L1 BIO 12.03 ISO A.17.2.1 CIS 6.6

DDoS Protection Ingeschakeld Voor Azure Virtual Networks

📅 2025-01-15
⏱️ 15 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

DDoS Protection vormt een fundamentele beveiligingsmaatregel voor alle Azure-resources die publiekelijk toegankelijk zijn via het internet. Zonder adequate DDoS-bescherming zijn organisaties kwetsbaar voor gedistribueerde denial-of-service aanvallen die de beschikbaarheid van kritieke diensten kunnen verstoren en aanzienlijke operationele en financiële schade kunnen veroorzaken.

Aanbeveling
IMPLEMENTEER VOOR ALLE INTERNETGERICHTE SERVICES
Risico zonder
High
Risk Score
8/10
Implementatie
3u (tech: 2u)
Van toepassing op:
Azure Virtual Networks
Public IP-adressen
Internetgerichte services

Gedistribueerde denial-of-service aanvallen vormen een van de meest voorkomende en meest destructieve bedreigingen voor de beschikbaarheid van internetgerichte services in de moderne digitale infrastructuur. Deze aanvallen kunnen verschillende vormen aannemen en worden steeds geavanceerder en krachtiger. Volumetrische aanvallen genereren enorme hoeveelheden netwerkverkeer, vaak meer dan 100 gigabit per seconde, met als doel de netwerkbandbreedte volledig te overspoelen en services onbeschikbaar te maken. Protocolaanvallen exploiteren zwakheden in netwerkprotocollen zoals TCP/IP door bijvoorbeeld SYN-floods te gebruiken die de verbindingscapaciteit van servers uitputten zonder dat er veel verkeer nodig is. Application-layer aanvallen richten zich specifiek op webservers en API's door normale HTTP-verzoeken te simuleren in zeer grote aantallen, waardoor deze diensten niet langer in staat zijn legitieme gebruikers te bedienen. Voor Nederlandse overheidsorganisaties kunnen DDoS-aanvallen leiden tot onbeschikbaarheid van essentiële diensten die burgers nodig hebben, zoals het aanvragen van uitkeringen, het inzien van persoonsgegevens of het indienen van documenten. Het ontbreken van DDoS-bescherming kan resulteren in uren tot dagen van uitval, aanzienlijke reputatieschade, verlies van vertrouwen bij burgers en potentiële compliance-schendingen wanneer diensten wettelijk verplicht zijn om beschikbaar te blijven onder alle omstandigheden. Daarnaast kunnen organisaties te maken krijgen met exponentiële schaalkosten tijdens aanvallen wanneer Azure automatisch resources opschaalt om de verhoogde belasting aan te kunnen, wat kan resulteren in kosten van duizenden euro's per dag. Zonder DDoS-bescherming beschikken organisaties bovendien niet over de benodigde inzichten en instrumenten om aanvallen te detecteren, te analyseren en te mitigeren, waardoor zij volledig afhankelijk zijn van handmatige interventie die vaak te laat komt.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Network, Az.Resources, Az.Accounts

Implementatie

Azure DDoS Protection biedt twee niveaus van bescherming: Basic en Standard. DDoS Protection Basic is automatisch ingeschakeld voor alle Azure-resources zonder extra kosten en biedt passieve bescherming tegen de meest voorkomende volumetrische aanvallen door automatisch schadelijke verkeerspatronen te identificeren en te mitigeren. Deze Basic-bescherming werkt automatisch in de Azure-infrastructuur en vereist geen configuratie, maar biedt beperkte zichtbaarheid en bescherming. DDoS Protection Standard daarentegen biedt uitgebreide actieve bescherming met geavanceerde machine learning-algoritmes die continu netwerkverkeer analyseren en zich automatisch aanpassen aan veranderende aanvalspatronen. Standard-bescherming moet expliciet worden ingeschakeld per Virtual Network en biedt realtime aanvalsmetrieken, gedetailleerde aanvalsrapporten voor forensisch onderzoek, kostenbescherming waarbij extra autoscaling-kosten tijdens aanvallen worden gecompenseerd, en 24/7 toegang tot DDoS-experts voor hulp bij complexe aanvallen. Dit artikel beschrijft hoe organisaties DDoS Protection kunnen inschakelen en configureren, welke opties beschikbaar zijn en hoe de bescherming moet worden gemonitord en beheerd om te voldoen aan compliance-vereisten zoals vastgelegd in de Baseline Informatiebeveiliging Overheid, de NIS2 richtlijn en ISO 27001. Het artikel behandelt zowel de implementatie van DDoS Protection Basic als de migratie naar DDoS Protection Standard voor kritieke workloads die maximale bescherming vereisen.

