💼 Management Samenvatting
Deze aanvullende controle vormt een duplicaatverificatie van de primaire controle voor periodieke reviews van gastgebruikers. Deze controle dient als extra validatiemiddel om te waarborgen dat organisaties daadwerkelijk voldoen aan de vereisten voor regelmatige toegangsreviews van externe gebruikers. Voor de volledige implementatiedocumentatie en gedetailleerde procedures verwijzen we naar het primaire controlebestand guest-users-periodic-review.json, dat de complete technische en organisatorische aanpak beschrijft. Deze aanvullende verificatie is essentieel voor organisaties die moeten voldoen aan strikte nalevingsvereisten en die willen aantonen dat hun toegangsbeheerproces robuust en effectief functioneert.
Aanbeveling
IMPLEMENTEER - Zie guest-users-periodic-review.json voor volledige implementatiedetails
Risico zonder
Medium
Risk Score
5/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Azure
✓ Azure AD
✓ Azure AD
Het implementeren van meerdere verificatiemechanismen voor gastgebruikersreviews is essentieel vanwege de kritieke nalevingsvereisten die hieraan verbonden zijn. Gastgebruikers vormen een aanzienlijk beveiligingsrisico wanneer hun toegangsrechten niet regelmatig worden geëvalueerd en bijgewerkt. Deze aanvullende controle biedt organisaties een extra validatielaag om te bevestigen dat de vereiste reviews daadwerkelijk worden uitgevoerd en gedocumenteerd. Door kruisverwijzing met het primaire controlebestand guest-users-periodic-review.json ontstaat een robuust verificatiesysteem dat zowel technische als procesmatige aspecten dekt. In de praktijk blijkt dat organisaties soms moeite hebben met het consistent uitvoeren van toegangsreviews, waardoor externe gebruikers onterecht toegang behouden tot gevoelige systemen en gegevens. Deze aanvullende controle helpt om dergelijke risico's vroegtijdig te identificeren en te beperken door een onafhankelijke verificatie uit te voeren die de primaire controle aanvult en valideert.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.Identity.Governance
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.Identity.Governance
Implementatie
Deze controle verifieert dat kwartaalgewijze toegangsreviews voor gastgebruikers daadwerkelijk worden uitgevoerd en volledig worden gedocumenteerd. De controle controleert of organisaties voldoen aan dezelfde vereisten als beschreven in de primaire guest-users-periodic-review controle, met als doel te waarborgen dat externe gebruikers geen ongeautoriseerde of verlopen toegangsrechten behouden. De verificatie omvat zowel de technische implementatie van toegangsreviews als de organisatorische processen voor documentatie en opvolging. Het systeem controleert automatisch of alle gastgebruikers binnen de vereiste tijdsperiode zijn gereviewd, of de reviews volledig zijn uitgevoerd volgens de vastgestelde procedures, en of er adequate documentatie bestaat van alle genomen beslissingen en acties. Door deze aanvullende verificatie kunnen organisaties hun nalevingspositie versterken en kunnen auditors en toezichthouders vertrouwen hebben in de effectiviteit van het toegangsbeheerproces.
