💼 Management Samenvatting
Een goed ontworpen Management Group structuur vormt de fundamentele basis voor effectieve Azure governance binnen organisaties. De structuur bepaalt hoe abonnementen worden georganiseerd, hoe beleidsregels worden toegepast, hoe toegangsrechten worden beheerd en hoe kosten worden toegewezen. Zonder een doordachte structuur die de organisatiestructuur weerspiegelt, kunnen organisaties niet optimaal profiteren van de governance-mogelijkheden die Azure Management Groups bieden.
Aanbeveling
IMPLEMENTEER VOOR ENTERPRISE (10+ ABONNEMENTEN)
Risico zonder
Low
Risk Score
3/10
Implementatie
24u (tech: 16u)
Van toepassing op:
✓ Azure Tenant
Zonder een goed ontworpen Management Group structuur ontstaan er aanzienlijke uitdagingen bij het beheren van Azure-omgevingen op schaal. Organisaties die geen duidelijke structuur hebben, moeten beleidsregels en toegangsrechten handmatig per abonnement configureren, wat onbeheersbaar wordt bij meer dan tien abonnementen. Er is geen logische organisatie van resources mogelijk, waardoor het onmogelijk wordt om consistent beveiligingsbeleid toe te passen over verschillende bedrijfsonderdelen of omgevingen heen. Kosten kunnen niet effectief worden toegewezen aan specifieke business units of projecten, wat budgettering en kostenbeheer bemoeilijkt. Een slecht ontworpen structuur leidt tot governance-fragmentatie waarbij verschillende teams verschillende benaderingen volgen voor het beheren van resources. Deze inconsistentie maakt het onmogelijk om te garanderen dat alle cloud-resources worden beschermd door dezelfde beveiligingsstandaarden, wat resulteert in beveiligingshiaten die kunnen worden uitgebuit door cybercriminelen. Bovendien ontbreekt het zonder een duidelijke structuur aan zichtbaarheid over hoe resources zijn georganiseerd, wat het moeilijk maakt om compliance-vereisten na te leven en audits uit te voeren. Voor Nederlandse overheidsorganisaties en organisaties die moeten voldoen aan de BIO-normen is een goed ontworpen Management Group structuur essentieel voor compliance. Thema 05.01 van de BIO vereist dat organisaties kunnen aantonen dat zij een gestructureerd beveiligingsbeleid hebben dat consistent wordt toegepast op alle informatiesystemen. Een Management Group structuur biedt de technische implementatie van deze vereiste, waarbij wordt beschreven hoe resources worden georganiseerd en hoe beveiligingsbeleid wordt toegepast. Zonder een duidelijke structuur kunnen organisaties niet bewijzen dat zij voldoen aan BIO-vereisten, wat kan leiden tot het verlies van certificeringen of het falen van audits. Een goed ontworpen structuur biedt organisaties volledige zichtbaarheid en controle over hun cloud-governance. Door een gestructureerde aanpak te implementeren kunnen organisaties garanderen dat alle resources logisch zijn georganiseerd volgens bedrijfslogica, dat beveiligingsbeleid consistent wordt toegepast over verschillende omgevingen heen, en dat toegangsrechten centraal kunnen worden beheerd. Deze structuur maakt het mogelijk om proactief te reageren op nieuwe beveiligingsvereisten door snel beleidsregels toe te passen op de juiste groepen van resources. Bovendien biedt een duidelijke structuur de basis voor effectieve samenwerking tussen verschillende teams, zoals security officers, compliance managers en IT-beheerders.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.Resources, Az.ManagementGroups
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.Resources, Az.ManagementGroups
Implementatie
De ontwerpstructuur van Management Groups volgt een logische hiërarchie die de organisatiestructuur weerspiegelt en die optimaal gebruik maakt van de overervingsfunctionaliteit van Azure. Op het rootniveau staat de organisatienaam, wat de top van de hiërarchie vormt en waar organisatiebrede beleidsregels kunnen worden toegepast. Op het tweede niveau worden bedrijfsonderdelen geplaatst, zoals Productie, Financiën, Informatietechnologie en Human Resources, waardoor logische scheidingen ontstaan tussen verschillende afdelingen of business units. Deze scheiding maakt het mogelijk om beleidsregels en toegangsrechten toe te spitsen op specifieke bedrijfsonderdelen terwijl consistentie wordt gewaarborgd op organisatieniveau. Het derde niveau bevat omgevingen zoals Productie, Niet-Productie, Ontwikkeling en Test, waardoor een duidelijke scheiding wordt aangebracht tussen verschillende fasen in de applicatielifecycle. Deze scheiding is cruciaal voor beveiliging omdat productie-omgevingen strengere beveiligingsvereisten hebben dan ontwikkelomgevingen. Abonnementen vormen de leaf nodes van de hiërarchie, waar de daadwerkelijke Azure-resources worden geplaatst. Elke abonnement moet zich in precies één Management Group bevinden, waardoor dubbele toewijzingen en conflicterende beleidsregels worden voorkomen. Het overervingsmechanisme vormt het hart van de Management Group functionaliteit en moet centraal staan in het ontwerp. Beleidsregels die worden toegewezen op het niveau van een Management Group worden automatisch overgenomen door alle onderliggende child Management Groups en abonnementen. Dit betekent dat een centrale security officer een beleidsregel eenmaal configureert op organisatieniveau en deze automatisch effectief is op honderden abonnementen. Op rollen gebaseerd toegangsbeheer dat wordt geconfigureerd op Management Group niveau wordt eveneens naar beneden overgenomen, waardoor gecentraliseerd toegangsbeheer mogelijk wordt zonder dat per abonnement individuele rollen moeten worden toegewezen. Best practices voor Management Group structuur ontwerp zijn essentieel om de hiërarchie beheersbaar te houden. Een maximum van zes niveaus diep wordt aanbevolen om complexiteit te