BIO 12.01 ISO A.8.1.1

Azure Management: Overzicht, Principes En Best Practices Voor De Nederlandse Publieke Sector

📅 2025-01-27
⏱️ 25 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Effectief Azure management vormt de fundamentele basis voor veilige, gecontroleerde en kostenefficiënte cloudoperaties binnen Nederlandse overheidsorganisaties. Dit index-artikel schetst de overkoepelende principes, best practices en operationele processen die organisaties helpen om een volwassen, compliance-gerichte Azure-managementstructuur op te bouwen die voldoet aan de eisen van de Baseline Informatiebeveiliging Overheid (BIO), NIS2 richtlijn en andere relevante wet- en regelgeving.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
280u (tech: 160u)
Van toepassing op:
Azure Tenant
Azure Subscriptions
Azure Management Groups
Azure Resources

Azure management omvat veel meer dan alleen technische configuratie en monitoring. Het is een integraal raamwerk dat operationele processen, beveiligingscontroles, kostenbeheer, compliance-monitoring en incident response met elkaar verbindt tot een samenhangend geheel. Zonder een gestructureerde management-aanpak ontstaan binnen organisaties al snel versnipperde operationele processen waarin beveiligingsincidenten niet tijdig worden gedetecteerd, kosten onbeheersbaar oplopen, compliance-vereisten niet aantoonbaar zijn en bestuurders geen zicht hebben op de werkelijke staat van de cloudomgeving. In de praktijk leidt dit tot situaties waarin security teams niet weten welke resources actief zijn, waarin kostenbudgetten worden overschreden zonder dat dit wordt opgemerkt, waarin auditors niet kunnen aantonen dat passende maatregelen zijn genomen, en waarin incident response traag en inefficiënt verloopt. Voor Nederlandse overheidsorganisaties heeft dit directe gevolgen: niet-naleving kan leiden tot boetes onder de AVG en NIS2, reputatieschade bij datalekken, verlies van vertrouwen bij burgers en mogelijk politieke consequenties. Daarnaast stellen frameworks zoals BIO en NIS2 expliciet eisen aan management: organisaties moeten kunnen aantonen dat zij beschikken over adequate monitoring en logging capaciteiten, dat zij processen hebben voor incident response en business continuity, en dat zij regelmatig security assessments uitvoeren om de beveiligingspostuur te evalueren en te verbeteren.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Resources, Az.ManagementGroups, Az.Monitor, Az.CostManagement, Az.PolicyInsights

Implementatie

Dit index-artikel positioneert Azure management binnen de "Nederlandse Baseline voor Veilige Cloud" en beschrijft hoe organisaties een samenhangend managementlandschap kunnen opbouwen. We behandelen fundamentele principes zoals management group-hiërarchie en subscription governance, operationele monitoring en logging, kostenbeheer en budgetcontroles, security operations en incident response, compliance-monitoring en rapportage, en disaster recovery en business continuity planning. Het artikel fungeert als kapstok voor meer specifieke artikelen over governance frameworks, monitoring en logging, kostenbeheer, security operations, forensische datacollectie, crisis management en andere management-gerelateerde onderwerpen, en beschrijft hoe deze onderdelen samenkomen in een volwassen, aantoonbaar beheerde cloudomgeving. Daarnaast biedt het artikel handvatten voor het opzetten van een Cloud Center of Excellence (CCoE), het implementeren van geautomatiseerde compliance-controles, en het periodiek evalueren van de management-volwassenheid.

