L1/L2 BIO 13.01 ISO A.8.20 CIS 6.4, 6.5

Azure Firewall: Verificatie Van Implementatie

📅 2025-01-15
⏱️ 20 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Het verifiëren dat Azure Firewall daadwerkelijk is geïmplementeerd en correct is geconfigureerd vormt een kritieke stap in het waarborgen van netwerkbeveiliging binnen Azure-omgevingen van Nederlandse overheidsorganisaties. In tegenstelling tot het implementeren van Azure Firewall zelf, richt dit artikel zich op het systematisch controleren en valideren van bestaande Azure Firewall-implementaties om te waarborgen dat zij voldoen aan beveiligingsvereisten, compliance-standaarden en best practices. Deze verificatie is essentieel omdat het simpelweg aanwezig zijn van een firewall niet voldoende is: de firewall moet ook correct zijn geconfigureerd met passende regels, threat intelligence, logging en monitoring om daadwerkelijk bescherming te bieden tegen moderne netwerkbedreigingen.

Aanbeveling
VOER REGELMATIG VERIFICATIE UIT VAN AZURE FIREWALL-IMPLEMENTATIES
Risico zonder
High
Risk Score
7/10
Implementatie
12u (tech: 8u)
Van toepassing op:
Azure
Azure Virtual Networks
Hybride netwerken

Zonder systematische verificatie van Azure Firewall-implementaties lopen organisaties het risico dat zij een vals gevoel van beveiliging hebben terwijl de firewall in werkelijkheid onvoldoende is geconfigureerd of zelfs niet actief is. Dit kan leiden tot aanzienlijke beveiligingsrisico's: workloads kunnen onbeschermd zijn tegen netwerkaanvallen, kwaadaardig verkeer kan ongefilterd passeren, en compliance-vereisten worden mogelijk niet nageleefd ondanks de aanwezigheid van een firewall. Daarnaast kunnen configuratiefouten of verouderde instellingen de effectiviteit van de firewall drastisch verminderen, waardoor organisaties denken dat zij beschermd zijn terwijl zij in werkelijkheid kwetsbaar zijn. Voor Nederlandse overheidsorganisaties die moeten voldoen aan BIO, NIS2 en ISO 27001 is dit onacceptabel: deze frameworks vereisen niet alleen dat beveiligingsmaatregelen aanwezig zijn, maar ook dat zij correct zijn geconfigureerd, actief worden gemonitord en regelmatig worden gecontroleerd. Zonder verificatie kunnen organisaties tijdens audits niet aantonen dat hun netwerkbeveiliging daadwerkelijk effectief is, wat kan leiden tot negatieve auditbevindingen, compliance-schendingen en mogelijke boetes of sancties.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Network, Az.Resources, Az.Accounts

Implementatie

Dit artikel beschrijft een gestructureerde aanpak voor het verifiëren van Azure Firewall-implementaties binnen de Nederlandse Baseline voor Veilige Cloud. De verificatie omvat vier hoofdcomponenten. Ten eerste inventarisatie en detectie: het identificeren van alle Azure Firewall-resources binnen een abonnement of tenant, het bepalen van hun locatie, configuratie en status, en het vaststellen van welke netwerken en workloads door deze firewalls worden beschermd. Ten tweede configuratievalidatie: het controleren of firewalls correct zijn geconfigureerd met passende netwerkregels, applicatieregels en NAT-regels, het verifiëren dat threat intelligence is ingeschakeld en actief werkt, en het valideren dat logging en monitoring correct zijn geconfigureerd. Ten derde compliance-controle: het beoordelen of firewallconfiguraties voldoen aan relevante compliance-frameworks zoals BIO, NIS2 en ISO 27001, het identificeren van afwijkingen ten opzichte van best practices en het documenteren van compliance-status voor auditdoeleinden. Ten vierde rapportage en aanbevelingen: het genereren van gedetailleerde rapportages over de verificatieresultaten, het identificeren van verbeterpunten en het opstellen van concrete aanbevelingen voor het versterken van de netwerkbeveiliging. Het bijbehorende PowerShell-script automatiseert deze verificatie door alle Azure Firewall-implementaties te inventariseren, hun configuraties te analyseren en compliance-rapportages te genereren die kunnen worden gebruikt voor auditdoeleinden en continue verbetering.

