L2 BIO 13.01.01 ISO A.13.1.1 CIS Cosmos DB

Azure Cosmos DB: Firewall-regels Configureren Voor Toegangsbeperking

📅 2025-10-30
⏱️ 7 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Azure Cosmos DB firewall-configuratie beperkt database-toegang tot specifieke IP-adressen en IP-ranges, waardoor ongeautoriseerde toegangspogingen worden geblokkeerd en het aanvalsoppervlak voor NoSQL-databases drastisch wordt gereduceerd. Deze netwerklaag-beveiliging vormt een essentiële verdedigingslijn naast authenticatie op basis van credentials.

Aanbeveling
IMPLEMENTEER ALS MINIMUM SECURITY BASELINE
Risico zonder
High
Risk Score
8/10
Implementatie
2.5u (tech: 1.5u)
Van toepassing op:
Azure Cosmos DB

Een Azure Cosmos DB-account zonder firewall-restricties is standaard toegankelijk vanaf elk IP-adres op internet voor iedereen die beschikt over een geldige verbindingsreeks. Deze brede toegankelijkheid creëert aanzienlijke beveiligingsrisico's: aanvallers kunnen brute-force-aanvallen uitvoeren op verbindingsreeksen zonder IP-gebaseerde beperkingen, gelekte inloggegevens (bijvoorbeeld via GitHub, logbestanden of gecompromitteerde ontwikkelaars) geven onmiddellijk wereldwijde toegang tot de database zonder geografische beperking, er is geen IP-gebaseerde toegangscontrole waardoor toegang niet kan worden beperkt tot bekende locaties, en er ontstaan compliance-hiaten omdat frameworks zoals NIS2 en ISO 27001 netwerk-segmentatie en geografische toegangsbeperkingen vereisen. Firewall-restricties implementeren een gelaagde beveiligingsaanpak waarbij alleen goedgekeurde IP-adressen verbinding kunnen maken met Cosmos DB, ongeautoriseerde locaties automatisch worden geblokkeerd, en een combinatie van inloggegevens plus IP-whitelist vereist is voor toegang. Dit betekent dat zelfs als inloggegevens worden gestolen, aanvallers niet kunnen verbinden tenzij ze ook toegang hebben tot een goedgekeurd IP-adres. Voor organisaties met gevoelige data of compliance-vereisten is deze maatregel essentieel om het risico van ongeautoriseerde toegang aanzienlijk te reduceren.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.CosmosDB

Implementatie

Deze maatregel configureert firewall-regels voor Azure Cosmos DB accounts om toegang te beperken tot specifieke IP-adressen en ranges. Azure Cosmos DB biedt meerdere firewall-opties: IP firewall-regels die specifieke publieke IP-adressen of CIDR-ranges goedkeuren, VNet Service Endpoints voor toegang vanuit specifieke Azure Virtual Network-subnets (legacy functie, niet aanbevolen voor nieuwe implementaties), en Private Endpoints die Cosmos DB volledig binnen een VNet plaatsen (sterk aanbevolen - zie cosmosdb-private-endpoints-configured.json voor details). De implementatie van IP-gebaseerde firewall omvat het goedkeuren van alleen de vereiste client IP-adressen met bij voorkeur specifieke /32 adressen in plaats van brede ranges, het uitschakelen van 'Toegang toestaan vanuit Azure Portal' in productie-omgevingen waarbij beheer uitsluitend via Azure Resource Manager API's verloopt, het deactiveren van 'Verbindingen accepteren vanuit openbare Azure datacenters' om te voorkomen dat elke Azure-resource kan verbinden, en het documenteren van elke firewall-regel met informatie over het IP-adres, de eigenaar van dat IP, en de zakelijke rechtvaardiging. Kwartaalreviews moeten worden uitgevoerd om verouderde regels te identificeren en te verwijderen. Belangrijke overweging is dat IP-gebaseerde firewalls een tijdelijke oplossing zijn - de best practice is om te migreren naar Private Endpoints voor complete netwerk-isolatie waarbij Cosmos DB uitsluitend via private IP-adressen binnen een VNet toegankelijk is, wat superieure beveiliging biedt vergeleken met publieke IP-whitelisting. Deze firewall-configuratie kost geen extra geld, kan binnen één tot twee uur worden geïmplementeerd, en vormt een essentiële beveiligingslaag voor alle productie Cosmos DB-accounts totdat Private Endpoints zijn geïmplementeerd.

