💼 Management Samenvatting
Privé eindpunten voor Azure opslagaccounts zorgen voor geïsoleerde netwerkconnectiviteit en elimineren blootstelling aan het publieke internet.
Aanbeveling
IMPLEMENTEER VOOR PRODUCTIE OPSLAG
Risico zonder
Medium
Risk Score
6/10
Implementatie
3u (tech: 2u)
Van toepassing op:
✓ Azure opslag
Zonder deze beveiligingsmaatregel kunnen er significante beveiligingsrisico's ontstaan die leiden tot gegevenscompromittering, nalevingsschendingen en reputatieschade voor de organisatie. Publieke opslagendpoints zijn toegankelijk vanaf het internet, wat het risico op ongeautoriseerde toegang, datalekken en aanvallen aanzienlijk verhoogt.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.opslag
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.opslag
Implementatie
Deze maatregel implementeert beveiligingsbest practices via Azure Policy, ARM templates of Microsoft Intune om cloudresources en eindpunten te beschermen volgens actuele nalevingskaders zoals CIS, BIO en ISO 27001.
Vereisten
De implementatie van privé eindpunten voor Azure opslagaccounts vereist een grondige voorbereiding en planning om te zorgen voor een succesvolle en veilige implementatie van deze kritieke beveiligingsmaatregel. Deze vereisten omvatten zowel technische infrastructuur als organisatorische processen die essentieel zijn voor het waarborgen van een robuuste beveiligingspostuur binnen de cloudomgeving. Vanuit technisch perspectief vormt een correct geconfigureerd Azure Virtual Network (VNet) de absolute basis voor de implementatie van privé eindpunten. Dit virtuele netwerk moet zorgvuldig worden ontworpen met passende adresruimten die aansluiten bij de organisatorische netwerkarchitectuur. De subnetconfiguraties moeten rekening houden met de verwachte schaal van de implementatie, aangezien elk privé eindpunt een uniek IP-adres uit het toegewezen subnet consumeert. Microsoft raadt aan om minimaal een /27 subnet te reserveren voor privé eindpunten, wat overeenkomt met 32 beschikbare IP-adressen. Voor kleinere omgevingen kunnen ook kleinere subnetten worden gebruikt, maar organisaties moeten rekening houden met toekomstige groei en uitbreidingsmogelijkheden. Het is belangrijk om te beseffen dat IP-adressen binnen het subnet beperkt zijn en dat een tekort aan beschikbare adressen kan leiden tot implementatieproblemen. Naast het VNet is een bestaand Azure opslagaccount een fundamentele vereiste. Deze opslagaccounts kunnen verschillende services hosten, waaronder Blob Storage voor objectopslag, File Storage voor bestandsshares, Queue Storage voor berichtenwachtrijen en Table Storage voor NoSQL-gegevens. Elk van deze services kan onafhankelijk worden beveiligd met een eigen privé eindpunt, wat betekent dat organisaties strategisch moeten bepalen welke services daadwerkelijk privé eindpunten nodig hebben. Voor productieomgevingen die werken met gevoelige gegevens wordt sterk aanbevolen om alle services te beveiligen met privé eindpunten, ongeacht of ze momenteel gevoelige informatie bevatten. Deze defensieve aanpak voorkomt toekomstige beveiligingsproblemen wanneer services later worden gebruikt voor kritieke gegevens. Vanuit netwerkperspectief is de implementatie van een robuuste DNS-resolutie strategie cruciaal voor het succesvol functioneren van privé eindpunten. Privé eindpunten gebruiken privé IP-adressen binnen het VNet, en deze moeten correct worden opgelost via DNS om ervoor te zorgen dat applicaties en services de juiste eindpunten bereiken. Azure biedt de mogelijkheid om automatisch Private DNS zones te