voorkomen en de overzichtelijkheid te waarborgen. Diepere hiërarchieën worden moeilijk te onderhouden en te begrijpen, wat kan leiden tot fouten in configuratie en governance. Een goed ontworpen hiërarchie met drie tot vier niveaus is meestal voldoende voor de meeste organisaties en biedt de juiste balans tussen flexibiliteit en beheersbaarheid. Duidelijke naamgevingsconventies zijn cruciaal voor onderhoudbaarheid en auditbaarheid. Namen moeten duidelijk aangeven welk bedrijfsonderdeel en welke omgeving worden vertegenwoordigd, zoals 'Contoso-Production' of 'Contoso-IT-Development'. Generieke namen zoals 'MG1' of 'MG2' moeten worden vermeden omdat ze geen context bieden en het moeilijk maken om te begrijpen welke functie elke Management Group vervult in de organisatiestructuur. Het documenteren van Management Group doeleinden in de weergavenamen is essentieel voor onderhoudbaarheid en maakt het voor administrators en auditors eenvoudig om te begrijpen welke functie elke Management Group vervult.
Ontwerpprincipes voor Management Group Structuur
Het ontwerpen van een effectieve Management Group structuur vereist een grondig begrip van zowel de organisatiestructuur als de technische mogelijkheden van Azure. De eerste ontwerpprincipes zijn gebaseerd op het weerspiegelen van de organisatiestructuur, waarbij de Management Group hiërarchie de bedrijfsstructuur volgt. Dit betekent dat bedrijfsonderdelen, afdelingen en teams logisch worden weergegeven in de hiërarchie, waardoor het voor stakeholders eenvoudig is om te begrijpen hoe resources zijn georganiseerd. Wanneer de structuur de organisatiestructuur weerspiegelt, wordt het ook eenvoudiger om beleidsregels en toegangsrechten toe te wijzen die passen bij de verantwoordelijkheden van verschillende teams. Een tweede belangrijk ontwerpprincipes is het balanceren tussen centralisatie en decentralisatie. Te veel centralisatie kan leiden tot een starre structuur die niet flexibel genoeg is om te reageren op veranderende behoeften, terwijl te veel decentralisatie kan leiden tot fragmentatie en inconsistentie. Een goed ontworpen structuur biedt centrale governance op organisatieniveau terwijl teams de flexibiliteit behouden om hun eigen resources te beheren binnen de grenzen van organisatiebrede beleidsregels. Dit principe wordt vaak geïmplementeerd door organisatiebrede beleidsregels toe te passen op het rootniveau, terwijl teamspecifieke beleidsregels worden toegepast op lagere niveaus. Het principe van minimale complexiteit is essentieel voor het behouden van een beheersbare structuur. Hoewel Azure tot zes niveaus diep ondersteunt, is een structuur met drie tot vier niveaus meestal voldoende voor de meeste organisaties. Elke extra laag voegt complexiteit toe zonder noodzakelijkerwijs waarde toe te voegen. Een eenvoudige structuur is gemakkelijker te begrijpen, te onderhouden en te documenteren, wat essentieel is voor langetermijnbeheer. Bovendien maakt een eenvoudige structuur het eenvoudiger voor nieuwe teamleden om te begrijpen hoe resources zijn georganiseerd. Het principe van schaalbaarheid moet worden overwogen bij het ontwerpen van de structuur. De structuur moet kunnen groeien naarmate de organisatie groeit, zonder dat een volledige herstructurering nodig is. Dit betekent dat de structuur moet worden ontworpen met toekomstige groei in gedachten, waarbij ruimte wordt gelaten voor nieuwe bedrijfsonderdelen, teams of omgevingen. Een goed ontworpen structuur kan honderden of zelfs duizenden abonnementen omvatten zonder dat de hiërarchie onbeheersbaar wordt. Het principe van consistentie is cruciaal voor het behouden van een voorspelbare en betrouwbare structuur. Naamgevingsconventies moeten consistent worden toegepast over de gehele hiërarchie, waarbij alle Management Groups op hetzelfde niveau dezelfde naamgevingsstructuur volgen. Dit maakt het eenvoudiger om te navigeren door de hiërarchie en om te begrijpen welke functie elke Management Group vervult. Consistentie in structuur maakt het ook eenvoudiger om geautomatiseerde scripts te ontwikkelen die werken met de Management Group hiërarchie. Het principe van scheiding van verantwoordelijkheden moet worden toegepast bij het ontwerpen van de structuur. Verschillende omgevingen, zoals productie en ontwikkeling, moeten worden gescheiden in verschillende Management Groups om te voorkomen dat ontwikkelaars per ongeluk wijzigingen kunnen aanbrengen in productie-omgevingen. Evenzo moeten verschillende bedrijfsonderdelen worden gescheiden om te voorkomen dat teams toegang hebben tot resources die niet relevant zijn voor hun werkzaamheden. Deze scheiding is essentieel voor beveiliging en compliance. Het principe van flexibiliteit moet worden gebalanceerd met het principe van consistentie. Hoewel consistentie belangrijk is, moet de structuur ook flexibel genoeg zijn om te reageren op unieke behoeften van specifieke teams of projecten. Dit kan worden bereikt door uitzonderingen toe te staan op lagere niveaus van de hiërarchie, waarbij teamspecifieke beleidsregels kunnen worden toegepast die verschillen van organisatiebrede beleidsregels, zolang deze uitzonderingen worden gedocumenteerd en goedgekeurd. Het principe van documentatie is essentieel voor het behouden van een beheersbare structuur op de lange termijn. Alle Management Groups moeten duidelijk worden gedocumenteerd, waarbij wordt beschreven welke functie elke Management Group vervult, welke teams verantwoordelijk zijn voor resources binnen elke Management Group, en welke beleidsregels zijn toegepast. Deze documentatie moet regelmatig worden bijgewerkt wanneer de structuur verandert, en moet toegankelijk zijn voor alle stakeholders die betrokken zijn bij het beheren van de Azure-omgeving.
