💼 Management Samenvatting
Deze beveiligingsregel waarborgt de correcte configuratie van retentieperiodes voor NSG Flow Logs en beschermt organisaties tegen beveiligingsrisico's door onvoldoende forensische capaciteit.
Aanbeveling
Implementeer minimaal 90 dagen retentie voor NSG Flow Logs
Risico zonder
Medium
Risk Score
6/10
Implementatie
1u (tech: 0.5u)
Van toepassing op:
✓ Azure
Deze instelling is essentieel voor het handhaven van een veilige omgeving en voorkomt bekende aanvalsvectoren door het afdwingen van beveiligingsbest practices. Zonder adequate retentieperiodes kunnen organisaties geen effectieve forensische onderzoeken uitvoeren na beveiligingsincidenten, wat leidt tot onvolledige incidentrespons en mogelijke compliance-schendingen.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.Network
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.Network
Implementatie
Deze regel past de benodigde beveiligingsinstellingen toe via Azure Policy om systemen te beschermen volgens actuele beveiligingsframeworks zoals CIS Benchmarks, BIO en ISO 27001. Specifiek zorgt deze regel ervoor dat NSG Flow Logs minimaal 90 dagen worden bewaard, wat essentieel is voor forensische onderzoeken en compliance-verificatie.
Vereisten
Voordat u de retentieperiode van 90 dagen voor NSG Flow Logs kunt configureren, moet aan een aantal essentiële vereisten worden voldaan. Deze vereisten vormen de basis voor een succesvolle implementatie en zorgen ervoor dat de beveiligingsmaatregel effectief functioneert binnen uw Azure-omgeving. Het niet voldoen aan deze vereisten kan leiden tot implementatiefouten, onvoldoende beveiliging, of compliance-schendingen die kunnen resulteren in aanzienlijke risico's voor uw organisatie. De primaire vereiste is dat NSG Flow Logs daadwerkelijk zijn ingeschakeld voor de relevante Network Security Groups binnen uw Azure-abonnement. Zonder ingeschakelde flow logs heeft het configureren van een retentieperiode geen praktische waarde, omdat er geen loggegevens worden gegenereerd die kunnen worden bewaard. Het inschakelen van NSG Flow Logs vereist toegang tot de Azure Portal of Azure PowerShell-modules, specifiek de Az.Network-module, en de juiste machtigingen om netwerkconfiguraties te wijzigen. Het is belangrijk om te controleren of flow logging is ingeschakeld voor alle relevante Network Security Groups, omdat het vergeten van een enkele NSG kan leiden tot gaten in de beveiligingsmonitoring. Deze controle moet systematisch worden uitgevoerd voor alle netwerkbeveiligingsgroepen binnen het abonnement, waarbij speciale aandacht wordt besteed aan NSG's die worden gebruikt voor kritieke workloads of gevoelige gegevens. Daarnaast moet er een geschikt opslagaccount beschikbaar zijn voor het opslaan van de flow log-gegevens. Dit opslagaccount moet voldoen aan de beveiligingsvereisten van uw organisatie, inclusief versleuteling in rust met door de klant beheerde sleutels indien vereist, en toegangsbeperkingen die voorkomen dat onbevoegde personen toegang krijgen tot de loggegevens. Het opslagaccount moet zich in dezelfde Azure-regio bevinden als de Network Security Groups om optimale prestaties en naleving van gegevensresidencievereisten te garanderen. Voor Nederlandse organisaties is het belangrijk dat de gegevens binnen de Europese Unie blijven, wat betekent dat het opslagaccount zich moet bevinden in een Azure-regio binnen de EU, zoals West-Europa of Noord-Europa. Deze gegevensresidencievereiste is van cruciaal belang voor naleving van de Algemene Verordening Gegevensbescherming (AVG) en andere Europese regelgeving