💼 Management Samenvatting
Network Security Groups (NSG's) vormen de eerste verdedigingslinie in Azure-netwerken door netwerkverkeer te filteren op basis van IP-adressen, poorten en protocollen. Deze beveiligingscomponenten werken als een virtuele firewall die bepaalt welke netwerkverkeer wordt toegestaan of geblokkeerd tussen verschillende resources binnen een Azure-omgeving. Brede NSG-regels die gebruik maken van wildcards zoals 'Any' voor bron- of bestemmingsadressen creëren echter onnodige beveiligingsrisico's en schenden het principe van minimale benodigde netwerktoegang. Het toepassen van specifieke IP-adressen en poorten is essentieel voor het handhaven van een sterke beveiligingspostuur in cloudomgevingen.
Aanbeveling
IMPLEMENTEER AANGESCHERPTE NSG-REGELS
Risico zonder
High
Risk Score
8/10
Implementatie
8u (tech: 6u)
Van toepassing op:
✓ Azure
Brede NSG-regels die gebruik maken van bron- of bestemmingsadressen zoals 'Any' (0.0.0.0/0) of volledige subnetten vormen een aanzienlijk beveiligingsrisico voor Azure-omgevingen. Deze permissieve regels schenden het principe van minimale benodigde toegang en creëren een groter aanvalsoppervlak dat door kwaadwillenden kan worden misbruikt. Aanvallers kunnen profiteren van deze brede toegang om ongeautoriseerde toegang tot resources te verkrijgen, laterale beweging door het netwerk te faciliteren en gevoelige gegevens te exfiltreren zonder gedetecteerd te worden. Het probleem met brede regels is dat ze de beveiligingscontroles ondermijnen door onnodige netwerkverbindingen toe te staan die niet essentieel zijn voor de werking van systemen en services. Voor Nederlandse overheidsorganisaties is het beperken van netwerktoegang tot specifieke IP-adressen en bereiken niet alleen een beveiligingsbeste praktijk, maar ook een wettelijke compliance-vereiste volgens de Baseline Informatiebeveiliging Overheid (BIO) norm 13.01 en de CIS Microsoft Azure Foundations Benchmark controle 6.2.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.Network
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.Network
Implementatie
Deze controle vereist dat alle NSG-regels worden gecontroleerd en beperkt tot specifieke bron- en bestemmings-IP-adressen of -bereiken in plaats van gebruik te maken van wildcard-waarden zoals 'Any'. Organisaties moeten hun bestaande NSG-regels regelmatig auditen om regels te identificeren die gebruik maken van 0.0.0.0/0 voor bron- of bestemming, en deze vervolgens systematisch vervangen door specifieke IP-adressen of -bereiken op basis van de werkelijke netwerkbehoeften. Dit vereist vaak een grondige analyse van het netwerkverkeer over een langere periode om de daadwerkelijke communicatiepatronen te begrijpen voordat regels kunnen worden aangescherpt. Het proces omvat het monitoren van netwerkverkeer, het documenteren van communicatiepatronen tussen resources, het identificeren van benodigde bron- en bestemmings-IP-adressen en poorten, en vervolgens het aanscherpen van regels zonder de functionaliteit van systemen te verstoren. Daarnaast moeten organisaties continue monitoring implementeren om te voorkomen dat nieuwe brede regels onbedoeld worden toegevoegd in de toekomst.
Vereisten en Voorbereiding
Voordat u begint met het implementeren van aangescherpte NSG-regels, is het essentieel om de huidige netwerkconfiguratie en -vereisten grondig te begrijpen. Network Security Groups (NSG's) vormen het fundament van netwerkbeveiliging in Azure en worden gebruikt om inkomend en uitgaand verkeer te filteren op basis van bron- en bestemmings-IP-adressen, poorten en protocollen. Elke NSG kan worden gekoppeld aan subnetten of individuele netwerkinterfaces van virtuele machines, waardoor gedetailleerde controle over netwerktoegang mogelijk is.
