4. Data niet encrypten (at rest)
Data-encryptie is een van de effectiefste maatregelen om je data te beschermen. Zelfs als data wordt buitgemaakt, blijft het zonder sleutel onleesbaar.
Best practices
Gebruik oplossingen zoals Azure Disk Encryption en Azure Key Vault.
5. Open Network Security Groups (NSGs)
Network Security Groups (NSGs) regelen inkomend en uitgaand verkeer naar Azure-resources. Ze zijn krachtig, maar fouten in de configuratie komen vaak voor en maken je omgeving kwetsbaar.
Veelvoorkomende fouten zijn:
- Alles openlaten: inbound “Any” of outbound zonder beperkingen
- Te brede permissies gebruiken
- Geen segmentatie tussen subnets of workloads
- NSGs niet overal consequent toepassen
- Alleen vertrouwen op NSGs zonder extra lagen zoals firewalls
Gevolg: Aanvallers kunnen je VMs en services targeten, zeker als managementpoorten openstaan.
Best practices
- Open alleen strikt noodzakelijke poorten en blokkeer de rest
- Controleer en verscherp je NSG-regels regelmatig
- Beperk toegang tot vertrouwde IP-ranges of via VPN
- Gebruik Just-in-Time (JIT) voor RDP/SSH, nooit permanent openlaten
- Combineer NSGs met Azure Firewall of Web Application Firewall (WAF)
Door het principe van ‘least privilege’ te volgen en regels strak te houden, verklein je je aanvalsvlak aanzienlijk.
6. Onveilige Storage Accounts
Azure Storage is schaalbaar en veilig, maar een verkeerde configuratie kan je data blootstellen. Een klassiek voorbeeld is een storage account dat publiek toegankelijk is, met risico op datalekken of verlies.
Andere fouten zijn:
- Shared keys gebruiken i.p.v. RBAC
- Geen restricties op netwerk of IP-ranges
- Standaardinstellingen gebruiken zonder aanpassing
Best practices
Zo beveilig je storage accounts:
- Schakel public access altijd uit (tenzij echt nodig)
- Gebruik Azure RBAC met managed identities i.p.v. account keys
- Beperk toegang met network rules, private endpoints en service endpoints
- Zet logging en monitoring aan
- Gebruik customer-managed keys (CMK) voor gevoelige workloads
- Gebruik SAS-tokens met verloopdatum en IP-restricties voor extern delen