die specifieke eisen stelt aan waar persoonsgegevens en gevoelige informatie mogen worden opgeslagen. Voor organisaties die werken binnen de Nederlandse publieke sector zijn aanvullende vereisten van toepassing die verder gaan dan de standaard technische configuratie. Deze omvatten compliance met de Baseline Informatiebeveiliging Overheid (BIO), wat betekent dat het opslagaccount moet voldoen aan specifieke beveiligingsstandaarden die zijn vastgelegd in de BIO-richtlijnen. Bovendien moeten toegangslogboeken worden bijgehouden voor auditdoeleinden, zodat alle toegang tot de loggegevens kan worden getraceerd. De configuratie moet worden gedocumenteerd volgens de documentatievereisten van uw organisatie, inclusief een beschrijving van de configuratie, de reden voor de keuze van de retentieperiode, en de procedures voor monitoring en onderhoud. Deze documentatie moet regelmatig worden bijgewerkt wanneer wijzigingen worden doorgevoerd en moet beschikbaar zijn voor interne en externe audits die worden uitgevoerd om te verifiëren dat de organisatie voldoet aan alle relevante beveiligings- en compliance-vereisten. Technische vereisten omvatten ook de beschikbaarheid van voldoende opslagcapaciteit om minimaal 90 dagen aan loggegevens op te slaan zonder dat er gegevens verloren gaan. De benodigde capaciteit hangt af van verschillende factoren, waaronder het netwerkverkeervolume binnen uw omgeving, het aantal Network Security Groups dat flow logging heeft ingeschakeld, en de hoeveelheid netwerkverkeer die door deze NSG's wordt gefilterd. Voor middelgrote organisaties kan dit variëren van enkele gigabytes tot meerdere terabytes per maand, afhankelijk van de omvang van de netwerkinfrastructuur. Het is belangrijk om deze capaciteitsvereisten vooraf te berekenen om onverwachte kosten te voorkomen en om te waarborgen dat er voldoende opslagruimte beschikbaar is voor de volledige retentieperiode. Deze berekening moet rekening houden met piekmomenten in netwerkverkeer, seizoensgebonden variaties, en verwachte groei van de netwerkinfrastructuur over de komende maanden. Het is verstandig om een buffer van ten minste twintig procent toe te voegen aan de berekende capaciteit om rekening te houden met onverwachte toename van netwerkverkeer of vertragingen in het opruimen van oude logbestanden. Tot slot vereist de implementatie van deze beveiligingsmaatregel dat de beheerder beschikt over de juiste Azure-rollen en machtigingen om de configuratie te kunnen wijzigen. Minimaal is de rol van Network Contributor of een aangepaste rol met specifieke machtigingen voor het wijzigen van NSG-configuraties vereist. Voor het configureren van opslagaccounts is bovendien de rol van Storage Account Contributor of vergelijkbare machtigingen nodig. Het is belangrijk om het principe van minimale bevoegdheden toe te passen, wat betekent dat beheerders alleen de minimale machtigingen moeten hebben die nodig zijn om hun taken uit te voeren. Dit helpt om het risico te beperken van onbedoelde of kwaadwillende wijzigingen aan de beveiligingsconfiguratie. Daarnaast moet worden overwogen om Just-In-Time-toegang te implementeren voor kritieke configuratiewijzigingen, waarbij beheerders alleen tijdelijk toegang krijgen wanneer dit nodig is, en waarbij alle toegang wordt gelogd voor auditdoeleinden. Deze aanpak verhoogt de beveiliging en helpt om te voldoen aan compliance-vereisten die specifieke eisen stellen aan toegangsbeheer en auditlogging.
Monitoring
Gebruik PowerShell-script nsg-flow-log-retention-90-days.ps1 (functie Invoke-Monitoring) – Controleren.