maken en te koppelen aan het VNet wanneer privé eindpunten worden gecreëerd. Deze geautomatiseerde aanpak is de eenvoudigste en meest betrouwbare methode, omdat Microsoft zorgt voor de correcte configuratie en het onderhoud van de DNS-records. Alternatief kunnen organisaties hun eigen DNS-infrastructuur gebruiken, bijvoorbeeld wanneer ze gebruik maken van hybride netwerkarchitecturen met on-premises DNS-servers. Deze aanpak vereist echter aanvullende configuratie, zorgvuldig onderhoud en regelmatige verificatie om te zorgen dat DNS-records correct blijven functioneren. Organisatorisch gezien moeten er duidelijke beleidsregels en procedures worden vastgesteld voor het beheer van privé eindpunten gedurende hun volledige levenscyclus. Dit omvat gestandaardiseerde procedures voor het aanmaken van nieuwe eindpunten wanneer nieuwe opslagaccounts worden gecreëerd, het monitoren van bestaande eindpunten op beschikbaarheid en prestaties, en het reageren op wijzigingen in de netwerkarchitectuur die mogelijk impact hebben op de privé eindpunten. Daarnaast moeten de juiste Azure RBAC-rollen worden toegewezen aan teamleden die verantwoordelijk zijn voor het beheer van opslagaccounts en netwerkconfiguraties. Deze roltoewijzingen moeten gebaseerd zijn op het principe van minimale privileges, waarbij individuen alleen de rechten krijgen die ze nodig hebben voor hun specifieke taken. Regelmatige audits van roltoewijzingen helpen om te zorgen dat toegangsrechten up-to-date blijven en dat voormalige medewerkers geen toegang meer hebben. Financieel gezien moeten organisaties een realistische kostenanalyse uitvoeren voordat de implementatie wordt gestart. Elk privé eindpunt heeft maandelijkse kosten die kunnen variëren afhankelijk van de Azure-regio en het type service. Voor grote omgevingen met meerdere opslagaccounts en verschillende services kunnen deze kosten aanzienlijk oplopen. Het is belangrijk om een volledige kostenraming te maken die rekening houdt met alle services die privé eindpunten nodig hebben, zowel voor de huidige situatie als voor geplande uitbreidingen. Daarnaast moeten organisaties rekening houden met de kosten van de benodigde netwerkinfrastructuur, zoals VNet-peering of ExpressRoute-verbindingen die mogelijk nodig zijn voor connectiviteit. Een grondige kostenanalyse helpt om realistische budgetten vast te stellen en om te voorkomen dat implementaties halverwege worden gestopt vanwege onverwachte kosten. Ten slotte moet er uitgebreide aandacht zijn voor connectiviteit vanuit verschillende omgevingen. Privé eindpunten zijn alleen direct toegankelijk vanuit resources binnen hetzelfde VNet. Voor connectiviteit vanuit on-premises omgevingen, andere Azure-regio's of externe locaties moeten aanvullende netwerkconfiguraties worden geïmplementeerd. Dit kan worden bereikt via VNet-peering voor connectiviteit tussen verschillende VNets binnen Azure, ExpressRoute voor dedicated connectiviteit tussen on-premises en Azure, of VPN-verbindingen voor site-to-site of point-to-site connectiviteit. Organisaties moeten hun connectiviteitsvereisten grondig evalueren en de juiste netwerkarchitectuur implementeren om ervoor te zorgen dat alle benodigde systemen, applicaties en gebruikers toegang hebben tot de beveiligde opslagaccounts zonder dat de beveiliging wordt gecompromitteerd. Deze evaluatie moet ook rekening houden met toekomstige uitbreidingen en wijzigingen in de organisatorische structuur.
Monitoring
Gebruik PowerShell-script private-endpoints-storage-accounts.ps1 (functie Invoke-Monitoring) – Controleren.
