benodigde services correct zijn geconfigureerd.

Gebruik PowerShell-script vnet-peering-hub-spoke.ps1 (functie Invoke-Implementation) – Valideert hub Virtual Network-configuraties en controleert of alle gedeelde services correct zijn geïmplementeerd..

Spoke Virtual Network-implementatie

Spoke Virtual Networks worden geïmplementeerd om workloads te isoleren en te segmenteren terwijl ze toegang hebben tot gedeelde services in de hub. Elke spoke moet worden ontworpen met specifieke workloads of gebruiksscenario's in gedachten, en spokes moeten worden geïmplementeerd met niet-overlappende IP-adresbereiken om routingconflicten te voorkomen. De implementatie van spoke Virtual Networks volgt vergelijkbare patronen als hub-implementatie, maar met focus op workload-specifieke configuraties in plaats van gedeelde services. Spokes moeten worden geconfigureerd met subnetten die geschikt zijn voor de workloads die ze zullen hosten, en subnetten moeten worden geconfigureerd met Network Security Groups voor workload-specifieke netwerkfiltering.

Bij het plannen van spoke Virtual Networks moeten organisaties rekening houden met verschillende factoren, waaronder de verwachte workload-grootte en groei, de beveiligingsvereisten voor elke workload, de netwerkverkeerspatronen tussen workloads en hub-services, en de compliance-vereisten die van toepassing zijn. Elke spoke moet voldoende IP-adresruimte hebben om toekomstige groei te accommoderen, en subnetten moeten worden ontworpen met segmentatie in gedachten. Bijvoorbeeld, productie spokes kunnen worden geconfigureerd met striktere beveiligingsregels dan ontwikkelomgeving spokes, en gevoelige workloads kunnen worden geïsoleerd in dedicated spokes met extra beveiligingslagen.

Network Security Groups voor spokes moeten worden geconfigureerd om verkeer te filteren op basis van workload-vereisten. Spoke NSG-regels moeten worden ingesteld om alleen noodzakelijk verkeer toe te staan, om verkeer tussen spokes te blokkeren (tenzij specifiek vereist via hub), en om verkeer naar hub-services toe te staan volgens de gedefinieerde beveiligingsbeleidsregels. Spokes moeten worden geconfigureerd met gebruikersgedefinieerde routes (UDR's) om verkeer naar de hub te routeren via Azure Firewall wanneer nodig, en om ervoor te zorgen dat verkeer tussen spokes via de hub wordt gerouteerd voor inspectie en filtering. Na voltooiing van elke spoke-implementatie moet connectiviteit worden getest om te verifiëren dat workloads correct functioneren en dat netwerksegmentatie correct is geïmplementeerd.

VNet Peering-configuratie

VNet Peering-configuratie vormt de kern van de hub-spoke architectuur door connectiviteit te bieden tussen hub en spoke Virtual Networks. Azure VNet Peering maakt het mogelijk om twee Virtual Networks met elkaar te verbinden via het Microsoft-backbonenetwerk, waardoor resources in beide netwerken kunnen communiceren alsof ze zich in hetzelfde netwerk bevinden. Peering kan worden geconfigureerd als bidirectioneel (twee peerings, één in elke richting) of unidirectioneel, afhankelijk van de connectiviteitsvereisten. Voor hub-spoke architectuur worden typisch bidirectionele peerings geconfigureerd om communicatie in beide richtingen mogelijk te maken.

Bij het configureren van VNet Peering tussen hub en spokes moeten verschillende instellingen worden geconfigureerd. Gateway transit stelt spokes in staat om de VPN Gateway in de hub te gebruiken voor hybride connectiviteit, wat belangrijk is wanneer spokes verbinding moeten maken met on-premises netwerken. Remote gateway gebruik moet worden ingeschakeld in de hub-peering configuratie wanneer gateway transit wordt gebruikt. Gebruikersgedefinieerde routes (UDR's) moeten worden geconfigureerd in spoke subnetten om verkeer naar de hub te routeren via Azure Firewall wanneer centrale firewallfiltering vereist is. De peering-configuratie moet worden getest om te verifiëren dat connectiviteit correct werkt en dat routing naar verwachting functioneert.