Het monitoren van de retentieperiode voor NSG Flow Logs vormt een kritieke activiteit binnen het beveiligingsbeheer van Azure-omgevingen. Deze monitoringactiviteit moet regelmatig worden uitgevoerd om te waarborgen dat de beveiligingsmaatregel effectief blijft functioneren en dat organisaties kunnen voldoen aan hun compliance-verplichtingen. Monitoring omvat niet alleen het controleren of de retentieperiode correct is geconfigureerd volgens de vereisten, maar ook het verifiëren dat de logs daadwerkelijk worden gegenereerd, opgeslagen en bewaard voor de volledige retentieperiode. Daarnaast is het belangrijk om te monitoren of de opslagcapaciteit toereikend is om alle loggegevens op te slaan zonder dat er gegevens verloren gaan. Deze continue monitoring vormt de basis voor effectief beveiligingsbeheer en stelt organisaties in staat om proactief te reageren op configuratiewijzigingen die kunnen leiden tot compliance-schendingen of verlies van belangrijke beveiligingsgegevens. De primaire monitoringactiviteit bestaat uit het periodiek controleren van het retentiebeleid voor alle Network Security Groups binnen uw Azure-abonnement. Deze controle moet worden uitgevoerd voor elke NSG die flow logging heeft ingeschakeld, omdat elke configuratie afzonderlijk kan worden gewijzigd. Het controleren kan worden uitgevoerd via het PowerShell-script dat beschikbaar is in de codebibliotheek van dit project, of handmatig via de Azure Portal. Het geautomatiseerde script controleert systematisch of elke NSG Flow Log-configuratie een retentieperiode heeft van minimaal 90 dagen en rapporteert eventuele afwijkingen in een gestructureerd rapport. Dit rapport kan worden gebruikt voor compliance-verificatie en voor het identificeren van configuraties die moeten worden gecorrigeerd. Het is aanbevolen om deze controle minimaal wekelijks uit te voeren, hoewel dagelijkse controles ideaal zijn voor omgevingen met hoge beveiligingsvereisten of waar regelmatig wijzigingen worden doorgevoerd aan netwerkconfiguraties. Voor kritieke omgevingen kan real-time monitoring worden geïmplementeerd met behulp van Azure Policy en Azure Monitor om onmiddellijk te worden gewaarschuwd wanneer afwijkingen worden gedetecteerd. Naast het controleren van de configuratie zelf, is het van cruciaal belang om te monitoren of de logs daadwerkelijk worden gegenereerd en opgeslagen in het geconfigureerde opslagaccount. Dit kan worden gedaan door regelmatig het opslagaccount te controleren waar de flow logs worden opgeslagen. Controleer of nieuwe logbestanden worden aangemaakt volgens het verwachte patroon en of de bestaande logbestanden niet voortijdig worden verwijderd voordat de retentieperiode is verstreken. Azure Storage Analytics kan worden gebruikt om gedetailleerd inzicht te krijgen in de opslagactiviteit en om te detecteren of er onverwachte verwijderingen plaatsvinden. Deze monitoring helpt om te identificeren of er problemen zijn met de loggeneratie of met de opslagconfiguratie die kunnen leiden tot verlies van belangrijke beveiligingsgegevens. Het is belangrijk om te controleren of de logbestanden de verwachte grootte hebben en of ze regelmatig worden bijgewerkt, omdat een plotselinge stop in loggeneratie kan wijzen op problemen met de NSG-configuratie of met de verbinding tussen de NSG en het opslagaccount. Daarnaast moet worden gecontroleerd of de logbestanden de juiste indeling hebben en of ze kunnen worden gelezen door de tools die worden gebruikt voor forensische onderzoeken. Voor organisaties die voldoen aan compliance-vereisten zoals de Baseline Informatiebeveiliging Overheid (BIO) of ISO 27001, is het essentieel om uitgebreide auditlogboeken bij te houden van alle wijzigingen aan de retentieconfiguratie. Deze auditlogboeken moeten worden bewaard voor de vereiste periode, meestal minimaal zeven jaar voor Nederlandse overheidsorganisaties. Azure Activity Logs kunnen worden gebruikt om alle wijzigingen aan NSG Flow Log-configuraties te traceren, inclusief wie de wijziging heeft doorgevoerd, wanneer deze is uitgevoerd, en wat de oorspronkelijke en nieuwe configuratie was. Deze auditlogboeken zijn essentieel voor compliance-verificatie en voor het onderzoeken van onbedoelde of kwaadwillende wijzigingen aan de beveiligingsconfiguratie. Het is belangrijk om deze auditlogboeken te exporteren naar een centraal logbeheersysteem waar ze kunnen worden bewaard voor de volledige vereiste periode, omdat Azure Activity Logs standaard slechts 90 dagen worden bewaard. Deze export moet worden geautomatiseerd om te waarborgen dat geen enkele wijziging verloren gaat en dat alle auditgegevens beschikbaar blijven voor toekomstige onderzoeken of compliance-verificaties. Een belangrijk aspect van monitoring is het bijhouden van de opslagkosten die gepaard gaan met het bewaren van flow logs voor de vereiste retentieperiode. Flow logs kunnen aanzienlijke hoeveelheden opslagruimte in beslag nemen, vooral in omgevingen met veel netwerkverkeer of met een groot aantal Network Security Groups. De opslagkosten kunnen variëren