💼 Management Samenvatting
Azure DDoS Protection Standard biedt geavanceerde DDoS-mitigatie met actieve verdediging tegen volumetrische, protocol- en applicatielaag-aanvallen, terwijl de Basic-versie passief is en slechts beperkte bescherming biedt.
Aanbeveling
IMPLEMENTEER VOOR PRODUCTIE
Risico zonder
High
Risk Score
7/10
Implementatie
10u (tech: 5u)
Van toepassing op:
✓ Azure Virtual Networks
DDoS-aanvallen vormen een van de meest ernstige bedreigingen voor de beschikbaarheid van internetgerichte services in de moderne digitale samenleving. Deze aanvallen kunnen verschillende vormen aannemen en worden steeds geavanceerder in hun aanpak. Volumetrische aanvallen genereren massale hoeveelheden netwerkverkeer, vaak meer dan 100 gigabit per seconde, met als doel de bandbreedte van doelwitservers volledig te overspoelen. Deze aanvallen kunnen eenvoudig worden geïnitieerd maar zijn zeer effectief in het versto ren van dienstverlening. Protocolaanvallen maken misbruik van fundamentele netwerkprotocollen zoals TCP/IP, waarbij SYN-floods en fragmentatie-aanvallen de verbindingscapaciteit van servers uitputten zonder dat er veel verkeer nodig is. Aanvallen op de applicatielaag zoals HTTP-floods zijn geraffineerder en richten zich specifiek op webservers en API's door normale HTTP-verzoeken te simuleren maar in zeer grote aantallen. De Basic-versie van DDoS Protection is automatisch ingeschakeld zonder configuratie maar biedt beperkte zichtbaarheid en bescherming tegen alleen de meest basale aanvallen. De Standard-versie daarentegen biedt machine learning-gebaseerde adaptieve afstemming die leert van aanvallen en zich automatisch aanpast, realtime aanvalsmetrieken die gedetailleerd inzicht geven in de aard en omvang van aanvallen, geavanceerde applicatiebescherming via integratie met Web Application Firewall voor gelaagde beveiliging, en kostenbescherming waarbij extra autoscaling-kosten tijdens aanvallen worden gecompenseerd.
Implementatie
Azure DDoS Protection Standard beschermt automatisch alle publieke IP-adressen binnen een Virtual Network tegen gedistribueerde denial-of-service aanvallen zonder dat handmatige configuratie per IP-adres vereist is. De service monitort continu netwerkverkeer via Azure Monitor en analyseert verkeerspatronen in realtime om anomalies te detecteren die kunnen wijzen op een aanval. Bij detectie van een aanval wordt automatisch mitigerende actie ondernomen zonder dat handmatige interventie vereist is, waardoor reactietijden worden geminimaliseerd en de impact van aanvallen wordt beperkt. De service biedt gedetailleerde aanvalsmetrieken en rapportage mogelijkheden die inzicht geven in de effectiviteit van de bescherming. De service wordt per Virtual Network gefactureerd tegen een tarief van ongeveer €2.700 per maand, wat kosteneffectief is voor kritieke workloads die maximale beschikbaarheid vereisen gezien de potentiële kosten van uitval.