Vereisten
De vereisten voor deze aanvullende controle zijn identiek aan de vereisten zoals beschreven in het primaire controlebestand guest-users-periodic-review.json. Organisaties moeten kwartaalgewijze toegangsreviews implementeren voor alle gastgebruikers binnen hun Azure Active Directory omgeving. Deze reviews moeten worden uitgevoerd via Azure AD Access Reviews, wat vereist dat organisaties beschikken over Azure AD Premium P2 licenties. Tijdens elke review moeten beheerders of aangewezen reviewers de toegangsrechten van gastgebruikers evalueren en beslissen of deze toegang nog steeds gerechtvaardigd is. Gastgebruikers die geen actieve toegang meer nodig hebben, moeten worden verwijderd of hun toegangsrechten moeten worden ingetrokken. Alle reviews moeten volledig worden gedocumenteerd, inclusief de datum van de review, de uitkomsten, en eventuele genomen acties. Organisaties moeten kunnen aantonen dat deze reviews daadwerkelijk hebben plaatsgevonden en dat er opvolgacties zijn ondernomen waar nodig. De implementatie moet voldoen aan de nalevingsvereisten zoals gespecificeerd in CIS Azure Benchmark, BIO normen, en ISO 27001:2022 standaarden. De technische vereisten omvatten de beschikbaarheid van Azure AD Premium P2 licenties voor alle reviewers en beheerders die betrokken zijn bij het toegangsreviewproces. Deze licenties zijn essentieel omdat Azure AD Access Reviews een premium functionaliteit is die niet beschikbaar is in de standaard of gratis versies van Azure Active Directory. Organisaties moeten ervoor zorgen dat alle personen die toegangsreviews uitvoeren of beheren over de juiste licentie beschikken, anders kunnen zij niet deelnemen aan het reviewproces. Het proces vereist dat organisaties een duidelijk gedefinieerd schema hebben voor het uitvoeren van toegangsreviews, waarbij kwartaalgewijze reviews de minimale frequentie vormen. Dit betekent dat organisaties ten minste vier keer per jaar een volledige review moeten uitvoeren van alle gastgebruikers in hun omgeving. Het is belangrijk dat organisaties niet alleen kijken naar de aanwezigheid van gastgebruikers, maar ook naar hun daadwerkelijke toegangsrechten en of deze nog steeds gerechtvaardigd zijn. Tijdens elke review moeten reviewers specifieke informatie evalueren, zoals de laatste aanmelddatum van de gastgebruiker, de resources waartoe zij toegang hebben, en de context waarin deze toegang oorspronkelijk is verleend. Dit helpt reviewers om weloverwogen beslissingen te nemen over het behouden of intrekken van toegangsrechten. De organisatorische vereisten omvatten het aanwijzen van geschikte reviewers die de autoriteit en expertise hebben om beslissingen te nemen over toegangsrechten. Deze reviewers moeten goed op de hoogte zijn van de organisatorische context en de beveiligingsvereisten, zodat zij effectieve beslissingen kunnen nemen. Organisaties moeten ook duidelijke procedures hebben voor het documenteren van reviews, inclusief het vastleggen van de redenen voor beslissingen en het bijhouden van opvolgacties. Documentatie moet voldoen aan auditvereisten en moet gedurende de vereiste bewaartermijn worden bewaard, wat voor Nederlandse overheidsorganisaties doorgaans zeven jaar is. De aanvullende controle verifieert dat al deze vereisten daadwerkelijk worden nageleefd en dat er geen afwijkingen zijn die de effectiviteit van het toegangsbeheerproces kunnen aantasten.