van enkele tientallen euro's per maand voor kleine omgevingen tot duizenden euro's per maand voor grote organisaties met uitgebreide netwerkinfrastructuren. Regelmatige monitoring van de opslagkosten helpt om onverwachte kosten te voorkomen en om te bepalen of de retentieperiode moet worden aangepast op basis van budgettaire overwegingen. Houd er echter rekening mee dat het verkorten van de retentieperiode onder de 90 dagen niet voldoet aan de compliance-vereisten en kan leiden tot onvoldoende forensische capaciteit bij beveiligingsincidenten. Het is daarom belangrijk om de opslagkosten te optimaliseren door gebruik te maken van Azure Storage-opslaglagen, waarbij oudere logbestanden kunnen worden verplaatst naar goedkopere opslaglagen zoals cool storage of archive storage, terwijl de toegankelijkheid voor forensische onderzoeken behouden blijft. Deze aanpak kan de opslagkosten aanzienlijk verlagen zonder dat de compliance-vereisten worden geschonden. Geautomatiseerde monitoring kan worden geïmplementeerd met behulp van Azure Policy en Azure Monitor om de continue naleving van de retentievereisten te waarborgen. Azure Policy kan worden gebruikt om automatisch te controleren of alle NSG Flow Logs voldoen aan de retentievereisten van minimaal 90 dagen, en om rapporten te genereren die aangeven welke configuraties niet voldoen aan de vereisten. Azure Monitor kan worden geconfigureerd om waarschuwingen te genereren wanneer afwijkingen worden gedetecteerd, zodat beheerders onmiddellijk kunnen worden gewaarschuwd wanneer een retentieperiode wordt verkort of wanneer logs niet meer worden gegenereerd. Deze geautomatiseerde monitoring zorgt voor continue naleving en vermindert de handmatige controletaken aanzienlijk, terwijl het ook helpt om problemen sneller te identificeren en op te lossen voordat ze kunnen leiden tot compliance-schendingen of verlies van belangrijke beveiligingsgegevens. Daarnaast kunnen geautomatiseerde herstelacties worden geconfigureerd die automatisch de retentieperiode terugzetten naar de vereiste waarde wanneer afwijkingen worden gedetecteerd, hoewel dit voorzichtig moet worden geconfigureerd om onbedoelde wijzigingen te voorkomen. Deze combinatie van geautomatiseerde monitoring en herstel zorgt voor een robuust beveiligingsbeheer dat voldoet aan alle compliance-vereisten en dat organisaties beschermt tegen configuratiefouten die kunnen leiden tot beveiligingsrisico's.
Compliance en Naleving
De configuratie van een retentieperiode van minimaal 90 dagen voor NSG Flow Logs is een essentiële vereiste voor naleving van verschillende beveiligingsstandaarden en compliance-frameworks die van toepassing zijn op Nederlandse overheidsorganisaties en andere organisaties die werken met gevoelige gegevens. Het niet voldoen aan deze vereisten kan leiden tot aanzienlijke compliance-schendingen, boetes, en reputatieschade, naast het verlies van belangrijke beveiligingsgegevens die nodig zijn voor forensische onderzoeken en incidentrespons. Deze compliance-vereisten zijn niet alleen technische configuraties, maar vormen een fundamenteel onderdeel van een effectief beveiligingsbeheer dat organisaties beschermt tegen beveiligingsbedreigingen en dat voldoet aan de verwachtingen van toezichthouders, auditors en andere belanghebbenden die verantwoordelijk zijn voor het waarborgen van adequate beveiligingsmaatregelen. De CIS Microsoft Azure Foundations Benchmark vormt een belangrijke referentie voor beveiligingsconfiguraties in Azure-omgevingen. Specifiek controle 6.5 vereist expliciet dat flow logs worden geconfigureerd met een adequate retentieperiode die voldoende is voor forensische onderzoeken en compliance-verificatie. Deze controle is geclassificeerd als Level 2, wat betekent dat deze wordt aanbevolen voor omgevingen met verhoogde beveiligingsvereisten, zoals die van Nederlandse overheidsorganisaties. De CIS Benchmark specificeert dat een retentieperiode van minimaal 90 dagen noodzakelijk is voor effectieve forensische onderzoeken en incidentrespons, omdat geavanceerde persistente bedreigingen (APT) vaak onderzoeken vereisen die meerdere maanden beslaan. Organisaties die voldoen aan CIS-aanbevelingen moeten kunnen aantonen dat hun flow logs voldoen aan deze retentievereiste en dat er processen zijn geïmplementeerd om deze configuratie te handhaven en te monitoren. Deze aantoonbaarheid is essentieel voor externe audits en voor het verkrijgen van certificeringen die vereist zijn voor het werken met gevoelige gegevens of voor het deelnemen aan overheidscontracten die specifieke beveiligingsstandaarden vereisen. Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid (BIO) van cruciaal belang voor het waarborgen van een adequaat beveiligingsniveau. BIO-controle 12.04 behandelt specifiek de retentie van loggegevens en vereist dat organisaties een duidelijk retentiebeleid hebben voor alle beveiligingslogboeken, inclusief netwerkflow logs. De BIO vereist dat loggegevens worden bewaard voor een periode die voldoende is voor forensische onderzoeken en compliance-verificatie, waarbij rekening wordt gehouden met de aard van de gegevens en de beveiligingsrisico's. Hoewel de BIO geen specifieke minimumperiode specificeert, wordt algemeen erkend dat 90 dagen een minimum is voor effectieve beveiligingsoperaties, en veel organisaties kiezen voor langere periodes van 365 dagen of meer om een groter forensisch venster te hebben voor complexe onderzoeken. Deze langere retentieperiodes zijn vooral belangrijk voor organisaties die werken met zeer gevoelige gegevens of die regelmatig te maken hebben met geavanceerde bedreigingen die uitgebreide onderzoeken vereisen. Het is belangrijk om de keuze voor de retentieperiode te documenteren in het beveiligingsbeleid en om regelmatig te evalueren of de gekozen periode nog steeds voldoet aan de beveiligingsvereisten en de aard van de bedreigingen waarmee de organisatie wordt geconfronteerd. De ISO 27001:2022 standaard biedt een internationaal erkend kader voor informatiebeveiligingsmanagement. Specifiek controle A.8.15 over logging vereist dat organisaties logging- en monitoringfaciliteiten implementeren en dat loggegevens worden bewaard voor een adequate periode die is gebaseerd op de beveiligingsvereisten en de aard van de gegevens. Deze controle is onderdeel van het informatiebeveiligingsmanagementsysteem (ISMS) en vereist dat organisaties kunnen aantonen dat hun logging- en monitoringprocessen effectief zijn en dat ze voldoen aan de beveiligingsdoelstellingen. Voor NSG Flow Logs betekent dit dat de retentieperiode moet worden gedocumenteerd in het ISMS, dat er processen moeten zijn om te waarborgen dat de logs daadwerkelijk worden bewaard voor de geconfigureerde periode, en dat er regelmatige controles moeten worden uitgevoerd om te verifiëren dat de configuratie correct blijft. Deze documentatie en processen moeten worden geïntegreerd in het algemene ISMS en moeten worden onderworpen aan regelmatige interne en externe audits om te verifiëren dat ze effectief zijn en dat ze voldoen aan de ISO 27001-vereisten. Het is belangrijk om deze processen te koppelen aan andere ISMS-processen, zoals risicobeheer en incidentbeheer, om te waarborgen dat de logging- en monitoringactiviteiten bijdragen aan de algehele beveiligingsdoelstellingen van de organisatie. Naast deze primaire compliance-frameworks zijn er aanvullende overwegingen voor Nederlandse organisaties die werken met persoonsgegevens. De Algemene Verordening Gegevensbescherming (AVG) vereist dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen en dat gegevens niet langer worden bewaard dan noodzakelijk voor het doel waarvoor ze zijn verzameld. Hoewel NSG Flow Logs doorgaans geen directe persoonsgegevens bevatten, kunnen ze wel metadata bevatten die als persoonsgegevens kunnen worden beschouwd, zoals IP-adressen die kunnen worden gekoppeld aan specifieke personen. Het is daarom belangrijk om te waarborgen dat de retentieperiode in overeenstemming is met de AVG-vereisten en dat er processen zijn voor het verwijderen van gegevens wanneer dit vereist is, bijvoorbeeld wanneer een betrokkene zijn recht op verwijdering uitoefent. Deze processen moeten worden gedocumenteerd in het privacybeleid en moeten worden geïmplementeerd op een manier die voldoet aan de AVG-vereisten voor gegevensminimalisatie en doelbinding. Het is belangrijk om regelmatig te evalueren of de retentieperiode nog steeds noodzakelijk is voor het beoogde doel en om te overwegen of de periode kan worden verkort zonder dat dit de beveiligingsdoelstellingen in gevaar brengt, hoewel dit niet mag leiden tot een periode korter dan 90 dagen die vereist is voor compliance-doeleinden. Voor auditdoeleinden moeten organisaties kunnen aantonen dat hun retentieconfiguratie voldoet aan de vereisten van alle relevante frameworks en dat er adequate processen zijn geïmplementeerd om naleving te waarborgen. Dit betekent dat de configuratie moet worden gedocumenteerd in het beveiligingsbeleid, dat er regelmatige controles moeten worden uitgevoerd om te verifiëren dat de configuratie correct is en blijft, en dat er uitgebreide auditlogboeken moeten worden bijgehouden van alle wijzigingen aan de configuratie. Azure Policy kan worden gebruikt om automatisch te controleren op naleving en om rapporten te genereren voor auditdoeleinden, wat helpt om te demonstreren dat de organisatie voldoet aan de compliance-vereisten en dat er adequate controles zijn geïmplementeerd om naleving te waarborgen. Deze rapporten moeten regelmatig worden geëvalueerd door beveiligingsbeheerders en moeten worden gedeeld met relevante belanghebbenden, zoals compliance officers, auditors en management, om te waarborgen dat iedereen op de hoogte is van de nalevingsstatus en van eventuele afwijkingen die moeten worden aangepakt. Het is belangrijk om deze rapporten te bewaren voor de vereiste periode en om ze beschikbaar te houden voor externe audits die kunnen worden uitgevoerd door toezichthouders, certificeringsinstanties of andere partijen die verantwoordelijk zijn voor het verifiëren van compliance.