Vereisten
Voor het implementeren van Azure DDoS Protection Standard zijn verschillende voorbereidende stappen noodzakelijk die zorgen voor een succesvolle implementatie en optimale werking van de service. Allereerst moet er een Azure Virtual Network (VNet) aanwezig zijn dat publieke IP-adressen bevat die toegankelijk zijn vanaf het internet. Dit kan zowel een bestaand netwerk zijn als een nieuw op te zetten netwerk voor productieservices. De Virtual Network vormt de basis voor de DDoS-bescherming omdat de service op netwerkniveau werkt en alle publieke IP-adressen binnen het VNet automatisch beschermt zonder dat er per IP-adres configuratie vereist is. Het is belangrijk om te begrijpen dat DDoS Protection Standard werkt op het niveau van het Virtual Network en niet op het niveau van individuele resources, wat betekent dat alle publieke IP-adressen binnen het netwerk worden beschermd zodra de service is ingeschakeld. Daarnaast is het essentieel dat de workloads die bescherming behoeven als kritiek worden beschouwd binnen de organisatie. Dit betekent meestal productiesystemen die publiekelijk toegankelijk zijn en waarbij uitval directe gevolgen heeft voor de dienstverlening aan burgers, klanten of andere belanghebbenden. Voorbeelden zijn websites van overheidsinstanties die burgers moeten kunnen bereiken voor het aanvragen van diensten of het inzien van informatie, digitale diensten die essentieel zijn voor de dagelijkse operaties, API's voor mobiele applicaties die door duizenden of zelfs miljoenen gebruikers worden gebruikt, of andere internetgerichte services waar continuïteit van groot belang is voor de reputatie en het vertrouwen van de organisatie. Het is raadzaam om vooraf een inventarisatie te maken van alle kritieke services en te bepalen welke workloads prioriteit hebben voor DDoS-bescherming, zodat de implementatie gefaseerd kan plaatsvinden indien budgettaire overwegingen dit vereisen. Een derde vereiste is budgetgoedkeuring binnen de organisatie. Azure DDoS Protection Standard kost ongeveer €2.700 per maand per Virtual Network, wat aanzienlijke operationele kosten met zich meebrengt op jaarbasis. Het is daarom belangrijk dat er draagvlak is binnen de organisatie voor deze investering in cyberbeveiliging, zowel op operationeel als op strategisch niveau. De kosten moeten worden afgewogen tegen de potentiële schade die een succesvolle DDoS-aanval kan veroorzaken, zoals omzetverlies door onbeschikbare diensten, reputatieschade die moeilijk te herstellen is, verlies van vertrouwen bij burgers en klanten, en potentiële compliance-gevolgen als gevolg van niet beschikbare services die wettelijk verplicht zijn. Voor overheidsorganisaties kunnen de kosten ook worden gerechtvaardigd door de verplichting om diensten beschikbaar te houden onder alle omstandigheden, zoals vereist door verschillende wetten en richtlijnen. Bovendien moeten beheerders beschikken over de juiste Azure-rechten om netwerkconfiguraties aan te passen en DDoS Protection Plans aan te maken en te beheren. Dit vereist meestal rechten op het niveau van Network Contributor of hoger, afhankelijk van de specifieke configuratie van de Azure-omgeving. Het is raadzaam om vooraf te verifiëren welke rechten beschikbaar zijn en om indien nodig verzoeken in te dienen voor aanvullende rechten voordat de implementatie begint. Ook is het belangrijk om vooraf inzicht te hebben in het normale netwerkverkeerpatroon van de te beschermen services, zodat anomalies beter kunnen worden geïdentificeerd wanneer de monitoring wordt ingeschakeld en om te voorkomen dat legitiem piekverkeer ten onrechte wordt gemitigeerd. Dit inzicht kan worden verkregen door historische verkeersdata te analyseren en baseline metrics te bepalen voor verschillende tijdstippen van de dag en verschillende dagen van de week.
