Sophos Firewall Health Check correct gebruiken
De Sophos Firewall Health Check is een geïntegreerde controle van de firewall-configuratie. Het toont in het Control Center of belangrijke instellingen voldoen aan de aanbevolen veiligheids- en best practice-richtlijnen. Voor beheerders is dit bijzonder nuttig omdat risicovolle configuraties zichtbaar worden voordat ze een veiligheids- of operationeel probleem veroorzaken.
De Health Check werd geïntroduceerd met Sophos Firewall v22. De functie beoordeelt configuraties onder andere tegen best practices en standaarden zoals CIS-benchmarks. Met SFOS 22.0 MR1 werd ook de onderliggende CIS-context bijgewerkt.
Videohandleiding
Welke beveiligingsartikelen zijn geschikt?
De Health Check is een goed startpunt, maar niet elke bevinding wordt in het Health-Check-artikel volledig opgelost. Voor de praktische uitvoering helpen deze ingangen:
| Situatie | Betere ingang |
|---|---|
| Bevindingen verzamelen, prioriteren en documenteren | Dit artikel |
| WebAdmin, SSH, User Portal, VPN Portal, DNS of Ping te breed toegankelijk | Sophos Firewall-toegang beveiligen: Device Access correct configureren |
| MFA voor beheerders, VPN Portal of Remote Access ontbreekt | MFA voor Sophos Firewall WebAdmin, VPN Portal en Remote Access activeren |
| XML API of automatiseringstoegang is te open | Sophos Firewall XML API-toegang beveiligen |
| Firewall-regels zijn te breed of onduidelijk | Sophos Firewall-regels begrijpen en correct configureren |
| IPS moet worden geactiveerd of gecontroleerd | Sophos Firewall IPS instellen en veilig testen |
| TLS Inspection moet worden ingevoerd | Sophos Firewall TLS Inspection correct invoeren |
| Web Protection, categorieën of directe waarschuwingen zijn relevant | Sophos Firewall Web-categorieën en directe waarschuwingen gebruiken |
| DNS-bescherming moet via Sophos Central worden beheerd | Sophos DNS Protection met Sophos Firewall instellen |
| Threat Feeds, NDR of Active Threat Response moeten bevindingen leveren | Sophos Firewall NDR en Active Threat Response beheren |
| Configuratiewijzigingen moeten traceerbaar zijn | Sophos Firewall Audit Trail Logs controleren |
Deze indeling voorkomt twee typische fouten: bevindingen worden ofwel alleen als dashboardmelding beschouwd zonder ze technisch af te handelen, of beschermingsfuncties worden algemeen geactiveerd zonder logging, uitzonderingen en verantwoordelijkheden te verduidelijken.
Waarvoor de Health Check bedoeld is
De Health Check is geen klassieke systeemstatus en geen hardware-sensor. Hij controleert niet of een voeding defect is of een SSD binnenkort uitvalt. Daarvoor zijn andere operationele controles geschikt, zoals SSD-gezondheid controleren of HA- en hardwaremonitoring.
De Health Check beantwoordt eerder deze vragen:
- Zijn administratieve toegangen te breed geopend?
- Is MFA voor kritieke logins geactiveerd?
- Zijn firewall-regels te open opgesteld?
- Zijn back-ups, hotfixes, logging of Central-functies goed voorbereid?
- Wijkt de configuratie af van aanbevolen veiligheidsstandaarden?
- Zijn er bevindingen die voor een audit of go-live moeten worden opgelost?
Het is daarmee een goed hulpmiddel voor versterking, beoordeling en wijzigingscontrole. Het vervangt echter geen goede architectuur, geen documentatie van regels en geen handmatige beoordeling.
⚠️ Een groene Health Check betekent niet automatisch dat de firewall veilig is gepland. Het toont aan of bepaalde controleerbare instellingen kloppen. Netwerkontwerp, bedrijfslogica, uitzonderingen, gebruikersgroepen en bedrijfsprocessen moeten nog steeds professioneel worden beoordeeld.
Score niet als doel op zich beschouwen
De Health Check is nuttig, maar de score moet niet een doel op zich worden. Sommige punten zijn duidelijke veiligheidsbasisprincipes, zoals MFA, hotfixes, wachtwoordregels, beperkte WebAdmin-toegang, back-ups of IPS. Andere punten zijn meer afhankelijk van het Sophos-ecosysteem, de licenties of het bedrijfsmodel.