Effectieve monitoring van privé eindpunten voor opslagaccounts vormt een kritieke component van een robuuste beveiligingsstrategie en is essentieel voor het waarborgen van continue beveiliging, beschikbaarheid en naleving van compliance-vereisten. Een uitgebreid monitoringprogramma moet meerdere aspecten omvatten die samen een compleet beeld geven van de gezondheid en beveiliging van de privé eindpunten infrastructuur. De primaire monitoringtaak bestaat uit het systematisch controleren of alle opslagaccounts die privé eindpunten zouden moeten hebben, deze daadwerkelijk correct geconfigureerd hebben. Deze controle omvat het verifiëren dat voor elke relevante service, waaronder Blob Storage, File Storage, Queue Storage en Table Storage, een privé eindpunt bestaat en correct is gekoppeld aan het juiste subnet en VNet. Het monitoring script voert een uitgebreide scan uit van alle opslagaccounts binnen het Azure-abonnement en identificeert systematisch accounts die nog gebruik maken van publieke eindpunten of die onvolledig zijn geconfigureerd. Deze identificatie is cruciaal omdat zelfs één onbeveiligd opslagaccount een potentieel beveiligingsrisico kan vormen dat de gehele beveiligingspostuur kan compromitteren. De monitoring moet ook controleren of bestaande privé eindpunten nog steeds actief zijn en correct functioneren, aangezien configuratiewijzigingen of netwerkproblemen kunnen leiden tot onbedoelde degradatie van de beveiliging. Daarnaast moet de netwerkconnectiviteit continu worden gemonitord om te zorgen dat privé eindpunten beschikbaar zijn en correct functioneren. Dit omvat het verifiëren dat privé IP-adressen correct zijn toegewezen aan de eindpunten, dat deze adressen stabiel blijven en niet onverwacht worden gewijzigd, en dat de netwerkverbindingen tussen resources en de privé eindpunten stabiel en performant zijn. Monitoring moet proactief waarschuwingen genereren wanneer eindpunten niet beschikbaar zijn, wanneer er connectiviteitsproblemen optreden, of wanneer er ongebruikelijke patronen worden gedetecteerd die kunnen wijzen op potentiële beveiligingsincidenten of configuratiefouten. Deze waarschuwingen moeten tijdig worden gegenereerd om snelle respons mogelijk te maken voordat er significante impact ontstaat op de beschikbaarheid of beveiliging van de opslagaccounts. DNS-resolutie vormt een kritiek aspect van privé eindpunten dat uitgebreide monitoring vereist. Het monitoringproces moet continu verifiëren dat de privé DNS zones correct zijn geconfigureerd en dat de DNS-records voor de opslagaccounts consistent naar de privé IP-adressen verwijzen in plaats van naar publieke eindpunten. Dit is essentieel omdat applicaties en services afhankelijk zijn van correcte DNS-resolutie om de juiste eindpunten te bereiken. Onjuiste DNS-configuratie kan ertoe leiden dat applicaties per ongeluk verbinding maken met publieke eindpunten, wat de beveiliging volledig zou ondermijnen ondanks de aanwezigheid van privé eindpunten. Monitoring moet ook controleren op DNS-veroudering, waarbij oude records mogelijk nog verwijzen naar publieke eindpunten of onjuiste IP-adressen, en moet waarschuwingen genereren wanneer dergelijke inconsistenties worden gedetecteerd. Beveiligingsmonitoring moet ook proactief controleren of er geen onbedoelde publieke toegang is ingeschakeld op opslagaccounts. Hoewel privé eindpunten de primaire beveiligingslaag vormen, kunnen organisaties per ongeluk publieke netwerktoegang inschakelen tijdens configuratiewijzigingen of troubleshooting-activiteiten. Monitoring moet regelmatig verifiëren dat publieke netwerktoegang is uitgeschakeld op alle opslagaccounts waar dit mogelijk is, en moet onmiddellijk waarschuwingen genereren wanneer publieke toegang wordt gedetecteerd op accounts die alleen privé toegang zouden moeten hebben. Dit voorkomt dat er per ongeluk meerdere toegangspaden worden gecreëerd die de beveiliging