Om effectief brede NSG-regels te identificeren en te vervangen, heeft u toegang nodig tot Azure Portal of Azure PowerShell met de juiste machtigingen. U moet beschikken over de rol 'Network Contributor' of een aangepaste rol met machtigingen voor het lezen en wijzigen van NSG-regels. Daarnaast is het belangrijk om toegang te hebben tot netwerkmonitoring tools zoals Azure Network Watcher of Azure Monitor, waarmee u verkeerspatronen kunt analyseren om te begrijpen welke bron- en bestemmings-IP-adressen daadwerkelijk worden gebruikt.
Voorbereiding begint met het in kaart brengen van alle NSG's in uw Azure-omgeving. Dit omvat niet alleen NSG's die rechtstreeks aan subnetten of virtuele machines zijn gekoppeld, maar ook NSG's die mogelijk zijn geërfd van resourcegroepen of abonnementen. U moet een volledig overzicht hebben van alle netwerksegmenten, de bijbehorende resources en de verwachte communicatiepatronen tussen verschillende netwerksegmenten. Documentatie van huidige applicatie- en service-afhankelijkheden is cruciaal om te voorkomen dat legitieme communicatie wordt geblokkeerd tijdens het aanscherpen van regels.
Een belangrijke overweging is het uitvoeren van een netwerkverkeersanalyse voordat u wijzigingen aanbrengt. Deze analyse helpt u te identificeren welke IP-adressen en poorten daadwerkelijk worden gebruikt voor communicatie tussen verschillende resources. Door deze verkeerspatronen te documenteren, kunt u brede regels vervangen door specifieke regels zonder functionaliteit te verstoren. Het is aan te raden om deze analyse uit te voeren over een periode van minimaal één week om seizoensgebonden variaties en verschillende gebruikspatronen te identificeren.
Organisaties moeten ook rekening houden met toekomstige schaalbaarheid en flexibiliteit bij het definiëren van specifieke IP-bereiken. Hoewel het belangrijk is om regels zo specifiek mogelijk te maken, is het ook belangrijk om rekening te houden met mogelijke uitbreidingen van netwerken of nieuwe resources die kunnen worden toegevoegd. Een balans vinden tussen beveiliging en praktische bruikbaarheid is essentieel voor een succesvolle implementatie van aangescherpte NSG-regels. Dit betekent dat organisaties moeten overwegen om een strategie te ontwikkelen voor het beheer van IP-adressen en netwerkbereiken die zowel beveiliging als flexibiliteit ondersteunt.
Het opstellen van een gedetailleerd implementatieplan is cruciaal voor het succesvol aanscherpen van NSG-regels. Dit plan moet een duidelijke tijdlijn bevatten, verantwoordelijkheden voor verschillende stakeholders definiëren, en procedures beschrijven voor het testen en valideren van wijzigingen. Daarnaast moeten organisaties overwegen om een rollbackstrategie te ontwikkelen voor het geval dat wijzigingen onverwachte problemen veroorzaken. Het betrekken van verschillende teams, waaronder netwerkteams, security teams en applicatie-eigenaren, is essentieel om te zorgen dat alle perspectieven worden meegenomen bij het maken van beslissingen over NSG-regels.
Het ontwikkelen van documentatie en procedures is een belangrijk onderdeel van de voorbereiding. Dit omvat het documenteren van de huidige netwerkarchitectuur, het identificeren van alle netwerkafhankelijkheden, en het opstellen van procedures voor het beheer van NSG-regels in de toekomst. Goede documentatie helpt niet alleen bij het implementatieproces, maar zorgt ook voor duurzaamheid van de beveiligingsmaatregelen en vergemakkelijkt compliance-audits. Organisaties moeten ervoor zorgen dat alle relevante informatie wordt gedocumenteerd en toegankelijk is voor de betrokken teams.