Inventarisatie en detectie van Azure Firewall-implementaties

De eerste stap in het verifiëren van Azure Firewall-implementaties is het uitvoeren van een complete inventarisatie van alle firewall-resources binnen de Azure-omgeving. Deze inventarisatie moet niet alleen de aanwezigheid van firewalls vaststellen, maar ook belangrijke metadata verzamelen zoals de naam van elke firewall, de resourcegroep waarin deze zich bevindt, de Azure-regio waar de firewall is geïmplementeerd, de SKU of tier (Standard of Premium), en de status van de firewall (actief, gestopt, of in onderhoud). Voor organisaties met meerdere Azure-abonnementen of management groups is het essentieel om de inventarisatie uit te voeren op het juiste scope-niveau om ervoor te zorgen dat alle relevante firewalls worden gedetecteerd. Het is belangrijk om te realiseren dat Azure Firewall-resources kunnen worden geïmplementeerd op verschillende niveaus: als standalone firewalls in individuele Virtual Networks, als onderdeel van Azure Firewall Manager policies voor gecentraliseerd beheer, of als onderdeel van hub-spoke netwerkarchitecturen waarbij firewalls centraal in hub-netwerken worden geplaatst.

Naast het inventariseren van de firewall-resources zelf, moet ook worden vastgesteld welke netwerken en workloads door elke firewall worden beschermd. Dit vereist het analyseren van de netwerkconfiguratie om te bepalen welke Virtual Networks zijn gekoppeld aan welke firewalls, welke subnetten verkeer routeren via de firewall, en welke workloads daadwerkelijk gebruik maken van de firewall voor netwerkbeveiliging. Voor hub-spoke architecturen moet worden gecontroleerd of alle spoke-netwerken correct zijn gekoppeld aan het centrale hub-netwerk waar de firewall zich bevindt, en of route tables correct zijn geconfigureerd om verkeer via de firewall te routeren. Het is mogelijk dat een firewall technisch gezien is geïmplementeerd, maar dat workloads deze firewall niet daadwerkelijk gebruiken omdat route tables ontbreken of verkeerd zijn geconfigureerd, waardoor verkeer de firewall omzeilt en direct naar internet gaat. Deze situatie moet worden geïdentificeerd en gecorrigeerd om daadwerkelijke bescherming te waarborgen.

Een belangrijk aspect van de inventarisatie is het identificeren van ontbrekende firewalls. Voor organisaties die een hub-spoke netwerkarchitectuur hebben geïmplementeerd, moet elk hub-netwerk een Azure Firewall bevatten. Voor organisaties met gedistribueerde netwerkarchitecturen moeten kritieke Virtual Networks of workloads worden beschermd door een firewall. Het identificeren van netwerken of workloads die geen firewallbescherming hebben, is essentieel om beveiligingsgaten te detecteren en te adresseren. Daarnaast moet worden gecontroleerd of firewalls zijn geïmplementeerd in alle relevante Azure-regio's waar workloads draaien, omdat firewalls regionaal zijn en alleen verkeer kunnen beschermen binnen dezelfde regio. Voor organisaties met workloads in meerdere regio's moeten firewalls in elke regio worden geïmplementeerd en gecontroleerd.

Gebruik PowerShell-script azure-firewall-deployed.ps1 (functie Invoke-Monitoring) – Voert een complete inventarisatie uit van alle Azure Firewall-implementaties en controleert hun configuratie en status.

Configuratievalidatie en beveiligingscontroles

Na het inventariseren van alle Azure Firewall-implementaties moet worden gecontroleerd of elke firewall correct is geconfigureerd met passende beveiligingsinstellingen. De eerste configuratiecontrole betreft de basisinstellingen van de firewall: is de firewall actief en operationeel, heeft de firewall een publiek IP-adres geconfigureerd voor uitgaand verkeer en NAT-regels, en is de firewall gekoppeld aan het juiste Virtual Network en subnet? Voor Premium tier firewalls moet ook worden gecontroleerd of geavanceerde functies zoals TLS-inspectie en URL-filtering correct zijn geconfigureerd. Daarnaast moet worden gecontroleerd of de firewall voldoende capaciteit heeft voor de verwachte verkeersvolumes, en of autoscaling correct is geconfigureerd voor variabele workloads.