Implementatie
Gebruik PowerShell-script ddos-protection-standard-enabled.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van Azure DDoS Protection Standard begint met het aanmaken van een DDoS Protection Plan in de Azure Portal. Navigeer naar de Azure Portal en zoek naar DDoS protection plans in de zoekbalk bovenaan. Klik op DDoS protection plans en vervolgens op Toevoegen om een nieuw plan aan te maken. Het is belangrijk om het plan aan te maken in dezelfde Azure-regio waar uw Virtual Networks zich bevinden om optimale prestaties en lage latentie te garanderen. Het plan dient als container voor meerdere Virtual Networks en stelt u in staat om bescherming centraal te beheren vanuit één beheerpunt. Dit is vooral handig voor organisaties die meerdere Virtual Networks hebben die allemaal bescherming nodig hebben, omdat u niet voor elk netwerk afzonderlijk configuratie hoeft uit te voeren. Vervolgens moet u naar de gewenste Virtual Network navigeren in de Azure Portal. In het menu van het Virtual Network, aan de linkerkant onder de sectie Instellingen, selecteert u DDoS protection. Hier ziet u de huidige status van DDoS-bescherming voor het Virtual Network, waarbij de Basic-versie standaard actief is. U kunt nu DDoS Protection Standard inschakelen door de optie Standard te selecteren en het zojuist aangemaakte DDoS Protection Plan te kiezen uit de dropdown-lijst. Zodra u op Opslaan klikt en de koppeling actief is, worden alle publieke IP-adressen binnen het Virtual Network automatisch beschermd zonder dat er aanvullende configuratie per IP-adres vereist is. Het is belangrijk om te weten dat de wijziging onmiddellijk actief wordt en dat bestaande verbindingen niet worden verbroken tijdens de activatie. Na activatie is het belangrijk om monitoring in te stellen via Azure Monitor om tijdig te worden geïnformeerd over eventuele aanvallen en om inzicht te krijgen in de effectiviteit van de bescherming. Ga naar Azure Monitor in de Azure Portal en navigeer naar Metrische gegevens. Hier kunt u verschillende DDoS-gerelateerde metrics selecteren zoals het aantal gedetecteerde aanvallen, het aantal mitigerende acties dat is ondernomen, de duur van aanvallen, en het volume van verkeer dat tijdens aanvallen wordt gegenereerd. Configureer alerts voor deze metrics door te klikken op Nieuwe waarschuwingsregel en de gewenste drempelwaarden in te stellen. U kunt ook dashboards maken die realtime inzicht geven in netwerkverkeer, aanvalspatronen, en de effectiviteit van de mitigerende maatregelen. Het wordt sterk aanbevolen om ten minste wekelijkse rapportages in te stellen die management informeren over eventuele incidenten, zodat er adequaat kan worden gereageerd op trends en patronen die zich voordoen. Voor geavanceerde bescherming is het mogelijk om DDoS Protection Standard te integreren met Azure Web Application Firewall (WAF), wat een gelaagde beveiligingsaanpak creëert die aanvallen op meerdere niveaus afweert. Deze combinatie biedt niet alleen bescherming tegen volumetrische aanvallen op netwerkniveau, maar ook tegen geraffineerde applicatielaag-aanvallen die zich richten op specifieke kwetsbaarheden in webapplicaties. De WAF kan worden geconfigureerd met aangepaste regels die specifiek zijn afgestemd op uw applicaties en gebruik maken van de OWASP Top 10-regelset voor bescherming tegen veelvoorkomende web applicatieaanvallen. Door DDoS Protection Standard en WAF samen te gebruiken, wordt een diepgaande defensieve strategie geïmplementeerd waarbij aanvallen worden gestopt voordat ze de applicatielaag bereiken. Tijdens de implementatie moet ook aandacht worden besteed aan netwerkarchitectuur en hoe DDoS Protection Standard past binnen de algehele beveiligingsstrategie van de organisatie. Overweeg het gebruik van Azure Application Gateway of Azure Front Door als extra laag in de netwerkarchitectuur, wat kan helpen bij het verdelen van verkeer over meerdere backendservers en het bieden van extra mitigatiecapaciteit tijdens grootschalige aanvallen. Deze services kunnen ook worden geconfigureerd om verkeer te filteren en te routeren op basis van geografische locatie of andere criteria, wat aanvullende bescherming biedt. Documenteer de complete configuratie inclusief welke Virtual Networks zijn beschermd, wanneer de bescherming is geactiveerd, en welke aanvullende services zijn geconfigureerd voor auditdoeleinden. Zorg ervoor dat incident response procedures bekend zijn bij het security team en dat er een duidelijk proces is voor het escaleren van aanvallen naar management en eventueel naar externe incident response teams indien nodig.