Monitoring en Detectie
Het monitoren en detecteren van brede NSG-regels is een continue activiteit die essentieel is voor het handhaven van netwerkbeveiliging in Azure-omgevingen. Brede NSG-regels die gebruik maken van bron- of bestemmingsadressen zoals 'Any' (0.0.0.0/0) vormen een significant beveiligingsrisico en moeten regelmatig worden geïdentificeerd en aangescherpt. Effectieve monitoring vereist een combinatie van geautomatiseerde scripts, regelmatige audits en continue waakzaamheid bij het toevoegen van nieuwe NSG-regels.
Het identificeren van brede NSG-regels begint met het inventariseren van alle Network Security Groups in uw Azure-omgeving. Elke NSG bevat inkomende en uitgaande regels die bepalen welke netwerkverkeer wordt toegestaan of geweigerd. Brede regels worden gekenmerkt door het gebruik van wildcard-waarden zoals 'Any' voor bron- of bestemmings-IP-adressen, wat betekent dat verkeer van of naar elk IP-adres wordt toegestaan. Deze regels schenden het principe van minimale benodigde netwerktoegang en creëren onnodige beveiligingsrisico's.
Gebruik PowerShell-script no-broad-nsg-rules.ps1 (functie Invoke-Monitoring) – Het monitoring script controleert alle NSG-regels in uw Azure-omgeving en identificeert regels die gebruik maken van bron- of bestemmingsadressen zoals 'Any' (0.0.0.0/0). Het script genereert een rapport met alle gevonden brede regels, inclusief details over de betreffende NSG's, regelnamen, prioriteiten en protocollen. Dit rapport kan worden gebruikt om te bepalen welke regels prioriteit hebben voor het aanscherpen..
Het monitoring proces moet regelmatig worden uitgevoerd, bij voorkeur dagelijks of wekelijks, afhankelijk van de frequentie van wijzigingen aan NSG-configuraties in uw omgeving. Naast geautomatiseerde monitoring is het belangrijk om handmatige reviews uit te voeren bij het toevoegen van nieuwe NSG-regels of bij wijzigingen aan bestaande regels. Dit helpt voorkomen dat nieuwe brede regels onbedoeld worden toegevoegd en zorgt ervoor dat alle wijzigingen in lijn zijn met beveiligingsbest practices.
Bij het analyseren van brede NSG-regels is het belangrijk om onderscheid te maken tussen legitieme use cases en onnodig permissieve regels. Sommige regels kunnen legitieme redenen hebben voor het gebruik van brede bereiken, zoals vereisten voor internettoegang of communicatie met externe services. Echter, zelfs in deze gevallen moeten organisaties overwegen of specifiekere regels kunnen worden gebruikt om het aanvalsoppervlak te minimaliseren. Het documenteren van de reden voor elke brede regel helpt bij het maken van geïnformeerde beslissingen over welke regels moeten worden aangescherpt.
Azure Network Watcher en Azure Monitor bieden aanvullende mogelijkheden voor het monitoren van netwerkverkeer en het identificeren van ongebruikelijk gedrag. Door deze tools te gebruiken in combinatie met NSG-regelmonitoring, kunnen organisaties een volledig beeld krijgen van hun netwerkbeveiligingspostuur. Het analyseren van netwerkverkeerslogs kan ook helpen bij het identificeren van ongebruikte brede regels die kunnen worden verwijderd of aangescherpt zonder impact op functionaliteit. Deze tools bieden gedetailleerde inzichten in netwerkverkeer, waardoor organisaties beter kunnen begrijpen welke bron- en bestemmings-IP-adressen daadwerkelijk worden gebruikt voor communicatie tussen verschillende resources.
Het implementeren van geautomatiseerde alerting is een belangrijk onderdeel van effectieve monitoring. Wanneer brede NSG-regels worden gedetecteerd, moeten organisaties onmiddellijk worden gewaarschuwd zodat deze snel kunnen worden geëvalueerd en indien nodig kunnen worden aangescherpt. Alerting kan worden geconfigureerd om meldingen te versturen naar security teams, netwerkteams of andere relevante stakeholders wanneer brede regels worden toegevoegd of gewijzigd. Dit helpt voorkomen dat nieuwe brede regels onbedoeld worden toegevoegd en zorgt ervoor dat bestaande brede regels worden geïdentificeerd en aangepakt.
