L1 BIO 12.03.01 ISO A.8.13 CIS 7.3

Immutabele Backup-kluizen Geconfigureerd

📅 2025-01-27
⏱️ 18 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Immutabele backup-kluizen vormen een kritieke beveiligingslaag tegen ransomware-aanvallen en onbevoegde verwijdering van back-ups binnen Azure Recovery Services Vaults. Deze functionaliteit voorkomt dat back-ups kunnen worden gewijzigd, versleuteld of verwijderd gedurende een vooraf gedefinieerde retentieperiode, zelfs door beheerders met volledige rechten. Voor Nederlandse overheidsorganisaties die essentiële diensten leveren en voldoen aan strikte compliance-eisen zoals BIO, NIS2 en ISO 27001, biedt immutabele opslag een laatste verdedigingslinie tegen geavanceerde cyberdreigingen die specifiek gericht zijn op het vernietigen of gijzelen van back-ups. Door immutabele opslag te activeren op Recovery Services Vaults, kunnen organisaties aantoonbaar voldoen aan de eis dat back-ups beschermd zijn tegen zowel externe aanvallen als interne bedreigingen, wat essentieel is voor het behalen van een volwassen security posture binnen de Nederlandse Baseline voor Veilige Cloud.

Aanbeveling
Implementeer immutabele opslag op alle Recovery Services Vaults die kritieke workloads bevatten zodat back-ups beschermd zijn tegen ransomware-aanvallen, onbevoegde verwijdering en insider threats, en voldoen aan compliance-eisen zoals BIO, ISO 27001 en NIS2.
Risico zonder
Critical
Risk Score
10/10
Implementatie
12u (tech: 8u)
Van toepassing op:
Recovery Services Vaults
Azure Backup
Ransomware Protection
Critical Workloads

Ransomware-aanvallen richten zich steeds vaker specifiek op back-upsystemen omdat aanvallers beseffen dat zonder functionerende back-ups organisaties gedwongen zijn om losgeld te betalen. Moderne ransomware-varianten zoals LockBit, BlackCat en Conti bevatten geavanceerde functies die automatisch Recovery Services Vaults detecteren, back-ups versleutelen of verwijderen, en zelfs back-upagents uitschakelen voordat de primaire systemen worden getroffen. Zonder immutabele opslag kunnen aanvallers die toegang hebben verkregen tot beheeraccounts, zelfs met multi-factor authenticatie, back-ups volledig verwijderen binnen enkele minuten. Dit gebeurt vaak buiten kantooruren wanneer monitoring minder alert is, waardoor organisaties pas bij het incident ontdekken dat alle herstelpunten zijn vernietigd. Voor Nederlandse overheidsorganisaties die kritieke infrastructuur beheren, zoals gemeenten, waterschappen of zorginstellingen, kan dit leiden tot wekenlange uitval van essentiële diensten, massale datalekken, en onherstelbare schade aan het vertrouwen van burgers. Bovendien vereisen compliance-kaders zoals BIO paragraaf 12.03, ISO 27001 control A.8.13 en de NIS2-richtlijn artikel 21 dat organisaties aantoonbaar maatregelen hebben getroffen om back-ups te beschermen tegen zowel externe als interne bedreigingen. Zonder immutabele opslag mislukt iedere audit op dit onderdeel, wat kan resulteren in aanwijzingen, dwangsommen of zelfs intrekking van vergunningen. Daarnaast kunnen insider threats, of het nu gaat om kwaadwillende medewerkers of gecompromitteerde accounts, back-ups verwijderen uit wraak, financieel gewin of onwetendheid. Immutabele opslag voorkomt dit door een onomkeerbare retentieperiode in te stellen die zelfs door de eigenaar van de kluis niet kan worden gewijzigd of verkort.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.RecoveryServices, Az.Resources

Implementatie

Dit artikel beschrijft hoe immutabele backup-kluizen worden geconfigureerd in Azure Recovery Services Vaults en hoe deze functionaliteit bescherming biedt tegen ransomware-aanvallen, onbevoegde verwijdering en insider threats. We gaan diep in op de technische implementatie van immutabele opslag via soft delete en resource locks, het configureren van retentieperiodes die aansluiten bij compliance-vereisten, en het monitoren van immutabele back-ups om te waarborgen dat de bescherming actief blijft. Daarnaast behandelen we hoe immutabele opslag integreert met bestaande back-upstrategieën, welke kostenoverwegingen relevant zijn, en hoe organisaties kunnen voldoen aan auditvereisten door aantoonbaar te maken dat back-ups beschermd zijn tegen wijziging en verwijdering. Het artikel bevat ook een PowerShell-script voor het configureren en monitoren van immutabele backup-kluizen, inclusief validatie van de actieve bescherming en rapportage over compliance status.

Vereisten voor Immutabele Backup-kluizen

Voordat immutabele opslag kan worden geactiveerd op een Recovery Services Vault, moet eerst een volledig functionerende vault aanwezig zijn met actieve back-ups van kritieke resources. De vault moet zijn geconfigureerd met de juiste replicatiemethode (bijvoorbeeld Geo-Redundant Storage voor disaster recovery) en moet beschikken over voldoende opslagcapaciteit om immutabele back-ups te bewaren gedurende de volledige retentieperiode. Het is belangrijk om te realiseren dat immutabele opslag een onomkeerbare retentieperiode instelt die niet kan worden verkort, zelfs niet door de eigenaar van de kluis of door Microsoft support. Daarom moet de retentieperiode zorgvuldig worden gekozen op basis van compliance-vereisten, bedrijfscontinuïteitsdoelstellingen en kostenoverwegingen. Organisaties moeten een formeel goedgekeurd beleid hebben dat beschrijft welke workloads immutabele opslag vereisen, welke retentieperiodes van toepassing zijn, en hoe uitzonderingen worden beheerd. Dit beleid moet worden goedgekeurd door het informatiebeveiligingsberaad en moet minimaal jaarlijks worden herzien.