Remediatie
Gebruik PowerShell-script nsg-flow-log-retention-90-days.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer monitoring detecteert dat NSG Flow Logs niet zijn geconfigureerd met een retentieperiode van minimaal 90 dagen, moet onmiddellijk actie worden ondernomen om deze situatie te herstellen. Deze situatie vormt een beveiligingsrisico omdat het kan leiden tot onvoldoende forensische capaciteit bij beveiligingsincidenten en kan resulteren in compliance-schendingen die kunnen leiden tot boetes en reputatieschade. Remediatie omvat zowel het corrigeren van de configuratie als het waarborgen dat de wijziging permanent wordt gehandhaafd en dat er processen zijn geïmplementeerd om te voorkomen dat de situatie opnieuw optreedt. Het is belangrijk om deze remediatie te behandelen als een prioriteit, omdat elke dag dat de configuratie niet voldoet aan de vereisten een dag is waarin belangrijke beveiligingsgegevens verloren kunnen gaan en waarin de organisatie niet voldoet aan compliance-vereisten die kunnen leiden tot aanzienlijke gevolgen bij audits of beveiligingsincidenten. De primaire remediatie-activiteit bestaat uit het bijwerken van de retentieconfiguratie voor alle Network Security Groups die niet voldoen aan de vereiste van 90 dagen. Dit kan worden uitgevoerd met behulp van het beschikbare PowerShell-script dat beschikbaar is in de codebibliotheek van dit project, dat automatisch alle niet-conforme configuraties identificeert en corrigeert. Het script werkt de retentieperiode bij naar minimaal 90 dagen voor alle NSG Flow Log-configuraties binnen het opgegeven Azure-abonnement, waarbij het zorgvuldig controleert of elke wijziging succesvol is toegepast voordat het doorgaat naar de volgende configuratie. Het is belangrijk om het script uit te voeren met de juiste machtigingen en om te controleren of alle configuraties correct zijn bijgewerkt. Voordat het script wordt uitgevoerd, is het aanbevolen om een back-up te maken van de huidige configuraties, zodat deze kunnen worden hersteld indien er onverwachte problemen optreden tijdens de remediatie. Daarnaast moet worden gecontroleerd of er geen lopende netwerkoperaties zijn die kunnen worden verstoord door de configuratiewijzigingen, hoewel het wijzigen van de retentieperiode doorgaans geen impact heeft op de netwerkfunctionaliteit. Voordat u de remediatie uitvoert, is het van cruciaal belang om te controleren of er voldoende opslagcapaciteit beschikbaar is om de langere retentieperiode te ondersteunen zonder dat er gegevens verloren gaan. Als de huidige opslagcapaciteit onvoldoende is, moet eerst het opslagaccount worden uitgebreid of moet er een nieuw opslagaccount worden geconfigureerd dat voldoet aan de capaciteitsvereisten. Het is ook belangrijk om te controleren of het opslagaccount voldoet aan de beveiligingsvereisten van uw organisatie, inclusief versleuteling in rust met door de klant beheerde sleutels indien vereist, en toegangsbeperkingen die voorkomen dat onbevoegde personen toegang krijgen tot de loggegevens. Bovendien moet worden gecontroleerd of het opslagaccount zich in de juiste Azure-regio bevindt om te voldoen aan gegevensresidencievereisten. Deze controle moet worden uitgevoerd voor elk opslagaccount dat wordt gebruikt voor het opslaan van flow logs, omdat verschillende NSG's mogelijk verschillende opslagaccounts gebruiken. Het is belangrijk om te waarborgen dat alle opslagaccounts voldoen aan de vereisten voordat de remediatie wordt uitgevoerd, om te voorkomen dat de configuratie wordt bijgewerkt maar de logs niet kunnen worden opgeslagen vanwege onvoldoende capaciteit of onjuiste configuratie. Na het uitvoeren van de remediatie moet worden geverifieerd dat de wijziging succesvol is toegepast en dat alle configuraties nu voldoen aan de vereisten. Dit kan worden gedaan door het monitoring-script opnieuw uit te voeren of door handmatig de configuratie te controleren in de Azure Portal. Verifieer dat alle NSG Flow Logs nu een retentieperiode hebben van minimaal 90 dagen en dat de configuratie