L1 BIO 13.01 ISO A.8.20 CIS 6.1

No RDP/SSH Van Internet

📅 2025-10-29
⏱️ 5 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Deze beveiligingscontrole waarborgt de correcte configuratie en beschermt tegen beveiligingsrisico's.

Aanbeveling
IMPLEMENTEER - Zie rdp-access-restricted.json voor volledige implementatiedetails
Risico zonder
Critical
Risk Score
10/10
Implementatie
2u (tech: 1u)
Van toepassing op:
Azure

Deze instelling is essentieel voor het handhaven van een veilige omgeving en voorkomt bekende aanvalsvectoren door het afdwingen van beste beveiligingspraktijken.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Network

Implementatie

Network Security Group-regels blokkeren poorten 22 (SSH) en 3389 (RDP) voor directe toegang vanaf internet. In plaats daarvan moeten organisaties Azure Bastion of Just-In-Time (JIT) toegang gebruiken voor beveiligde externe toegang tot virtuele machines.

Vereisten

Voor de implementatie van deze beveiligingscontrole zijn verschillende technische componenten en diensten vereist. Organisaties moeten beschikken over Network Security Groups (NSGs) die zijn geconfigureerd voor de virtuele machines en subnetten binnen hun Azure-omgeving. NSGs vormen de basis voor netwerkbeveiliging in Azure en maken het mogelijk om inkomend en uitgaand verkeer te filteren op basis van IP-adressen, poorten en protocollen. Daarnaast is het essentieel dat organisaties een alternatieve methode voor externe toegang implementeren. Azure Bastion biedt een volledig beheerde PaaS-service die beveiligde en naadloze RDP- en SSH-connectiviteit biedt via SSL zonder dat er openbare IP-adressen nodig zijn op virtuele machines. Azure Bastion elimineert de noodzaak voor VPN-clients, agents of extra software en integreert direct met Azure Portal. Als alternatief kunnen organisaties Just-In-Time (JIT) VM-toegang implementeren via Azure Security Center. JIT-toegang biedt gecontroleerde toegang tot VM-poorten door deze standaard gesloten te houden en alleen tijdelijk te openen wanneer een geautoriseerde gebruiker toegang aanvraagt. Deze aanpak combineert de voordelen van minimale blootstelling met geautomatiseerde toegangscontrole en auditlogging. Voor beide oplossingen is het vereist dat organisaties beschikken over de juiste Azure-rollen en -machtigingen. Voor Azure Bastion is minimaal de rol 'Bastion Contributor' nodig, terwijl JIT-toegang vereist dat gebruikers beschikken over de juiste Security Center-machtigingen. Daarnaast moeten organisaties overwegen om Azure Monitor en Log Analytics te configureren voor uitgebreide logging en monitoring van toegangspogingen en beveiligingsgebeurtenissen. De implementatie vereist ook dat netwerkarchitecten en beveiligingsspecialisten samenwerken om de juiste NSG-regels te definiëren die directe internettoegang blokkeren terwijl legitieme toegang via Bastion of JIT wordt toegestaan. Dit omvat het configureren van deny-regels voor poorten 22 en 3389 vanuit het internet (0.0.0.0/0) en het waarborgen dat alleen geautoriseerde bronnen toegang kunnen krijgen via de beveiligde kanalen.

Monitoring

Gebruik PowerShell-script no-rdp-ssh-from-internet.ps1 (functie Invoke-Monitoring) – Controleren.