Implementatie

**FASE 1: Legitieme Toegangsbronnen Identificeren** De eerste fase van de implementatie bestaat uit het grondig inventariseren van alle systemen en gebruikers die toegang tot de Cosmos DB-database vereisen. Dit proces neemt ongeveer dertig minuten in beslag en vormt de basis voor een veilige en goed gedocumenteerde firewall-configuratie. Zonder een complete inventarisatie bestaat het risico dat kritieke systemen worden uitgesloten van toegang, wat kan leiden tot productie-uitval. Begin met het identificeren van alle productie-applicaties die direct verbinding maken met Cosmos DB. Dit omvat Azure App Services die als frontend of backend dienen, Azure Functions die periodieke taken uitvoeren, en Kubernetes-clusters die containerized workloads hosten. Voor elk van deze services moet het uitgaande IP-adres worden vastgesteld. Bij Azure App Services en Function Apps kunnen deze IP-adressen variëren, vooral wanneer de services worden geschaald of opnieuw worden gestart. In dergelijke gevallen is het raadzaam om Service Tags te gebruiken indien mogelijk, of om een IP-range te configureren die alle mogelijke uitgaande IP-adressen van de service omvat. Naast productie-applicaties moeten ook ontwikkelomgevingen worden geïdentificeerd. Development workstations van engineers die direct toegang nodig hebben voor debugging, testing of data-analyse moeten worden geïnventariseerd. Voor kantoornetwerken moet het statische publieke IP-adres worden verkregen van de internet service provider. Indien medewerkers via VPN verbinden, moet het publieke IP-adres van de VPN-gateway worden genoteerd. Voor on-premises datacenters die verbinding maken met Cosmos DB moeten de firewall- of gateway IP-adressen worden geïdentificeerd. CI/CD pipelines vormen een belangrijke categorie van toegangsbronnen. Azure DevOps agents en GitHub Actions runners die database-migraties uitvoeren of testdata inladen hebben toegang nodig. Deze systemen hebben vaak dynamische IP-adressen, wat betekent dat een IP-range moet worden geconfigureerd in plaats van een enkel IP-adres. Management tools zoals Azure CLI en PowerShell die worden uitgevoerd vanaf beheermachines moeten ook worden geïdentificeerd, evenals monitoring systemen zoals Azure Monitor, Datadog of New Relic die metrische gegevens verzamelen. Data processing jobs vormen een laatste belangrijke categorie. Azure Data Factory pipelines die ETL-operaties uitvoeren, Azure Databricks clusters die data-analyse uitvoeren, en andere batch-processing systemen moeten allemaal worden geïnventariseerd. Voor elk van deze systemen moet het publieke IP-adres of de IP-range worden vastgesteld. Na het inventariseren van alle toegangsbronnen moeten deze worden gecategoriseerd op basis van prioriteit. Kritieke bronnen zijn productie-applicaties zonder alternatief - deze moeten altijd toegang hebben. Hoge prioriteit wordt toegekend aan development teams die dagelijks toegang nodig hebben. Medium prioriteit geldt voor CI/CD pipelines die af en toe worden uitgevoerd. Lage prioriteit wordt toegekend aan ad-hoc beheeractiviteiten. Alle gegevens moeten worden gedocumenteerd in een spreadsheet met de volgende kolommen: naam van de bron, IP-adres of range, CIDR-notatie, eigenaar of team, zakelijke rechtvaardiging, en reviewdatum (bij voorkeur elk kwartaal). Deze documentatie vormt de basis voor governance en auditing en is essentieel voor compliance-doeleinden.

**FASE 2: Cosmos DB Firewall Configureren via Azure Portal** De tweede fase omvat het daadwerkelijk configureren van de firewall-regels in Azure Portal. Dit proces neemt ongeveer dertig minuten in beslag, maar vereist zorgvuldige planning om te voorkomen dat legitieme toegang wordt geblokkeerd. Het is cruciaal om deze configuratie uit te voeren tijdens een onderhoudsvenster, omdat het overschakelen naar 'Selected networks' onmiddellijk alle IP-adressen blokkeert totdat de whitelist is geconfigureerd. Begin door in Azure Portal te navigeren naar Cosmos DB accounts en selecteer het specifieke account dat moet worden beveiligd. Ga naar de sectie Networking in de instellingen. Hier vindt u de optie 'Firewall and virtual networks'. Het is van cruciaal belang om 'Selected networks' te selecteren in plaats van 'All networks'. De optie 'All networks' schakelt alle firewall-bescherming uit en staat wereldwijde toegang toe vanaf elk IP-adres, wat precies is wat we proberen te voorkomen. Voordat u overschakelt naar 'Selected networks', moet u eerst uw eigen IP-adres toevoegen aan de whitelist. Klik op '+ Add my current IP' om onmiddellijk beheerders-toegang te behouden. Dit voorkomt dat u uzelf buitensluit van de database. Voeg vervolgens alle andere geïdentificeerde IP-adressen toe onder 'Add IP ranges'. Voor individuele IP-adressen moet u de /32 CIDR-notatie gebruiken voor maximale restrictiviteit. Bijvoorbeeld: 203.0.113.45/32 geeft alleen toegang aan dat specifieke IP-adres. Voor IP-ranges moet u de juiste CIDR-notatie gebruiken. Bijvoorbeeld: 203.0.113.0/24 geeft toegang aan 256 IP-adressen (van 203.0.113.0 tot 203.0.113.255). Gebruik IP-ranges alleen wanneer dit absoluut noodzakelijk is, zoals bij dynamische IP-pools waar het exacte IP-adres niet kan worden voorspeld. Brede ranges verhogen het aanvalsoppervlak en moeten worden vermeden waar mogelijk. Een kritieke beveiligingshardening stap is het uitschakelen van 'Accept connections from within Azure datacenters'. Deze optie staat toe dat elke Azure-service in elke tenant toegang krijgt tot uw Cosmos DB-account, wat een enorm beveiligingslek creëert. Schakel deze optie alleen in wanneer er een absolute noodzaak is voor cross-subscription toegang, en documenteer deze beslissing uitgebreid met de zakelijke rechtvaardiging. Evenzo moet 'Accept connections from Azure portal' worden uitgeschakeld in productie-omgevingen. Deze optie voorkomt dat gecompromitteerde beheerdersaccounts via de Portal toegang krijgen tot data. In plaats daarvan moet beheer worden geforceerd via Azure CLI of PowerShell vanaf goedgekeurde IP-adressen. Dit biedt een extra beveiligingslaag en maakt het mogelijk om beheeractiviteiten te auditen via command-line logs. Na het configureren van alle firewall-regels, klik op 'Save'. De wijziging duurt één tot twee minuten om te worden doorgevoerd door het Azure-netwerk. Test onmiddellijk de connectiviteit vanaf goedgekeurde IP-adressen om te verifiëren dat legitieme toegang werkt. Controleer applicatielogs voor eventuele verbindingsfouten en verifieer dat database queries succesvol worden uitgevoerd.