Compliance en Auditing
Deze controle draagt bij aan naleving van meerdere belangrijke beveiligingsstandaarden en nalevingskaders die essentieel zijn voor Nederlandse overheidsorganisaties en organisaties die werken met gevoelige informatie. De CIS Azure Benchmark versie 3.0.0 specificeert in controle 1.16 dat gastgebruikers regelmatig moeten worden beoordeeld om te waarborgen dat alleen geautoriseerde externe gebruikers toegang behouden tot organisatieresources. Deze controle is geclassificeerd als Level 1, wat betekent dat deze als fundamenteel wordt beschouwd en door alle organisaties moet worden geïmplementeerd, ongeacht hun grootte of complexiteit. De classificatie als Level 1 controle onderstreept het kritieke belang van deze beveiligingsmaatregel en maakt duidelijk dat dit geen optionele beste praktijk is, maar een fundamentele vereiste voor alle organisaties die Azure gebruiken. De BIO normen, specifiek controles 09.02 en 15.01, vereisen dat organisaties periodieke toegangsreviews uitvoeren voor alle gebruikers, inclusief externe gebruikers en gastaccounts. Deze normen zijn specifiek ontwikkeld voor de Nederlandse publieke sector en vormen een verplicht onderdeel van de Baseline Informatiebeveiliging Overheid. BIO controle 09.02 richt zich specifiek op het beheer van gebruikersaccounts en vereist dat organisaties periodiek controleren of gebruikersaccounts nog steeds nodig zijn en of de toegekende rechten nog steeds passend zijn. BIO controle 15.01 gaat over toegangsbeheer en vereist dat organisaties kunnen aantonen dat zij effectieve maatregelen hebben genomen om onbevoegde toegang te voorkomen. Voor Nederlandse overheidsorganisaties zijn deze normen niet alleen beste praktijken, maar verplichte vereisten die moeten worden nageleefd om te voldoen aan de Baseline Informatiebeveiliging Overheid. ISO 27001:2022 controle A.5.18 stelt eisen aan de beoordeling van toegangsrechten, waarbij organisaties moeten kunnen aantonen dat toegangsrechten regelmatig worden geëvalueerd en dat onnodige toegang wordt ingetrokken. Deze internationale standaard biedt een gestructureerd raamwerk voor informatiebeveiligingsmanagement en wordt wereldwijd erkend als een beste praktijk voor organisaties die serieus omgaan met informatiebeveiliging. De controle A.5.18 vereist dat organisaties een formeel proces hebben voor het periodiek beoordelen van toegangsrechten en dat zij kunnen aantonen dat dit proces daadwerkelijk wordt uitgevoerd. Voor Nederlandse organisaties die werken met persoonsgegevens zijn deze reviews ook relevant in het kader van de Algemene Verordening Gegevensbescherming (AVG), waarbij organisaties moeten kunnen aantonen dat zij passende technische en organisatorische maatregelen hebben getroffen om persoonsgegevens te beschermen. Artikel 32 van de AVG vereist specifiek dat organisaties passende technische en organisatorische maatregelen treffen om persoonsgegevens te beveiligen, en regelmatige toegangsreviews vormen een belangrijk onderdeel van dergelijke maatregelen. Door ervoor te zorgen dat alleen geautoriseerde personen toegang hebben tot persoonsgegevens, kunnen organisaties voldoen aan hun verplichtingen onder de AVG en het risico op datalekken verminderen. Tijdens audits moeten organisaties kunnen aantonen dat zij een gestructureerd proces hebben voor het uitvoeren van toegangsreviews, dat deze reviews daadwerkelijk worden uitgevoerd volgens het vastgestelde schema, en dat er adequate documentatie bestaat van alle uitgevoerde reviews en genomen beslissingen. Auditors zullen specifiek kijken naar bewijs van uitgevoerde reviews, zoals logbestanden, documentatie van beslissingen, en bewijs van opvolgacties. Organisaties die niet kunnen aantonen dat zij regelmatig toegangsreviews uitvoeren, lopen het risico op negatieve auditbevindingen en mogelijke nalevingssancties. De aanvullende controle helpt organisaties om hun nalevingspositie te versterken door een onafhankelijke verificatie te bieden die aantoont dat de vereiste reviews daadwerkelijk worden uitgevoerd en dat het proces effectief functioneert. Het nalevingskader voor toegangsreviews omvat verschillende dimensies die organisaties moeten overwegen bij de implementatie en uitvoering van hun toegangsreviewproces. Ten eerste moeten organisaties voldoen aan de technische vereisten zoals gespecificeerd in de verschillende standaarden, wat betekent dat zij de juiste tools en systemen moeten hebben om toegangsreviews uit te voeren en te documenteren. Ten tweede moeten organisaties voldoen aan de procesmatige vereisten, wat betekent dat zij een duidelijk gedefinieerd en gedocumenteerd proces moeten hebben voor het uitvoeren van reviews. Ten derde moeten organisaties voldoen aan de documentatievereisten, wat betekent dat zij adequate documentatie moeten bijhouden van alle uitgevoerde reviews en genomen beslissingen. Ten vierde moeten organisaties kunnen aantonen dat hun proces effectief is, wat betekent dat zij moeten kunnen laten zien dat reviews daadwerkelijk bijdragen aan het verminderen van beveiligingsrisico's. Deze verschillende dimensies van naleving zijn onderling verbonden en organisaties moeten ervoor zorgen dat zij op alle fronten voldoen aan de vereisten om een robuuste nalevingspositie te behouden.