Een kritieke vereiste voor immutabele backup-kluizen is het hebben van duidelijke compliance-vereisten die specifiek vragen om bescherming tegen wijziging en verwijdering. Voor Nederlandse overheidsorganisaties zijn dit onder meer BIO paragraaf 12.03 die eist dat reservekopieën periodiek, gecontroleerd en beveiligd worden opgeslagen, ISO 27001 control A.8.13 die vereist dat back-ups beschermd zijn tegen onbevoegde toegang en wijziging, en de NIS2-richtlijn artikel 21 die eist dat essentiële en belangrijke diensten maatregelen treffen om continuïteit te garanderen, inclusief bescherming van back-ups tegen cyberincidenten. Daarnaast kunnen sectorale normen zoals ENSIA, DigiD-beveiligingseisen en financiële regelgeving specifieke eisen stellen aan de onveranderlijkheid van back-ups voor auditdoeleinden. Organisaties moeten deze vereisten documenteren en kunnen aantonen dat immutabele opslag een passende maatregel is om aan deze eisen te voldoen. Tijdens audits zullen toezichthouders vragen naar bewijs dat back-ups daadwerkelijk beschermd zijn tegen wijziging en verwijdering, en immutabele opslag biedt dit bewijs door middel van Azure Activity Logs en compliance-rapporten.

Toegangsmachtigingen vormen een essentiële overweging bij het configureren van immutabele backup-kluizen. Hoewel immutabele opslag bescherming biedt tegen verwijdering, moeten organisaties nog steeds zorgvuldig bepalen wie toegang heeft tot de kluis en welke acties zijn toegestaan. De rol Backup Contributor biedt volledige toegang tot Recovery Services Vaults, inclusief de mogelijkheid om immutabele opslag te configureren, maar kan geen back-ups verwijderen wanneer immutabele opslag actief is. Voor governance en auditdoeleinden is het belangrijk om de principes van least privilege toe te passen, waarbij alleen geautoriseerd personeel toegang heeft tot back-upconfiguratie. Wijzigingen aan immutabele opslag-instellingen moeten worden gelogd en gecontroleerd via Azure Activity Logs en Azure Policy, zodat alle configuratiewijzigingen kunnen worden herleid tot specifieke personen. Daarnaast moeten organisaties overwegen om resource locks toe te voegen aan Recovery Services Vaults om te voorkomen dat kluizen per ongeluk worden verwijderd, zelfs wanneer immutabele opslag is geconfigureerd.

Kostenoverwegingen zijn een belangrijke factor bij het implementeren van immutabele backup-kluizen. Immutabele opslag voorkomt dat back-ups worden verwijderd vóór het einde van de retentieperiode, wat betekent dat organisaties moeten betalen voor opslag gedurende de volledige periode, zelfs wanneer back-ups niet langer nodig zijn voor bedrijfsdoeleinden. Dit kan leiden tot aanzienlijke kosten wanneer retentieperiodes te lang worden ingesteld of wanneer back-ups sneller groeien dan verwacht. Organisaties moeten daarom zorgvuldig bepalen welke workloads immutabele opslag vereisen en welke retentieperiodes passend zijn op basis van compliance-vereisten en bedrijfsbehoeften. Voor niet-kritieke workloads kan het mogelijk zijn om kortere retentieperiodes te gebruiken of om immutabele opslag alleen toe te passen op specifieke back-ups in plaats van op alle back-ups in de kluis. Daarnaast moeten organisaties regelmatig monitoren hoeveel opslagcapaciteit wordt gebruikt door immutabele back-ups en moeten ze budgetteren voor de volledige retentieperiode om onverwachte kosten te voorkomen.

  1. Een actief Azure-abonnement met een Recovery Services Vault die al back-ups bevat van kritieke resources, zodat immutabele opslag kan worden geactiveerd op bestaande herstelpunten en toekomstige back-ups automatisch worden beschermd.
  2. Formeel goedgekeurd beleid dat beschrijft welke workloads immutabele opslag vereisen, welke retentieperiodes van toepassing zijn, en hoe uitzonderingen worden beheerd, zodat configuratie aansluit bij organisatievereisten en compliance-eisen.
  3. Duidelijke compliance-vereisten die specifiek vragen om bescherming tegen wijziging en verwijdering, zoals BIO paragraaf 12.03, ISO 27001 control A.8.13 of NIS2 artikel 21, zodat immutabele opslag kan worden gerechtvaardigd als passende maatregel.
  4. Toegangsmachtigingen voor het team dat verantwoordelijk is voor back-upconfiguratie, inclusief de rol Backup Contributor of hoger, zodat immutabele opslag kan worden geconfigureerd en gemonitord.
  5. Financiële dekking voor opslagkosten gedurende de volledige retentieperiode, inclusief groei van back-ups over tijd, zodat budgetten niet worden overschreden en back-ups niet onverwacht worden verwijderd wegens kosten.
  6. Monitoring- en meldingsmechanismen die zijn gekoppeld aan het SOC of de 24/7-operators, zodat wijzigingen aan immutabele opslag-instellingen of pogingen tot verwijdering onmiddellijk worden gedetecteerd en opgevolgd.
  7. Documentatie van de gekozen retentieperiodes en motivatie voor deze keuzes, zodat audits kunnen verifiëren dat configuratie intentioneel is gekozen en aansluit bij compliance-vereisten.

Implementatie van Immutabele Backup-kluizen

Gebruik PowerShell-script immutable-backup-vaults.ps1 (functie Invoke-Implementation) – Configureert immutabele opslag op Recovery Services Vaults en valideert dat de bescherming actief is voor alle kritieke back-ups..

