💼 Management Samenvatting
Openbare netwerktoegang moet worden uitgeschakeld voor Azure Storage-accounts om de beveiliging te maximaliseren en te voldoen aan moderne beveiligingsstandaarden en compliance-vereisten. Toegang dient uitsluitend plaats te vinden via privé-eindpunten binnen een virtueel netwerk, wat een fundamentele component vormt van een effectieve Zero Trust-beveiligingsarchitectuur.
Aanbeveling
Implementeer na configuratie van privé-eindpunten
Risico zonder
High
Risk Score
8/10
Implementatie
5u (tech: 3u)
Van toepassing op:
✓ Azure
Openbare eindpunten stellen Azure Storage-accounts bloot aan het openbare internet, waardoor ze kwetsbaar zijn voor aanvallen van overal ter wereld en blootstaan aan constante scanning en exploitatiepogingen door kwaadwillende actoren. Privé-eindpunten elimineren dit aanvalsoppervlak volledig door alle verkeer binnen het virtuele netwerk te houden, externe toegang te blokkeren en een gecontroleerde, geïsoleerde netwerkomgeving te creëren die voldoet aan de hoogste beveiligingsstandaarden.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.opslag
Connection:
Connect-AzAccountRequired Modules: Az.opslag
Implementatie
De instelling PublicNetworkAccess wordt uitgeschakeld op het niveau van het Azure Storage-account, waardoor toegang alleen mogelijk is via privé-eindpunten die zijn geconfigureerd binnen een virtueel netwerk. Deze configuratie zorgt voor volledige netwerkisolatie tussen het openbare internet en de opslagaccounts, elimineert onbeveiligde netwerkverbindingen en verhoogt de beveiligingspostuur van de organisatie aanzienlijk door het implementeren van defense-in-depth-principes.
Vereisten
Het uitschakelen van openbare netwerktoegang voor Azure Storage-accounts is een kritieke beveiligingsmaatregel die echter niet zonder voorbereiding kan worden geïmplementeerd. Voordat organisaties deze belangrijke stap kunnen zetten, moeten zij eerst een volledige infrastructuur van privé-eindpunten opzetten en configureren. Privé-eindpunten vormen de absolute voorwaarde voor het succesvol uitschakelen van openbare netwerktoegang, omdat zij de enige toegangsmethode vormen zodra openbare netwerktoegang is gedeactiveerd. Zonder correct geconfigureerde en operationele privé-eindpunten verliezen alle applicaties, services en gebruikers onmiddellijk hun toegang tot de opslagaccounts, wat kan resulteren in ernstige serviceonderbrekingen, dataverlies en aanzienlijke operationele problemen die de continuïteit van bedrijfsprocessen kunnen verstoren. De implementatie van privé-eindpunten vereist uitgebreide planning, coördinatie en samenwerking tussen verschillende technische teams binnen de organisatie. Het proces begint met de identificatie en evaluatie van het bestaande netwerkinfrastructuur. Ten eerste moet er een geschikt virtueel netwerk beschikbaar zijn waarin de privé-eindpunten kunnen worden geplaatst en geconfigureerd. Dit virtuele netwerk moet niet alleen bestaan, maar ook correct zijn geconfigureerd met de juiste subnetten, route tabellen en netwerkbeveiligingsgroepen die de beveiligingsvereisten van de organisatie ondersteunen. Het virtuele netwerk moet bovendien verbinding hebben met alle systemen, applicaties en services die toegang nodig hebben tot de opslagaccounts. Dit omvat zowel cloud-gebaseerde resources als on-premises systemen die mogelijk toegang nodig hebben tot de opslag. Voor hybride scenario's waarbij on-premises systemen toegang nodig hebben tot Azure Storage-accounts via privé-eindpunten, is aanvullende netwerkinfrastructuur vereist. Organisaties moeten een VPN-verbinding of ExpressRoute-circuit hebben geconfigureerd dat een veilige, versleutelde verbinding biedt tussen het on-premises netwerk en het Azure virtuele netwerk. Deze verbindingen moeten voldoende bandbreedte en beschikbaarheid bieden om de verwachte dataverkeer te ondersteunen zonder performanceproblemen. ExpressRoute biedt daarbij voordelen ten opzichte van VPN-verbindingen, zoals lagere latentie, hogere betrouwbaarheid en voorspelbare prestaties, wat vooral belangrijk is voor productieomgevingen met hoge dataverwerkingsvereisten. Naast de netwerkinfrastructuur moeten netwerkbeheerders en