Beveiligingsoverwegingen voor VNet Peering omvatten het configureren van Network Security Groups op zowel hub als spoke subnetten om verkeer te filteren, het gebruik van Azure Firewall voor gecentraliseerde verkeersinspectie, en het implementeren van netwerksegmentatie om laterale beweging te voorkomen. Peering-verbindingen zijn standaard beveiligd omdat verkeer via het Microsoft-backbonenetwerk loopt en nooit het publieke internet passeert, maar aanvullende beveiligingslagen moeten worden geïmplementeerd via NSG's en Azure Firewall. Na voltooiing van alle peering-configuraties moet uitgebreide connectiviteitstest worden uitgevoerd om te verifiëren dat alle componenten correct communiceren en dat beveiligingsregels correct worden toegepast.

Routing en transit

Routing en transit configuratie is essentieel voor het waarborgen dat netwerkverkeer correct wordt gerouteerd in een hub-spoke architectuur. Standaard routeren peered Virtual Networks verkeer alleen direct tussen zichzelf, maar met gateway transit en gebruikersgedefinieerde routes kunnen complexere routingpatronen worden geïmplementeerd. Gateway transit stelt spokes in staat om de VPN Gateway in de hub te gebruiken, wat belangrijk is voor hybride connectiviteit zonder dat elke spoke zijn eigen gateway nodig heeft. Deze configuratie bespaart kosten en vereenvoudigt beheer door gecentraliseerde gateway-resources.

Gebruikersgedefinieerde routes (UDR's) moeten worden geconfigureerd om verkeer tussen spokes via de hub te routeren wanneer centrale verkeersinspectie vereist is. Deze routes moeten verkeer van spoke subnetten naar de Azure Firewall in de hub routeren, waardoor alle inter-spoke communicatie via de firewall wordt geïnspecteerd en gefilterd. UDR's moeten ook worden geconfigureerd voor uitgaand internetverkeer om ervoor te zorgen dat alle verkeer via Azure Firewall wordt gerouteerd voor inspectie en filtering. Route tables moeten worden geassocieerd met de juiste subnetten en moeten worden getest om te verifiëren dat routing correct functioneert.

Azure Firewall moet worden geconfigureerd als centraal routeringspunt voor verkeer tussen spokes en voor uitgaand internetverkeer. Firewallregels moeten worden geconfigureerd om verkeer tussen verschillende spokes toe te staan of te blokkeren volgens beveiligingsbeleidsregels, en om uitgaand internetverkeer te filteren op basis van FQDN's, IP-adressen, of andere criteria. Network rules en application rules moeten worden geconfigureerd om de gewenste verkeerspatronen te implementeren, en threat intelligence-based filtering moet worden ingeschakeld om kwaadaardig verkeer te blokkeren. Na configuratie van alle routing en firewallregels moet uitgebreide test worden uitgevoerd om te verifiëren dat verkeer correct wordt gerouteerd en gefilterd.

Monitoring en validatie

Effectieve en continue monitoring van VNet Peering-verbindingen en hub-spoke architectuur vormt de hoeksteen van een robuuste netwerkbeveiligingsstrategie en is absoluut essentieel om te garanderen dat netwerkconnectiviteit intact blijft gedurende de volledige levenscyclus van de cloud-infrastructuur. Zonder adequate monitoring kunnen connectiviteitsproblemen, beveiligingsincidenten, en prestatieproblemen onopgemerkt blijven, waardoor de netwerkbeveiligingspositie van organisaties wordt gecompromitteerd zonder dat dit wordt gedetecteerd. Monitoring moet zich richten op meerdere kritieke aspecten van de hub-spoke implementatie, waaronder de continue beschikbaarheid en gezondheid van VNet Peering-verbindingen, de prestaties en latency van verkeer tussen hub en spokes, de status van gedeelde services in de hub, en de detectie van ongebruikelijke verkeerspatronen die kunnen wijzen op beveiligingsincidenten of misbruik.

Azure Monitor en Azure Network Watcher bieden uitgebreide en krachtige mogelijkheden voor het volgen van VNet Peering-verbindingen, het analyseren van verkeerspatronen, en het detecteren van afwijkingen in het normale verkeersgedrag. Deze tools stellen netwerkbeheerders in staat om real-time inzicht te verkrijgen in alle netwerkactiviteit en om automatisch waarschuwingen te genereren wanneer connectiviteitsproblemen worden geïdentificeerd of wanneer verdachte patronen worden gedetecteerd. VNet Peering-metrics zoals peering-status, verkeersvolumes, en latency kunnen worden gemonitord via Azure Monitor, en custom dashboards kunnen worden geconfigureerd om een overzicht te bieden van alle peering-verbindingen en hun status. Daarnaast kunnen Log Analytics-werkruimten worden gebruikt om geavanceerde queries uit te voeren op netwerklogs, om trendanalyses uit te voeren, en om geautomatiseerde waarschuwingen te configureren die worden geactiveerd wanneer peerings uitvallen, wanneer verkeersdrempels worden overschreden, of wanneer onverwacht verkeer wordt gedetecteerd.