Het regelmatig uitvoeren van compliance-toetsingen is essentieel voor het handhaven van netwerkbeveiliging. Deze toetsingen moeten niet alleen focussen op het identificeren van brede regels, maar ook op het verifiëren dat alle regels zijn goedgekeurd door de juiste bevoegde personen en dat documentatie up-to-date is. Compliance-toetsingen moeten regelmatig worden uitgevoerd, bij voorkeur maandelijks of kwartaal, afhankelijk van de frequentie van wijzigingen aan NSG-configuraties in de omgeving. Het documenteren van toetsingsresultaten en het opvolgen van gevonden bevindingen is cruciaal voor het handhaven van een sterke beveiligingspostuur.
Compliance en Toetsing
Het beperken van brede NSG-regels is niet alleen een beveiligingsbeste praktijk, maar ook een compliance-vereiste voor Nederlandse overheidsorganisaties. Verschillende normenkaders en beveiligingsstandaarden vereisen dat organisaties het principe van minimale benodigde netwerktoegang toepassen op netwerktoegang, wat betekent dat netwerkverkeer alleen moet worden toegestaan wanneer dit absoluut noodzakelijk is voor de werking van systemen en services. Het aanscherpen van NSG-regels is een concrete implementatie van dit principe.
De Baseline Informatiebeveiliging Overheid (BIO) bevat specifieke vereisten voor netwerkbeveiliging die van toepassing zijn op het beheer van NSG-regels. BIO-norm 13.01 vereist dat organisaties 'minimale benodigde netwerktoegang' implementeren, wat betekent dat netwerkverkeer moet worden beperkt tot specifieke bron- en bestemmings-IP-adressen en poorten die nodig zijn voor de werking van systemen. Brede NSG-regels die gebruik maken van wildcard-waarden zoals 'Any' (0.0.0.0/0) schenden deze vereiste omdat ze onnodig permissieve toegang verlenen aan netwerkverkeer.
De CIS Microsoft Azure Foundations Benchmark bevat vergelijkbare vereisten in controle 6.2, die specifiek eist dat organisaties 'geen brede NSG-regels' gebruiken. Deze controle vereist dat alle NSG-regels worden gecontroleerd om te verzekeren dat ze geen gebruik maken van bron- of bestemmings-IP-adressen zoals 'Any' (0.0.0.0/0) of volledige subnetten, tenzij dit absoluut noodzakelijk is voor de werking van systemen. Organisaties die voldoen aan CIS Level 1 moeten deze controle implementeren als onderdeel van hun beveiligingspostuur.
De ISO/IEC 27001:2022 standaard bevat in controlecategorie A.8.20 vereisten voor netwerkbeveiliging die vergelijkbaar zijn met BIO en CIS. Deze controle vereist dat organisaties netwerktoegang beheren en controleren, inclusief het beperken van netwerkverkeer tot specifieke bron- en bestemmings-IP-adressen en poorten. Het aanscherpen van NSG-regels is een concrete implementatie van deze controle en helpt organisaties te voldoen aan ISO 27001-certificeringsvereisten.
Voor Nederlandse overheidsorganisaties is compliance met deze normenkaders niet alleen een best practice, maar ook een wettelijke verplichting. Organisaties die gevoelige gegevens verwerken, inclusief persoonsgegevens, moeten voldoen aan de Algemene Verordening Gegevensbescherming (AVG), die vereist dat organisaties passende technische en organisatorische maatregelen nemen om gegevens te beschermen. Het beperken van netwerktoegang tot specifieke IP-adressen en bereiken is een belangrijke technische maatregel die helpt bij het beschermen van gegevens tegen ongeautoriseerde toegang.