Implementatie van Management Group Structuur
Gebruik PowerShell-script management-groups-structure.ps1 (functie Invoke-Implementation) – Implementeert de Management Group structuur volgens best practices.
De implementatie van een Management Group structuur begint met een grondige analyse van de organisatiestructuur en de huidige Azure-omgeving. Deze analyse moet alle bestaande abonnementen inventariseren, de organisatiestructuur documenteren, en de behoeften van verschillende teams en bedrijfsonderdelen identificeren. Op basis van deze analyse kan een ontwerp worden ontwikkeld dat de organisatiestructuur weerspiegelt en die optimaal gebruik maakt van de overervingsfunctionaliteit van Azure. Het ontwerpproces begint met het definiëren van de root Management Group, die de top van de hiërarchie vormt. Deze root Management Group moet de organisatienaam bevatten en moet worden gebruikt voor organisatiebrede beleidsregels die van toepassing zijn op alle resources. Op het tweede niveau worden bedrijfsonderdelen geplaatst, waarbij elk bedrijfsonderdeel zijn eigen Management Group krijgt. Deze structuur maakt het mogelijk om beleidsregels en toegangsrechten toe te spitsen op specifieke bedrijfsonderdelen terwijl consistentie wordt gewaarborgd op organisatieniveau. Het derde niveau bevat omgevingen, waarbij elke bedrijfsonderdeel Management Group child Management Groups krijgt voor verschillende omgevingen zoals Productie, Niet-Productie, Ontwikkeling en Test. Deze scheiding is cruciaal voor beveiliging omdat productie-omgevingen strengere beveiligingsvereisten hebben dan ontwikkelomgevingen. Abonnementen worden vervolgens toegewezen aan de juiste omgevings Management Groups, waarbij elk abonnement precies één Management Group heeft. Bij het aanmaken van Management Groups is het essentieel om duidelijke en beschrijvende namen te gebruiken die direct aangeven welk bedrijfsonderdeel of welke omgeving wordt vertegenwoordigd. Namen moeten consistent zijn over de gehele hiërarchie, waarbij alle Management Groups op hetzelfde niveau dezelfde naamgevingsstructuur volgen. Het is aan te raden om namen te gebruiken zoals 'Contoso-Production' of 'Contoso-IT-Development' in plaats van generieke namen zoals 'MG1' of 'MG2'. Eenmaal de hiërarchische structuur is aangemaakt, moeten bestaande abonnementen worden verplaatst naar de juiste Management Groups. Deze verplaatsing moet zorgvuldig worden uitgevoerd omdat het invloed heeft op alle toegepaste beleidsregels en toegangsrechten. Het is aan te raden om eerst een testabonnement te verplaatsen om de effecten te verifiëren voordat alle productie-abonnementen worden gemigreerd. Tijdens het verplaatsingsproces moeten alle betrokken stakeholders worden geïnformeerd, inclusief security officers, cloud administrators en applicatie-eigenaren. Beleidsregels worden toegewezen op Management Group niveau, waardoor ze automatisch worden toegepast op alle onderliggende resources. Een praktisch voorbeeld is het toewijzen van het Azure Security Benchmark-beleid op het niveau van de Productie Management Group, waardoor alle productie-abonnementen automatisch worden beschermd met dezelfde beveiligingsstandaarden. Deze aanpak elimineert de noodzaak om beleidsregels per abonnement te configureren en zorgt voor consistentie over de gehele organisatie. Op rollen gebaseerd toegangsbeheer wordt eveneens geconfigureerd op Management Group niveau voor gecentraliseerd toegangsbeheer. Wanneer een rol wordt toegewezen op Management Group niveau, wordt deze automatisch overgenomen door alle onderliggende Management Groups en abonnementen. Dit stelt organisaties in staat om toegangsrechten centraal te beheren zonder dat per abonnement individuele roltoewijzingen nodig zijn. De overervingsfunctionaliteit wordt automatisch ingeschakeld wanneer Management Groups worden gebruikt. Alle configuraties, beleidsregels, roltoewijzingen en tags van bovenliggende Management Groups worden automatisch doorgegeven aan onderliggende niveaus. Deze automatische overerving is het fundament van de schaalbaarheid en beheersbaarheid van Azure-governance via Management Groups. Het documenteren van de Management Group structuur is essentieel voor onderhoudbaarheid en auditbaarheid. Documentatie moet een diagram bevatten van de hiërarchische structuur, een beschrijving van elke Management Group en zijn doel, en een overzicht van welke abonnementen zich in welke Management Groups bevinden. Deze documentatie moet regelmatig worden bijgewerkt wanneer de structuur verandert, en moet toegankelijk zijn voor alle stakeholders die betrokken zijn bij het beheren van de Azure-omgeving.