Vereisten en overwegingen

Voordat DDoS Protection wordt geïmplementeerd, moeten organisaties een duidelijk beeld hebben van welke resources bescherming nodig hebben en welke vorm van bescherming het meest geschikt is voor hun specifieke situatie. DDoS Protection Basic is automatisch beschikbaar voor alle Azure-resources zonder configuratie en zonder extra kosten, maar biedt beperkte zichtbaarheid en bescherming. Voor de meeste organisaties is dit voldoende voor niet-kritieke workloads of ontwikkelomgevingen. Voor productieomgevingen die kritieke diensten hosten en waar maximale beschikbaarheid essentieel is, is DDoS Protection Standard echter sterk aanbevolen. Het is daarom belangrijk om vooraf een inventarisatie te maken van alle Azure-resources die publiekelijk toegankelijk zijn, zoals virtuele machines met publieke IP-adressen, Load Balancers, Application Gateways en andere internetgerichte services. Voor elk van deze resources moet worden beoordeeld wat de impact is van uitval, wat de beschikbaarheidseisen zijn en of Basic-bescherming voldoende is of dat Standard-bescherming vereist is. Deze inventarisatie vormt de basis voor een gefaseerde implementatiestrategie waarbij eerst de meest kritieke workloads worden beschermd, gevolgd door andere resources op basis van prioriteit.

Voor het inschakelen van DDoS Protection Standard zijn specifieke Azure-rechten vereist. Beheerders moeten beschikken over rechten op het niveau van Network Contributor of hoger om Virtual Networks te kunnen configureren en DDoS Protection Plans aan te maken en te beheren. Het is belangrijk om vooraf te verifiëren welke rechten beschikbaar zijn en om indien nodig verzoeken in te dienen voor aanvullende rechten voordat de implementatie begint. Daarnaast is budgetgoedkeuring vereist voor DDoS Protection Standard, die ongeveer €2.700 per maand per Virtual Network kost. Deze kosten moeten worden afgewogen tegen de potentiële schade die een succesvolle DDoS-aanval kan veroorzaken en tegen de compliance-vereisten die van toepassing zijn op de organisatie. Voor Nederlandse overheidsorganisaties die onder de Baseline Informatiebeveiliging Overheid of de NIS2 richtlijn vallen, kan DDoS-bescherming een verplichte maatregel zijn voor essentiële diensten, waardoor de kosten kunnen worden gerechtvaardigd vanuit compliance-perspectief.

Een belangrijke overweging bij de implementatie van DDoS Protection is het begrijpen van het normale netwerkverkeerspatroon van de te beschermen services. Dit inzicht is essentieel om anomalies beter te kunnen identificeren wanneer monitoring wordt ingeschakeld en om te voorkomen dat legitiem piekverkeer ten onrechte wordt gemitigeerd. Organisaties moeten daarom vooraf baseline metrics bepalen voor verschillende tijdstippen van de dag en verschillende dagen van de week door historische verkeersdata te analyseren. Daarnaast is het belangrijk om te begrijpen hoe DDoS Protection werkt binnen de algehele netwerkarchitectuur van de organisatie. DDoS Protection werkt op netwerkniveau en beschermt alle publieke IP-adressen binnen een Virtual Network zodra de service is ingeschakeld. Het is daarom belangrijk om te zorgen dat de netwerkarchitectuur is gestructureerd op een manier die deze bescherming optimaal benut, bijvoorbeeld door kritieke workloads te scheiden van minder kritieke workloads in aparte Virtual Networks zodat verschillende beschermingsniveaus kunnen worden toegepast.

Implementatie van DDoS Protection

Gebruik PowerShell-script ddos-protection-enabled.ps1 (functie Invoke-Monitoring) – Controleert of DDoS Protection is ingeschakeld voor alle Virtual Networks met publieke IP-adressen en rapporteert de configuratiestatus..

De implementatie van DDoS Protection begint met het bepalen welk beschermingsniveau nodig is voor elk Virtual Network. DDoS Protection Basic is automatisch ingeschakeld voor alle Azure-resources en vereist geen configuratie, maar biedt beperkte zichtbaarheid en bescherming. Voor de meeste organisaties is dit voldoende voor niet-kritieke workloads. Voor productieomgevingen die kritieke diensten hosten, is DDoS Protection Standard echter sterk aanbevolen. Het inschakelen van DDoS Protection Standard begint met het aanmaken van een DDoS Protection Plan in de Azure Portal. Navigeer naar de Azure Portal en zoek naar 'DDoS protection plans' in de zoekbalk bovenaan. Klik op 'DDoS protection plans' en vervolgens op 'Toevoegen' om een nieuw plan aan te maken. Het is belangrijk om het plan aan te maken in dezelfde Azure-regio waar de Virtual Networks zich bevinden om optimale prestaties en lage latentie te garanderen. Het plan dient als container voor meerdere Virtual Networks en stelt organisaties in staat om bescherming centraal te beheren vanuit één beheerpunt. Dit is vooral handig voor organisaties die meerdere Virtual Networks hebben die allemaal bescherming nodig hebben, omdat niet voor elk netwerk afzonderlijk configuratie hoeft te worden uitgevoerd.