Regelmatige en systematische verificatie van VNet Peering-configuraties moet worden uitgevoerd volgens een vastgesteld schema om te controleren dat alle peering-verbindingen correct zijn geconfigureerd, dat routingconfiguraties voldoen aan architecturale specificaties, en dat er geen configuratiedrift heeft plaatsgevonden. Deze verificatieprocessen kunnen worden geautomatiseerd door middel van Azure Policy, PowerShell-scripts zoals het bijbehorende script bij dit artikel, of andere infrastructure-as-code tools, waardoor de consistentie en volledigheid van de configuratie worden gegarandeerd. Geautomatiseerde scans kunnen worden geïmplementeerd die periodiek alle VNet Peering-verbindingen controleren en proactief waarschuwingen genereren wanneer configuratieproblemen worden gedetecteerd of wanneer verbindingen niet voldoen aan de gestelde beveiligingsstandaarden. Deze scans moeten deel uitmaken van een continu compliance-monitoringproces dat ervoor zorgt dat beveiligingsstandaarden worden gehandhaafd en dat nieuwe verbindingen automatisch worden geconfigureerd volgens de vastgestelde best practices en organisatorische beleidsregels.

Gebruik PowerShell-script vnet-peering-hub-spoke.ps1 (functie Invoke-Monitoring) – Voert een read-only validatie uit van VNet Peering-configuraties en toont een samenvatting van de huidige status..