kunnen compromitteren en die de effectiviteit van de privé eindpunten tenietdoen. Het monitoringproces moet regelmatig en consistent worden uitgevoerd, idealiter dagelijks of wekelijks, afhankelijk van de veranderingsfrequentie in de omgeving en de kritiekheid van de gegevens die worden opgeslagen. Voor omgevingen met zeer gevoelige gegevens of hoge compliance-vereisten kan zelfs real-time monitoring nodig zijn. Automatisering via Azure Policy of continue monitoring tools is sterk aanbevolen om ervoor te zorgen dat nieuwe opslagaccounts automatisch worden gecontroleerd zodra ze worden gecreëerd, en dat wijzigingen in bestaande configuraties direct worden gedetecteerd voordat ze kunnen leiden tot beveiligingsproblemen. Deze geautomatiseerde aanpak helpt om menselijke fouten te voorkomen en zorgt voor consistente monitoring ongeacht de beschikbaarheid van personeel. Wanneer problemen worden gedetecteerd, moeten er duidelijke en geteste procedures zijn voor escalatie en herstel. Het monitoring systeem moet automatisch waarschuwingen genereren naar de juiste teams, zoals het security team voor beveiligingsgerelateerde problemen, het netwerkteam voor connectiviteitsproblemen, of het operations team voor algemene beschikbaarheidsproblemen. Deze waarschuwingen moeten voldoende context bevatten om snelle diagnose en herstel mogelijk te maken, inclusief informatie over welke accounts zijn betrokken, wat het probleem is, en wat de mogelijke impact is. Daarnaast moeten er uitgebreide dashboards beschikbaar zijn die een real-time overzicht geven van de compliance status, trends over tijd, en historische patronen die kunnen helpen bij het identificeren van systematische problemen of verbeterpunten. Ten slotte moet monitoring ook uitgebreide historische data verzamelen en bewaren voor audit doeleinden en beveiligingsonderzoeken. Dit omvat gedetailleerde informatie over wanneer eindpunten zijn aangemaakt, gewijzigd of verwijderd, wie deze wijzigingen heeft doorgevoerd, welke configuratiewijzigingen zijn gemaakt, en wat de status was op verschillende momenten in de tijd. Deze informatie is essentieel voor compliance audits waarbij organisaties moeten aantonen dat ze consistent beveiligingsmaatregelen hebben geïmplementeerd en onderhouden. Daarnaast kan historische data helpen bij het identificeren van patronen die kunnen wijzen op beveiligingsincidenten of configuratiefouten die mogelijk zijn gemist tijdens real-time monitoring. De retentieperiode voor deze data moet aansluiten bij de compliance-vereisten van de organisatie, waarbij veel frameworks minimaal 7 jaar retentie vereisen voor audit trails.
Compliance en Audit
De implementatie van privé eindpunten voor Azure opslagaccounts vormt een kritieke vereiste voor naleving van verschillende beveiligings- en compliance frameworks die essentieel zijn voor Nederlandse overheidsorganisaties en organisaties die werken met gevoelige gegevens. Deze frameworks stellen specifieke en gedetailleerde eisen aan netwerkbeveiliging en gegevensbescherming die direct en effectief worden aangepakt door de zorgvuldige implementatie en onderhoud van privé eindpunten. Het CIS Microsoft Azure Foundations Benchmark controle 3.9 vereist expliciet en specifiek dat opslagaccounts gebruik maken van privé eindpunten of service endpoints om publieke toegang te beperken en te elimineren waar mogelijk. Deze controle is geclassificeerd als Level 2, wat betekent dat het wordt aanbevolen voor omgevingen met verhoogde beveiligingsvereisten en dat het wordt beschouwd als een best practice voor productieomgevingen. Voor Nederlandse overheidsorganisaties die werken met gevoelige gegevens, persoonlijke informatie of andere kritieke data is naleving van deze controle niet alleen aanbevolen maar essentieel voor het waarborgen van een adequate beveiligingspostuur. De controle verifieert systematisch dat opslagaccounts niet