Fundamentele Management Principes voor Azure

Effectief Azure management begint met het begrijpen en toepassen van fundamentele principes die zorgen voor gecontroleerde, veilige en kostenefficiënte cloudoperaties. Deze principes vormen de basis voor alle management-activiteiten en zijn essentieel om te waarborgen dat Azure-omgevingen voldoen aan organisatorische vereisten, beveiligingsstandaarden en compliance-kaders zoals de Baseline Informatiebeveiliging Overheid (BIO), de NIS2 richtlijn en de AVG. Zonder naleving van deze principes ontstaan snel versnipperde processen, inconsistente configuraties en operationele risico's die kunnen leiden tot beveiligingsincidenten, kostenoverschrijdingen en niet-naleving van wet- en regelgeving. Het eerste fundamentele principe is centralisatie van governance en controle. Dit betekent dat management-activiteiten zoals policy-definitie, toegangsbeheer, kostenbeheer en compliance-monitoring centraal worden georganiseerd via Azure Management Groups en centrale governance-structuren, terwijl operationele uitvoering kan worden gedecentraliseerd naar teams die verantwoordelijk zijn voor specifieke workloads. Deze aanpak zorgt ervoor dat alle Azure-resources voldoen aan organisatorische standaarden en compliance-vereisten, terwijl teams nog steeds de flexibiliteit hebben om snel te werken binnen de gestelde kaders. Voor Nederlandse overheidsorganisaties betekent dit bijvoorbeeld dat een centrale governance board beslissingen neemt over welke Azure-services zijn toegestaan, welke beveiligingsconfiguraties verplicht zijn, en welke compliance-kaders van toepassing zijn, terwijl individuele teams verantwoordelijk zijn voor het implementeren en beheren van hun specifieke workloads binnen deze kaders. Het tweede fundamentele principe is automatisering en Infrastructure as Code (IaC). Dit betekent dat management-activiteiten zoals resource provisioning, configuratie management, compliance-controles en incident response zoveel mogelijk worden geautomatiseerd met behulp van Azure Resource Manager templates, Bicep, Terraform of andere IaC-tools. Automatisering zorgt ervoor dat resources consistent worden geconfigureerd volgens standaarden, dat fouten door menselijke handelingen worden geminimaliseerd, en dat wijzigingen reproduceerbaar en traceerbaar zijn. Voor Nederlandse overheidsorganisaties betekent dit bijvoorbeeld dat nieuwe Azure-omgevingen worden opgezet met behulp van gestandaardiseerde templates die automatisch de juiste beveiligingsconfiguraties, monitoring en logging toepassen, waardoor teams niet telkens opnieuw hoeven na te denken over compliance-vereisten en best practices. Het derde fundamentele principe is continue monitoring en observability. Dit betekent dat alle Azure-resources, services en activiteiten worden gemonitord met behulp van Azure Monitor, Log Analytics, Azure Sentinel en andere monitoring-tools, zodat security teams, operations teams en bestuurders altijd zicht hebben op de staat van de cloudomgeving. Monitoring omvat niet alleen technische metingen zoals resource-gebruik en performance, maar ook beveiligingsgebeurtenissen, compliance-status, kosten en operationele gezondheid. Voor Nederlandse overheidsorganisaties betekent dit bijvoorbeeld dat alle aanmeldingspogingen, configuratiewijzigingen, netwerkactiviteiten en toegang tot gevoelige gegevens worden gelogd en gemonitord, zodat beveiligingsincidenten snel kunnen worden gedetecteerd en onderzocht, en zodat auditors kunnen aantonen dat passende monitoring-maatregelen zijn genomen. Het vierde fundamentele principe is defense in depth en zero trust. Dit betekent dat beveiliging niet afhankelijk is van één enkele controle, maar dat meerdere beveiligingslagen samenwerken om aanvallen te detecteren en te blokkeren op verschillende niveaus: netwerk, identiteit, applicatie, data en infrastructuur. Zero trust betekent dat alle toegang wordt geverifieerd en geautoriseerd, ongeacht waar de gebruiker of het systeem zich bevindt, en dat toegang wordt verleend op basis van de minste privileges die nodig zijn voor de specifieke taak. Voor Nederlandse overheidsorganisaties betekent dit bijvoorbeeld dat Conditional Access policies worden gebruikt om toegang te controleren, dat netwerksegmentatie wordt toegepast om de impact van potentiële aanvallen te beperken, dat data encryption wordt gebruikt om gegevens te beschermen, en dat monitoring en logging worden gebruikt om verdachte activiteiten te detecteren. Het vijfde fundamentele principe is compliance by design en regelmatige assessments. Dit betekent dat compliance-vereisten zoals BIO, AVG en NIS2 vanaf het begin worden meegenomen in architectuur- en configuratiebeslissingen, en dat regelmatige security assessments worden uitgevoerd om te verifiëren dat de beveiligingspostuur nog steeds voldoet aan alle vereisten. Compliance by design zorgt ervoor dat organisaties niet achteraf hoeven te investeren in het toevoegen van compliance-controles, wat vaak duurder en complexer is dan het vanaf het begin meenemen van deze vereisten. Regelmatige assessments helpen om nieuwe risico's en compliance-hiaten tijdig te identificeren en te adresseren, voordat deze leiden tot beveiligingsincidenten of niet-naleving.