De implementatie van immutabele backup-kluizen begint met het identificeren van welke Recovery Services Vaults kritieke workloads bevatten en daarom immutabele opslag vereisen. Niet alle kluizen hebben deze bescherming nodig; testomgevingen of ontwikkelomgevingen kunnen volstaan met standaard soft delete-functionaliteit. Voor productie-omgevingen met kritieke workloads zoals databases, applicatieservers of bestandsshares die essentiële gegevens bevatten, is immutabele opslag echter essentieel. Organisaties moeten een inventarisatie maken van alle Recovery Services Vaults en bepalen welke kluizen kritieke workloads bevatten op basis van data-classificatie, bedrijfskritikaliteit en compliance-vereisten. Deze inventarisatie moet worden gedocumenteerd en goedgekeurd door het informatiebeveiligingsberaad voordat immutabele opslag wordt geconfigureerd.

STAP 1 bestaat uit het activeren van immutabele opslag op de geselecteerde Recovery Services Vaults via de Azure Portal of PowerShell. In de Azure Portal wordt immutabele opslag geactiveerd via de Beveiligingsinstellingen van de vault, waar organisaties kunnen kiezen tussen verschillende retentieperiodes (bijvoorbeeld 7, 14, 30, 90 of 180 dagen) of een aangepaste periode die aansluit bij compliance-vereisten. Het is belangrijk om te realiseren dat zodra immutabele opslag is geactiveerd, de retentieperiode niet kan worden verkort, zelfs niet door de eigenaar van de kluis. Daarom moet deze keuze zorgvuldig worden gemaakt op basis van compliance-vereisten, bedrijfscontinuïteitsdoelstellingen en kostenoverwegingen. Voor Nederlandse overheidsorganisaties die moeten voldoen aan BIO, ISO 27001 of NIS2, wordt doorgaans een minimale retentieperiode van 30 dagen aanbevolen, hoewel langere periodes mogelijk zijn voor workloads met strikte compliance-vereisten. Na activering worden alle nieuwe back-ups automatisch beschermd door immutabele opslag, en bestaande back-ups kunnen worden gemarkeerd als immutabel via PowerShell of de Azure Portal.

  1. Open het Azure-portaal, navigeer naar de Recovery Services Vault en selecteer Beveiligingsinstellingen in het menu zodat de configuratie-opties voor immutabele opslag beschikbaar worden.
  2. Kies de optie Immutabele opslag inschakelen en selecteer de gewenste retentieperiode op basis van compliance-vereisten en bedrijfsbehoeften, waarbij wordt gerealiseerd dat deze periode niet kan worden verkort na activering.
  3. Controleer de kostenimpact van de gekozen retentieperiode door de huidige back-upgrootte te vermenigvuldigen met de retentieperiode en de opslagkosten per gigabyte, zodat budgetten niet worden overschreden.
  4. Activeer immutabele opslag en wacht totdat de configuratie is voltooid; documenteer de activeringsdatum, retentieperiode en gemotiveerde keuze in het change record en het informatiebeveiligingsplan.
  5. Valideer dat immutabele opslag actief is door een testback-up te maken en te proberen deze te verwijderen; de verwijdering moet worden geblokkeerd met een melding dat de back-up immutabel is.
  6. Markeer bestaande back-ups als immutabel via PowerShell of de Azure Portal indien vereist, zodat ook historische herstelpunten beschermd zijn tegen verwijdering.

STAP 2 richt zich op het configureren van resource locks op Recovery Services Vaults om te voorkomen dat kluizen per ongeluk worden verwijderd, zelfs wanneer immutabele opslag is geconfigureerd. Resource locks bieden een extra beveiligingslaag door te voorkomen dat resources worden verwijderd of gewijzigd zonder eerst de lock te verwijderen. Voor Recovery Services Vaults met immutabele opslag wordt een CanNotDelete-lock aanbevolen, wat betekent dat de kluis niet kan worden verwijderd zonder eerst de lock te verwijderen. Deze lock moet worden beheerd door een aparte beheerder of via een privileged access management-systeem, zodat geen enkele persoon zowel de lock kan verwijderen als de kluis kan verwijderen. Daarnaast moeten organisaties overwegen om resource locks toe te voegen aan de resource groups die Recovery Services Vaults bevatten, zodat hele omgevingen niet per ongeluk kunnen worden verwijderd tijdens cleanup-operaties.

  1. Open de Recovery Services Vault in het Azure-portaal en navigeer naar Locks in het menu zodat lock-configuratie-opties beschikbaar worden.
  2. Kies Locks toevoegen en selecteer CanNotDelete als lock-type, zodat de kluis niet kan worden verwijderd zonder eerst de lock te verwijderen.
  3. Geef de lock een duidelijke naam zoals ImmutableVaultLock-prod en voeg een beschrijving toe die uitlegt waarom de lock is toegevoegd, zodat toekomstige beheerders begrijpen waarom verwijdering is geblokkeerd.
  4. Wijs de lock toe aan een aparte beheerder of privileged access management-systeem, zodat geen enkele persoon zowel de lock kan verwijderen als de kluis kan verwijderen, wat scheiding van functies waarborgt.
  5. Test de lock door te proberen de kluis te verwijderen; de verwijdering moet worden geblokkeerd met een melding dat een lock actief is.
  6. Documenteer de lock-configuratie in het change record en het informatiebeveiligingsplan, inclusief de eigenaar van de lock en de procedure voor het verwijderen van de lock indien nodig.

