Azure-beveiligingsbasislijn voor Application Gateway

Deze beveiligingsbasislijn past richtlijnen van azure Security Benchmark versie 1.0 toe op Application Gateway. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op Application Gateway.

U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met behulp van Microsoft Defender voor Cloud. Azure Policy definities worden vermeld in de sectie Naleving van regelgeving van het dashboard van Microsoft Defender for Cloud.

Wanneer een sectie relevante Azure Policy definities heeft, worden deze vermeld in deze basislijn om u te helpen de naleving van de controles en aanbevelingen van de Azure Security Benchmark te meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-abonnement vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Besturingselementen die niet van toepassing zijn op Application Gateway of waarvoor de verantwoordelijkheid van Microsoft is, zijn uitgesloten. Als u wilt zien hoe Application Gateway volledig is toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige Application Gateway toewijzingsbestand voor beveiligingsbasislijnen.

Netwerkbeveiliging

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.

1.1: Azure-resources beveiligen binnen virtuele netwerken

Richtlijnen: Zorg ervoor dat alle Virtual Network Azure Application Gateway subnetimplementaties een netwerkbeveiligingsgroep (NSG) hebben toegepast met netwerktoegangsbeheer dat specifiek is voor de vertrouwde poorten en bronnen van uw toepassing. Hoewel netwerkbeveiligingsgroepen worden ondersteund op Azure Application Gateway, zijn er enkele beperkingen en vereisten waaraan moet worden voldaan om uw NSG en Azure Application Gateway te laten functioneren zoals verwacht.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Network:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Alle internetverkeer moet worden gerouteerd via uw geïmplementeerde Azure Firewall Microsoft Defender voor Cloud heeft vastgesteld dat sommige van uw subnetten niet worden beveiligd met een firewall van de volgende generatie. Bescherm uw subnetten tegen mogelijke bedreigingen door de toegang tot de subnetten te beperken met Azure Firewall of een ondersteunde firewall van de volgende generatie AuditIfNotExists, uitgeschakeld 3.0.0-preview
Subnets moeten worden gekoppeld aan een netwerkbeveiligingsgroep Bescherm uw subnet tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). NSG's bevatten een lijst met ACL-regels (Access Control List) waarmee netwerkverkeer naar uw subnet wordt toegestaan of geweigerd. AuditIfNotExists, uitgeschakeld 3.0.0
Virtuele machines moeten zijn verbonden met een goedgekeurd virtueel netwerk Met dit beleid worden virtuele machines gecontroleerd die zijn verbonden met een niet-goedgekeurd virtueel netwerk. Controleren, Weigeren, Uitgeschakeld 1.0.0
Virtuele netwerken moeten gebruikmaken van de opgegeven virtuele-netwerkgateway Met dit beleid worden alle virtuele netwerken gecontroleerd als de standaardroute niet verwijst naar de opgegeven virtuele-netwerkgateway. AuditIfNotExists, uitgeschakeld 1.0.0

1.2: De configuratie en het verkeer van virtuele netwerken, subnetten en netwerkinterfaces bewaken en registreren

Richtlijnen: Voor de netwerkbeveiligingsgroepen (NSG's) die zijn gekoppeld aan uw Azure Application Gateway subnetten, schakelt u NSG-stroomlogboeken in en verzendt u logboeken naar een opslagaccount voor verkeerscontrole. U kunt ook NSG-stroomlogboeken verzenden naar een Log Analytics-werkruimte en Traffic Analytics gebruiken om inzicht te krijgen in de verkeersstroom in uw Azure-cloud. Sommige voordelen van Traffic Analytics zijn de mogelijkheid om netwerkactiviteit te visualiseren en hot spots te identificeren, beveiligingsrisico's te identificeren, inzicht te krijgen in verkeersstroompatronen en netwerkfouten vast te stellen.

Opmerking: er zijn enkele gevallen waarin NSG-stroomlogboeken die zijn gekoppeld aan uw Azure Application Gateway subnetten geen verkeer tonen dat is toegestaan. Als uw configuratie overeenkomt met het volgende scenario, ziet u geen toegestaan verkeer in uw NSG-stroomlogboeken:

  • U hebt Application Gateway v2 geïmplementeerd
  • U hebt een NSG in het subnet van de toepassingsgateway
  • U hebt NSG-stroomlogboeken ingeschakeld voor die NSG

Zie de onderstaande verwijzingen voor meer informatie.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Network:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Network Watcher moet zijn ingeschakeld Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk. Er moet een network watcher-resourcegroep worden gemaakt in elke regio waar een virtueel netwerk aanwezig is. Er wordt een waarschuwing ingeschakeld als een network watcher-resourcegroep niet beschikbaar is in een bepaalde regio. AuditIfNotExists, uitgeschakeld 3.0.0

1.3: Essentiële webtoepassingen beveiligen

Richtlijnen: Implementeer Azure Web Application Firewall (WAF) voor kritieke webtoepassingen voor aanvullende inspectie van binnenkomend verkeer. Web Application Firewall (WAF) is een service (functie van Azure Application Gateway) die gecentraliseerde beveiliging van uw webtoepassingen biedt tegen veelvoorkomende aanvallen en beveiligingsproblemen. Met Azure WAF kunt u uw Azure App Service web-apps beveiligen door inkomend webverkeer te inspecteren om aanvallen zoals SQL-injecties, cross-sitescripting, malware-uploads en DDoS-aanvallen te blokkeren. WAF is gebaseerd op regels uit de kernregel OWASP (Open Web Application Security Project) 3.1 (alleen WAF_v2), 3.0 en 2.2.9.