Management Structuur en Organisatie

Een effectieve Azure management-structuur vereist zowel technische als organisatorische componenten die samenwerken om gecontroleerde, veilige en kostenefficiënte cloudoperaties te waarborgen. De technische basis wordt gevormd door Azure Management Groups, die een hiërarchische structuur creëren waarin subscriptions worden gegroepeerd op basis van organisatorische eenheden, omgevingen, compliance-niveaus of andere logische criteria. Binnen deze structuur worden Azure Policies gebruikt om standaarden af te dwingen, Azure RBAC wordt gebruikt om toegang te controleren, en Azure Cost Management wordt gebruikt om kosten te monitoren en te beheren. De organisatorische component omvat rollen en verantwoordelijkheden, governance-processen, en een Cloud Center of Excellence (CCoE) of governance board dat beslissingen neemt over architectuurstandaarden, policies en best practices. De technische management-structuur begint met een goed ontworpen Management Groups hiërarchie die de organisatiestructuur en compliance-vereisten weerspiegelt. Een typische hiërarchie begint met een root Management Group die alle Azure-subscriptions bevat, gevolgd door Management Groups voor verschillende omgevingstypen (zoals Productie, Test, Ontwikkeling en Sandbox), en vervolgens Management Groups voor specifieke organisatorische eenheden, programma's of workloads. Deze structuur maakt het mogelijk om zowel generieke policies (zoals 'alle storage accounts moeten versleuteling gebruiken') toe te passen op alle subscriptions binnen een omgevingstype, als specifieke policies (zoals 'alle resources in Burgerzaken moeten worden getagd met kostencentrum X') toe te passen op specifieke organisatorische eenheden. Binnen deze structuur worden subscriptions gebruikt om resources logisch te groeperen en kosten te isoleren, terwijl resource groups worden gebruikt om gerelateerde resources samen te beheren. De organisatorische management-structuur omvat verschillende rollen en verantwoordelijkheden die essentieel zijn voor effectieve Azure-operaties. Een Cloud Architect is verantwoordelijk voor het ontwerpen en onderhouden van de overkoepelende Azure-architectuur, inclusief Management Groups hiërarchie, netwerkarchitectuur, beveiligingsservices en governance-mechanismen. Een Security Architect is verantwoordelijk voor het waarborgen dat beveiligingsstandaarden en best practices worden toegepast, inclusief het ontwerpen van security policies, het implementeren van monitoring en logging, en het beheren van incident response processen. Een Cost Manager is verantwoordelijk voor het monitoren en beheren van Azure-kosten, inclusief het opstellen van budgetten, het analyseren van kostenpatronen, en het identificeren van kostenbesparingsmogelijkheden. Een Compliance Officer is verantwoordelijk voor het waarborgen dat Azure-omgevingen voldoen aan relevante compliance-kaders zoals BIO, AVG en NIS2, inclusief het uitvoeren van compliance-assessments, het rapporteren van compliance-status aan bestuurders, en het adresseren van compliance-hiaten. Een Cloud Center of Excellence (CCoE) of governance board vormt het centrale besluitvormingsorgaan voor Azure management. Dit board bestaat typisch uit vertegenwoordigers van IT-architectuur, informatiebeveiliging, compliance, kostenbeheer en business stakeholders, en neemt beslissingen over architectuurstandaarden, policies, best practices en uitzonderingen. Het CCoE is verantwoordelijk voor het ontwikkelen en onderhouden van een Azure governance-handboek dat uitlegt welke standaarden en best practices van toepassing zijn, hoe teams kunnen werken binnen deze kaders, en welke processen moeten worden gevolgd voor wijzigingen en uitzonderingen. Het CCoE fungeert ook als een kenniscentrum dat teams ondersteunt bij het implementeren van Azure-workloads, het oplossen van technische problemen, en het begrijpen van compliance-vereisten. Door deze centrale structuur ontstaat consistentie en duidelijkheid over hoe Azure moet worden gebruikt binnen de organisatie, wat essentieel is voor effectieve management en compliance.