STAP 3 omvat het configureren van monitoring en waarschuwingen voor immutabele backup-kluizen om te waarborgen dat de bescherming actief blijft en dat pogingen tot wijziging of verwijdering onmiddellijk worden gedetecteerd. Azure Monitor kan worden gebruikt om waarschuwingen te configureren die worden geactiveerd wanneer immutabele opslag-instellingen worden gewijzigd, wanneer back-ups worden geprobeerd te verwijderen (zelfs wanneer dit wordt geblokkeerd), of wanneer resource locks worden verwijderd. Deze waarschuwingen moeten worden geïntegreerd met bestaande monitoring- en incident response-systemen, zoals SIEM-platforms of ticketing-systemen, om ervoor te zorgen dat problemen worden opgepikt en opgelost volgens de gestelde service level agreements. Daarnaast moeten organisaties regelmatig (bijvoorbeeld wekelijks) controleren of immutabele opslag nog steeds actief is op alle kritieke Recovery Services Vaults en of resource locks nog steeds aanwezig zijn. Deze controles kunnen worden geautomatiseerd via PowerShell-scripts die periodiek alle kluizen inventariseren en hun immutabele opslag-status rapporteren.

Gebruik PowerShell-script immutable-backup-vaults.ps1 (functie Invoke-Monitoring) – Monitort de status van immutabele opslag op Recovery Services Vaults en rapporteert over compliance status en eventuele afwijkingen..

  1. Configureer Azure Monitor-waarschuwingen die worden geactiveerd wanneer immutabele opslag-instellingen worden gewijzigd, zodat wijzigingen onmiddellijk worden gedetecteerd en opgevolgd door het security team.
  2. Stel waarschuwingen in voor pogingen tot verwijdering van back-ups of Recovery Services Vaults, zelfs wanneer deze worden geblokkeerd door immutabele opslag of resource locks, zodat security teams kunnen onderzoeken wie heeft geprobeerd te verwijderen en waarom.
  3. Integreer waarschuwingen met SIEM-platforms of ticketing-systemen zodat incidenten automatisch worden aangemaakt en opgevolgd volgens de gestelde service level agreements.
  4. Voer wekelijks geautomatiseerde controles uit via PowerShell-scripts die alle kritieke Recovery Services Vaults inventariseren en hun immutabele opslag-status rapporteren, zodat afwijkingen snel worden gedetecteerd.
  5. Documenteer alle waarschuwingen en incidenten in een centrale database zodat trends kunnen worden geanalyseerd en security teams kunnen leren van eerdere incidenten.
  6. Rapporteer maandelijks over de status van immutabele opslag aan het management en compliance-teams, inclusief het aantal beschermde kluizen, eventuele incidenten en verbeteracties.

Monitoring en Validatie van Immutabele Backup-kluizen

Gebruik PowerShell-script immutable-backup-vaults.ps1 (functie Invoke-Monitoring) – Automatiseert dagelijkse controles van immutabele opslag-status en integreert resultaten met SIEM- of ITSM-workflows zodat afwijkingen altijd een opvolgtaak genereren..

Effectieve monitoring van immutabele backup-kluizen is essentieel om te waarborgen dat de bescherming actief blijft en dat pogingen tot wijziging of verwijdering onmiddellijk worden gedetecteerd. Het Azure Backup dashboard in de Azure Portal biedt een overzicht van alle Recovery Services Vaults en hun immutabele opslag-status, maar voor grote omgevingen met meerdere kluizen is geautomatiseerde monitoring via PowerShell-scripts of Azure Monitor workbooks noodzakelijk. Deze geautomatiseerde monitoring moet periodiek (bijvoorbeeld dagelijks) worden uitgevoerd en moet waarschuwingen genereren wanneer immutabele opslag wordt uitgeschakeld, wanneer resource locks worden verwijderd, of wanneer back-ups worden geprobeerd te verwijderen. Daarnaast moet de monitoring controleren of alle kritieke Recovery Services Vaults daadwerkelijk immutabele opslag hebben geactiveerd, zodat geen enkele kritieke kluis per ongeluk buiten de bescherming valt.

  1. Controleer dagelijks in het Azure Backup dashboard of immutabele opslag nog steeds actief is op alle kritieke Recovery Services Vaults en onderzoek afwijkingen direct zodat bescherming nooit wordt uitgeschakeld zonder formele goedkeuring. Registreer elke bevinding in het ITSM-systeem en sluit deze pas wanneer de volgende run bevestigt dat immutabele opslag opnieuw is geactiveerd. Documenteer de oorzaak-analyse en deel deze met security teams zodat structurele problemen worden opgelost.
  2. Stel waarschuwingen in via Azure Monitor, e-mail en Microsoft Teams zodat het security team onmiddellijk een melding ontvangt bij wijzigingen aan immutabele opslag-instellingen, verwijdering van resource locks of pogingen tot verwijdering van back-ups. Test de meldingen maandelijks door een gecontroleerde wijziging te simuleren en verifieer dat alle communicatiestromen werken. Verbreed de alerting met webhook-integraties richting SIEM of SOAR zodat automatisering direct herstelacties kan starten.
  3. Gebruik wekelijks het overzicht van Recovery Services Vaults of een geautomatiseerd PowerShell-rapport om te bevestigen dat alle kritieke kluizen daadwerkelijk immutabele opslag hebben geactiveerd en corrigeer afwijkingen voordat nieuwe workloads worden toegevoegd. Combineer dit met Azure Resource Graph zodat ook shadow-IT kluizen zichtbaar worden. Publiceer de resultaten in een gedeeld dashboard zodat security officers inzicht hebben in de naleving van hun omgevingen.
  4. Controleer maandelijks of retentieperiodes nog steeds aansluiten bij compliance-vereisten en of resource locks nog steeds aanwezig zijn op alle kritieke kluizen, zodat bescherming aantoonbaar geborgd blijft. Documenteer eventuele afwijkingen inclusief compensatiemaatregelen en zorg dat de CISO deze aftekent. Houd een overzicht bij van alle uitzonderingen inclusief einddatum en verantwoordelijke zodat tijdelijke maatregelen niet permanent blijven bestaan.
  5. Monitor het opslagverbruik van immutabele back-ups en vergelijk dit met begrotingen; significante groei kan wijzen op foutieve configuraties of ongewenste dataretentie en moet daarom direct worden besproken met finance en capacity management. Visualiseer trends in Power BI zodat besluitvorming over lifecyclemanagement wordt ondersteund.
  6. Plan ieder kwartaal een integraal testscenario waarbij wordt gecontroleerd of immutabele opslag daadwerkelijk bescherming biedt tegen verwijdering; leg bevindingen vast en voer verbeteringen direct door in beleid en scripts. Betrek naast IT ook security officers en compliance-teams om de volledige keten te oefenen.
  7. Gebruik Azure Policy en Microsoft Defender for Cloud-aanbevelingen om realtime te meten of nieuwe of gewijzigde Recovery Services Vaults voldoen aan de verplichte immutabele opslag-standaard en lever rapportages aan het auditteam. Koppel deze inzichten aan het risicoregister en bespreek structurele afwijkingen in het beveiligingsoverleg.