Verantwoordelijkheid: Klant

1.4: Communicatie met bekende schadelijke IP-adressen weigeren

Richtlijnen: DDoS Standard-beveiliging inschakelen voor uw virtuele Azure-netwerken die zijn gekoppeld aan uw productie-exemplaren van Azure Application Gateway om te beschermen tegen DDoS-aanvallen. Gebruik Geïntegreerde bedreigingsinformatie van Microsoft Defender for Cloud om communicatie met bekende schadelijke IP-adressen te weigeren.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Network:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Alle internetverkeer moet worden gerouteerd via uw geïmplementeerde Azure Firewall Microsoft Defender voor Cloud heeft vastgesteld dat sommige van uw subnetten niet worden beveiligd met een firewall van de volgende generatie. Bescherm uw subnetten tegen mogelijke bedreigingen door de toegang tot de subnetten te beperken met Azure Firewall of een ondersteunde firewall van de volgende generatie AuditIfNotExists, uitgeschakeld 3.0.0-preview
Azure DDoS-beveiligingsstandaard moet zijn ingeschakeld De standaard-DDoS-beveiliging moet zijn ingeschakeld voor alle virtuele netwerken met een subnet dat deel uitmaakt van een toepassingsgateway met een openbaar IP-adres. AuditIfNotExists, uitgeschakeld 3.0.0

1.5: Netwerkpakketten vastleggen

Richtlijnen: Voor de netwerkbeveiligingsgroepen (NSG's) die zijn gekoppeld aan uw Azure Application Gateway subnetten, schakelt u NSG-stroomlogboeken in en verzendt u logboeken naar een opslagaccount voor verkeerscontrole. U kunt ook NSG-stroomlogboeken verzenden naar een Log Analytics-werkruimte en Traffic Analytics gebruiken om inzicht te krijgen in de verkeersstroom in uw Azure-cloud. Enkele voordelen van Traffic Analytics zijn de mogelijkheid om netwerkactiviteit te visualiseren en hot spots te identificeren, beveiligingsrisico's te identificeren, inzicht te krijgen in verkeersstroompatronen en netwerkfouten vast te stellen.

Opmerking: in sommige gevallen worden NSG-stroomlogboeken die zijn gekoppeld aan uw Azure Application Gateway-subnetten, geen verkeer weergegeven dat is toegestaan. Als uw configuratie overeenkomt met het volgende scenario, ziet u geen toegestaan verkeer in uw NSG-stroomlogboeken:

  • U hebt Application Gateway v2 geïmplementeerd
  • U hebt een NSG in het subnet van de toepassingsgateway
  • U hebt NSG-stroomlogboeken ingeschakeld voor die NSG

Zie de onderstaande verwijzingen voor meer informatie.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Network:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Network Watcher moet zijn ingeschakeld Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk. Het is vereist dat er een network watcher-resourcegroep moet worden gemaakt in elke regio waar een virtueel netwerk aanwezig is. Een waarschuwing is ingeschakeld als een network watcher-resourcegroep niet beschikbaar is in een bepaalde regio. AuditIfNotExists, uitgeschakeld 3.0.0

1.6: Netwerkgebaseerde inbraakdetectie/inbraakpreventiesystemen (IDS/IPS) implementeren

Richtlijnen: Implementeer Azure Web Application Firewall (WAF) voor kritieke webtoepassingen voor aanvullende inspectie van binnenkomend verkeer. Web Application Firewall (WAF) is een service (functie van Azure Application Gateway) die gecentraliseerde beveiliging van uw webtoepassingen biedt tegen veelvoorkomende aanvallen en beveiligingsproblemen. Met Azure WAF kunt u uw Azure App Service-web-apps beveiligen door binnenkomend webverkeer te inspecteren om aanvallen zoals SQL-injecties, cross-sitescripting, malware-uploads en DDoS-aanvallen te blokkeren. WAF is gebaseerd op regels van de kernregel OWASP (Open Web Application Security Project) stelt 3.1 (alleen WAF_v2), 3.0 en 2.2.9 in.

Er zijn ook meerdere marketplace-opties, zoals de Barracuda WAF voor Azure, die beschikbaar zijn op de Azure Marketplace die IDS-/IPS-functies bevatten.

Verantwoordelijkheid: Klant

1.7: Verkeer naar webtoepassingen beheren

Richtlijnen: implementeer Azure Application Gateway voor webtoepassingen waarvoor HTTPS/SSL is ingeschakeld voor vertrouwde certificaten.

Verantwoordelijkheid: Klant

1.8: Complexiteit en administratieve overhead van netwerkbeveiligingsregels minimaliseren

Richtlijnen: gebruik Virtual Network servicetags om netwerktoegangsbeheer in netwerkbeveiligingsgroepen of Azure Firewall te definiëren. U kunt servicetags gebruiken in plaats van specifieke IP-adressen wanneer u beveiligingsregels maakt. Door de naam van de servicetag (bijvoorbeeld GatewayManager) op te geven in het juiste bron- of doelveld van een regel, kunt u het verkeer voor de bijbehorende service toestaan of weigeren. Microsoft beheert de adresvoorvoegsels die zijn omvat door de servicetag en werkt de servicetag automatisch bij als adressen worden gewijzigd.

Voor de netwerkbeveiligingsgroepen (NSG's) die zijn gekoppeld aan uw Azure Application Gateway subnetten, moet u inkomend internetverkeer toestaan op TCP-poorten 65503-65534 voor de Application Gateway v1 SKU en TCP-poorten 65200-65535 voor de v2-SKU met het doelsubnet als Any en source as GatewayManager-servicetag. Dit poortbereik is nodig voor communicatie met de Azure-infrastructuur. Deze poorten zijn beveiligd (vergrendeld) met Azure-certificaten. Externe entiteiten, met inbegrip van de klanten van deze gateways, kunnen niet communiceren op deze eindpunten.