Operationele Processen en Best Practices

Effectieve Azure management vereist gestructureerde operationele processen die zorgen voor consistente, veilige en kostenefficiënte uitvoering van management-activiteiten. Deze processen omvatten change management voor wijzigingen in Azure-configuraties, incident response voor beveiligingsincidenten en operationele problemen, capacity planning voor het plannen van resource-behoeften, backup en disaster recovery voor het waarborgen van business continuity, en regelmatige reviews en assessments voor het evalueren en verbeteren van de management-volwassenheid. Zonder gestructureerde processen ontstaan snel inconsistente configuraties, trage incident response, onverwachte kostenoverschrijdingen en compliance-problemen die kunnen leiden tot beveiligingsincidenten en niet-naleving van wet- en regelgeving. Change management is een essentieel proces voor het beheren van wijzigingen in Azure-configuraties, policies en architectuur. Dit proces zorgt ervoor dat wijzigingen worden gereviewd voordat zij worden doorgevoerd, dat de impact van wijzigingen wordt begrepen, en dat wijzigingen worden gedocumenteerd en getest. Voor Nederlandse overheidsorganisaties betekent dit bijvoorbeeld dat wijzigingen in security policies worden gereviewd door het security team, dat wijzigingen in netwerkconfiguraties worden getest in een testomgeving voordat zij worden toegepast op productie, en dat alle wijzigingen worden gelogd in een change management systeem voor audit-doeleinden. Change management helpt om onbedoelde configuratiefouten te voorkomen, om compliance-risico's te minimaliseren, en om te waarborgen dat wijzigingen worden uitgevoerd op een gecontroleerde en traceerbare manier. Incident response is een kritiek proces voor het snel detecteren, onderzoeken en oplossen van beveiligingsincidenten en operationele problemen. Dit proces omvat detectie van incidenten via monitoring en logging, classificatie van de ernst en impact van incidenten, activering van het incident response team, onderzoek naar de oorzaak en omvang van incidenten, en remediatie om verdere schade te voorkomen. Voor Nederlandse overheidsorganisaties betekent dit bijvoorbeeld dat beveiligingsincidenten worden gedetecteerd via Azure Sentinel en andere monitoring-tools, dat incidenten worden geclassificeerd op basis van de impact op dienstverlening en compliance, dat het security team wordt geactiveerd om incidenten te onderzoeken, en dat forensische datacollectie wordt uitgevoerd om de volledige omvang van incidenten te begrijpen. Incident response helpt om de impact van beveiligingsincidenten te minimaliseren, om te voldoen aan meldplichten onder NIS2 en AVG, en om lessen te leren die kunnen worden gebruikt om toekomstige incidenten te voorkomen. Capacity planning is een belangrijk proces voor het plannen van resource-behoeften en het voorkomen van onverwachte kostenoverschrijdingen. Dit proces omvat het analyseren van historisch resource-gebruik, het voorspellen van toekomstige behoeften, het plannen van resource-provisioning, en het monitoren van werkelijke kosten versus budgetten. Voor Nederlandse overheidsorganisaties betekent dit bijvoorbeeld dat teams regelmatig analyseren welke resources worden gebruikt, welke resources mogelijk kunnen worden geoptimaliseerd of uitgeschakeld, en welke resources moeten worden toegevoegd om toekomstige behoeften te ondersteunen. Capacity planning helpt om kosten te beheren, om performance-problemen te voorkomen, en om te waarborgen dat resources beschikbaar zijn wanneer zij nodig zijn. Backup en disaster recovery zijn essentiële processen voor het waarborgen van business continuity en het voldoen aan compliance-vereisten zoals BIO en NIS2. Deze processen omvatten het regelmatig maken van back-ups van kritieke data en configuraties, het testen van herstelprocedures, en het plannen van disaster recovery-scenario's. Voor Nederlandse overheidsorganisaties betekent dit bijvoorbeeld dat kritieke workloads worden geback-upt met behulp van Azure Backup, dat back-ups worden getest om te verifiëren dat herstelprocedures werken, en dat disaster recovery-plannen worden ontwikkeld en regelmatig worden gereviewd. Backup en disaster recovery helpen om de impact van dataverlies en systeemuitval te minimaliseren, om te voldoen aan compliance-vereisten voor business continuity, en om vertrouwen te geven aan bestuurders en burgers dat de organisatie voorbereid is op onverwachte gebeurtenissen.