DNS-specialisten ervoor zorgen dat de juiste DNS-configuratie is ingesteld en operationeel is. Privé-eindpunten maken gebruik van Azure Private DNS-zones om de resolutie van opslagaccountnamen naar privé IP-adressen mogelijk te maken. Zonder correcte DNS-configuratie kunnen applicaties en services de privé-eindpunten niet vinden, zelfs niet wanneer de privé-eindpunten technisch correct zijn geconfigureerd. Dit resulteert in connectiviteitsfouten en maakt de opslagaccounts ontoegankelijk. De DNS-configuratie moet worden gekoppeld aan het virtuele netwerk en alle relevante DNS-records moeten correct zijn ingesteld voor alle benodigde opslagaccounttypen, inclusief blob storage, file storage en queue storage. Organisaties moeten ook uitgebreid rekening houden met de kostenaspecten van deze implementatie. Hoewel het uitschakelen van openbare netwerktoegang zelf geen extra kosten met zich meebrengt, brengen privé-eindpunten wel aanzienlijke kosten met zich mee die moeten worden meegenomen in de budgetplanning. Elke privé-eindpuntverbinding heeft een maandelijkse kostencomponent die afhankelijk is van het aantal geconfigureerde eindpunten en de regio waarin ze zijn geïmplementeerd. Daarnaast kunnen er kosten verbonden zijn aan de Private DNS-zones en de dataverwerking via de privé-eindpunten. Organisaties moeten een gedetailleerde kostenanalyse uitvoeren voordat zij beginnen met de implementatie om te voorkomen dat zij worden geconfronteerd met onverwachte kosten die het projectbudget kunnen overschrijden. Ten slotte is het essentieel dat alle afhankelijke systemen, applicaties en geautomatiseerde processen grondig zijn getest voordat openbare netwerktoegang wordt uitgeschakeld. Dit omvat het verifiëren dat alle benodigde services, applicaties en scripts toegang hebben via de privé-eindpunten en dat zij correct kunnen communiceren met de opslagaccounts. Organisaties moeten ook controleren of er geen verborgen afhankelijkheden zijn van openbare netwerktoegang, zoals externe integraties, backup-systemen of monitoringtools die mogelijk nog gebruikmaken van de openbare eindpunten. Een uitgebreide testfase in een niet-productieomgeving voorkomt onverwachte serviceonderbrekingen en zorgt voor een soepele, gecontroleerde overgang naar een volledig privé netwerkmodel dat voldoet aan de hoogste beveiligingsstandaarden.
Bewaking
Gebruik PowerShell-script public-network-access-disabled.ps1 (functie Invoke-Monitoring) – Controleren.
Het monitoren van de status van openbare netwerktoegang voor Azure Storage-accounts vormt een fundamentele en kritieke beveiligingstaak die regelmatig en systematisch moet worden uitgevoerd door organisaties die streven naar een hoog niveau van netwerkbeveiliging. Deze monitoringactiviteit is essentieel omdat de beveiligingsconfiguratie van opslagaccounts kan veranderen door verschillende oorzaken, waaronder onbedoelde wijzigingen door beheerders, geautomatiseerde scripts die niet correct zijn geconfigureerd, of zelfs kwaadwillende activiteiten. Organisaties moeten daarom een gestructureerde, geautomatiseerde aanpak hanteren om ervoor te zorgen dat alle Azure Storage-accounts binnen hun omgeving consistent zijn geconfigureerd met uitgeschakelde openbare netwerktoegang, wat een cruciale component vormt van een effectieve defense-in-depth-beveiligingsstrategie. De monitoringprocedure begint met een volledige inventarisatie van alle Azure Storage-accounts binnen de organisatie, ongeacht hun omgeving of gebruik. Dit omvat zowel productie- als niet-productieomgevingen, omdat beveiligingsrisico's en configuratiefouten in alle omgevingen kunnen voorkomen en omdat een kwetsbaarheid in een niet-productieomgeving kan worden gebruikt als springplank voor aanvallen op productiesystemen. De inventarisatie moet ook rekening houden met opslagaccounts in verschillende Azure-abonnementen, resourcegroepen en regio's, omdat moderne organisaties vaak gebruikmaken van meerdere Azure-abonnementen voor verschillende doeleinden zoals ontwikkeling, testen, acceptatie en productie. Het gebruik van geautomatiseerde scripts, zoals het bijbehorende PowerShell-script dat specifiek is ontwikkeld voor deze monitoringtaak, maakt het mogelijk