Vervolgens moet naar het gewenste Virtual Network worden genavigeerd in de Azure Portal. In het menu van het Virtual Network, aan de linkerkant onder de sectie 'Instellingen', selecteert u 'DDoS protection'. Hier wordt de huidige status van DDoS-bescherming voor het Virtual Network getoond, waarbij de Basic-versie standaard actief is. DDoS Protection Standard kan nu worden ingeschakeld door de optie 'Standard' te selecteren en het zojuist aangemaakte DDoS Protection Plan te kiezen uit de dropdown-lijst. Zodra u op 'Opslaan' klikt en de koppeling actief is, worden alle publieke IP-adressen binnen het Virtual Network automatisch beschermd zonder dat er aanvullende configuratie per IP-adres vereist is. Het is belangrijk om te weten dat de wijziging onmiddellijk actief wordt en dat bestaande verbindingen niet worden verbroken tijdens de activatie. De service begint direct met het monitoren van netwerkverkeer en het analyseren van verkeerspatronen om anomalies te detecteren die kunnen wijzen op een aanval.

Na activatie is het essentieel om monitoring in te stellen via Azure Monitor om tijdig te worden geïnformeerd over eventuele aanvallen en om inzicht te krijgen in de effectiviteit van de bescherming. Ga naar Azure Monitor in de Azure Portal en navigeer naar 'Metrische gegevens'. Hier kunnen verschillende DDoS-gerelateerde metrics worden geselecteerd zoals het aantal gedetecteerde aanvallen, het aantal mitigerende acties dat is ondernomen, de duur van aanvallen, en het volume van verkeer dat tijdens aanvallen wordt gegenereerd. Configureer alerts voor deze metrics door te klikken op 'Nieuwe waarschuwingsregel' en de gewenste drempelwaarden in te stellen. Het wordt sterk aanbevolen om ten minste wekelijkse rapportages in te stellen die management informeren over eventuele incidenten, zodat adequaat kan worden gereageerd op trends en patronen die zich voordoen. Daarnaast kunnen dashboards worden gemaakt die realtime inzicht geven in netwerkverkeer, aanvalspatronen, en de effectiviteit van de mitigerende maatregelen.

Voor geavanceerde bescherming is het mogelijk om DDoS Protection te integreren met Azure Web Application Firewall (WAF), wat een gelaagde beveiligingsaanpak creëert die aanvallen op meerdere niveaus afweert. Deze combinatie biedt niet alleen bescherming tegen volumetrische aanvallen op netwerkniveau, maar ook tegen geraffineerde applicatielaag-aanvallen die zich richten op specifieke kwetsbaarheden in webapplicaties. De WAF kan worden geconfigureerd met aangepaste regels die specifiek zijn afgestemd op de applicaties van de organisatie en gebruik maken van de OWASP Top 10-regelset voor bescherming tegen veelvoorkomende webapplicatieaanvallen. Door DDoS Protection en WAF samen te gebruiken, wordt een diepgaande defensieve strategie geïmplementeerd waarbij aanvallen worden gestopt voordat ze de applicatielaag bereiken. Tijdens de implementatie moet ook aandacht worden besteed aan netwerkarchitectuur en hoe DDoS Protection past binnen de algehele beveiligingsstrategie van de organisatie. Overweeg het gebruik van Azure Application Gateway of Azure Front Door als extra laag in de netwerkarchitectuur, wat kan helpen bij het verdelen van verkeer over meerdere backendservers en het bieden van extra mitigatiecapaciteit tijdens grootschalige aanvallen.

Compliance en verantwoording

DDoS Protection draagt substantieel bij aan het voldoen aan verschillende compliance-vereisten die van belang zijn voor Nederlandse overheidsorganisaties en bedrijven die werken met gevoelige informatie. Onder ISO 27001 richtlijn A.17.2.1, die zich richt op beschikbaarheid, moeten organisaties maatregelen treffen om de beschikbaarheid van informatie- en communicatietechnologie te waarborgen onder alle omstandigheden. DDoS-aanvallen zijn een van de meest voorkomende bedreigingen voor beschikbaarheid in de moderne digitale samenleving, en de implementatie van DDoS Protection demonstreert dat een organisatie proactieve stappen onderneemt om deze bedreiging te mitigeren voordat deze schade kan aanrichten. Tijdens ISO 27001 audits kunnen organisaties aantonen dat zij passende maatregelen hebben genomen om beschikbaarheidsrisico's te identificeren en te mitigeren, wat een belangrijk onderdeel vormt van het informatiebeveiligingsmanagementsysteem.