Compliance
Azure DDoS Protection Standard draagt substantieel bij aan het voldoen aan verschillende compliance-vereisten die van belang zijn voor Nederlandse overheidsorganisaties en bedrijven die werken met gevoelige informatie. Onder ISO 27001 richtlijn A.17.2.1, die zich richt op beschikbaarheid, moeten organisaties maatregelen treffen om de beschikbaarheid van informatie- en communicatietechnologie te waarborgen onder alle omstandigheden. DDoS-aanvallen zijn een van de meest voorkomende bedreigingen voor beschikbaarheid in de moderne digitale samenleving, en de implementatie van DDoS Protection Standard demonstreert dat een organisatie proactieve stappen onderneemt om deze bedreiging te mitigeren voordat deze schade kan aanrichten. Tijdens ISO 27001 audits kunnen organisaties aantonen dat zij passende maatregelen hebben genomen om beschikbaarheidsrisico's te identificeren en te mitigeren, wat een belangrijk onderdeel vormt van het informatiebeveiligingsmanagementsysteem. Voor Nederlandse overheidsorganisaties is compliance met de Baseline Informatiebeveiliging Overheid (BIO) verplicht en vormt dit een fundamenteel onderdeel van de informatiebeveiliging binnen de publieke sector. BIO control 12.03 richt zich specifiek op de bescherming tegen beschikbaarheidsverstoringen en vereist dat organisaties maatregelen implementeren die voorkomen dat diensten onbeschikbaar raken als gevolg van cyberincidenten zoals DDoS-aanvallen. Deze controle is van kritiek belang voor overheidsorganisaties omdat zij vaak essentiële diensten leveren aan burgers die 24/7 beschikbaar moeten zijn. Azure DDoS Protection Standard voldoet aan deze vereiste door automatische detectie en mitigatie van aanvallen die de beschikbaarheid kunnen verstoren, zonder dat handmatige interventie vereist is en met minimale impact op de dienstverlening. Tijdens BIO-audits kunnen organisaties documenteren dat zij adequate maatregelen hebben genomen om beschikbaarheidsrisico's te mitigeren. Onder de NIS2 richtlijn (EU Richtlijn 2022/2555), die in Nederland is geïmplementeerd in de Wet cybersecurity, moeten essentiële dienstverleners en belangrijke entiteiten, waaronder overheidsorganisaties en bedrijven in kritieke sectoren, maatregelen treffen om continuïteit van dienstverlening te waarborgen. Artikel 21 van NIS2 specificeert dat organisaties risicobeheer moeten implementeren dat adequaat is voor de risico's waarmee zij worden geconfronteerd, waarbij specifieke aandacht wordt besteed aan bedreigingen zoals cyberincidenten. Voor internetgerichte diensten is DDoS-bescherming een essentieel onderdeel van een robuust risicobeheerbeleid omdat DDoS-aanvallen een van de meest voorkomende vormen van cyberincidenten zijn die de beschikbaarheid kunnen verstoren. Organisaties die onder de NIS2-richtlijn vallen moeten kunnen aantonen dat zij passende maatregelen hebben genomen om zich te beschermen tegen deze bedreigingen. Naast deze specifieke controls, ondersteunt DDoS Protection Standard ook compliance met de Algemene Verordening Gegevensbescherming (AVG) door te helpen voorkomen dat datalekken ontstaan als gevolg van succesvolle DDoS-aanvallen die systemen kunnen destabiliseren en kwetsbaar kunnen maken voor verdere aanvallen. Wanneer systemen onder druk komen te staan door DDoS-aanvallen, kunnen beveiligingsmaatregelen falen en kan ongeautoriseerde toegang tot persoonsgegevens ontstaan. Tijdens AVG-audits kunnen organisaties aantonen dat zij passende technische maatregelen hebben genomen om persoonsgegevens te beschermen tegen vernietiging, verlies of wijziging, zoals vereist in AVG artikel 32 over beveiliging van de verwerking. Dit omvat zowel technische als organisatorische maatregelen die de beschikbaarheid en integriteit van persoonsgegevens waarborgen. Het is belangrijk om de configuratie en werking van DDoS Protection Standard uitgebreid te documenteren als onderdeel van de compliance-documentatie, zodat auditors en toezichthouders kunnen verifiëren dat de maatregelen adequaat zijn geïmplementeerd en functioneren zoals bedoeld. Dit omvat logboeken van aanvallen die hebben plaatsgevonden, mitigerende maatregelen die zijn ondernomen en de effectiviteit daarvan, configuratie-instellingen zoals welke Virtual Networks zijn beschermd en wanneer de bescherming is geactiveerd, en periodieke evaluaties van de effectiviteit van de bescherming. Dergelijke documentatie is essentieel om te kunnen aantonen aan auditors en toezichthouders zoals de Autoriteit Persoonsgegevens, het NCSC, of externe auditbureaus dat de organisatie voldoet aan relevante compliance-vereisten en dat passende maatregelen zijn genomen om bedreigingen te mitigeren.
