💼 Management Samenvatting
Azure Policy assignments dwingen organisatorische standaarden en compliancevereisten automatisch af over alle abonnementen, waardoor configuratiedrift wordt voorkomen en een consistente beveiligingspositie wordt gegarandeerd.
Aanbeveling
IMPLEMENTEER VOOR AUTOMATISCHE GOVERNANCE
Risico zonder
High
Risk Score
8/10
Implementatie
16u (tech: 12u)
Van toepassing op:
✓ Azure Subscriptions
Zonder Azure Policy staan organisaties voor aanzienlijke uitdagingen op het gebied van governance en beveiliging. Handmatige handhaving van configuratiestandaarden schaalt niet wanneer het aantal resources groeit, wat resulteert in een ware nachtmerrie voor IT-teams. Na verloop van tijd ontstaat onvermijdelijk configuratiedrift: resources worden verkeerd geconfigureerd door menselijke fouten, wijzigingen in teams of vergeten vereisten. Dit leidt tot compliancehiaten waarbij beveiligingsvereisten over het hoofd worden gezien. Bovendien blijft beveiliging reactief: problemen worden pas gedetecteerd nadat resources zijn aangemaakt, waardoor preventie onmogelijk wordt. Azure Policy biedt een proactieve oplossing door niet-compliant resources te weigeren voordat ze worden aangemaakt. Het systeem voert automatisch herstelacties uit op bestaande resources die niet voldoen aan de vereisten. Via het compliance-dashboard krijgen organisaties volledige zichtbaarheid op de nalevingsstatus. De oplossing schaalt moeiteloos over alle abonnementen en maakt geautomatiseerde auditing van niet-naleving mogelijk. Een praktisch voorbeeld: een policy kan de creatie van virtuele machines zonder beheerde schijven weigeren, waardoor onversleutelde schijven worden voorkomen voordat ze een beveiligingsrisico vormen. De uitdagingen die organisaties zonder Azure Policy tegenkomen zijn veelzijdig en complex. In moderne cloud-omgevingen worden dagelijks tientallen of zelfs honderden nieuwe resources aangemaakt door verschillende teams en afdelingen. Zonder geautomatiseerde handhaving van beveiligingsstandaarden is het praktisch onmogelijk om bij te houden of alle resources correct zijn geconfigureerd. IT-teams worden overweldigd door de hoeveelheid werk die nodig is om handmatig te controleren of resources voldoen aan beveiligingsvereisten. Deze situatie wordt nog verergerd wanneer organisaties groeien en het aantal abonnementen en resources exponentieel toeneemt. Configuratiedrift is een fenomeen dat onvermijdelijk optreedt in omgevingen zonder geautomatiseerde governance. Zelfs wanneer resources aanvankelijk correct zijn geconfigureerd, kunnen wijzigingen in teams, nieuwe vereisten, of simpelweg menselijke fouten leiden tot configuraties die niet langer voldoen aan beveiligingsstandaarden. Een resource die oorspronkelijk was geconfigureerd met versleuteling kan bijvoorbeeld per ongeluk worden gewijzigd zonder versleuteling wanneer een teamlid de configuratie aanpast. Zonder automatische handhaving blijven deze problemen onopgemerkt totdat een audit wordt uitgevoerd of een beveiligingsincident plaatsvindt. Compliancehiaten ontstaan wanneer beveiligingsvereisten niet consistent worden toegepast over alle resources. Dit kan leiden tot situaties waarin sommige resources volledig beveiligd zijn terwijl andere resources kwetsbaar zijn. Voor organisaties die moeten voldoen aan compliance-vereisten zoals ISO 27001, de BIO-normen, of de NIS2-richtlijn, kunnen deze hiaten ernstige gevolgen hebben, waaronder boetes, reputatieschade, of zelfs het verlies van certificeringen. Azure Policy voorkomt deze hiaten door ervoor te zorgen dat beveiligingsvereisten automatisch worden afgedwongen over alle resources. Reactieve beveiliging betekent dat problemen pas worden gedetecteerd nadat ze zijn opgetreden. In het geval van cloud-resources betekent dit dat beveiligingsproblemen pas worden geïdentificeerd nadat resources zijn aangemaakt en mogelijk al in gebruik zijn. Op dat moment kan het moeilijk of zelfs onmogelijk zijn om wijzigingen aan te brengen zonder services te onderbreken. Azure Policy maakt proactieve beveiliging mogelijk door niet-compliant resources te weigeren voordat ze worden aangemaakt, waardoor problemen worden voorkomen in plaats van achteraf te worden opgelost.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.PolicyInsights, Az.Resources
Connection:
Connect-AzAccountRequired Modules: Az.PolicyInsights, Az.Resources
Implementatie
Essentiële Azure Policies voor beveiliging omvatten verschillende kritieke controles. Het vereisen van beheerde schijven zorgt voor automatische versleuteling van alle virtuele machines. Het verplichten van diagnostische logboeken naar Log Analytics stelt organisaties in staat om alle activiteiten te auditen en te monitoren. Beleidsregels voor toegestane locaties garanderen dat resources alleen worden gecreëerd in specifieke geografische regio's, wat cruciaal is voor data residency-vereisten zoals die in Nederland en de EU gelden. Het verplichten van tags ondersteunt governance door consistente resourcecategorisering. Het afdwingen van minimaal TLS 1.2 voor opslag, SQL-databases en App Services voorkomt gebruik van verouderde en onveilige protocollen. Het weigeren van openbare IP-adressen voor kritieke resources vermindert het aanvalsoppervlak aanzienlijk. Het verplichten van back-ups op virtuele machines zorgt voor herstelbaarheid, terwijl het vereisen van Network Security Groups op alle subnets netwerksegmentatie en toegangscontrole garandeert. De implementatie begint met het toewijzen van ingebouwde policies op het niveau van Management Groups of individuele abonnementen. Voor specifieke organisatievereisten kunnen aangepaste policies worden ontwikkeld. Policies kunnen verschillende effecten hebben: Deny voorkomt de creatie van niet-compliant resources, terwijl DeployIfNotExists automatisch herstelacties uitvoert op bestaande resources. De nalevingsstatus wordt continu gemonitord via het compliance-dashboard, waarbij niet-naleving wordt geïdentificeerd en gerapporteerd.