Verantwoordelijkheid: Klant

1.9: Standaardbeveiligingsconfiguraties onderhouden voor netwerkapparaten

Richtlijnen: Standaardbeveiligingsconfiguraties definiëren en implementeren voor netwerkinstellingen die betrekking hebben op uw Azure Application Gateway-implementaties. Gebruik Azure Policy aliassen in de naamruimte Microsoft.Network om aangepast beleid te maken om de netwerkconfiguratie van uw Azure-toepassing Gateways, Virtuele Azure-netwerken en netwerkbeveiligingsgroepen te controleren of af te dwingen. U kunt ook gebruikmaken van ingebouwde beleidsdefinitie.

U kunt Azure Blueprints ook gebruiken om grootschalige Azure-implementaties te vereenvoudigen door belangrijke omgevingsartefacten, zoals Azure Resource Manager-sjablonen, op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) en beleidsregels in één blauwdrukdefinitie te verpakken. U kunt de blauwdruk eenvoudig toepassen op nieuwe abonnementen, omgevingen en controle en beheer verfijnen via versiebeheer.

Verantwoordelijkheid: Klant

1.10: Configuratieregels voor documentverkeer

Richtlijnen: Gebruik tags voor netwerkbeveiligingsgroepen (NSG's) die zijn gekoppeld aan uw Azure Application Gateway subnet, evenals andere resources met betrekking tot netwerkbeveiliging en verkeersstroom. Gebruik voor afzonderlijke NSG-regels het veld Beschrijving om bedrijfsbehoefte en/of duur (enzovoort) op te geven voor regels die verkeer naar/van een netwerk toestaan.

Gebruik een van de ingebouwde Azure-beleidsdefinities die betrekking hebben op taggen, zoals 'Tag vereisen en de waarde ervan' om ervoor te zorgen dat alle resources worden gemaakt met Tags en u op de hoogte te stellen van bestaande niet-gemarkeerde resources.

U kunt Azure PowerShell of Azure CLI gebruiken om acties op te zoeken of uit te voeren op resources op basis van hun tags.

Verantwoordelijkheid: Klant

1.11: Geautomatiseerde hulpprogramma's gebruiken om configuraties van netwerkresources te bewaken en wijzigingen te detecteren

Richtlijnen: Azure-activiteitenlogboek gebruiken om netwerkresourceconfiguraties te bewaken en wijzigingen te detecteren voor netwerkinstellingen en resources met betrekking tot uw Azure Application Gateway-implementaties. Maak waarschuwingen in Azure Monitor die worden geactiveerd wanneer wijzigingen in kritieke netwerkinstellingen of -resources plaatsvinden.

Verantwoordelijkheid: Klant

Logboekregistratie en bewaking

Zie de Azure Security Benchmark: Logboekregistratie en bewaking voor meer informatie.

2.2: Centraal beheer van beveiligingslogboeken configureren

Richtlijnen: Schakel diagnostische instellingen voor azure-activiteitenlogboeken in voor controlevlak en verzend de logboeken naar een Log Analytics-werkruimte, Azure Event Hub of Een Azure-opslagaccount. Met behulp van Azure-activiteitenlogboekgegevens kunt u bepalen wat, wie en wanneer voor schrijfbewerkingen (PUT, POST, DELETE) wordt uitgevoerd op het niveau van het besturingsvlak voor uw Azure Application Gateway en gerelateerde resources, zoals netwerkbeveiligingsgroepen (NSG's), die worden gebruikt om het Azure Application Gateway subnet te beveiligen.

Naast activiteitenlogboeken kunt u diagnostische instellingen configureren voor uw Azure Application Gateway-implementaties. Diagnostische instellingen worden gebruikt voor het configureren van streaming-export van platformlogboeken en metrische gegevens voor een resource naar het doel van uw keuze (Opslagaccounts, Event Hubs en Log Analytics).

Azure Application Gateway biedt ook ingebouwde integratie met Azure-toepassing Insights. Application Insights verzamelt logboek-, prestatie- en foutgegevens. Application Insights detecteert automatisch prestatieafwijkingen en bevat krachtige analysehulpprogramma's om u te helpen problemen vast te stellen en te begrijpen hoe uw web-apps worden gebruikt. U kunt continue export inschakelen om telemetrie uit Application Insights te exporteren naar een centrale locatie om de gegevens langer te bewaren dan de standaardretentieperiode.

Verantwoordelijkheid: Klant

2.3: Auditlogboekregistratie inschakelen voor Azure-resources

Richtlijnen: Schakel diagnostische instellingen voor azure-activiteitenlogboeken in voor controlevlak en verzend de logboeken naar een Log Analytics-werkruimte, Azure Event Hub of Een Azure-opslagaccount. Met behulp van Azure-activiteitenlogboekgegevens kunt u bepalen wat, wie en wanneer voor schrijfbewerkingen (PUT, POST, DELETE) wordt uitgevoerd op het niveau van het besturingsvlak voor uw Azure Application Gateway en gerelateerde resources, zoals netwerkbeveiligingsgroepen (NSG's), die worden gebruikt om het Azure Application Gateway subnet te beveiligen.

Naast activiteitenlogboeken kunt u diagnostische instellingen configureren voor uw Azure Application Gateway-implementaties. Diagnostische instellingen worden gebruikt voor het configureren van streaming-export van platformlogboeken en metrische gegevens voor een resource naar het doel van uw keuze (Opslagaccounts, Event Hubs en Log Analytics).

Azure Application Gateway biedt ook ingebouwde integratie met Azure-toepassing Insights. Application Insights verzamelt logboek-, prestatie- en foutgegevens. Application Insights detecteert automatisch prestatieafwijkingen en bevat krachtige analysehulpprogramma's om u te helpen problemen vast te stellen en te begrijpen hoe uw web-apps worden gebruikt. U kunt continue export inschakelen om telemetrie uit Application Insights te exporteren naar een centrale locatie om de gegevens langer te bewaren dan de standaardretentieperiode.