correct is opgeslagen. Het is ook belangrijk om te controleren of de logs daadwerkelijk worden gegenereerd en opgeslagen in het geconfigureerde opslagaccount, omdat een configuratie zonder werkende loggeneratie geen praktische waarde heeft. Deze verificatie moet worden uitgevoerd binnen 24 uur na de remediatie om te waarborgen dat de configuratie correct functioneert en dat er geen problemen zijn opgetreden tijdens de implementatie. Als er problemen worden gedetecteerd, moeten deze onmiddellijk worden aangepakt om te voorkomen dat de organisatie langer dan noodzakelijk niet voldoet aan de compliance-vereisten. Om te voorkomen dat de configuratie in de toekomst opnieuw wordt gewijzigd naar een kortere periode, moet Azure Policy worden geconfigureerd om automatisch te controleren op naleving en om waarschuwingen te genereren wanneer afwijkingen worden gedetecteerd. Azure Policy kan ook worden gebruikt om automatisch te herstellen wanneer niet-conforme configuraties worden gedetecteerd, hoewel dit voorzichtig moet worden geconfigureerd om onbedoelde wijzigingen te voorkomen. Het is belangrijk om de automatische herstelacties te testen in een testomgeving voordat ze worden geactiveerd in productieomgevingen, om te waarborgen dat ze correct functioneren en geen onbedoelde gevolgen hebben. Deze geautomatiseerde controles en herstelacties vormen een belangrijk onderdeel van een robuust beveiligingsbeheer dat proactief reageert op configuratiewijzigingen en dat waarborgt dat de organisatie continu voldoet aan de compliance-vereisten zonder dat handmatige interventie vereist is voor elke afwijking die wordt gedetecteerd. Voor organisaties die werken binnen de Nederlandse publieke sector moet de remediatie worden gedocumenteerd volgens de documentatievereisten van de organisatie en de relevante compliance-frameworks zoals BIO en ISO 27001. Dit omvat het vastleggen van de oorspronkelijke configuratie, de uitgevoerde wijzigingen, de reden voor de wijziging, de persoon die de wijziging heeft doorgevoerd, en de verificatie dat de wijziging succesvol is toegepast. Deze documentatie is essentieel voor auditdoeleinden en voor het aantonen van naleving van compliance-vereisten. De documentatie moet worden bewaard voor de vereiste periode, meestal minimaal zeven jaar voor overheidsorganisaties. Deze documentatie moet worden opgeslagen in een centraal documentbeheersysteem waar deze toegankelijk is voor auditors en andere belanghebbenden die verantwoordelijk zijn voor het verifiëren van compliance. Het is belangrijk om deze documentatie regelmatig te evalueren en bij te werken om te waarborgen dat deze accuraat blijft en dat alle relevante informatie wordt vastgelegd voor toekomstige referentie. Na de remediatie moet regelmatige monitoring worden geïmplementeerd om te waarborgen dat de configuratie correct blijft en dat er geen nieuwe niet-conforme configuraties ontstaan. Dit omvat zowel geautomatiseerde monitoring via Azure Policy als periodieke handmatige controles die worden uitgevoerd door beveiligingsbeheerders. Het is ook belangrijk om teamleden te trainen in het belang van de retentievereiste en om processen te implementeren die voorkomen dat de retentieperiode per ongeluk wordt verkort tijdens andere configuratiewijzigingen. Deze training moet regelmatig worden herhaald om te waarborgen dat alle teamleden op de hoogte blijven van de vereisten en de gevolgen van niet-naleving. Daarnaast moet worden overwogen om change management processen te implementeren die vereisen dat alle wijzigingen aan NSG-configuraties worden gereviewd door beveiligingsbeheerders voordat ze worden doorgevoerd, om te waarborgen dat geen enkele wijziging onbedoeld de retentieperiode verkort of andere beveiligingsconfiguraties wijzigt die kunnen leiden tot compliance-schendingen. Deze combinatie van geautomatiseerde monitoring, handmatige controles, training en change management processen zorgt voor een robuust beveiligingsbeheer dat waarborgt dat de organisatie continu voldoet aan alle compliance-vereisten.