Monitoring
Gebruik PowerShell-script ddos-protection-standard-enabled.ps1 (functie Invoke-Monitoring) – Controleren.
Effectieve monitoring van Azure DDoS Protection Standard is cruciaal om tijdig te detecteren wanneer aanvallen plaatsvinden en om de effectiviteit van de mitigatie te evalueren. Azure Monitor biedt uitgebreide metrieken die realtime inzicht geven in de status van de DDoS-bescherming. Belangrijke metrieken om te monitoren zijn het aantal gedetecteerde aanvallen, het aantal mitigerende acties dat is ondernomen, de duur van aanvallen, en het volume van verkeer dat tijdens aanvallen wordt gegenereerd. Deze metrieken bieden niet alleen inzicht in de frequentie en omvang van aanvallen, maar ook in de effectiviteit van de mitigatie. Door deze metrieken regelmatig te analyseren, kunnen organisaties trends identificeren en hun beveiligingsstrategie aanpassen aan veranderende bedreigingen. Het is belangrijk om te realiseren dat monitoring niet alleen gaat om het detecteren van aanvallen, maar ook om het begrijpen van de context en de impact van deze aanvallen op de organisatie. Het wordt sterk aanbevolen om Azure Monitor waarschuwingen te configureren die automatisch notificaties verzenden wanneer een DDoS-aanval wordt gedetecteerd. Deze waarschuwingen moeten worden geconfigureerd voor verschillende ernstniveaus: informatieve waarschuwingen voor kleine incidenten die automatisch zijn afgehandeld, waarschuwingsmeldingen voor middelgrote aanvallen die mogelijk aandacht vereisen, en kritieke waarschuwingen voor grootschalige aanvallen die mogelijk handmatige interventie of escalatie naar management vereisen. Het is belangrijk om drempelwaarden te kiezen die realistisch zijn en die rekening houden met het normale verkeerspatroon van de organisatie. Te lage drempelwaarden kunnen leiden tot waarschuwingsmoeheid, waarbij security teams te veel meldingen ontvangen en belangrijke incidenten over het hoofd zien. Te hoge drempelwaarden kunnen er daarentegen toe leiden dat belangrijke incidenten niet worden gedetecteerd. Het is daarom raadzaam om drempelwaarden te baseren op historische data en deze regelmatig te evalueren en aan te passen op basis van ervaring. Naast realtime monitoring is het belangrijk om periodieke reviews uit te voeren van de DDoS-metrieken. Analyseer trends over een periode van maanden om te identificeren of er patronen zijn in aanvallen, bijvoorbeeld specifieke dagen van de week of tijden waarop aanvallen vaker voorkomen. Dergelijke inzichten kunnen helpen bij het verbeteren van incident response procedures en het optimaliseren van netwerkconfiguraties. Door patronen te identificeren, kunnen organisaties proactief maatregelen nemen, bijvoorbeeld door extra monitoring in te stellen tijdens perioden waarin aanvallen vaker voorkomen, of door het security team te waarschuwen wanneer bepaalde patronen worden gedetecteerd. Deze proactieve aanpak kan helpen bij het voorkomen van succesvolle aanvallen en bij het verbeteren van de algehele beveiligingspostuur. Voor geavanceerde monitoring kunnen organisaties Azure Log Analytics gebruiken om geavanceerde queries uit te voeren op DDoS-logboeken. Dit maakt het mogelijk om correlaties te identificeren tussen verschillende aanvallen, bronnen van aanvallen te analyseren, en de effectiviteit van verschillende mitigerende technieken te evalueren. Door gebruik te maken van KQL (Kusto Query Language) kunnen security teams complexe analyses uitvoeren die niet mogelijk zijn met standaard monitoring tools. Dashboard visualisaties kunnen worden gemaakt die een overzicht geven van alle relevante metrieken op één scherm, wat het voor security teams eenvoudiger maakt om snel de situatie te beoordelen. Deze dashboards kunnen worden aangepast aan de specifieke