Monitoring en Verificatie van Management Group Structuur
Gebruik PowerShell-script management-groups-structure.ps1 (functie Invoke-Monitoring) – Monitort de Management Group structuur en verifieert correcte configuratie.
Het monitoren van de Management Group structuur is essentieel om te verzekeren dat de hiërarchie correct blijft geconfigureerd en dat alle abonnementen zich in de juiste Management Groups bevinden. Regelmatige monitoring maakt het mogelijk om afwijkingen te detecteren, zoals abonnementen die zijn verplaatst zonder goedkeuring of Management Groups die zijn aangemaakt buiten de gedefinieerde structuur. Het monitoringproces moet verschillende aspecten omvatten, waaronder het bijhouden van de hiërarchische structuur, het monitoren van abonnementbewegingen, en het verifiëren dat naamgevingsconventies consistent worden toegepast. Het bijhouden van de hiërarchische structuur maakt het mogelijk om te verifiëren dat de structuur nog steeds de organisatiestructuur weerspiegelt en dat alle Management Groups correct zijn geconfigureerd. Dit omvat het controleren of alle vereiste Management Groups aanwezig zijn, of de hiërarchische relaties correct zijn, en of er geen Management Groups zijn aangemaakt die niet in het ontwerp zijn opgenomen. Regelmatige verificatie van de structuur helpt organisaties om te garanderen dat de governance-structuur effectief blijft en dat alle resources correct zijn georganiseerd. Het monitoren van abonnementbewegingen binnen de Management Group hiërarchie is cruciaal om ongeautoriseerde of onbedoelde wijzigingen te detecteren. Wanneer een abonnement wordt verplaatst tussen Management Groups, heeft dit directe gevolgen voor alle toegepaste beleidsregels, roltoewijzingen en tags. Azure Activity Logs registreren alle bewegingen van abonnementen tussen Management Groups, inclusief wie de wijziging heeft uitgevoerd en wanneer deze heeft plaatsgevonden. Regelmatige monitoring van deze logs maakt het mogelijk om afwijkingen te detecteren en indien nodig corrigerende maatregelen te nemen. Het verifiëren van naamgevingsconventies is belangrijk om te garanderen dat de structuur consistent en begrijpelijk blijft. Monitoring moet controleren of alle Management Groups namen gebruiken die voldoen aan de gedefinieerde naamgevingsconventies, en of namen duidelijk aangeven welke functie elke Management Group vervult. Inconsistenties in naamgeving kunnen leiden tot verwarring en maken het moeilijker om te navigeren door de hiërarchie. Automatische controles kunnen worden geconfigureerd om te waarschuwen wanneer Management Groups worden aangemaakt met namen die niet voldoen aan de conventies. Het monitoren van de diepte van de hiërarchie is belangrijk om te garanderen dat de structuur beheersbaar blijft. Hoewel Azure tot zes niveaus diep ondersteunt, is een structuur met drie tot vier niveaus meestal voldoende voor de meeste organisaties. Monitoring moet controleren of de hiërarchie niet te diep wordt, wat kan leiden tot complexiteit en moeilijkheden bij onderhoud. Waarschuwingen moeten worden geconfigureerd wanneer nieuwe Management Groups worden aangemaakt die de aanbevolen diepte overschrijden. Het bijhouden van beleidstoewijzingen per Management Group is essentieel om te verzekeren dat de juiste beleidsregels zijn toegepast op de juiste niveaus. Monitoring moet controleren of organisatiebrede beleidsregels zijn toegepast op het rootniveau, of omgevingsspecifieke beleidsregels zijn toegepast op de juiste omgevings Management Groups, en of er geen conflicterende beleidsregels zijn toegepast op verschillende niveaus. Het Azure Policy compliance-dashboard biedt een gecentraliseerd overzicht van de nalevingsstatus voor alle beleidsregels die zijn toegewezen op Management Group niveau. Een kwartaalreview van de Management Group structuur is een best practice die zorgt voor continue optimalisatie en aanpassing aan veranderende organisatiebehoeften. Tijdens deze reviews moeten verschillende aspecten worden geëvalueerd: of de structuur nog steeds de organisatiestructuur weerspiegelt, of alle abonnementen zich in de juiste Management Groups bevinden, of toegewezen beleidsregels nog steeds relevant zijn, en of de naamgevingsconventies consistent worden toegepast. Deze periodieke evaluaties helpen organisaties om hun Azure-governance effectief en efficiënt te houden en maken het mogelijk om tijdig aanpassingen te maken wanneer de organisatie structuur verandert. Het documenteren van alle wijzigingen aan de Management Group structuur is cruciaal voor auditdoeleinden en voor het begrijpen van de geschiedenis van wijzigingen. Alle verplaatsingen van abonnementen, aanpassingen in de hiërarchische structuur, en wijzigingen in naamgevingsconventies moeten worden vastgelegd in een changelog die duidelijk aangeeft wat er is gewijzigd, wanneer de wijziging heeft plaatsgevonden, wie de wijziging heeft geautoriseerd en wat de reden was voor de wijziging. Deze documentatie is essentieel tijdens externe audits en helpt organisaties om te verantwoorden waarom bepaalde governance-beslissingen zijn genomen.