Monitoring
Het monitoren van de uitvoering van toegangsreviews voor gastgebruikers vormt een kritieke component van effectief toegangsbeheer binnen moderne cloudomgevingen. Deze monitoring is essentieel om te waarborgen dat organisaties daadwerkelijk voldoen aan de nalevingsvereisten die zijn vastgelegd in verschillende beveiligingsstandaarden, waaronder de CIS Azure Benchmark, BIO normen en ISO 27001:2022. Zonder adequate monitoring kunnen gastgebruikers onopgemerkt blijven met verlopen of ongerechtvaardigde toegangsrechten, wat leidt tot onnodige beveiligingsrisico's en potentiële datalekken. Het monitoringproces moet daarom zowel proactief als reactief worden ingericht, waarbij organisaties niet alleen reageren op geconstateerde problemen, maar ook preventief controleren of toegangsreviews volgens het vastgestelde schema worden uitgevoerd en of er afwijkingen zijn die aandacht vereisen voordat deze tot beveiligingsincidenten leiden. Proactieve monitoring betekent dat organisaties regelmatig controleren of toegangsreviews volgens het vastgestelde schema worden uitgevoerd, voordat er problemen ontstaan. Dit omvat het controleren van de status van actieve reviews, het identificeren van aankomende reviewdeadlines, en het waarborgen dat alle benodigde resources beschikbaar zijn voor het uitvoeren van reviews. Proactieve monitoring helpt organisaties om problemen te voorkomen door vroegtijdig te signaleren wanneer er risico's zijn dat reviews niet tijdig worden uitgevoerd, bijvoorbeeld wanneer reviewers niet beschikbaar zijn of wanneer er technische problemen zijn met het reviewproces. Reactieve monitoring daarentegen richt zich op het identificeren en oplossen van problemen nadat deze zijn geconstateerd, zoals gemiste reviews of onvolledige reviews. Reactieve monitoring is belangrijk omdat het organisaties helpt om snel te reageren op problemen en om te voorkomen dat deze escaleren tot grotere beveiligingsincidenten. Een effectief monitoringproces dekt verschillende cruciale aspecten van het toegangsreviewproces. Ten eerste moet monitoring inzicht bieden in de frequentie van reviews, waarbij organisaties kunnen verifiëren dat alle vereiste reviews daadwerkelijk zijn uitgevoerd binnen de vastgestelde tijdsperioden. Dit betekent dat het systeem moet kunnen detecteren wanneer een review is gemist, wanneer een review te laat is gestart, of wanneer er vertragingen zijn opgetreden in het reviewproces. Ten tweede moet monitoring de volledigheid van reviews controleren, waarbij wordt gecontroleerd of alle vereiste stappen zijn voltooid, of alle gastgebruikers zijn geëvalueerd, en of alle benodigde documentatie is vastgelegd. Ten derde moet monitoring de tijdigheid van opvolgacties volgen, waarbij wordt gecontroleerd of beslissingen die tijdens reviews zijn genomen daadwerkelijk zijn geïmplementeerd binnen redelijke termijnen. Ten vierde moet monitoring de kwaliteit van de documentatie evalueren, waarbij wordt gecontroleerd of de documentatie voldoende gedetailleerd is, of deze voldoet aan auditvereisten, en of deze correct is opgeslagen en toegankelijk is voor auditors en toezichthouders. Organisaties moeten in staat zijn om snel te identificeren wanneer reviews zijn gemist, wanneer reviews niet volledig zijn uitgevoerd, of wanneer er gastgebruikers zijn die al langere tijd geen actieve toegang hebben gehad maar nog steeds toegangsrechten behouden. Het identificeren van gemiste reviews is cruciaal omdat dit directe nalevingsrisico's met zich meebrengt. Wanneer een review wordt gemist, betekent dit dat gastgebruikers mogelijk onterecht