Voor Nederlandse overheidsorganisaties is compliance met de Baseline Informatiebeveiliging Overheid (BIO) verplicht en vormt dit een fundamenteel onderdeel van de informatiebeveiliging binnen de publieke sector. BIO control 12.03 richt zich specifiek op de bescherming tegen beschikbaarheidsverstoringen en vereist dat organisaties maatregelen implementeren die voorkomen dat diensten onbeschikbaar raken als gevolg van cyberincidenten zoals DDoS-aanvallen. Deze controle is van kritiek belang voor overheidsorganisaties omdat zij vaak essentiële diensten leveren aan burgers die 24/7 beschikbaar moeten zijn. DDoS Protection voldoet aan deze vereiste door automatische detectie en mitigatie van aanvallen die de beschikbaarheid kunnen verstoren, zonder dat handmatige interventie vereist is en met minimale impact op de dienstverlening. Tijdens BIO-audits kunnen organisaties documenteren dat zij adequate maatregelen hebben genomen om beschikbaarheidsrisico's te mitigeren.

Onder de NIS2 richtlijn (EU Richtlijn 2022/2555), die in Nederland is geïmplementeerd in de Wet cybersecurity, moeten essentiële dienstverleners en belangrijke entiteiten, waaronder overheidsorganisaties en bedrijven in kritieke sectoren, maatregelen treffen om continuïteit van dienstverlening te waarborgen. Artikel 21 van NIS2 specificeert dat organisaties risicobeheer moeten implementeren dat adequaat is voor de risico's waarmee zij worden geconfronteerd, waarbij specifieke aandacht wordt besteed aan bedreigingen zoals cyberincidenten. Voor internetgerichte diensten is DDoS-bescherming een essentieel onderdeel van een robuust risicobeheerbeleid omdat DDoS-aanvallen een van de meest voorkomende vormen van cyberincidenten zijn die de beschikbaarheid kunnen verstoren. Organisaties die onder de NIS2-richtlijn vallen moeten kunnen aantonen dat zij passende maatregelen hebben genomen om zich te beschermen tegen deze bedreigingen.

Het is belangrijk om de configuratie en werking van DDoS Protection uitgebreid te documenteren als onderdeel van de compliance-documentatie, zodat auditors en toezichthouders kunnen verifiëren dat de maatregelen adequaat zijn geïmplementeerd en functioneren zoals bedoeld. Dit omvat logboeken van aanvallen die hebben plaatsgevonden, mitigerende maatregelen die zijn ondernomen en de effectiviteit daarvan, configuratie-instellingen zoals welke Virtual Networks zijn beschermd en wanneer de bescherming is geactiveerd, en periodieke evaluaties van de effectiviteit van de bescherming. Dergelijke documentatie is essentieel om te kunnen aantonen aan auditors en toezichthouders zoals de Autoriteit Persoonsgegevens, het NCSC, of externe auditbureaus dat de organisatie voldoet aan relevante compliance-vereisten en dat passende maatregelen zijn genomen om bedreigingen te mitigeren.

Monitoring en beheer

Gebruik PowerShell-script ddos-protection-enabled.ps1 (functie Invoke-Monitoring) – Voert periodieke controles uit op de DDoS Protection-configuratie voor alle Virtual Networks en rapporteert de status aan security teams..

Effectieve monitoring van DDoS Protection is cruciaal om tijdig te detecteren wanneer aanvallen plaatsvinden en om de effectiviteit van de mitigatie te evalueren. Azure Monitor biedt uitgebreide metrieken die realtime inzicht geven in de status van de DDoS-bescherming. Belangrijke metrieken om te monitoren zijn het aantal gedetecteerde aanvallen, het aantal mitigerende acties dat is ondernomen, de duur van aanvallen, en het volume van verkeer dat tijdens aanvallen wordt gegenereerd. Deze metrieken bieden niet alleen inzicht in de frequentie en omvang van aanvallen, maar ook in de effectiviteit van de mitigatie. Door deze metrieken regelmatig te analyseren, kunnen organisaties trends identificeren en hun beveiligingsstrategie aanpassen aan veranderende bedreigingen. Het is belangrijk om te realiseren dat monitoring niet alleen gaat om het detecteren van aanvallen, maar ook om het begrijpen van de context en de impact van deze aanvallen op de organisatie.

Het wordt sterk aanbevolen om Azure Monitor waarschuwingen te configureren die automatisch notificaties verzenden wanneer een DDoS-aanval wordt gedetecteerd. Deze waarschuwingen moeten worden geconfigureerd voor verschillende ernstniveaus: informatieve waarschuwingen voor kleine incidenten die automatisch zijn afgehandeld, waarschuwingsmeldingen voor middelgrote aanvallen die mogelijk aandacht vereisen, en kritieke waarschuwingen voor grootschalige aanvallen die mogelijk handmatige interventie of escalatie naar management vereisen. Het is belangrijk om drempelwaarden te kiezen die realistisch zijn en die rekening houden met het normale verkeerspatroon van de organisatie. Te lage drempelwaarden kunnen leiden tot waarschuwingsmoeheid, waarbij security teams te veel meldingen ontvangen en belangrijke incidenten over het hoofd zien. Te hoge drempelwaarden kunnen er daarentegen toe leiden dat belangrijke incidenten niet worden gedetecteerd. Het is daarom raadzaam om drempelwaarden te baseren op historische data en deze regelmatig te evalueren en aan te passen op basis van ervaring.