behoeften van de organisatie en kunnen verschillende views bevatten voor verschillende doelgroepen, bijvoorbeeld een technisch dashboard voor het security team en een high-level dashboard voor management. Het is ook belangrijk om monitoring te configureren voor valse positieven. Hoewel Azure DDoS Protection Standard gebruik maakt van machine learning om valse positieven te minimaliseren, kan het voorkomen dat legitiem verkeer ten onrechte wordt gemitigeerd, bijvoorbeeld tijdens pieken in verkeer veroorzaakt door marketingcampagnes of media-aandacht. Monitoring helpt bij het identificeren van dergelijke gevallen zodat de configuratie kan worden verfijnd. Het is belangrijk om te realiseren dat valse positieven niet alleen kunnen leiden tot onnodige mitigatie, maar ook tot klachten van gebruikers die geen toegang kunnen krijgen tot services. Door valse positieven te monitoren en te analyseren, kunnen organisaties hun configuratie verbeteren en de impact op legitieme gebruikers minimaliseren. Dit is vooral belangrijk voor overheidsorganisaties, waarbij het verstoren van dienstverlening aan burgers kan leiden tot maatschappelijke onrust en reputatieschade. Documentatie van alle aanvallen en mitigerende acties is essentieel voor compliance en auditdoeleinden. Zorg ervoor dat logboeken worden bewaard voor de vereiste retentieperiode en dat er procedures zijn voor het rapporteren van significante incidenten aan management en eventueel aan toezichthouders zoals de Autoriteit Persoonsgegevens of het NCSC, afhankelijk van de aard en omvang van de aanvallen. De documentatie moet duidelijk maken welke aanvallen hebben plaatsgevonden, welke mitigerende acties zijn ondernomen, en wat de resultaten waren. Dit is niet alleen belangrijk voor compliance, maar ook voor het leren van incidenten en het verbeteren van de beveiligingsstrategie. Door incidenten te documenteren en te analyseren, kunnen organisaties hun beveiligingsmaatregelen continu verbeteren en beter voorbereid zijn op toekomstige bedreigingen.
Remediatie
Gebruik PowerShell-script ddos-protection-standard-enabled.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer blijkt dat Azure DDoS Protection Standard niet is ingeschakeld op een Virtual Network dat publieke IP-adressen bevat, moet dit onmiddellijk worden hersteld om het risico op uitval door DDoS-aanvallen te minimaliseren. Het ontbreken van adequate DDoS-bescherming stelt kritieke services bloot aan beschikbaarheidsrisico's die kunnen leiden tot uren of zelfs dagen van uitval, wat aanzienlijke impact kan hebben op dienstverlening aan burgers of klanten, omzet, reputatie, en het vertrouwen dat stakeholders hebben in de organisatie. Voor overheidsorganisaties kan uitval door DDoS-aanvallen ook compliance-risico's met zich meebrengen omdat diensten mogelijk wettelijk verplicht zijn om beschikbaar te blijven onder alle omstandigheden. De remediatieprocedure begint met het identificeren van alle Virtual Networks in de Azure-omgeving die publieke IP-adressen bevatten maar niet zijn beschermd door DDoS Protection Standard. Dit kan worden gedaan via Azure Portal door elke Virtual Network te inspecteren en te controleren of DDoS Protection Standard is ingeschakeld in de instellingen, of via PowerShell of Azure CLI om geautomatiseerd alle VNets te scannen op de status van DDoS Protection zonder dat handmatige inspectie van elk netwerk vereist is. Het is raadzaam om regelmatig audits uit te voeren om te verifiëren dat alle Virtual Networks met publieke IP-adressen adequaat zijn beschermd, vooral na het aanmaken van nieuwe netwerken of het toevoegen van nieuwe resources. Voor elk Virtual Network dat bescherming nodig heeft, moet eerst worden gecontroleerd of er al een DDoS Protection Plan bestaat in de juiste