Networking
Network Access Deny-By-Default
Een netwerkbeveiligingsgroep (NSG) vormt in Azure de eerste verdedigingslinie tussen een werkbelasting en alles wat buiten het subnet gebeurt. De Nederlandse Baseline voor Veilige Cloud schrijft daarom voor dat elke NSG standaard uitgaat van blokkeren en alleen verkeer toestaat dat aantoonbaar noodzakelijk is voor de bedrijfsvoering. Een deny-by-default ontwerp dwingt beheerders om per protocol, poort en bron bewust een beslissing te nemen in plaats van generieke allow-all regels over te nemen uit testomgevingen of tijdelijke change requests. Het resultaat is een consistent Zero Trust patroon: elk nieuw inbound- of outboundpad moet expliciet worden aangevraagd, gedocumenteerd en gemonitord voordat er productiegegevens overheen mogen stromen. Deze aanpak sluit aan op BIO-paragraaf 13.01 over netwerksegmentatie en op de verwachtingen van toezichthouders die eisen dat overheidsnetwerken aantoonbaar minimaal geprivilegieerd zijn ingericht.
Privé-eindpunten Geconfigureerd
Privé-eindpunten brengen Platform-as-a-Service (PaaS) diensten zoals opslag, SQL-databases en Key Vault rechtstreeks naar een virtueel netwerk met privé IP-adressen, waardoor blootstelling aan het publieke internet volledig wordt geëlimineerd.
Privé Eindpunten Actief Gebruik Gemonitord
Het bewaken van daadwerkelijk gebruik van privé eindpunten is essentieel om te verifiëren dat netwerkverkeer daadwerkelijk via privé eindpunten wordt gerouteerd in plaats van via publieke eindpunten. Zonder continue monitoring kunnen organisaties onbewust verkeer blijven afhandelen via minder veilige publieke paden, zelfs nadat privé eindpunten zijn geïmplementeerd.
Publieke Netwerktoegang Uitschakelen Voor PaaS-diensten
Het uitschakelen van publieke netwerktoegang op Platform-as-a-Service (PaaS) diensten zoals opslag, SQL-databases en Key Vault is een kritieke beveiligingsmaatregel die moet worden geïmplementeerd na de implementatie van privé-eindpunten. Deze configuratie zorgt ervoor dat alleen toegang via het virtuele netwerk mogelijk is, wat een essentiële verdedigingslaag vormt tegen externe bedreigingen.
Azure DDoS Bescherming Standard Ingeschakeld Op VNets
Azure DDoS Protection Standard biedt geavanceerde bescherming tegen gedistribueerde denial-of-service aanvallen met continue monitoring, automatische mitigatie en kostenbescherming voor schaalbare resources tijdens aanvallen.
VNet Service Endpoints Geconfigureerd
VNet service endpoints bieden geoptimaliseerde routering voor PaaS-services via het Azure-backbone-netwerk, maar zijn verouderd ten gunste van privé-eindpunten voor betere beveiliging.
Zero Trust Connectiviteit
Zero Trust connectiviteit implementeert het fundamentele principe dat geen enkel netwerkverkeer automatisch wordt vertrouwd, ongeacht de bron of bestemming. In plaats daarvan wordt elke verbinding expliciet geverifieerd, geautoriseerd en gemonitord voordat toegang wordt verleend.