Naast realtime monitoring is het belangrijk om periodieke reviews uit te voeren van de DDoS-metrieken. Analyseer trends over een periode van maanden om te identificeren of er patronen zijn in aanvallen, bijvoorbeeld specifieke dagen van de week of tijden waarop aanvallen vaker voorkomen. Dergelijke inzichten kunnen helpen bij het verbeteren van incident response procedures en het optimaliseren van netwerkconfiguraties. Door patronen te identificeren, kunnen organisaties proactief maatregelen nemen, bijvoorbeeld door extra monitoring in te stellen tijdens perioden waarin aanvallen vaker voorkomen, of door het security team te waarschuwen wanneer bepaalde patronen worden gedetecteerd. Deze proactieve aanpak kan helpen bij het voorkomen van succesvolle aanvallen en bij het verbeteren van de algehele beveiligingspostuur. Voor geavanceerde monitoring kunnen organisaties Azure Log Analytics gebruiken om geavanceerde queries uit te voeren op DDoS-logboeken. Dit maakt het mogelijk om correlaties te identificeren tussen verschillende aanvallen, bronnen van aanvallen te analyseren, en de effectiviteit van verschillende mitigerende technieken te evalueren.

Remediatie en herstel

Gebruik PowerShell-script ddos-protection-enabled.ps1 (functie Invoke-Remediation) – Schakelt DDoS Protection in voor Virtual Networks die nog geen bescherming hebben en verifieert de configuratie..

Wanneer blijkt dat DDoS Protection niet is ingeschakeld op een Virtual Network dat publieke IP-adressen bevat, moet dit onmiddellijk worden hersteld om het risico op uitval door DDoS-aanvallen te minimaliseren. Het ontbreken van adequate DDoS-bescherming stelt kritieke services bloot aan beschikbaarheidsrisico's die kunnen leiden tot uren of zelfs dagen van uitval, wat aanzienlijke impact kan hebben op dienstverlening aan burgers of klanten, omzet, reputatie, en het vertrouwen dat stakeholders hebben in de organisatie. Voor overheidsorganisaties kan uitval door DDoS-aanvallen ook compliance-risico's met zich meebrengen omdat diensten mogelijk wettelijk verplicht zijn om beschikbaar te blijven onder alle omstandigheden.

De remediatieprocedure begint met het identificeren van alle Virtual Networks in de Azure-omgeving die publieke IP-adressen bevatten maar niet zijn beschermd door DDoS Protection. Dit kan worden gedaan via Azure Portal door elke Virtual Network te inspecteren en te controleren of DDoS Protection is ingeschakeld in de instellingen, of via PowerShell of Azure CLI om geautomatiseerd alle VNets te scannen op de status van DDoS Protection zonder dat handmatige inspectie van elk netwerk vereist is. Het is raadzaam om regelmatig audits uit te voeren om te verifiëren dat alle Virtual Networks met publieke IP-adressen adequaat zijn beschermd, vooral na het aanmaken van nieuwe netwerken of het toevoegen van nieuwe resources. Voor elk Virtual Network dat bescherming nodig heeft, moet eerst worden gecontroleerd of er al een DDoS Protection Plan bestaat in de juiste Azure-regio. Indien dit niet het geval is, moet er een nieuw plan worden aangemaakt in dezelfde regio waar de Virtual Networks zich bevinden om optimale prestaties te garanderen. Het plan kan worden gedeeld door meerdere Virtual Networks in dezelfde regio, wat kostenbesparend is voor organisaties met meerdere netwerken.