Compliance & Frameworks
- CIS M365: Control 6.5 (L2) - Retentie van flow logs
- BIO: 12.04 - Logretentie
- ISO 27001:2022: A.8.15 - Logging
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
NSG Flow Log Retention 90 Days
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 6.17
Controleert of NSG flow logs minimaal 90 dagen retention hebben.
.NOTES
Filename: nsg-flow-log-retention-90-days.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 6.17
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Network
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "NSG Flow Log Retention 90 Days"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$networkWatchers = Get-AzNetworkWatcher -ErrorAction SilentlyContinue
$result = @{ TotalFlowLogs = 0; With90DaysRetention = 0 }
foreach ($watcher in $networkWatchers) {
$flowLogs = Get-AzNetworkWatcherFlowLog -NetworkWatcher $watcher -ErrorAction SilentlyContinue
foreach ($log in $flowLogs) {
$result.TotalFlowLogs++
if ($log.RetentionPolicy.Days -ge 90) {
$result.With90DaysRetention++
}
}
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Flow Logs: $($r.TotalFlowLogs)" -ForegroundColor White
Write-Host "With 90+ Days Retention: $($r.With90DaysRetention)" -ForegroundColor $(if ($r.With90DaysRetention -eq $r.TotalFlowLogs) { 'Green' } else { 'Yellow' })
if ($r.With90DaysRetention -lt $r.TotalFlowLogs) {
Write-Host "`n⚠️ Verhoog retention naar minimaal 90 dagen" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nFlow Log Retention: $($r.With90DaysRetention)/$($r.TotalFlowLogs) ≥90 days"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Flow Logs: $($r.TotalFlowLogs)" -ForegroundColor White
Write-Host "With 90+ Days Retention: $($r.With90DaysRetention)" -ForegroundColor $(if ($r.With90DaysRetention -eq $r.TotalFlowLogs) { 'Green' } else { 'Yellow' })
if ($r.With90DaysRetention -lt $r.TotalFlowLogs) {
Write-Host "`n⚠️ Verhoog retention naar minimaal 90 dagen" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nFlow Log Retention: $($r.With90DaysRetention)/$($r.TotalFlowLogs) ≥90 days"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Korte retentieperiodes van minder dan 90 dagen resulteren in onvoldoende forensische capaciteit. Geavanceerde persistente bedreigingen (APT) vereisen vaak onderzoeken die meer dan 90 dagen beslaan, en zonder adequate retentie kunnen deze onderzoeken niet effectief worden uitgevoerd. Dit leidt tot onvolledige incidentrespons en mogelijke compliance-schendingen. De vereiste is opgenomen in CIS 6.5, BIO 12.04 en ISO 27001:2022 A.8.15. Het risico wordt geclassificeerd als medium, voornamelijk vanwege het beperkte forensische venster dat ontstaat bij onvoldoende retentie.
Management Samenvatting
NSG Flow Log Retentie 90+: Configureer minimaal 90 dagen retentie voor alle NSG Flow Logs, waarbij 365 dagen wordt aanbevolen voor optimale forensische capaciteit. Deze configuratie ondersteunt effectieve APT-onderzoeken en voldoet aan compliance-vereisten. Activatie vindt plaats via NSG Flow Logs configuratie waarbij de retentieperiode wordt ingesteld op minimaal 90 dagen. De kosten zijn proportioneel aan de opslagcapaciteit die nodig is voor de loggegevens. Deze maatregel is verplicht volgens CIS 6.5 en wordt aanbevolen door BIO en ISO 27001. De implementatie neemt ongeveer 30 minuten in beslag en zorgt voor een adequaat forensisch venster voor incidentonderzoek.
- Implementatietijd: 1 uur
- FTE required: 0.01 FTE