Verantwoordelijkheid: Klant

2.5: Opslagretentie voor beveiligingslogboeken configureren

Richtlijnen: stel binnen Azure Monitor de bewaarperiode van uw Log Analytics-werkruimte in op basis van de nalevingsregels van uw organisatie. Gebruik Azure Storage-accounts voor langetermijn-/archiveringsopslag.

Verantwoordelijkheid: Klant

2.6: Logboeken bewaken en controleren

Richtlijnen: Diagnostische instellingen voor Azure-activiteitenlogboeken en de diagnostische instellingen voor uw Azure Application Gateway inschakelen en de logboeken verzenden naar een Log Analytics-werkruimte. Voer query's uit in Log Analytics om termen te zoeken, trends te identificeren, patronen te analyseren en vele andere inzichten te bieden op basis van de verzamelde gegevens.

Gebruik Azure Monitor voor netwerken voor een uitgebreid overzicht van de status en metrische gegevens voor alle geïmplementeerde netwerkbronnen, inclusief uw Azure-toepassing Gateways.

U kunt eventueel gegevens inschakelen en onboarden bij Microsoft Sentinel of een SIEM van derden.

Verantwoordelijkheid: Klant

2.7: Waarschuwingen inschakelen voor afwijkende activiteiten

Richtlijnen: Implementeer Azure Web Application Firewall (WAF) v2 SKU vóór kritieke webtoepassingen voor aanvullende inspectie van binnenkomend verkeer. Web Application Firewall (WAF) is een service (functie van Azure Application Gateway) die gecentraliseerde beveiliging van uw webtoepassingen biedt tegen veelvoorkomende aanvallen en beveiligingsproblemen. Met Azure WAF kunt u uw Azure App Service web-apps beveiligen door inkomend webverkeer te inspecteren om aanvallen zoals SQL-injecties, cross-sitescripting, malware-uploads en DDoS-aanvallen te blokkeren. WAF is gebaseerd op regels uit de kernregel OWASP (Open Web Application Security Project) 3.1 (alleen WAF_v2), 3.0 en 2.2.9.

Schakel diagnostische instellingen voor Azure-activiteitenlogboek en de diagnostische instellingen voor uw Azure WAF in en verzend de logboeken naar een Log Analytics-werkruimte. Voer query's uit in Log Analytics om termen te zoeken, trends te identificeren, patronen te analyseren en vele andere inzichten te bieden op basis van de verzamelde gegevens. U kunt waarschuwingen maken op basis van uw Log Analytics-werkruimtequery's.

Gebruik Azure Monitor voor netwerken voor een uitgebreid overzicht van de status en metrische gegevens voor alle geïmplementeerde netwerkbronnen, inclusief uw Azure-toepassing Gateways. In de Azure Monitor for Networks-console kunt u waarschuwingen voor Azure Application Gateway bekijken en maken.

Verantwoordelijkheid: Klant

2.8: Antimalwarelogboekregistratie centraliseren

Richtlijnen: Implementeer Azure Web Application Firewall (WAF) v2 vóór kritieke webtoepassingen voor aanvullende inspectie van binnenkomend verkeer. Web Application Firewall (WAF) is een service (functie van Azure Application Gateway) die gecentraliseerde beveiliging van uw webtoepassingen biedt tegen veelvoorkomende aanvallen en beveiligingsproblemen. Met Azure WAF kunt u uw Azure App Service web-apps beveiligen door inkomend webverkeer te inspecteren om aanvallen zoals SQL-injecties, cross-sitescripting, malware-uploads en DDoS-aanvallen te blokkeren.

Configureer diagnostische instellingen voor uw Azure Application Gateway-implementaties. Diagnostische instellingen worden gebruikt voor het configureren van streaming-export van platformlogboeken en metrische gegevens voor een resource naar het doel van uw keuze (Opslagaccounts, Event Hubs en Log Analytics).

Verantwoordelijkheid: Klant

Identiteits- en toegangsbeheer

Zie de Azure Security Benchmark: Identiteit en Access Control voor meer informatie.

3.1: Een inventaris van beheeraccounts onderhouden

Richtlijnen: Azure Active Directory (Azure AD) heeft ingebouwde rollen die expliciet moeten worden toegewezen en waarvoor query's kunnen worden uitgevoerd. Gebruik de Azure AD PowerShell-module om ad-hocquery's uit te voeren om accounts te detecteren die lid zijn van beheergroepen.

Verantwoordelijkheid: Klant

3.2: Standaardwachtwoorden wijzigen indien van toepassing

Richtlijnen: De toegang tot Azure Application Gateway wordt beheerd via Azure Active Directory (Azure AD). Azure AD beschikt niet over het concept van standaardwachtwoorden.

Verantwoordelijkheid: Klant

3.3: Toegewezen beheerdersaccounts gebruiken

Richtlijnen: maak standaard operationele procedures rond het gebruik van toegewezen beheerdersaccounts. Gebruik Microsoft Defender voor Cloud Identity and Access Management om het aantal beheerdersaccounts te bewaken.

Daarnaast kunt u, om u te helpen bij het bijhouden van toegewezen beheerdersaccounts, aanbevelingen van Microsoft Defender voor Cloud of ingebouwde Azure-beleidsregels gebruiken, zoals:

  • Er moet meer dan één eigenaar zijn toegewezen aan uw abonnement
  • Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement
  • Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement

Zie de onderstaande verwijzingen voor meer informatie.

Verantwoordelijkheid: Klant

3.4: Eenmalige aanmelding van Azure Active Directory gebruiken

Richtlijnen: Gebruik een Azure-app-registratie (service-principal) om een token op te halen dat kan worden gebruikt om te communiceren met uw Azure-toepassing Gateways via API-aanroepen.

Verantwoordelijkheid: Klant

3.5: Meervoudige verificatie gebruiken voor alle op Azure Active Directory gebaseerde toegang

Richtlijnen: Meervoudige verificatie van Azure Active Directory (Azure AD) inschakelen en microsoft Defender for Cloud Identity and Access Management-aanbevelingen volgen.

Verantwoordelijkheid: Klant

3.6: Veilige, door Azure beheerde werkstations gebruiken voor beheertaken

Richtlijnen: PAW's (werkstations voor bevoegde toegang) gebruiken met meervoudige verificatie die is geconfigureerd voor het aanmelden bij en configureren van Azure-resources.

Verantwoordelijkheid: Klant

3.7: Logboek en waarschuwing over verdachte activiteiten van beheerdersaccounts

Richtlijnen: Gebruik Beveiligingsrapporten van Azure Active Directory (Azure AD) voor het genereren van logboeken en waarschuwingen wanneer verdachte of onveilige activiteiten zich voordoen in de omgeving. Gebruik Microsoft Defender voor Cloud om identiteiten en toegangsactiviteiten te bewaken.

Verantwoordelijkheid: Klant

3.8: Azure-resources beheren vanaf alleen goedgekeurde locaties

Richtlijnen: Voorwaardelijke toegang benoemde locaties gebruiken om alleen toegang toe te staan vanuit specifieke logische groeperingen van IP-adresbereiken of landen/regio's.

Verantwoordelijkheid: Klant

3.9: Azure Active Directory gebruiken

Richtlijnen: Azure Active Directory (Azure AD) gebruiken als het centrale verificatie- en autorisatiesysteem. Azure AD beschermt gegevens door sterke versleuteling te gebruiken voor data-at-rest en in transit. Azure AD ook zouten, hashes en slaat gebruikersreferenties veilig op.

Verantwoordelijkheid: Klant

3.10: Gebruikerstoegang regelmatig controleren en afstemmen

Richtlijnen: Azure Active Directory (Azure AD) biedt logboeken om verouderde accounts te detecteren. Daarnaast gebruikt u Azure Identity Access Reviews om groepslidmaatschappen, toegang tot bedrijfstoepassingen en roltoewijzingen efficiënt te beheren. Gebruikerstoegang kan regelmatig worden gecontroleerd om ervoor te zorgen dat alleen de juiste gebruikers toegang hebben.

Verantwoordelijkheid: Klant

3.11: Pogingen controleren om toegang te krijgen tot gedeactiveerde referenties

Richtlijnen: U hebt toegang tot aanmeldingsactiviteiten, audit- en risicogebeurtenislogboekbronnen van Azure Active Directory (Azure AD), waarmee u kunt integreren met elk SIEM-/bewakingsprogramma.

U kunt dit proces stroomlijnen door diagnostische instellingen te maken voor Azure AD gebruikersaccounts en de auditlogboeken en aanmeldingslogboeken te verzenden naar een Log Analytics-werkruimte. U kunt de gewenste waarschuwingen configureren in de Log Analytics-werkruimte.

Verantwoordelijkheid: Klant

3.12: Afwijking van aanmelding bij accountaanmelding

Richtlijnen: Identiteitsbeveiliging en risicodetectiefuncties van Azure Active Directory (Azure AD) gebruiken om geautomatiseerde reacties te configureren voor gedetecteerde verdachte acties met betrekking tot gebruikersidentiteiten. U kunt ook gegevens opnemen in Microsoft Sentinel voor verder onderzoek.

Verantwoordelijkheid: Klant

Gegevensbeveiliging

Zie Azure Security Benchmark: gegevensbescherming voor meer informatie.

4.1: Een inventaris van gevoelige informatie onderhouden

Richtlijnen: Tags gebruiken om Azure-resources bij te houden die gevoelige informatie opslaan of verwerken.

Verantwoordelijkheid: Klant

4.2: Systemen isoleren die gevoelige informatie opslaan of verwerken

Richtlijnen: implementeer afzonderlijke abonnementen en/of beheergroepen voor ontwikkeling, test en productie. Zorg ervoor dat alle Virtual Network Azure Application Gateway subnetimplementaties een netwerkbeveiligingsgroep (NSG) hebben toegepast met netwerktoegangsbeheer die specifiek zijn voor de vertrouwde poorten en bronnen van uw toepassing. Hoewel netwerkbeveiligingsgroepen worden ondersteund op Azure Application Gateway, zijn er enkele beperkingen en vereisten waaraan moet worden voldaan om uw NSG en Azure Application Gateway te laten functioneren zoals verwacht.

Verantwoordelijkheid: Klant

4.3: Onbevoegde overdracht van gevoelige informatie bewaken en blokkeren

Richtlijnen: Zorg ervoor dat alle Virtual Network Azure Application Gateway subnetimplementaties een netwerkbeveiligingsgroep (NSG) hebben toegepast met netwerktoegangsbeheer die specifiek zijn voor de vertrouwde poorten en bronnen van uw toepassing. Beperk uitgaand verkeer naar alleen vertrouwde locaties om de dreiging van gegevensexfiltratie te beperken. Hoewel netwerkbeveiligingsgroepen worden ondersteund op Azure Application Gateway, zijn er enkele beperkingen en vereisten waaraan moet worden voldaan om uw NSG en Azure Application Gateway te laten functioneren zoals verwacht.

Verantwoordelijkheid: Gedeeld

4.4: Alle gevoelige informatie tijdens overdracht versleutelen

Richtlijnen: end-to-end-versleuteling configureren met TLS voor uw Azure-toepassing-gateways.

Verantwoordelijkheid: Gedeeld

4.6: Op rollen gebaseerd toegangsbeheer gebruiken om de toegang tot resources te beheren

Richtlijnen: Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) gebruiken om de toegang tot het Azure Application Gateway besturingsvlak (het Azure Portal) te beheren.

Verantwoordelijkheid: Klant

4.9: Logboek en waarschuwing bij wijzigingen in kritieke Azure-resources

Richtlijnen: Gebruik Azure Monitor met het Azure-activiteitenlogboek om waarschuwingen te maken voor wanneer wijzigingen plaatsvinden in productie-Azure Application Gateway exemplaren en andere kritieke of gerelateerde resources.