Compliance en Naleving voor Management Group Structuur
De implementatie van een goed ontworpen Management Group structuur draagt significant bij aan het voldoen aan verschillende internationale en nationale compliance-standaarden die van toepassing zijn op Nederlandse overheidsorganisaties en bedrijven die werken met gevoelige gegevens. De ISO 27001 standaard voor informatiebeveiligingsmanagementsystemen vereist in controle A.5.1.1 dat organisaties beleidsregels voor informatiebeveiliging moeten vaststellen en onderhouden. Een goed ontworpen Management Group structuur faciliteert deze vereiste door het mogelijk te maken om beveiligingsbeleidsregels centraal te definiëren en automatisch toe te passen op alle relevante resources binnen de organisatie. De hiërarchische structuur zorgt ervoor dat beleidsregels consistent worden toegepast over verschillende bedrijfsonderdelen en omgevingen heen, wat essentieel is voor het behalen en behouden van ISO 27001 certificering. De automatische overerving van beleidsregels via de Management Group hiërarchie elimineert het risico op inconsistente implementatie en zorgt voor volledige traceerbaarheid van beleidstoepassingen, wat cruciaal is tijdens externe audits. De CIS Azure Benchmark, ontwikkeld door het Center for Internet Security, bevat organisatorische controles die vereisen dat cloud-omgevingen worden beheerd via gecentraliseerde governance-mechanismen. Een goed ontworpen Management Group structuur is specifiek ontworpen om te voldoen aan deze vereisten door het mogelijk te maken om beveiligingscontroles centraal te implementeren en te monitoren. De CIS Azure Benchmark adviseert expliciet het gebruik van Management Groups voor het organiseren van Azure-abonnementen en het toepassen van beveiligingsbeleidsregels op organisatorisch niveau. De hiërarchische structuur maakt het mogelijk om CIS-aanbevelingen systematisch toe te passen over alle abonnementen heen, waardoor de algehele beveiligingspositie van de organisatie wordt verbeterd. De Baseline Informatiebeveiliging Overheid, ofwel BIO, is de Nederlandse standaard voor informatiebeveiliging binnen de overheid. Thema 05.01 van de BIO vereist dat organisaties een duidelijk en gedocumenteerd beveiligingsbeleid hebben dat wordt toegepast op alle informatiesystemen. Een goed ontworpen Management Group structuur ondersteunt deze vereiste door het mogelijk te maken om beveiligingsbeleidsregels te definiëren op organisatorisch niveau en deze automatisch door te voeren naar alle onderliggende resources. Voor Nederlandse overheidsorganisaties is het gebruik van een gestructureerde Management Group hiërarchie daarom niet alleen een best practice, maar ook een praktische manier om te voldoen aan BIO-vereisten. De hiërarchische structuur maakt het mogelijk om beleidsregels toe te spitsen op specifieke bedrijfsonderdelen of omgevingen terwijl consistentie wordt gewaarborgd op organisatieniveau, wat essentieel is voor het behalen van BIO-compliance. De NIS2-richtlijn, die van toepassing is op essentiële en belangrijke entiteiten in verschillende sectoren, vereist in Artikel 10 dat organisaties beleidsmechanismen implementeren voor het beheren van cybersecurity-risico's. Een goed ontworpen Management Group structuur vormt een directe implementatie van deze vereiste, omdat het beschrijft hoe beveiligingsbeleid wordt georganiseerd en toegepast in cloud-omgevingen. Voor Nederlandse organisaties die onder NIS2 vallen, is het hebben van een gestructureerde Management Group hiërarchie een praktische manier om te voldoen aan compliance-vereisten. De NIS2-richtlijn vereist expliciet dat organisaties kunnen aantonen dat zij processen hebben voor het beheren van beveiligingsbeleid, en een goed gedocumenteerde Management Group structuur biedt het mechanisme om dit te bewijzen.
Remediatie en Optimalisatie van Management Group Structuur
Gebruik PowerShell-script management-groups-structure.ps1 (functie Invoke-Remediation) – Herstelt en optimaliseert de Management Group structuur.
