Hardening
VerdedigingNiet gebruikte functies in hardware en software uitzetten of weghalen en de rechten van andere functies waar mogelijk beperken. Zo verkleint men het aanvalsoppervlak en daarmee het risico van aanvallen.
Hardening is het systematisch verminderen van het aanvalsoppervlak van een systeem door onnodige functies, services en toegangspunten uit te schakelen of te beperken. Je maakt een systeem weerbaarder tegen cyberaanvallen door alleen te behouden wat strikt noodzakelijk is voor de beoogde functie. Denk aan het verwijderen van standaardaccounts, het dichtzetten van ongebruikte poorten, het uitschakelen van onnodige services en het toepassen van strenge configuratie-instellingen. Hardening geldt voor servers, werkstations, netwerkapparatuur, applicaties, databases en containers.
Het principe achter hardening is eenvoudig: wat niet draait, kan niet worden aangevallen. Elk actief proces, elke open poort en elke geinstalleerde applicatie is een potentieel aanvalsoppervlak. Door de footprint van een systeem te minimaliseren, reduceer je het aantal mogelijke aanvalsvectoren drastisch. Hardening is daarmee een van de meest fundamentele verdedigingsmaatregelen in cybersecurity en vormt de basis waarop andere beveiligingslagen bouwen.
Hoe werkt hardening?
Hardening begint met het vaststellen van een beveiligingsbaseline: welke configuratie-instellingen zijn vereist voor optimale beveiliging? Frameworks als de CIS Benchmarks bieden per technologie gedetailleerde richtlijnen. Er bestaan meer dan 100 benchmarks voor 25 productfamilies, van Windows Server en Linux tot netwerkapparatuur, cloudomgevingen en containertechnologieen. De benchmarks worden samengesteld door een community van meer dan 12.000 IT-beveiligingsprofessionals.
CIS Benchmarks kennen twee profielniveaus. Level 1 bevat basisaanbevelingen die eenvoudig toe te passen zijn zonder de functionaliteit of uptime te beinvloeden. Level 2 richt zich op omgevingen waar beveiliging de hoogste prioriteit heeft en vereist specialistische kennis voor implementatie. In de praktijk start je met Level 1 als minimumstandaard en overweeg je Level 2 voor systemen die gevoelige data verwerken of direct bereikbaar zijn vanaf internet.
Het hardeningproces omvat concreet het verwijderen of uitschakelen van onnodige software en services, het wijzigen van standaardwachtwoorden en -accounts, het configureren van firewalls en toegangslijsten, het inschakelen van logging en auditing, het beperken van gebruikersrechten tot het minimum (least privilege), het toepassen van bestandssysteempermissies en het activeren van beveiligingsfuncties zoals ASLR, DEP en secure boot. Elke maatregel verkleint het aanvalsoppervlak incrementeel.
Hoe implementeer je hardening?
Start met een inventarisatie van alle systemen in je omgeving. Categoriseer ze op basis van functie, risicoprofiel en bereikbaarheid. Internetgerichte systemen hebben een hoger risicoprofiel dan interne werkstations. Voor elk systeemtype selecteer je de relevante CIS Benchmark of een branchespecifieke standaard als uitgangspunt.
Automatiseer het hardeningproces waar mogelijk. Tools als Ansible, Puppet, Chef of groepsbeleid (GPO) in Windows-omgevingen maken het mogelijk om configuratie-instellingen consistent en herhaalbaar toe te passen op grote aantallen systemen. Handmatige configuratie is foutgevoelig en schaalt niet. Infrastructure-as-code principes zorgen ervoor dat nieuwe systemen automatisch gehardend worden uitgerold.
Test elke hardeningmaatregel eerst in een acceptatieomgeving die je productie spiegelt. Sommige instellingen kunnen applicaties of bedrijfsprocessen verstoren. Document welke afwijkingen van de baseline je bewust accepteert en waarom. Dit heet een exception of risicoacceptatie en is essentieel voor audits en compliance-trajecten. Onderbouw elke exception met een risicoafweging en een compenserende maatregel.
Na implementatie monitor je continu of systemen nog conform de baseline zijn geconfigureerd. Configuratiedrift, waarbij instellingen langzaam afwijken van de gewenste staat door handmatige wijzigingen of updates, is een veelvoorkomend probleem. Vulnerability scanning en configuration compliance tools detecteren afwijkingen en genereren rapportages. Integreer deze monitoring in je dagelijkse operaties, niet als periodieke controle.
Best practices voor hardening
Pas het principe van least privilege consequent toe. Elk account, elke service en elk proces krijgt alleen de minimale rechten die nodig zijn voor de beoogde functie. Verwijder standaardaccounts als Guest en Administrator of hernoem ze en geef ze een sterk, specifiek wachtwoord. Schakel accounts uit die niet actief worden gebruikt.