rechtstreeks toegankelijk zijn vanaf het publieke internet, wat een fundamenteel beveiligingsprincipe is binnen het Zero Trust model dat steeds meer wordt geadopteerd door Nederlandse organisaties. Zero Trust vereist dat alle netwerkverkeer wordt geverifieerd en geautoriseerd, ongeacht de locatie, en privé eindpunten implementeren dit principe door publieke toegang volledig te elimineren. Het BIO (Baseline Informatiebeveiliging Overheid) framework, dat specifiek is ontwikkeld voor Nederlandse overheidsorganisaties, bevat in controle 13.01 uitgebreide en specifieke eisen voor private connectivity en netwerkisolatie. Deze controle stelt duidelijk dat netwerkverbindingen moeten worden beveiligd met passende technische maatregelen en dat publieke toegang tot kritieke systemen en gegevensopslag moet worden beperkt tot het absolute minimum of volledig moet worden geëlimineerd. Privé eindpunten voor opslagaccounts voldoen direct en volledig aan deze eis door ervoor te zorgen dat opslagaccounts alleen toegankelijk zijn via privé netwerkverbindingen binnen het VNet, waardoor publieke toegang volledig wordt uitgesloten. Dit voorkomt effectief dat gegevens blootgesteld worden aan het publieke internet en vermindert het aanvalsoppervlak aanzienlijk door het elimineren van een complete aanvalsvector. Voor Nederlandse overheidsorganisaties die moeten voldoen aan BIO-vereisten is de implementatie van privé eindpunten daarom niet optioneel maar een verplichte beveiligingsmaatregel. ISO 27001:2022 controle A.8.20 behandelt uitgebreid netwerkbeveiliging en vereist dat organisaties netwerkdiensten beveiligen tegen een breed scala aan bedreigingen, waaronder ongeautoriseerde toegang, datalekken en netwerkaanvallen. Deze controle omvat specifieke eisen voor het isoleren van kritieke systemen, het implementeren van effectieve netwerksegmentatie, en het beperken van netwerktoegang tot wat strikt noodzakelijk is voor de bedrijfsvoering. Privé eindpunten implementeren deze principes op een directe en effectieve manier door opslagaccounts te isoleren binnen het privé netwerk en publieke toegang volledig te elimineren, waardoor alleen geautoriseerde resources binnen het VNet toegang hebben. De controle vereist ook expliciet dat organisaties regelmatig de netwerkbeveiliging evalueren en monitoren om te zorgen dat beveiligingsmaatregelen effectief blijven en dat nieuwe bedreigingen worden geïdentificeerd en aangepakt. Deze monitoringvereisten sluiten naadloos aan bij de uitgebreide monitoringvereisten voor privé eindpunten, waarbij organisaties moeten verifiëren dat eindpunten correct functioneren en dat er geen onbedoelde publieke toegang is ontstaan. Naast deze specifieke controles zijn privé eindpunten ook direct relevant en belangrijk voor de NIS2 richtlijn, die uitgebreide eisen stelt aan de beveiliging van netwerk- en informatiesystemen voor essentiële en belangrijke entiteiten. De richtlijn vereist dat organisaties passende technische en organisatorische maatregelen nemen om systemen te beveiligen tegen cyberbedreigingen, en privé eindpunten vormen een belangrijke en effectieve technische maatregel voor netwerkisolatie die direct bijdraagt aan het voldoen aan deze vereisten. De richtlijn benadrukt ook het belang van defense in depth, waarbij meerdere beveiligingslagen worden geïmplementeerd, en privé eindpunten vormen een essentiële laag in deze gelaagde beveiligingsaanpak. Voor audit doeleinden moeten organisaties uitgebreid kunnen aantonen dat alle relevante opslagaccounts correct zijn geconfigureerd met privé eindpunten en dat deze configuratie consistent wordt onderhouden. Dit vereist gedetailleerde documentatie van de configuratie, inclusief welke eindpunten zijn geïmplementeerd, wanneer ze zijn aangemaakt, en welke services ze beveiligen. Daarnaast moeten organisaties regelmatige verificatie uitvoeren van de implementatie om te zorgen dat alle