Wanneer een organisatie ontdekt dat de Management Group structuur niet correct is geconfigureerd of dat abonnementen zich niet in de juiste Management Groups bevinden, is een gestructureerde remediatieaanpak essentieel om de governance-structuur te herstellen zonder de operationele continuïteit te verstoren. Het remediatieproces begint met een grondige analyse van de huidige staat van de structuur, waarbij alle Management Groups worden geïnventariseerd en de locatie van elk abonnement wordt gedocumenteerd. Deze inventarisatie vormt de basis voor het ontwikkelen van een remediatieplan dat de gewenste eindtoestand beschrijft en de stappen omvat die nodig zijn om van de huidige naar de gewenste configuratie te komen. Het verplaatsen van abonnementen tussen Management Groups is een kritieke operatie die zorgvuldig moet worden uitgevoerd omdat deze actie directe gevolgen heeft voor alle toegepaste beleidsregels, roltoewijzingen en tags. Voordat een abonnement wordt verplaatst, moet een impactanalyse worden uitgevoerd om te bepalen welke beleidsregels en toegangsrechten zullen veranderen als gevolg van de verplaatsing. Deze analyse helpt organisaties om onverwachte effecten te voorkomen, zoals het verlies van toegangsrechten voor kritieke resources of het onbedoeld activeren of deactiveren van beveiligingsbeleidsregels. Het is aan te raden om eerst een testabonnement te verplaatsen om de effecten te verifiëren voordat productie-abonnementen worden gemigreerd. Wanneer abonnementen moeten worden verplaatst naar een nieuwe Management Group structuur, moet dit proces worden uitgevoerd tijdens een geplande onderhoudsperiode om eventuele serviceonderbrekingen te minimaliseren. De verplaatsing zelf is een snelle operatie die binnen enkele minuten kan worden voltooid, maar de effecten op beleidsregels en toegangsrechten kunnen enige tijd in beslag nemen om volledig door te werken. Tijdens het verplaatsingsproces moeten alle betrokken stakeholders worden geïnformeerd, inclusief security officers, cloud administrators en applicatie-eigenaren, zodat zij kunnen anticiperen op mogelijke wijzigingen in toegangsrechten of beveiligingsconfiguraties. Na het verplaatsen van abonnementen moet een verificatieproces worden uitgevoerd om te bevestigen dat alle beleidsregels correct zijn toegepast en dat toegangsrechten nog steeds functioneren zoals verwacht. Het Azure Policy compliance-dashboard moet worden geraadpleegd om te verifiëren dat de nieuwe beleidsregels correct zijn toegepast op de verplaatste abonnementen. Roltoewijzingen moeten worden gecontroleerd om te verzekeren dat gebruikers nog steeds de benodigde toegangsrechten hebben om hun werkzaamheden uit te voeren. Eventuele problemen die tijdens deze verificatie worden ontdekt, moeten onmiddellijk worden aangepakt om te voorkomen dat de operationele continuïteit wordt verstoord. In situaties waarin de Management Group structuur volledig moet worden herstructureerd, is een gefaseerde aanpak aan te raden om de complexiteit te beheersen en risico's te minimaliseren. De eerste fase omvat het ontwerpen van de nieuwe structuur en het documenteren van de gewenste eindtoestand. De tweede fase bestaat uit het aanmaken van nieuwe Management Groups volgens de nieuwe structuur, zonder dat abonnementen worden verplaatst. De derde fase omvat het geleidelijk verplaatsen van abonnementen van niet-kritieke omgevingen naar de nieuwe Management Groups, waarbij elke verplaatsing wordt geverifieerd voordat de volgende wordt uitgevoerd. De vierde en laatste fase omvat het verplaatsen van productie-abonnementen, wat de meest kritieke operatie is en daarom extra voorzichtigheid vereist. Wanneer Management Groups moeten worden verwijderd of samengevoegd, moet eerst worden gecontroleerd of er geen abonnementen meer aan deze Management Groups zijn toegewezen. Verwijdering van een Management Group die nog abonnementen bevat, is niet mogelijk en zal resulteren in een foutmelding. Alle abonnementen moeten eerst worden verplaatst naar andere Management Groups voordat een Management Group kan worden verwijderd. Bij het samenvoegen van Management Groups moeten alle beleidsregels en roltoewijzingen van beide Management Groups worden geëvalueerd om te bepalen welke configuraties behouden moeten blijven en welke kunnen worden verwijderd. Conflicterende beleidsregels moeten worden opgelost voordat de samenvoeging wordt voltooid. Het documenteren van alle remediatie-activiteiten is cruciaal voor auditdoeleinden en voor het begrijpen van de geschiedenis van wijzigingen in de Management Group structuur. Alle verplaatsingen van abonnementen, wijzigingen in de hiërarchische structuur, en aanpassingen in naamgevingsconventies moeten worden vastgelegd in een changelog die duidelijk aangeeft wat er is gewijzigd, wanneer de wijziging heeft plaatsgevonden, wie de wijziging heeft geautoriseerd en wat de reden was voor de wijziging. Deze documentatie is essentieel tijdens externe audits en helpt organisaties om te verantwoorden waarom bepaalde governance-beslissingen zijn genomen. Bovendien maakt deze documentatie het mogelijk om in de toekomst terug te gaan naar eerdere configuraties indien dat nodig mocht zijn. Na voltooiing van het remediatieproces moet een post-implementatie review worden uitgevoerd om te evalueren of de gewenste doelen zijn bereikt en of er onbedoelde neveneffecten zijn opgetreden. Deze review moet worden uitgevoerd door een multidisciplinair team dat bestaat uit security officers, cloud administrators en vertegenwoordigers van de business units die zijn beïnvloed door de wijzigingen. Tijdens deze review moeten verschillende aspecten worden geëvalueerd: of de nieuwe structuur de organisatiestructuur correct weerspiegelt, of alle abonnementen zich nu in de juiste Management Groups bevinden, of de toegepaste beleidsregels effectief zijn en of er geen onbedoelde toegangsproblemen zijn ontstaan. De bevindingen van deze review moeten worden gedocumenteerd en gebruikt om toekomstige remediatie-activiteiten te verbeteren.