Monitoring en Observability van Azure Management

Gebruik PowerShell-script index.ps1 (functie Invoke-Monitoring) – Geeft een overzicht van de belangrijkste Azure management-componenten en controleert of basiselementen aanwezig en correct geconfigureerd zijn..

Monitoring van Azure management gaat verder dan het bewaken van individuele resources. Bestuurders, management teams en security officers hebben behoefte aan een samenvattend beeld: welke management groups en subscriptions zijn actief, hoe is de governance-structuur ingericht, welke beveiligingsservices zijn geactiveerd, welke compliance-status heeft de omgeving, en zijn er signalen dat de management-structuur niet meer voldoet aan vereisten. Het index-script bij dit artikel inventariseert de belangrijkste management-componenten en vertaalt die naar een compacte managementsamenvatting: hoeveel subscriptions voldoen aan governance-standaarden, hoeveel resources zijn correct geconfigureerd, welke monitoring en logging zijn actief, welke kosten worden gemaakt, en voor welke onderdelen aanvullende acties nodig zijn. Dit vormt een startpunt voor diepgaandere analyses met gespecialiseerde scripts voor specifieke management-componenten, en helpt om het gesprek met bestuur en auditcommissies te structureren rond feitelijke cijfers en meetbare management-volwassenheid. Effectieve management-monitoring omvat zowel technische als governance-aspecten. Technisch gezien moet worden gemonitord of resources correct zijn geconfigureerd volgens governance-standaarden, of beveiligingsservices actief zijn en correct functioneren, of monitoring en logging correct zijn geconfigureerd, en of er afwijkingen zijn die kunnen wijzen op security risico's of compliance-problemen. Governance-monitoring richt zich op de vraag of management-processen worden nageleefd, of documentatie actueel is, of change management processen correct worden gevolgd, en of er regelmatige reviews plaatsvinden om de management-volwassenheid te evalueren en te verbeteren. Door beide aspecten te combineren ontstaat een compleet beeld van de management-volwassenheid en kunnen gerichte verbeteracties worden ondernomen om de management-structuur verder te professionaliseren. Azure Monitor, Log Analytics en Azure Sentinel vormen de technische basis voor management-monitoring. Deze tools verzamelen en analyseren loggegevens, metrische gegevens en beveiligingsgebeurtenissen van alle Azure-resources, services en activiteiten, en maken het mogelijk om dashboards te creëren die een samenvattend beeld geven van de staat van de cloudomgeving. Voor Nederlandse overheidsorganisaties betekent dit bijvoorbeeld dat alle aanmeldingspogingen, configuratiewijzigingen, netwerkactiviteiten en toegang tot gevoelige gegevens worden gelogd en gemonitord, zodat beveiligingsincidenten snel kunnen worden gedetecteerd en onderzocht. Daarnaast worden kosten gemonitord via Azure Cost Management, compliance-status wordt gemonitord via Azure Policy compliance-dashboards, en operationele gezondheid wordt gemonitord via Azure Service Health en resource health checks.

Remediatie en Volwassenwording van Azure Management

Gebruik PowerShell-script index.ps1 (functie Invoke-Remediation) – Genereert overzichten van management-hiaten en biedt handvatten voor gerichte verbeteracties om de management-volwassenheid te verhogen..