**FASE 3: Firewall-regels Documenteren en Governance** De derde fase richt zich op het opzetten van een robuust governance-proces voor firewall-regels. Goede documentatie en regelmatige reviews zijn essentieel om te voorkomen dat verouderde of onnodige firewall-regels het beveiligingsniveau verlagen. Dit proces neemt ongeveer dertig minuten in beslag voor de initiële opzet, gevolgd door kwartaalreviews van dertig minuten. Creëer een Firewall Rule Inventory spreadsheet met de volgende kolommen: regelnummer voor unieke identificatie, IP-adres of range in zowel leesbare als CIDR-notatie, naam van de bron die toegang nodig heeft, eigenaar met volledige naam en e-mailadres voor verantwoordelijkheid, zakelijke rechtvaardiging die uitlegt waarom deze toegang nodig is, datum waarop de regel is toegevoegd, geplande reviewdatum (bij voorkeur elk kwartaal), en status (actief of uitgeschakeld). Deze spreadsheet dient als de centrale bron van waarheid voor alle firewall-configuraties en is essentieel voor auditing en compliance. Voor elke bestaande firewall-regel moet een interview worden gehouden met de regel-eigenaar om de zakelijke rechtvaardiging te verkrijgen. Dit helpt te begrijpen waarom de toegang oorspronkelijk is verleend en of deze nog steeds nodig is. Verifieer dat het IP-adres nog actief wordt gebruikt door Cosmos DB diagnostische logs te controleren op recente verbindingen vanaf dat IP-adres. Als een IP-adres gedurende meer dan negentig dagen niet is gebruikt, moet worden overwogen om de regel te verwijderen of uit te schakelen. Documenteer de geplande reviewdatum voor elke regel. Kwartaalreviews zijn aanbevolen, maar voor kritieke productie-systemen kunnen maandelijkse reviews geschikter zijn. Tijdens reviews moeten de volgende vragen worden gesteld: wordt het IP-adres nog steeds gebruikt, is de zakelijke rechtvaardiging nog steeds geldig, kan de toegang worden beperkt tot een smaller IP-range, en zijn er alternatieve methoden voor toegang die veiliger zijn? Implementeer een naamgevingsconventie voor firewall-regels om consistentie en duidelijkheid te waarborgen. Een voorbeeldconventie is '[Team]-[Doel]-[Locatie]', zoals 'DataEngineering-ETL-OnPrem' voor een ETL-proces van het data engineering team vanaf een on-premises locatie, 'DevTeam-Development-Office' voor development toegang vanaf het kantoor, of 'Production-WebApp-AppService' voor een productie webapplicatie die draait op Azure App Service. Deze conventie maakt het gemakkelijk om regels te identificeren en te beheren. Tag het Cosmos DB-account met metadata voor tracking en automatisering. Voorbeelden van tags zijn FirewallReviewDate=2025-Q2 om aan te geven wanneer de volgende review gepland is, FirewallOwner=SecurityTeam om de verantwoordelijke partij te identificeren, en LastAudit=2025-01-15 om de datum van de laatste audit vast te leggen. Deze tags kunnen worden gebruikt in Azure Policy om automatische compliance-checks uit te voeren en om rapporten te genereren over firewall-governance.

