BIO 14.05 ISO A.12.6.1

Azure App Service: Veilige Deployment Praktijken

📅 2025-01-15
⏱️ 25 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Veilige deployment praktijken voor Azure App Service zijn essentieel om te garanderen dat applicaties op een gecontroleerde, auditbare en beveiligde manier worden uitgerold. Nederlandse overheidsorganisaties moeten deployment-processen inrichten die voldoen aan BIO, NIS2 en andere compliance-kaders, waarbij wijzigingen worden getraceerd, goedgekeurd en getest voordat zij in productie komen.

Aanbeveling
IMPLEMENTEER VEILIGE DEPLOYMENT PRAKTIJKEN VOOR ALLE APP SERVICES
Risico zonder
High
Risk Score
8/10
Implementatie
140u (tech: 80u)
Van toepassing op:
App Service
Function Apps
Deployment Slots

Ongecontroleerde deployments vormen een significant beveiligings- en operationeel risico voor organisaties. Wanneer developers direct kunnen deployen naar productie-omgevingen zonder goedkeuringsprocedures, code reviews of security scans, ontstaan er kritieke kwetsbaarheden: kwetsbare code kan direct in productie belanden zonder dat security teams de kans krijgen om potentiële beveiligingslekken te identificeren en te mitigeren, configuratiefouten kunnen worden doorgevoerd die systemen blootstellen aan aanvallen of data lekken veroorzaken, er is geen audit trail van wie wat wanneer heeft gedeployed waardoor bij incidenten niet kan worden achterhaald wat de oorzaak was, rollbacks worden complex omdat niet duidelijk is welke versie van de applicatie of configuratie verantwoordelijk was voor problemen, en compliance-vereisten worden geschonden omdat frameworks zoals BIO en ISO 27001 expliciet vereisen dat wijzigingen worden gecontroleerd, goedgekeurd en gedocumenteerd. Daarnaast maakt de afwezigheid van staging-omgevingen en deployment slots het onmogelijk om wijzigingen veilig te testen voordat zij op productie worden uitgerold, wat leidt tot downtime, dataverlies of beveiligingsincidenten. Voor Nederlandse overheidsorganisaties is dit onacceptabel omdat zij verantwoordelijk zijn voor kritieke diensten die burgers continu moeten kunnen gebruiken, en omdat zij verantwoording moeten afleggen aan toezichthouders en auditoren over hoe zij beveiliging en continuïteit waarborgen.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Websites, Az.Resources, Az.Accounts

Implementatie

Dit artikel beschrijft een volledig raamwerk voor veilige deployment praktijken voor Azure App Service dat voldoet aan de eisen van de Nederlandse Baseline voor Veilige Cloud. De aanpak omvat het inrichten van deployment slots voor blue-green deployments die het mogelijk maken om nieuwe versies te testen voordat zij live gaan, het implementeren van Infrastructure as Code met Azure Resource Manager templates of Bicep om alle App Service-configuraties version controlled en reproduceerbaar te maken, het opzetten van CI/CD pipelines met Azure DevOps of GitHub Actions die automatisch security scans, code analyses en compliance-checks uitvoeren voordat deployments worden goedgekeurd, het configureren van deployment approvals en gates die vereisen dat security officers of managers expliciet goedkeuring geven voor productie-deployments, het implementeren van uitgebreide logging en monitoring die alle deployment-activiteiten vastlegt voor audit doeleinden, en het instellen van geautomatiseerde rollback-mechanismen die automatisch terugvallen op de vorige versie wanneer health checks falen. Daarnaast worden best practices beschreven voor het beheren van applicatie-instellingen en connection strings via Azure Key Vault in plaats van hardcoded secrets, het gebruik van managed identities voor authenticatie in plaats van credentials in code, en het implementeren van deployment-strategieën zoals canary deployments of gradual rollouts die het risico van problematische deployments minimaliseren. Het artikel bevat praktische implementatiegidsen voor elk onderdeel, inclusief PowerShell-scripts voor monitoring en automatisering, en beschrijft hoe deze praktijken aansluiten bij BIO controles voor change management en ISO 27001 requirements voor security in development.

Deployment Slots en Blue-Green Deployment Strategieën

Azure App Service Deployment Slots vormen de hoeksteen van veilige deployment praktijken door het mogelijk te maken om nieuwe versies van applicaties te testen in een identieke productie-omgeving voordat zij live gaan. Deze functionaliteit maakt blue-green deployments mogelijk, waarbij een nieuwe versie (de blue deployment) wordt uitgerold naar een staging slot dat exact dezelfde configuratie en omgeving deelt als de productie slot (de green deployment), maar zonder dat eindgebruikers daar last van hebben. Het proces begint met het configureren van een staging slot voor de App Service, wat kan worden gedaan via de Azure Portal onder Deployment slots of via Infrastructure as Code. Het staging slot krijgt automatisch dezelfde App Service-plan configuratie als productie, inclusief compute resources, maar heeft zijn eigen hostname en kan onafhankelijk worden beheerd. Zodra het staging slot is geconfigureerd, kunnen developers nieuwe versies van de applicatie deployen naar dit slot zonder dat de productie-omgeving wordt beïnvloed. Dit maakt het mogelijk om uitgebreide tests uit te voeren op de nieuwe versie, inclusief functionele tests, performance tests, security scans en gebruikerstests, allemaal in een omgeving die identiek is aan productie.

Na succesvolle validatie van de nieuwe versie in het staging slot, kan een swap operatie worden uitgevoerd die de staging en productie slots omwisselt. Deze swap is atomair en gebeurt binnen seconden, waardoor minimale downtime ontstaat. Het cruciale voordeel is dat als er problemen worden ontdekt na de swap, deze onmiddellijk kan worden teruggedraaid door opnieuw een swap uit te voeren, waardoor de organisatie binnen seconden terugkeert naar de vorige, werkende versie. Dit elimineert de noodzaak voor complexe rollback-procedures die vaak uren of dagen kunnen duren. Deployment slots ondersteunen ook automatische warm-up functionaliteit die ervoor zorgt dat de nieuwe versie volledig is geïnitialiseerd voordat traffic wordt gerouteerd, en custom routing rules die het mogelijk maken om bijvoorbeeld een percentage van het traffic naar de nieuwe versie te sturen voor canary testing. Voor Nederlandse overheidsorganisaties is deze aanpak essentieel omdat zij voldoen aan BIO controle 14.05 die vereist dat wijzigingen worden getest voordat zij in productie komen, en omdat zij de continuïteit van kritieke diensten moeten waarborgen. Deployment slots kosten geen extra Azure-kosten wanneer zij niet actief zijn, en de minimale compute-kosten tijdens testing zijn een kleine investering vergeleken met de risico's van directe productie-deployments.

Een geavanceerde deployment strategie die wordt ondersteund door deployment slots is de canary deployment approach, waarbij nieuwe versies geleidelijk worden uitgerolld naar een klein percentage van gebruikers voordat volledige productie-deployment plaatsvindt. Dit wordt bereikt door traffic splitting te configureren waarbij bijvoorbeeld vijf procent van het traffic naar het staging slot met de nieuwe versie gaat, terwijl vijfent negentig procent naar productie blijft gaan. Als er tijdens deze canary fase geen problemen worden gedetecteerd door monitoring en health checks, kan het percentage geleidelijk worden verhoogd naar tien, vijfentwintig, vijftig en uiteindelijk honderd procent. Dit minimaliseert het impact van potentiële bugs of performance-problemen omdat slechts een klein deel van de gebruikers wordt beïnvloed. Azure App Service ondersteunt deze aanpak via deployment slot settings die custom routing percentages kunnen configureren. Monitoring is cruciaal tijdens canary deployments: organisaties moeten real-time metrics bijhouden zoals response times, error rates, CPU en memory usage, en custom business metrics die specifiek zijn voor de applicatie. Als deze metrics significant afwijken tussen de canary en productie versies, kan de deployment onmiddellijk worden gestopt en kan traffic volledig terugkeren naar de productie versie. Deze aanpak is bijzonder waardevol voor grote, mission-critical applicaties waar zelfs kleine problemen grote impact kunnen hebben op burgers en dienstverlening.

Het beheer van deployment slots vereist duidelijke governance en procedures. Organisaties moeten documenteren welke slots beschikbaar zijn voor welke doeleinden (bijvoorbeeld staging voor pre-production testing, qa voor quality assurance testing, en dev voor development testing), wie toestemming heeft om deployments uit te voeren naar elk slot, en welke tests verplicht zijn voordat een swap naar productie mag plaatsvinden. Deze procedures moeten worden geïntegreerd in het change management proces van de organisatie, waarbij formele goedkeuring vereist is voor productie swaps maar niet noodzakelijkerwijs voor staging deployments. Deployment slot configuraties moeten worden opgenomen in Infrastructure as Code templates zodat de slot-structuur reproduceerbaar is en version controlled, en applicatie-instellingen en connection strings moeten per slot worden geconfigureerd zodat staging omgevingen bijvoorbeeld verbinding maken met test databases in plaats van productie databases. Azure App Service ondersteunt slot-specific application settings en connection strings die automatisch worden meegenomen tijdens swaps, wat betekent dat productie-instellingen zoals database connection strings behouden blijven tijdens swaps terwijl staging-specifieke instellingen zoals logging levels kunnen verschillen. Deze functionaliteit is essentieel voor het voorkomen van configuratiefouten waarbij staging configuraties per ongeluk in productie belanden.

Infrastructure as Code voor App Service Deployments

Infrastructure as Code (IaC) transformeert de manier waarop Azure App Services worden gedeployed door alle infrastructuur-configuratie te codificeren in version controlled templates die reproduceerbaar, testbaar en auditbaar zijn. Voor Nederlandse overheidsorganisaties is deze aanpak essentieel om te voldoen aan compliance-vereisten die transparantie, traceerbaarheid en controle over infrastructuur-wijzigingen eisen. Azure Resource Manager (ARM) templates, Bicep of Terraform kunnen worden gebruikt om volledige App Service-definities te beschrijven, inclusief alle beveiligingsinstellingen, networking-configuratie, scaling rules, en integraties met andere Azure-services. Deze templates worden opgeslagen in version control systemen zoals Azure DevOps Repos of GitHub, waardoor elke wijziging wordt vastgelegd met auteur, timestamp, en commit message. Dit creëert een complete audit trail die auditors kunnen gebruiken om te verifiëren dat wijzigingen correct zijn goedgekeurd en geïmplementeerd. Bovendien maakt version control het mogelijk om wijzigingen te reviewen voordat zij worden toegepast, waardoor fouten kunnen worden opgevangen voordat zij in productie belanden.