Schakel ongebruikte netwerkpoorten en protocollen uit. Een webserver hoeft geen FTP, Telnet of SMB te draaien. Hoe minder services actief zijn, hoe kleiner het aanvalsoppervlak. Gebruik host-based firewalls als extra verdedigingslaag naast je netwerkfirewall. Configureer ze zo dat alleen expliciet toegestaan verkeer wordt doorgelaten (default deny).
Houd firmware en besturingssystemen up-to-date via een gestructureerd patchmanagementproces. Combineer hardening met netwerksegmentatie: zelfs als een systeem gecompromitteerd raakt, beperk je de laterale bewegingsmogelijkheden van de aanvaller. Documenteer je hardeningstandaarden en review ze minimaal jaarlijks of bij significante wijzigingen in je omgeving, nieuwe dreigingen of na beveiligingsincidenten.
Vergeet applicatie-hardening niet. Configureer webservers, databases en middleware-componenten volgens beveiligingsrichtlijnen. Verwijder standaard documentatie, voorbeeldpagina's en debug-functies uit productiesystemen. Beperk HTTP-methoden tot wat de applicatie daadwerkelijk nodig heeft en configureer security headers correct.
Cloud-hardening verdient aparte aandacht. In cloudomgevingen als AWS, Azure en GCP gelden specifieke hardeningsrichtlijnen voor storage buckets, identity management, netwerkconfigugratie en logging. CIS publiceert dedicated benchmarks voor elke grote cloudprovider. Een veelgemaakte fout is het open laten staan van storage buckets of het niet beperken van API-toegang, wat regelmatig leidt tot datalekken die de media halen.
Container-hardening is relevant voor organisaties die Docker of Kubernetes gebruiken. Gebruik minimale base images, draai containers niet als root, beperk capabilities, scan images op kwetsbaarheden voor deployment en gebruik pod security policies in Kubernetes om onveilige configuraties te blokkeren. Het CIS Kubernetes Benchmark biedt gedetailleerde richtlijnen voor het hardenen van container-orchestratieplatformen.
De relatie tussen hardening en compliance is direct. Auditors bij ISO 27001, NIS2 en sectorspecifieke normen verwachten dat systemen gehardend zijn conform een erkende baseline. Het kunnen aantonen van je hardeningstandaard, de actuele compliance-status en de procedure voor het afhandelen van exceptions is een standaardonderdeel van elke beveiligingsaudit. Organisaties die dit geautomatiseerd bijhouden via configuration compliance tooling, doorstaan audits significant sneller en met minder bevindingen.
Cloud-hardening verdient aparte aandacht. In cloudomgevingen als AWS, Azure en GCP gelden specifieke richtlijnen voor storage, identity management en logging. CIS publiceert dedicated cloud-benchmarks. Container-hardening is relevant bij Docker of Kubernetes: gebruik minimale base images, draai containers niet als root en scan images op kwetsbaarheden. De relatie tussen hardening en compliance is direct. Auditors verwachten dat systemen gehardend zijn conform een erkende baseline. Geautomatiseerde configuration compliance tooling maakt dit aantoonbaar en versnelt audits significant.
Veelgestelde vragen over hardening
Wat is het verschil tussen hardening en patching?
Patching repareert bekende kwetsbaarheden in software door updates te installeren. Hardening gaat breder: je configureert het hele systeem zo dat het aanvalsoppervlak minimaal is, ongeacht bekende kwetsbaarheden. Beide zijn complementair en samen essentieel voor een robuuste beveiliging.
Hoe vaak moet je hardening uitvoeren?
Hardening is geen eenmalige actie. Voer een initieel hardeningtraject uit bij ingebruikname, controleer periodiek op configuratiedrift en herzie je baseline bij nieuwe dreigingen of systeemwijzigingen. Automatiseer compliance-checks voor continue monitoring van je gehele omgeving.
Welke frameworks gebruik je voor hardening?
CIS Benchmarks zijn de meest gebruikte standaard met meer dan 100 benchmarks voor diverse technologieen. NIST SP 800-123 biedt generieke richtlijnen voor serverbeveiliging. Leveranciers als Microsoft en Red Hat publiceren ook eigen hardeningguides voor hun platformen.
Is hardening verplicht onder NIS2?
NIS2 vereist passende technische maatregelen voor cybersecurity. Hardening is een van de basismaatregelen die toezichthouders verwachten. Het ontbreken van systeemhardening wordt als een tekortkomming beschouwd bij audits en incidentonderzoeken.
Kan hardening applicaties verstoren?
Ja, sommige hardeningmaatregelen kunnen applicaties verstoren als ze afhankelijk zijn van onveilige configuraties of verouderde protocollen. Test daarom altijd in een acceptatieomgeving en documenteer bewuste uitzonderingen op je baseline met een risicoafweging.
Versterk je systemen met de juiste configuratie. Vergelijk Configuration Reviews aanbieders op IBgidsNL.