Een kritieke configuratiecontrole betreft de firewallregels. Azure Firewall ondersteunt drie typen regels: netwerkregels voor IP- en poortgebaseerde filtering, applicatieregels voor FQDN-gebaseerde filtering, en NAT-regels voor het vertalen van inkomend verkeer. Voor elke firewall moet worden gecontroleerd of er passende regels zijn geconfigureerd die verkeer filteren volgens het principe van least privilege: alleen verkeer dat expliciet is toegestaan moet kunnen passeren, terwijl alle ander verkeer standaard moet worden geblokkeerd. Regels moeten worden gecontroleerd op breedte: te brede regels die bijvoorbeeld alle verkeer naar alle IP-adressen toestaan, bieden onvoldoende beveiliging en moeten worden aangescherpt. Daarnaast moet worden gecontroleerd of regels correct zijn geprioriteerd, omdat Azure Firewall regels evalueert in volgorde van prioriteit en stopt zodra een regel matcht. Verkeerde prioritering kan ertoe leiden dat belangrijke beveiligingsregels worden omzeild door minder restrictieve regels met een hogere prioriteit.

Threat intelligence-integratie is een essentieel onderdeel van Azure Firewall-beveiliging en moet worden gecontroleerd voor elke firewall. Threat intelligence maakt gebruik van Microsoft Threat Intelligence-feeds om automatisch verkeer te blokkeren van bekende kwaadaardige IP-adressen en domeinen. Voor productieomgevingen moet threat intelligence zijn ingeschakeld met de modus 'Deny', waarbij bedreigingen daadwerkelijk worden geblokkeerd. De modus 'Alert' waarbij bedreigingen alleen worden gelogd maar niet geblokkeerd, is alleen geschikt voor testomgevingen of tijdens de implementatiefase. Het is belangrijk om te verifiëren dat threat intelligence daadwerkelijk actief is en werkt door te controleren of er logs worden gegenereerd en of bedreigingen daadwerkelijk worden geblokkeerd. Daarnaast moet worden gecontroleerd of threat intelligence-feeds up-to-date zijn en regelmatig worden bijgewerkt, hoewel dit automatisch gebeurt door Microsoft.

Logging en monitoring zijn cruciaal voor effectief beheer en security operations, en moeten worden gecontroleerd voor elke firewall. Azure Firewall moet zijn geconfigureerd met diagnostische instellingen die logs naar een centrale Log Analytics-workspace sturen, zodat alle netwerkverkeer kan worden geanalyseerd en gemonitord. Er moeten verschillende logcategorieën worden ingeschakeld: Application Rule logs voor verkeer dat wordt geëvalueerd tegen applicatieregels, Network Rule logs voor verkeer dat wordt geëvalueerd tegen netwerkregels, Threat Intelligence logs voor verkeer dat wordt geblokkeerd door threat intelligence, en DNS Proxy logs voor DNS-verzoeken wanneer DNS-proxy is ingeschakeld. Daarnaast moeten alertregels worden geconfigureerd die waarschuwingen genereren bij ongebruikelijke activiteiten, zoals plotselinge toename van geblokkeerd verkeer of herhaalde pogingen tot toegang tot bekende kwaadaardige domeinen. Retentiebeleid voor logs moet worden gecontroleerd om te waarborgen dat logs worden bewaard voor de vereiste periode volgens compliance-vereisten (typisch 7 jaar voor Nederlandse overheidsorganisaties volgens BIO).

Compliance-beoordeling en auditvoorbereiding

Voor Nederlandse overheidsorganisaties is het essentieel om te kunnen aantonen dat Azure Firewall-implementaties voldoen aan relevante compliance-frameworks zoals BIO, NIS2 en ISO 27001. De compliance-beoordeling moet controleren of firewallconfiguraties expliciet voldoen aan de vereisten uit deze frameworks, en of er documentatie beschikbaar is die aantoont hoe deze vereisten worden ingevuld. Voor het BIO-raamwerk moet worden gecontroleerd of netwerkfiltering correct is geïmplementeerd (control 13.01), of logging en monitoring zijn geconfigureerd (control 14.02), en of er processen zijn voor het beheren en reviewen van firewallconfiguraties. Voor NIS2 moet worden gecontroleerd of passende technische maatregelen zijn getroffen voor netwerkbeveiliging (artikel 21), of incidentdetectie en -responsprocessen zijn geïmplementeerd, en of beveiligingsincidenten worden gemeld aan relevante autoriteiten. Voor ISO 27001 moet worden gecontroleerd of netwerkbeveiliging correct is geïmplementeerd (control A.8.20), of beveiligingsgebeurtenissen worden gemonitord (control A.8.33), en of er een Information Security Management System (ISMS) is waarin firewallconfiguraties zijn gedocumenteerd.

