Blog Azure Security & Compliance

Beveilig je Azure Netwerk met Private Link, Endpoints & meer

Standaard hebben veel Azure services publieke endpoints die geexposed worden via het internet. Dit verhoogt de kans op aanvallen en onbedoelde datalekken.

Om dit te beperken, biedt Azure verschillende opties om private connecties te maken en toegang te krijgen tot services via het Microsoft's backbone netwerk. 

In dit artikel behandelen we:

  • Azure Private Link
  • Private Endpoints
  • Private Link Service
  • Service Endpoints

Je leert hoe ze van elkaar verschillen en hoe ze elk veilige, privéconnectiviteit voor Azure services mogelijk maken. 

Niels Kroeze

Auteur

Niels Kroeze

Leestijd 7 minuten Gepubliceerd: 10 oktober 2025

In het kort:

  • Private endpoints zijn als netwerkkaartjes voor PaaS services in Azure. Ze krijgen een private IP, zijn bereikbaar vanaf on-premise en zijn de veiligste manier om je workload te beschermen. DNS-integratie is nodig. Elke private endpoint kost zo’n €7–8 per maand.
  • Private link koppelt private endpoints aan PaaS services. Het verkeer gaat over Microsoft-backbone netwerk.
  • Private link Service maakt een Azure standard load balancer beschikbaar voor interne en externe Azure-omgevingen met toegangcontrole.
  • Service endpoints zet je aan op PaaS services en regelen toegang tot specifieke resources. Ze kunnen kwetsbaar zijn voor data-exfiltratie. Er zijn geen kosten, maar on-prem toegang kan niet zonder een private endpoint.
Azure Security Ebook (1)

Security E-book

Leer hoe je je Azure omgeving kunt beveiligen met verschillende technologieën, tools en best practices die we dagelijks toepassen bij onze softwaregedreven klanten.

Download nu!

Azure Private link logo

Wat is Azure Private Link?

Azure Private Link zorgt ervoor dat verkeer naar PaaS services binnen het Azure netwerk blijft en niet over het openbare internet gaat. Private Link biedt een manier om verkeer direct over het private Microsoft backbone netwerk te sturen, zodat je veilig toegang hebt tot services.

  • Het gebruikt Microsofts private netwerk om veilig toegang te krijgen tot PaaS services.
  • Al het netwerkverkeer van de klant binnen of tussen Azure-datacenters wordt versleuteld met IEEE 802.1AE MACsec. Dit voorkomt man-in-the-middle-aanvallen, afluisteren of wiretapping en houdt de data veilig.
  • Verwijdert internettoegang naar PaaS services.
  • Private toegang is beschikbaar voor storage, AVD en andere PaaS services.

De meeste Azure services zijn standaard via het openbare internet beschikbaar. Soms wil je echter dat bepaalde services niet online beschikbaar zijn. Een storage account is bijvoorbeeld standaard via internet bereikbaar, maar je wilt dit voorkomen als je gevoelige data host die nooit online mag zijn.

Met Private Link kun je in plaats van internet veilig toegang krijgen tot deze services. Maar je hebt een manier nodig om services die voor publiek internet ontworpen zijn te koppelen aan je private virtual network in Azure. Daarvoor gebruiken we een private endpoint.

Azure Private Endpoints logo

Wat is een Private Endpoint?

Een private endpoint is een virtuele netwerkinterface (VIC) die PaaS services verbindt met het virtual network van een klant. Eenmaal verbonden kun je de service bereiken via het private IP binnen je eigen netwerk.

Neem opnieuw een storage account: je kunt een private storage endpoint aan je virtual network koppelen en deze gebruiken in plaats van het publieke endpoint om verbinding te maken met het storage account. Het wordt een private resource die niet via internet bereikbaar is.

Private Link Service logo

Wat is een Private Link Service?

Een Private Link Service is een service die gehost wordt op een private netwerk. Het biedt een manier om IaaS-gebaseerde services, zoals een webapplicatie, beschikbaar te maken via een private link.

Dit is handig als je een service beschikbaar wilt maken voor klanten zonder dat deze online over het internet bereikbaar is. De klant hoeft geen VPN-verbinding op te zetten om de service privé te houden.

Marc Bosgoed

Security scan

Beveiliging je Azure omgeving met onze security scan. Vraag hem nu aan!

Ja ik wil een security scan!

Hoe Private Link en Private Endpoint verbonden zijn

Laten we eens bekijken hoe deze netwerkbeveiligingstechnologieën werken aan de hand van een voorbeeld:

Stel je twee onafhankelijke bedrijven voor, elk met een eigen tenant en omgeving.

Bedrijf A heeft:

  • Één subscriptie: A1
  • Een virtual network (Vnet): A10

Bedrijf B heeft:

Twee subscripties: B1 en B2

  • In subscriptie B1 zijn er twee virtual networks: B10 en B11. B10 bevat een virtual machine.
  • In subscriptie B2 is er een virtual network: B20.

Daarnaast hebben ze ook een on-premise omgeving met DNS en andere servers. De afbeelding hieronder geeft een beter beeld van hoe dit eruit kan zien:

Screenshot van een website

Private endpoint

In subscriptie B1, als je een storage account aanmaakt zonder private endpoint, wordt deze benaderd via de public DNS (bijv. blob.core.windows.net).

  • Toegang vanaf de VM in B10 gaat over het Microsoft backbone netwerk, maar je hebt beperkte controle over dit verkeer qua toegang en flow.
  • Toegang tot het storage account vanaf on-premise gebeurt via het publieke internet. Het storage account moet publieke verbindingen toestaan, wat het minder veilig maakt omdat het verkeer over een extern netwerk gaat.

Een private endpoint aanmaken voor het storage account is als het toevoegen van een netwerkkaart aan het virtual network:

  • Het krijgt een private IP binnen de subnet.
  • Private Link verbindt de private endpoint met het storage account.
  • Verkeer gaat over het Microsoft backbone netwerk.
  • Je kunt toegang regelen met network security groups en firewall rules.

Verkeer vanaf on-prem kan privé naar het storage account gaan via een VPN tunnel of ExpressRoute die on-prem B verbindt met de subnets van Bedrijf B, zonder het publieke internet te gebruiken.

Let op:

De juiste DNS-configuratie is vereist om deze setup te laten werken. Lees hier hoe je dit kunt configureren. 

Zoals je weet, biedt Microsoft ook een feature genaamd Private Link Service, die anders werkt dan een private endpoint.

Private Link Service

In subscriptie A1, stel dat er VMs zijn gemaakt met een standard load balancer. We kunnen de Private Link Service inschakelen op de load balancer, waardoor andere private endpoints (intern of extern) ermee kunnen verbinden. Dit betekent niet dat iedereen ter wereld zomaar toegang heeft.

  • Er zijn restricties en controls die je kunt instellen, zoals RBAC (role-based access control). Dit werkt binnen dezelfde tenant, zodat je kunt bepalen welke gebruikers de Private Link Service kunnen zien.
  • Je kunt zichtbaarheid beperken op subscriptie-niveau, inclusief subscriptions buiten de tenant.
  • Iedereen met de service alias kan een verbinding aanvragen, die door een admin goedgekeurd moet worden.

Voorbeeld workflow:

  • Een VM in B10 wil de load balancer in A1 benaderen.
  • De VM maakt een private endpoint aan die gekoppeld is aan de Private Link Service.
  • De admin keurt de verbinding goed.
  • Eenmaal goedgekeurd, kan de VM in B10 verbinding maken met de aangemaakte private endpoint. Deze gebruikt Private Link om te verbinden met de Private Link Service, die de standard load balancer in subscription A1 is.

Diagram illustrating a Private Link service connection from Company A's Standard Load Balancer in Subscription A1 to Company B's network resources in Subscriptions B1 and B2.

Service Endpoint

Service Endpoints bieden veilige toegang tot Azure services zonder private endpoints.

Bijvoorbeeld, stel dat we een SQL-database maken zonder private endpoint. Door service endpoints aan te zetten, kan de VM in het B10 subnet direct toegang krijgen tot de database. Het verkeer gaat nog steeds naar het publieke endpoint van de SQL-database, maar wordt veilig gerouteerd over het Microsoft backbone netwerk in plaats van het publieke internet.

Het voordeel is dat je de SQL-database kunt beperken zodat alleen verbindingen vanaf het private IP van de VM worden geaccepteerd. Er zijn echter enkele beperkingen qua beveiliging:

  • Data exfiltratie risico: Als hackers de VM in B10 compromitteren, kunnen ze proberen data te kopiëren naar hun eigen storage account in een andere subscriptie. Service endpoint policies kunnen dit risico verkleinen door te beperken welke storage accounts de VM kan bereiken, maar deze policies dekken niet alle Azure resources.
  • Geen on-prem support: Service endpoints werken alleen binnen Azure. Als je verbinding maakt vanaf on-premise, gaat het verkeer nog steeds over het publieke internet tenzij je een private endpoint gebruikt.

Veel gestelde vragen over Azure Private Link and Endpoints

Wat is het verschil tusse Private Endpoint en Private Link in Azure?

Welke services ondersteunen Azure Private Link?

Azure Security Workshop

Wil je leren hoe je jouw Azure omgeving kan beveiligen?

Bekijk dan onze Azure Security Webinar voor praktische tips, best practices en demo's over het beveiligen van jouw Azure omgeving.

Bekijk het nu!