accounts correct zijn geconfigureerd en dat er geen regressies zijn opgetreden. Uitgebreide logging van alle wijzigingen aan de netwerkconfiguratie is essentieel, inclusief wie wijzigingen heeft doorgevoerd, wanneer deze zijn gemaakt, en wat de reden was voor de wijziging. Audit trails moeten minimaal 7 jaar worden bewaard, zoals vereist door verschillende compliance frameworks, en moeten toegankelijk zijn voor auditors tijdens compliance reviews. Het is belangrijk om te benadrukken dat compliance niet alleen gaat om het implementeren van technische controles, maar ook om het kunnen aantonen en verifiëren van deze implementatie tijdens audits en compliance reviews. Organisaties moeten daarom regelmatig en systematisch compliance checks uitvoeren die verifiëren dat alle vereisten worden nageleefd, en moeten uitgebreide rapportages genereren die duidelijk aantonen dat alle relevante opslagaccounts correct zijn geconfigureerd. Automatisering van deze checks via scripts en Azure Policy helpt om consistentie te waarborgen, menselijke fouten te voorkomen, en om te zorgen dat nieuwe accounts automatisch worden gecontroleerd zodra ze worden gecreëerd. Deze geautomatiseerde aanpak is essentieel voor het handhaven van continue compliance in dynamische cloudomgevingen waar resources regelmatig worden toegevoegd, gewijzigd of verwijderd.
Remediatie
Gebruik PowerShell-script private-endpoints-storage-accounts.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer monitoring systematisch aangeeft dat opslagaccounts nog geen privé eindpunten hebben geconfigureerd of dat bestaande configuraties onvolledig of incorrect zijn, moet er een gestructureerd en zorgvuldig remediatieproces worden gevolgd om deze kritieke beveiligingsmaatregel te implementeren of te herstellen. Dit proces moet methodisch en voorzichtig worden uitgevoerd om te voorkomen dat bestaande applicaties en services worden verstoord, terwijl tegelijkertijd de beveiligingspostuur wordt verbeterd. Het remediatieproces begint met een uitgebreide en grondige impactanalyse die alle aspecten van de huidige implementatie en gebruik in kaart brengt. Voordat privé eindpunten worden geïmplementeerd, moet worden vastgesteld welke applicaties, services en systemen momenteel gebruik maken van de opslagaccounts die moeten worden beveiligd. Dit omvat het identificeren van alle actieve verbindingen, het in kaart brengen van de volledige netwerkarchitectuur, en het bepalen van alle afhankelijkheden tussen verschillende systemen en services. Applicaties die momenteel verbinding maken via publieke eindpunten moeten worden geïdentificeerd en uitgebreid geëvalueerd op hun vermogen om over te schakelen naar privé eindpunten zonder functionaliteitsverlies. Deze evaluatie moet ook rekening houden met de locatie van de applicaties, aangezien applicaties buiten het VNet mogelijk aanvullende netwerkconfiguraties nodig hebben, zoals VPN-verbindingen of ExpressRoute, om toegang te behouden via privé eindpunten. De volgende cruciale stap is het zorgvuldig voorbereiden van de netwerkinfrastructuur om te zorgen dat deze klaar is voor de implementatie van privé eindpunten. Dit omvat het uitgebreid verifiëren dat het VNet correct is geconfigureerd met passende adresruimten en subnetconfiguraties, dat er voldoende IP-adressen beschikbaar zijn in het subnet dat wordt gebruikt voor privé eindpunten, en dat de DNS-configuratie volledig klaar is voor privé eindpunten. Als er nog geen Private DNS zone bestaat voor de opslag services, moet deze worden aangemaakt en correct gekoppeld aan het VNet voordat privé eindpunten worden geïmplementeerd. Dit zorgt ervoor dat DNS-resolutie onmiddellijk correct werkt na de implementatie van de privé eindpunten, waardoor applicaties naadloos kunnen overstappen zonder dat er handmatige DNS-configuraties nodig zijn. De voorbereiding moet ook rekening houden met eventuele netwerkbeveiligingsgroepen