Vereisten
Voordat Azure Policy assignments worden geïmplementeerd, moeten organisaties verschillende essentiële vereisten vervullen om een succesvolle implementatie te garanderen. De eerste en meest kritieke vereiste is het documenteren van een duidelijke policy-strategie. Deze strategie moet expliciet definiëren welke policies vereist zijn voor de organisatie, welke beveiligingsstandaarden moeten worden afgedwongen, en hoe deze policies aansluiten bij de algemene governance- en compliance-doelstellingen. Zonder een gedocumenteerde strategie bestaat het risico dat policies willekeurig worden toegewezen, wat kan leiden tot conflicten, overbodige complexiteit of gemiste beveiligingsvereisten. De policy-strategie moet worden ontwikkeld in samenwerking met verschillende stakeholders, waaronder security officers, compliance managers, IT-beheerders en business owners. Deze strategie moet worden gedocumenteerd in een formeel document dat regelmatig wordt herzien en bijgewerkt naarmate de organisatie en haar vereisten evolueren. Een Management Group-hiërarchie is optioneel maar sterk aanbevolen voor organisaties met meerdere abonnementen. Deze hiërarchie maakt het mogelijk om policies centraal toe te wijzen op een hoger niveau, waardoor ze automatisch worden overgenomen door alle onderliggende abonnementen. Dit vereenvoudigt het beheer aanzienlijk en zorgt voor consistentie door de gehele organisatie. Voor kleinere organisaties met slechts enkele abonnementen kan directe toewijzing op abonnementsniveau voldoende zijn, maar zelfs dan biedt een Management Group-structuur voordelen voor toekomstige groei. De Management Group-structuur moet worden ontworpen om de organisatiestructuur te weerspiegelen, met groepen voor verschillende afdelingen, omgevingen of projecten. Dit maakt het mogelijk om verschillende policies toe te passen op verschillende delen van de organisatie, terwijl nog steeds centrale governance wordt behouden. Vanuit technisch perspectief is de Policy Contributor-rol een absolute vereiste. Deze rol moet worden toegekend aan de personen of service principals die verantwoordelijk zijn voor het toewijzen en beheren van policies. Zonder deze rol kunnen policies niet worden geconfigureerd of gewijzigd. Het is belangrijk om het principe van minimale privileges toe te passen: alleen personen die daadwerkelijk policies moeten beheren moeten deze rol ontvangen. Voor grotere organisaties kan het nuttig zijn om verschillende rollen toe te kennen aan verschillende teams, waarbij elk team verantwoordelijk is voor policies binnen hun domein. Dit helpt om de verantwoordelijkheden duidelijk te definiëren en voorkomt dat één persoon of team overweldigd raakt door de hoeveelheid werk. Een goed doordachte remediatiestrategie is essentieel voor het omgaan met bestaande resources die niet voldoen aan de nieuwe policy-vereisten. Organisaties moeten beslissen of ze automatische remediatie willen inschakelen, wat betekent dat Azure Policy automatisch wijzigingen aanbrengt aan niet-compliant resources, of dat ze een handmatig proces prefereren waarbij teams worden geïnformeerd over niet-naleving en zelf actie ondernemen. Automatische remediatie is efficiënter maar vereist zorgvuldige testing om te voorkomen dat productiesystemen worden verstoord. De remediatiestrategie moet ook rekening houden met de verschillende soorten resources en hun kritiekheid. Voor kritieke productiesystemen kan handmatige remediatie de voorkeur hebben om volledige controle te behouden, terwijl voor minder kritieke resources automatische remediatie acceptabel kan zijn. Ten slotte moet een uitzonderingsproces worden gedefinieerd voor speciale gevallen waarin resources legitiem niet kunnen voldoen aan bepaalde policies. Dit proces moet duidelijk beschrijven wanneer uitzonderingen zijn toegestaan, wie deze kan goedkeuren, en hoe uitzonderingen worden gedocumenteerd en gemonitord. Zonder een gestructureerd uitzonderingsproces bestaat het risico dat teams policies omzeilen of dat uitzonderingen niet worden gedocumenteerd, wat de governance-doelstellingen ondermijnt. Het uitzonderingsproces moet een formele goedkeuringsworkflow bevatten waarbij uitzonderingen worden beoordeeld door security en compliance teams voordat ze worden goedgekeurd. Uitzonderingen moeten ook regelmatig worden herbeoordeeld om te bepalen of ze nog steeds gerechtvaardigd zijn, en moeten worden ingetrokken zodra de onderliggende reden voor de uitzondering niet langer van toepassing is. Naast deze kernvereisten moeten organisaties ook rekening houden met de technische infrastructuur die nodig is voor Azure Policy. Dit omvat toegang tot Azure Management APIs, de juiste PowerShell-modules voor automatisering, en eventuele netwerkvereisten voor het verbinden met Azure-services. Voor organisaties die gebruik maken van hybride cloud-omgevingen of meerdere cloud-providers, moet de policy-strategie ook rekening houden met hoe Azure Policy past binnen de bredere governance-aanpak van de organisatie.