Toetsing van NSG-regels moet regelmatig worden uitgevoerd om te verzekeren dat organisaties voldoen aan deze compliance-vereisten. Dit omvat niet alleen het identificeren van brede regels, maar ook het documenteren van de redenen voor elke regel en het verifiëren dat alle regels zijn goedgekeurd door de juiste bevoegde personen. Toetsingslogs moeten worden bewaard voor minimaal zeven jaar, zoals vereist door Nederlandse archiveringswetgeving, en moeten beschikbaar zijn voor interne en externe toetsingen. Het opstellen van een duidelijke toetsingsprocedure die beschrijft hoe regelmatig toetsingen worden uitgevoerd, wie verantwoordelijk is voor het uitvoeren van toetsingen, en welke documentatie moet worden bijgehouden, is essentieel voor het handhaven van compliance.
Voor Nederlandse overheidsorganisaties is het belangrijk om te begrijpen dat compliance met deze normenkaders niet alleen een technische verplichting is, maar ook een organisatorische verantwoordelijkheid. Dit betekent dat organisaties niet alleen technische maatregelen moeten implementeren, maar ook processen en procedures moeten ontwikkelen die ervoor zorgen dat netwerkbeveiliging wordt gehandhaafd op de lange termijn. Het trainen van medewerkers in het belang van netwerkbeveiliging en het gebruik van specifieke NSG-regels is een belangrijk onderdeel van deze organisatorische verantwoordelijkheid. Daarnaast moeten organisaties ervoor zorgen dat alle relevante stakeholders, waaronder security teams, netwerkteams en management, betrokken zijn bij het proces van het aanscherpen en handhaven van NSG-regels.
Het documenteren van compliance-activiteiten en het bijhouden van een overzicht van alle NSG-regels en de redenen waarom deze regels zijn geïmplementeerd, is essentieel voor het succesvol voldoen aan compliance-vereisten. Dit omvat niet alleen het documenteren van technische details van regels, maar ook het vastleggen van beslissingen die zijn genomen tijdens het implementatieproces en de redenen waarom bepaalde regels niet kunnen worden aangescherpt. Goede documentatie helpt niet alleen bij het voldoen aan compliance-vereisten, maar vergemakkelijkt ook het proces van interne en externe audits en helpt bij het handhaven van netwerkbeveiliging op de lange termijn.
Remediatie en Implementatie
Het remediëren van brede NSG-regels vereist een systematische aanpak die begint met het identificeren van alle brede regels in uw Azure-omgeving en eindigt met het vervangen van deze regels door specifieke regels op basis van de werkelijke netwerkbehoeften. Voordat u begint met het remediëren van brede regels, is het essentieel om een grondige analyse uit te voeren van het netwerkverkeer om te begrijpen welke bron- en bestemmings-IP-adressen daadwerkelijk worden gebruikt voor communicatie tussen verschillende resources.
Het remediatieproces begint met het inventariseren van alle brede NSG-regels in uw Azure-omgeving. Dit omvat niet alleen regels die gebruik maken van 'Any' (0.0.0.0/0) voor bron- of bestemmingsadressen, maar ook regels die gebruik maken van onnodig brede subnetten of IP-bereiken. Elke brede regel moet worden geëvalueerd op basis van de werkelijke netwerkbehoeften en vervolgens worden aangescherpt tot specifieke IP-adressen of -bereiken die nodig zijn voor de werking van systemen.
Gebruik PowerShell-script no-broad-nsg-rules.ps1 (functie Invoke-Remediation) – Het remediatie script helpt bij het aanscherpen van brede NSG-regels door deze te vervangen door specifieke regels op basis van geconfigureerde parameters. Het script maakt een backup van bestaande regels voordat wijzigingen worden aangebracht, zodat wijzigingen indien nodig kunnen worden teruggedraaid. Het script kan worden geconfigureerd om automatisch brede regels te vervangen door specifieke regels, of om alleen waarschuwingen te genereren voor handmatige revisie..