**FASE 4: Connectiviteit Testen en Probleemoplossing** De vierde en laatste fase omvat uitgebreide testing om te verifiëren dat de firewall-configuratie correct werkt en dat zowel legitieme toegang wordt toegestaan als ongeautoriseerde toegang wordt geblokkeerd. Dit proces neemt ongeveer dertig minuten in beslag en is essentieel om te voorkomen dat productie-uitval optreedt door onjuiste configuratie. Begin met positieve testing vanaf goedgekeurde IP-adressen. Vanaf een development workstation waarvan het IP-adres is goedgekeurd, gebruik Azure Data Explorer of de Cosmos DB SDK om een verbinding te testen. Verifieer dat queries succesvol worden uitgevoerd en dat data correct kan worden gelezen en geschreven. Voor productie-applicaties moet u applicatielogs monitoren op verbindingsfouten. Controleer dat succesvolle database queries worden uitgevoerd en dat de applicatie normaal functioneert. Voer negatieve testing uit vanaf niet-goedgekeurde IP-adressen om te verifiëren dat de firewall daadwerkelijk ongeautoriseerde toegang blokkeert. Vanaf een persoonlijk apparaat zonder VPN, probeer Cosmos DB te benaderen. Dit MOET falen met een 'Forbidden' foutmelding. Als toegang nog steeds mogelijk is, is de firewall niet correct geconfigureerd en moet de configuratie worden herzien. Het is belangrijk om deze test uit te voeren vanaf verschillende locaties en netwerken om te verifiëren dat de firewall consistent werkt. Veelvoorkomende problemen en oplossingen: Verbindingstimeout-fouten kunnen optreden direct na het aanbrengen van firewall-wijzigingen. Wacht twee tot vijf minuten na firewall-wijzigingen voor propagatie door het Azure-netwerk. Als problemen aanhouden, controleer of de wijzigingen correct zijn opgeslagen in Azure Portal. 'Forbidden' fouten voor goedgekeurde IP-adressen kunnen optreden wanneer het IP-adres in de firewall niet overeenkomt met het werkelijke publieke IP-adres. Gebruik whatismyip.com of een vergelijkbare service om uw werkelijke publieke IP-adres te verifiëren. Controleer de CIDR-notatie op correctheid - gebruik /32 voor een enkel IP-adres. Voor dynamische IP-adressen kan het nodig zijn om een IP-range te gebruiken in plaats van een enkel IP-adres. Intermittente connectiviteit kan optreden wanneer IP-adressen dynamisch zijn en regelmatig veranderen. In dergelijke gevallen moet een IP-range worden geconfigureerd die alle mogelijke IP-adressen omvat. Voor Azure-services met dynamische IP-adressen, overweeg het gebruik van Service Tags indien beschikbaar, of migreer naar Private Endpoints voor meer stabiele en veilige connectiviteit. **Totale Implementatietijd**: De initiële firewall-configuratie, regel-documentatie en testing nemen één tot twee uur in beslag. Kwartaalreviews nemen dertig minuten in beslag voor regel-audits en het opruimen van verouderde IP-adressen. **Kosten**: Cosmos DB firewall is volledig gratis - er zijn geen extra Azure-kosten. Langetermijn migratie naar Private Endpoints (aanbevolen): zes euro per maand per endpoint voor VNet-niveau isolatie.