of firewallregels die mogelijk moeten worden aangepast om verkeer naar en van privé eindpunten toe te staan. Voor elk opslagaccount dat moet worden beveiligd, moet strategisch worden bepaald welke services privé eindpunten nodig hebben en in welke volgorde deze moeten worden geïmplementeerd. Niet alle services hoeven per se onmiddellijk privé eindpunten te hebben, maar voor productieomgevingen die werken met gevoelige gegevens wordt sterk aanbevolen om alle services te beveiligen om een consistente beveiligingspostuur te waarborgen. Het remediatie script kan automatisch privé eindpunten aanmaken voor alle services in één keer, wat de snelste aanpak is maar mogelijk meer impact heeft op de omgeving. Alternatief kunnen organisaties kiezen voor een gefaseerde aanpak waarbij eerst de meest kritieke services worden beveiligd, gevolgd door minder kritieke services in latere fases. Deze gefaseerde aanpak kan helpen om risico's te spreiden en om geleidelijk te leren van eventuele problemen die optreden tijdens de implementatie. Tijdens de daadwerkelijke implementatie moet er uitgebreide aandacht zijn voor de timing en planning om de impact op productiesystemen te minimaliseren. Het is sterk aanbevolen om wijzigingen door te voeren tijdens geplande onderhoudsvensters of periodes met lage activiteit wanneer minder gebruikers en systemen afhankelijk zijn van de opslagaccounts. Dit helpt om de kans op verstoringen te minimaliseren en om voldoende tijd te hebben voor verificatie en eventuele probleemoplossing. Daarnaast moeten er uitgebreide rollback procedures klaar staan voor het geval er onverwachte problemen optreden die de beschikbaarheid of functionaliteit van kritieke systemen kunnen beïnvloeden. Deze rollback procedures moeten vooraf worden getest en gedocumenteerd om te zorgen dat ze snel kunnen worden uitgevoerd indien nodig. Na de succesvolle implementatie van privé eindpunten moet de publieke netwerktoegang worden uitgeschakeld waar mogelijk om te zorgen dat de beveiliging daadwerkelijk wordt verbeterd en dat er geen onbedoelde toegangspaden blijven bestaan. Deze stap is cruciaal omdat het hebben van zowel privé als publieke eindpunten de beveiliging niet significant verbetert en mogelijk zelfs een vals gevoel van beveiliging kan creëren. Echter, deze stap moet zeer zorgvuldig worden uitgevoerd omdat sommige services mogelijk nog steeds publieke toegang nodig hebben voor specifieke use cases, zoals externe partners of publiek toegankelijke applicaties. Het is essentieel om uitgebreid te verifiëren dat alle benodigde verbindingen correct werken via de privé eindpunten voordat publieke toegang wordt uitgeschakeld, en om een testperiode in te plannen waarin beide toegangspaden beschikbaar zijn om eventuele problemen te identificeren. Uitgebreide verificatie na implementatie is cruciaal om te zorgen dat de privé eindpunten correct functioneren en dat alle systemen nog steeds toegang hebben tot de opslagaccounts. Het remediatieproces moet systematisch controleren dat de privé eindpunten correct zijn geconfigureerd met de juiste subnet- en VNet-koppelingen, dat DNS-resolutie correct werkt en dat alle DNS-records naar de privé IP-adressen verwijzen, en dat applicaties en services nog steeds volledige toegang hebben tot alle benodigde opslagaccounts. Dit omvat het uitgebreid testen van verbindingen vanuit verschillende locaties binnen het netwerk, het verifiëren dat alle benodigde services toegankelijk zijn, en het controleren dat de prestaties acceptabel blijven. Eventuele problemen die tijdens deze verificatie worden gedetecteerd moeten onmiddellijk worden aangepakt voordat de implementatie als voltooid wordt beschouwd. Gedetailleerde documentatie is een essentieel onderdeel van het remediatieproces en moet worden bijgehouden gedurende het gehele proces. Alle wijzigingen moeten worden gedocumenteerd, inclusief welke eindpunten