Implementatie
Gebruik PowerShell-script azure-policy-assignments.ps1 (functie Invoke-Implementation) – Implementeren.
Gebruik PowerShell-script azure-policy-assignments.ps1 (functie Invoke-Monitoring) – Monitort Azure Policy-toewijzingen en compliance-status.
De implementatie van Azure Policy assignments begint met het selecteren en toewijzen van de juiste policies. De meest uitgebreide en aanbevolen aanpak is het toewijzen van de Azure Security Benchmark initiative, die meer dan honderd policies bevat die zijn gebaseerd op best practices en compliance-vereisten. Deze initiative dekt een breed scala aan beveiligingsgebieden, van netwerkbeveiliging tot identiteitsbeheer, en vormt een solide basis voor organisaties die hun Azure-omgeving willen beveiligen. De Azure Security Benchmark is ontwikkeld door Microsoft in samenwerking met security experts en is gebaseerd op erkende frameworks zoals CIS Controls en NIST. Door deze initiative toe te wijzen, krijgen organisaties direct toegang tot een uitgebreide set van beveiligingscontroles die zijn getest en gevalideerd door de industrie. Het implementatieproces begint met het identificeren van het juiste scope-niveau voor policy-toewijzingen. Voor organisaties met een Management Group-structuur is het aanbevolen om policies toe te wijzen op het hoogste relevante niveau, zodat ze automatisch worden overgenomen door alle onderliggende abonnementen. Dit zorgt voor consistentie en vermindert de administratieve overhead. Voor organisaties zonder Management Groups kunnen policies direct worden toegewezen aan individuele abonnementen, hoewel dit minder schaalbaar is en meer onderhoud vereist. Een van de meest kritieke individuele policies is het vereisen van beheerde schijven voor alle virtuele machines. Deze policy zorgt ervoor dat versleuteling automatisch wordt afgedwongen, wat essentieel is voor het beschermen van data-at-rest. Zonder deze policy kunnen organisaties onbewust onversleutelde schijven creëren, wat een significant beveiligingsrisico vormt, vooral in het licht van compliance-vereisten zoals de AVG. Beheerde schijven bieden niet alleen automatische versleuteling, maar ook betere prestaties, betrouwbaarheid en beheerbaarheid vergeleken met onbeheerde schijven. Deze policy moet worden toegepast op alle virtuele machines, ongeacht of ze in productie of testomgevingen draaien. Het verplichten van diagnostische logboeken die worden doorgestuurd naar Log Analytics is eveneens cruciaal voor auditing en monitoring. Deze policy zorgt ervoor dat alle activiteiten binnen Azure-resources worden vastgelegd, wat niet alleen belangrijk is voor beveiligingsmonitoring maar ook voor compliance-auditing. Zonder deze logging kunnen organisaties niet voldoen aan vereisten voor audit trails en forensische onderzoeken. Diagnostische logboeken bevatten waardevolle informatie over resource-operaties, toegangspogingen, configuratiewijzigingen en beveiligingsgebeurtenissen. Door deze logboeken centraal te verzamelen in Log Analytics kunnen organisaties geavanceerde query's uitvoeren, trends identificeren en proactief reageren op beveiligingsincidenten. Voor Nederlandse organisaties en organisaties die opereren binnen de Europese Unie is het beleid voor toegestane locaties van groot belang voor data residency. Deze policy kan worden geconfigureerd om alleen resources toe te staan in specifieke Azure-regio's, zoals West-Europa (Nederland) of andere EU-regio's. Dit is essentieel voor het naleven van data residency-vereisten die zijn vastgelegd in verschillende wet- en regelgeving, waaronder de AVG en nationale wetgeving. De policy voor toegestane locaties voorkomt dat resources per ongeluk worden aangemaakt in regio's buiten de EU, wat kan leiden tot compliance-overtredingen en mogelijke boetes. Organisaties moeten zorgvuldig bepalen welke regio's zijn toegestaan op basis