toegang behouden tot organisatieresources, wat een beveiligingsrisico vormt. Organisaties moeten daarom systemen hebben die automatisch waarschuwen wanneer een reviewdeadline nadert of wanneer een review is gemist. Onvolledige reviews vormen een ander belangrijk aandachtspunt, omdat een review die niet volledig is uitgevoerd mogelijk niet alle relevante gastgebruikers omvat of niet alle benodigde informatie bevat om weloverwogen beslissingen te nemen. Monitoring moet ook inzicht bieden in trends en patronen die kunnen wijzen op structurele problemen in het toegangsreviewproces. Dit omvat het analyseren van het aantal gastgebruikers dat wordt gereviewd per periode, het percentage gastgebruikers waarbij toegang wordt ingetrokken tijdens reviews, de gemiddelde tijd tussen review en actie, en het aantal escalaties of uitzonderingen die optreden tijdens het reviewproces. Trendanalyse kan organisaties helpen om patronen te identificeren, zoals een toename van het aantal gastgebruikers dat toegang behoudt na een review, wat kan wijzen op een probleem met het reviewproces of op veranderingen in de organisatorische context. De gemiddelde tijd tussen review en actie is een belangrijke metriek omdat het inzicht geeft in de efficiëntie van het proces en kan helpen om knelpunten te identificeren. Organisaties moeten ook monitoren of reviewers daadwerkelijk actie ondernemen op basis van reviewresultaten, omdat reviews zonder opvolgacties weinig waarde hebben voor de beveiliging. Deze trendanalyse helpt organisaties om hun proces te verbeteren door structurele problemen te identificeren en door te leren van eerdere ervaringen. Daarnaast moet monitoring inzicht bieden in de effectiviteit van het reviewproces, waarbij wordt gecontroleerd of reviews daadwerkelijk bijdragen aan het verminderen van beveiligingsrisico's en of het proces efficiënt wordt uitgevoerd zonder onnodige overhead. Monitoring moet ook proactief risico's identificeren voordat deze tot beveiligingsincidenten leiden, door bijvoorbeeld te waarschuwen wanneer er gastgebruikers zijn met ongebruikelijke toegangspatronen, wanneer er gastgebruikers zijn die toegang hebben tot gevoelige resources zonder recente review, of wanneer er indicaties zijn van mogelijke misbruik van gastgebruikersaccounts. Het monitoringproces moet worden ondersteund door geautomatiseerde tools en scripts die regelmatig de status van toegangsreviews controleren en rapportages genereren voor beheerders en auditors. Deze tools moeten kunnen integreren met Azure AD Access Reviews en moeten in staat zijn om gegevens te verzamelen uit verschillende bronnen, waaronder auditlogboeken, toegangsreviewresultaten, en gebruikersactiviteitlogboeken. Geautomatiseerde monitoring is belangrijk omdat handmatige monitoring tijdrovend is en foutgevoelig, en omdat het organisaties helpt om consistent en betrouwbaar te monitoren zonder afhankelijk te zijn van individuele personen. De gegenereerde rapportages moeten duidelijk en actiegericht zijn, waarbij specifieke aandachtspunten worden geïdentificeerd en concrete aanbevelingen worden gedaan voor verbetering. Monitoring moet ook worden geïntegreerd in het algemene beveiligingsmonitoring framework van de organisatie, zodat toegangsreviews worden gezien als onderdeel van het bredere beveiligingsprogramma en zodat bevindingen uit toegangsreview monitoring kunnen worden gecorreleerd met andere beveiligingsindicatoren. Deze integratie helpt organisaties om een holistisch beeld te krijgen van hun beveiligingspositie en om verbanden te leggen tussen verschillende beveiligingsactiviteiten.