Azure-regio. Indien dit niet het geval is, moet er een nieuw plan worden aangemaakt in dezelfde regio waar de Virtual Networks zich bevinden om optimale prestaties te garanderen. Het plan kan worden gedeeld door meerdere Virtual Networks in dezelfde regio, wat kostenbesparend is voor organisaties met meerdere netwerken. Vervolgens kan DDoS Protection Standard worden ingeschakeld voor het Virtual Network door naar de instellingen te navigeren en het zojuist aangemaakte of bestaande DDoS Protection Plan te selecteren. Zodra de koppeling actief is, worden alle publieke IP-adressen binnen het Virtual Network automatisch beschermd. Na activatie is het belangrijk om te verifiëren dat de configuratie correct is door te controleren dat alle publieke IP-adressen binnen het Virtual Network daadwerkelijk worden beschermd en dat de monitoring actief is. Test de configuratie door de Azure Monitor metrics te raadplegen en te bevestigen dat monitoring actief is en dat er metrics worden gegenereerd voor het Virtual Network. Configureer direct alerts om toekomstige incidenten tijdig te detecteren en te kunnen reageren voordat aanvallen significante impact hebben op de dienstverlening. Het is ook raadzaam om een test uit te voeren om te verifiëren dat de alerts correct werken en dat notificaties worden verzonden naar de juiste personen of systemen. In gevallen waar DDoS Protection al is ingeschakeld maar niet optimaal functioneert, bijvoorbeeld door een verkeerde configuratie waarbij het verkeerde DDoS Protection Plan is gekoppeld, of door een ontbrekende koppeling met het beschermingsplan waardoor alleen Basic-bescherming actief is, moet de configuratie worden gecorrigeerd om ervoor te zorgen dat Standard-bescherming daadwerkelijk actief is. Controleer de instellingen in Azure Portal en verifieer dat het correcte DDoS Protection Plan is gekoppeld aan het Virtual Network en dat Standard-bescherming is geactiveerd. Zorg ervoor dat alle benodigde stappen correct zijn uitgevoerd en verifieer dat de wijzigingen daadwerkelijk zijn opgeslagen en actief zijn geworden. Voor organisaties die meerdere Virtual Networks hebben, overweeg het gebruik van Azure Policy om automatisch te controleren en te handhaven dat alle nieuwe en bestaande VNets DDoS Protection Standard hebben ingeschakeld. Azure Policy kan worden geconfigureerd om automatisch te detecteren wanneer nieuwe Virtual Networks worden aangemaakt zonder DDoS Protection Standard of wanneer bestaande netwerken worden gewijzigd zodat de bescherming wordt uitgeschakeld. Dit voorkomt dat in de toekomst nieuwe resources worden gecreëerd zonder adequate bescherming en zorgt ervoor dat compliance-vereisten automatisch worden afgedwongen zonder dat handmatige interventie vereist is. Azure Policy kan ook worden gebruikt om automatisch remediatie uit te voeren door DDoS Protection Standard in te schakelen wanneer wordt gedetecteerd dat deze niet actief is. Documenteer alle remediatie-acties die zijn uitgevoerd uitgebreid als onderdeel van de compliance-documentatie, inclusief de datum waarop DDoS Protection is geactiveerd voor elk Virtual Network, welke Virtual Networks zijn gerepareerd, welke configuratiewijzigingen zijn doorgevoerd, en welke verificaties zijn uitgevoerd om te bevestigen dat de bescherming correct functioneert. Voeg deze informatie toe aan de compliance-documentatie zodat auditors en toezichthouders kunnen verifiëren dat proactieve stappen zijn genomen om beschikbaarheidsrisico's te mitigeren en dat alle kritieke services adequaat zijn beschermd tegen DDoS-aanvallen. Dit is belangrijk voor auditdoeleinden en om te kunnen aantonen tijdens audits dat de organisatie voldoet aan relevante compliance-vereisten en dat passende maatregelen zijn genomen om bedreigingen te mitigeren.