Een belangrijk onderdeel van de compliance-beoordeling is het controleren of er documentatie beschikbaar is die aantoont hoe Azure Firewall wordt gebruikt om compliance-vereisten in te vullen. Deze documentatie moet onder meer bevatten: netwerkarchitectuurdiagrammen die laten zien waar firewalls zijn geplaatst en hoe verkeer wordt gerouteerd, firewallconfiguraties en rechtvaardigingen voor regels, logging- en monitoringconfiguraties, en processen voor het beheren en reviewen van firewallconfiguraties. Daarnaast moet worden gecontroleerd of er regelmatige reviews worden uitgevoerd van firewallconfiguraties om te waarborgen dat zij up-to-date blijven en voldoen aan veranderende bedrijfsbehoeften en beveiligingsvereisten. Deze reviews moeten worden gedocumenteerd en gerapporteerd aan security- en risicocomités, en bevindingen moeten worden vertaald naar concrete verbeteracties met eigenaren en deadlines.

Voor auditdoeleinden is het belangrijk om compliance-rapportages te genereren die aantonen hoe Azure Firewall-implementaties voldoen aan relevante frameworks. Deze rapportages moeten objectief en verifieerbaar zijn, en moeten onder meer bevatten: een overzicht van alle Azure Firewall-implementaties met hun configuratie en status, een beoordeling van compliance per framework met specifieke verwijzingen naar controls en artikelen, identificatie van afwijkingen en tekortkomingen met concrete aanbevelingen voor verbetering, en een overzicht van documentatie en processen die aantonen hoe compliance wordt geborgd. Het bijbehorende PowerShell-script kan worden gebruikt om technische compliance-rapportages te genereren die kunnen worden gebruikt als onderdeel van auditdocumentatie. Deze rapportages moeten regelmatig worden gegenereerd en gedeeld met interne audit-teams, compliance-officers en externe auditors om transparantie te bieden en vertrouwen op te bouwen in de beveiligingsmaatregelen.

Gebruik PowerShell-script azure-firewall-deployed.ps1 (functie Invoke-Remediation) – Genereert gedetailleerde compliance-rapportages en identificeert verbeterpunten voor Azure Firewall-implementaties.

Rapportage en aanbevelingen

Na het uitvoeren van de verificatie moet een gedetailleerd rapport worden gegenereerd dat de resultaten samenvat en concrete aanbevelingen biedt voor verbetering. Het rapport moet onder meer bevatten: een executive summary die de algehele status van Azure Firewall-implementaties samenvat in begrijpelijke termen voor bestuurders en niet-technische stakeholders, een gedetailleerd overzicht per firewall met configuratie, status en compliance-beoordeling, identificatie van ontbrekende firewalls of configuraties die beveiligingsrisico's kunnen vormen, en concrete aanbevelingen voor het versterken van netwerkbeveiliging met prioritering op basis van risico en compliance-impact. Het rapport moet objectief en actiegericht zijn, waarbij elke aanbeveling wordt onderbouwd met specifieke risico's en compliance-implicaties.

Aanbevelingen moeten worden geprioriteerd op basis van risico en compliance-impact. Kritieke aanbevelingen die directe beveiligingsrisico's adresseren, zoals ontbrekende firewalls voor kritieke workloads of threat intelligence die niet is ingeschakeld, moeten worden gemarkeerd als hoge prioriteit en moeten onmiddellijk worden geadresseerd. Aanbevelingen die compliance-vereisten adresseren, zoals ontbrekende logging of documentatie, moeten worden gemarkeerd als middel prioriteit en moeten worden geadresseerd binnen een redelijke termijn. Aanbevelingen die best practices adresseren maar geen directe beveiligingsrisico's vormen, zoals het optimaliseren van firewallregels of het verbeteren van monitoring, kunnen worden gemarkeerd als lage prioriteit en kunnen worden geadresseerd tijdens reguliere onderhoudsvensters.