Gebruik PowerShell-script guest-users-reviewed-regularly.ps1 (functie Invoke-Monitoring) – Het monitoring script controleert of toegangsreviews voor gastgebruikers daadwerkelijk worden uitgevoerd volgens de vereiste frequentie en of alle reviews volledig zijn gedocumenteerd. Het script verifieert de status van actieve toegangsreviews, controleert of er reviews zijn gemist, en identificeert gastgebruikers die mogelijk onterecht toegang behouden..
Remediatie
Wanneer monitoring aangeeft dat toegangsreviews voor gastgebruikers niet correct worden uitgevoerd of dat er afwijkingen zijn geconstateerd, moeten organisaties onmiddellijk remediatieacties ondernemen om de situatie te herstellen en te voorkomen dat beveiligingsrisico's ontstaan. Remediatie begint met het identificeren van de specifieke problemen, zoals gemiste reviews, onvolledige reviews, of gastgebruikers met verlopen toegangsrechten. Het is belangrijk dat organisaties een gestructureerd remediatieproces hebben dat duidelijk definieert welke acties moeten worden ondernomen voor verschillende soorten afwijkingen, zodat er geen tijd verloren gaat bij het herstellen van problemen. Voor gemiste reviews moeten organisaties onmiddellijk een inhaalslag maken door alsnog de vereiste reviews uit te voeren voor alle gastgebruikers die niet zijn gereviewd binnen de vereiste periode. Dit betekent dat alle gastgebruikers moeten worden geëvalueerd en dat er beslissingen moeten worden genomen over het behouden of intrekken van toegangsrechten. Het uitvoeren van een inhaalslag kan tijdrovend zijn, vooral wanneer er meerdere kwartalen zijn gemist, maar het is essentieel om de nalevingspositie te herstellen en om beveiligingsrisico's te beperken. Organisaties moeten prioriteren welke gastgebruikers het eerst moeten worden gereviewd, bijvoorbeeld door te beginnen met gastgebruikers die toegang hebben tot de meest gevoelige resources of die al langere tijd geen actieve toegang hebben gehad. Voor onvolledige reviews moeten organisaties de ontbrekende stappen voltooien, zoals het aanvullen van documentatie, het voltooien van evaluaties, of het uitvoeren van opvolgacties. Onvolledige reviews kunnen verschillende oorzaken hebben, zoals technische problemen, gebrek aan tijd of resources, of onduidelijkheid over de vereisten. Organisaties moeten eerst identificeren waarom een review onvolledig is gebleven, zodat zij gerichte acties kunnen ondernemen om de ontbrekende stappen te voltooien. Dit kan betekenen dat reviewers moeten worden gecontacteerd om ontbrekende evaluaties te voltooien, dat documentatie moet worden aangevuld, of dat opvolgacties moeten worden uitgevoerd die tijdens de oorspronkelijke review zijn gemist. Gastgebruikers die al langere tijd geen actieve toegang hebben gehad maar nog steeds toegangsrechten behouden, moeten onmiddellijk worden geëvalueerd en indien nodig moeten hun toegangsrechten worden ingetrokken. Deze situatie vormt een direct beveiligingsrisico omdat deze gastgebruikers mogelijk toegang hebben tot resources waar zij geen recht meer op hebben. Organisaties moeten een proces hebben voor het identificeren van dergelijke gastgebruikers, bijvoorbeeld door te kijken naar de laatste aanmelddatum of door te controleren of er recente activiteit is geweest. Wanneer een gastgebruiker gedurende een langere periode geen actieve toegang heeft gehad, moet de organisatie overwegen om de toegangsrechten in te trekken, tenzij er een duidelijke reden is om deze te behouden. Organisaties moeten ook hun processen evalueren om te begrijpen waarom de afwijkingen zijn ontstaan en moeten maatregelen nemen om te voorkomen dat deze in de toekomst opnieuw optreden. Dit kan betekenen dat er