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Azure VNet Peering Hub-Spoke Implementatie en Validatie .DESCRIPTION Dit script ondersteunt Nederlandse overheidsorganisaties bij het implementeren en valideren van VNet Peering in een hub-spoke architectuur in Azure-omgevingen. Het script controleert of VNet Peering-verbindingen correct zijn geconfigureerd tussen hub en spoke Virtual Networks, valideert peering-instellingen zoals gateway transit, en genereert implementatie- en validatierapportages. Het script is ontworpen om veilig lokaal of vanuit een beheerde automation-runner te draaien met READ-ONLY rechten voor monitoring, en met beperkte schrijfrechten voor remediatie. Het voert implementatiewijzigingen alleen uit na expliciete bevestiging of in WhatIf-modus. .NOTES Filename: vnet-peering-hub-spoke.ps1 Author: Nederlandse Baseline voor Veilige Cloud Created: 2025-01-28 Version: 1.0 Related JSON: content/azure/network/vnet-peering-hub-spoke.json Category: network Workload: azure .LINK https://github.com/m365-tenant-best-practise .EXAMPLE .\vnet-peering-hub-spoke.ps1 -Monitoring Voert een read-only validatie uit van alle VNet Peering-configuraties en toont een samenvatting van de huidige status. .EXAMPLE .\vnet-peering-hub-spoke.ps1 -Remediation -WhatIf Genereert een rapport met concrete aanbevelingen zonder wijzigingen aan te brengen. .EXAMPLE .\vnet-peering-hub-spoke.ps1 -Remediation Configureert ontbrekende VNet Peering-verbindingen tussen hub en spoke Virtual Networks. #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Network, Az.Resources [CmdletBinding()] param( [Parameter(HelpMessage = "Voer een read-only validatie uit van alle VNet Peering-configuraties")] [switch]$Monitoring, [Parameter(HelpMessage = "Configureer ontbrekende VNet Peering-verbindingen tussen hub en spoke Virtual Networks")] [switch]$Remediation, [Parameter(HelpMessage = "Draai implementatiewijzigingen terug (indien mogelijk)")] [switch]$Revert, [Parameter(HelpMessage = "Toon welke acties zouden worden uitgevoerd zonder deze echt uit te voeren")] [switch]$WhatIf, [Parameter(HelpMessage = "Optioneel pad om resultaten als JSON te exporteren")] [string]$ExportPath ) $ErrorActionPreference = 'Stop' # ============================================================================ # HEADER # ============================================================================ Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Azure VNet Peering Hub-Spoke – Validatie" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan # ============================================================================ # HULPFUNCTIES # ============================================================================ function Connect-NbvvcAzContext { <# .SYNOPSIS Zorgt voor een geldige Az-context voor leesacties .DESCRIPTION Probeert eerst een bestaande context te gebruiken. Als er geen context is, wordt Connect-AzAccount aangeroepen. Dit is geschikt voor lokale debug- scenario's met een interactieve sessie of een managed identity. #> [CmdletBinding()] param() try { $context = Get-AzContext -ErrorAction SilentlyContinue if (-not $context) { Write-Host "Geen actieve Azure-context gevonden. Probeer te verbinden..." -ForegroundColor Yellow Connect-AzAccount -ErrorAction Stop | Out-Null $context = Get-AzContext -ErrorAction Stop } Write-Host "Actieve Azure-context: $($context.Subscription.Name) [$($context.Subscription.Id)]" -ForegroundColor Gray return $context } catch { Write-Host "[FAIL] Kon geen geldige Azure-context verkrijgen: $_" -ForegroundColor Red throw } } function Get-NbvvcVNetPeeringStatus { <# .SYNOPSIS Verzamelt de implementatiestatus van VNet Peering-verbindingen .DESCRIPTION Haalt de implementatiestatus op van VNet Peerings, identificeert hub en spoke Virtual Networks, controleert peering-configuraties en genereert een overzicht van de huidige hub-spoke architectuur. .OUTPUTS Hashtable met VNet Peering-implementatiestatus per component #> [CmdletBinding()] param() $status = @{ timestamp = Get-Date subscriptionId = (Get-AzContext).Subscription.Id virtualNetworks = @{ totalCount = 0 hubVNetCount = 0 spokeVNetCount = 0 vnetDetails = @() } peerings = @{ totalCount = 0 connectedCount = 0 disconnectedCount = 0 peeringDetails = @() } findings = @() } Write-Host "`nValidatie van VNet Peering Hub-Spoke configuraties (read-only)..." -ForegroundColor Yellow # Virtual Networks - Inventariseer alle Virtual Networks try { $vnets = Get-AzVirtualNetwork -ErrorAction SilentlyContinue $status.virtualNetworks.totalCount = $vnets.Count Write-Host " Virtual Networks: $($vnets.Count) gevonden" -ForegroundColor Gray foreach ($vnet in $vnets) { $peeringCount = ($vnet.VirtualNetworkPeerings | Measure-Object).Count $isHub = $false # Eenvoudige heuristiek: VNet met meeste peerings wordt beschouwd als hub # In productie moet dit worden bepaald op basis van naming conventions of tags if ($peeringCount -gt 2) { $isHub = $true $status.virtualNetworks.hubVNetCount++ } elseif ($peeringCount -gt 0) { $status.virtualNetworks.spokeVNetCount++ } $vnetDetail = @{ name = $vnet.Name resourceGroup = $vnet.ResourceGroupName location = $vnet.Location id = $vnet.Id addressSpace = $vnet.AddressSpace.AddressPrefixes -join ", " peeringCount = $peeringCount isHub = $isHub subnetCount = ($vnet.Subnets | Measure-Object).Count } $status.virtualNetworks.vnetDetails += $vnetDetail } if ($vnets.Count -eq 0) { $status.findings += "Geen Virtual Networks gevonden; overweeg implementatie van hub-spoke architectuur." } elseif ($status.virtualNetworks.hubVNetCount -eq 0) { $status.findings += "Geen duidelijk hub Virtual Network geïdentificeerd; overweeg hub-spoke architectuur implementatie." } } catch { Write-Host " [WARN] Kon Virtual Networks niet volledig inventariseren: $_" -ForegroundColor Yellow $status.findings += "Kon Virtual Networks niet volledig inventariseren; controleer rechten en Az.Network-module." } # VNet Peerings - Controleer peering-verbindingen try { $allPeerings = @() foreach ($vnet in $vnets) { foreach ($peering in $vnet.VirtualNetworkPeerings) { $peeringDetail = @{ name = $peering.Name vnetName = $vnet.Name vnetResourceGroup = $vnet.ResourceGroupName remoteVNetId = $peering.RemoteVirtualNetwork.Id remoteVNetName = ($peering.RemoteVirtualNetwork.Id -split '/')[-1] peeringState = $peering.PeeringState allowVirtualNetworkAccess = $peering.AllowVirtualNetworkAccess allowForwardedTraffic = $peering.AllowForwardedTraffic allowGatewayTransit = $peering.AllowGatewayTransit useRemoteGateways = $peering.UseRemoteGateways } $allPeerings += $peeringDetail $status.peerings.totalCount++ if ($peering.PeeringState -eq 'Connected') { $status.peerings.connectedCount++ } else { $status.peerings.disconnectedCount++ } } } $status.peerings.peeringDetails = $allPeerings Write-Host " VNet Peerings: $($status.peerings.totalCount) gevonden" -ForegroundColor Gray Write-Host " Verbonden: $($status.peerings.connectedCount)" -ForegroundColor $(if ($status.peerings.connectedCount -gt 0) { "Green" } else { "Yellow" }) Write-Host " Niet verbonden: $($status.peerings.disconnectedCount)" -ForegroundColor $(if ($status.peerings.disconnectedCount -eq 0) { "Green" } else { "Red" }) if ($status.peerings.disconnectedCount -gt 0) { $status.findings += "$($status.peerings.disconnectedCount) VNet Peering(s) niet verbonden; controleer peering-configuraties." } if ($status.peerings.totalCount -eq 0 -and $vnets.Count -gt 1) { $status.findings += "Meerdere Virtual Networks gevonden maar geen VNet Peerings geconfigureerd; overweeg hub-spoke architectuur implementatie." } } catch { Write-Host " [WARN] Kon VNet Peerings niet volledig inventariseren: $_" -ForegroundColor Yellow $status.findings += "Kon VNet Peerings niet volledig inventariseren; controleer rechten en Az.Network-module." } return $status } function Invoke-Monitoring { <# .SYNOPSIS Voert een read-only VNet Peering-implementatievalidatie uit .DESCRIPTION Gebruikt implementatiecontroles om inzicht te geven in de huidige VNet Peering-configuraties per component. Dit helpt bij het prioriteren van implementatietrajecten en het identificeren van ontbrekende of onjuist geconfigureerde peering-verbindingen. .OUTPUTS Hashtable met samenvattende metrics en status per component #> [CmdletBinding()] param() $null = Connect-NbvvcAzContext $status = Get-NbvvcVNetPeeringStatus Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "SAMENVATTING VNET PEERING HUB-SPOKE STATUS" -ForegroundColor Cyan Write-Host "`n Virtual Networks:" -ForegroundColor Yellow Write-Host " Totaal aantal : $($status.virtualNetworks.totalCount)" -ForegroundColor Gray Write-Host " Hub VNets : $($status.virtualNetworks.hubVNetCount)" -ForegroundColor $(if ($status.virtualNetworks.hubVNetCount -gt 0) { "Green" } else { "Yellow" }) Write-Host " Spoke VNets : $($status.virtualNetworks.spokeVNetCount)" -ForegroundColor Gray Write-Host "`n VNet Peerings:" -ForegroundColor Yellow Write-Host " Totaal aantal : $($status.peerings.totalCount)" -ForegroundColor Gray Write-Host " Verbonden : $($status.peerings.connectedCount)" -ForegroundColor $(if ($status.peerings.connectedCount -eq $status.peerings.totalCount -and $status.peerings.totalCount -gt 0) { "Green" } else { "Yellow" }) Write-Host " Niet verbonden : $($status.peerings.disconnectedCount)" -ForegroundColor $(if ($status.peerings.disconnectedCount -eq 0) { "Green" } else { "Red" }) if ($status.peerings.peeringDetails.Count -gt 0) { Write-Host "`n Peering Details:" -ForegroundColor Yellow foreach ($peering in ($status.peerings.peeringDetails | Select-Object -First 10)) { $stateColor = if ($peering.peeringState -eq 'Connected') { "Green" } else { "Red" } Write-Host " - $($peering.vnetName) <-> $($peering.remoteVNetName): $($peering.peeringState)" -ForegroundColor $stateColor if ($peering.allowGatewayTransit -or $peering.useRemoteGateways) { Write-Host " Gateway Transit: Enabled" -ForegroundColor Gray } } if ($status.peerings.peeringDetails.Count -gt 10) { Write-Host " ... en $($status.peerings.peeringDetails.Count - 10) meer" -ForegroundColor Gray } } $allFindings = @() $allFindings += $status.findings if ($allFindings.Count -gt 0) { Write-Host "`nAandachtspunten:" -ForegroundColor Yellow foreach ($f in $allFindings) { Write-Host " - $f" -ForegroundColor Yellow } } else { Write-Host "`nGeen specifieke aandachtspunten gedetecteerd op basis van deze