Het rapport moet ook een actieplan bevatten met concrete stappen voor het implementeren van aanbevelingen. Dit actieplan moet onder meer bevatten: een tijdlijn voor het adresseren van aanbevelingen met deadlines per prioriteitsniveau, toewijzing van verantwoordelijkheden aan specifieke personen of teams, schattingen van benodigde resources en inspanning, en criteria voor het meten van succes. Het actieplan moet regelmatig worden bijgewerkt op basis van voortgang en nieuwe bevindingen, en moet worden gedeeld met relevante stakeholders om transparantie te waarborgen en commitment te creëren voor het implementeren van verbetermaatregelen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Azure Firewall Deployment Verification .DESCRIPTION Verifieert of Azure Firewall correct is geïmplementeerd en geconfigureerd met logging, threat intelligence en passende regels. .NOTES Filename: azure-firewall-deployed.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 6.4, 6.5 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Network, Az.Resources [CmdletBinding()] param( [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert, [Parameter()][switch]$WhatIf ) $ErrorActionPreference = 'Stop' $PolicyName = "Azure Firewall Deployment Verification" function Connect-RequiredServices { if (-not (Get-AzContext)) { Write-Host "Verbinden met Azure..." -ForegroundColor Yellow Connect-AzAccount | Out-Null } } function Test-AzureFirewallDeployment { <# .SYNOPSIS Controleert of Azure Firewall is geïmplementeerd en correct geconfigureerd #> param() try { $firewalls = Get-AzFirewall -ErrorAction SilentlyContinue $results = @() if ($firewalls.Count -eq 0) { return @{ TotalFirewalls = 0 DeployedFirewalls = 0 CompliantFirewalls = 0 IsDeployed = $false IsCompliant = $false Details = @() } } foreach ($firewall in $firewalls) { $firewallResult = @{ Name = $firewall.Name ResourceGroup = $firewall.ResourceGroupName Location = $firewall.Location Tier = $firewall.Sku.Tier ProvisioningState = $firewall.ProvisioningState ThreatIntelMode = $firewall.ThreatIntelMode HasPublicIP = $false HasLogging = $false HasNetworkRules = $false HasApplicationRules = $false HasNATRules = $false IsDeployed = $false IsCompliant = $false } # Controleer of firewall is geïmplementeerd (provisioning state) if ($firewall.ProvisioningState -eq "Succeeded") { $firewallResult.IsDeployed = $true } # Controleer publiek IP-adres if ($firewall.IpConfigurations) { foreach ($ipConfig in $firewall.IpConfigurations) { if ($ipConfig.PublicIpAddress) { $firewallResult.HasPublicIP = $true break } } } # Controleer threat intelligence if ($firewall.ThreatIntelMode -eq "Alert" -or $firewall.ThreatIntelMode -eq "Deny") { $firewallResult.ThreatIntelEnabled = $true } else { $firewallResult.ThreatIntelEnabled = $false } # Controleer regels if ($firewall.NetworkRuleCollections -and $firewall.NetworkRuleCollections.Count -gt 0) { $firewallResult.HasNetworkRules = $true $firewallResult.NetworkRuleCount = ($firewall.NetworkRuleCollections | ForEach-Object { $_.Rules.Count } | Measure-Object -Sum).Sum } if ($firewall.ApplicationRuleCollections -and $firewall.ApplicationRuleCollections.Count -gt 0) { $firewallResult.HasApplicationRules = $true $firewallResult.ApplicationRuleCount = ($firewall.ApplicationRuleCollections | ForEach-Object { $_.Rules.Count } | Measure-Object -Sum).Sum } if ($firewall.NatRuleCollections -and $firewall.NatRuleCollections.Count -gt 0) { $firewallResult.HasNATRules = $true $firewallResult.NATRuleCount = ($firewall.NatRuleCollections | ForEach-Object { $_.Rules.Count } | Measure-Object -Sum).Sum } # Controleer diagnostische instellingen (logging) $resourceId = $firewall.Id $diagnosticSettings = Get-AzDiagnosticSetting -ResourceId $resourceId -ErrorAction SilentlyContinue if ($diagnosticSettings) { $firewallResult.HasLogging = $true $firewallResult.LogAnalyticsWorkspace = $null