om alle accounts systematisch en efficiënt te controleren zonder handmatige tussenkomst, wat niet alleen tijd bespaart maar ook de kans op menselijke fouten aanzienlijk vermindert. Tijdens de controle wordt de eigenschap PublicNetworkAccess gecontroleerd voor elk individueel opslagaccount binnen de organisatie. Deze eigenschap kan de waarden 'Enabled' of 'Disabled' hebben, waarbij 'Enabled' betekent dat het opslagaccount toegankelijk is via het openbare internet en 'Disabled' betekent dat toegang alleen mogelijk is via privé-eindpunten. Voor optimale beveiliging en naleving van beveiligingsstandaarden moet deze waarde altijd 'Disabled' zijn voor alle opslagaccounts die gevoelige of vertrouwelijke gegevens bevatten, tenzij er specifieke, goed gedocumenteerde en goedgekeurde bedrijfsvereisten zijn die openbare toegang rechtvaardigen. In dergelijke uitzonderingsgevallen moet deze uitzondering worden gedocumenteerd met een duidelijke rechtvaardiging, een risicoanalyse, een goedgekeuringsproces door de beveiligingsafdeling en een regelmatige herbeoordeling om te bepalen of de uitzondering nog steeds nodig is. Deze documentatie is essentieel voor compliance-audits en helpt organisaties om een duidelijk overzicht te behouden van hun beveiligingsconfiguratie. Naast het controleren van de status van openbare netwerktoegang, moeten organisaties ook uitgebreid verifiëren dat privé-eindpunten correct zijn geconfigureerd, operationeel zijn en daadwerkelijk toegang bieden tot de opslagaccounts. Een opslagaccount met uitgeschakelde openbare toegang maar zonder werkende privé-eindpunten is in feite volledig ontoegankelijk, wat kan wijzen op een configuratiefout, een onvolledige migratie, of een probleem met de netwerkinfrastructuur. De monitoring moet daarom ook controleren of voor elk opslagaccount met uitgeschakelde openbare toegang ten minste één werkend privé-eindpunt is geconfigureerd en of dit privé-eindpunt daadwerkelijk verbindingen kan verwerken. Dit omvat het verifiëren van de DNS-configuratie, de netwerkconnectiviteit en de operationele status van de privé-eindpunten. Het is sterk aanbevolen om deze controles minimaal maandelijks uit te voeren, of vaker indien er wijzigingen zijn in de infrastructuur, nieuwe opslagaccounts worden toegevoegd, of wanneer er wijzigingen zijn in de beveiligingsconfiguratie. Voor organisaties met een hoge beveiligingsvereiste of die voldoen aan strikte compliance-standaarden kan wekelijkse of zelfs dagelijkse monitoring worden overwogen. Geautomatiseerde monitoringoplossingen kunnen worden geconfigureerd om proactief waarschuwingen te genereren wanneer een opslagaccount onverwacht openbare netwerktoegang heeft ingeschakeld, wanneer een privé-eindpunt niet meer operationeel is, of wanneer er andere configuratiewijzigingen worden gedetecteerd. Deze waarschuwingen moeten worden geïntegreerd in het bestaande security operations center (SOC) of monitoringplatform van de organisatie, zodat beveiligingsteams onmiddellijk kunnen reageren op potentiële beveiligingsincidenten. De resultaten van de monitoring moeten worden gedocumenteerd in een gestructureerd formaat en regelmatig worden gerapporteerd aan relevante stakeholders, waaronder de beveiligingsafdeling, IT-beheer, compliance-officers en het management. Deze rapportages moeten een duidelijk overzicht bevatten van de compliance-status, eventuele afwijkingen, trends over tijd en aanbevelingen voor verbetering. Eventuele afwijkingen moeten onmiddellijk worden onderzocht om te bepalen of zij het gevolg zijn van een configuratiefout, een onbevoegde wijziging, of een legitieme uitzondering die nog niet is gedocumenteerd. Afwijkingen moeten worden gecorrigeerd volgens het incident response-proces van de organisatie, waarbij de prioriteit wordt bepaald op basis van het risiconiveau en de potentiële impact op de beveiliging. Door consistente, gestructureerde monitoring kunnen organisaties hun beveiligingspostuur handhaven, proactief reageren op bedreigingen en voldoen aan compliance-vereisten zoals die zijn vastgelegd in de BIO-normen, ISO 27001 en andere relevante beveiligingsstandaarden die van toepassing zijn op Nederlandse overheidsorganisaties.