scan." -ForegroundColor Green } return @{ status = $status } } function Invoke-Remediation { <# .SYNOPSIS Configureert ontbrekende VNet Peering-verbindingen .DESCRIPTION Op basis van de implementatievalidatie worden ontbrekende of onjuist geconfigureerde VNet Peering-verbindingen geïdentificeerd en geconfigureerd. Het script voert implementatiewijzigingen alleen uit na expliciete bevestiging of in WhatIf-modus. #> [CmdletBinding(SupportsShouldProcess)] param() if ($WhatIf) { Write-Host "`nWhatIf: er wordt een implementatieplan gegenereerd op basis van validatie, maar er vinden geen wijzigingen plaats." -ForegroundColor Yellow } $result = Invoke-Monitoring $status = $result.status $recommendations = @() $actions = @() # Identificeer Virtual Networks zonder peerings $vnetsWithoutPeerings = $status.virtualNetworks.vnetDetails | Where-Object { $_.peeringCount -eq 0 } if ($vnetsWithoutPeerings.Count -gt 1) { $recommendations += "Implementeer VNet Peering tussen $($vnetsWithoutPeerings.Count) Virtual Networks voor hub-spoke architectuur." Write-Host "`nOpmerking: Automatische peering-configuratie vereist handmatige identificatie van hub en spoke Virtual Networks." -ForegroundColor Yellow Write-Host "Raadpleeg de documentatie voor handmatige configuratie via Azure Portal of met specifieke hub/spoke namen." -ForegroundColor Gray } # Identificeer niet-verbonden peerings $disconnectedPeerings = $status.peerings.peeringDetails | Where-Object { $_.peeringState -ne 'Connected' } if ($disconnectedPeerings.Count -gt 0) { $recommendations += "Controleer en herstel $($disconnectedPeerings.Count) niet-verbonden VNet Peering-verbinding(en)." foreach ($peering in $disconnectedPeerings) { $action = @{ Type = "ReviewPeering" PeeringName = $peering.name VNetName = $peering.vnetName RemoteVNetName = $peering.remoteVNetName State = $peering.peeringState } $actions += $action if ($WhatIf) { Write-Host "`n WHAT IF: Zou peering '$($peering.name)' tussen '$($peering.vnetName)' en '$($peering.remoteVNetName)' controleren (status: $($peering.peeringState))" -ForegroundColor Cyan } else { Write-Host "`n Controleer peering: $($peering.name) tussen $($peering.vnetName) en $($peering.remoteVNetName)" -ForegroundColor Gray Write-Host " Status: $($peering.peeringState)" -ForegroundColor Yellow Write-Host " [INFO] Handmatige interventie vereist voor het oplossen van niet-verbonden peerings." -ForegroundColor Gray } } } else { $recommendations += "Alle VNet Peerings zijn verbonden; geen implementatie-acties vereist." } Write-Host "`nAanbevolen vervolgstappen:" -ForegroundColor Cyan foreach ($rec in $recommendations) { Write-Host " - $rec" -ForegroundColor White } $report = @{ generatedAt = Get-Date subscriptionId = $status.subscriptionId recommendations = $recommendations plannedActions = $actions status = $status } if ($ExportPath) { if ($PSCmdlet.ShouldProcess($ExportPath, "Schrijf VNet Peering-implementatie rapport naar JSON-bestand")) { $report | ConvertTo-Json -Depth 6 | Out-File -FilePath $ExportPath -Encoding UTF8 Write-Host "`n[OK] Rapport geschreven naar: $ExportPath" -ForegroundColor Green } } } function Invoke-Revert { <# .SYNOPSIS Draai implementatiewijzigingen terug .DESCRIPTION Dit script voert implementatiewijzigingen alleen uit na expliciete bevestiging. Revert-functionaliteit is beperkt omdat VNet Peering-configuraties complex zijn en handmatige interventie vereisen. De functie is aanwezig voor consistentie met andere scripts binnen de Nederlandse Baseline voor Veilige Cloud. #> [CmdletBinding(SupportsShouldProcess)] param() Write-Host "`nVNet Peering-implementaties vereisen handmatige interventie voor revert-operaties." -ForegroundColor Yellow Write-Host "Raadpleeg de documentatie en Azure-portal voor specifieke revert-stappen per peering-verbinding." -ForegroundColor Gray } function Invoke-Implementation { <# .SYNOPSIS Implementeert de configuratie .DESCRIPTION Alias voor Invoke-Remediation voor consistentie met andere scripts #> [CmdletBinding()] param() Invoke-Remediation } # ============================================================================ # MAIN EXECUTION # ============================================================================ try { if ($Revert) { Invoke-Revert } elseif ($Remediation) { Invoke-Remediation } elseif ($Monitoring) { $null = Invoke-Monitoring } else { Write-Host "Beschikbare parameters:" -ForegroundColor Yellow Write-Host " -Monitoring : Voer een read-only VNet Peering-implementatievalidatie uit" -ForegroundColor Gray Write-Host " -Remediation : Configureer ontbrekende VNet Peering-verbindingen" -ForegroundColor Gray Write-Host " -Revert : Beperkte revert-functionaliteit (handmatige interventie vereist)" -ForegroundColor Gray Write-Host " -WhatIf : Toon welke acties logisch zouden zijn zonder uitvoer" -ForegroundColor Gray Write-Host " -ExportPath : Optioneel pad voor JSON-rapport" -ForegroundColor Gray Write-Host "`nVoorbeeld: .\vnet-peering-hub-spoke.ps1 -Monitoring" -ForegroundColor Cyan } } catch { Write-Error "Scriptuitvoering mislukt: $_" exit 2 } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan } # Exitcodes: # 0 = Succesvolle uitvoering # 2 = Fout tijdens uitvoering