foreach ($setting in $diagnosticSettings) { if ($setting.WorkspaceId) { $firewallResult.LogAnalyticsWorkspace = $setting.WorkspaceId break } } } # Bepaal compliance $firewallResult.IsCompliant = ( $firewallResult.IsDeployed -and $firewallResult.HasPublicIP -and $firewallResult.ThreatIntelEnabled -and ($firewallResult.HasNetworkRules -or $firewallResult.HasApplicationRules) -and $firewallResult.HasLogging ) $results += $firewallResult } $deployedCount = ($results | Where-Object { $_.IsDeployed }).Count $compliantCount = ($results | Where-Object { $_.IsCompliant }).Count return @{ TotalFirewalls = $firewalls.Count DeployedFirewalls = $deployedCount CompliantFirewalls = $compliantCount IsDeployed = ($deployedCount -eq $firewalls.Count -and $firewalls.Count -gt 0) IsCompliant = ($compliantCount -eq $firewalls.Count -and $firewalls.Count -gt 0) Details = $results } } catch { Write-Error "Fout bij het controleren van Azure Firewall-implementaties: $_" return @{ TotalFirewalls = 0 DeployedFirewalls = 0 CompliantFirewalls = 0 IsDeployed = $false IsCompliant = $false Details = @() Error = $_.Exception.Message } } } function Invoke-Monitoring { <# .SYNOPSIS Controleert of Azure Firewall is geïmplementeerd en geconfigureerd #> [CmdletBinding()] param() Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName - Monitoring" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan try { Connect-RequiredServices $result = Test-AzureFirewallDeployment Write-Host "Azure Firewall Overzicht:" -ForegroundColor Yellow Write-Host " Totaal aantal firewalls: $($result.TotalFirewalls)" -ForegroundColor White if ($result.TotalFirewalls -eq 0) { Write-Host "`n⚠️ Geen Azure Firewall-implementaties gevonden" -ForegroundColor Yellow Write-Host " Overweeg Azure Firewall te implementeren voor netwerkbeveiliging" -ForegroundColor Yellow Write-Host "`nNON-COMPLIANT" -ForegroundColor Red exit 1 } Write-Host " Geïmplementeerde firewalls: $($result.DeployedFirewalls)" -ForegroundColor $(if ($result.DeployedFirewalls -eq $result.TotalFirewalls) { 'Green' } else { 'Yellow' }) Write-Host " Compliante firewalls: $($result.CompliantFirewalls)" -ForegroundColor $(if ($result.CompliantFirewalls -eq $result.TotalFirewalls) { 'Green' } else { 'Yellow' }) Write-Host "`nGedetailleerde Status per Firewall:" -ForegroundColor Yellow foreach ($detail in $result.Details) { $deployedColor = if ($detail.IsDeployed) { 'Green' } else { 'Red' } $deployedText = if ($detail.IsDeployed) { 'GEÏMPLEMENTEERD' } else { 'NIET GEÏMPLEMENTEERD' } $compliantColor = if ($detail.IsCompliant) { 'Green' } else { 'Red' } $compliantText = if ($detail.IsCompliant) { 'COMPLIANT' } else { 'NON-COMPLIANT' } Write-Host "`n Firewall: $($detail.Name)" -ForegroundColor Cyan Write-Host " Resource Group: $($detail.ResourceGroup)" -ForegroundColor White Write-Host " Locatie: $($detail.Location)" -ForegroundColor White Write-Host " Tier: $($detail.Tier)" -ForegroundColor White Write-Host " Provisioning State: $($detail.ProvisioningState)" -ForegroundColor White Write-Host " Implementatie Status: $deployedText" -ForegroundColor $deployedColor Write-Host " Compliance Status: $compliantText" -ForegroundColor $compliantColor if (-not $detail.IsDeployed) { Write-Host " ⚠️ Firewall is niet volledig geïmplementeerd" -ForegroundColor Red } if (-not $detail.IsCompliant) { Write-Host " Ontbrekende configuraties:" -ForegroundColor Yellow if (-not $detail.HasPublicIP) { Write-Host " - Publiek IP-adres" -ForegroundColor Red } if (-not $detail.ThreatIntelEnabled) { Write-Host " - Threat Intelligence (huidige modus: $($detail.ThreatIntelMode))" -ForegroundColor Red } if (-not $detail.HasNetworkRules -and -not $detail.HasApplicationRules) { Write-Host " - Firewallregels (geen netwerk- of applicatieregels gevonden)" -ForegroundColor Red } if (-not $detail.HasLogging) { Write-Host " - Diagnostische instellingen (logging)" -ForegroundColor Red } } else { Write-Host " Configuratie:" -ForegroundColor Green Write-Host " ✓ Publiek IP-adres aanwezig" -ForegroundColor Green Write-Host " ✓ Threat Intelligence: $($detail.ThreatIntelMode)" -ForegroundColor Green if ($detail.HasNetworkRules) { Write-Host " ✓ Netwerkregels: $($detail.NetworkRuleCount) regels" -ForegroundColor Green } if ($detail.HasApplicationRules) { Write-Host " ✓ Applicatieregels: $($detail.ApplicationRuleCount) regels" -ForegroundColor Green } if ($detail.HasNATRules) { Write-Host " ✓ NAT-regels: $($detail.NATRuleCount) regels" -ForegroundColor Green } Write-Host " ✓ Logging ingeschakeld" -ForegroundColor Green if ($detail.LogAnalyticsWorkspace) { Write-Host " ✓ Log Analytics Workspace: $($detail.LogAnalyticsWorkspace)" -ForegroundColor Green } } } Write-Host "`n========================================" -ForegroundColor Cyan if ($result.IsDeployed -and $result.IsCompliant) { Write-Host "COMPLIANT" -ForegroundColor Green Write-Host "Alle Azure Firewall-implementaties zijn correct geïmplementeerd en geconfigureerd." -ForegroundColor Green exit 0 } elseif ($result.IsDeployed -and -not $result.IsCompliant) { Write-Host "PARTIALLY COMPLIANT" -ForegroundColor Yellow Write-Host "Azure Firewall is geïmplementeerd, maar configuratie vereist verbetering." -ForegroundColor Yellow Write-Host "`nGebruik -Remediation om aanbevelingen te krijgen voor het verbeteren van de configuratie." -ForegroundColor Yellow exit 1 } else { Write-Host "NON-COMPLIANT" -ForegroundColor Red Write-Host "Azure Firewall is niet volledig geïmplementeerd of geconfigureerd." -ForegroundColor Red Write-Host "`nGebruik -Remediation om aanbevelingen te krijgen voor het verbeteren van de configuratie." -ForegroundColor Yellow exit 1 } } catch { Write-Host "`nERROR: $_" -ForegroundColor Red exit 2 } } function Invoke-Remediation { <# .SYNOPSIS Genereert aanbevelingen voor het verbeteren van Azure Firewall-implementaties .DESCRIPTION Dit script genereert een gedetailleerd overzicht van ontbrekende of suboptimale configuraties en biedt aanbevelingen voor verbetering. #> [CmdletBinding()] param() Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName - Remediation" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan try { Connect-RequiredServices $result = Test-AzureFirewallDeployment if ($result.TotalFirewalls -eq 0) { Write-Host "Geen Azure Firewall-implementaties gevonden." -ForegroundColor Yellow Write-Host "`nAanbeveling: Implementeer Azure Firewall voor netwerkbeveiliging." -ForegroundColor Yellow Write-Host "Zie het artikel 'Azure Firewall: Implementatie en Configuratie' voor implementatie-instructies." -ForegroundColor Yellow exit 0 } Write-Host "Remediatie-aanbevelingen per Firewall:" -ForegroundColor Yellow foreach ($detail in $result.Details) { Write-Host "`nFirewall: $($detail.Name) ($($detail.ResourceGroup))" -ForegroundColor Cyan $recommendations = @() if (-not $detail.IsDeployed) { $recommendations += "Firewall is niet volledig geïmplementeerd (Provisioning State: $($detail.ProvisioningState)). Wacht tot de implementatie is voltooid of controleer eventuele fouten." } if (-not $detail.HasPublicIP) { $recommendations += "Voeg een publiek IP-adres toe aan de firewall voor uitgaand verkeer en NAT-regels" } if (-not $detail.ThreatIntelEnabled) { $recommendations += "Schakel Threat Intelligence in met modus 'Deny' voor productieomgevingen (huidige modus: $($detail.ThreatIntelMode))" } if (-not $detail.HasNetworkRules -and -not $detail.HasApplicationRules) { $recommendations += "Configureer netwerk- of applicatieregels om verkeer te filteren volgens het principe van least privilege" } if (-not $detail.HasLogging) { $recommendations += "Configureer diagnostische instellingen om logs naar Log Analytics te sturen voor compliance en security operations" } if ($detail.HasNetworkRules -and $detail.NetworkRuleCount -eq 