Verantwoordelijkheid: Klant

Beheer van beveiligingsproblemen

Zie de Azure Security Benchmark: Vulnerability Management voor meer informatie.

5.1: Geautomatiseerde hulpprogramma's voor scannen op beveiligingsproblemen uitvoeren

Richtlijnen: momenteel niet beschikbaar; evaluatie van beveiligingsproblemen in Microsoft Defender voor Cloud is nog niet beschikbaar voor Azure Application Gateway.

Onderliggend platform gescand en gepatcht door Microsoft. Controleer de beveiligingscontroles die beschikbaar zijn voor Azure Application Gateway om beveiligingsproblemen met betrekking tot configuratie te verminderen.

Verantwoordelijkheid: Klant

5.4: back-to-back-beveiligingsscans vergelijken

Richtlijnen: nog niet beschikbaar; evaluatie van beveiligingsproblemen in Microsoft Defender voor Cloud is nog niet beschikbaar voor Azure Application Gateway.

Onderliggend platform gescand en gepatcht door Microsoft. Controleer de beveiligingscontroles die beschikbaar zijn voor Azure Application Gateway om beveiligingsproblemen met betrekking tot configuratie te verminderen.

Verantwoordelijkheid: Klant

5.5: Gebruik een risicoclassificatieproces om prioriteit te geven aan het herstel van gedetecteerde beveiligingsproblemen

Richtlijnen: nog niet beschikbaar; evaluatie van beveiligingsproblemen in Microsoft Defender voor Cloud is nog niet beschikbaar voor Azure Application Gateway.

Onderliggend platform gescand en gepatcht door Microsoft. Controleer de beveiligingscontroles die beschikbaar zijn voor Azure Application Gateway om beveiligingsproblemen met betrekking tot configuratie te verminderen.

Verantwoordelijkheid: Klant

Inventarisatie en Asset Management

Zie de Azure Security Benchmark: Inventory and Asset Management voor meer informatie.

6.1: Geautomatiseerde oplossing voor assetdetectie gebruiken

Richtlijnen: Gebruik Azure Resource Graph om query's uit te voeren op alle resources (zoals compute, opslag, netwerk, poorten en protocollen, enzovoort) binnen uw abonnement(en). Zorg voor de juiste (lees)machtigingen in uw tenant en inventariseer alle Azure-abonnementen en resources binnen uw abonnementen.

Hoewel klassieke Azure-resources kunnen worden gedetecteerd via Resource Graph, wordt het ten zeerste aanbevolen om azure Resource Manager resources te maken en te gebruiken.

Verantwoordelijkheid: Klant

6.2: Metagegevens van assets onderhouden

Richtlijnen: Tags toepassen op Azure-resources die metagegevens geven om ze logisch te ordenen in een taxonomie.

Verantwoordelijkheid: Klant

6.3: Niet-geautoriseerde Azure-resources verwijderen

Richtlijnen: Gebruik waar nodig tags, beheergroepen en afzonderlijke abonnementen om Azure-resources te organiseren en bij te houden. Inventaris regelmatig afstemmen en ervoor zorgen dat niet-geautoriseerde resources tijdig uit het abonnement worden verwijderd.

Gebruik daarnaast Azure-beleid om beperkingen in te stellen voor het type resources dat kan worden gemaakt in klantabonnementen met behulp van de volgende ingebouwde beleidsdefinities:

  • Niet toegestane resourcetypen
  • Toegestane brontypen

Zie de onderstaande verwijzingen voor meer informatie.

Verantwoordelijkheid: Klant

6.5: Controleren op niet-goedgekeurde Azure-resources

Richtlijnen: gebruik Azure Policy om beperkingen in te stellen voor het type resources dat in uw abonnement(en) kan worden gemaakt.

Gebruik Azure Resource Graph om resources in hun abonnement(en) op te vragen/te detecteren. Zorg ervoor dat alle Azure-resources die aanwezig zijn in de omgeving, zijn goedgekeurd.

Verantwoordelijkheid: Klant

6.9: Alleen goedgekeurde Azure-services gebruiken

Richtlijnen: Gebruik Azure Policy om beperkingen in te stellen voor het type resources dat kan worden gemaakt in klantabonnementen met behulp van de volgende ingebouwde beleidsdefinities:

  • Niet toegestane resourcetypen
  • Toegestane brontypen

Zie de onderstaande verwijzingen voor meer informatie.

Verantwoordelijkheid: Klant

6.11: Beperk de mogelijkheid van gebruikers om te communiceren met Azure Resource Manager

Richtlijnen: Configureer voorwaardelijke toegang van Azure om de mogelijkheid van gebruikers om te communiceren met Azure Resource Manager te beperken door 'Toegang blokkeren' te configureren voor de App Microsoft Azure Management.

Verantwoordelijkheid: Klant

6.13: Toepassingen met een hoog risico fysiek of logisch scheiden

Richtlijnen: implementeer afzonderlijke abonnementen en/of beheergroepen voor ontwikkeling, test en productie. Zorg ervoor dat alle Virtual Network Azure Application Gateway subnetimplementaties een netwerkbeveiligingsgroep (NSG) hebben toegepast met netwerktoegangsbeheer die specifiek zijn voor de vertrouwde poorten en bronnen van uw toepassing. Hoewel netwerkbeveiligingsgroepen worden ondersteund op Azure Application Gateway, zijn er enkele beperkingen en vereisten waaraan moet worden voldaan om uw NSG en Azure Application Gateway te laten functioneren zoals verwacht.

Verantwoordelijkheid: Klant

Veilige configuratie

Zie de Azure Security Benchmark: Secure Configuration voor meer informatie.

7.1: Veilige configuraties instellen voor alle Azure-resources

Richtlijnen: Standaardbeveiligingsconfiguraties definiëren en implementeren voor netwerkinstellingen die betrekking hebben op uw Azure Application Gateway-implementaties. Gebruik Azure Policy aliassen in de naamruimte Microsoft.Network om aangepast beleid te maken om de netwerkconfiguratie van uw Azure-toepassing Gateways, Virtuele Azure-netwerken en netwerkbeveiligingsgroepen te controleren of af te dwingen. U kunt ook gebruikmaken van ingebouwde beleidsdefinitie.

Verantwoordelijkheid: Klant

7.3: Beveiligde Azure-resourceconfiguraties onderhouden

Richtlijnen: Gebruik Azure Policy [weigeren] en [implementeren als dit niet bestaat] om beveiligde instellingen af te dwingen voor uw Azure-resources.

Verantwoordelijkheid: Klant

7.5: Configuratie van Azure-resources veilig opslaan

Richtlijnen: Als u aangepaste Azure-beleidsdefinities gebruikt, gebruikt u Azure DevOps of Azure-opslagplaatsen om uw code veilig op te slaan en te beheren.

Verantwoordelijkheid: Klant

7.7: Hulpprogramma's voor configuratiebeheer implementeren voor Azure-resources

Richtlijnen: Gebruik ingebouwde Azure Policy definities en Azure Policy aliassen in de naamruimte Microsoft.Network om aangepast beleid te maken om systeemconfiguraties te waarschuwen, controleren en af te dwingen. Daarnaast ontwikkelt u een proces en pijplijn voor het beheren van beleidsonderzondering.

Verantwoordelijkheid: Klant

7.9: Geautomatiseerde configuratiebewaking implementeren voor Azure-resources

Richtlijnen: Gebruik ingebouwde Azure Policy definities en Azure Policy aliassen in de naamruimte Microsoft.Network om aangepast beleid te maken om systeemconfiguraties te waarschuwen, controleren en af te dwingen. Gebruik Azure Policy [audit], [weigeren] en [implementeren indien niet aanwezig] om automatisch configuraties voor uw Azure-resources af te dwingen.

Verantwoordelijkheid: Klant

7.11: Azure-geheimen veilig beheren

Richtlijnen: Beheerde identiteiten gebruiken om uw Azure Application Gateway te voorzien van een automatisch beheerde identiteit in Azure Active Directory (Azure AD). Met beheerde identiteiten kunt u zich verifiëren bij elke service die ondersteuning biedt voor Azure AD verificatie, inclusief Key Vault, zonder referenties in uw code.

Gebruik Azure Key Vault om certificaten veilig op te slaan. Azure Key Vault is een door het platform beheerd geheimarchief dat u kunt gebruiken om geheimen, sleutels en SSL-certificaten te beveiligen. Azure Application Gateway ondersteunt integratie met Key Vault voor servercertificaten die zijn gekoppeld aan https-listeners. Deze ondersteuning is beperkt tot de Application Gateway v2-SKU.

Verantwoordelijkheid: Klant

7.12: Identiteiten veilig en automatisch beheren

Richtlijnen: Beheerde identiteiten gebruiken om uw Azure Application Gateway te voorzien van een automatisch beheerde identiteit in Azure Active Directory (Azure AD). Met beheerde identiteiten kunt u zich verifiëren bij elke service die ondersteuning biedt voor Azure AD verificatie, inclusief Key Vault, zonder referenties in uw code.

Gebruik Azure Key Vault om certificaten veilig op te slaan. Azure Key Vault is een door het platform beheerd geheimarchief dat u kunt gebruiken om geheimen, sleutels en SSL-certificaten te beveiligen. Azure Application Gateway ondersteunt integratie met Key Vault voor servercertificaten die zijn gekoppeld aan https-listeners. Deze ondersteuning is beperkt tot de Application Gateway v2-SKU.

Verantwoordelijkheid: Klant

7.13: Onbedoelde blootstelling van referenties elimineren

Richtlijnen: Implementeer referentiescanner om referenties in code te identificeren. Door het gebruik van Credential Scanner worden gebruikers ook aangemoedigd om gedetecteerde referenties naar veiligere locaties, zoals Azure Key Vault, te verplaatsen.

Verantwoordelijkheid: Klant

Beveiliging tegen malware

Zie de Azure Security Benchmark: Malware Defense voor meer informatie.

8.1: Centraal beheerde antimalwaresoftware gebruiken

Richtlijnen: Implementeer Azure Web Application Firewall (WAF) v2 voor kritieke webtoepassingen voor aanvullende inspectie van binnenkomend verkeer. Web Application Firewall (WAF) is een service (functie van Azure Application Gateway) die gecentraliseerde beveiliging van uw webtoepassingen biedt tegen veelvoorkomende aanvallen en beveiligingsproblemen. Met Azure WAF kunt u uw Azure App Service-web-apps beveiligen door binnenkomend webverkeer te inspecteren om aanvallen zoals SQL-injecties, cross-sitescripting, malware-uploads en DDoS-aanvallen te blokkeren.

Configureer diagnostische instellingen voor uw Azure Application Gateway-implementaties. Diagnostische instellingen worden gebruikt voor het configureren van streaming-export van platformlogboeken en metrische gegevens voor een resource naar het doel van uw keuze (Opslagaccounts, Event Hubs en Log Analytics).

Verantwoordelijkheid: Klant

8.3: Zorg ervoor dat antimalwaresoftware en handtekeningen worden bijgewerkt

Richtlijnen: Wanneer u Azure Web Application Firewall (WAF) gebruikt, kunt u WAF-beleid configureren. Een WAF-beleid bestaat uit twee typen beveiligingsregels: aangepaste regels die zijn gemaakt door de klant en beheerde regelsets die een verzameling vooraf geconfigureerde regels van Azure zijn. Door Azure beheerde regelsets bieden een eenvoudige manier om beveiliging te implementeren op basis van een gemeenschappelijke set beveiligingsbedreigingen. Aangezien dergelijke regelsets worden beheerd door Azure, worden de regels zo nodig bijgewerkt om ook bescherming te bieden tegen nieuwe aanvalshandtekeningen.