Voordat u wijzigingen aanbrengt aan NSG-regels, is het belangrijk om een backup te maken van de huidige configuratie en om te testen of wijzigingen geen impact hebben op de functionaliteit van systemen. Dit kan worden gedaan door wijzigingen eerst te implementeren in een testomgeving of door gebruik te maken van Azure Network Watcher om verkeerspatronen te analyseren voordat wijzigingen worden aangebracht. Het documenteren van alle wijzigingen en de redenen voor deze wijzigingen helpt bij het oplossen van eventuele problemen die kunnen optreden na implementatie.
Het aanscherpen van NSG-regels moet geleidelijk worden uitgevoerd om te voorkomen dat legitieme communicatie wordt geblokkeerd. Organisaties moeten beginnen met het aanscherpen van regels met de laagste prioriteit en vervolgens werken aan regels met hogere prioriteit. Tijdens het implementatieproces is het belangrijk om de functionaliteit van systemen te monitoren om te verzekeren dat wijzigingen geen onbedoelde gevolgen hebben. Als problemen worden gedetecteerd, moeten wijzigingen onmiddellijk kunnen worden teruggedraaid met behulp van de gemaakte backup.
Voor regels die legitieme redenen hebben voor het gebruik van brede bereiken, zoals vereisten voor internettoegang of communicatie met externe services, moeten organisaties overwegen of alternatieve oplossingen kunnen worden gebruikt om het aanvalsoppervlak te minimaliseren. Dit kan bijvoorbeeld betekenen dat gebruik wordt gemaakt van Azure Firewall of Network Virtual Appliances (NVA's) voor gecentraliseerd netwerkbeheer in plaats van brede NSG-regels. Het documenteren van de reden voor elke brede regel die niet kan worden aangescherpt helpt bij het maken van geïnformeerde beslissingen over alternatieve oplossingen.
Na het implementeren van aangescherpte NSG-regels, moeten organisaties continue monitoring uitvoeren om te verzekeren dat nieuwe brede regels niet onbedoeld worden toegevoegd en dat bestaande regels niet worden gewijzigd om brede bereiken te gebruiken. Dit vereist regelmatige audits van NSG-configuraties en het implementeren van geautomatiseerde controles die waarschuwen wanneer brede regels worden gedetecteerd. Het trainen van medewerkers in het belang van specifieke NSG-regels en het gebruik van change management processen helpt bij het voorkomen van onbedoelde toevoeging van brede regels. Het ontwikkelen van een cultuur waarin netwerkbeveiliging wordt gewaardeerd en waarbij alle medewerkers begrijpen waarom specifieke regels belangrijk zijn, is essentieel voor het handhaven van een sterke beveiligingspostuur op de lange termijn.
Het uitvoeren van regelmatige herbeoordelingen van NSG-regels is een belangrijk onderdeel van het remediatieproces. Organisaties moeten niet alleen focussen op het aanscherpen van brede regels tijdens de initiële implementatie, maar ook op het continu verbeteren van bestaande regels op basis van veranderende netwerkbehoeften en nieuwe beveiligingsinzichten. Dit omvat het regelmatig analyseren van netwerkverkeer om te identificeren of bestaande regels verder kunnen worden aangescherpt, het evalueren van nieuwe technologieën en tools die kunnen helpen bij het beheer van NSG-regels, en het bijwerken van procedures en documentatie op basis van geleerde lessen tijdens het implementatieproces.
Het meten van het succes van het remediatieproces is essentieel voor het verbeteren van netwerkbeveiliging en het demonstreren van compliance aan stakeholders. Dit omvat het bijhouden van het aantal brede regels dat is geïdentificeerd en aangescherpt, het meten van de impact van wijzigingen op netwerkfunctionaliteit, en het monitoren van beveiligingsincidenten die kunnen zijn gerelateerd aan brede regels. Het opstellen van rapporten die deze metingen bevatten en het delen van deze rapporten met management en andere stakeholders helpt bij het demonstreren van de waarde van het remediatieproces en het verkrijgen van ondersteuning voor verdere verbeteringen aan netwerkbeveiliging.