aanvullende training nodig is voor reviewers, dat er betere herinneringen of notificaties moeten worden geïmplementeerd, of dat er wijzigingen nodig zijn in de procesdefinitie of verantwoordelijkheden. Procesevaluatie is een belangrijk onderdeel van remediatie omdat het helpt om de onderliggende oorzaken van problemen te identificeren en om structurele verbeteringen door te voeren die voorkomen dat dezelfde problemen opnieuw optreden. Organisaties moeten regelmatig hun toegangsreviewproces evalueren en verbeteren op basis van geleerde lessen en feedback van reviewers en andere betrokkenen. Dit kan leiden tot verbeteringen in de procesdefinitie, betere tools en systemen, of aanvullende training en ondersteuning voor reviewers. Het is ook belangrijk dat organisaties een cultuur creëren waarin toegangsreviews worden gezien als een belangrijke beveiligingsactiviteit en niet als een administratieve last, zodat reviewers gemotiveerd zijn om reviews tijdig en volledig uit te voeren.
Gebruik PowerShell-script guest-users-reviewed-regularly.ps1 (functie Invoke-Remediation) – Het remediatie script helpt organisaties om afwijkingen te herstellen door automatisch toegangsreviews te initiëren voor gastgebruikers die niet zijn gereviewd, door documentatie aan te vullen waar nodig, en door ondersteuning te bieden bij het intrekken van toegangsrechten voor gastgebruikers die geen actieve toegang meer nodig hebben..
Compliance & Frameworks
- CIS M365: Control 1.16 (L1) - Gastgebruikers regelmatig reviewen
- BIO: 09.02, 15.01 - Toegangsreviews
- ISO 27001:2022: A.5.18 - Review van toegangsrechten
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Guest Users Reviewed Regularly
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 1.24
Controleert regelmatige reviews van guest users.
.NOTES
Filename: guest-users-reviewed-regularly.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 1.24
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Guest Users Reviewed Regularly"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer Access Reviews:" -ForegroundColor Gray
Write-Host " - Recurring access reviews voor guests" -ForegroundColor Gray
Write-Host " - Review frequency: quarterly" -ForegroundColor Gray
Write-Host " - Reviewers: resource owners" -ForegroundColor Gray
Write-Host " - Auto-apply results enabled" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Regular guest reviews" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer Access Reviews:" -ForegroundColor Gray
Write-Host " - Recurring access reviews voor guests" -ForegroundColor Gray
Write-Host " - Review frequency: quarterly" -ForegroundColor Gray
Write-Host " - Reviewers: resource owners" -ForegroundColor Gray
Write-Host " - Auto-apply results enabled" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Regular guest reviews" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Verweesde gastgebruikers behouden toegang tot organisatieresources, wat leidt tot onnodige beveiligingsrisico's en mogelijke datalekken. Niet-naleving met CIS controle 1.16, BIO normen 09.02 en 15.01, en ISO 27001:2022 controle A.5.18. Het risico is gemiddeld maar kan escaleren wanneer gastgebruikers toegang behouden tot gevoelige informatie of systemen.
Management Samenvatting
Deze controle vormt een alternatieve verificatie voor toegangsreviews van gastgebruikers. Voor volledige implementatiedetails en procedures verwijzen we naar guest-users-periodic-review.json. De implementatie vereist Azure AD Access Reviews met kwartaalgewijze frequentie. Azure AD Premium P2 licenties zijn vereist. Deze controle is verplicht volgens CIS Azure Benchmark controle 1.16.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE