L1/L2 BIO 09.01 ISO A.5.15 CIS CIS Microsoft Azure Foundations Benchmark

Azure Applications: API Gateway Configuratie En Beveiliging

📅 2025-01-15
⏱️ 28 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

API gateways vormen de centrale toegangspoort voor moderne cloudapplicaties en microservices-architecturen binnen Azure. Een goed geconfigureerde API gateway biedt niet alleen load balancing en routing, maar ook essentiële beveiligingsfuncties zoals SSL-terminatie, Web Application Firewall (WAF), rate limiting en authenticatie- en autorisatie-integratie. Voor Nederlandse overheidsorganisaties is een robuuste API gateway-configuratie cruciaal om te voldoen aan de Nederlandse Baseline voor Veilige Cloud en de eisen uit BIO, NIS2 en AVG.

Aanbeveling
RICHT EEN STRUCTUREEL API GATEWAY-BEVEILIGINGSRAAMWERK IN VOOR ALLE AZURE APPLICATION GATEWAYS
Risico zonder
High
Risk Score
9/10
Implementatie
160u (tech: 100u)
Van toepassing op:
Azure Application Gateway
Azure Front Door
Azure API Management
Azure Load Balancer
REST API's
Microservices

API gateways vormen het eerste verdedigingspunt voor alle inkomende verkeer naar cloudapplicaties en microservices. Zonder adequate configuratie ontstaan ernstige beveiligingsrisico's: onvoldoende SSL/TLS-configuratie kan leiden tot man-in-the-middle aanvallen en datadiefstal, ontbrekende WAF-regels laten webapplicaties kwetsbaar voor OWASP Top 10-aanvallen zoals SQL injection, cross-site scripting en path traversal, en gebrekkige routing-configuratie kan resulteren in ongeautoriseerde toegang tot interne services. Daarnaast zorgt het ontbreken van rate limiting voor risico's op denial-of-service aanvallen waarbij API's worden overbelast, en maakt het gebrek aan logging en monitoring het onmogelijk om verdachte activiteiten te detecteren en te reageren op beveiligingsincidenten. Voor Nederlandse overheidsorganisaties die verantwoordelijk zijn voor kritieke diensten en gevoelige persoonsgegevens is dit onacceptabel, omdat het kan leiden tot datalekken, verstoringen van dienstverlening, non-compliance met BIO en AVG, en mogelijk grote reputatieschade en wettelijke sancties. Een goed geconfigureerde API gateway met WAF, SSL/TLS-beveiliging, rate limiting en uitgebreide monitoring vormt de basis voor veilige en betrouwbare API-toegang.

PowerShell Modules Vereist
Primary API: Azure Resource Manager (ARM), Azure Application Gateway REST API
Connection: Connect-AzAccount
Required Modules: Az.Network, Az.Resources, Az.Monitor

Implementatie

Dit artikel beschrijft een volledig raamwerk voor het configureren en beveiligen van API gateways binnen Azure-omgevingen, specifiek gericht op Azure Application Gateway en Azure Front Door als primaire gateway-oplossingen. We behandelen de belangrijkste configuratiedomeinen: SSL/TLS-configuratie en certificaatbeheer (minimaal TLS 1.2, perfect forward secrecy, automatische certificaatrotatie via Key Vault), Web Application Firewall (WAF) configuratie en rule sets (OWASP Core Rule Set, custom rules voor organisatie-specifieke bedreigingen, managed rule sets en prevention vs detection mode), load balancing en routing configuratie (health probes, backend pools, path-based routing en multi-site routing), rate limiting en throttling (requests per seconde, burst limits en geografische beperkingen), authenticatie en autorisatie integratie (OAuth2, OpenID Connect en Microsoft Entra ID integratie), logging en monitoring (diagnostic logs, metrics, Application Insights integratie en SIEM-integratie voor security events), en netwerkbeveiliging (private endpoints, NSG-configuratie en DDoS protection). Daarnaast laten we zien hoe u met het bijbehorende PowerShell-script de huidige API gateway-configuraties kunt inventariseren en beveiligingsstatus kunt controleren, zodat verbeteracties prioriteerbaar en herhaalbaar worden aangestuurd. De focus ligt op praktische implementatie die aansluit bij de Nederlandse Baseline voor Veilige Cloud en compliance-eisen.

Fundamenten van API Gateway Architectuur voor Overheidsorganisaties

Een API gateway functioneert als de centrale entry point voor alle inkomende verkeer naar cloudapplicaties en microservices, waarbij het verzoeken ontvangt, verwerkt en doorstuurt naar de juiste backend-services. In Azure zijn er verschillende opties voor API gateways, elk met hun eigen kenmerken en use cases. Azure Application Gateway is een Layer 7 load balancer die specifiek is ontworpen voor HTTP/HTTPS-verkeer en die geavanceerde routing, SSL-terminatie en WAF-functionaliteit biedt. Het is ideaal voor applicaties die draaien binnen een Azure Virtual Network en die volledige controle vereisen over netwerkconfiguratie en routing. Azure Front Door is een globale anycast-load balancer die verkeer over meerdere Azure-regio's verdeelt en die DDoS-bescherming en geografische routing biedt. Het is geschikt voor applicaties met wereldwijde gebruikers die hoge beschikbaarheid en lage latency vereisen. Azure API Management is een volledig platform voor API-beheer dat naast gateway-functionaliteit ook developer portals, API versioning, rate limiting en analytics biedt. De keuze voor een specifieke gateway-oplossing hangt af van factoren zoals de netwerkarchitectuur, schaalvereisten, beveiligingseisen en compliance-vereisten voor Nederlandse overheidsorganisaties.

Voor Nederlandse overheidsorganisaties is Azure Application Gateway vaak de primaire keuze omdat het volledige controle biedt over netwerkconfiguratie, WAF-functionaliteit integreert, en naadloos aansluit bij bestaande Azure Virtual Network-architecturen. De gateway-configuratie moet echter gebaseerd zijn op principes van defense in depth, zero trust en least privilege. Defense in depth betekent dat meerdere beveiligingslagen worden geïmplementeerd: netwerkbeveiliging op infrastructuurniveau, WAF op gateway-niveau, authenticatie en autorisatie op application-niveau, en aanvullende controles in de backend-services. Zero trust vereist dat elke verzoek wordt geverifieerd en geautoriseerd, ongeacht de bron of netwerklocatie. Least privilege zorgt ervoor dat alleen de minimale toegang wordt verleend die nodig is voor de functie van de gateway. Deze principes moeten worden vertaald naar concrete configuraties zoals restrictieve NSG-regels, WAF-regels die bekende aanvalspatronen blokkeren, SSL/TLS-configuraties die alleen sterke cipher suites toestaan, en logging die alle verkeer vastlegt voor audit-doeleinden. Door deze principes te volgen, kunnen organisaties een robuuste API gateway-architectuur bouwen die voldoet aan de hoge beveiligingseisen van de Nederlandse overheid.

De architectuurkeuzes voor API gateways moeten ook rekening houden met compliance-eisen uit de Baseline Informatiebeveiliging Overheid (BIO), NIS2 en AVG. BIO schrijft voor dat organisaties adequate toegangscontrole moeten implementeren (control 09.01), logging en monitoring moeten inrichten (control 12.02), encryptie moeten toepassen voor gevoelige gegevens (control 13.01), en bescherming moeten bieden tegen aanvallen zoals denial-of-service (control 14.01). NIS2 versterkt deze eisen door expliciet te eisen dat passende technische maatregelen worden getroffen om risico's te beperken voor netwerk- en informatiesystemen. De AVG voegt daar nog specifieke eisen aan toe voor de verwerking van persoonsgegevens, zoals dataminimalisatie en pseudonimisering. Een goed geconfigureerde API gateway vertaalt deze abstracte eisen naar concrete technische configuraties: SSL/TLS-terminatie zorgt voor encryptie in transit, WAF-regels beschermen tegen aanvallen, rate limiting voorkomt denial-of-service, en uitgebreide logging maakt het mogelijk om te verifiëren wie wanneer toegang heeft gehad tot welke API's. Door deze configuraties te documenteren en periodiek te testen, kunnen organisaties aantoonbaar maken dat zij voldoen aan compliance-eisen en dat passende technische maatregelen zijn getroffen om risico's te beperken.

SSL/TLS Configuratie en Certificaatbeheer voor API Gateways

Gebruik PowerShell-script api-gateway-configuration.ps1 (functie Invoke-Monitoring) – Controleert of API gateways correct zijn geconfigureerd met SSL/TLS-beveiliging en certificaatbeheer via Azure Key Vault..

SSL/TLS-configuratie vormt de basis voor veilige communicatie tussen clients en API gateways. Alle productie-API gateways moeten zijn geconfigureerd om minimaal TLS 1.2 te vereisen, waarbij TLS 1.3 wordt aanbevolen voor nieuwe implementaties. Weak cipher suites moeten volledig worden uitgeschakeld om te voorkomen dat aanvallers gebruik kunnen maken van bekende kwetsbaarheden zoals BEAST, POODLE of RC4-aanvallen. Perfect forward secrecy moet worden afgedwongen om ervoor te zorgen dat gestolen private keys niet kunnen worden gebruikt om eerdere sessies te ontsleutelen. Azure Application Gateway ondersteunt verschillende SSL-policy opties die deze eisen kunnen afdwingen: AppGwSslPolicy20150501 (minimaal TLS 1.0, niet aanbevolen), AppGwSslPolicy20170401 (minimaal TLS 1.1, niet aanbevolen), AppGwSslPolicy20170401S (minimaal TLS 1.2 met perfect forward secrecy, aanbevolen), en AppGwSslPolicy20220101 (minimaal TLS 1.2 met alleen sterke cipher suites, aanbevolen voor nieuwe implementaties). Door de juiste SSL-policy te selecteren, kunnen organisaties ervoor zorgen dat alleen moderne, veilige TLS-configuraties worden gebruikt.

Certificaatbeheer is kritiek voor de beveiliging van API gateways. Certificaten moeten worden beheerd via Azure Key Vault, waarbij automatische rotatie wordt geconfigureerd om ervoor te zorgen dat certificaten worden vernieuwd voordat zij verlopen. Self-signed certificaten moeten volledig worden vermeden in productie-omgevingen, behalve voor specifieke testscenario's. Voor productie moeten certificaten worden uitgegeven door een vertrouwde Certificate Authority (CA), bij voorkeur een publieke CA zoals DigiCert, GlobalSign of Sectigo, of een interne PKI-infrastructuur voor interne toepassingen. Certificaten moeten worden gemonitord op verloopdatum en automatisch worden vernieuwd via Key Vault automatische rotatie of Azure Automation runbooks. Wanneer certificaten worden vervangen, moeten oude certificaten worden ingetrokken en verwijderd uit Key Vault om te voorkomen dat zij worden misbruikt. Daarnaast moeten certificaatketens volledig zijn geconfigureerd, inclusief intermediate en root certificates, om ervoor te zorgen dat clients de certificaten kunnen valideren. Door certificaatbeheer te centraliseren via Key Vault en automatische rotatie te implementeren, kunnen organisaties operationele overhead verminderen en het risico op verlopen certificaten elimineren.

Voor scenario's met meerdere domeinen of wildcard-certificaten kunnen verschillende certificaten worden geconfigureerd voor verschillende listeners op dezelfde Application Gateway. Dit maakt het mogelijk om verschillende SSL/TLS-configuraties te gebruiken voor verschillende API's of om certificaten te isoleren per domein. Belangrijk is dat alle certificaten dezelfde beveiligingsstandaarden volgen: minimaal TLS 1.2, perfect forward secrecy en alleen sterke cipher suites. Daarnaast moeten certificaten worden geconfigureerd met de juiste Subject Alternative Names (SAN) om ervoor te zorgen dat alle domeinen die worden gebruikt door de API gateway zijn opgenomen in het certificaat. Voor Nederlandse overheidsorganisaties kan het ook nodig zijn om specifieke certificaatvereisten te volgen, bijvoorbeeld voor .gov.nl-domeinen of voor certificaten die worden gebruikt voor eIDAS-identificatie. Door deze certificaatvereisten te documenteren en te integreren in het certificaatbeheerproces, kunnen organisaties ervoor zorgen dat API gateways voldoen aan alle relevante standaarden en compliance-eisen.

Web Application Firewall (WAF) Configuratie en Regelbeheer

Web Application Firewall (WAF) vormt een cruciale beveiligingslaag voor API gateways door bekende web application-aanvallen te detecteren en te blokkeren voordat zij de backend-services bereiken. Azure Application Gateway WAF ondersteunt twee modi: Detection mode waarbij aanvallen worden gelogd maar niet worden geblokkeerd, en Prevention mode waarbij aanvallen daadwerkelijk worden geblokkeerd. Voor productie-omgevingen moet altijd Prevention mode worden gebruikt om daadwerkelijke bescherming te bieden. Detection mode kan worden gebruikt tijdens implementatie en testing om te verifiëren dat WAF-regels correct werken zonder legitiem verkeer te blokkeren. De WAF is gebaseerd op de OWASP Core Rule Set (CRS), die bescherming biedt tegen de OWASP Top 10-aanvallen, waaronder SQL injection, cross-site scripting (XSS), remote file inclusion, command injection en andere veelvoorkomende web application-kwetsbaarheden. De CRS wordt regelmatig bijgewerkt door Microsoft om nieuwe bedreigingen en aanvalstechnieken te adresseren, waardoor organisaties automatisch bescherming krijgen tegen de nieuwste bedreigingen.

Naast de standaard CRS-regels kunnen organisaties custom rules configureren om specifieke bedreigingen of use cases te adresseren die niet worden gedekt door de standaard regel set. Custom rules kunnen worden gebruikt om geografische beperkingen te implementeren (bijvoorbeeld alleen verkeer uit Nederland toestaan), rate limiting per IP-adres of client, specifieke URL-patterns te blokkeren of toe te staan, en custom headers of query-parameters te valideren. Deze custom rules maken gebruik van Azure Application Gateway Rule Set Language (ARSL), een krachtige regelengine die complexe logica kan evalueren op basis van request-headers, body-content, query-parameters en andere request-kenmerken. Belangrijk is dat custom rules worden getest in Detection mode voordat zij worden geactiveerd in Prevention mode, om te voorkomen dat legitiem verkeer wordt geblokkeerd. Daarnaast moeten custom rules worden gedocumenteerd en periodiek worden gereviewed om ervoor te zorgen dat zij nog steeds relevant zijn en geen onbedoelde bijwerkingen hebben. Voor Nederlandse overheidsorganisaties kunnen custom rules ook worden gebruikt om te voldoen aan specifieke compliance-eisen, bijvoorbeeld door bepaalde geografische regio's te blokkeren of door specifieke security headers te valideren.

WAF-logging en monitoring zijn essentieel voor het detecteren van aanvallen en het optimaliseren van WAF-regels. Alle WAF-events moeten worden gelogd naar Azure Log Analytics of Event Hubs, waarbij zowel geblokkeerde als toegestane requests worden vastgelegd. WAF-logs bevatten gedetailleerde informatie over de aanvallen, inclusief de regel die de aanval heeft gedetecteerd, de matched string of pattern, de severity level, en de client-IP-adres en user agent. Deze logs kunnen worden gebruikt om trends te analyseren, nieuwe bedreigingen te identificeren, en WAF-regels te optimaliseren om false positives te verminderen. Daarnaast kunnen Azure Monitor alerts worden geconfigureerd om te waarschuwen wanneer een groot aantal aanvallen wordt gedetecteerd, wat kan wijzen op een gerichte aanval of een nieuwe bedreiging. WAF-metrics zoals TotalRequests, MatchedRules en BlockedRequests kunnen worden gebruikt om dashboards te maken die inzicht geven in de beveiligingsstatus van API gateways. Door deze logging en monitoring te combineren met een gestructureerd incident response-proces, kunnen organisaties proactief bedreigingen detecteren en snel reageren op beveiligingsincidenten.

Load Balancing en Routing Configuratie voor Hoge Beschikbaarheid

Load balancing en routing zijn fundamentele functies van API gateways die ervoor zorgen dat verkeer efficiënt wordt verdeeld over backend-services en dat hoge beschikbaarheid wordt geboden. Azure Application Gateway ondersteunt verschillende load balancing-algoritmen: Round Robin waarbij verkeer gelijkmatig wordt verdeeld over alle beschikbare backend-servers, Least Connections waarbij verkeer wordt gerouteerd naar de server met het minste aantal actieve verbindingen, en Cookie-based Affinity waarbij verkeer van dezelfde client altijd naar dezelfde backend-server wordt gerouteerd. De keuze voor een specifiek algoritme hangt af van de applicatie-architectuur en de vereisten voor stateful vs stateless communicatie. Voor stateless API's is Round Robin of Least Connections meestal geschikt, terwijl stateful applicaties Cookie-based Affinity kunnen vereisen om sessies te behouden.

Health probes zijn essentieel voor load balancing omdat zij controleren of backend-servers beschikbaar en responsief zijn. Application Gateway ondersteunt HTTP en HTTPS health probes die regelmatig een specifieke URL aanroepen op backend-servers om te verifiëren dat zij nog actief zijn. Health probes moeten worden geconfigureerd met realistische timeouts en intervals: te korte intervals kunnen leiden tot onnodige overhead, terwijl te lange intervals kunnen resulteren in trage failover wanneer een server uitvalt. Daarnaast moeten health probes worden geconfigureerd met de juiste path en status codes: de probe moet een specifieke health check endpoint aanroepen die snel kan reageren, en alleen HTTP 200-statuscodes moeten worden beschouwd als healthy. Voor kritieke API's kan het ook nodig zijn om meerdere health probes te configureren die verschillende aspecten van de backend-service testen, bijvoorbeeld één probe voor basis-beschikbaarheid en één probe voor database-connectiviteit. Wanneer een backend-server niet reageert op health probes, wordt deze automatisch uit de backend pool verwijderd totdat deze weer gezond is, waardoor automatische failover wordt geboden zonder handmatige interventie.

Path-based routing maakt het mogelijk om verkeer te routeren naar verschillende backend-pools op basis van de URL-path. Dit is bijzonder nuttig voor microservices-architecturen waarbij verschillende services verschillende URL-paths gebruiken, bijvoorbeeld /api/users voor een user service en /api/orders voor een order service. Path-based routing rules kunnen worden geconfigureerd met wildcards en regular expressions om complexe routing-scenario's te ondersteunen. Daarnaast ondersteunt Application Gateway multi-site hosting, waarbij verschillende domeinen kunnen worden geconfigureerd op dezelfde gateway, elk met hun eigen routing-regels en backend-pools. Dit maakt het mogelijk om meerdere API's of applicaties te hosten op één gateway, wat kostenbesparend kan zijn en het beheer kan vereenvoudigen. Belangrijk is dat routing-regels worden gedocumenteerd en getest om ervoor te zorgen dat verkeer correct wordt gerouteerd en dat geen verkeer per ongeluk wordt doorgestuurd naar verkeerde backend-services. Voor Nederlandse overheidsorganisaties kan het ook nodig zijn om routing-regels te configureren die voldoen aan specifieke compliance-eisen, bijvoorbeeld door verkeer voor gevoelige endpoints te routeren naar dedicated, extra beveiligde backend-pools.

Rate Limiting en Throttling voor Denial-of-Service Bescherming

Rate limiting en throttling zijn essentiële beveiligingsmaatregelen om te voorkomen dat API gateways en backend-services worden overbelast door excessief verkeer of denial-of-service-aanvallen. Rate limiting beperkt het aantal requests dat een client of IP-adres kan maken binnen een bepaalde tijdperiode, bijvoorbeeld 100 requests per minuut per IP-adres. Wanneer een client de rate limit overschrijdt, worden aanvullende requests geblokkeerd of in een queue geplaatst totdat de rate limit opnieuw beschikbaar is. Throttling is een verwant concept waarbij de throughput van requests wordt beperkt om te voorkomen dat backend-services worden overbelast, bijvoorbeeld door slechts 1000 requests per seconde door te laten naar een backend-pool. Azure Application Gateway biedt built-in rate limiting-functionaliteit via WAF custom rules, waarbij requests kunnen worden geblokkeerd op basis van het aantal requests per IP-adres of per client-identificatie. Daarnaast kunnen Azure Front Door en Azure API Management geavanceerdere rate limiting bieden met verschillende limieten per API, client of subscription.

Rate limiting-configuratie moet worden afgestemd op de specifieke API en use case. Voor publieke API's die toegankelijk zijn voor externe clients, moeten striktere rate limits worden geconfigureerd om misbruik te voorkomen. Voor interne API's die alleen toegankelijk zijn voor geautoriseerde services, kunnen meer flexibele rate limits worden gebruikt, maar zij moeten nog steeds worden geconfigureerd om te voorkomen dat buggy services of misconfigureerde clients de API overbelasten. Rate limits moeten worden gebaseerd op realistische gebruikspatronen: te strikte limits kunnen legitiem gebruik blokkeren, terwijl te ruime limits onvoldoende bescherming bieden. Daarnaast moeten rate limits worden geconfigureerd op meerdere niveaus: op gateway-niveau voor algemene bescherming, op API-niveau voor specifieke API's, en op client-niveau voor geavanceerde gebruikers of premium subscriptions. Burst limits kunnen ook worden geconfigureerd om korte pieken in verkeer toe te staan terwijl langdurige overbelasting wordt voorkomen. Voor Nederlandse overheidsorganisaties kan het ook nodig zijn om rate limiting te configureren op basis van geografische locatie, bijvoorbeeld door verkeer uit bepaalde regio's te beperken of door prioriteit te geven aan verkeer uit Nederland.

Monitoring en alerting voor rate limiting zijn belangrijk om te detecteren wanneer rate limits worden overschreden en om te bepalen of rate limit-configuraties moeten worden aangepast. WAF-logs en Application Gateway metrics moeten worden gebruikt om rate limit violations te tracken, inclusief welke IP-adressen of clients de limieten overschrijden en hoe vaak dit gebeurt. Azure Monitor alerts kunnen worden geconfigureerd om te waarschuwen wanneer een groot aantal rate limit violations wordt gedetecteerd, wat kan wijzen op een denial-of-service-aanval of een misconfiguratie. Daarnaast moeten rate limit violations worden geanalyseerd om te bepalen of zij het gevolg zijn van legitiem gebruik (bijvoorbeeld een populaire API die veel verkeer krijgt) of van kwaadaardige activiteit (bijvoorbeeld een bot die systematisch alle endpoints probeert). Wanneer rate limits legitiem gebruik blokkeren, moeten zij worden aangepast of moeten uitzonderingen worden geconfigureerd voor specifieke clients of use cases. Wanneer rate limit violations het gevolg zijn van kwaadaardige activiteit, moeten aanvullende beveiligingsmaatregelen worden genomen, bijvoorbeeld door de betrokken IP-adressen te blokkeren via WAF custom rules of door DDoS protection te configureren.

Monitoring, Logging en Compliance voor API Gateway Beveiliging

Gebruik PowerShell-script api-gateway-configuration.ps1 (functie Invoke-Remediation) – Genereert een overzicht van API gateway-configuraties die niet aan beveiligingscriteria voldoen en geeft aanbevelingen voor verbetering..

Uitgebreide logging en monitoring zijn essentieel voor operationele beveiliging, compliance-verificatie en incident response. Azure Application Gateway biedt verschillende logging-mogelijkheden: access logs die informatie vastleggen over alle HTTP/HTTPS-requests inclusief client-IP-adres, request-URL, response-statuscode en latency, performance logs die gedetailleerde performance-informatie bevatten zoals throughput en connection counts, en WAF logs die informatie bevatten over geblokkeerde aanvallen en WAF-rule matches. Deze logs moeten worden geëxporteerd naar een centrale logging-oplossing zoals Azure Log Analytics of een SIEM-platform zoals Microsoft Sentinel, waar queries en alerts kunnen worden geconfigureerd om verdachte activiteiten te detecteren. Voor Nederlandse overheidsorganisaties is het gebruikelijk om alle API gateway-verkeer te loggen met minimaal de volgende informatie: timestamp van het request, client-IP-adres en geografische locatie, request-URL en HTTP-methode, response-statuscode en latency, geauthenticeerde gebruiker of service principal (indien beschikbaar), en eventuele WAF-blocks of security events. Deze logs moeten centraal worden opgeslagen met een bewaarperiode die voldoet aan compliance-vereisten, bijvoorbeeld 7 jaar voor audit-doeleinden volgens BIO-normen.

Security monitoring moet verder gaan dan alleen logging: actieve detectie van verdacht gedrag, anomalieën en potentiële aanvallen is essentieel. Azure Application Gateway kan worden geïntegreerd met Azure Sentinel of andere SIEM-systemen voor threat detection en incident response. Belangrijke security events die moeten worden gemonitord omvatten: herhaalde WAF-blocks van hetzelfde IP-adres of client (mogelijke gerichte aanvallen), ongebruikelijke verkeerspatronen (bijvoorbeeld grote pieken in verkeer of verkeer buiten normale kantooruren), rate limit violations (mogelijke denial-of-service-aanvallen), SSL/TLS-handshake failures (mogelijke man-in-the-middle-aanvallen of misconfigureerde clients), en health probe failures (mogelijke backend-service-uitval of compromittering). Automatische alerts moeten worden geconfigureerd voor kritieke security events, met escalatieprocedures voor high-severity incidents. Door deze monitoring te koppelen aan een gestructureerd incident response-proces ontstaat een proactieve beveiligingspostuur die niet alleen reageert op bekende bedreigingen, maar ook nieuwe aanvalspatronen tijdig kan detecteren en mitigeren.

Vanuit complianceperspectief sluiten API gateway beveiligingsconfiguraties direct aan op eisen uit de BIO, ISO 27001 en NIS2. Deze kaders vragen onder meer om adequate toegangscontrole, logging en monitoring van kritieke systemen, encryptie van gevoelige gegevens, en bescherming tegen aanvallen zoals denial-of-service. In auditdossiers wordt niet alleen gekeken naar beleidsdocumenten, maar ook naar concrete bewijsstukken uit de technische inrichting: beveiligingsconfiguratieoverzichten, rapportages uit monitoring- en beveiligingstools, en beschrijvingen van incidentafhandeling en verbeteracties. Door de output van het beveiligingsscript op te nemen in periodieke rapportages aan CISO-organisatie en lijnmanagement, en deze te koppelen aan een portfolio van verbetermaatregelen, ontstaat een sluitende audittrail. Zo kan worden aangetoond welke API gateways wanneer zijn beveiligd, welke resterende risico's nog worden geaccepteerd en welke afspraken zijn gemaakt over vervolgstappen. Een goed ingerichte governance-structuur maakt van API gateway-beveiliging een vast onderdeel van bredere cloud security- en risicobeheersing, waardoor bestuurders en toezichthouders vertrouwen kunnen ontlenen aan aantoonbare, meetbare beveiligingsmaatregelen die passen bij de schaal en verantwoordelijkheid van de Nederlandse overheid.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Azure Applications: API Gateway Configuratie en Beveiliging .DESCRIPTION Controleert of Azure Application Gateways voldoen aan best practices voor API gateway configuratie en beveiliging, inclusief SSL/TLS configuratie, WAF-instellingen, certificaatbeheer, logging en monitoring. Waarom is deze control belangrijk? - Voorkomen van onveilige API gateway configuraties - Compliance met BIO, AVG en NIS2 vereisten - Zekerstellen van correcte SSL/TLS en WAF configuratie - Audit trail voor gateway beveiligingsstatus .NOTES Filename: api-gateway-configuration.ps1 Author: Nederlandse Baseline voor Veilige Cloud Created: 2025-01-15 Last Modified: 2025-01-15 Version: 1.0 Related JSON: content/azure/application/api-gateway-configuration.json .PARAMETER WhatIf Toont wat het script zou doen zonder daadwerkelijk wijzigingen door te voeren .PARAMETER Monitoring Voert uitgebreide compliance check uit en toont gedetailleerd rapport .PARAMETER Remediation Genereert rapporten en aanbevelingen voor verbetering .PARAMETER LocalDebug Draait een lokale debug-run met gesimuleerde data zonder Azure-verbinding .EXAMPLE .\api-gateway-configuration.ps1 Voert basis compliance check uit .EXAMPLE .\api-gateway-configuration.ps1 -Monitoring Toont gedetailleerd compliance rapport .EXAMPLE .\api-gateway-configuration.ps1 -Remediation Genereert aanbevelingen voor API gateway configuratie verbetering .EXAMPLE .\api-gateway-configuration.ps1 -Monitoring -LocalDebug Draait een lokale debug-run met gesimuleerde data #> # ============================================================================ # REQUIREMENTS # ============================================================================ #Requires -Version 5.1 # ============================================================================ # PARAMETERS # ============================================================================ [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][string[]]$SubscriptionId, [Parameter()][switch]$LocalDebug ) # ============================================================================ # GLOBAL VARIABLES # ============================================================================ $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $PolicyName = "API Gateway Configuratie en Beveiliging" $PolicyDescription = "Controleert of Azure Application Gateways correct zijn geconfigureerd met SSL/TLS-beveiliging, WAF, certificaatbeheer, logging en monitoring." # ============================================================================ # FUNCTION: Test-ModuleAvailability # ============================================================================ function Test-ModuleAvailability { [CmdletBinding()] param( [Parameter(Mandatory = $true)] [string[]]$ModuleName ) foreach ($name in $ModuleName) { if (-not (Get-Module -ListAvailable -Name $name)) { Write-Warning "Vereiste module '$name' is niet geïnstalleerd. Installeer deze module voor volledige functionaliteit." } } } # ============================================================================ # FUNCTION: Connect-RequiredServices # ============================================================================ function Connect-RequiredServices { <# .SYNOPSIS Maakt verbinding met Azure als dat nog niet is gebeurd. #> [CmdletBinding()] param() if ($LocalDebug) { Write-Verbose "LocalDebug is ingeschakeld; er wordt geen Azure-verbinding opgezet." return } Test-ModuleAvailability -ModuleName @('Az.Accounts', 'Az.Resources', 'Az.Network', 'Az.Monitor') try { $context = Get-AzContext -ErrorAction SilentlyContinue if (-not $context) { Write-Host "Verbinding maken met Azure..." -ForegroundColor Yellow Connect-AzAccount -ErrorAction Stop | Out-Null } else { Write-Verbose "Reeds verbonden met Azure: $($context.Subscription.Name)" } } catch { Write-Error "Kon geen verbinding maken met Azure: $_" throw } } # ============================================================================ # FUNCTION: Get-DebugApplicationGatewayData # ============================================================================ function Get-DebugApplicationGatewayData { [CmdletBinding()] param() return @( [PSCustomObject]@{ SubscriptionId = "00000000-0000-0000-0000-000000000010" SubscriptionName = "DBG-Overheid-NonProd" ResourceGroupName = "rg-appgw-nonprod" GatewayName = "appgw-nonprod-01" Location = "westeurope" Sku = "Standard_v2" HasWAF = $false WAFMode = "None" HasSslPolicy = $true SslPolicy = "AppGwSslPolicy20170401" MinTlsVersion = "TLSv1_1" HasDiagnosticLogging = $false HasKeyVaultCertificates = $false SecurityComplianceScore = 35 }, [PSCustomObject]@{ SubscriptionId = "00000000-0000-0000-0000-000000000020" SubscriptionName = "DBG-Overheid-Prod" ResourceGroupName = "rg-appgw-prod" GatewayName = "appgw-prod-01" Location = "westeurope" Sku = "WAF_v2" HasWAF = $true WAFMode = "Prevention" HasSslPolicy = $true SslPolicy = "AppGwSslPolicy20220101" MinTlsVersion = "TLSv1_2" HasDiagnosticLogging = $true HasKeyVaultCertificates = $true SecurityComplianceScore = 92 } ) } # ============================================================================ # FUNCTION: Get-ApplicationGatewaySecurityStatus # ============================================================================ function Get-ApplicationGatewaySecurityStatus { <# .SYNOPSIS Haalt alle Application Gateways op en bepaalt of essentiële beveiligingsmaatregelen zijn geconfigureerd. .OUTPUTS PSCustomObject met Application Gateway- en beveiligingsinformatie. #> [CmdletBinding()] param() if ($LocalDebug) { Write-Verbose "Gebruik van gesimuleerde Application Gateway beveiligingsdata (LocalDebug)." return Get-DebugApplicationGatewayData } Write-Verbose "Ophalen van Application Gateways via Azure Resource Graph..." $query = @' resources | where type == "microsoft.network/applicationgateways" | project id, name, location, subscriptionId, resourceGroup, sku, properties '@ $argParams = @{ Query = $query } if ($SubscriptionId) { $argParams['Subscription'] = $SubscriptionId } $gateways = Search-AzGraph @argParams $results = @() foreach ($gateway in $gateways) { $gatewayName = $gateway.name $resourceGroup = $gateway.resourceGroup $subscriptionIdValue = $gateway.subscriptionId Write-Verbose "Controleren van Application Gateway: $gatewayName" try { # Haal de Application Gateway op $appGateway = Get-AzApplicationGateway -ResourceGroupName $resourceGroup -Name $gatewayName -ErrorAction SilentlyContinue if (-not $appGateway) { Write-Warning "Kon Application Gateway '$gatewayName' niet ophalen. Mogelijk ontbreken rechten." continue } # Controleer WAF-configuratie $hasWAF = $false $wafMode = "None" if ($appGateway.Sku.Tier -eq "WAF" -or $appGateway.Sku.Tier -eq "WAF_v2") { $hasWAF = $true # WAF mode is typically stored in the WAF configuration try { $wafConfig = $appGateway.WebApplicationFirewallConfiguration if ($wafConfig -and $wafConfig.Enabled) { $wafMode = if ($wafConfig.FirewallMode -eq "Prevention") { "Prevention" } else { "Detection" } } } catch { Write-Verbose "Kon WAF configuratie niet ophalen voor $gatewayName" } } # Controleer SSL/TLS configuratie $hasSslPolicy = $false $sslPolicy = $null $minTlsVersion = $null try { if ($appGateway.SslPolicy -and $appGateway.SslPolicy.PolicyType) { $hasSslPolicy = $true $sslPolicy = $appGateway.SslPolicy.PolicyType $minTlsVersion = $appGateway.SslPolicy.MinProtocolVersion } } catch { Write-Verbose "Kon SSL policy niet ophalen voor $gatewayName" } # Controleer of diagnostic settings zijn geconfigureerd $hasDiagnosticLogging = $false try { $diagnosticSettings = Get-AzDiagnosticSetting -ResourceId $appGateway.Id -ErrorAction SilentlyContinue if ($diagnosticSettings -and $diagnosticSettings.Logs.Count -gt 0) { $hasDiagnosticLogging = $true } } catch { Write-Verbose "Kon diagnostic settings niet ophalen voor $gatewayName" } # Controleer op Key Vault certificaten (indicatie voor centraal certificaatbeheer) $hasKeyVaultCertificates = $false try { # Check if any listeners use Key Vault certificates if ($appGateway.SslCertificates) { foreach ($cert in $appGateway.SslCertificates) { if ($cert.KeyVaultSecretId) { $hasKeyVaultCertificates = $true break } } } } catch { Write-Verbose "Kon certificaat configuratie niet ophalen voor $gatewayName" } # Bepaal compliance score op basis van beschikbare informatie $complianceScore = 0 if ($hasSslPolicy) { $complianceScore += 15 if ($sslPolicy -like "*20220101*" -or $minTlsVersion -eq "TLSv1_2" -or $minTlsVersion -eq "TLSv1_3") { $complianceScore += 10 # Modern TLS policy } } if ($hasWAF) { $complianceScore += 25 if ($wafMode -eq "Prevention") { $complianceScore += 15 # WAF in prevention mode } } if ($hasDiagnosticLogging) { $complianceScore += 20 } if ($hasKeyVaultCertificates) { $complianceScore += 15 } # WAF_v2 SKU heeft meer features if ($appGateway.Sku.Tier -eq "WAF_v2") { $complianceScore += 5 } # Cap score op 100 if ($complianceScore -gt 100) { $complianceScore = 100 } $results += [PSCustomObject]@{ SubscriptionId = $subscriptionIdValue SubscriptionName = (Get-AzSubscription -SubscriptionId $subscriptionIdValue -ErrorAction SilentlyContinue).Name ResourceGroupName = $resourceGroup GatewayName = $gatewayName Location = $gateway.location Sku = "$($appGateway.Sku.Tier)_$($appGateway.Sku.Capacity)" HasWAF = $hasWAF WAFMode = $wafMode HasSslPolicy = $hasSslPolicy SslPolicy = $sslPolicy MinTlsVersion = $minTlsVersion HasDiagnosticLogging = $hasDiagnosticLogging HasKeyVaultCertificates = $hasKeyVaultCertificates SecurityComplianceScore = $complianceScore } } catch { Write-Warning "Fout bij controleren van Application Gateway '$gatewayName': $_" } } return $results } # ============================================================================ # FUNCTION: Test-Compliance # ============================================================================ function Test-Compliance { <# .SYNOPSIS Bepaalt de compliancestatus voor API gateway beveiligingsconfiguratie. .OUTPUTS PSCustomObject met samenvatting van de resultaten. #> [CmdletBinding()] param() $gateways = Get-ApplicationGatewaySecurityStatus if (-not $gateways -or $gateways.Count -eq 0) { Write-Verbose "Geen Application Gateways gevonden in de geselecteerde scope." return [PSCustomObject]@{ ScriptName = "api-gateway-configuration" IsCompliant = $true Timestamp = Get-Date Details = "Er zijn geen Application Gateways gevonden in de huidige scope." Recommendations = @() Gateways = @() } } $nonCompliant = $gateways | Where-Object { $_.SecurityComplianceScore -lt 70 } $isCompliant = ($nonCompliant.Count -eq 0) $details = if ($isCompliant) { "Alle gevonden Application Gateways hebben essentiële beveiligingsmaatregelen geconfigureerd." } else { "Een of meer Application Gateways missen essentiële beveiligingsconfiguraties en voldoen niet aan de minimale compliance-eisen." } $recommendations = @() if (-not $isCompliant) { $recommendations += "Zorg dat alle Application Gateways TLS 1.2 of hoger afdwingen via moderne SSL-policies (bijvoorbeeld AppGwSslPolicy20220101)." $recommendations += "Schakel Web Application Firewall (WAF) in op alle internetgerichte Application Gateways en configureer deze in Prevention mode." $recommendations += "Schakel diagnostische logging in en configureer integratie met Log Analytics of Event Hubs voor centrale monitoring." $recommendations += "Gebruik Azure Key Vault voor certificaatbeheer om automatische rotatie en centraal beheer mogelijk te maken." $recommendations += "Overweeg WAF_v2 SKU voor geavanceerde WAF-functionaliteit en betere performance." $recommendations += "Configureer WAF custom rules voor organisatie-specifieke bedreigingen en rate limiting." $recommendations += "Documenteer beveiligingsconfiguraties en zorg voor periodieke reviews en updates." } return [PSCustomObject]@{ ScriptName = "api-gateway-configuration" IsCompliant = $isCompliant Timestamp = Get-Date Details = $details Recommendations = $recommendations Gateways = $gateways } } # ============================================================================ # FUNCTION: Invoke-Monitoring # ============================================================================ function Invoke-Monitoring { <# .SYNOPSIS Voert een monitoring-run uit en toont de beveiligingsstatus per Application Gateway. #> [CmdletBinding()] param() Write-Host "`nMonitoring: $PolicyName" -ForegroundColor Yellow Write-Host "Beschrijving: $PolicyDescription" -ForegroundColor Yellow Write-Host "==============================================================" -ForegroundColor Yellow $result = Test-Compliance $gateways = $result.Gateways if ($gateways.Count -gt 0) { Write-Host "`nGevonden Application Gateways:" -ForegroundColor Cyan foreach ($gateway in $gateways) { $statusColor = if ($gateway.SecurityComplianceScore -ge 70) { "Green" } else { "Red" } $statusText = "Compliance Score: $($gateway.SecurityComplianceScore)% - " + "WAF: $(if ($gateway.HasWAF) { "$($gateway.WAFMode)" } else { 'Nee' }), " + "TLS: $(if ($gateway.MinTlsVersion) { $gateway.MinTlsVersion } else { 'Onbekend' }), " + "Logging: $(if ($gateway.HasDiagnosticLogging) { 'Ja' } else { 'Nee' }), " + "Key Vault Certs: $(if ($gateway.HasKeyVaultCertificates) { 'Ja' } else { 'Nee' })" Write-Host ("- {0}/{1} ({2}, {3}) - {4}" -f $gateway.SubscriptionName, $gateway.GatewayName, $gateway.Location, $gateway.Sku, $statusText) -ForegroundColor $statusColor } } else { Write-Host "`nGeen Application Gateways gevonden in de huidige scope." -ForegroundColor Cyan } if ($result.IsCompliant) { Write-Host "`n✅ COMPLIANT - Alle Application Gateways voldoen aan de basisvoorwaarden voor beveiliging." -ForegroundColor Green } else { Write-Host "`n❌ NON-COMPLIANT - Eén of meer Application Gateways missen essentiële beveiligingsconfiguraties." -ForegroundColor Red Write-Host "Aanbevolen acties:" -ForegroundColor Yellow foreach ($rec in $result.Recommendations) { Write-Host (" - {0}" -f $rec) -ForegroundColor Yellow } } return $result } # ============================================================================ # FUNCTION: Invoke-Remediation # ============================================================================ function Invoke-Remediation { <# .SYNOPSIS Geeft een remediatie-overzicht voor Application Gateways zonder adequate beveiligingsconfiguratie. #> [CmdletBinding()] param() Write-Host "`nRemediatie: $PolicyName" -ForegroundColor Yellow Write-Host "==============================================================" -ForegroundColor Yellow $result = Test-Compliance $gateways = $result.Gateways | Where-Object { $_.SecurityComplianceScore -lt 70 } if (-not $gateways -or $gateways.Count -eq 0) { Write-Host "Alle Application Gateways beschikken over adequate beveiligingsconfiguraties. Geen remediatie nodig." -ForegroundColor Green return $result } Write-Host "`nNiet-conforme Application Gateways (beveiligingsconfiguratie onvoldoende):" -ForegroundColor Red foreach ($gateway in $gateways) { Write-Host ("- Subscription: {0}" -f $gateway.SubscriptionName) -ForegroundColor Red Write-Host (" ResourceGroup: {0}" -f $gateway.ResourceGroupName) -ForegroundColor Red Write-Host (" Gateway: {0}" -f $gateway.GatewayName) -ForegroundColor Red Write-Host (" Locatie: {0}" -f $gateway.Location) -ForegroundColor Red Write-Host (" SKU: {0}" -f $gateway.Sku) -ForegroundColor Red Write-Host (" Compliance: {0}%" -f $gateway.SecurityComplianceScore) -ForegroundColor Red Write-Host (" WAF: {0}" -f $(if ($gateway.HasWAF) { "$($gateway.WAFMode)" } else { "Niet geconfigureerd" })) -ForegroundColor Red Write-Host (" TLS Policy: {0}" -f $(if ($gateway.SslPolicy) { $gateway.SslPolicy } else { "Niet geconfigureerd" })) -ForegroundColor Red Write-Host "" } Write-Host "Aanbevolen vervolgstappen:" -ForegroundColor Yellow Write-Host "1. Classificeer de niet-conforme gateways naar omgeving (ontwikkel, test, acceptatie, productie) en kriticiteit." -ForegroundColor Yellow Write-Host "2. Bepaal per gateway welke beveiligingsmaatregelen vereist zijn op basis van het risicoprofiel en compliance-eisen." -ForegroundColor Yellow Write-Host "3. Implementeer moderne SSL/TLS-configuratie met minimaal TLS 1.2 en perfect forward secrecy (AppGwSslPolicy20220101)." -ForegroundColor Yellow Write-Host "4. Schakel Web Application Firewall (WAF) in op alle internetgerichte gateways en configureer deze in Prevention mode." -ForegroundColor Yellow Write-Host "5. Schakel diagnostische logging in en configureer integratie met Log Analytics of Event Hubs voor centrale monitoring." -ForegroundColor Yellow Write-Host "6. Configureer certificaatbeheer via Azure Key Vault voor automatische rotatie en centraal beheer." -ForegroundColor Yellow Write-Host "7. Implementeer WAF custom rules voor organisatie-specifieke bedreigingen, rate limiting en geografische beperkingen." -ForegroundColor Yellow Write-Host "8. Documenteer beveiligingsconfiguraties en zorg voor periodieke reviews en updates in het governance- en risicoregister." -ForegroundColor Yellow if ($WhatIf) { Write-Host "`nWhatIf is ingeschakeld: er worden geen wijzigingen doorgevoerd; alleen een rapport is gegenereerd." -ForegroundColor Cyan } return $result } # ============================================================================ # MAIN EXECUTION # ============================================================================ try { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Script: api-gateway-configuration" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan Connect-RequiredServices if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { Invoke-Remediation } else { $result = Test-Compliance if ($result.IsCompliant) { Write-Host "`n✅ COMPLIANT" -ForegroundColor Green } else { Write-Host "`n❌ NON-COMPLIANT" -ForegroundColor Red Write-Host "Voer het script uit met -Monitoring of -Remediation voor meer details." -ForegroundColor Yellow } return $result } } catch { Write-Error "Er is een fout opgetreden in api-gateway-configuration.ps1: $_" throw } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder structurele API gateway-beveiligingsconfiguratie blijven API's vaak toegankelijk zonder adequate SSL/TLS-beveiliging, WAF-bescherming, rate limiting of monitoring. Een onbeveiligde API gateway kan dan de toegangspoort vormen tot gevoelige gegevens of kritieke systemen, wat kan resulteren in datalekken, service-onderbrekingen door denial-of-service-aanvallen, en aantoonbare non-compliance met BIO, ISO 27001 en NIS2, met mogelijk grote reputatieschade en wettelijke gevolgen.

Management Samenvatting

Ontwikkel en implementeer een organisatiebreed API gateway-beveiligingsraamwerk voor Azure Application Gateway dat SSL/TLS-configuratie en certificaatbeheer, Web Application Firewall (WAF), load balancing en routing, rate limiting en throttling, en uitgebreide logging en monitoring integraal adresseert. Gebruik het bijbehorende PowerShell-script om de feitelijke beveiligingsstatus van API gateways periodiek te meten, verbeteracties te prioriteren en de voortgang aantoonbaar te maken in rapportages aan bestuurders, CISO en auditors. Zo wordt API gateway-beveiliging een volwaardig en veilig platform binnen de Nederlandse Baseline voor Veilige Cloud.