0) { $recommendations += "Netwerkregelcollecties zijn aanwezig maar bevatten geen regels. Voeg specifieke netwerkregels toe of verwijder lege collecties." } if ($detail.HasApplicationRules -and $detail.ApplicationRuleCount -eq 0) { $recommendations += "Applicatieregelcollecties zijn aanwezig maar bevatten geen regels. Voeg specifieke applicatieregels toe of verwijder lege collecties." } if ($recommendations.Count -eq 0) { Write-Host " ✓ Geen remediatie nodig - firewall is correct geïmplementeerd en geconfigureerd" -ForegroundColor Green } else { Write-Host " Aanbevelingen:" -ForegroundColor Yellow foreach ($rec in $recommendations) { Write-Host " - $rec" -ForegroundColor White } } } Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Voor gedetailleerde implementatie-instructies, zie het bijbehorende artikel." -ForegroundColor Yellow Write-Host "========================================`n" -ForegroundColor Cyan exit 0 } catch { Write-Host "`nERROR: $_" -ForegroundColor Red exit 2 } } function Invoke-Revert { <# .SYNOPSIS Herstelt wijzigingen (niet van toepassing voor verificatie-only script) #> [CmdletBinding()] param() Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName - Revert" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan Write-Host "[INFO] Dit script voert alleen verificatie uit." -ForegroundColor Yellow Write-Host "[INFO] Er zijn geen automatische wijzigingen om terug te draaien." -ForegroundColor Yellow Write-Host "`nGebruik -Monitoring om de huidige status te controleren." -ForegroundColor Yellow Write-Host "========================================`n" -ForegroundColor Cyan exit 0 } # Main execution try { if ($Revert) { Invoke-Revert } elseif ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { Invoke-Remediation } else { Write-Host "`nGebruik: -Monitoring | -Remediation | -Revert" -ForegroundColor Yellow Write-Host "`nVoorbeelden:" -ForegroundColor Cyan Write-Host " .\azure-firewall-deployed.ps1 -Monitoring" -ForegroundColor White Write-Host " .\azure-firewall-deployed.ps1 -Remediation" -ForegroundColor White } } catch { Write-Host "`nFATALE FOUT: $_" -ForegroundColor Red exit 2 } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder systematische verificatie van Azure Firewall-implementaties lopen organisaties het risico dat zij een vals gevoel van beveiliging hebben terwijl de firewall in werkelijkheid onvoldoende is geconfigureerd of zelfs niet actief is. Dit kan leiden tot aanzienlijke beveiligingsrisico's: workloads kunnen onbeschermd zijn tegen netwerkaanvallen, kwaadaardig verkeer kan ongefilterd passeren, en compliance-vereisten worden mogelijk niet nageleefd ondanks de aanwezigheid van een firewall. Configuratiefouten of verouderde instellingen kunnen de effectiviteit van de firewall drastisch verminderen. Voor Nederlandse overheidsorganisaties die moeten voldoen aan BIO, NIS2 en ISO 27001 is dit onacceptabel: deze frameworks vereisen niet alleen dat beveiligingsmaatregelen aanwezig zijn, maar ook dat zij correct zijn geconfigureerd, actief worden gemonitord en regelmatig worden gecontroleerd. Zonder verificatie kunnen organisaties tijdens audits niet aantonen dat hun netwerkbeveiliging daadwerkelijk effectief is.

Management Samenvatting

Systematische verificatie van Azure Firewall-implementaties is essentieel om te waarborgen dat firewalls correct zijn geconfigureerd en daadwerkelijk bescherming bieden. Door regelmatig inventarisatie, configuratievalidatie, compliance-beoordeling en rapportage uit te voeren, kunnen organisaties beveiligingsgaten detecteren, compliance waarborgen en vertrouwen opbouwen in hun netwerkbeveiliging. Het bijbehorende PowerShell-script automatiseert deze verificatie en genereert compliance-rapportages voor auditdoeleinden. De benodigde inspanning is beperkt (circa 12 uur initiële implementatie), terwijl de risicoreductie en auditbaarheid aanzienlijk zijn.