Verantwoordelijkheid: Gedeeld

Gegevensherstel

Zie de Azure Security Benchmark: Gegevensherstel voor meer informatie.

9.1: Zorg voor regelmatige geautomatiseerde back-ups

Richtlijnen: Azure Application Gateway slaat geen klantgegevens op. Als u echter aangepaste Azure-beleidsdefinities gebruikt, gebruikt u Azure DevOps of Azure-opslagplaatsen om uw code veilig op te slaan en te beheren.

Azure DevOps Services maakt gebruik van veel van de functies van Azure Storage om te zorgen voor de beschikbaarheid van gegevens in het geval van hardwarestoringen, serviceonderbrekingen of een regionale noodsituatie. Daarnaast volgt het Azure DevOps-team procedures voor het beveiligen van gegevens tegen onbedoelde verwijdering of verwijdering met kwaadaardige opzet.

Verantwoordelijkheid: Klant

9.2: Volledige systeemback-ups uitvoeren en een back-up maken van door de klant beheerde sleutels

Richtlijnen: Back-ups maken van door de klant beheerde certificaten in Azure Key Vault.

Verantwoordelijkheid: Klant

9.3: Alle back-ups valideren, inclusief door de klant beheerde sleutels

Richtlijnen: Test het herstellen van back-ups van door de klant beheerde certificaten.

Verantwoordelijkheid: Klant

9.4: Beveiliging van back-ups en door de klant beheerde sleutels garanderen

Richtlijnen: Zorg ervoor dat voorlopig verwijderen is ingeschakeld voor Azure Key Vault. Met voorlopig verwijderen kunnen verwijderde sleutelkluizen en kluisobjecten, zoals sleutels, geheimen en certificaten, worden hersteld.

Verantwoordelijkheid: Klant

Reageren op incidenten

Zie Azure Security Benchmark: respons op incidenten voor meer informatie.

10.1: Een handleiding voor het reageren op incidenten maken

Richtlijnen: Stel voor uw organisatie een responshandleiding op voor gebruik bij incidenten. Zorg ervoor dat er schriftelijke responsplannen zijn waarin alle rollen van het personeel worden gedefinieerd, evenals alle fasen in het afhandelen/managen van incidenten, vanaf de detectie van het incident tot een evaluatie ervan achteraf.

Verantwoordelijkheid: Klant

10.2: Een beoordelings- en prioriteitsprocedure voor incidenten maken

Richtlijnen: Microsoft Defender voor Cloud wijst een ernst toe aan elke waarschuwing om u te helpen prioriteit te geven aan welke waarschuwingen eerst moeten worden onderzocht. De ernst is gebaseerd op hoe zeker Microsoft Defender voor Cloud is bij het vinden of de analyse die wordt gebruikt om de waarschuwing uit te geven, evenals het betrouwbaarheidsniveau dat er schadelijke intenties waren achter de activiteit die tot de waarschuwing heeft geleid.

Markeer daarnaast duidelijk abonnementen (voor bijvoorbeeld productie, niet-prod) en maak een naamgevingssysteem om Azure-resources duidelijk te identificeren en te categoriseren.

Verantwoordelijkheid: Klant

10.3: Beveiligingsreactieprocedures testen

Richtlijnen: Voer oefeningen uit om de reactiemogelijkheden van uw systemen op regelmatige basis te testen. Stel vast waar zich zwakke plekken en hiaten bevinden, en wijzig zo nodig het plan.

Verantwoordelijkheid: Klant

10.4: Contactgegevens voor beveiligingsincidenten opgeven en waarschuwingsmeldingen configureren voor beveiligingsincidenten

Richtlijnen: Contactgegevens voor beveiligingsincidenten worden door Microsoft gebruikt om contact met u op te stellen als het Microsoft Security Response Center (MSRC) detecteert dat de gegevens van de klant zijn geopend door een onrechtmatige of onbevoegde partij. Controleer incidenten na het feit om ervoor te zorgen dat problemen worden opgelost.

Verantwoordelijkheid: Klant

10.5: Beveiligingswaarschuwingen opnemen in uw incidentresponssysteem

Richtlijnen: Exporteer uw Waarschuwingen en aanbevelingen van Microsoft Defender for Cloud met behulp van de functie Continue export. Met continue export kunt u waarschuwingen en aanbevelingen handmatig of doorlopend exporteren. U kunt de Microsoft Defender for Cloud-gegevensconnector gebruiken om de waarschuwingen naar Microsoft Sentinel te streamen.

Verantwoordelijkheid: Klant

10.6: Het antwoord op beveiligingswaarschuwingen automatiseren

Richtlijnen: Gebruik de functie Werkstroomautomatisering in Microsoft Defender voor Cloud om automatisch reacties te activeren via Logic Apps voor beveiligingswaarschuwingen en -aanbevelingen.

Verantwoordelijkheid: Klant

Penetratietests en Red Team-oefeningen

Zie de Azure Security Benchmark: Penetratietests en Red Team-oefeningen voor meer informatie.

11.1: Regelmatig penetratietests uitvoeren van uw Azure-resources en ervoor zorgen dat alle kritieke beveiligingsresultaten worden hersteld

Richtlijnen: Volg de Regels voor het testen van Microsoft Cloud-penetratietests om ervoor te zorgen dat uw penetratietests niet in strijd zijn met het Microsoft-beleid. Gebruik de strategie van Microsoft en de uitvoering van Red Teaming-activiteiten, en voer een penetratietest van de live site uit op basis van een infrastructuur, services en toepassingen die door Microsoft worden beheerd.

Verantwoordelijkheid: Gedeeld

Volgende stappen