Compliance en Auditing

Azure Cosmos DB firewall-configuratie is een essentiële beveiligingsmaatregel die vereist is voor naleving van meerdere belangrijke compliance-frameworks die van toepassing zijn op Nederlandse overheidsorganisaties en organisaties in kritieke sectoren. Deze maatregel vormt een fundamentele bouwsteen voor netwerkbeveiliging en toegangscontrole, en is expliciet of impliciet vereist door verschillende standaarden. **CIS Azure Benchmark - Cosmos DB Security** De Center for Internet Security (CIS) Azure Benchmark bevat specifieke aanbevelingen voor Cosmos DB-beveiliging die firewall-configuratie vereisen. Deze benchmark wordt wereldwijd erkend als een best practice framework voor cloud-beveiliging en wordt vaak gebruikt als basis voor security assessments. De CIS-aanbevelingen benadrukken het belang van netwerk-segmentatie en het beperken van toegang tot alleen geautoriseerde bronnen. Firewall-configuratie voor Cosmos DB is een directe implementatie van deze principes en helpt organisaties te voldoen aan de CIS-vereisten voor database-beveiliging. **ISO 27001 - A.13.1.1 Netwerkcontroles** ISO 27001 is de internationale standaard voor informatiebeveiligingsmanagement en bevat specifieke controles voor netwerkbeveiliging. Controle A.13.1.1 vereist dat organisaties netwerkcontroles implementeren om de beveiliging van netwerkdiensten te waarborgen. Azure Cosmos DB firewall-configuratie is een directe implementatie van deze controle, omdat het netwerktoegang beperkt tot geautoriseerde IP-adressen en ranges. Tijdens ISO 27001-audits moeten organisaties kunnen aantonen dat ze netwerktoegang hebben beperkt en dat er mechanismen zijn om ongeautoriseerde toegang te detecteren en te blokkeren. Firewall-configuratie biedt deze controles en genereert audit logs die kunnen worden gebruikt als bewijs van naleving. Voor Nederlandse organisaties die ISO 27001-certificering nastreven of behouden, is firewall-configuratie niet alleen een best practice, maar een vereiste voor het aantonen van effectieve netwerkcontroles. Auditors zullen specifiek vragen naar de configuratie van netwerktoegangsbeperkingen voor cloud-databases, en de afwezigheid van firewall-configuratie kan leiden tot non-conformiteit bevindingen. **NIS2 - Artikel 21 Netwerktoegangscontrole en Authenticatie** De NIS2-richtlijn (Network and Information Systems Directive 2) is van toepassing op essentiële en belangrijke entiteiten in de Europese Unie, inclusief Nederlandse organisaties in kritieke sectoren zoals energie, transport, gezondheidszorg, en digitale infrastructuur. Artikel 21 van NIS2 vereist dat organisaties passende en evenredige technische en organisatorische maatregelen treffen om de beveiliging van netwerk- en informatiesystemen te waarborgen. Specifiek vereist Artikel 21 dat organisaties netwerktoegangscontrole en authenticatie implementeren. Azure Cosmos DB firewall-configuratie is een directe implementatie van deze vereiste, omdat het netwerktoegang controleert op basis van IP-adressen en een extra beveiligingslaag biedt naast authenticatie op basis van credentials. Voor Nederlandse organisaties die onder NIS2 vallen, is het implementeren van firewall-configuratie niet optioneel, maar een verplichte maatregel om te voldoen aan de richtlijn. NIS2-audits zullen specifiek controleren op de aanwezigheid van netwerktoegangscontroles, en organisaties moeten kunnen aantonen dat ze passende maatregelen hebben genomen om ongeautoriseerde netwerktoegang te voorkomen. Firewall-configuratie, samen met documentatie en regelmatige reviews, vormt een essentieel onderdeel van het compliance-pakket voor NIS2. **BIO - Thema 13.01 Netwerkbeveiliging** De Baseline Informatiebeveiliging Overheid (BIO) is het Nederlandse beveiligingskader voor overheidsorganisaties en bevat specifieke thema's en maatregelen voor netwerkbeveiliging. Thema 13.01 richt zich op netwerkbeveiliging en vereist dat organisaties netwerktoegang beperken en controleren. Azure Cosmos DB firewall-configuratie is een directe implementatie van de BIO-principes voor netwerkbeveiliging. BIO-thema 13.01 benadrukt het belang van netwerk-segmentatie en het beperken van toegang tot alleen geautoriseerde bronnen. Firewall-configuratie voor Cosmos DB implementeert deze principes door IP-gebaseerde toegangscontrole te bieden. Voor Nederlandse overheidsorganisaties die werken volgens BIO, is firewall-configuratie een vereiste maatregel die moet worden geïmplementeerd voor alle productie-databases. BIO-audits zullen controleren op de aanwezigheid van netwerkbeveiligingsmaatregelen, en organisaties moeten kunnen aantonen dat ze passende controles hebben geïmplementeerd. Firewall-configuratie, samen met documentatie en governance-processen, vormt een essentieel onderdeel van het BIO-compliance-pakket. **Audit-evidentie en Documentatie** Voor alle compliance-frameworks is het essentieel om audit-evidentie te verzamelen en te behouden. Dit omvat documentatie van firewall-regels, regelmatige review-logs, en bewijs van implementatie. Organisaties moeten een proces hebben voor het documenteren van alle firewall-configuraties, inclusief de zakelijke rechtvaardiging voor elke regel, de eigenaar van de regel, en de review-datums. Kwartaalreviews van firewall-regels zijn essentieel voor compliance, omdat ze aantonen dat organisaties proactief hun netwerkbeveiliging beheren en verouderde of onnodige regels opruimen. Deze reviews moeten worden gedocumenteerd en beschikbaar zijn voor auditors. Azure-tags en metadata kunnen worden gebruikt om compliance-informatie te tracken, en diagnostische logs kunnen worden gebruikt om te verifiëren dat firewall-regels actief worden gebruikt. **Conclusie** Azure Cosmos DB firewall-configuratie is niet alleen een best practice voor beveiliging, maar een vereiste voor naleving van meerdere belangrijke compliance-frameworks. Voor Nederlandse organisaties die werken met gevoelige data of die opereren in gereguleerde sectoren, is het implementeren van firewall-configuratie een essentiële stap in het voldoen aan compliance-vereisten. De combinatie van technische implementatie, documentatie, en governance-processen vormt een robuust compliance-pakket dat voldoet aan de eisen van CIS, ISO 27001, NIS2, en BIO.

Monitoring

Gebruik PowerShell-script cosmosdb-firewall-configured.ps1 (functie Invoke-Monitoring) – Controleren.

