“Standaard” betekent niet automatisch “veilig”
Veel bedrijven vertrouwen op de standaardregels van Azure Network Security Groups (NSG’s) om hun Cloud omgeving te beveiligen. Toch vormen deze standaardinstellingen vaak een verborgen risico.
Wat op het eerste gezicht handig lijkt, kan in werkelijkheid leiden tot ongewenst netwerkverkeer, onvoldoende segmentatie en een grotere kans op datalekken.
Als Azure-consultancy zien wij bij veel organisaties dezelfde fout: het negeren van de impliciete rechten die standaardregels toestaan.
Wat is een Network Security Group (NSG)?
Een Azure Network Security Group is een belangrijk onderdeel van Azure-netwerkbeveiliging.
Met NSG’s bepaal je welk inkomend en uitgaand verkeer wordt toegestaan naar je virtuele machines, databases en applicaties.
Elke NSG bevat:
- Regels voor bron, bestemming, poort en protocol.
- Service tags die groepen resources aanduiden (zoals
VirtualNetworkofInternet). - Prioriteiten, waarbij de laagste waarde voorrang heeft.
Standaard maakt Azure enkele regels automatisch aan — en dáár gaat het vaak mis.
Het probleem met standaard NSG-regels
Een van de bekendste valkuilen is de standaardregel Allow VirtualNetwork Inbound.
Deze staat al het verkeer tussen resources binnen hetzelfde virtuele netwerk toe.
Dat betekent dat een database-server mogelijk bereikbaar is voor alle andere virtuele machines in dat netwerk — ook systemen die daar geen toegang tot zouden mogen hebben.
Voorbeeld:
- De webserver accepteert verkeer via poort 443 (HTTPS).
- De database-server accepteert alleen verkeer van de webserver via poort 1433 (SQL).
Toch blijkt dat, door standaardregels, ook andere machines binnen het VNet toegang hebben.
Dit vergroot onbedoeld het aanvalsoppervlak en ondermijnt de zero-trust-principes die veel organisaties willen hanteren.
Waarom dit belangrijk is voor jouw organisatie
In een tijd waarin cloudomgevingen steeds complexer worden, is segmentatie en toegangsbeheer cruciaal.
De standaard NSG-regels van Azure zijn ontworpen voor functionaliteit, niet voor maximale veiligheid.
Organisaties die vertrouwen op deze standaardregels lopen risico’s op:
- Ongeautoriseerde toegang tussen interne resources
- Onzichtbare “laterale beweging” binnen het netwerk
- Datalekken door te brede outbound-toegang
- Problemen met compliance (bijv. ISO 27001, NIS2 of AVG)
Best practices voor veilige NSG-configuratie
Om je Azure-beveiliging te versterken, kun je de volgende richtlijnen volgen:
- Wees expliciet.
Sta alleen verkeer toe dat echt nodig is. Verwijder of overschrijf standaardregels. - Gebruik Application Security Groups (ASG’s).
Groepeer resources logisch (bijv. “Weblaag”, “Datalayer”) om fijnmazige toegangscontrole te krijgen. - Beperk outbound-verkeer.
Laat virtuele machines alleen verbinding maken met bekende eindpunten of update-servers. - Gebruik een Azure Firewall.
Implementeer een Azure Firewall voor maximale controle in het netwerk. - Controleer NSG-logs regelmatig.
Analyseer ongebruikelijke verbindingen via Azure Monitor of Log Analytics. - Voer periodieke beveiligingsaudits uit.
Een onafhankelijke controle kan verborgen kwetsbaarheden aan het licht brengen.
Conclusie: neem controle over je netwerkbeveiliging
Azure biedt krachtige beveiligingstools, maar alleen als je ze goed inzet.
Door standaardregels te herzien en granulaire NSG-regels toe te passen, verklein je het risico op interne en externe aanvallen aanzienlijk.