Compliance & Frameworks
- CIS M365: Control Organizational (L1) - Gestructureerde Management Group organisatie
- BIO: 05.01.01 - Informatiebeveiligingsbeleid - Management Group structuur
- ISO 27001:2022: A.5.1.1 - Beleidsregels voor informatiebeveiliging
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Management Groups Structure
.DESCRIPTION
Controleert en beheert de Management Groups structuur configuratie.
.NOTES
Filename: management-groups-structure.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 10.7
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Resources, Az.ManagementGroups
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Management Groups Structure"
function Connect-RequiredServices {
if (-not (Get-AzContext)) {
Connect-AzAccount | Out-Null
}
}
function Test-Compliance {
try {
$mgGroups = Get-AzManagementGroup -ErrorAction SilentlyContinue
$subscriptions = Get-AzSubscription -ErrorAction SilentlyContinue
$structureInfo = @{
TotalGroups = $mgGroups.Count
TotalSubscriptions = $subscriptions.Count
GroupsWithoutSubscriptions = 0
SubscriptionsWithoutGroups = 0
MaxDepth = 0
}
# Controleer welke Management Groups geen abonnementen hebben
foreach ($mg in $mgGroups) {
$mgSubs = Get-AzManagementGroupSubscription -GroupName $mg.Name -ErrorAction SilentlyContinue
if ($mgSubs.Count -eq 0) {
$structureInfo.GroupsWithoutSubscriptions++
}
}
# Controleer welke abonnementen geen Management Group hebben (behalve root)
foreach ($sub in $subscriptions) {
$subMg = Get-AzManagementGroupSubscription -GroupName $sub.Id -ErrorAction SilentlyContinue
if (-not $subMg) {
$structureInfo.SubscriptionsWithoutGroups++
}
}
# Bepaal maximale diepte van de hiërarchie
$rootMg = Get-AzManagementGroup -GroupName (Get-AzContext).Tenant.Id -ErrorAction SilentlyContinue
if ($rootMg) {
$structureInfo.MaxDepth = Get-ManagementGroupDepth -GroupName $rootMg.Name -CurrentDepth 0
}
return $structureInfo
}
catch {
Write-Warning "Fout bij ophalen Management Group informatie: $_"
return @{
TotalGroups = 0
TotalSubscriptions = 0
GroupsWithoutSubscriptions = 0
SubscriptionsWithoutGroups = 0
MaxDepth = 0
}
}
}
function Get-ManagementGroupDepth {
param(
[string]$GroupName,
[int]$CurrentDepth
)
$maxDepth = $CurrentDepth
try {
$children = Get-AzManagementGroup -GroupName $GroupName -Expand -ErrorAction SilentlyContinue
if ($children.Children) {
foreach ($child in $children.Children) {
if ($child.Type -eq "Microsoft.Management/managementGroups") {
$childDepth = Get-ManagementGroupDepth -GroupName $child.Name -CurrentDepth ($CurrentDepth + 1)
if ($childDepth -gt $maxDepth) {
$maxDepth = $childDepth
}
}
}
}
}
catch {
# Negeer fouten bij het ophalen van children
}
return $maxDepth
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Management Groups: $($r.TotalGroups)" -ForegroundColor White
Write-Host "Abonnementen: $($r.TotalSubscriptions)" -ForegroundColor White
Write-Host "Maximale hiërarchie diepte: $($r.MaxDepth)" -ForegroundColor White
if ($r.TotalGroups -eq 0) {
Write-Host "`n⚠️ Geen management groups - overweeg structuur voor grote omgevingen" -ForegroundColor Yellow
}
elseif ($r.MaxDepth -gt 6) {
Write-Host "`n⚠️ Hiërarchie diepte ($($r.MaxDepth)) overschrijdt aanbevolen maximum (6)" -ForegroundColor Yellow
}
elseif ($r.MaxDepth -gt 4) {
Write-Host "`n⚠️ Hiërarchie diepte ($($r.MaxDepth)) is dieper dan aanbevolen (3-4 niveaus)" -ForegroundColor Yellow
}
if ($r.GroupsWithoutSubscriptions -gt 0) {
Write-Host "`n⚠️ $($r.GroupsWithoutSubscriptions) Management Group(s) zonder abonnementen" -ForegroundColor Yellow
}
if ($r.SubscriptionsWithoutGroups -gt 0) {
Write-Host "`n⚠️ $($r.SubscriptionsWithoutGroups) abonnement(en) niet toegewezen aan Management Groups" -ForegroundColor Yellow
}
if ($r.TotalGroups -gt 0 -and $r.MaxDepth -le 4 -and $r.GroupsWithoutSubscriptions -eq 0 -and $r.SubscriptionsWithoutGroups -eq 0) {
Write-Host "`n✅ Management Group structuur is correct geconfigureerd" -ForegroundColor Green
}
}
else {
$r = Test-Compliance
Write-Host "`nManagement Groups: $($r.TotalGroups)"
Write-Host "Abonnementen: $($r.TotalSubscriptions)"
Write-Host "Maximale hiërarchie diepte: $($r.MaxDepth)"
}
}
catch {
Write-Error $_;
exit 1
}
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de Management Group structuur configuratie
.DESCRIPTION
Deze functie implementeert een basis Management Group structuur volgens best practices.