Daarom moet men niet elke aanbeveling alleen activeren om de weergave groen te maken. Een voorbeeld is de Login disclaimer: in audit- of compliance-omgevingen kan een login-melding vereist zijn. In veel normale bedrijfsomgevingen veroorzaakt het echter vooral een extra klik bij elke login en biedt het praktisch geen technische veiligheidswinst. Als daardoor alleen de Health-Check-score stijgt, is de meerwaarde beperkt.
Hetzelfde geldt voor functies zoals DNS Protection, MDR threat feeds, NDR Essentials, Sophos X-Ops, Synchronized Application Control of Sophos Central Reporting. Deze functies kunnen zinvol zijn als ze gelicentieerd, begrepen, bewaakt en in de praktijk echt gebruikt worden. Blind inschakelen moet men ze echter niet, alleen omdat de Health Check ze aanbeveelt. Doorslaggevend is altijd: vermindert de maatregel een echt risico in deze omgeving, en is er een eigenaar voor het beheer, uitzonderingen en false positives?
Als vuistregel:
| Categorie | Beoordeling |
|---|---|
| Internetblootgestelde beheerstoegangen, MFA, hotfixes, back-ups, wachtwoordregels, IPS | Meestal echte veiligheids- of bedrijfsbasisprincipes. Deze punten moeten zeer serieus worden genomen. |
| Logging, rapportage, meldingen, NTP | Belangrijk voor beheer en traceerbaarheid. De concrete weg hangt echter af van het bedrijfsmodel. |
| DNS Protection, NDR, MDR threat feeds, X-Ops, Synchronized Security | Zinvol als de functie wordt gebruikt, gelicentieerd, bewaakt en in processen is geïntegreerd. Niet automatisch beter alleen vanwege de score. |
| Login disclaimer | Meestal eerder een compliance-/meldingsfunctie dan een technische beschermingsmaatregel. Alleen activeren als het echt vereist of gewenst is. |
Health Check openen
De Health-Check-status verschijnt in het Control center. De detailweergave is ook te vinden via het hoofdmenu:
Firewall health check
Daar ziet men het aantal gecontroleerde configuraties, de conforme punten en de niet-conforme punten. Sophos toont niet-conforme vermeldingen naar ernst. De gegevens worden bijgewerkt wanneer een bewaakte configuratie verandert. Hierdoor is de Health Check ook geschikt voor een directe opvolging na wijzigingen.
Voor de beoordeling moet men niet alleen de algehele status noteren. Belangrijker zijn de concrete bevindingen, de risicocontext en de geplande maatregel. Een enkele kritische bevinding over de WAN-bereikbaarheid van de WebAdmin is in de praktijk belangrijker dan meerdere lage bevindingen zonder internetblootstelling.
Overzicht van de 31 Health-Check-controles
De volgende lijst is gebaseerd op de Engelse Health-Check-weergave. De status is bewust niet vermeld, omdat deze per firewall verschilt. Belangrijker is welke controle bedoeld is en hoe men deze professioneel beoordeelt.
| Nr. | Controle | Module | Standaard | Ernst | Beoordeling |
|---|---|---|---|---|---|
| 1 | Synchronized Application Control moet geactiveerd zijn. | Active threat response | Recommended | Medium | Zinvol in Sophos-Endpoint-omgevingen. In gemengde of Microsoft-Defender-omgevingen eerst controleren of de functie daadwerkelijk gegevens levert. |
| 2 | NDR Essentials moet geactiveerd zijn en ten minste één interface bewaken. | Active threat response | Recommended | Medium | Alleen waardevol als de bewaakte interfaces zinvol zijn gekozen en bevindingen later worden geëvalueerd. |
| 3 | Sophos X-Ops moet geactiveerd zijn, actie Log and drop. | Active threat response | CIS | High | Veiligheidsrelevant als Threat Feeds actief worden gebruikt. False positives en logging moeten worden gecontroleerd. |
| 4 | MDR threat feeds moeten geactiveerd zijn, actie Log and drop. | Active threat response | Recommended | High | Alleen zinvol als MDR of passende Threat-Feed-functies gelicentieerd en operationeel zijn geïntegreerd. |
| 5 | Een firewall-regel moet Synchronized Security Heartbeat gebruiken. | Active threat response and Advanced security | CIS | Medium | Sterke meerwaarde met Sophos Endpoint. Zonder Sophos Endpoint niet alleen als score-onderwerp beschouwen. |
| 6 | Security Heartbeat moet geactiveerd zijn. | Active threat response and Advanced security | CIS | High | Belangrijk als Sophos Endpoint wordt gebruikt. Anders moet eerst het Endpoint-ontwerp worden verduidelijkt. |
| 7 | Login disclaimer moet geactiveerd zijn. | Admin settings | CIS | Medium | Compliance-onderwerp. Technisch weinig beschermingswaarde, maar veroorzaakt een extra klik bij het inloggen. |
| 8 | Hotfix setting moet geactiveerd zijn. | Admin settings | CIS | High | Zeer belangrijk. Hotfixes moeten in productieve omgevingen actief zijn, mits het wijzigingsproces dat toestaat. |
| 9 | Inactieve sessies moeten worden beëindigd en logins na mislukte pogingen geblokkeerd. | Admin settings | CIS | High | Duidelijke login-versterking. Vooral belangrijk bij blootgestelde portalen en beheertoegangen. |
| 10 | Wachtwoordcomplexiteit moet voor gebruikers zijn geconfigureerd. | Admin settings | CIS | High | Zinvol, vooral bij lokale gebruikers en portalen. Bij externe IdP ook het wachtwoord- en MFA-beleid daarvan controleren. |
| 11 | Wachtwoordcomplexiteit moet voor beheerders zijn geconfigureerd. | Admin settings | CIS | High | Basisversterking. Nog belangrijker zijn individuele beheerders, MFA en beperkte toegang. |
| 12 | DNS Protection moet geconfigureerd en actief zijn. | Advanced security | Recommended | Medium | Niet algemeen activeren. DNS Protection is zinvol als Central-DNS-beleid en rapportage echt worden gebruikt. |
| 13 | MFA moet voor Remote Access VPN-logins actief zijn. | Authentication | CIS | High | Zeer belangrijk voor SSL VPN en IPsec Remote Access. Uitrol plannen met fallback-beheerder en testgebruikers. |
| 14 | MFA moet voor WebAdmin Console en VPN Portal actief zijn. | Authentication | CIS | High | Zeer belangrijk, vooral als portalen vanuit minder sterk gecontroleerde netwerken bereikbaar zijn. |
| 15 | Verbindingen met authenticatieservers moeten versleuteld zijn. | Authentication servers | CIS | Medium | Belangrijk bij AD/LDAP/RADIUS-koppelingen. Onversleutelde authenticatie vermijden. |
| 16 | Back-ups moeten op de firewall of in Sophos Central gepland zijn. | Backup & restore | CIS | Low | Lage ernst, maar in geval van nood extreem belangrijk. Herstelproces ook testen. |
| 17 | Public-Key-authenticatie moet voor SSH geactiveerd zijn. | Device access | Recommended | High | Zeer zinvol. Daarnaast SSH alleen uit vertrouwde netwerken toestaan. |
| 18 | User Portal moet niet vanuit de WAN-zone bereikbaar zijn. | Device access | Recommended | High | In veel omgevingen juist. Als WAN-toegang nodig is, sterk beperken en MFA gebruiken. |
| 19 | WebAdmin Console moet niet vanuit de WAN-zone bereikbaar zijn. | Device access | CIS | High | Een van de belangrijkste punten. WebAdmin nooit breed op het internet openen. |
| 20 | MFA moet voor de standaardbeheerder geconfigureerd zijn. | Device access | CIS | High | Belangrijk, maar beter is daarnaast een schoon beheerproces met persoonlijke beheerdersaccounts. |
| 21 | Notificatie-e-mails moeten voor systeem- en beveiligingsevenementen geconfigureerd zijn. | Notification settings | CIS | Low | Operationeel belangrijk. Alternatief of daarnaast monitoring, Syslog, SIEM of Central Alerts integreren. |
| 22 | Automatische patroonupdates moeten geactiveerd zijn. | Pattern updates | CIS | High | Basisbeheer. Zonder actuele patronen verliezen veel beschermingsfuncties aan waarde. In Air-Gap-omgevingen is een handmatig patroon- en licentieproces nodig. |
| 23 | Een webbeleid moet in een firewall-regel geselecteerd zijn. | Rules and Policies | Recommended | Medium | Zinvol voor gebruikers-webverkeer. Niet blind toepassen op server-naar-server- of speciaal verkeer. |
| 24 | Zero-day bescherming moet in een firewall-regel geselecteerd zijn. | Rules and Policies | CIS | High | Zinvol voor passende web- en downloadpaden. Licentie, prestaties en false positives in acht nemen. |
| 25 | IPS moet geactiveerd zijn en een IPS-beleid moet in een firewall-regel geselecteerd zijn. | Rules and Policies | CIS | High | Zeer belangrijk beschermingspunt. IPS moet echter per verkeerspad passend worden gekozen en gelogd. |
| 26 | Een Application-Control-beleid moet in een firewall-regel geselecteerd zijn. | Rules and Policies | CIS | Medium | Zinvol voor client-internetregels. Bij kritisch verkeer eerst testen. |
| 27 | Een SSL/TLS Inspection Rule moet actie Decrypt gebruiken. | Rules and Policies | CIS | High | Niet blind activeren. TLS Inspection vereist CA-distributie, uitzonderingen, pilotfase en probleemoplossingsproces. |
| 28 | Een Allow-regel moet niet overal Any bij netwerk- en servicevelden gebruiken. | Rules and Policies | CIS | Medium | Zeer belangrijk voor regelhygiëne. Any kan bewust nodig zijn, maar moet dan worden verantwoord en gelogd. |
| 29 | Sophos Central Reporting moet geactiveerd zijn. | Sophos central | Recommended | Medium | Nuttig voor rapportage en langere evaluaties. Niet verplicht als Syslog/SIEM goed wordt beheerd. |
| 30 | De firewall moet voor Sophos Central Management geregistreerd en Central Management geactiveerd zijn. | Sophos central | Recommended | Medium | Praktisch voor centraal beheer, back-ups en rapportage. Niet elke omgeving wil of heeft cloudbeheer nodig. |
| 31 | Een NTP-server moet geconfigureerd zijn. | Time | CIS | Low | Basisvereiste. Zonder correcte tijd lijden logs, certificaten, authenticatie en probleemoplossing. |
Bevindingen correct prioriteren
Niet elke bevinding heeft in elke omgeving dezelfde betekenis. Een goede beoordeling sorteert de vermeldingen daarom niet alleen op technische ernst, maar ook op blootstelling en operationeel risico.
Deze volgorde heeft zich bewezen:
- Internetblootgestelde beheer- en portaltoegangen controleren.
- MFA en login-veiligheid voor beheerders, VPN Portal, User Portal en Remote Access controleren.
- Firewall-regels met te brede bronnen, doelen of services opruimen.
- Logging, back-ups en hotfixes controleren.
- Beschermingsfuncties per regel controleren, zoals IPS, webbeleid, Application Control, TLS Inspection of Zero-Day Protection.
- Central, rapportage of NDR-bevindingen daarna beoordelen of de functie in de omgeving echt wordt gebruikt en beheerd.
De volgorde is pragmatisch: eerst de zaken die direct op het internet zichtbaar zijn of toegang tot de firewall toestaan. Daarna regelhygiëne en beschermingsfuncties. Daarna operationele en ecosysteemonderwerpen.
Typische bevindingen en passende maatregelen
WebAdmin, User Portal of VPN Portal is te breed toegankelijk
Als administratieve of gebruikersportalen vanuit te veel zones toegankelijk zijn, neemt het risico toe door scans, brute-force pogingen en credential stuffing. Het belangrijkste artikel hierover is Sophos Firewall-toegang beveiligen: Device Access correct configureren.
Voor productieve omgevingen moet men controleren:
- Is WebAdmin vanuit de WAN-zone echt nodig?
- Is er een Local Service ACL Exception Rule voor management-IP of beheernetwerk?
- Is SSH alleen vanuit vertrouwde netwerken toegestaan?
- Zijn User Portal en VPN Portal alleen daar bereikbaar waar ze nodig zijn?
MFA ontbreekt of is niet consequent geactiveerd
MFA hoort minimaal op administratieve toegangen en Remote Access. Als de Health Check MFA-bevindingen toont, moet men niet blind voor alle gebruikers tegelijk overschakelen. Beter is een gecontroleerde uitrol met testgebruiker, fallback-beheerder en een goed tokenproces.
De praktische handleiding staat in MFA voor Sophos Firewall WebAdmin, VPN Portal en Remote Access activeren.
Firewall-regels zijn te open
Zeer brede regels met Any bij bron, doel of service zijn vaak historisch gegroeid. Niet elke brede regel is automatisch fout, maar elke moet worden verantwoord.
Voor de opruiming zijn deze vragen nuttig:
- Welke zone mag echt op welke zone toegang hebben?
- Zijn doelnetwerken of services te beperken?
- Is logging actief, zodat treffers zichtbaar worden?
- Zijn er oude testregels of tijdelijke uitzonderingen?
- Kan de regel in meerdere begrijpelijkere regels worden opgesplitst?
De basisprincipes staan in Sophos Firewall-regels begrijpen en correct configureren. Als onduidelijk is welke regel van toepassing is, helpt Firewall-regel testen met Log Viewer, Policy Test en Packet Capture.
Back-ups, hotfixes en updateproces ontbreken
Een Health Check kan wijzen op ontbrekende back-ups of update-/hotfix-onderwerpen. Deze punten lijken minder spectaculair dan portalblootstelling, maar zijn in geval van nood cruciaal.
Voor grotere wijzigingen moet men een back-up maken en weten hoe een herstel werkt. De procedure is beschreven in Sophos Firewall Backup maken of herstellen. Voor firmware-onderwerpen past Sophos Firewall Firmware Update - Voorbereiding en Best Practices.
Logging en rapportage zijn onvolledig
Als logs ontbreken, is de operatie blind. De Health Check kan aanwijzingen geven over logging- of rapportageonderwerpen, maar de eigenlijke beslissing hangt af van het bedrijfsmodel.
Voor lokale analyse zijn Log Viewer, service-logs en Packet Capture relevant. Voor langere bewaring is Central Firewall Reporting of Syslog/SIEM nodig. Als niet afzonderlijke logevents, maar verkeersstromen, bandbreedtepiekken of opvallende communicatiepatronen moeten worden onderzocht, past daarnaast sFlow Monitoring. De lokale basisprincipes staan in Sophos Firewall Troubleshooting: Services en Logs.
Beschermingsfuncties zijn niet in regels actief
Een veelvoorkomend punt zijn regels zonder IPS, webbeleid, Application Control, TLS Inspection of Zero-Day Protection. Hier moet men niet alles blind activeren, maar het verkeerspad begrijpen.
Voorbeelden:
- Gebruikers-webverkeer vereist andere controles dan server-naar-server-verkeer.
- TLS Inspection moet gepland worden ingevoerd, omdat het applicaties kan verstoren.
- IPS en Application Control vereisen logging en een beoordelingsroutine.
- NDR- of Threat-Feed-functies helpen alleen als bevindingen later ook worden geëvalueerd.
Voor TLS Inspection past Sophos Firewall TLS Inspection correct invoeren. Voor Threat Feeds past Sophos Firewall Threat Feeds.
Overrides bewust documenteren
Sophos Firewall staat toe om de status van afzonderlijke controles handmatig te overschrijven. Dit kan zinvol zijn als een aanbeveling in de eigen omgeving bewust niet wordt uitgevoerd.
Overrides moeten echter niet als opruimfunctie worden misverstaan. Als een punt wordt overschreven, moet worden gedocumenteerd:
- Waarom is de aanbeveling niet passend?
- Wie heeft de beslissing goedgekeurd?
- Geldt de uitzondering permanent of slechts tijdelijk?
- Wanneer wordt deze opnieuw beoordeeld?
- Is er een compenserende maatregel?
⚠️ Een override is geen oplossing. Het is een bewuste risicoacceptatie of een gedocumenteerde uitzondering. Zonder reden verzwakt een override de waarde van de Health Check.
Resultaat correct documenteren
Een Health-Check-beoordeling moet een traceerbaar resultaat opleveren. Anders ziet men wel kort een dashboard, maar weet men later niet meer welke beslissing is genomen en welke punten nog openstaan.
Voor kleine omgevingen volstaat vaak een eenvoudige tabel:
| Veld | Doel |
|---|---|
| Datum | Wanneer is de Health Check gecontroleerd? |
| Firmware | Op welke SFOS-versie is beoordeeld? |
| Bevinding | Welke niet-conforme punt is gemeld? |
| Risico | Waarom is het punt in deze omgeving relevant of minder relevant? |
| Maatregel | Wat wordt gewijzigd, getest of bewust geaccepteerd? |
| Verantwoordelijke | Wie lost het punt professioneel of technisch op? |
| Termijn | Tegen wanneer moet de maatregel zijn uitgevoerd of opnieuw worden beoordeeld? |
| Bewijs | Screenshot, ticket, wijzigings-ID of audit-log-verwijzing |
Bij productieve firewalls moet het bewijs niet alleen uit een screenshot bestaan. Als een configuratie is gewijzigd, horen wijzigingsticket, audit trail, betrokken firewall-regel en resultaat van de opvolging samen. Voor wijzigingen aan regels, interfaces, hosts en services is Sophos Firewall Audit Trail Logs controleren bijzonder nuttig.
Na wijzigingen opnieuw controleren
Na een oplossing moet men de Health Check opnieuw openen en controleren of de bevinding echt verdwenen is. Daarnaast is een technische functietest nodig, omdat een groene status alleen niet bewijst dat het productieve verkeer nog steeds correct verloopt.
Voorbeelden:
- Na een wijziging aan Device access controleren of beheertoegang vanuit het beoogde beheernetwerk nog werkt en vanuit ongewenste netwerken niet meer bereikbaar is.
- Na MFA-wijzigingen met een testgebruiker aanmelden en de fallback-beheerder apart controleren.
- Na wijzigingen in het regelwerk Log Viewer, Policy Test en betrokken applicaties testen.
- Na logging- of rapportagewijzigingen controleren of nieuwe gebeurtenissen lokaal, in Sophos Central of in de Syslog echt zichtbaar zijn.
- Na een override een herinnering instellen, zodat de uitzondering niet permanent wordt vergeten.
Als meerdere bevindingen tegelijkertijd worden behandeld, moet men de wijzigingen in kleine blokken opdelen. Anders is bij een later probleem onduidelijk of Device Access, MFA, firewall-regels, TLS Inspection of een andere wijziging de oorzaak was.
Health Check als operationeel proces gebruiken
De Health Check is het sterkst als hij regelmatig en na belangrijke wijzigingen wordt uitgevoerd.
Geschikte tijdstippen:
- na de eerste configuratie of een go-live,
- voor en na grotere wijzigingen in het regelwerk,
- voor firmware-upgrades,
- na herstel of hardwarevervanging,
- na migraties of grotere architectuurwijzigingen,
- voor audits,
- driemaandelijks als beveiligingsbeoordeling.
Voor wijzigingen zelf moet daarnaast de audit trail worden gebruikt. Het artikel Sophos Firewall Audit Trail Logs controleren legt uit hoe men configuration-audit.log evalueert en configuratiewijzigingen traceert.
Praktische beoordelingsprocedure
Een pragmatische Health-Check-beoordeling verloopt als volgt:
- Health Check in het Control Center openen.
- Niet-conforme bevindingen naar ernst sorteren.
- Internetblootgestelde diensten en beheertoegangen eerst controleren.
- MFA-, wachtwoord- en sessiethema’s behandelen.
- Brede firewall-regels identificeren en met Log Viewer valideren.
- Back-up, hotfixes, logging en rapportage controleren.
- Beschermingsfuncties per regel beoordelen.
- Gerechtvaardigde uitzonderingen documenteren in plaats van zonder commentaar te overschrijven.
- Na wijzigingen opnieuw controleren.
- Resultaat met datum, behandelaar en openstaande punten documenteren.
Voor terugkerende beoordelingen volstaat vaak een eenvoudige tabel met bevinding, risico, maatregel, verantwoordelijke, status en herinnering. Belangrijk is dat bevindingen niet alleen worden bekeken, maar worden afgehandeld of bewust geaccepteerd.
Grenzen
De Health Check is nuttig, maar heeft duidelijke grenzen.
- Hij kent niet de volledige bedrijfslogica van de omgeving.
- Hij beoordeelt niet of een regel professioneel nodig is.
- Hij vervangt geen netwerksegmentatie en geen zonemodel.
- Hij herkent niet automatisch elke risicovolle uitzondering.
- Hij vervangt geen extern audit en geen handmatige regelbeoordeling.
- Hij zegt niet of waarschuwingen later ook worden behandeld.
Daarom moet men de Health Check als startpunt zien. Hij maakt zichtbare afwijkingen tastbaar, maar de eigenlijke veiligheidskwaliteit ontstaat door goede architectuur, schone processen en consequente verzorging.
Operationele checklist
- Health Check na go-live en na grote wijzigingen uitvoeren.
- Bevindingen naar ernst en blootstelling prioriteren.
- WAN-bereikbaarheid van WebAdmin, SSH, User Portal en VPN Portal controleren.
- MFA voor beheerders, portalen en Remote Access activeren.
- Brede firewall-regels opruimen of verantwoorden.
- Logging in belangrijke regels inschakelen.
- Back-ups en herstelproces controleren.
- Hotfix- en firmwareproces documenteren.
- Overrides alleen met reden instellen.
- Health-Check-resultaat regelmatig documenteren.