Vanaf 30 september 2025 verandert Microsoft de manier waarop standaard internettoegang voor Azure Virtual Machines (VM’s) geregeld is. Nieuwe virtuele netwerken en VM’s krijgen vanaf dat moment géén automatische toegang meer tot het internet via de default outbound access. Deze verandering is essentieel voor meer controle, veiligheid en voorspelbaarheid van netwerkverkeer.

Belangrijk om te weten: Bestaande netwerken en VM’s blijven voorlopig werken zoals ze nu zijn ingericht, maar Microsoft adviseert om al over te stappen naar expliciete outbound configuraties zoals een NAT Gateway of Load Balancer.

In dit artikel leggen we uit waarom Microsoft deze wijziging doorvoert, wat je moet doen om voorbereid te zijn en welke best practices je kunt volgen.

Wat verandert er precies?

Tot nu toe zit Azure Outbound Access standaard in virtuele machines en virtuele netwerken zonder expliciete outbound configuratie. Dit wordt door veel organisaties – vaak onbewust – gebruikt voor bijvoorbeeld het ophalen van updates, communicatie met API’s en logging.

Vanaf 30 september 2025 verdwijnt deze standaard outbound internettoegang voor nieuwe virtuele netwerken. Outbound verkeer zal dan alleen nog mogelijk zijn via:

• Een Azure Load Balancer met outbound rules (SNAT)
• Azure NAT Gateway
• Een eigen firewall-oplossing (zoals Azure Firewall)
• Een third-party oplossing

Waarom stopt Microsoft hiermee?

De security uitdagingen nemen met de dag toe. Daarom stapt Microsoft over op een model waarbij VM’s een standaard IP-adres (Azure Outbound Access) krijgen toegewezen naar een veilige aanpak waarbij er eerst de nodige configuraties moeten worden ingesteld voordat je toegang hebt tot het Internet. Microsoft voert deze wijziging dus door om de beveiliging van VM’s en netwerken standaard op een hoger niveau te krijgen:

1. Verbeterde beveiliging: ongecontroleerde outbound internettoegang is een risico voor datalekken en aanvallen.
2. Voorspelbaarheid en controle: expliciete configuratie zorgt voor betere governance en monitoring.
3. Kostenbeheer: automatisch verkeer kan onverwachte kosten veroorzaken. Expliciete configuratie maakt dit beter inzichtelijk.

Wat zijn de risico’s voor jouw organisatie?

Laten we nogmaals voorop stellen dat deze verandering alleen van toepassing is op nieuwe Azure VM’s. Veel organisaties zijn zich echter niet bewust van het feit dat VM’s via default outbound access communiceren en dat dit straks niet meer vanzelfsprekend is. Dat maakt de impact van deze wijziging potentieel groot. Mogelijke gevolgen voor nieuwe VM’s zijn:

• Geen connectiviteit met externe APIs of endpoints
• Foutmeldingen of time-outs in applicaties
• Uitval van monitoringtools, agents of update-services
• Vertraging in CI/CD pipelines bij gebruik van publieke repositories

Voor wie is deze wijziging een risico?

Iedere organisatie die:

• Virtuele machines draait in Azure
• Geen NAT Gateway of Load Balancer heeft geconfigureerd
• Geen beleid heeft ingericht voor outbound access

Wat kan je doen vóór 30 september 2025?

Zorg dat je je inleest in deze verandering. Het is belangrijk om te weten hoe je straks voor nieuwe VM’s de Azure Outbound Access moet configureren. Ondertussen kan je alvast de volgende stappen nemen.

1. Inventariseer je outbound traffic. Gebruik Azure Network Watcher om inzicht te krijgen in het huidige outbound verkeer van je VM’s. Kijk ook naar agents, update-processen en applicaties die verbinding maken met externe endpoints.

2. Configureer een NAT Gateway of Load Balancer. Afhankelijk van jouw situatie kun je kiezen voor een eenvoudige Load Balancer met outbound rules of een Azure NAT Gateway. De NAT Gateway is aan te raden voor schaalbare en beheersbare outbound toegang.

3. Beveilig en log het verkeer. Zorg ervoor dat je firewall policies en NSG’s aansluiten bij je outbound configuratie. Voeg logging en monitoring toe via Azure Monitor en Log Analytics.

4. Pas je CI/CD en scripts aan. Controleer of scripts, deployment pipelines en agents nog werken zonder standaard internettoegang. Denk hierbij aan download locaties, software updates en authenticatie.

5. Test en documenteer. Zorg dat wijzigingen getest worden in een aparte-omgeving. Documenteer je netwerkconfiguratie zodat je altijd inzicht hebt in de connecties die plaatsvinden vanuit jouw IT-omgeving.

Waarom het slim is om nu te handelen

Hoewel bestaande implementaties blijven functioneren, is het verstandig om niet te wachten tot je gedwongen wordt te migreren. Nieuwe implementaties zullen direct gevolgen ondervinden als outbound access niet expliciet wordt geconfigureerd. Bovendien is dit je kans om meteen meer controle te krijgen over je connectie tot de buitenwereld en je beveiliging te optimaliseren.

Wij ondersteunen bij Innvolve veel organisaties bij het ontwerpen, implementeren en beveiligen van hun IT-omgeving. Onze specialisten voeren assessments uit, migreren bestaande implementaties naar moderne configuraties en zorgen voor volledige documentatie. Zo voorkom je verrassingen én voldoe je aan best practices voor cloud security en governance.

Lees ook onze andere blogs over Microsoft Azure.

Wil je graag sparren met één van onze architecten over wat dit voor jouw IT-omgeving betekend? We denken altijd graag met je mee. Neem contact op met Dirk via een (bel)afspraak die je hieronder makkelijk zelf inplant.