Effectieve monitoring van deze beveiligingscontrole vereist een systematische aanpak waarbij regelmatig wordt gecontroleerd of Network Security Group-regels correct zijn geconfigureerd en of er geen onbeveiligde toegangspunten bestaan. Het monitoringproces moet zich richten op het identificeren van NSG-regels die poorten 22 (SSH) of 3389 (RDP) toestaan vanuit het internet-adresbereik 0.0.0.0/0, wat betekent dat toegang wordt toegestaan vanaf elk IP-adres op internet. Het monitoring script voert een uitgebreide scan uit van alle Network Security Groups binnen het Azure-abonnement en controleert zowel inkomende als uitgaande regels. De scan identificeert specifiek regels die poorten 22 of 3389 openstellen voor verkeer afkomstig van 0.0.0.0/0 of andere brede internetbereiken zoals /0 subnetten. Daarnaast worden regels gecontroleerd die mogelijk indirecte toegang mogelijk maken door middel van minder restrictieve bron-IP-adresbereiken. Naast de automatische scriptgebaseerde monitoring moeten organisaties ook gebruik maken van Azure Security Center en Azure Policy om continue compliance te waarborgen. Security Center biedt ingebouwde beveiligingsaanbevelingen die specifiek waarschuwen wanneer VM's directe RDP- of SSH-toegang vanaf internet hebben. Deze aanbevelingen worden automatisch gegenereerd en geclassificeerd op basis van risiconiveau, waardoor security teams prioriteiten kunnen stellen bij het oplossen van beveiligingsproblemen. Azure Policy kan worden geconfigureerd om automatisch te controleren of nieuwe of gewijzigde NSG-regels voldoen aan de beveiligingsvereisten. Policies kunnen worden ingesteld om te voorkomen dat regels worden gemaakt die directe internettoegang toestaan, of om automatisch waarschuwingen te genereren wanneer dergelijke regels worden gedetecteerd. Deze preventieve aanpak helpt organisaties om proactief beveiligingsproblemen te voorkomen in plaats van alleen reactief te reageren. Voor uitgebreide monitoring en forensische analyse moeten organisaties ook Azure Monitor en Log Analytics configureren om alle NSG-flow logs vast te leggen. Deze logs bieden gedetailleerde informatie over alle verkeerspogingen, inclusief toegangspogingen die worden geblokkeerd door de deny-regels. Door deze logs te analyseren kunnen security teams patronen identificeren, zoals herhaalde brute-force-aanvallen of verdachte toegangspogingen vanaf specifieke IP-adressen of geografische locaties. Het is aanbevolen om monitoring uit te voeren met een frequentie van minimaal wekelijks, of vaker in omgevingen met hoge beveiligingsvereisten. Daarnaast moeten organisaties real-time alerting implementeren voor kritieke bevindingen, zoals de detectie van nieuwe NSG-regels die directe internettoegang toestaan. Deze alerts moeten worden geconfigureerd om direct security teams te waarschuwen zodat snelle actie kan worden ondernomen om beveiligingsrisico's te mitigeren.

Compliance en Auditing

Deze beveiligingscontrole is een fundamenteel onderdeel van meerdere erkende beveiligingsstandaarden en compliance-frameworks die worden gebruikt door Nederlandse overheidsorganisaties en bedrijven. Het correct implementeren en handhaven van deze controle is essentieel voor het voldoen aan wettelijke en regelgevende vereisten. De CIS Microsoft Azure Foundations Benchmark versie 1.5.0 specificeert in controle 6.1 dat organisaties moeten waarborgen dat er geen Network Security Group-regels bestaan die directe Remote Desktop Protocol (RDP) of Secure Shell (SSH) toegang toestaan vanaf het internet. Deze controle is geclassificeerd als Level 1, wat betekent dat deze moet worden geïmplementeerd in alle omgevingen, inclusief ontwikkelings- en testomgevingen. De CIS Benchmark wordt wereldwijd erkend als een van de meest uitgebreide beveiligingsrichtlijnen voor cloudomgevingen en wordt vaak gebruikt als basis voor security audits en assessments. Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid (BIO) van cruciaal belang. BIO controle 13.01 richt zich specifiek op netwerktoegangscontrole en authenticatie, waarbij wordt vereist dat organisaties passende maatregelen treffen om onbevoegde toegang tot netwerkbronnen te voorkomen. Het blokkeren van directe RDP- en SSH-toegang vanaf internet is een essentiële implementatie van deze controle, omdat het voorkomt dat aanvallers direct kunnen proberen in te loggen op systemen zonder eerst door beveiligingslagen zoals Azure Bastion of JIT-toegang te gaan. De ISO/IEC 27001:2022 standaard, die de internationale norm is voor informatiebeveiligingsmanagementsystemen, adresseert dit onder controle A.8.20 (Networks security). Deze controle vereist dat organisaties netwerken beveiligen tegen bedreigingen en dat toegang tot netwerkdiensten wordt gecontroleerd. Het implementeren van NSG-regels die directe internettoegang blokkeren en het gebruik van beveiligde toegangsmethoden zoals Bastion of JIT-toegang, voldoet aan de vereisten van deze controle door te zorgen voor gecontroleerde en geauthenticeerde toegang tot netwerkbronnen. Voor Nederlandse organisaties die werken met gevoelige of geclassificeerde informatie, zijn er aanvullende compliance-overwegingen. Organisaties die vallen onder de Wet beveiliging van gevoelige informatie (Wbgi) of die werken met informatie die is geclassificeerd volgens de Aanwijzingen voor de vertrouwelijkheid van stukken, moeten extra voorzorgsmaatregelen treffen. Het blokkeren van directe internettoegang tot beheersystemen is een fundamentele vereiste voor het beschermen van geclassificeerde informatie. Tijdens security audits en compliance-assessments zullen auditors specifiek controleren of NSG-regels correct zijn geconfigureerd en of er geen regels bestaan die directe toegang vanaf internet toestaan. Organisaties moeten daarom uitgebreide documentatie bijhouden van hun NSG-configuraties, inclusief de rationale voor elke regel en de goedkeuringsprocessen die zijn gevolgd. Deze documentatie is essentieel voor het aantonen van compliance tijdens audits en helpt organisaties om hun beveiligingspostuur te verdedigen tegenover stakeholders en regelgevers. Het is belangrijk op te merken dat compliance geen eenmalige activiteit is, maar een continu proces. Organisaties moeten regelmatig controleren of hun configuraties nog steeds voldoen aan de vereisten, vooral na wijzigingen in de netwerkinfrastructuur of wanneer nieuwe virtuele machines worden geïmplementeerd. Geautomatiseerde compliance-monitoring via Azure Policy en Security Center helpt organisaties om proactief te blijven voldoen aan deze vereisten.