Remediatie

Gebruik PowerShell-script cosmosdb-firewall-configured.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Azure Cosmos DB: Firewall Rules Configured .DESCRIPTION CIS Azure Foundations Benchmark - Control 4.1.1 Controleert of Cosmos DB accounts firewall rules of virtual network filters hebben geconfigureerd. Dit beperkt network access tot alleen geauthoriseerde IP ranges of VNets. Waarom is deze control belangrijk? - Prevent unauthorized network access - Network segmentation en access control - Compliance met least privilege networking - Defense in depth security .NOTES Filename: cosmosdb-firewall-configured.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/azure/databases/cosmosdb-firewall-configured.json CIS Control: 4.1.1 .PARAMETER WhatIf Toont wat het script zou doen zonder daadwerkelijk wijzigingen door te voeren .PARAMETER Monitoring Voert compliance check uit en toont gedetailleerd rapport .PARAMETER Remediation Voert automatische remediatie uit om firewall rules te configureren .PARAMETER Revert Draait wijzigingen terug (verwijdert firewall rules) .EXAMPLE .\cosmosdb-firewall-configured.ps1 Voert basis compliance check uit .EXAMPLE .\cosmosdb-firewall-configured.ps1 -Monitoring Toont gedetailleerd compliance rapport .EXAMPLE .\cosmosdb-firewall-configured.ps1 -Remediation Configureert firewall rules voor non-compliant Cosmos DB accounts #> # ============================================================================ # REQUIREMENTS # ============================================================================ #Requires -Version 5.1 #Requires -Modules Az.Accounts #Requires -Modules Az.CosmosDB # ============================================================================ # PARAMETERS # ============================================================================ [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) # ============================================================================ # GLOBAL VARIABLES # ============================================================================ $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $PolicyName = "Azure Cosmos DB: Firewall Configuration" # ============================================================================ # FUNCTION: Connect-RequiredServices # ============================================================================ function Connect-RequiredServices { function Invoke-Revert { Write-Host "`nReverting firewall configuration..." -ForegroundColor Yellow Write-Host "⚠️ WAARSCHUWING: Firewall verwijderen verhoogt security risk!" -ForegroundColor Red $cosmosAccounts = Get-AzCosmosDBAccount -ErrorAction SilentlyContinue foreach ($account in $cosmosAccounts) { Update-AzCosmosDBAccount ` -ResourceGroupName $account.ResourceGroupName ` -Name $account.Name ` -EnablePublicNetworkAccess $true ` -IpRule @() Write-Host " ✓ Removed firewall restrictions for $($account.Name)" -ForegroundColor Green } } try { $context = Get-AzContext if (-not $context) { Write-Verbose "Connecting to Azure..." Connect-AzAccount | Out-Null } else { Write-Verbose "Already connected to Azure as $($context.Account.Id)" } } catch { Write-Error "Failed to connect to Azure: $_" throw } } # ============================================================================ # FUNCTION: Test-Compliance # ============================================================================ function Test-Compliance { Write-Verbose "Testing compliance for: $PolicyName..." $result = [PSCustomObject]@{ ScriptName = "cosmosdb-firewall-configured" PolicyName = $PolicyName IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 Details = @() Recommendations = @() } function Invoke-Revert { Write-Host "`nReverting firewall configuration..." -ForegroundColor Yellow Write-Host "⚠️ WAARSCHUWING: Firewall verwijderen verhoogt security risk!" -ForegroundColor Red $cosmosAccounts = Get-AzCosmosDBAccount -ErrorAction SilentlyContinue foreach ($account in $cosmosAccounts) { Update-AzCosmosDBAccount ` -ResourceGroupName $account.ResourceGroupName ` -Name $account.Name ` -EnablePublicNetworkAccess $true ` -IpRule @() Write-Host " ✓ Removed firewall restrictions for $($account.Name)" -ForegroundColor Green } } try { Write-Verbose "Retrieving all Cosmos DB accounts..." $cosmosAccounts = Get-AzCosmosDBAccount -ErrorAction SilentlyContinue if (-not $cosmosAccounts) { $result.Details += "Geen Cosmos DB accounts gevonden in dit subscription" $result.IsCompliant = $true return $result } $result.TotalResources = @($cosmosAccounts).Count foreach ($account in $cosmosAccounts) { Write-Verbose "Checking account: $($account.Name)" $hasFirewall = $false $firewallInfo = "" if ($account.IpRules -and $account.IpRules.Count -gt 0) { $hasFirewall = $true $firewallInfo = "$($account.IpRules.Count) IP rule(s)" } if ($account.IsVirtualNetworkFilterEnabled) { $hasFirewall = $true if ($firewallInfo) { $firewallInfo += " + " } $firewallInfo += "VNet filters enabled" } if ($hasFirewall) { $result.CompliantCount++ $result.Details += "✓ Account '$($account.Name)' heeft firewall configuratie ($firewallInfo)" } else { $result.NonCompliantCount++ $result.Details += "✗ Account '$($account.Name)' heeft GEEN firewall rules (ResourceGroup: $($account.ResourceGroupName))" $result.Recommendations += "Configureer firewall rules voor Cosmos DB account '$($account.Name)'" } } $result.IsCompliant = ($result.NonCompliantCount -eq 0) if ($result.NonCompliantCount -gt 0) { $result.Recommendations += "Configureer IP allowlist of VNet filters" $result.Recommendations += "Run met -Remediation voor automatische basic firewall configuratie" } } catch { $result.Details += "ERROR: $($_.Exception.Message)" } return $result } # ============================================================================ # FUNCTION: Invoke-Remediation # ============================================================================ function Invoke-Remediation { Write-Host "`nStarting remediation for: $PolicyName..." -ForegroundColor Cyan Write-Host "=" * 80 -ForegroundColor Cyan Write-Host "`n⚠️ BELANGRIJKE OPMERKING:" -ForegroundColor Yellow Write-Host " Firewall rules moeten worden aangepast aan jouw specifieke omgeving" -ForegroundColor Yellow Write-Host " Dit script configureert een basic deny-all policy`n" -ForegroundColor Yellow function Invoke-Revert { Write-Host "`nReverting firewall configuration..." -ForegroundColor Yellow Write-Host "⚠️ WAARSCHUWING: Firewall verwijderen verhoogt security risk!" -ForegroundColor Red $cosmosAccounts = Get-AzCosmosDBAccount -ErrorAction SilentlyContinue foreach ($account in $cosmosAccounts) { Update-AzCosmosDBAccount ` -ResourceGroupName $account.ResourceGroupName ` -Name $account.Name ` -EnablePublicNetworkAccess $true ` -IpRule @() Write-Host " ✓ Removed firewall restrictions for $($account.Name)" -ForegroundColor Green } } try { $fixed = 0 $failed = 0 $skipped = 0 $cosmosAccounts = Get-AzCosmosDBAccount -ErrorAction SilentlyContinue if (-not $cosmosAccounts) { Write-Host "Geen Cosmos DB accounts gevonden" -ForegroundColor Gray return } foreach ($account in $cosmosAccounts) { $hasFirewall = ($account.IpRules.Count -gt 0) -or $account.IsVirtualNetworkFilterEnabled if ($hasFirewall) { Write-Host " ✓ $($account.Name): Already has firewall configured" -ForegroundColor Green $skipped++ } else { Write-Host " Configuring: $($account.Name)..." -ForegroundColor Gray function Invoke-Revert { Write-Host "`nReverting firewall configuration..." -ForegroundColor Yellow Write-Host "⚠️ WAARSCHUWING: Firewall verwijderen verhoogt security risk!" -ForegroundColor Red $cosmosAccounts = Get-AzCosmosDBAccount -ErrorAction SilentlyContinue foreach ($account in $cosmosAccounts) { Update-AzCosmosDBAccount ` -ResourceGroupName $account.ResourceGroupName ` -Name $account.Name ` -EnablePublicNetworkAccess $true ` -IpRule @() Write-Host " ✓ Removed firewall restrictions for $($account.Name)" -ForegroundColor Green } } try { # Configureer basic firewall (deny all, allow Azure services) # Pas dit aan voor jouw omgeving! Update-AzCosmosDBAccount ` -ResourceGroupName $account.ResourceGroupName ` -Name $account.Name ` -EnablePublicNetworkAccess $false ` -ErrorAction Stop | Out-Null Write-Host " [OK] Public network access disabled (gebruik Private Endpoints)" -ForegroundColor Green Write-Host " ⚠️ Configureer Private Endpoints voor connectivity!" -ForegroundColor Yellow $fixed++ } catch { Write-Host " ✗ Failed: $($_.Exception.Message)" -ForegroundColor Red $failed++ } } } Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Remediation Summary:" -ForegroundColor White Write-Host " Configured: $fixed" -ForegroundColor Green Write-Host " Already compliant: $skipped" -ForegroundColor Green if ($failed -gt 0) { Write-Host " Failed: $failed" -ForegroundColor Red } if ($fixed -gt 0) { Write-Host "`n⚠️ NEXT STEPS:" -ForegroundColor Yellow Write-Host " 1. Configureer Private Endpoints voor database connectivity" -ForegroundColor Gray Write-Host " 2. Of configureer specifieke IP allowlist:" -ForegroundColor Gray Write-Host " Update-AzCosmosDBAccount -IpRule @('x.x.x.x/32')" -ForegroundColor DarkGray Write-Host " 3. Test database connectivity na configuratie" -ForegroundColor Gray } } catch { Write-Error "Remediation failed: $_" throw } } # ============================================================================ # FUNCTION: Invoke-Monitoring # ============================================================================ function Invoke-Monitoring { $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Cosmos DB accounts gecontroleerd: $($result.TotalResources)" -ForegroundColor White Write-Host "Compliant: $($result.CompliantCount)" -ForegroundColor Green $color = if ($result.NonCompliantCount -gt 0) { "Red" } else { "Green" } Write-Host "Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $color if ($result.Details) { Write-Host "`nDetails:" -ForegroundColor Yellow foreach ($detail in $result.Details) { Write-Host " $detail" -ForegroundColor Gray } } if ($result.Recommendations) { Write-Host "`nAanbevelingen:" -ForegroundColor Yellow foreach ($recommendation in $result.Recommendations) { Write-Host " → $recommendation" -ForegroundColor Cyan } } return $result } # ============================================================================ # MAIN EXECUTION BLOCK # ============================================================================ function Invoke-Revert { Write-Host "`nReverting firewall configuration..." -ForegroundColor Yellow Write-Host "⚠️ WAARSCHUWING: Firewall verwijderen verhoogt security risk!" -ForegroundColor Red $cosmosAccounts = Get-AzCosmosDBAccount -ErrorAction SilentlyContinue foreach ($account in $cosmosAccounts) { Update-AzCosmosDBAccount ` -ResourceGroupName $account.ResourceGroupName ` -Name $account.Name ` -EnablePublicNetworkAccess $true ` -IpRule @() Write-Host " ✓ Removed firewall restrictions for $($account.Name)" -ForegroundColor Green } } try { Connect-RequiredServices if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { if ($WhatIf) { Write-Host "`n=== WHATIF MODE ===" -ForegroundColor Yellow Write-Host "Zou firewall configureren voor: $PolicyName" -ForegroundColor Yellow $result = Test-Compliance if ($result.NonCompliantCount -gt 0) { Write-Host "Zou firewall configureren voor $($result.NonCompliantCount) Cosmos DB account(s)" -ForegroundColor Yellow } Write-Host "===================`n" -ForegroundColor Yellow } else { Invoke-Remediation } } elseif ($Revert) { Invoke-Revert } else { $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Compliance Check: $PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan if ($result.IsCompliant) { Write-Host "Status: [OK] COMPLIANT" -ForegroundColor Green Write-Host "Alle Cosmos DB accounts hebben firewall configuratie" -ForegroundColor Green } else { Write-Host "Status: [FAIL] NON-COMPLIANT" -ForegroundColor Red Write-Host "Aantal non-compliant accounts: $($result.NonCompliantCount)" -ForegroundColor Red Write-Host "`nRun met -Monitoring voor gedetailleerd rapport" -ForegroundColor Yellow Write-Host "Run met -Remediation om automatisch te configureren" -ForegroundColor Yellow } } } catch { Write-Error "An error occurred: $_" Write-Error $_.ScriptStackTrace exit 1 }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder firewall-configuratie voor Azure Cosmos DB blijft de database wereldwijd toegankelijk vanaf elk IP-adres met geldige inloggegevens, wat het aanvalsoppervlak maximaliseert en ernstige beveiligingsrisico's creëert. Gelekte verbindingsreeksen door accidentele GitHub commits, logbestanden, of gecompromitteerde applicaties betekenen onmiddellijke database-toegang vanaf overal in de wereld zonder IP-gebaseerde beperkingen die aanvalslocaties beperken - aanvallers die inloggegevens via phishing, malware of insider threats verkrijgen kunnen direct vanaf hun eigen infrastructuur de database benaderen zonder geografische of netwerk-beperkingen. Brute force-aanvallen op Cosmos DB-inloggegevens kunnen worden uitgevoerd vanaf ontelbare IP-adressen wereldwijd zonder rate limiting per bron-IP, wat credential-guessing aanvallen faciliteert. Data-exfiltratie door gecompromitteerde applicaties of kwaadwillende insiders kan niet worden beperkt tot specifieke vertrouwde netwerken, wat betekent dat gestolen data via willekeurige internet-verbindingen kan worden geëxfiltreerd zonder netwerkniveau blokkering. Compliance-risico's ontstaan waarbij ISO 27001 A.13.1.1 netwerktoegangscontrole-vereisten niet kunnen worden aangetoond zonder IP-gebaseerde beperkingen, NIS2 Artikel 21 netwerkisolatie-eisen worden geschonden bij wereldwijde toegankelijkheid, en BIO 13.01 netwerksegmentatie-principes niet worden nageleefd. Incident response wordt kritiek bemoeilijkt omdat forensisch onderzoek na beveiligingsincidenten niet kan bepalen wat de geografische oorsprong van aanvallen is wanneer alle IP's toegang hebben - bron-IP analyse voor threat hunting is waardeloos. Het risico is hoog voor alle Cosmos DB-instanties met gevoelige data, medium voor development/test-databases, en kritiek voor productie-databases in gereguleerde sectoren. BELANGRIJKE OPMERKING: Cosmos DB firewall is een tijdelijke beveiligingscontrole - Private Endpoints zijn de aanbevolen langetermijn oplossing voor VNet-niveau isolatie maar firewall-configuratie blijft essentieel als minimum beveiligingsbaseline en defense-in-depth laag.