Risico zonder implementatie

Risico zonder implementatie
High: Zonder een goed ontworpen hub-spoke VNet Peering-architectuur worden organisaties geconfronteerd met aanzienlijke operationele uitdagingen en beveiligingsrisico's. Een vlakke netwerkarchitectuur zonder duidelijke segmentatie maakt laterale beweging door aanvallers mogelijk, waardoor een compromittering van één workload kan leiden tot toegang tot alle workloads binnen hetzelfde Virtual Network. Het ontbreken van gecentraliseerde services betekent dat organisaties dure resources zoals VPN Gateways en Azure Firewalls moeten dupliceren voor elke workload, wat leidt tot onnodige kosten en complexiteit. Compliance-frameworks zoals NIS2 Artikel 21 en BIO norm 13.01 vereisen expliciet netwerksegmentatie en -isolatie. Zonder correct geconfigureerde hub-spoke VNet Peering-architectuur kunnen organisaties niet aantonen dat ze voldoen aan deze vereisten, wat kan leiden tot boetes, reputatieschade, en het verlies van vertrouwen van burgers en stakeholders.

Management Samenvatting

Hub-spoke VNet Peering implementeren: Configureer een hub Virtual Network met gedeelde services zoals Azure Firewall en VPN Gateway, implementeer spoke Virtual Networks voor workload-isolatie, configureer bidirectionele VNet Peering tussen hub en spokes met gateway transit, implementeer gebruikersgedefinieerde routes voor gecentraliseerde verkeersinspectie, en monitoreer alle peering-verbindingen. De kosten bedragen ongeveer €0 per peering-verbinding (alleen data-transfer kosten), plus kosten voor gedeelde services in de hub. Implementatie vereist zes kritieke stappen: plan hub-spoke topologie en IP-adresbereiken, implementeer hub Virtual Network met gedeelde services, implementeer spoke Virtual Networks voor workloads, configureer VNet Peering met gateway transit, configureer routing en Azure Firewall voor gecentraliseerde beveiliging, en implementeer monitoring en validatie. Deze maatregel is verplicht voor compliance met NIS2, Zero Trust-architectuur, ISO 27001 en BIO. De implementatietijd bedraagt ongeveer 60 tot 100 uur afhankelijk van het aantal spokes en de complexiteit van de omgeving. Hub-spoke VNet Peering is essentieel voor schaalbare, beveiligde en beheersbare cloudnetwerkarchitectuur. Het bijbehorende PowerShell-script valideert automatisch of VNet Peering-verbindingen correct zijn geconfigureerd, controleert peering-status en connectiviteit, identificeert configuratieproblemen, en genereert compliance-rapportages.