Technische richtlijnen netwerkbeveiliging & firewalls
Inleiding
Binnen Infraplannen wordt netwerkbeveiliging strikt gehandhaafd om ongeautoriseerde toegang, datalekken en cyberaanvallen te voorkomen. Door een combinatie van Private Endpoints, Network Security Groups (NSG’s), Azure Firewall en Web Application Firewall (WAF) wordt netwerkverkeer gecontroleerd en beveiligd op zowel de infrastructuur- als applicatielaag.
Alle netwerkcommunicatie verloopt via versleutelde TLS 1.2/1.3-verbindingen, waarbij DDoS Protection en Threat Intelligence in Defender for Cloud helpen bij het detecteren en mitigeren van aanvallen. VNET-integratie zorgt ervoor dat interne services niet direct via het internet toegankelijk zijn, terwijl Just-In-Time (JIT) netwerktoegang de risico’s voor beheerders vermindert.
Deze aanpak voldoet aan de richtlijnen van ISO 27001, NCSC en Microsoft Security Best Practices, en garandeert een veilige, schaalbare en gecontroleerde netwerkarchitectuur binnen Infraplannen.
- 1 Inleiding
- 2 FAQ
- 2.1 1. Hoe wordt netwerkverkeer binnen Infraplannen beveiligd?
- 2.2 2. Wordt er gebruik gemaakt van Public IP’s?
- 2.3 3. Hoe wordt externe toegang tot de infrastructuur gecontroleerd?
- 2.4 4. Welke firewalltechnologieën worden gebruikt?
- 2.5 5. Hoe wordt netwerktoegang tot databases en opslag beheerd?
- 2.6 6. Hoe wordt DDoS-aanvallen voorkomen?
- 2.7 7. Wordt al het verkeer versleuteld?
- 2.8 8. Hoe wordt ongewenst verkeer gefilterd?
- 2.9 9. Hoe wordt netwerkactiviteit gemonitord?
- 2.10 10. Hoe voldoet Infraplannen aan netwerkbeveiligingsstandaarden?
- 3 Toelichting op de maatregelen
- 4 bronverwijzingen
FAQ
1. Hoe wordt netwerkverkeer binnen Infraplannen beveiligd?
Alle netwerkcommunicatie verloopt via Private Endpoints, Network Security Groups (NSG’s) en Azure Firewall, waarbij ongeautoriseerd verkeer wordt geblokkeerd.
2. Wordt er gebruik gemaakt van Public IP’s?
Nee, alle kritieke services draaien binnen een Private VNET, en API’s en databases zijn alleen toegankelijk via Private Endpoints.
3. Hoe wordt externe toegang tot de infrastructuur gecontroleerd?
Externe toegang wordt beperkt via Just-In-Time (JIT) toegang, VPN’s en Entra ID-gebaseerde authenticatie.
4. Welke firewalltechnologieën worden gebruikt?
Infraplannen gebruikt Azure Firewall voor inkomend en uitgaand verkeer, en Web Application Firewall (WAF) voor bescherming van API’s en webtoepassingen.
5. Hoe wordt netwerktoegang tot databases en opslag beheerd?
Toegang tot Cosmos DB, Storage en Event Hub is alleen mogelijk via Private Endpoints en VNET-integratie.
6. Hoe wordt DDoS-aanvallen voorkomen?
Azure DDoS Protection is ingeschakeld om volumetrische aanvallen af te slaan en de beschikbaarheid van services te waarborgen.
7. Wordt al het verkeer versleuteld?
Ja, alle communicatie verloopt via TLS 1.2 of hoger, en HTTP-verkeer wordt automatisch omgeleid naar HTTPS.
8. Hoe wordt ongewenst verkeer gefilterd?
Azure Firewall en NSG’s blokkeren ongeautoriseerde poorten en IP-ranges, en WAF beschermt tegen webaanvallen zoals SQL-injecties en XSS.
9. Hoe wordt netwerkactiviteit gemonitord?
Alle netwerkactiviteit wordt gelogd in Azure Monitor, geanalyseerd door Defender for Cloud en bewaakt via Microsoft Sentinel.
10. Hoe voldoet Infraplannen aan netwerkbeveiligingsstandaarden?
De netwerkarchitectuur voldoet aan de normen van ISO 27001, NCSC-richtlijnen en Microsoft Security Best Practices, en wordt regelmatig geaudit.
Infraplannen is een Agile-ontwikkelde applicatie en bevindt zich nog in actieve ontwikkeling. Dit betekent dat zowel de functionaliteit als de beveiligingsmaatregelen continu worden verbeterd en geoptimaliseerd.
Toelichting op de maatregelen
1. Netwerksegmentatie en private endpoints
Alle kritieke services draaien binnen een Private VNET voor beveiligde communicatie.
Private Endpoints worden gebruikt voor toegang tot databases, opslag en messaging services.
NSG’s (Network Security Groups) regelen verkeer tussen subnetten en applicaties.
2. Firewalls en DDoS-bescherming
Azure Firewall inspecteert en filtert inkomend en uitgaand verkeer.
Web Application Firewall (WAF) beschermt webapplicaties en API’s tegen OWASP-top 10-aanvallen.
Azure DDoS Protection voorkomt volumetrische aanvallen op netwerkservices.
3. Encryptie en beveiligingscontroles
TLS 1.2/1.3 wordt toegepast op alle netwerkverkeer.
IP-whitelisting en Just-In-Time (JIT) toegang beperken beheerrechten.
Threat Intelligence in Defender for Cloud detecteert verdachte netwerkactiviteit.
4. Logging, monitoring en compliance
Alle netwerklogs worden vastgelegd in Azure Monitor en Defender for Cloud.
Microsoft Sentinel analyseert netwerkactiviteit en detecteert dreigingen.
Azure Policy handhaaft beveiligingsregels en naleving van compliance-standaarden.
bronverwijzingen
ISO 27001:2022 – Internationale norm voor informatiebeveiligin https://www.iso.org/standard/27001
NCSC – Beveiligingsrichtlijnen voor netwerkbeveiliging
Cybersecurity thema's | NCSC
Azure Web Application Firewall (WAF) – Beveiliging tegen webaanvallen https://learn.microsoft.com/en-us/azure/web-application-firewall/
Azure DDoS Protection – Preventie van netwerkgebaseerde aanvallen https://learn.microsoft.com/en-us/azure/ddos-protection/
Microsoft Defender for Cloud – Netwerk Threat Detection en Security Monitoring https://learn.microsoft.com/en-us/azure/defender-for-cloud/
Network Security Groups (NSG’s) – Beheer van toegangsregels https://learn.microsoft.com/en-us/azure/virtual-network/network-security-groups-overview
Azure Monitor – Logging en Monitoring voor Netwerkbeveiliging https://learn.microsoft.com/en-us/azure/azure-monitor/
Microsoft Sentinel – SIEM voor Netwerk Threat Detection https://learn.microsoft.com/en-us/azure/sentinel/
Azure Just-In-Time (JIT) VM-toegang – Beheer van Beheerderstoegang https://learn.microsoft.com/en-us/azure/security-center/security-center-just-in-time