Management Samenvatting

Cosmos DB firewall-configuratie implementeert IP-gebaseerde toegangscontrole die database-toegang beperkt tot expliciet goedgekeurde IP-adressen en ranges, wat het aanvalsoppervlak drastisch reduceert door wereldwijde toegankelijkheid te elimineren. Configuratie: Azure Portal → Cosmos DB account → Networking → Firewall and virtual networks → Selected networks (NIET 'All networks'), voeg specifieke IP-ranges toe voor legitieme toegangsbronnen (kantoor IP's, VPN-eindpunten, Azure service IP's indien nodig), gebruik /32 CIDR voor enkele IP's waar mogelijk voor maximale restrictiviteit, en documenteer elke firewall-regel met eigenaar, zakelijke rechtvaardiging en reviewdatum. Kritieke beveiligingshardening: Schakel 'Accept connections from within Azure datacenters' uit in productie (verhindert ongeautoriseerde toegang vanaf andere Azure-tenants), schakel 'Accept connections from Azure portal' uit in productie (voorkomt Portal-gebaseerde data-toegang door gecompromitteerde beheerdersaccounts - gebruik Azure CLI/PowerShell vanaf goedgekeurde IP's voor beheer), en plan kwartaalreviews van firewall-regels om verouderde IP-ranges te verwijderen. Deze maatregel is verplicht als minimum beveiligingsbaseline voor ALLE Cosmos DB productie-accounts, vereist voor compliance met ISO 27001 A.13.1.1, NIS2 Artikel 21, BIO 13.01, en wordt beschouwd als tijdelijke oplossing totdat Private Endpoints worden geïmplementeerd (aanbevolen langetermijn architectuur voor VNet-niveau isolatie). Implementatie-inspanning: één tot twee uur voor firewall-configuratie en regel-documentatie, geen extra Azure-kosten (firewall is gratis inbegrepen functie), kwartaalreviews dertig minuten. Beperkingen: Firewall is nog steeds internet-niveau beveiliging - voor echte netwerkisolatie implementeer Private Endpoints (zes euro per maand per endpoint) die alleen VNet-toegang bieden. Return on investment komt van: tachtig procent reductie in aanvalsoppervlak door IP-gebaseerde beperkingen, voorkomen van ongeautoriseerde toegang via gelekte inloggegevens vanaf niet-goedgekeurde locaties, compliance audit succes, en forensische mogelijkheden door IP-bron tracking.