van hun specifieke compliance-vereisten en business needs. Het verplichten van specifieke tags zoals Environment, CostCenter en Owner ondersteunt governance en kostenbeheer. Tags maken het mogelijk om resources te categoriseren, kosten toe te wijzen aan afdelingen of projecten, en eigenaarschap te identificeren. Policies die tags afdwingen zorgen voor consistentie en maken geautomatiseerd beheer mogelijk. Tags zijn essentieel voor het implementeren van een effectief cloud governance-model, omdat ze organisaties in staat stellen om resources te organiseren, kosten te beheren en verantwoordelijkheden toe te wijzen. Zonder consistente tagging is het praktisch onmogelijk om te begrijpen wie verantwoordelijk is voor welke resources, welke kosten aan welke projecten zijn gekoppeld, of welke resources tot welke omgevingen behoren. Het afdwingen van minimaal TLS 1.2 voor opslagaccounts, SQL-databases en App Services voorkomt het gebruik van verouderde en onveilige versleutelingsprotocollen. Oudere TLS-versies hebben bekende beveiligingskwetsbaarheden en moeten worden uitgefaseerd. Deze policy zorgt ervoor dat alleen moderne, veilige protocollen worden gebruikt. TLS 1.2 en hoger bieden sterke versleuteling en bescherming tegen bekende aanvallen zoals BEAST en POODLE. Voor organisaties die moeten voldoen aan compliance-vereisten zoals PCI DSS of de BIO-normen, is het gebruik van minimaal TLS 1.2 vaak een expliciete vereiste. Deze policy moet worden toegepast op alle services die externe verbindingen accepteren, inclusief web-applicaties, API's en databases. Het weigeren van openbare IP-adressen voor productieresources vermindert het aanvalsoppervlak aanzienlijk. Resources die geen openbaar IP-adres nodig hebben, moeten worden geconfigureerd met alleen privé-IP-adressen en toegankelijk zijn via VPN of ExpressRoute. Dit beleid voorkomt dat resources per ongeluk worden blootgesteld aan het internet. Openbare IP-adressen maken resources direct toegankelijk vanaf het internet, wat het risico op aanvallen verhoogt. Door het gebruik van openbare IP-adressen te beperken tot alleen die resources die ze daadwerkelijk nodig hebben, kunnen organisaties hun aanvalsoppervlak minimaliseren en de beveiliging verbeteren. Voor resources die wel externe toegang nodig hebben, moeten aanvullende beveiligingsmaatregelen worden geïmplementeerd, zoals firewalls, netwerkbeveiligingsgroepen en DDoS-bescherming. Het verplichten van back-ups op productie-VM's zorgt voor herstelbaarheid in geval van dataverlies, ransomware-aanvallen of andere incidenten. Deze policy kan worden gecombineerd met Azure Backup policies om automatische back-ups te garanderen. Regelmatige back-ups zijn essentieel voor business continuity en disaster recovery. Zonder adequate back-ups kunnen organisaties aanzienlijke dataverliezen lijden bij hardwarestoringen, menselijke fouten of beveiligingsincidenten. Azure Backup biedt geautomatiseerde, betrouwbare back-ups met lange retentietijden en de mogelijkheid om back-ups op te slaan in verschillende geografische locaties voor extra bescherming. Ten slotte is het vereisen van Network Security Groups op alle subnets essentieel voor netwerksegmentatie en toegangscontrole. NSG's fungeren als firewalls op netwerkniveau en controleren inkomend en uitgaand verkeer. Zonder NSG's zijn subnets volledig open, wat een kritiek beveiligingsrisico vormt. NSG's maken het mogelijk om verkeer te filteren op basis van bron- en doel-IP-adressen, poorten en protocollen, waardoor organisaties een zero-trust netwerkarchitectuur kunnen implementeren. Deze policy moet worden gecombineerd met andere netwerkbeveiligingsmaatregelen, zoals Azure Firewall of Network Virtual Appliances, voor een complete netwerkbeveiligingsstrategie.
Monitoring
Gebruik PowerShell-script azure-policy-assignments.ps1 (functie Invoke-Monitoring) – Controleren.