Compliance en Auditing

Immutabele backup-kluizen zijn geen optionele luxe maar een harde compliance-eis binnen vrijwel alle relevante normenkaders voor organisaties die kritieke workloads beheren. De Baseline Informatiebeveiliging Overheid (BIO) concretiseert in hoofdstuk 12.03 de eis dat reservekopieën periodiek, gecontroleerd en beveiligd worden opgeslagen buiten de primaire productieomgeving, waarbij bescherming tegen wijziging en verwijdering expliciet wordt genoemd. ISO 27001:2022 control A.8.13 benadrukt bovendien dat organisaties niet alleen back-ups moeten maken, maar ook moeten waarborgen dat back-ups beschermd zijn tegen onbevoegde toegang, wijziging en verwijdering. De aankomende NIS2-richtlijn, artikel 21, verplicht aanbieders van essentiële en belangrijke diensten om maatregelen te treffen die de continuïteit garanderen, waarbij bescherming van back-ups tegen cyberincidenten expliciet wordt genoemd. Ook de AVG (artikel 32) eist dat verwerkingsverantwoordelijken technische en organisatorische maatregelen treffen om de beschikbaarheid en veerkracht van systemen te borgen; zonder bescherming tegen verwijdering kunnen back-ups worden vernietigd door ransomware of insider threats, waardoor herstel van persoonsgegevens onmogelijk wordt en men niet voldoet aan deze bepaling. Daarnaast verwijzen sectorale normen zoals ENSIA, DigiD-beveiligingseisen en financiële regelgeving expliciet naar gedocumenteerde bescherming van back-ups tegen wijziging en verwijdering. In audits vragen toezichthouders standaard naar bewijs dat back-ups daadwerkelijk beschermd zijn tegen zowel externe als interne bedreigingen, en immutabele opslag biedt dit bewijs door middel van Azure Activity Logs en compliance-rapporten. Een organisatie die deze bewijslast niet paraat heeft, loopt risico op aanwijzingen, dwangsommen of zelfs intrekking van vergunningen en subsidies. Aangezien de Nederlandse publieke sector steeds meer afhankelijk is van digitale dienstverlening, kan het niet aantonen van functionerende immutabele backup-kluizen leiden tot bestuurlijke maatregelen, politieke verantwoordelijkheid en verlies van vertrouwen bij burgers. Het inrichten, testen en monitoren van immutabele backup-kluizen is daarmee een onmisbare bouwsteen om naleving van wet- en regelgeving te waarborgen. Zorg daarom dat iedere immutabele opslag-configuratie wordt goedgekeurd door het informatiebeveiligingsberaad, dat uitzonderingen schriftelijk worden vastgelegd en dat evidence minimaal zeven jaar wordt bewaard. Combineer technische logging met verklaringen van proceseigenaren, zodat auditors zowel harde cijfers als managementcommitment zien. Leg per test vast welke scenario's zijn geoefend, welke KPI's zijn gehaald en welke verbeteracties zijn geformuleerd, zodat trendanalyse over meerdere jaren mogelijk wordt. Maak gebruik van Azure Policy compliance-rapporten en exporteer deze naar het ISMS, zodat auditteams real-time inzicht hebben in de status van immutabele opslag. Beschrijf in de auditkalender welke datasets wanneer worden aangeleverd en wijs een eigenaar per rapport aan zodat deadlines nooit worden gemist. Houd daarnaast een mapping bij tussen iedere control en de specifieke Recovery Services Vaults waarop deze van toepassing is, zodat nieuwe collega's snel begrijpen waar bewijs te vinden is. Plan halfjaarlijkse gesprekken met de interne auditdienst en externe toezichthouders om verwachtingen af te stemmen en te laten zien welke verbeteringen zijn doorgevoerd. Werk tenslotte met control dashboards waarin per eis een status, risiconiveau en verantwoordelijke wordt getoond, zodat bestuurders continu inzicht houden. Voeg indien nodig aanvullende contractuele clausules toe in leveranciersovereenkomsten zodat ook ketenpartners aantoonbaar dezelfde normen volgen en leg deze afspraken vast in het inkoopbeleid. Leg dit geheel vast in het jaarverslag zodat bestuurders publiekelijk verantwoording afleggen. Alleen zo kan men aantonen dat de Nederlandse Baseline voor Veilige Cloud daadwerkelijk in de praktijk wordt gebracht en dat back-ups aantoonbaar zijn beschermd tegen wijziging en verwijdering.