Remediatie

Gebruik PowerShell-script no-rdp-ssh-from-internet.ps1 (functie Invoke-Remediation) – Herstellen.

Wanneer monitoring detecteert dat Network Security Group-regels directe RDP- of SSH-toegang vanaf internet toestaan, is onmiddellijke remediatie vereist om de beveiligingsrisico's te mitigeren. Het remediatieproces moet zorgvuldig worden uitgevoerd om te voorkomen dat legitieme gebruikers onterecht worden uitgesloten van toegang tot systemen. Het remediatie script voert automatisch de noodzakelijke wijzigingen uit door NSG-regels te identificeren die poorten 22 of 3389 openstellen voor verkeer vanaf 0.0.0.0/0 of andere brede internetbereiken. Voordat regels worden verwijderd of gewijzigd, maakt het script een back-up van de huidige NSG-configuratie, zodat indien nodig de oorspronkelijke configuratie kan worden hersteld. Dit is belangrijk voor het geval er onverwachte problemen optreden tijdens het remediatieproces. De primaire remediatie-actie bestaat uit het verwijderen of wijzigen van NSG-regels die directe internettoegang toestaan. In plaats van regels volledig te verwijderen, kan het script regels ook wijzigen om alleen toegang toe te staan vanaf specifieke, geautoriseerde IP-adressen of IP-bereiken. Dit is vooral nuttig wanneer organisaties nog niet volledig zijn overgestapt op Azure Bastion of JIT-toegang en tijdelijk nog toegang nodig hebben vanaf specifieke beheersystemen of VPN-gateways. Na het verwijderen of wijzigen van onveilige regels, moet het script controleren of er alternatieve toegangsmethoden zijn geconfigureerd. Als Azure Bastion of JIT-toegang nog niet is geïmplementeerd, genereert het script waarschuwingen en aanbevelingen voor de implementatie van deze beveiligde toegangsmethoden. Het script kan ook automatisch de basisconfiguratie voor JIT-toegang instellen indien dit is geautoriseerd en geconfigureerd. Voor organisaties die nog geen Azure Bastion of JIT-toegang hebben geïmplementeerd, moet het remediatieproces worden uitgevoerd in combinatie met de implementatie van een alternatieve toegangsmethode. Dit voorkomt dat beheerders worden uitgesloten van toegang tot systemen. Het is aanbevolen om eerst Azure Bastion of JIT-toegang te implementeren en te testen voordat onveilige NSG-regels worden verwijderd. Dit zorgt voor een naadloze overgang zonder serviceonderbrekingen. Na het voltooien van de remediatie, moet het script een verificatie uitvoeren om te bevestigen dat de wijzigingen correct zijn toegepast en dat er geen andere onveilige regels meer bestaan. Deze verificatie omvat een volledige scan van alle NSG-regels binnen het abonnement en een controle of de nieuwe configuratie voldoet aan de beveiligingsvereisten. Het script genereert ook een gedetailleerd rapport van alle uitgevoerde acties, inclusief welke regels zijn verwijderd of gewijzigd, en welke alternatieve toegangsmethoden zijn geconfigureerd. Voor kritieke productieomgevingen wordt aanbevolen om remediatie eerst uit te voeren in een testomgeving of tijdens een geplande onderhoudsperiode. Dit stelt organisaties in staat om de impact van de wijzigingen te beoordelen en eventuele problemen op te lossen voordat de wijzigingen worden toegepast op productiesystemen. Daarnaast moeten organisaties communicatieplannen hebben om gebruikers en beheerders te informeren over wijzigingen in toegangsmethoden en eventuele nieuwe procedures die moeten worden gevolgd voor remote toegang tot systemen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS No RDP/SSH From Internet .DESCRIPTION CIS Azure Foundations Benchmark - Control 6.14 Controleert dat RDP (3389) en SSH (22) niet toegankelijk zijn vanaf internet. .NOTES Filename: no-rdp-ssh-from-internet.