Effectieve monitoring van Azure Policy assignments is essentieel om te garanderen dat policies daadwerkelijk werken zoals bedoeld en dat organisaties op de hoogte blijven van de compliance-status van hun resources. Het Azure Policy compliance-dashboard vormt het centrale punt voor deze monitoring. Dit dashboard biedt een overzichtelijke weergave van alle toegewezen policies, de nalevingsstatus per policy, en het aantal compliant versus niet-compliant resources. Organisaties kunnen dit dashboard gebruiken om snel inzicht te krijgen in hun algemene beveiligingspostuur en om trends te identificeren in nalevingsproblemen. Het dashboard wordt automatisch bijgewerkt wanneer nieuwe resources worden geëvalueerd tegen de toegewezen policies, waardoor organisaties real-time inzicht hebben in hun compliance-status. Het bijhouden van niet-compliant resources is een continue activiteit die regelmatige aandacht vereist. Het dashboard toont gedetailleerde informatie over welke specifieke resources niet voldoen aan welke policies, inclusief de reden voor niet-naleving. Deze informatie is cruciaal voor het prioriteren van remediatie-activiteiten. Resources met hoge prioriteit, zoals productiesystemen met beveiligingsproblemen, moeten onmiddellijk worden aangepakt, terwijl minder kritieke resources kunnen worden gepland voor geplande onderhoudsvensters. Het is belangrijk om regelmatig het dashboard te controleren, bij voorkeur dagelijks of wekelijks, afhankelijk van de omvang van de omgeving en de snelheid waarmee nieuwe resources worden aangemaakt. Voor grote organisaties met honderden of duizenden resources kan het nuttig zijn om geautomatiseerde rapporten te configureren die dagelijks worden gegenereerd en naar relevante teams worden verzonden. Het configureren van waarschuwingen op policy-overtredingen zorgt ervoor dat teams proactief worden geïnformeerd wanneer nieuwe niet-naleving wordt gedetecteerd. Deze waarschuwingen kunnen worden geconfigureerd om te triggeren wanneer het aantal niet-compliant resources een bepaalde drempel overschrijdt, of wanneer specifieke kritieke policies worden overtreden. Waarschuwingen kunnen worden doorgestuurd naar verschillende kanalen, zoals e-mail, Microsoft Teams, of geïntegreerd worden in bestaande monitoring- en incident response-systemen. Voor kritieke policies, zoals die gerelateerd aan versleuteling of toegangscontrole, moeten waarschuwingen onmiddellijk worden geconfigureerd om ervoor te zorgen dat teams direct worden geïnformeerd wanneer problemen worden gedetecteerd. Het is ook belangrijk om waarschuwingsmoeheid te voorkomen door waarschuwingen te configureren op een manier die alleen relevante en actievereiste meldingen genereert. Maandelijkse compliance-rapporten bieden management en audit-teams een gestructureerd overzicht van de nalevingsstatus. Deze rapporten moeten niet alleen de huidige status weergeven, maar ook trends over tijd, waardoor organisaties kunnen zien of de naleving verbetert of verslechtert. Rapporten kunnen worden geëxporteerd in verschillende formaten voor distributie aan stakeholders en voor archivering voor audit-doeleinden. Voor organisaties die moeten voldoen aan compliance-vereisten zoals ISO 27001 of de BIO-normen, zijn deze rapporten vaak een vereiste voor certificering. De rapporten moeten gedetailleerde informatie bevatten over het aantal compliant en niet-compliant resources per policy, trends over de afgelopen maanden, en een overzicht van remediatie-activiteiten die zijn uitgevoerd. Deze informatie is essentieel voor auditors om te begrijpen hoe organisaties omgaan met compliance en of er verbetering wordt geboekt. Het bijhouden van remediatietaken is belangrijk om te garanderen dat geïdentificeerde problemen daadwerkelijk worden opgelost. Dit omvat het documenteren van welke resources moeten worden gerepareerd, wie verantwoordelijk is voor de remediatie, wanneer de taak is voltooid, en of de remediatie succesvol was. Voor automatische remediatie-taken kan dit grotendeels worden geautomatiseerd, maar voor handmatige remediatie is een gestructureerd proces nodig om te voorkomen dat taken verloren gaan of worden vergeten. Organisaties kunnen gebruik maken van ticketing-systemen of projectmanagement-tools om remediatietaken bij te houden en te volgen. Het is belangrijk om regelmatig te controleren of remediatietaken daadwerkelijk worden voltooid en of de remediatie succesvol was door de compliance-status opnieuw te evalueren na voltooiing van de taak. Naast het compliance-dashboard kunnen organisaties ook gebruik maken van Azure Monitor en Log Analytics voor geavanceerde monitoring en analyse van policy-evaluaties. Deze tools maken het mogelijk om gedetailleerde query's uit te voeren op policy-evaluatiegegevens, trends te identificeren, en aangepaste dashboards te maken voor verschillende stakeholders. Voor organisaties met complexe omgevingen of specifieke monitoring-vereisten kan dit een waardevolle aanvulling zijn op het standaard compliance-dashboard. Azure Monitor kan ook worden gebruikt om aangepaste metrische gegevens te verzamelen over policy-compliance, zoals het percentage compliant resources of het aantal policy-overtredingen per dag, wat kan worden gebruikt voor trendanalyse en capaciteitsplanning.