Let op: Volledige implementatie vereist handmatige configuratie op basis van organisatiebehoeften.
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Management Group structuur implementatie vereist handmatige configuratie" -ForegroundColor Yellow
Write-Host "[INFO] Gebruik de Azure Portal of ARM templates voor volledige implementatie" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check om huidige status te controleren..." -ForegroundColor Cyan
Invoke-Monitoring
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige Management Group structuur status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Management Groups: $($r.TotalGroups)" -ForegroundColor White
Write-Host "Abonnementen: $($r.TotalSubscriptions)" -ForegroundColor White
Write-Host "Maximale hiërarchie diepte: $($r.MaxDepth)" -ForegroundColor White
if ($r.TotalGroups -eq 0) {
Write-Host "`n⚠️ Geen management groups - overweeg structuur voor grote omgevingen" -ForegroundColor Yellow
}
elseif ($r.MaxDepth -gt 6) {
Write-Host "`n⚠️ Hiërarchie diepte ($($r.MaxDepth)) overschrijdt aanbevolen maximum (6)" -ForegroundColor Yellow
}
elseif ($r.MaxDepth -gt 4) {
Write-Host "`n⚠️ Hiërarchie diepte ($($r.MaxDepth)) is dieper dan aanbevolen (3-4 niveaus)" -ForegroundColor Yellow
}
if ($r.GroupsWithoutSubscriptions -gt 0) {
Write-Host "`n⚠️ $($r.GroupsWithoutSubscriptions) Management Group(s) zonder abonnementen" -ForegroundColor Yellow
}
if ($r.SubscriptionsWithoutGroups -gt 0) {
Write-Host "`n⚠️ $($r.SubscriptionsWithoutGroups) abonnement(en) niet toegewezen aan Management Groups" -ForegroundColor Yellow
}
if ($r.TotalGroups -gt 0 -and $r.MaxDepth -le 4 -and $r.GroupsWithoutSubscriptions -eq 0 -and $r.SubscriptionsWithoutGroups -eq 0) {
Write-Host "`n✅ Management Group structuur is correct geconfigureerd" -ForegroundColor Green
}
}
else {
$r = Test-Compliance
Write-Host "`nManagement Groups: $($r.TotalGroups)"
Write-Host "Abonnementen: $($r.TotalSubscriptions)"
Write-Host "Maximale hiërarchie diepte: $($r.MaxDepth)"
}
}
catch {
Write-Error $_;
exit 1
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt en optimaliseert de Management Group structuur
.DESCRIPTION
Deze functie controleert de Management Group structuur en geeft aanbevelingen voor optimalisatie.
Volledige remediatie vereist handmatige interventie op basis van organisatiebehoeften.
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Management Group structuur remediatie vereist handmatige configuratie" -ForegroundColor Yellow
Write-Host "[INFO] Gebruik de Azure Portal of ARM templates voor structuurwijzigingen" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check om huidige status te controleren..." -ForegroundColor Cyan
Invoke-Monitoring
Write-Host "`n[INFO] Aanbevelingen voor Management Group structuur:" -ForegroundColor Cyan
Write-Host " - Beperk hiërarchie diepte tot 3-4 niveaus voor optimale beheersbaarheid" -ForegroundColor White
Write-Host " - Zorg dat alle abonnementen zijn toegewezen aan de juiste Management Groups" -ForegroundColor White
Write-Host " - Gebruik duidelijke naamgevingsconventies voor alle Management Groups" -ForegroundColor White
Write-Host " - Documenteer de structuur en het doel van elke Management Group" -ForegroundColor White
}
Risico zonder implementatie
Risico zonder implementatie
Low: Zonder een goed ontworpen Management Group structuur ontstaan er aanzienlijke uitdagingen bij het beheren van Azure-omgevingen op schaal. Organisaties moeten beleidsregels en toegangsrechten handmatig per abonnement configureren, wat onbeheersbaar wordt bij meer dan tien abonnementen. Er is geen logische organisatie van resources mogelijk, waardoor het onmogelijk wordt om consistent beveiligingsbeleid toe te passen over verschillende bedrijfsonderdelen of omgevingen heen. Een slecht ontworpen structuur leidt tot governance-fragmentatie waarbij verschillende teams verschillende benaderingen volgen, wat resulteert in beveiligingshiaten. Voor Nederlandse overheidsorganisaties is een goed ontworpen structuur essentieel voor BIO-compliance. Het risico is laag voor organisaties met minder dan vijf abonnementen, maar hoog voor enterprise-organisaties met meer dan tien abonnementen.
Management Samenvatting
Een goed ontworpen Management Group structuur vormt de fundamentele basis voor effectieve Azure governance. De structuur weerspiegelt de organisatiestructuur en maakt gebruik van hiërarchische overerving om beleidsregels en toegangsrechten centraal te beheren. De structuur volgt het patroon Organisatie → Bedrijfsonderdeel → Omgeving → Abonnementen, waarbij elk niveau een duidelijke functie heeft. Implementatie vereist ongeveer 24 uur voor ontwerp, configuratie en documentatie. Essentieel voor enterprise-organisaties met meer dan tien abonnementen, optioneel voor kleine organisaties met minder abonnementen.
- Implementatietijd: 24 uur
- FTE required: 0.2 FTE