Een typische Bicep template voor een Azure App Service bevat definitie van de App Service Plan met de juiste SKU en scaling configuratie, de App Service zelf met alle beveiligingsinstellingen zoals HTTPS-only enforcement, minimum TLS versie, managed identity configuratie, en private endpoint settings, deployment slots met hun specifieke configuraties, integraties met Application Insights voor monitoring, Key Vault referenties voor applicatie-instellingen, en networking-configuratie zoals virtual network integratie of private endpoints. Door deze elementen te codificeren in plaats van handmatig te configureren via de Azure Portal, elimineren organisaties de risico's van configuratie drift waarbij handmatige wijzigingen zorgen voor verschillen tussen omgevingen, en zorgen zij ervoor dat alle omgevingen (development, staging, productie) identiek zijn geconfigureerd op het gebied van beveiliging. Bicep templates kunnen worden geparameteriseerd zodat dezelfde template kan worden gebruikt voor verschillende omgevingen door verschillende parameter files te gebruiken die omgeving-specifieke waarden bevatten, zoals verschillende Key Vault namen, App Service Plan SKU's, of private endpoint configuraties.

De deployment van Infrastructure as Code templates moet worden geïntegreerd in CI/CD pipelines die automatisch validatie en compliance-checks uitvoeren voordat templates worden toegepast. Deze pipelines moeten ARM template linter tools gebruiken die controleren op best practices, security anti-patterns, en potentiële configuratiefouten. Daarnaast moeten pipelines geautomatiseerde tests uitvoeren die templates valideren tegen organisatie-specifieke policy-as-code regels, bijvoorbeeld dat alle App Services HTTPS-only moeten hebben, managed identities moeten gebruiken, en private endpoints moeten hebben voor productie-omgevingen. Deze policy checks kunnen worden geïmplementeerd met Azure Policy of externe tools zoals Checkov of Terrascan. Pas na succesvolle validatie en eventuele approval gates mogen templates worden gedeployed naar Azure. Deze aanpak zorgt ervoor dat niet-compliant configuraties worden geblokkeerd voordat zij kunnen worden geïmplementeerd, wat veel effectiever is dan reactieve monitoring en remediatie. Voor audit doeleinden moeten alle template deployments worden gelogd met details over welke template versie is gedeployed, door wie, wanneer, en met welke parameters. Azure Resource Manager biedt native logging via Activity Logs die deze informatie vastlegt, en organisaties moeten ervoor zorgen dat deze logs worden geaggregeerd in een centrale logging-oplossing zoals Log Analytics Workspace voor langdurige retentie en analyse.

Een belangrijk aspect van Infrastructure as Code voor App Service deployments is het beheren van applicatie-instellingen en secrets. Hardcoded secrets in templates vormen een kritiek beveiligingsrisico, vooral wanneer templates worden opgeslagen in version control systemen. In plaats daarvan moeten secrets worden opgeslagen in Azure Key Vault en gerefereerd vanuit templates via Key Vault references. Bicep ondersteunt deze aanpak via de @Microsoft.KeyVault secretUri functie die dynamisch secrets ophaalt tijdens deployment. Dit betekent dat templates nooit daadwerkelijke secrets bevatten, alleen referenties naar Key Vault, waardoor secrets veilig worden beheerd met versiebeheer, automatische rotation, en audit logging via Key Vault. Application settings die geen secrets zijn, zoals feature flags of omgeving-specifieke configuraties, kunnen worden gedeployed via templates maar moeten worden gescheiden van secrets om duidelijkheid te behouden over wat gevoelige informatie is en wat niet. Voor Nederlandse overheidsorganisaties is deze scheiding essentieel om te voldoen aan AVG-vereisten voor bescherming van persoonsgegevens en BIO controles voor geheimenbeheer.

CI/CD Pipelines met Security Gates en Approvals

Continuous Integration en Continuous Deployment pipelines vormen het hart van moderne software deployment praktijken, maar zonder de juiste security gates en approval-processen kunnen zij een beveiligingsrisico vormen in plaats van een beveiligingsverbetering. Voor Azure App Service deployments moeten CI/CD pipelines worden geconfigureerd met meerdere security checkpoints die automatisch code analyseren, dependencies scannen, infrastructure templates valideren, en compliance-checks uitvoeren voordat deployments worden goedgekeurd. Het proces begint bij de commit fase, waarbij elke code commit automatisch triggers een pipeline run die een volledige reeks validaties uitvoert. Deze validaties omvatten static code analysis met tools zoals SonarQube of CodeQL die potentiële beveiligingslekken, code smells, en best practice violations detecteren, dependency scanning met tools zoals WhiteSource, Snyk of Dependabot die bekende kwetsbaarheden in open source dependencies identificeren, infrastructure template validation waarbij ARM of Bicep templates worden gecontroleerd op syntax errors, best practices, en policy compliance, en automated unit tests en integration tests die verifiëren dat de applicatie correct functioneert. Als een van deze checks faalt, moet de pipeline automatisch stoppen en de developer informeren over de gevonden problemen. Dit voorkomt dat kwetsbare code verder in het deployment-proces komt en uiteindelijk in productie belandt.

Na succesvolle validatie van code en infrastructure templates, moet de pipeline automatisch een build artifact creëren dat de applicatiecode, configuratiebestanden, en infrastructure templates bevat. Dit artifact wordt opgeslagen in een artifact repository zoals Azure Artifacts of een container registry voor containerized applicaties, en krijgt een unieke versienummer of tag die traceerbaar is naar de specifieke commit die het heeft gegenereerd. Deze traceerbaarheid is essentieel voor audit doeleinden omdat auditors moeten kunnen verifiëren welke code versie op welk moment in productie was. Vervolgens wordt het artifact gedeployed naar een staging-omgeving of deployment slot waar aanvullende tests worden uitgevoerd. Deze tests omvatten security penetration tests met tools zoals OWASP ZAP of Burp Suite die actief proberen beveiligingslekken te vinden, performance tests die verifiëren dat de applicatie onder belasting correct functioneert, en end-to-end tests die volledige gebruikersscenario's valideren. Alleen wanneer alle tests succesvol zijn, mag de pipeline verder gaan naar de deployment fase. Voor productie-deployments moeten bovendien expliciete approval gates worden geconfigureerd die vereisen dat een security officer, team lead, of manager expliciet goedkeuring geeft voordat de deployment naar productie plaatsvindt. Deze approvals kunnen worden geconfigureerd in Azure DevOps via Environments en Approval Gates, of in GitHub Actions via Environment Protection Rules.

Deployment naar productie moet altijd via deployment slots plaatsvinden, nooit direct naar de productie slot zelf. De pipeline moet eerst deployen naar een staging slot, automatische health checks uitvoeren die verifiëren dat de nieuwe versie correct start en reageert op requests, en vervolgens wachten op expliciete goedkeuring voor de swap operatie. Deze goedkeuring moet worden gegeven door iemand met de juiste autorisatie, en de goedkeuringsactie moet worden gelogd voor audit doeleinden. Na goedkeuring voert de pipeline de swap uit en monitort de productie-omgeving gedurende een vooraf gedefinieerde periode om te verifiëren dat er geen problemen ontstaan. Als tijdens deze monitoring fase problemen worden gedetecteerd, zoals verhoogde error rates, langere response times, of falende health checks, moet de pipeline automatisch een rollback kunnen uitvoeren door de swap ongedaan te maken en terug te keren naar de vorige versie. Deze automated rollback functionaliteit is cruciaal voor het minimaliseren van downtime en impact op gebruikers wanneer er onverwachte problemen optreden. De pipeline moet alle deployment-activiteiten uitgebreid loggen, inclusief wie de deployment heeft geïnitieerd, welke versie is gedeployed, wanneer de deployment plaatsvond, welke tests zijn uitgevoerd, wie goedkeuring heeft gegeven, en wat de resultaten waren van health checks en monitoring. Deze logs moeten worden opgeslagen in een centraal logging-systeem dat langdurige retentie biedt en toegankelijk is voor auditors.

Voor Nederlandse overheidsorganisaties moeten CI/CD pipelines ook compliance-checks bevatten die specifiek valideren tegen BIO, NIS2, en andere relevante frameworks. Deze checks kunnen worden geïmplementeerd als custom pipeline tasks die verifiëren dat alle vereiste beveiligingsinstellingen aanwezig zijn, bijvoorbeeld dat HTTPS-only is ingeschakeld, dat managed identities worden gebruikt voor authenticatie, dat private endpoints zijn geconfigureerd voor productie-omgevingen, en dat logging en monitoring correct zijn ingesteld. Daarnaast moeten pipelines verificatie uitvoeren dat alle applicatie-instellingen die secrets bevatten correct refereren naar Key Vault in plaats van hardcoded waarden te bevatten. Deze compliance-checks moeten falen als vereisten niet worden voldaan, waardoor niet-compliant deployments automatisch worden geblokkeerd. Het is ook belangrijk dat pipelines worden geconfigureerd met least-privilege access principles, waarbij pipeline service principals alleen de minimale Azure-machtigingen hebben die nodig zijn voor deployments. Deze service principals moeten worden gemonitord en hun activiteiten moeten worden geaudit voor detectie van anomalieën of misbruik. Door deze best practices te volgen, transformeren CI/CD pipelines van een potentiële beveiligingsrisico naar een krachtige tool voor het waarborgen van beveiliging en compliance in deployment-processen.

Monitoring en Logging van Deployment Activiteiten

Gebruik PowerShell-script app-service-deployment.ps1 (functie Invoke-Monitoring) – Monitort deployment-activiteiten en controleert compliance met deployment best practices.

Uitgebreide monitoring en logging van alle deployment-activiteiten is essentieel voor security auditing, incident response, en compliance-verificatie. Nederlandse overheidsorganisaties moeten kunnen aantonen wie welke wijzigingen heeft gemaakt, wanneer deze plaatsvonden, en wat de impact was. Azure biedt verschillende native logging-mechanismen die moeten worden geconfigureerd en gecentraliseerd voor effectieve monitoring. De Azure Activity Log bevat alle schrijf-operaties (PUT, POST, DELETE) op Azure-resources, inclusief App Service deployments, configuratiewijzigingen, en swap-operaties. Deze logs bevatten cruciale informatie zoals de gebruiker of service principal die de operatie heeft uitgevoerd, de timestamp, de resource die is gewijzigd, en de status van de operatie (geslaagd of mislukt). Activity Logs moeten worden geëxporteerd naar een Log Analytics Workspace voor langdurige retentie, query-analyse, en integratie met SIEM-systemen. Daarnaast moet Application Insights worden geconfigureerd voor alle App Services om runtime-metrics en applicatie-logs vast te leggen die inzicht geven in de prestaties en gezondheid van applicaties na deployments.

Deployment-specifieke monitoring moet real-time alerts configureren die waarschuwen wanneer deployments plaatsvinden, vooral voor productie-omgevingen. Deze alerts moeten worden verzonden naar security teams, DevOps teams, en management zodat alle relevante stakeholders op de hoogte zijn van wijzigingen. Daarnaast moeten alerts worden geconfigureerd voor anomalieën na deployments, zoals plotselinge toename in error rates, langere response times, of ongebruikelijke resource-consumptie die mogelijk wijzen op problemen met de nieuwe versie. Deze monitoring moet worden geautomatiseerd via Azure Monitor Alert Rules die queries uitvoeren op Log Analytics data en automatisch acties ondernemen wanneer drempelwaarden worden overschreden. Voor kritieke applicaties moeten automated rollback-triggers worden geconfigureerd die automatisch terugkeren naar de vorige versie wanneer bepaalde kritieke metrics buiten acceptabele bereiken vallen. Deze automated response reduceert de tijd tussen detectie van een probleem en remediatie, wat cruciaal is voor het waarborgen van service continuity.

Deployment-logs moeten worden geaggregeerd in een centraal dashboard dat security officers en auditors kunnen gebruiken om deployment-activiteiten te analyseren. Dit dashboard moet inzicht geven in deployment-frequentie per applicatie, deployment-success rates, tijd tussen deployment en eerste problemen, en compliance-status van deployments (bijvoorbeeld of alle vereiste security checks zijn uitgevoerd). Daarnaast moeten custom reports worden geconfigureerd die periodiek (bijvoorbeeld wekelijks of maandelijks) worden gegenereerd en verzonden naar management en compliance-teams. Deze reports moeten samenvatten welke deployments hebben plaatsgevonden, of deze voldeden aan alle vereisten, en of er incidenten waren gerelateerd aan deployments. Voor audit doeleinden moeten alle deployment-logs worden bewaard voor minimaal zeven jaar in overeenstemming met de Archiefwet, en moeten ze worden beschermd tegen wijziging of verwijdering. Azure Log Analytics biedt data retention opties die kunnen worden geconfigureerd voor langdurige opslag, en data export functionaliteit voor archivering in externe systemen indien nodig. Door deze monitoring en logging praktijken te implementeren, kunnen organisaties niet alleen voldoen aan compliance-vereisten maar ook proactief problemen detecteren en oplossen voordat zij grote impact hebben op gebruikers en dienstverlening.

Remediatie en Verbetering van Deployment Processen

Gebruik PowerShell-script app-service-deployment.ps1 (functie Invoke-Remediation) – Genereert rapporten en aanbevelingen voor verbetering van deployment-processen.

Wanneer monitoring en audits aantonen dat deployment-processen niet voldoen aan best practices of compliance-vereisten, moeten gestructureerde remediatie-acties worden ondernomen. De eerste stap is het identificeren van de specifieke gaps: ontbreken er deployment slots, worden deployments direct naar productie gedaan zonder staging, ontbreken er security scans in CI/CD pipelines, zijn er geen approval gates geconfigureerd, of ontbreekt er adequate logging en monitoring. Elk van deze gaps moet worden geëvalueerd op basis van risico-impact en compliance-vereisten om prioriteiten te stellen voor remediatie. High-priority items zijn directe productie-deployments zonder staging (kritiek risico op downtime en security incidents), ontbrekende security scans in pipelines (kritiek risico op kwetsbare code in productie), en ontbrekende audit logging (compliance-schending die audit failures veroorzaakt). Middel-priority items zijn ontbrekende deployment slots (operationeel risico maar geen directe compliance-schending), en ontbrekende approval gates (governance-risico maar kan worden gecompenseerd met andere controles).

Voor elk geïdentificeerd gap moet een remediatie-plan worden opgesteld dat beschrijft welke wijzigingen nodig zijn, wie verantwoordelijk is voor implementatie, welke deadlines gelden, en hoe succes wordt gemeten. Voor het implementeren van deployment slots bijvoorbeeld moet het plan beschrijven hoeveel slots nodig zijn per App Service, hoe deze worden geconfigureerd, welke tests moeten worden uitgevoerd voordat swaps plaatsvinden, en hoe bestaande deployment-processen moeten worden aangepast. Het plan moet ook rekening houden met dependencies: voordat deployment slots effectief kunnen worden gebruikt, moeten CI/CD pipelines worden aangepast om naar slots te deployen in plaats van direct naar productie, en moeten developers worden getraind in het gebruik van slots. Deze dependencies moeten worden geïdentificeerd en gepland om te voorkomen dat remediatie-acties stagneren omdat essentiële onderdelen ontbreken. Na implementatie van remediatie-maatregelen moeten deze worden gevalideerd door middel van tests die verifiëren dat de nieuwe processen correct werken en dat compliance-vereisten worden voldaan. Deze validatie moet worden gedocumenteerd en beschikbaar zijn voor auditors die moeten kunnen verifiëren dat remediatie succesvol was.

Remediatie is niet een eenmalige activiteit maar een continu proces van verbetering. Organisaties moeten periodiek (bijvoorbeeld kwartaal) evalueren of deployment-processen nog steeds effectief zijn en voldoen aan veranderende requirements. Nieuwe bedreigingen, technologieën, of compliance-vereisten kunnen aanvullende maatregelen vereisen. Daarnaast moeten lessons learned uit incidenten worden geïntegreerd in deployment-processen om te voorkomen dat vergelijkbare problemen opnieuw optreden. Als bijvoorbeeld een deployment heeft geleid tot een security incident omdat kwetsbare dependencies niet waren gescand, moeten dependency scanning requirements worden aangescherpt en geautomatiseerd in alle pipelines. Door deployment-processen continu te monitoren, evalueren en verbeteren, kunnen organisaties ervoor zorgen dat zij altijd voldoen aan best practices en compliance-vereisten, en dat zij proactief risico's mitigeren in plaats van reactief te reageren op incidenten. Deze volwassen aanpak transformeert deployment van een operationele activiteit naar een strategische capability die bijdraagt aan beveiliging, compliance, en bedrijfscontinuïteit.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Azure App Service: Veilige Deployment Praktijken .DESCRIPTION Controleert of Azure App Services voldoen aan best practices voor veilige deployments, inclusief deployment slots, Infrastructure as Code, CI/CD integratie, en audit logging. Waarom is deze control belangrijk? - Change management en controle over wijzigingen - Compliance met BIO en ISO 27001 vereisten - Preventie van ongecontroleerde productie-deployments - Audit trail voor alle deployment-activiteiten .NOTES Filename: app-service-deployment.ps1 Author: Nederlandse Baseline voor Veilige Cloud Created: 2025-01-15 Last Modified: 2025-01-15 Version: 1.0 Related JSON: content/azure/app-service/app-service-deployment.json .PARAMETER WhatIf Toont wat het script zou doen zonder daadwerkelijk wijzigingen door te voeren .PARAMETER Monitoring Voert uitgebreide compliance check uit en toont gedetailleerd rapport .PARAMETER Remediation Genereert rapporten en aanbevelingen voor verbetering .EXAMPLE .\app-service-deployment.ps1 Voert basis compliance check uit .EXAMPLE .\app-service-deployment.ps1 -Monitoring Toont gedetailleerd compliance rapport .EXAMPLE .\app-service-deployment.ps1 -Remediation Genereert aanbevelingen voor deployment-processen #> # ============================================================================ # REQUIREMENTS # ============================================================================ #Requires -Version 5.1 #Requires -Modules Az.Accounts #Requires -Modules Az.Websites #Requires -Modules Az.Resources # ============================================================================ # PARAMETERS # ============================================================================ [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation ) # ============================================================================ # GLOBAL VARIABLES # ============================================================================ $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $PolicyName = "Azure App Service: Veilige Deployment Praktijken" # ============================================================================ # FUNCTION: Connect-RequiredServices # ============================================================================ function Connect-RequiredServices { <# .SYNOPSIS Verbindt met benodigde Azure services #> [CmdletBinding()] param() Write-Verbose "Controleren van Azure verbinding..." try { $context = Get-AzContext -ErrorAction SilentlyContinue if (-not $context) { Write-Host "Verbinding maken met Azure..." -ForegroundColor Yellow Connect-AzAccount -ErrorAction Stop | Out-Null Write-Host "Verbonden met Azure" -ForegroundColor Green } else { Write-Verbose "Reeds verbonden met Azure als $($context.Account.Id)" } } catch { Write-Error "Kon niet verbinden met Azure: $_" throw } } # ============================================================================ # FUNCTION: Test-DeploymentSlots # ============================================================================ function Test-DeploymentSlots { <# .SYNOPSIS Test of App Services deployment slots hebben geconfigureerd #> [CmdletBinding()] param( [Parameter(Mandatory = $true)] [Microsoft.Azure.Commands.WebApps.Models.PSSite]$WebApp ) try { $slots = Get-AzWebAppSlot -ResourceGroupName $WebApp.ResourceGroup -Name $WebApp.Name -ErrorAction SilentlyContinue return @{ HasSlots = ($slots.Count -gt 0) SlotCount = $slots.Count SlotNames = $slots | ForEach-Object { $_.Name } } } catch { Write-Verbose "Kon deployment slots niet ophalen voor $($WebApp.Name): $_" return @{ HasSlots = $false SlotCount = 0 SlotNames = @() } } } # ============================================================================ # FUNCTION: Test-InfrastructureAsCode # ============================================================================ function Test-InfrastructureAsCode { <# .SYNOPSIS Test of App Service via Infrastructure as Code is gedeployed (Vereenvoudigde check - in productie zou dit via Azure Policy of Resource Tags zijn) #> [CmdletBinding()] param( [Parameter(Mandatory = $true)] [Microsoft.Azure.Commands.WebApps.Models.PSSite]$WebApp ) # Check voor tags die wijzen op IaC deployment $iacTags = @('CreatedBy', 'Template', 'DeploymentMethod', 'InfrastructureAsCode') $hasIacTag = $false if ($WebApp.Tags) { foreach ($tag in $iacTags) { if ($WebApp.Tags.ContainsKey($tag)) { $hasIacTag = $true break } } } return @{ HasIaCTag = $hasIacTag Tags = $WebApp.Tags } } # ============================================================================ # FUNCTION: Get-DeploymentHistory # ============================================================================ function Get-DeploymentHistory { <# .SYNOPSIS Haalt recent deployment-activiteiten op via Activity Log #> [CmdletBinding()] param( [Parameter(Mandatory = $true)] [string]$ResourceId, [Parameter()] [int]$HoursBack = 168 # 7 dagen ) try { $startTime = (Get-Date).AddHours(-$HoursBack) $endTime = Get-Date $operations = Get-AzLog -ResourceId $ResourceId ` -StartTime $startTime ` -EndTime $endTime ` -ErrorAction SilentlyContinue | Where-Object { $_.OperationName -like "*write*" -or $_.OperationName -like "*deploy*" -or $_.OperationName -like "*slot*" } return $operations } catch { Write-Verbose "Kon deployment history niet ophalen: $_" return @() } } # ============================================================================ # FUNCTION: Test-Compliance # ============================================================================ function Test-Compliance { <# .SYNOPSIS Test compliance met deployment best practices .OUTPUTS PSCustomObject met compliance resultaten #> [CmdletBinding()] param() Write-Verbose "Controleren van deployment best practices..." $result = [PSCustomObject]@{ ScriptName = "app-service-deployment" PolicyName = $PolicyName IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 Details = @() Recommendations = @() DeploymentSlotIssues = @() IaCIssues = @() LoggingIssues = @() } try { Write-Verbose "Ophalen van alle App Services..." $webApps = Get-AzWebApp -ErrorAction SilentlyContinue if (-not $webApps) { $result.Details += "Geen App Services gevonden in dit subscription" $result.IsCompliant = $true return $result } $result.TotalResources = @($webApps).Count foreach ($app in $webApps) { Write-Verbose "Controleren van App Service: $($app.Name)" $appCompliant = $true $appIssues = @() # Check 1: Deployment Slots $slotInfo = Test-DeploymentSlots -WebApp $app if (-not $slotInfo.HasSlots) { $appCompliant = $false $appIssues += "Geen deployment slots geconfigureerd" $result.DeploymentSlotIssues += @{ AppName = $app.Name ResourceGroup = $app.ResourceGroup Issue = "Geen deployment slots" } } else { Write-Verbose " Deployment slots gevonden: $($slotInfo.SlotCount)" } # Check 2: Infrastructure as Code indicators $iacInfo = Test-InfrastructureAsCode -WebApp $app if (-not $iacInfo.HasIaCTag) { $appIssues += "Geen Infrastructure as Code tags (optioneel maar aanbevolen)" $result.IaCIssues += @{ AppName = $app.Name ResourceGroup = $app.ResourceGroup Issue = "Geen IaC tags" } } # Check 3: Activity Logging (vereenvoudigde check) $resourceId = "/subscriptions/$((Get-AzContext).Subscription.Id)/resourceGroups/$($app.ResourceGroup)/providers/Microsoft.Web/sites/$($app.Name)" $recentDeployments = Get-DeploymentHistory -ResourceId $resourceId -HoursBack 168 if ($recentDeployments.Count -eq 0) { Write-Verbose " Geen recente deployment-activiteiten gevonden (mogelijk niet via Portal gedeployed)" } # Determine compliance status if ($appIssues.Count -eq 0) { $result.CompliantCount++ $result.Details += "✓ App Service '$($app.Name)' voldoet aan deployment best practices" } else { $result.NonCompliantCount++ $appCompliant = $false $issuesText = $appIssues -join "; " $result.Details += "✗ App Service '$($app.Name)': $issuesText (ResourceGroup: $($app.ResourceGroup))" if (-not $slotInfo.HasSlots) { $result.Recommendations += "Configureer deployment slots voor App Service '$($app.Name)' voor blue-green deployments" } } } # Overall compliance check $result.IsCompliant = ($result.NonCompliantCount -eq 0) # Add general recommendations if ($result.DeploymentSlotIssues.Count -gt 0) { $result.Recommendations += "Overweeg deployment slots te configureren voor alle productie App Services om veilige deployments te waarborgen" } if ($result.IaCIssues.Count -gt 0) { $result.Recommendations += "Overweeg Infrastructure as Code tags toe te voegen aan App Services voor betere traceerbaarheid" } if ($result.NonCompliantCount -gt 0) { $result.Recommendations += "Implementeer CI/CD pipelines met deployment slots voor gecontroleerde productie-deployments" $result.Recommendations += "Configureer uitgebreide logging en monitoring voor alle deployment-activiteiten" } } catch { $result.Details += "ERROR: $($_.Exception.Message)" Write-Error "Fout bij compliance check: $_" } return $result } # ============================================================================ # FUNCTION: Invoke-Monitoring # ============================================================================ function Invoke-Monitoring { <# .SYNOPSIS Monitort de compliance status van deployment praktijken #> [CmdletBinding()] param() Write-Host "`nMonitoring: Veilige Deployment Praktijken" -ForegroundColor Yellow Write-Host "===========================================" -ForegroundColor Yellow $result = Test-Compliance Write-Host "`nResultaten:" -ForegroundColor Cyan Write-Host " Totaal App Services: $($result.TotalResources)" -ForegroundColor Cyan Write-Host " Compliant: $($result.CompliantCount)" -ForegroundColor Green $color = if ($result.NonCompliantCount -gt 0) { "Red" } else { "Green" } Write-Host " Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $color if ($result.DeploymentSlotIssues.Count -gt 0) { Write-Host "`n App Services zonder deployment slots: $($result.DeploymentSlotIssues.Count)" -ForegroundColor Yellow foreach ($issue in $result.DeploymentSlotIssues) { Write-Host " - $($issue.AppName) ($($issue.ResourceGroup))" -ForegroundColor Gray } } if ($result.IaCIssues.Count -gt 0) { Write-Host "`n App Services zonder IaC tags: $($result.IaCIssues.Count)" -ForegroundColor Yellow } if ($result.Details) { Write-Host "`nDetails:" -ForegroundColor Yellow foreach ($detail in $result.Details) { $detailColor = if ($detail -like "✓*") { "Green" } elseif ($detail -like "✗*") { "Red" } else { "Gray" } Write-Host " $detail" -ForegroundColor $detailColor } } if ($result.Recommendations) { Write-Host "`nAanbevelingen:" -ForegroundColor Yellow foreach ($recommendation in $result.Recommendations) { Write-Host " → $recommendation" -ForegroundColor Cyan } } if ($result.IsCompliant) { Write-Host "`n✅ COMPLIANT - Alle App Services voldoen aan deployment best practices" -ForegroundColor Green exit 0 } else { Write-Host "`n⚠️ NON-COMPLIANT - Verbetering van deployment-processen aanbevolen" -ForegroundColor Yellow exit 1 } } # ============================================================================ # FUNCTION: Invoke-Remediation # ============================================================================ function Invoke-Remediation { <# .SYNOPSIS Genereert rapporten en aanbevelingen voor verbetering #> [CmdletBinding()] param() Write-Host "`nRemediatie: Deployment Best Practices Verbetering" -ForegroundColor Yellow Write-Host "===================================================" -ForegroundColor Yellow $result = Test-Compliance if ($result.IsCompliant) { Write-Host " Alle App Services voldoen aan best practices" -ForegroundColor Green exit 0 } Write-Host "`nGenereren van verbeteraanbevelingen..." -ForegroundColor Cyan # Generate detailed report $reportPath = "deployment-improvement-report-$(Get-Date -Format 'yyyyMMdd-HHmmss').txt" $reportContent = @" DEPLOYMENT BEST PRACTICES VERBETERINGSREPORT Nederlandse Baseline voor Veilige Cloud Gegenereerd: $(Get-Date -Format 'yyyy-MM-dd HH:mm:ss') OVERZICHT ======== Totaal App Services: $($result.TotalResources) Compliant: $($result.CompliantCount) Non-Compliant: $($result.NonCompliantCount) BEVINDINGEN =========== "@ if ($result.DeploymentSlotIssues.Count -gt 0) { $reportContent += @" DEPLOYMENT SLOTS ---------------- Aantal App Services zonder deployment slots: $($result.DeploymentSlotIssues.Count) "@ foreach ($issue in $result.DeploymentSlotIssues) { $reportContent += "- $($issue.AppName) (ResourceGroup: $($issue.ResourceGroup))`n" } $reportContent += @" AANBEVELING: Configureer deployment slots voor alle productie App Services om blue-green deployments mogelijk te maken. Dit voorkomt directe productie-deployments en maakt snelle rollbacks mogelijk. "@ } if ($result.IaCIssues.Count -gt 0) { $reportContent += @" INFRASTRUCTURE AS CODE ---------------------- Aantal App Services zonder IaC tags: $($result.IaCIssues.Count) AANBEVELING: Overweeg Infrastructure as Code tags toe te voegen aan App Services voor betere traceerbaarheid en version control van infrastructure configuratie. "@ } $reportContent += @" ALGEMENE AANBEVELINGEN ===================== 1. Implementeer deployment slots voor alle productie App Services 2. Configureer CI/CD pipelines die automatisch naar staging slots deployen 3. Implementeer approval gates voor productie deployments 4. Configureer uitgebreide logging via Activity Logs en Application Insights 5. Gebruik Infrastructure as Code (ARM/Bicep) voor alle App Service configuratie 6. Implementeer automated health checks na deployments 7. Configureer automated rollback-mechanismen voor failed deployments NEXT STEPS ========== 1. Review dit rapport met het DevOps en Security team 2. Prioriteer implementatie van deployment slots voor kritieke applicaties 3. Plan training voor teams over veilige deployment praktijken 4. Configureer Azure Policy om deployment best practices af te dwingen "@ try { $reportContent | Out-File -FilePath $reportPath -Encoding UTF8 Write-Host " ✅ Rapport gegenereerd: $reportPath" -ForegroundColor Green Write-Host "`nOpen het rapport voor gedetailleerde aanbevelingen" -ForegroundColor Cyan } catch { Write-Host " ✗ Kon rapport niet genereren: $_" -ForegroundColor Red } Write-Host "`n✅ Remediatie-rapport gegenereerd" -ForegroundColor Green exit 0 } # ============================================================================ # MAIN EXECUTION # ============================================================================ try { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Veilige Deployment Praktijken Monitoring" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan Connect-RequiredServices if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { if ($WhatIf) { Write-Host "`n=== WHATIF MODE ===" -ForegroundColor Yellow Write-Host "Zou verbeteringsrapport genereren voor: $PolicyName" -ForegroundColor Yellow Write-Host "===================`n" -ForegroundColor Yellow } else { Invoke-Remediation } } else { $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Compliance Check: $PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan if ($result.IsCompliant) { Write-Host "Status: [OK] COMPLIANT" -ForegroundColor Green Write-Host "Alle App Services voldoen aan deployment best practices" -ForegroundColor Green } else { Write-Host "Status: [WARNING] VERBETERING AANBEVOLEN" -ForegroundColor Yellow Write-Host "Aantal App Services met verbeterpunten: $($result.NonCompliantCount)" -ForegroundColor Yellow Write-Host "`nRun met -Monitoring voor gedetailleerd rapport" -ForegroundColor Cyan Write-Host "Run met -Remediation om verbeteringsrapport te genereren" -ForegroundColor Cyan } return $result } } catch { Write-Error "Error: $_" Write-Error $_.ScriptStackTrace exit 1 } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder gestructureerde deployment-processen kunnen kwetsbare code, configuratiefouten, en ongecontroleerde wijzigingen direct in productie belanden, wat leidt tot beveiligingsincidenten, data lekken, downtime, en compliance-schendingen. Gebrek aan deployment slots maakt het onmogelijk om wijzigingen veilig te testen, wat resulteert in productie-incidenten die burgers en dienstverlening beïnvloeden. Ontbrekende audit trails maken het onmogelijk om te verifiëren wie welke wijzigingen heeft gemaakt en wanneer, wat auditors ertoe brengt compliance-failures te rapporteren. Directe productie-deployments zonder goedkeuringsprocedures schenden BIO controle 14.05 en ISO 27001 change management requirements, wat kan leiden tot certificeringsproblemen en toezichtsancties.

Management Samenvatting

Veilige deployment praktijken voor Azure App Service omvatten deployment slots voor blue-green deployments, Infrastructure as Code voor version controlled configuratie, CI/CD pipelines met security gates en approvals, en uitgebreide monitoring en logging. Deze aanpak waarborgt dat wijzigingen worden getest, goedgekeurd, en getraceerd voordat zij in productie komen, voldoet aan BIO, ISO 27001 en NIS2 vereisten, en minimaliseert risico's op beveiligingsincidenten en downtime. Implementatie: 140 uur. Kritiek voor alle productie App Services.