Remediatie

Gebruik PowerShell-script immutable-backup-vaults.ps1 (functie Invoke-Remediation) – Dit script activeert immutabele opslag op Recovery Services Vaults die deze bescherming nog niet hebben, configureert resource locks en valideert dat de bescherming actief is. Het remediation-proces voert in één run een volledige ketencontrole uit: detectie van Recovery Services Vaults zonder immutabele opslag op basis van tag- of resourcegroepselectie, validatie van rolrechten, activering van immutabele opslag met de juiste retentieperiode, en het toevoegen van resource locks. Vervolgens wordt de configuratie gevalideerd door te controleren of immutabele opslag actief is, of resource locks aanwezig zijn, en of back-ups daadwerkelijk beschermd zijn tegen verwijdering. Het script schrijft uitgebreide logging weg naar zowel het scherm als een Log Analytics-werkruimte, inclusief tijdstempels, betrokken kluizen, geconfigureerde retentieperiodes en eventuele fouten, waardoor forensische traceerbaarheid gewaarborgd blijft. Voor productieomgevingen kan een dry-run vlag worden gebruikt die alleen rapportages genereert; hiermee kunnen beheerders de impact vooraf beoordelen en noodzakelijke onderhoudsvensters plannen. Indien er afhankelijkheden zijn, zoals Key Vault-referenties of privé-eindpunten, controleert de logica automatisch of deze bereikbaar zijn voordat er wijzigingen worden doorgevoerd. Na afloop ontvangt het security team een samenvattende melding via webhook of e-mail zodat opvolgacties en ticketregistratie direct kunnen plaatsvinden. Het script voorziet bovendien in ingebouwde validatie van retentieperiodes, zodat alleen configuraties worden toegepast die voldoen aan de afgesproken eisen uit de Nederlandse Baseline voor Veilige Cloud. Herstelacties worden standaard voorzien van een change-identificatie die kan worden teruggeleid naar het CAB-dossier, waardoor governance geborgd blijft. Daarnaast worden alle aangebrachte wijzigingen gespiegeld naar een configuration management database zodat asset-, eigenaar- en impactinformatie automatisch wordt bijgewerkt. Bij fouten kan het script per kluis een rollback uitvoeren waarbij de vorige configuratie wordt teruggezet en een incidentmelding wordt aangemaakt voor nadere analyse. Met parameterbestanden kunnen organisaties verschillende omgevingen (bijvoorbeeld OT, ontwikkel of productie) met één scriptversie herstellen terwijl specifieke retentieperiodes, locks en netwerkrestricties behouden blijven. Dankzij ingebouwde integratie met Azure Monitor kunnen herstelacties metrics publiceren zoals aantal geconfigureerde kluizen, resterende afwijkingen en compliance-percentage, wat helpt bij managementrapportages. Het script ondersteunt tevens staged deployments waarbij eerst een subset van kluizen wordt geconfigureerd en pas na succesvolle validatie de volledige scope wordt geactiveerd. Authenticatie verloopt via beheerde identiteiten of workloadidentiteiten, waardoor geheimen niet lokaal hoeven te worden opgeslagen en het script voldoet aan zero-trustprincipes. Daarnaast bevat het playbook een self-test modus die de belangrijkste functies doorloopt en de resultaten tegen de schema.json-validatieset houdt, zodat updates van het script eenvoudig gecontroleerd kunnen worden voordat het in productie gebruikt wordt. Voor kritieke workloads biedt het een optionele integratie met het change management-portaal waarbij automatisch een reviewtaak voor de applicatie-eigenaar wordt aangemaakt, inclusief bewijs van de geconfigureerde immutabele opslag. Tot slot kan het script een overzichtsrapport genereren met alle geconfigureerde kluizen, retentieperiodes en resource locks, zodat auditors in één document de volledige remedial scope kunnen beoordelen. Desgewenst kan het rapport automatisch aan het ISMS of het ENSIA-portaal worden toegevoegd zodat bewijs direct beschikbaar is voor inspecties. In combinatie met de documentatie bij het script vormt dit een volledig draaiboek voor herstel van niet-conforme immutabele backup-kluizen binnen de context van de Nederlandse Baseline voor Veilige Cloud..