Compliance en Audit
Azure Policy assignments spelen een cruciale rol in het voldoen aan verschillende compliance-vereisten die van toepassing zijn op Nederlandse organisaties, met name in de publieke sector. De CIS Azure Foundations Benchmark bevat tientallen aanbevelingen voor het beveiligen van Azure-omgevingen, en veel van deze aanbevelingen kunnen worden geautomatiseerd via Azure Policy. Door de juiste policies toe te wijzen, kunnen organisaties automatisch voldoen aan meerdere CIS-controles zonder handmatige interventie. Dit is niet alleen efficiënter maar ook betrouwbaarder, omdat geautomatiseerde handhaving menselijke fouten voorkomt. De CIS Azure Foundations Benchmark is een uitgebreide set van best practices die zijn ontwikkeld door het Center for Internet Security en die worden erkend als de industriestandaard voor het beveiligen van Azure-omgevingen. Veel van de aanbevelingen in deze benchmark kunnen direct worden geïmplementeerd via Azure Policy, waardoor organisaties snel kunnen voldoen aan deze erkende standaarden. Voor organisaties die moeten voldoen aan ISO 27001, specifiek controle A.18.1.1 (Review of information security), biedt Azure Policy een mechanisme om regelmatige beoordelingen van beveiligingsvereisten te ondersteunen. Policies kunnen worden gebruikt om te verifiëren dat resources voldoen aan gedefinieerde beveiligingsstandaarden, en compliance-rapporten kunnen worden gebruikt als bewijs voor auditors dat beveiligingsvereisten worden gecontroleerd en afgedwongen. Het compliance-dashboard biedt de transparantie die nodig is voor ISO 27001-certificering. ISO 27001 is een internationaal erkende standaard voor informatiebeveiligingsmanagement die vereist dat organisaties regelmatig hun beveiligingsvereisten beoordelen en verifiëren dat deze worden nageleefd. Azure Policy maakt het mogelijk om deze beoordelingen te automatiseren en te documenteren, wat essentieel is voor het behouden van ISO 27001-certificering. De compliance-rapporten die worden gegenereerd door Azure Policy kunnen worden gebruikt als audit-evidentie om aan te tonen dat organisaties proactief hun beveiligingsvereisten monitoren en handhaven. De NIS2-richtlijn, die van toepassing is op essentiële en belangrijke entiteiten in verschillende sectoren, vereist in Artikel 21 dat organisaties beleidsmechanismen implementeren voor het afdwingen van beveiligingsmaatregelen. Azure Policy assignments vormen een directe implementatie van deze vereiste, omdat ze automatisch beveiligingsbeleid afdwingen over alle cloud-resources. Voor Nederlandse organisaties die onder NIS2 vallen, is het gebruik van Azure Policy niet alleen een best practice maar een compliance-vereiste. De NIS2-richtlijn is een Europese richtlijn die is ontworpen om de cyberbeveiliging van essentiële en belangrijke entiteiten te verbeteren. Artikel 21 van deze richtlijn vereist expliciet dat organisaties technische en organisatorische maatregelen implementeren om beveiligingsrisico's te beheren, en Azure Policy biedt een directe manier om aan deze vereiste te voldoen. Voor Nederlandse organisaties die onder NIS2 vallen, is het daarom niet alleen aanbevolen maar verplicht om gebruik te maken van policy-based governance voor hun cloud-omgevingen. De BIO-normen, die specifiek zijn ontwikkeld voor de Nederlandse overheid, bevatten in Thema 05.01 vereisten voor informatiebeveiligingsbeleid. Dit thema benadrukt het belang van gedefinieerd en geïmplementeerd beveiligingsbeleid. Azure Policy assignments vertegenwoordigen de technische implementatie van dit beleid, waarbij organisatorische beveiligingsvereisten worden vertaald naar automatisch afgedwongen technische controles. Voor overheidsorganisaties die moeten voldoen aan BIO-normen, is documentatie van policy assignments en compliance-status een essentieel onderdeel van de audit-evidentie. De BIO-normen zijn de Baseline Informatiebeveiliging Overheid, een set van beveiligingsnormen die specifiek zijn ontwikkeld voor Nederlandse overheidsorganisaties. Thema 05.01 van deze normen vereist dat organisaties een duidelijk gedefinieerd informatiebeveiligingsbeleid hebben en dat dit beleid daadwerkelijk wordt geïmplementeerd en gehandhaafd. Azure Policy biedt een concrete manier om aan deze vereiste te voldoen door technische controles te implementeren die automatisch beveiligingsbeleid afdwingen. Voor overheidsorganisaties is het daarom essentieel om Azure Policy assignments te documenteren en regelmatig compliance-rapporten te genereren als onderdeel van hun audit-evidentie. Naast deze specifieke compliance-frameworks kunnen Azure Policy assignments ook helpen bij het voldoen aan andere relevante standaarden en regelgeving. De Algemene Verordening Gegevensbescherming (AVG) vereist bijvoorbeeld dat organisaties passende technische en organisatorische maatregelen implementeren om persoonsgegevens te beschermen. Azure Policy kan worden gebruikt om te verifiëren dat resources zijn geconfigureerd met versleuteling, toegangscontroles en andere beveiligingsmaatregelen die nodig zijn voor AVG-compliance. Evenzo kunnen policies worden gebruikt om te voldoen aan sector-specifieke vereisten, zoals die voor de gezondheidszorg of financiële dienstverlening. Door policies te configureren die specifiek zijn afgestemd op de compliance-vereisten van de organisatie, kunnen organisaties ervoor zorgen dat hun cloud-omgevingen consistent voldoen aan alle relevante standaarden en regelgeving.
Remediatie
Gebruik PowerShell-script azure-policy-assignments.ps1 (functie Invoke-Remediation) – Herstellen.