Compliance & Frameworks
- BIO: 12.03.01 -
- ISO 27001:2022: A.17.2.1 -
- NIS2: Artikel -
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
DDoS Protection Standard Enabled
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 6.6
Controleert of DDoS Protection Standard is ingeschakeld op VNets.
.NOTES
Filename: ddos-protection-standard-enabled.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 6.6
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Network
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "DDoS Protection Standard Enabled"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$vnets = Get-AzVirtualNetwork -ErrorAction SilentlyContinue
$result = @{ TotalVNets = $vnets.Count; WithDDoS = 0 }
foreach ($vnet in $vnets) {
if ($vnet.EnableDdosProtection) {
$result.WithDDoS++
}
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total VNets: $($r.TotalVNets)" -ForegroundColor White
Write-Host "With DDoS Protection: $($r.WithDDoS)" -ForegroundColor $(if ($r.WithDDoS -gt 0) { 'Green' } else { 'Yellow' })
if ($r.WithDDoS -eq 0 -and $r.TotalVNets -gt 0) {
Write-Host "`n⚠️ DDoS Protection Standard aanbevolen voor productie" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nDDoS Protection: $($r.WithDDoS)/$($r.TotalVNets) VNets"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total VNets: $($r.TotalVNets)" -ForegroundColor White
Write-Host "With DDoS Protection: $($r.WithDDoS)" -ForegroundColor $(if ($r.WithDDoS -gt 0) { 'Green' } else { 'Yellow' })
if ($r.WithDDoS -eq 0 -and $r.TotalVNets -gt 0) {
Write-Host "`n⚠️ DDoS Protection Standard aanbevolen voor productie" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nDDoS Protection: $($r.WithDDoS)/$($r.TotalVNets) VNets"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
High: Het niet implementeren van DDoS Protection Standard brengt aanzienlijke risico's met zich mee voor organisaties die internetgerichte diensten leveren. Succesvolle DDoS-aanvallen kunnen uren tot dagen van uitval veroorzaken, wat resulteert in volledige onbeschikbaarheid van kritieke services die burgers of klanten nodig hebben voor het uitvoeren van essentiële taken. Dit leidt niet alleen tot directe operationele schade door verloren productiviteit en mogelijk omzetverlies, maar ook tot reputatieschade die moeilijk te herstellen is, verlies van vertrouwen bij burgers en klanten die verwachten dat diensten altijd beschikbaar zijn, en potentiële financiële gevolgen door uitval en mogelijke boetes of claims. De Basic-versie van DDoS Protection die automatisch beschikbaar is zonder configuratie, biedt onvoldoende bescherming tegen geavanceerde aanvallen die gebruik maken van meerdere aanvalsmethoden tegelijkertijd. Voor compliance met BIO control 12.03 is adequate bescherming tegen beschikbaarheidsverstoringen vereist, waarbij organisaties moeten kunnen aantonen dat zij passende maatregelen hebben genomen om diensten beschikbaar te houden. Het risico is bijzonder hoog voor internetgerichte productiesystemen die publiekelijk toegankelijk zijn en waarvan uitval directe gevolgen heeft voor de dienstverlening.
Management Samenvatting
Azure DDoS Protection Standard biedt continue verkeersmonitoring met machine learning-gebaseerde aanvalsmitigatie en kostenbescherming waarbij extra kosten tijdens aanvallen worden gecompenseerd. De service kost ongeveer €2.700 per maand per Virtual Network en dekt tot 100 publieke IP-adressen. Activatie gebeurt via het aanmaken van een DDoS Protection Plan en het koppelen daarvan aan Virtual Networks. De implementatietijd bedraagt doorgaans 5 tot 10 uur. De service is essentieel voor productie-workloads die internetgerichte zijn, zoals webapplicaties, API's en publieke diensten.
- Implementatietijd: 10 uur
- FTE required: 0.05 FTE