Compliance & Frameworks
- CIS M365: Control 6.2 (L1) - Geen brede NSG-regels
- BIO: 13.01 - Minimale benodigde netwerktoegang
- ISO 27001:2022: A.8.20 - Netwerkbeveiliging en toegangscontrole
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
No Broad NSG Rules
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 6.13
Controleert op te brede NSG rules (0.0.0.0/0, *, Internet, Any).
.NOTES
Filename: no-broad-nsg-rules.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 6.13
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Network
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "No Broad NSG Rules"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$nsgs = Get-AzNetworkSecurityGroup -ErrorAction SilentlyContinue
$result = @{ TotalNSGs = $nsgs.Count; WithBroadRules = 0 }
foreach ($nsg in $nsgs) {
$broadRules = $nsg.SecurityRules | Where-Object {
($_.SourceAddressPrefix -eq '*' -or $_.SourceAddressPrefix -eq '0.0.0.0/0' -or
$_.SourceAddressPrefix -eq 'Internet' -or $_.SourceAddressPrefix -eq 'Any') -and
$_.Direction -eq 'Inbound' -and $_.Access -eq 'Allow'
}
if ($broadRules) { $result.WithBroadRules++ }
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total NSGs: $($r.TotalNSGs)" -ForegroundColor White
Write-Host "With Broad Rules: $($r.WithBroadRules)" -ForegroundColor $(if ($r.WithBroadRules -eq 0) { 'Green' } else { 'Red' })
if ($r.WithBroadRules -gt 0) {
Write-Host "`n⚠️ Te brede NSG rules gevonden - beperk source ranges!" -ForegroundColor Red
}
}
else {
$r = Test-Compliance
Write-Host "`nBroad NSG Rules: $($r.WithBroadRules)/$($r.TotalNSGs) NSGs"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total NSGs: $($r.TotalNSGs)" -ForegroundColor White
Write-Host "With Broad Rules: $($r.WithBroadRules)" -ForegroundColor $(if ($r.WithBroadRules -eq 0) { 'Green' } else { 'Red' })
if ($r.WithBroadRules -gt 0) {
Write-Host "`n⚠️ Te brede NSG rules gevonden - beperk source ranges!" -ForegroundColor Red
}
}
else {
$r = Test-Compliance
Write-Host "`nBroad NSG Rules: $($r.WithBroadRules)/$($r.TotalNSGs) NSGs"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
High: Brede NSG-regels (0.0.0.0/0, volledige subnetten) creëren onnodige blootstelling en overmatig permissieve toegang. Deze regels schenden het principe van minimale benodigde netwerktoegang en verhogen het aanvalsoppervlak aanzienlijk. Compliance-vereisten: CIS Microsoft Azure Foundations Benchmark controle 6.2, Baseline Informatiebeveiliging Overheid norm 13.01. Het risico is hoog door overmatige netwerktoegang die aanvallers kunnen misbruiken voor ongeautoriseerde toegang tot resources, laterale beweging door het netwerk en exfiltratie van gevoelige gegevens. Organisaties die geen aangescherpte NSG-regels implementeren, lopen het risico op schending van compliance-vereisten en kunnen aanzienlijke beveiligingsincidenten ervaren.
Management Samenvatting
Geen brede NSG-regels: Scherp regels aan naar specifieke IP-adressen of -bereiken (geen 0.0.0.0/0 wildcards), alleen specifieke poorten (geen poortbereiken), minimale benodigde netwerktoegang principe. Vereist: Verkeersanalyse om daadwerkelijk gebruik te bepalen. Activatie: Audit NSG-regels naar aanscherpen. Gratis. Verplicht CIS 6.2, BIO 13.01. Implementatie: 6-8 uur. Vermindert aanvalsoppervlak aanzienlijk.
- Implementatietijd: 8 uur
- FTE required: 0.1 FTE