Voor organisaties die meerdere Virtual Networks hebben, overweeg het gebruik van Azure Policy om automatisch te controleren en te handhaven dat alle nieuwe en bestaande VNets DDoS Protection hebben ingeschakeld. Azure Policy kan worden geconfigureerd om automatisch te detecteren wanneer nieuwe Virtual Networks worden aangemaakt zonder DDoS Protection of wanneer bestaande netwerken worden gewijzigd zodat de bescherming wordt uitgeschakeld. Dit voorkomt dat in de toekomst nieuwe resources worden gecreëerd zonder adequate bescherming en zorgt ervoor dat compliance-vereisten automatisch worden afgedwongen zonder dat handmatige interventie vereist is. Azure Policy kan ook worden gebruikt om automatisch remediatie uit te voeren door DDoS Protection in te schakelen wanneer wordt gedetecteerd dat deze niet actief is. Documenteer alle remediatie-acties die zijn uitgevoerd uitgebreid als onderdeel van de compliance-documentatie, inclusief de datum waarop DDoS Protection is geactiveerd voor elk Virtual Network, welke Virtual Networks zijn gerepareerd, welke configuratiewijzigingen zijn doorgevoerd, en welke verificaties zijn uitgevoerd om te bevestigen dat de bescherming correct functioneert.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS DDoS Protection Enabled voor Azure Virtual Networks .DESCRIPTION Controleert of DDoS Protection is ingeschakeld voor alle Virtual Networks met publieke IP-adressen. Het script inventariseert de huidige configuratie en rapporteert welke Virtual Networks bescherming nodig hebben. .NOTES Filename: ddos-protection-enabled.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/azure/network-security/ddos-protection-enabled.json .EXAMPLE .\ddos-protection-enabled.ps1 -Monitoring Voert een monitoringcontrole uit en toont een overzicht van alle Virtual Networks .EXAMPLE .\ddos-protection-enabled.ps1 -Remediation Geeft aanbevelingen voor het inschakelen van DDoS Protection #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Network, Az.Resources [CmdletBinding()] param( [Parameter(Mandatory = $false)] [switch]$Monitoring, [Parameter(Mandatory = $false)] [switch]$Remediation, [Parameter(Mandatory = $false)] [switch]$WhatIf ) $ErrorActionPreference = 'Stop' Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "DDoS Protection Enabled" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan function Connect-RequiredServices { <# .SYNOPSIS Maakt verbinding met Azure services #> [CmdletBinding()] param() if (-not (Get-AzContext -ErrorAction SilentlyContinue)) { Write-Verbose "Geen actieve Az-context gevonden. Verbinden met Azure..." Connect-AzAccount -ErrorAction Stop | Out-Null } } function Get-DdosProtectionStatus { <# .SYNOPSIS Haalt DDoS Protection status op voor alle Virtual Networks .OUTPUTS PSCustomObject[] #> [CmdletBinding()] param() Write-Verbose "Ophalen van Virtual Networks..." $vnets = Get-AzVirtualNetwork -ErrorAction SilentlyContinue if (-not $vnets) { Write-Verbose "Geen Virtual Networks gevonden in de huidige context." return @() } $results = @() foreach ($vnet in $vnets) { # Controleren of het VNet publieke IP-adressen heeft $hasPublicIPs = $false $publicIPs = @() # Ophalen van alle publieke IP-adressen die mogelijk gekoppeld zijn aan resources in dit VNet $subnets = $vnet.Subnets foreach ($subnet in $subnets) { # Zoeken naar resources met publieke IP-adressen in deze subnet $publicIPAddresses = Get-AzPublicIpAddress -ErrorAction SilentlyContinue | Where-Object { $_.IpConfiguration.Id -like "*$($subnet.Id)*" -or $_.Id -like "*$($vnet.Name)*" } if ($publicIPAddresses) { $hasPublicIPs = $true $publicIPs += $publicIPAddresses | Select-Object -ExpandProperty Name } } # Controleren of er Load Balancers of Application Gateways zijn die publieke IP-adressen gebruiken $loadBalancers = Get-AzLoadBalancer -ErrorAction SilentlyContinue | Where-Object { $_.FrontendIpConfigurations.PublicIpAddress.Id -ne $null } $appGateways = Get-AzApplicationGateway -ErrorAction SilentlyContinue | Where-Object { $_.FrontendIPConfigurations.PublicIPAddress -ne $null } if ($loadBalancers -or $appGateways) { $hasPublicIPs = $true } # Als er geen directe koppeling is, maar het VNet heeft resources die mogelijk publiek zijn # dan nemen we aan dat er mogelijk publieke IP-adressen zijn if (-not $hasPublicIPs) { # Controleren op VM's met publieke IP-adressen $vms = Get-AzVM -ErrorAction SilentlyContinue | Where-Object { $_.NetworkProfile.NetworkInterfaces | ForEach-Object { $nic = Get-AzNetworkInterface -ResourceId $_.Id -ErrorAction SilentlyContinue $nic.IpConfigurations.PublicIpAddress -ne $null } } if ($vms) { $hasPublicIPs = $true } } $ddosProtectionStatus = "Basic" $ddosProtectionPlanId = $null $ddosProtectionPlanName = $null if ($vnet.EnableDdosProtection -eq $true) { $ddosProtectionStatus = "Standard" if ($vnet.DdosProtectionPlan) { $ddosProtectionPlanId = $vnet.DdosProtectionPlan.Id $plan = Get-AzDdosProtectionPlan -ResourceId $ddosProtectionPlanId -ErrorAction SilentlyContinue if ($plan) { $ddosProtectionPlanName = $plan.Name } } } $results += [PSCustomObject]@{ Name = $vnet.Name ResourceGroup = $vnet.ResourceGroupName Location = $vnet.Location AddressPrefixes = ($vnet.AddressSpace.AddressPrefixes -join ", ") HasPublicIPs = $hasPublicIPs DdosProtectionStatus = $ddosProtectionStatus DdosProtectionPlanId = $ddosProtectionPlanId DdosProtectionPlanName = $ddosProtectionPlanName } } return $results } function Test-Compliance { <# .SYNOPSIS Bepaalt compliance-status voor DDoS Protection op Virtual Networks .OUTPUTS PSCustomObject #> [CmdletBinding()] param() $status = Get-DdosProtectionStatus if (-not $status) { return [PSCustomObject]@{ ScriptName = "ddos-protection-enabled.ps1" IsCompliant = $true Timestamp = Get-Date Details = "Geen Virtual Networks gevonden in de huidige context." Recommendations = @() AffectedObjects = @() } } $nonCompliant = @() $recommendations = @() foreach ($vnet in $status) { if ($vnet.HasPublicIPs -and $vnet.DdosProtectionStatus -eq "Basic") { $nonCompliant += $vnet $recommendations += "Virtual Network '$($vnet.Name)' in resourcegroep '$($vnet.ResourceGroup)' heeft publieke IP-adressen maar gebruikt alleen DDoS Protection Basic. Overweeg DDoS Protection Standard voor productieomgevingen." } elseif ($vnet.HasPublicIPs -and $vnet.DdosProtectionStatus -ne "Standard" -and $vnet.DdosProtectionStatus -ne "Basic") { $nonCompliant += $vnet $recommendations += "Virtual Network '$($vnet.Name)' in resourcegroep '$($vnet.ResourceGroup)' heeft publieke IP-adressen maar DDoS Protection is niet actief." } } $isCompliant = ($nonCompliant.Count -eq 0) if (-not $recommendations) { $recommendations = @("Alle gevonden Virtual Networks met publieke IP-adressen hebben DDoS Protection ingeschakeld.") } return [PSCustomObject]@{ ScriptName = "ddos-protection-enabled.ps1" IsCompliant = $isCompliant Timestamp = Get-Date Details = if ($isCompliant) { "Alle Virtual Networks met publieke IP-adressen hebben DDoS Protection ingeschakeld." } else { "Een of meer Virtual Networks met publieke IP-adressen hebben onvoldoende DDoS Protection." } Recommendations = $recommendations | Select-Object -Unique AffectedObjects = $nonCompliant AllVirtualNetworks = $status } } function Invoke-Monitoring { <# .SYNOPSIS Voert een monitoringrun uit en toont overzichtelijke resultaten #> [CmdletBinding()] param() Connect-RequiredServices Write-Host "" -ForegroundColor White Write-Host "DDoS Protection Enabled - Monitoring Controle" -ForegroundColor Cyan Write-Host "=============================================" -ForegroundColor Cyan $result = Test-Compliance Write-Host ("Tijdstip : {0}" -f $result.Timestamp) -ForegroundColor White Write-Host ("Compliant : {0}" -f $result.IsCompliant) -ForegroundColor (if ($result.IsCompliant) { 'Green' } else { 'Yellow' }) Write-Host ("Details : {0}" -f $result.Details) -ForegroundColor White Write-Host "" -ForegroundColor White if ($result.AllVirtualNetworks -and $result.AllVirtualNetworks.Count -gt 0) { Write-Host "Overzicht Virtual Networks:" -ForegroundColor Cyan foreach ($vnet in $result.AllVirtualNetworks) { if ($vnet.HasPublicIPs) { $status = if ($vnet.DdosProtectionStatus -eq "Standard") { "Standard (Actief)" } elseif ($vnet.DdosProtectionStatus -eq "Basic") { "Basic (Standaard)" } else { "Niet actief" } $color = if ($vnet.DdosProtectionStatus -eq "Standard") { 'Green' } elseif ($vnet.DdosProtectionStatus -eq "Basic") { 'Yellow' } else { 'Red' } Write-Host (" - {0} (RG: {1})" -f $vnet.Name, $vnet.ResourceGroup) -ForegroundColor $color Write-Host (" Status: {0}, Locatie: {1}" -f $status, $vnet.Location) -ForegroundColor Gray if ($vnet.DdosProtectionPlanName) { Write-Host (" DDoS Plan: {0}" -f $vnet.DdosProtectionPlanName) -ForegroundColor Gray } } } Write-Host "" -ForegroundColor White } if ($result.AffectedObjects -and $result.AffectedObjects.Count -gt 0) { Write-Host "Virtual Networks die aandacht vereisen:" -ForegroundColor Yellow foreach ($vnet in $result.AffectedObjects) { Write-Host (" - {0} (RG: {1}, Locatie: {2})" -f ` $vnet.Name, $vnet.ResourceGroup, $vnet.Location) -ForegroundColor Yellow } Write-Host "" -ForegroundColor White } Write-Host "Aanbevelingen:" -ForegroundColor Cyan foreach ($rec in $result.Recommendations) { Write-Host (" - {0}" -f $rec) -ForegroundColor White } if ($result.IsCompliant) { exit 0 } else { exit 1 } } function Invoke-Remediation { <# .SYNOPSIS Geeft remediatie-advies voor DDoS Protection configuratie .DESCRIPTION Dit script voert bewust GEEN automatische wijzigingen uit aan Virtual Networks of DDoS Protection Plans. In plaats daarvan wordt een overzicht gegeven van noodzakelijke acties die door beheerders moeten worden opgepakt via Azure Portal of Infrastructure as Code. #> [CmdletBinding()] param() Connect-RequiredServices $result = Test-Compliance Write-Host "" -ForegroundColor White Write-Host "Remediatie-aanpak voor: DDoS Protection Enabled" -ForegroundColor Cyan Write-Host "=============================================" -ForegroundColor Cyan if ($result.IsCompliant) { Write-Host "Alle gecontroleerde Virtual Networks met publieke IP-adressen hebben DDoS Protection ingeschakeld." -ForegroundColor Green Write-Host "Geen directe remediatie-acties noodzakelijk." -ForegroundColor Green exit 0 } Write-Host "Niet-conforme configuraties zijn gedetecteerd. Voer de volgende stappen uit:" -ForegroundColor Yellow Write-Host "" -ForegroundColor White foreach ($rec in $result.Recommendations) { Write-Host (" - {0}" -f $rec) -ForegroundColor Yellow } Write-Host "" -ForegroundColor White Write-Host "Algemene remediatiestappen:" -ForegroundColor Cyan Write-Host "1. Bepaal welke Virtual Networks DDoS Protection Standard nodig hebben" -ForegroundColor White Write-Host "2. Maak een DDoS Protection Plan aan in dezelfde Azure-regio als de Virtual Networks" -ForegroundColor White Write-Host "3. Schakel DDoS Protection Standard in voor productie-Virtual Networks via Azure Portal" -ForegroundColor White Write-Host "4. Configureer monitoring en alerting via Azure Monitor" -ForegroundColor White Write-Host "5. Documenteer de configuratie voor compliance-doeleinden" -ForegroundColor White Write-Host "" -ForegroundColor White Write-Host "Let op: Pas wijzigingen bij voorkeur toe via Infrastructure as Code" -ForegroundColor Yellow Write-Host " (Bicep/ARM/Terraform) en borg change- en reviewprocedures." -ForegroundColor Yellow if ($WhatIf) { Write-Host "" -ForegroundColor White Write-Host "[WhatIf] Er zijn geen wijzigingen doorgevoerd. Gebruik deze output als input voor een change." -ForegroundColor Yellow } exit 1 } try { if ($Remediation) { Invoke-Remediation } elseif ($Monitoring) { Invoke-Monitoring } else { # Standaard: monitoring uitvoeren Invoke-Monitoring } } catch { Write-Error ("Er is een fout opgetreden in ddos-protection-enabled.ps1: {0}" -f $_) Write-Error ("Error Details: {0}" -f $_.Exception.Message) exit 2 } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Het niet implementeren van DDoS Protection brengt aanzienlijke risico's met zich mee voor organisaties die internetgerichte diensten leveren. Succesvolle DDoS-aanvallen kunnen uren tot dagen van uitval veroorzaken, wat resulteert in volledige onbeschikbaarheid van kritieke services die burgers of klanten nodig hebben voor het uitvoeren van essentiële taken. Dit leidt niet alleen tot directe operationele schade door verloren productiviteit en mogelijk omzetverlies, maar ook tot reputatieschade die moeilijk te herstellen is, verlies van vertrouwen bij burgers en klanten die verwachten dat diensten altijd beschikbaar zijn, en potentiële financiële gevolgen door uitval en mogelijke boetes of claims. Voor compliance met BIO control 12.03 is adequate bescherming tegen beschikbaarheidsverstoringen vereist, waarbij organisaties moeten kunnen aantonen dat zij passende maatregelen hebben genomen om diensten beschikbaar te houden.

Management Samenvatting

DDoS Protection vormt een fundamentele beveiligingsmaatregel voor alle Azure-resources die publiekelijk toegankelijk zijn. DDoS Protection Basic is automatisch ingeschakeld zonder kosten, terwijl DDoS Protection Standard uitgebreide actieve bescherming biedt voor kritieke workloads tegen ongeveer €2.700 per maand per Virtual Network. Het inschakelen vereist het aanmaken van een DDoS Protection Plan en het koppelen daarvan aan Virtual Networks. De implementatietijd bedraagt doorgaans 2 tot 3 uur. De maatregel is essentieel voor alle internetgerichte services en voldoet aan BIO 12.03, ISO 27001 A.17.2.1 en NIS2 Artikel 21.