Remediatie
Gebruik PowerShell-script public-network-access-disabled.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer een Azure Storage-account openbare netwerktoegang heeft ingeschakeld terwijl deze configuratie niet overeenkomt met het beveiligingsbeleid en de compliance-vereisten van de organisatie, moet deze configuratie onmiddellijk worden gecorrigeerd om de beveiligingsrisico's te elimineren en te voldoen aan de vastgestelde beveiligingsstandaarden. Het remediatieproces is echter geen eenvoudige operatie die zonder voorbereiding kan worden uitgevoerd, maar vereist uitgebreide planning, coördinatie en voorbereiding om serviceonderbrekingen te voorkomen en ervoor te zorgen dat alle afhankelijke systemen, applicaties en services na de remediatie blijven functioneren zonder verstoring van bedrijfsprocessen. Een onzorgvuldige implementatie kan resulteren in aanzienlijke downtime, dataverlies en operationele problemen die de continuïteit van kritieke bedrijfsprocessen kunnen verstoren. De eerste en meest cruciale stap in het remediatieproces is het uitgebreid verifiëren dat privé-eindpunten correct zijn geconfigureerd, operationeel zijn en daadwerkelijk toegang bieden voordat openbare netwerktoegang wordt uitgeschakeld. Dit is absoluut essentieel omdat het uitschakelen van openbare toegang zonder werkende privé-eindpunten onmiddellijk resulteert in volledige ontoegankelijkheid van het opslagaccount, waardoor alle applicaties, services en gebruikers die afhankelijk zijn van dit account hun toegang verliezen. Organisaties moeten daarom eerst een volledige inventarisatie maken van alle systemen, applicaties, scripts, geautomatiseerde processen en gebruikers die toegang hebben tot het opslagaccount. Deze inventarisatie moet niet alleen de directe afhankelijkheden omvatten, maar ook indirecte afhankelijkheden zoals backup-systemen, monitoringtools, integraties met externe systemen en geautomatiseerde workflows die mogelijk niet direct zichtbaar zijn. Na de inventarisatie moeten organisaties verifiëren dat alle geïdentificeerde systemen en applicaties daadwerkelijk kunnen verbinden via de geconfigureerde privé-eindpunten. Dit vereist uitgebreide connectiviteitstests waarbij elke applicatie en service wordt getest om te bevestigen dat zij correct kunnen communiceren met het opslagaccount via de privé-eindpunten. Deze tests moeten worden uitgevoerd in een gecontroleerde omgeving voordat de remediatie wordt doorgevoerd, en moeten alle mogelijke gebruiksscenario's omvatten, inclusief lezen, schrijven, verwijderen en andere operaties die normaal worden uitgevoerd op het opslagaccount. Eventuele problemen die tijdens deze verificatiefase worden ontdekt, moeten worden opgelost voordat de remediatie wordt voortgezet. Vervolgens moet er een uitgebreide test worden uitgevoerd in een niet-productieomgeving die zo veel mogelijk overeenkomt met de productieomgeving om te bevestigen dat alle functionaliteit behouden blijft na het uitschakelen van openbare netwerktoegang. Deze testfase is kritiek omdat zij de laatste mogelijkheid biedt om potentiële problemen te identificeren en op te lossen voordat de wijziging in de productieomgeving wordt doorgevoerd. De tests moeten alle applicaties, scripts, geautomatiseerde processen, integraties en workflows omvatten die gebruikmaken van het opslagaccount. Dit omvat ook het testen van edge cases, foutafhandeling en herstelprocedures om ervoor te zorgen dat het systeem robuust blijft onder verschillende omstandigheden. Eventuele problemen die tijdens deze testfase worden ontdekt, moeten grondig worden onderzocht, gedocumenteerd en opgelost voordat de wijziging in productie wordt doorgevoerd. De daadwerkelijke remediatie wordt uitgevoerd met behulp van de Azure PowerShell-module, die een geautomatiseerde en reproduceerbare manier biedt om de configuratie te wijzigen. De opdracht Set-AzStorageAccount met de parameter -PublicNetworkAccess Disabled schakelt openbare netwerktoegang uit voor het opgegeven opslagaccount. Het is belangrijk om deze wijziging uit te voeren tijdens een gepland onderhoudsvenster of op een moment waarop eventuele serviceonderbrekingen minimaal impact hebben op de bedrijfsvoering. De remediatie moet worden uitgevoerd door een ervaren Azure-beheerder die volledig begrijpt wat de impact van de wijziging is en die in staat is om snel te reageren op eventuele onverwachte problemen. Het is aanbevolen om een rollback-plan te hebben dat kan worden uitgevoerd als de