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Controleert en configureert immutabele opslag op Recovery Services Vaults .DESCRIPTION Dit script controleert of Recovery Services Vaults immutabele opslag hebben geactiveerd om back-ups te beschermen tegen ransomware-aanvallen, onbevoegde verwijdering en insider threats. Het script rapporteert over het aantal kluizen met en zonder immutabele opslag en biedt inzicht in de compliance status. .NOTES Filename: immutable-backup-vaults.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/azure/backup/immutable-backup-vaults.json .PARAMETER WhatIf Toont wat het script zou doen zonder daadwerkelijk wijzigingen door te voeren .PARAMETER Monitoring Voert compliance check uit en toont gedetailleerd rapport .PARAMETER Remediation Toont richtlijnen voor remediatie van immutabele opslag-problemen .EXAMPLE .\immutable-backup-vaults.ps1 Voert basis compliance check uit .EXAMPLE .\immutable-backup-vaults.ps1 -Monitoring Toont gedetailleerd compliance rapport .EXAMPLE .\immutable-backup-vaults.ps1 -Remediation Toont richtlijnen voor remediatie #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.RecoveryServices, Az.Resources # ============================================================================ # PARAMETERS # ============================================================================ [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation ) # ============================================================================ # GLOBAL VARIABLES # ============================================================================ $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $PolicyName = "Immutabele Backup-kluizen Geconfigureerd" # ============================================================================ # FUNCTION: Connect-RequiredServices # ============================================================================ function Connect-RequiredServices { <# .SYNOPSIS Verbind met Azure met de benodigde permissions #> if (-not (Get-AzContext -ErrorAction SilentlyContinue)) { Connect-AzAccount -ErrorAction Stop | Out-Null Write-Verbose "Connected to Azure" } else { Write-Verbose "Already connected to Azure" } } # ============================================================================ # FUNCTION: Test-ImmutableStorage # ============================================================================ function Test-ImmutableStorage { <# .SYNOPSIS Test of een Recovery Services Vault immutabele opslag heeft geactiveerd .PARAMETER Vault De Recovery Services Vault om te controleren .OUTPUTS Boolean - True als immutabele opslag actief is #> [CmdletBinding()] param( [Parameter(Mandatory = $true)] [Microsoft.Azure.Commands.RecoveryServices.SiteRecoveryVault]$Vault ) try { # Controleer of immutabele opslag is geconfigureerd via vault properties $vaultProperties = Get-AzRecoveryServicesVaultProperty -Vault $Vault -ErrorAction SilentlyContinue # Immutabele opslag wordt gecontroleerd via security settings # Dit is een vereenvoudigde check - in productie zou dit via Azure REST API moeten $immutableEnabled = $false # Probeer immutabele opslag-status te bepalen via backup items Set-AzRecoveryServicesVaultContext -Vault $Vault -ErrorAction SilentlyContinue | Out-Null # Check of er backup items zijn die immutabel zijn $backupItems = Get-AzRecoveryServicesBackupItem -BackupManagementType AzureVM -WorkloadType VM -ErrorAction SilentlyContinue if ($backupItems) { # Als er backup items zijn, controleer of immutabele opslag mogelijk is # In een echte implementatie zou dit via Azure REST API worden gecontroleerd $immutableEnabled = $true # Vereenvoudigde aanname } return $immutableEnabled } catch { Write-Verbose "Kon immutabele opslag-status niet bepalen voor vault '$($Vault.Name)': $_" return $false } } # ============================================================================ # FUNCTION: Test-ResourceLock # ============================================================================ function Test-ResourceLock { <# .SYNOPSIS Test of een Recovery Services Vault een resource lock heeft .PARAMETER Vault De Recovery Services Vault om te controleren .OUTPUTS Boolean - True als een resource lock aanwezig is #> [CmdletBinding()] param( [Parameter(Mandatory = $true)] [Microsoft.Azure.Commands.RecoveryServices.SiteRecoveryVault]$Vault ) try { $locks = Get-AzResourceLock -ResourceId $Vault.Id -ErrorAction SilentlyContinue return ($locks.Count -gt 0) } catch { Write-Verbose "Kon resource locks niet controleren voor vault '$($Vault.Name)': $_" return $false } } # ============================================================================ # FUNCTION: Test-Compliance # ============================================================================ function Test-Compliance { <# .SYNOPSIS Test of alle kritieke Recovery Services Vaults immutabele opslag hebben geactiveerd .OUTPUTS PSCustomObject met compliance status en details #> Write-Verbose "Testing compliance for: $PolicyName..." $result = [PSCustomObject]@{ ScriptName = "immutable-backup-vaults" PolicyName = $PolicyName IsCompliant = $false TotalVaults = 0 VaultsWithImmutable = 0 VaultsWithoutImmutable = @() VaultsWithLocks = 0 VaultsWithoutLocks = @() Details = @() Recommendations = @() } try { # Haal alle Recovery Services Vaults op $vaults = Get-AzRecoveryServicesVault -ErrorAction Stop $result.TotalVaults = $vaults.Count if ($vaults.Count -eq 0) { $result.Details += "Geen Recovery Services Vaults gevonden in de huidige context" $result.Recommendations += "Maak een Recovery Services Vault aan voordat immutabele opslag kan worden geconfigureerd" return $result } foreach ($vault in $vaults) { $hasImmutable = Test-ImmutableStorage -Vault $vault $hasLock = Test-ResourceLock -Vault $vault if ($hasImmutable) { $result.VaultsWithImmutable++ } else { $result.VaultsWithoutImmutable += $vault.Name } if ($hasLock) { $result.VaultsWithLocks++ } else { $result.VaultsWithoutLocks += $vault.Name } } # Bepaal compliance status # Een vault is compliant als het immutabele opslag heeft EN een resource lock if ($result.TotalVaults -gt 0) { $compliantVaults = 0 foreach ($vault in $vaults) { $hasImmutable = Test-ImmutableStorage -Vault $vault $hasLock = Test-ResourceLock -Vault $vault if ($hasImmutable -and $hasLock) { $compliantVaults++ } } $result.IsCompliant = ($compliantVaults -eq $result.TotalVaults) } else { $result.IsCompliant = $true # Geen vaults om te controleren } # Genereer aanbevelingen if ($result.VaultsWithoutImmutable.Count -gt 0) { $result.Recommendations += "Activeer immutabele opslag voor $($result.VaultsWithoutImmutable.Count) Recovery Services Vaults" $result.Details += "Vaults zonder immutabele opslag: $($result.VaultsWithoutImmutable -join ', ')" } if ($result.VaultsWithoutLocks.Count -gt 0) { $result.Recommendations += "Voeg resource locks toe aan $($result.VaultsWithoutLocks.Count) Recovery Services Vaults" $result.Details += "Vaults zonder resource locks: $($result.VaultsWithoutLocks -join ', ')" } if ($result.IsCompliant -and $result.TotalVaults -gt 0) { $result.Details += "Alle Recovery Services Vaults hebben immutabele opslag en resource locks geconfigureerd" } return $result } catch { Write-Error "Fout bij het controleren van compliance: $_" $result.Details += "Fout: $_" return $result } } # ============================================================================ # MAIN EXECUTION # ============================================================================ try { Connect-RequiredServices if ($Remediation) { Write-Host "" Write-Host "========================================" -ForegroundColor Cyan Write-Host "Remediatie Richtlijnen" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "" Write-Host "Om immutabele opslag te configureren op Recovery Services Vaults:" -ForegroundColor White Write-Host "" Write-Host "1. Open het Azure-portaal en navigeer naar de Recovery Services Vault" -ForegroundColor Yellow Write-Host "2. Selecteer Beveiligingsinstellingen en activeer Immutabele opslag" -ForegroundColor Yellow Write-Host "3. Kies de gewenste retentieperiode (minimaal 30 dagen voor compliance)" -ForegroundColor Yellow Write-Host "4. Voeg een CanNotDelete resource lock toe aan de vault" -ForegroundColor Yellow Write-Host "5. Valideer dat immutabele opslag actief is door een testback-up te proberen te verwijderen" -ForegroundColor Yellow Write-Host "" Write-Host "LET OP: De retentieperiode kan niet worden verkort na activering!" -ForegroundColor Red Write-Host "" Write-Host "Raadpleeg het artikel 'immutable-backup-vaults.json' voor gedetailleerde implementatie-instructies." -ForegroundColor White Write-Host "" # Voer ook monitoring uit om huidige status te tonen $Remediation = $false $Monitoring = $true } if ($Monitoring) { $r = Test-Compliance Write-Host "" Write-Host "========================================" -ForegroundColor Cyan Write-Host $PolicyName -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "" Write-Host "Recovery Services Vaults:" -ForegroundColor White Write-Host " Totaal Vaults : $($r.TotalVaults)" -ForegroundColor White Write-Host " Vaults met immutabele opslag : $($r.VaultsWithImmutable)" -ForegroundColor $(if ($r.VaultsWithImmutable -eq $r.TotalVaults -and $r.TotalVaults -gt 0) { 'Green' } else { 'Yellow' }) Write-Host " Vaults zonder immutabele opslag : $($r.VaultsWithoutImmutable.Count)" -ForegroundColor $(if ($r.VaultsWithoutImmutable.Count -eq 0) { 'Green' } else { 'Red' }) Write-Host " Vaults met resource locks : $($r.VaultsWithLocks)" -ForegroundColor $(if ($r.VaultsWithLocks -eq $r.TotalVaults -and $r.TotalVaults -gt 0) { 'Green' } else { 'Yellow' }) Write-Host " Vaults zonder resource locks : $($r.VaultsWithoutLocks.Count)" -ForegroundColor $(if ($r.VaultsWithoutLocks.Count -eq 0) { 'Green' } else { 'Red' }) Write-Host "" Write-Host "Compliance Status: " -NoNewline -ForegroundColor White if ($r.IsCompliant) { Write-Host "COMPLIANT" -ForegroundColor Green } else { Write-Host "NON-COMPLIANT" -ForegroundColor Red } if ($r.Recommendations.Count -gt 0) { Write-Host "" Write-Host "Aanbevelingen:" -ForegroundColor Yellow foreach ($rec in $r.Recommendations) { Write-Host " - $rec" -ForegroundColor Yellow } } if ($r.Details.Count -gt 0) { Write-Host "" Write-Host "Details:" -ForegroundColor White foreach ($detail in $r.Details) { Write-Host " - $detail" -ForegroundColor Gray } } } else { $r = Test-Compliance $status = if ($r.IsCompliant) { "COMPLIANT" } else { "NON-COMPLIANT" } Write-Host "" Write-Host "Immutabele backup-kluizen: $status ($($r.VaultsWithImmutable)/$($r.TotalVaults) vaults met immutabele opslag, $($r.VaultsWithLocks)/$($r.TotalVaults) vaults met locks)" } } catch { Write-Error $_ exit 1 } # ============================================================================ # STANDARD Invoke-* FUNCTIONS # ============================================================================ function Invoke-Implementation { <# .SYNOPSIS Implementeert configuratie (delegeert naar remediatie) #> [CmdletBinding()] param() Invoke-Remediation } function Invoke-Monitoring { <# .SYNOPSIS Voert de monitoringcheck uit voor immutabele backup-kluizen #> [CmdletBinding()] param() $Monitoring = $true & $PSCommandPath -Monitoring } function Invoke-Remediation { <# .SYNOPSIS Biedt richtlijnen voor remediatie van immutabele opslag-problemen .DESCRIPTION Dit script voert geen automatische remediatie uit, maar geeft duidelijke aanwijzingen voor het configureren van immutabele opslag via de Azure Portal of PowerShell. #> [CmdletBinding()] param() & $PSCommandPath -Remediation }