zijn aangemaakt, wanneer dit is gebeurd, wie de wijzigingen heeft doorgevoerd, welke services zijn beveiligd, en wat de configuratie details zijn. Deze documentatie is essentieel voor compliance audits waarbij organisaties moeten aantonen dat beveiligingsmaatregelen correct zijn geïmplementeerd, voor toekomstig onderhoud wanneer wijzigingen nodig zijn, en voor troubleshooting wanneer problemen optreden. De documentatie moet ook informatie bevatten over eventuele bekende beperkingen of speciale configuraties die nodig waren voor specifieke use cases. Ten slotte moet het remediatieproces worden gevolgd door een uitgebreide periode van verhoogde monitoring om te verifiëren dat alles correct functioneert en dat er geen onbedoelde gevolgen zijn die mogelijk pas na verloop van tijd zichtbaar worden. Deze monitoringperiode moet minimaal enkele weken duren en moet alle aspecten van de privé eindpunten omvatten, inclusief beschikbaarheid, prestaties, en beveiliging. Eventuele problemen die tijdens deze periode worden gedetecteerd moeten snel worden opgelost, en indien nodig moeten er aanpassingen worden gemaakt aan de configuratie om te zorgen dat de privé eindpunten optimaal functioneren en dat alle systemen stabiel blijven werken.
Compliance & Frameworks
- CIS M365: Control 3.9 (L2) - Privé eindpunten voor opslagaccounts
- BIO: 13.01 - Privé connectiviteit
- ISO 27001:2022: A.8.20 - Netwerkbeveiliging
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Private Endpoints Storage Accounts
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 3.16
Controleert private endpoints voor storage accounts.
.NOTES
Filename: private-endpoints-storage-accounts.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 3.16
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Storage, Az.Network
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Private Endpoints Storage Accounts"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$storageAccounts = Get-AzStorageAccount -ErrorAction SilentlyContinue
$result = @{ TotalAccounts = $storageAccounts.Count; WithPrivateEndpoints = 0 }
foreach ($account in $storageAccounts) {
$privateEndpoints = Get-AzPrivateEndpointConnection -PrivateLinkResourceId $account.Id -ErrorAction SilentlyContinue
if ($privateEndpoints) { $result.WithPrivateEndpoints++ }
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Storage Accounts: $($r.TotalAccounts)" -ForegroundColor White
Write-Host "With Private Endpoints: $($r.WithPrivateEndpoints)" -ForegroundColor $(if ($r.WithPrivateEndpoints -gt 0) { 'Green' } else { 'Yellow' })
}
else {
$r = Test-Compliance
Write-Host "`nPrivate Endpoints: $($r.WithPrivateEndpoints)/$($r.TotalAccounts) accounts"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Storage Accounts: $($r.TotalAccounts)" -ForegroundColor White
Write-Host "With Private Endpoints: $($r.WithPrivateEndpoints)" -ForegroundColor $(if ($r.WithPrivateEndpoints -gt 0) { 'Green' } else { 'Yellow' })
}
else {
$r = Test-Compliance
Write-Host "`nPrivate Endpoints: $($r.WithPrivateEndpoints)/$($r.TotalAccounts) accounts"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Publieke opslagendpoints betekenen blootstelling aan het internet. Dit creëert risico's op brute force aanvallen, diefstal van inloggegevens, en ongeautoriseerde toegang tot gevoelige gegevens. Naleving van CIS 3.9, NIS2 en Zero Trust principes wordt niet gehaald. Het risico is hoog voor productieopslag met gevoelige gegevens.
Management Samenvatting
Privé eindpunten voor opslag: alleen VNet-toegang tot opslagaccounts voor blob, bestand, wachtrij en tabel services. Elimineert blootstelling aan het publieke internet. Kosten: €6 per maand per eindpunt. Activatie: Opslag → Netwerken → Privé eindpunten. Verplicht voor CIS 3.9, NIS2, Zero Trust. Implementatie: 2-3 uur. Essentieel voor productieopslag isolatie.
- Implementatietijd: 3 uur
- FTE required: 0.03 FTE