remediatie onverwachte problemen veroorzaakt. Na het uitvoeren van de remediatie moet er een uitgebreide verificatie plaatsvinden om te bevestigen dat de wijziging succesvol is doorgevoerd en dat alle systemen correct blijven functioneren. Dit omvat het controleren van de PublicNetworkAccess-eigenschap om te bevestigen dat deze correct is ingesteld op 'Disabled', het testen van de toegankelijkheid via privé-eindpunten om te verifiëren dat alle applicaties en services nog steeds toegang hebben, en het monitoren van de systemen gedurende een periode na de remediatie om te detecteren of er vertraagde problemen optreden. Alle wijzigingen moeten worden gedocumenteerd in het change management-systeem van de organisatie, inclusief de reden voor de wijziging, de uitgevoerde stappen, de resultaten van de tests en de verificatie, en eventuele opmerkingen of lessen die zijn geleerd tijdens het proces. In gevallen waarin privé-eindpunten nog niet zijn geconfigureerd, moet het remediatieproces worden uitgebreid met de volledige implementatie van privé-eindpunten voordat openbare netwerktoegang kan worden uitgeschakeld. Dit is een aanzienlijk complexere operatie die uitgebreide coördinatie vereist tussen netwerk-, beveiligings-, applicatie- en infrastructuurteams. Organisaties moeten een gedetailleerd projectplan opstellen dat alle benodigde stappen omvat, van het plannen en configureren van het virtuele netwerk tot het implementeren van de privé-eindpunten, het configureren van DNS, het testen van de connectiviteit en het valideren van de eindoplossing. Dit project kan weken of zelfs maanden in beslag nemen, afhankelijk van de complexiteit van de infrastructuur en het aantal betrokken systemen, en vereist zorgvuldige projectmanagement en communicatie tussen alle betrokken partijen om succesvol te zijn.
Compliance en Audit
Het uitschakelen van openbare netwerktoegang voor Azure Storage-accounts vormt een fundamentele en essentiële beveiligingsmaatregel die niet alleen de beveiligingspostuur van organisaties aanzienlijk verbetert, maar ook vereist is voor naleving van verschillende nationale en internationale beveiligingsstandaarden en compliance-frameworks. Nederlandse overheidsorganisaties die gebruikmaken van Azure-cloudservices moeten voldoen aan specifieke normen en regelgeving die netwerkbeveiliging, gegevensbescherming en privacy voorschrijven, waarbij het uitschakelen van openbare netwerktoegang een kritieke component vormt van een effectieve compliance-strategie. Deze maatregel draagt direct bij aan het voldoen aan de vereisten van meerdere beveiligingsframeworks en helpt organisaties om hun verantwoordelijkheden te vervullen met betrekking tot de bescherming van gevoelige en vertrouwelijke gegevens die worden opgeslagen in cloudopslagomgevingen. De CIS Microsoft Azure Foundations Benchmark versie 3.8 bevat uitgebreide en specifieke richtlijnen voor netwerkbeveiliging in Azure-omgevingen die zijn ontwikkeld door het Center for Internet Security, een toonaangevende organisatie op het gebied van cybersecurity. Control 3.8 binnen deze benchmark schrijft expliciet voor dat openbare toegang tot opslagaccounts moet worden beperkt of volledig uitgeschakeld om het aanvalsoppervlak te minimaliseren en onbevoegde toegang te voorkomen. Deze controle maakt deel uit van een bredere, uitgebreide set aanbevelingen die gericht zijn op het minimaliseren van het aanvalsoppervlak, het implementeren van defense-in-depth-strategieën en het creëren van een robuuste beveiligingsarchitectuur voor cloudomgevingen. Organisaties die de CIS-benchmark volgen als onderdeel van hun beveiligingsstrategie moeten regelmatig, systematisch controleren of alle opslagaccounts binnen hun Azure-omgeving voldoen aan deze vereiste en eventuele afwijkingen moeten worden gedocumenteerd met een duidelijke, goed onderbouwde rechtvaardiging die wordt goedgekeurd door de beveiligingsafdeling en regelmatig wordt herbeoordeeld om te bepalen of de uitzondering nog steeds gerechtvaardigd is. Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid (BIO) van bijzonder en kritiek belang, omdat deze baseline de fundamentele beveiligingsvereisten definieert waaraan alle Nederlandse overheidsorganisaties moeten voldoen bij het beveiligen van hun informatievoorziening. BIO-controle 13.01 richt zich specifiek op netwerkbeveiliging en vereist dat organisaties passende, effectieve maatregelen treffen om netwerkverkeer te beveiligen, onbevoegde toegang te voorkomen en de integriteit en vertrouwelijkheid van gegevens te waarborgen tijdens transport over netwerken. Het uitschakelen van openbare netwerktoegang en het gebruik van privé-eindpunten dragen direct en significant bij aan het voldoen aan deze controle door het elimineren van onbeveiligde netwerkverbindingen en het creëren van een gecontroleerde, geïsoleerde netwerkomgeving. Tijdens BIO-audits, die regelmatig worden uitgevoerd door onafhankelijke auditors, wordt uitgebreid gecontroleerd of organisaties deze maatregelen hebben geïmplementeerd, of ze effectief zijn geconfigureerd, of ze regelmatig worden gemonitord en of eventuele uitzonderingen correct zijn gedocumenteerd en goedgekeurd. Het niet voldoen aan deze vereisten kan resulteren in negatieve auditbevindingen, compliance-problemen en mogelijke sancties. De internationale standaard ISO 27001, die wereldwijd wordt erkend als de leidende standaard voor informatiebeveiligingsmanagementsystemen, bevat eveneens specifieke controles die direct relevant zijn voor netwerkbeveiliging en die worden ondersteund door het uitschakelen van openbare netwerktoegang. Controle A.13.1.3 binnen ISO 27001 behandelt netwerksegregatie en vereist dat organisaties logische en fysieke scheidingen implementeren tussen verschillende netwerksegmenten om de beveiliging te verbeteren en de impact van potentiële beveiligingsincidenten te beperken. Door openbare netwerktoegang uit te schakelen en uitsluitend privé-eindpunten te gebruiken, creëren organisaties een duidelijke, effectieve netwerksegregatie tussen het openbare internet en interne systemen, wat een fundamentele vereiste is voor een veilige netwerkarchitectuur. Deze netwerksegregatie draagt significant bij aan het voldoen aan ISO 27001-vereisten en kan worden gebruikt als concreet, verifieerbaar bewijs tijdens certificeringsaudits en hercertificeringsprocessen, waarbij auditors specifiek zoeken naar bewijs dat organisaties effectieve netwerkbeveiligingsmaatregelen hebben geïmplementeerd. Naast deze specifieke controles draagt het uitschakelen van openbare netwerktoegang fundamenteel bij aan het Zero Trust-beveiligingsmodel, dat steeds meer wordt omarmd door organisaties wereldwijd als de moderne standaard voor cloudbeveiliging. Zero Trust is gebaseerd op het principe van 'never trust, always verify' en vereist dat alle netwerkverkeer, ongeacht de locatie van de bron of de bestemming, wordt geverifieerd, geautoriseerd en gemonitord voordat toegang wordt verleend tot resources. Door openbare toegang volledig te elimineren en alle verkeer via privé-eindpunten te routeren, kunnen organisaties veel beter controleren wie toegang heeft tot hun opslagaccounts, onder welke omstandigheden deze toegang wordt verleend, en kunnen zij uitgebreide logging en monitoring implementeren om alle toegangspogingen en dataverkeer te volgen. Dit Zero Trust-model wordt steeds meer verwacht door beveiligingsstandaarden en compliance-frameworks, en organisaties die dit model implementeren demonstreren een proactieve, moderne aanpak van cloudbeveiliging die wordt gewaardeerd door auditors en beveiligingsexperts. Tijdens compliance-audits, die regelmatig worden uitgevoerd door interne en externe auditors, moeten organisaties uitgebreid kunnen aantonen dat zij systematisch en regelmatig controleren of openbare netwerktoegang is uitgeschakeld voor alle relevante opslagaccounts, dat eventuele uitzonderingen zijn gedocumenteerd met duidelijke rechtvaardigingen, dat deze uitzonderingen zijn goedgekeurd door de juiste autoriteiten, en dat er een proces bestaat voor regelmatige herbeoordeling van deze uitzonderingen. Dit vereist het bijhouden van uitgebreide auditlogs die alle configuratiewijzigingen vastleggen, het documenteren van alle configuratiewijzigingen in een gestructureerd change management-systeem, en het kunnen presenteren van concreet, verifieerbaar bewijs dat de beveiligingsmaatregelen effectief zijn geïmplementeerd en worden onderhouden. Geautomatiseerde monitoring en rapportageoplossingen kunnen hierbij aanzienlijk helpen door consistente, gestandaardiseerde documentatie te genereren die tijdens audits kan worden gebruikt om te demonstreren dat de organisatie proactief en systematisch werkt aan het handhaven van een hoog beveiligingsniveau. Deze documentatie moet regelmatig worden bijgewerkt en moet toegankelijk zijn voor auditors wanneer deze daarom vragen tijdens het auditproces, wat helpt om een soepel en succesvol auditproces te waarborgen.