Remediatie van niet-compliant resources vormt een kritiek onderdeel van het Azure Policy-beheerproces en vereist een gestructureerde aanpak om effectief te zijn. Wanneer policies worden toegewezen aan bestaande abonnementen die al resources bevatten, zullen veel van deze resources waarschijnlijk niet voldoen aan de nieuwe vereisten die door de policies worden afgedwongen. Dit is een veelvoorkomende situatie, vooral wanneer organisaties voor het eerst Azure Policy implementeren in omgevingen die al bestaan. Het remediatieproces moet daarom zorgvuldig worden gepland en uitgevoerd om te voorkomen dat productiesystemen worden verstoord of dat kritieke services worden onderbroken tijdens het herstelproces. Een goed doordacht remediatieplan is essentieel voor het succesvol implementeren van Azure Policy in bestaande omgevingen. Azure Policy ondersteunt twee hoofdtypen remediatie die elk hun eigen voor- en nadelen hebben: automatische en handmatige remediatie. Automatische remediatie wordt mogelijk gemaakt door policies met het effect DeployIfNotExists of Modify, die Azure Policy in staat stellen om automatisch wijzigingen aan te brengen aan resources die niet voldoen aan de vereisten. Wanneer een resource niet voldraagt aan een policy met een van deze effecten, kan Azure Policy automatisch een remediatietaak uitvoeren die de resource configureert om te voldoen aan de vereisten zonder menselijke tussenkomst. Dit is bijzonder nuttig voor routinematige configuratietaken zoals het toevoegen van ontbrekende tags, het inschakelen van diagnostische logboeken, of het configureren van versleuteling op resources die dit nog niet hebben. Automatische remediatie biedt aanzienlijke voordelen in termen van efficiëntie en consistentie, omdat het ervoor zorgt dat alle resources automatisch worden bijgewerkt zonder dat teams handmatig actie hoeven te ondernemen voor elke individuele resource. Voordat automatische remediatie wordt ingeschakeld in productieomgevingen, is het absoluut essentieel om policies grondig te testen in een niet-productieomgeving die zo veel mogelijk lijkt op de productieomgeving. Automatische wijzigingen kunnen onbedoelde gevolgen hebben die niet direct zichtbaar zijn, zoals het onderbreken van services, het wijzigen van configuraties die bewust zijn ingesteld om specifieke redenen, of het veroorzaken van prestatieproblemen. Testomgevingen moeten daarom zo veel mogelijk lijken op productieomgevingen om realistische testresultaten te garanderen en om te identificeren welke impact automatische remediatie zal hebben voordat deze wordt toegepast op kritieke systemen. Het testen moet verschillende scenario's omvatten, waaronder het testen op verschillende soorten resources, verschillende configuraties, en verschillende omgevingen. Alleen na uitgebreide testing en validatie moet automatische remediatie worden ingeschakeld in productieomgevingen. Voor resources die niet automatisch kunnen worden gerepareerd vanwege technische beperkingen, of wanneer organisaties de voorkeur geven aan handmatige controle om volledige zichtbaarheid en controle te behouden, moet een gestructureerd handmatig remediatieproces worden gevolgd dat ervoor zorgt dat alle niet-compliant resources worden geïdentificeerd en aangepakt. Dit proces begint met het systematisch identificeren van niet-compliant resources via het compliance-dashboard in Azure Portal, dat een overzichtelijk overzicht biedt van alle resources die niet voldoen aan de toegewezen policies. Het dashboard toont niet alleen welke resources niet-compliant zijn, maar ook welke specifieke policies worden overtreden en wat de reden is voor de niet-naleving. Deze informatie is cruciaal voor het begrijpen van de omvang van het probleem en voor het plannen van de remediatie-activiteiten. Na het identificeren van niet-compliant resources moeten deze worden geprioriteerd op basis van risico en bedrijfskritiek om ervoor te zorgen dat de meest kritieke problemen eerst worden aangepakt. Kritieke productiesystemen met beveiligingsproblemen die een hoog risico vormen, zoals systemen zonder versleuteling of met onjuiste toegangscontroles, moeten onmiddellijk worden aangepakt om het risico op beveiligingsincidenten te minimaliseren. Minder kritieke resources, zoals testomgevingen of systemen met lage risico's, kunnen worden gepland voor geplande onderhoudsvensters om te voorkomen dat normale bedrijfsactiviteiten worden verstoord. Deze prioritering moet worden gedocumenteerd en gecommuniceerd met alle betrokken teams om ervoor te zorgen dat iedereen begrijpt welke resources prioriteit hebben en waarom. Remediatietaken moeten zorgvuldig worden gedocumenteerd en bijgehouden om te garanderen dat alle geïdentificeerde problemen daadwerkelijk worden opgelost en om te voorkomen dat taken verloren gaan of worden vergeten. Dit omvat het vastleggen van welke specifieke resources zijn gerepareerd, wie verantwoordelijk was voor de remediatie, wanneer de remediatie is voltooid, welke wijzigingen zijn aangebracht, en of de remediatie succesvol was door de compliance-status opnieuw te evalueren na voltooiing. Voor audit-doeleinden is deze documentatie essentieel om aan te tonen dat organisaties proactief omgaan met compliance-problemen en dat ze een gestructureerd proces hebben voor het identificeren en oplossen van niet-naleving. Organisaties kunnen gebruik maken van verschillende tools voor het bijhouden van remediatietaken, zoals ticketing-systemen, projectmanagement-tools, of gespecialiseerde compliance-tracking-systemen. Het is belangrijk dat deze documentatie regelmatig wordt bijgewerkt en dat er regelmatige controles worden uitgevoerd om te verifiëren dat alle taken daadwerkelijk zijn voltooid. In sommige gevallen kunnen resources legitiem niet voldoen aan bepaalde policies vanwege technische beperkingen, bedrijfsvereisten, of andere geldige redenen die niet kunnen worden opgelost zonder aanzienlijke impact op de bedrijfsvoering. In deze situaties moeten uitzonderingen worden gedocumenteerd via het uitzonderingsproces dat is gedefinieerd in de policy-strategie van de organisatie. Dit proces moet duidelijk beschrijven wanneer uitzonderingen zijn toegestaan, wie deze kan goedkeuren, hoe uitzonderingen worden gedocumenteerd, en hoe ze worden gemonitord. Uitzonderingen moeten worden beoordeeld en goedgekeurd door de juiste autoriteiten, zoals security officers of compliance managers, voordat ze worden geïmplementeerd. Bovendien moeten uitzonderingen regelmatig worden herbeoordeeld, bijvoorbeeld elk kwartaal of halfjaar, om te bepalen of de uitzondering nog steeds gerechtvaardigd is of dat de onderliggende reden voor de uitzondering niet langer van toepassing is. Als de reden voor de uitzondering niet langer geldig is, moet de uitzondering worden ingetrokken en moet de resource worden gerepareerd om te voldoen aan de policy. Dit proces zorgt ervoor dat uitzonderingen niet permanent worden en dat organisaties blijven werken aan het verbeteren van hun compliance-status.