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 6.14 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Network [CmdletBinding()] param([Parameter()][switch]$Monitoring) $ErrorActionPreference = 'Stop' $PolicyName = "No RDP/SSH From Internet" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } function Test-Compliance { $nsgs = Get-AzNetworkSecurityGroup -ErrorAction SilentlyContinue $result = @{ TotalNSGs = $nsgs.Count; WithRDPSSHFromInternet = 0 } foreach ($nsg in $nsgs) { $dangerousRules = $nsg.SecurityRules | Where-Object { ($_.DestinationPortRange -eq '22' -or $_.DestinationPortRange -eq '3389' -or $_.DestinationPortRange -contains '22' -or $_.DestinationPortRange -contains '3389') -and ($_.SourceAddressPrefix -eq '*' -or $_.SourceAddressPrefix -eq '0.0.0.0/0' -or $_.SourceAddressPrefix -eq 'Internet') -and $_.Direction -eq 'Inbound' -and $_.Access -eq 'Allow' } if ($dangerousRules) { $result.WithRDPSSHFromInternet++ } } return $result } try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Total NSGs: $($r.TotalNSGs)" -ForegroundColor White Write-Host "With RDP/SSH From Internet: $($r.WithRDPSSHFromInternet)" -ForegroundColor $(if ($r.WithRDPSSHFromInternet -eq 0) { 'Green' } else { 'Red' }) if ($r.WithRDPSSHFromInternet -gt 0) { Write-Host "`n⚠️ KRITIEK: RDP/SSH vanaf internet toegankelijk!" -ForegroundColor Red Write-Host "Gebruik Azure Bastion of VPN voor admin toegang" -ForegroundColor Yellow } } else { $r = Test-Compliance Write-Host "`nRDP/SSH From Internet: $($r.WithRDPSSHFromInternet)/$($r.TotalNSGs) NSGs" } } catch { Write-Error $_; exit 1 } # ================================================================================ # Standaard Invoke-* Functions (Auto-generated) # ================================================================================ function Invoke-Implementation { <# .SYNOPSIS Implementeert de configuratie #> [CmdletBinding()] param() Invoke-Remediation } function Invoke-Monitoring { <# .SYNOPSIS Controleert de huidige configuratie status #> [CmdletBinding()] param() $Monitoring = $true try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Total NSGs: $($r.TotalNSGs)" -ForegroundColor White Write-Host "With RDP/SSH From Internet: $($r.WithRDPSSHFromInternet)" -ForegroundColor $(if ($r.WithRDPSSHFromInternet -eq 0) { 'Green' } else { 'Red' }) if ($r.WithRDPSSHFromInternet -gt 0) { Write-Host "`n⚠️ KRITIEK: RDP/SSH vanaf internet toegankelijk!" -ForegroundColor Red Write-Host "Gebruik Azure Bastion of VPN voor admin toegang" -ForegroundColor Yellow } } else { $r = Test-Compliance Write-Host "`nRDP/SSH From Internet: $($r.WithRDPSSHFromInternet)/$($r.TotalNSGs) NSGs" } } catch { Write-Error $_; exit 1 } } function Invoke-Remediation { <# .SYNOPSIS Herstelt de configuratie naar de gewenste staat .DESCRIPTION Dit is een monitoring-only control, remediation delegeert naar monitoring #> [CmdletBinding()] param() Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan Invoke-Monitoring }

Risico zonder implementatie

Risico zonder implementatie
Critical: Open RDP/SSH-toegang vanaf internet leidt binnen enkele uren tot brute-force-aanvallen en compromittering van virtuele machines. Compliance-vereisten: CIS 6.1, BIO 13.01. Het risico is KRITIEK.

Management Samenvatting

Blokkeer directe RDP/SSH-toegang vanaf internet en implementeer alternatieve verificatiemethoden. Zie rdp-access-restricted.json en ssh-access-restricted.json voor volledige implementatie. Gebruik Azure Bastion of JIT-toegang. Verplicht volgens CIS 6.1.