Compliance & Frameworks
- CIS M365: Control 3.8 (L2) - Schakel openbare toegang uit
- BIO: 13.01 - Netwerkbeveiliging
- ISO 27001:2022: A.13.1.3 - Netwerksegregatie
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Public Network Access Disabled
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 3.18
Controleert of public network access is uitgeschakeld.
.NOTES
Filename: public-network-access-disabled.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 3.18
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Storage
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Public Network Access Disabled"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$storageAccounts = Get-AzStorageAccount -ErrorAction SilentlyContinue
$result = @{ TotalAccounts = $storageAccounts.Count; PublicNetworkDisabled = 0 }
foreach ($account in $storageAccounts) {
if ($account.PublicNetworkAccess -eq 'Disabled') {
$result.PublicNetworkDisabled++
}
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Storage Accounts: $($r.TotalAccounts)" -ForegroundColor White
Write-Host "Public Network Disabled: $($r.PublicNetworkDisabled)" -ForegroundColor $(if ($r.PublicNetworkDisabled -gt 0) { 'Green' } else { 'Yellow' })
}
else {
$r = Test-Compliance
Write-Host "`nPublic Network Disabled: $($r.PublicNetworkDisabled)/$($r.TotalAccounts) accounts"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Storage Accounts: $($r.TotalAccounts)" -ForegroundColor White
Write-Host "Public Network Disabled: $($r.PublicNetworkDisabled)" -ForegroundColor $(if ($r.PublicNetworkDisabled -gt 0) { 'Green' } else { 'Yellow' })
}
else {
$r = Test-Compliance
Write-Host "`nPublic Network Disabled: $($r.PublicNetworkDisabled)/$($r.TotalAccounts) accounts"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
High: Wanneer openbare netwerktoegang is ingeschakeld terwijl privé-eindpunten ook zijn geconfigureerd, ontstaat er een dual-mode toegangssituatie. Dit betekent dat het opslagaccount zowel via het openbare internet als via privé-eindpunten toegankelijk is. Deze configuratie ondermijnt de beveiliging van privé-eindpunten omdat aanvallers nog steeds kunnen proberen toegang te krijgen via het openbare eindpunt. Voor Zero Trust-compliance is dit onacceptabel omdat het principe van 'never trust, always verify' wordt geschonden. Het risico wordt geclassificeerd als medium, maar het vormt een belangrijke zwakke schakel in de defense-in-depth-strategie van de organisatie.
Management Samenvatting
Openbare netwerktoegang uitschakelen: Schakel openbare netwerktoegang uit na de implementatie van privé-eindpunten om uitsluitend toegang via virtuele netwerken mogelijk te maken. Deze maatregel blokkeert internetblootstelling volledig en verhoogt de netwerkbeveiliging aanzienlijk. Activeren via Storage Account → Networking → Openbare toegang: Uitgeschakeld. Geen extra kosten. Verplicht voor Zero Trust-implementaties. Implementatietijd: 3-5 uur inclusief testen van privé-eindpunten. Handhaaft netwerkisolatie binnen virtuele netwerken.
- Implementatietijd: 5 uur
- FTE required: 0.05 FTE