Compliance & Frameworks
- CIS M365: Control Multiple (L1) - Geautomatiseerde beveiligingsregels via Policy
- BIO: 05.01.01 - Informatiebeveiligingsbeleid - Policy handhaving
- ISO 27001:2022: A.18.1.1 - Beoordeling van informatiebeveiligingsvereisten
- NIS2: Artikel - Policy handhavingsmechanismen
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Azure Policy Assignments Monitoring
.DESCRIPTION
Monitort Azure Policy assignments voor compliance tracking.
.NOTES
Filename: azure-policy-assignments.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Resources
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Azure Policy Assignments"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' }
$result = @{ TotalSubscriptions = $subscriptions.Count; TotalPolicies = 0; CISPolicies = 0 }
foreach ($sub in $subscriptions) {
Set-AzContext -SubscriptionId $sub.Id | Out-Null
$policies = Get-AzPolicyAssignment
$result.TotalPolicies += $policies.Count
$cisPolicies = $policies | Where-Object { $_.Properties.DisplayName -like "*CIS*" }
$result.CISPolicies += $cisPolicies.Count
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "AZURE POLICY STATUS" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Subscriptions: $($r.TotalSubscriptions)" -ForegroundColor White
Write-Host "Total Policies: $($r.TotalPolicies)" -ForegroundColor White
Write-Host "CIS-Related Policies: $($r.CISPolicies)" -ForegroundColor Green
}
else {
$r = Test-Compliance
Write-Host "`nPolicies: $($r.TotalPolicies) total, $($r.CISPolicies) CIS-related"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "AZURE POLICY STATUS" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Subscriptions: $($r.TotalSubscriptions)" -ForegroundColor White
Write-Host "Total Policies: $($r.TotalPolicies)" -ForegroundColor White
Write-Host "CIS-Related Policies: $($r.CISPolicies)" -ForegroundColor Green
}
else {
$r = Test-Compliance
Write-Host "`nPolicies: $($r.TotalPolicies) total, $($r.CISPolicies) CIS-related"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder Azure Policy blijft configuratiedrift onbeheerd, wat leidt tot beveiligingshiaten die kunnen worden uitgebuit door aanvallers. Compliance-overtredingen blijven onopgemerkt totdat ze worden ontdekt tijdens audits, wat kan resulteren in boetes en reputatieschade. Handmatige handhaving van configuratiestandaarden schaalt niet wanneer organisaties groeien, wat betekent dat beveiligingsvereisten onvermijdelijk worden vergeten of genegeerd. Beveiliging blijft reactief: problemen worden pas gedetecteerd na een inbreuk, in plaats van te worden voorkomen. Misconfiguratiepreventie ontbreekt volledig, waardoor organisaties kwetsbaar zijn voor aanvallen die profiteren van verkeerde configuraties. Verschillende compliance-vereisten zoals CIS, ISO 27001 en NIS2 vereisen expliciet policy-based governance, en zonder Azure Policy kunnen organisaties niet voldoen aan deze vereisten. Het risico is bijzonder hoog voor omgevingen met meer dan vijftig resources, waar handmatige governance praktisch onmogelijk wordt.
Management Samenvatting
Azure Policy biedt geautomatiseerde governance door het toewijzen van de Azure Security Benchmark initiative, die meer dan driehonderd controles bevat. Organisaties kunnen ook aangepaste policies ontwikkelen voor specifieke vereisten zoals versleuteling, logging en tags. Het systeem biedt proactieve handhaving door niet-compliant resources te weigeren voordat ze worden aangemaakt, en automatische remediatie voor bestaande resources. Activatie gebeurt via de Azure Portal onder Policy → Assignments → Azure Security Benchmark. De service is gratis beschikbaar en is verplicht voor organisaties die moeten voldoen aan CIS en ISO 27001. De implementatie vereist ongeveer twaalf tot zestien uur voor policy-selectie, testing en rollout. Azure Policy is essentieel voor governance op schaal en vormt de basis voor een veilige en compliant cloud-omgeving.
- Implementatietijd: 16 uur
- FTE required: 0.2 FTE