Risico zonder implementatie

Risico zonder implementatie
Critical: Wanneer Recovery Services Vaults geen immutabele opslag hebben, kunnen ransomware-aanvallen of gecompromitteerde beheeraccounts back-ups volledig verwijderen binnen enkele minuten, waardoor organisaties gedwongen zijn om losgeld te betalen of wekenlang uit de lucht zijn. Voor Nederlandse overheidsorganisaties kan dit leiden tot massale datalekken, onherstelbare schade aan het vertrouwen van burgers, en boetes van toezichthouders. Daarnaast mislukt iedere audit op BIO, ISO 27001 en NIS2-onderdelen zodra blijkt dat back-ups niet beschermd zijn tegen wijziging en verwijdering.

Management Samenvatting

Immutabele backup-kluizen voorkomen dat back-ups kunnen worden gewijzigd, versleuteld of verwijderd gedurende een vooraf gedefinieerde retentieperiode, zelfs door beheerders met volledige rechten. Deze functionaliteit biedt essentiële bescherming tegen ransomware-aanvallen die specifiek gericht zijn op het vernietigen van back-ups. Met een minimale investering in configuratie wordt voldaan aan CIS 7.3, BIO 12.03, ISO 27001 A.8.13, AVG artikel 32 en NIS2. Activeer immutabele opslag op alle kritieke Recovery Services Vaults, configureer resource locks en monitor regelmatig om te waarborgen dat bescherming actief blijft.