Remediatie binnen het Azure management-domein betekent in de praktijk dat u gaten dicht tussen de gewenste management-structuur en de werkelijkheid. In veel organisaties bestaan al wel beleidsdocumenten over cloudgebruik, informatiebeveiliging en operationele processen, maar ontbreekt concrete vastlegging van hoe deze worden vertaald naar Azure-configuraties, welke resources daadwerkelijk zijn ingericht, en hoe de management-structuur wordt onderhouden en geëvalueerd. Het index-script ondersteunt remediatie door automatisch te inventariseren waar management-standaarden niet worden nageleefd, waar beveiligingsservices ontbreken, waar monitoring en logging onvolledig zijn, en waar documentatie verouderd of incompleet is. Op basis van deze inventarisatie kunnen gerichte verbeteracties worden gepland en uitgevoerd, waarbij prioriteit wordt gegeven aan de meest kritieke hiaten die de grootste impact hebben op beveiliging en compliance. Een volwassen Azure management-structuur groeit stap voor stap door continue verbetering. Na elke monitoringsronde worden de belangrijkste verbeterpunten vastgelegd, van een eigenaar voorzien en ingepland in het reguliere change- of verbeterportfolio. Denk aan het standaardiseren van management group-structuren, het implementeren van ontbrekende beveiligingsservices, het verbeteren van monitoring en logging, het actualiseren van management-documentatie of het invoeren van geautomatiseerde compliance-controles. Door de resultaten van het index-script te combineren met de uitkomsten van gespecialiseerde scripts voor specifieke management-componenten ontstaat een integraal beeld van de voortgang. Uiteindelijk wordt Azure management zo niet alleen een technisch ontwerp, maar een aantoonbaar beheerst en verantwoord ingericht fundament voor de digitale dienstverlening van de organisatie, dat continu wordt geëvalueerd en verbeterd om te blijven voldoen aan veranderende eisen en dreigingen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Azure Management Monitoring en Remediatie .DESCRIPTION Controleert en handhaaft Azure management compliance voor Nederlandse overheidsorganisaties conform BIO, NIS2 en AVG vereisten. Inventariseert management groups, subscriptions, governance-structuur, beveiligingsservices, monitoring en compliance-status. .NOTES Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/azure/management/index.json #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Resources, Az.ManagementGroups, Az.PolicyInsights, Az.Monitor, Az.CostManagement [CmdletBinding()] param( [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert, [Parameter()][switch]$WhatIf ) $ErrorActionPreference = 'Stop' $script:PolicyName = "Azure Management" $script:ComplianceThreshold = 80 function Connect-RequiredServices { try { if (-not (Get-AzContext)) { Write-Host "Verbinden met Azure..." -ForegroundColor Yellow Connect-AzAccount -ErrorAction Stop | Out-Null } Write-Verbose "Azure verbinding: OK" } catch { Write-Warning "Fout bij verbinden met Azure: $_" throw } } function Get-ManagementGroupHierarchy { try { Write-Host " Inventariseren van management group-hiërarchie..." -ForegroundColor Gray $mgHierarchy = @{ TotalManagementGroups = 0 RootManagementGroup = $null ManagementGroups = @() HierarchyDepth = 0 } $allMgs = Get-AzManagementGroup -ErrorAction Stop $mgHierarchy.TotalManagementGroups = $allMgs.Count $rootMg = $allMgs | Where-Object { $_.Name -eq (Get-AzTenant).Id } | Select-Object -First 1 if ($rootMg) { $mgHierarchy.RootManagementGroup = $rootMg.DisplayName } foreach ($mg in $allMgs) { $mgInfo = [PSCustomObject]@{ Name = $mg.Name DisplayName = $mg.DisplayName Id = $mg.Id ParentId = $mg.ParentId } $mgHierarchy.ManagementGroups += $mgInfo } # Bereken hiërarchiediepte (vereenvoudigd) $maxDepth = 0 foreach ($mg in $mgHierarchy.ManagementGroups) { $depth = 1 $currentMg = $mg while ($currentMg.ParentId -and $depth -lt 10) { $parentMg = $mgHierarchy.ManagementGroups | Where-Object { $_.Id -eq $currentMg.ParentId } | Select-Object -First 1 if ($parentMg) { $depth++ $currentMg = $parentMg } else { break } } if ($depth -gt $maxDepth) { $maxDepth = $depth } } $mgHierarchy.HierarchyDepth = $maxDepth return $mgHierarchy } catch { Write-Warning "Fout bij inventariseren van management groups: $_" return $null } } function Get-SubscriptionInventory { try { Write-Host " Inventariseren van subscriptions..." -ForegroundColor Gray $subscriptions = Get-AzSubscription -ErrorAction Stop $subAnalysis = @{ TotalSubscriptions = 0 SubscriptionsByState = @{} SubscriptionsByEnvironment = @{} Subscriptions = @() } foreach ($sub in $subscriptions) { $subAnalysis.TotalSubscriptions++ # State tracking $state = $sub.State if (-not $subAnalysis.SubscriptionsByState.ContainsKey($state)) { $subAnalysis.SubscriptionsByState[$state] = 0 } $subAnalysis.SubscriptionsByState[$state]++ # Environment detection (op basis van naam, vereenvoudigd) $env = "Unknown" $subName = $sub.Name.ToLower() if ($subName -match "prod|productie|production") { $env = "Production" } elseif ($subName -match "test|testing") { $env = "Test" } elseif ($subName -match "dev|development|ontwikkel") { $env = "Development" } if (-not $subAnalysis.SubscriptionsByEnvironment.ContainsKey($env)) { $subAnalysis.SubscriptionsByEnvironment[$env] = 0 } $subAnalysis.SubscriptionsByEnvironment[$env]++ $subInfo = [PSCustomObject]@{ SubscriptionId = $sub.Id Name = $sub.Name State = $sub.State Environment = $env } $subAnalysis.Subscriptions += $subInfo } return $subAnalysis } catch { Write-Warning "Fout bij inventariseren van subscriptions: $_" return $null } } function Get-AzurePolicyCompliance { try { Write-Host " Controleren van Azure Policy compliance..." -ForegroundColor Gray $subscriptions = Get-AzSubscription -ErrorAction Stop $policyCompliance = @{ TotalPolicies = 0 CompliantPolicies = 0 NonCompliantResources = 0 PolicyDetails = @() } foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id -ErrorAction SilentlyContinue | Out-Null $assignments = Get-AzPolicyAssignment -ErrorAction SilentlyContinue foreach ($assignment in $assignments) { $policyCompliance.TotalPolicies++ $states = Get-AzPolicyState -PolicyAssignmentName $assignment.Name -ErrorAction SilentlyContinue $compliant = ($states | Where-Object { $_.ComplianceState -eq "Compliant" }).Count $nonCompliant = ($states | Where-Object { $_.ComplianceState -ne "Compliant" }).Count $policyCompliance.PolicyDetails += [PSCustomObject]@{ PolicyName = $assignment.Properties.DisplayName PolicyId = $assignment.ResourceId Subscription = $sub.Name Compliant = $compliant NonCompliant = $nonCompliant } $policyCompliance.NonCompliantResources += $nonCompliant if ($nonCompliant -eq 0 -and $compliant -gt 0) { $policyCompliance.CompliantPolicies++ } } } return $policyCompliance } catch { Write-Warning "Fout bij controleren van Policy compliance: $_" return $null } } function Get-MonitoringStatus { try { Write-Host " Controleren van monitoring en logging..." -ForegroundColor Gray $monitoringStatus = @{ LogAnalyticsWorkspaces = 0 DiagnosticSettings = 0 ActivityLogAlerts = 0 DefenderForCloud = $false } # Check Log Analytics Workspaces try { $workspaces = Get-AzOperationalInsightsWorkspace -ErrorAction SilentlyContinue $monitoringStatus.LogAnalyticsWorkspaces = $workspaces.Count } catch { Write-Verbose "Log Analytics inventarisatie niet beschikbaar" } # Check Defender for Cloud (vereenvoudigd) try { $defenderSettings = Get-AzSecuritySetting -ErrorAction SilentlyContinue if ($defenderSettings) { $monitoringStatus.DefenderForCloud = $true } } catch { Write-Verbose "Defender for Cloud status niet beschikbaar" } return $monitoringStatus } catch { Write-Warning "Fout bij controleren van monitoring status: $_" return $null } } function Get-CostManagementStatus { try { Write-Host " Controleren van cost management..." -ForegroundColor Gray $costStatus = @{ BudgetsConfigured = $false CostAlertsConfigured = $false } # Check budgets (vereenvoudigd - controleer of er budgetten zijn) try { $subscriptions = Get-AzSubscription -ErrorAction Stop foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id -ErrorAction SilentlyContinue | Out-Null $budgets = Get-AzConsumptionBudget -ErrorAction SilentlyContinue if ($budgets -and $budgets.Count -gt 0) { $costStatus.BudgetsConfigured = $true break } } } catch { Write-Verbose "Budget controle niet beschikbaar" } return $costStatus } catch { Write-Warning "Fout bij controleren van cost management: $_" return $null } } function Invoke-Monitoring { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$script:PolicyName - Monitoring" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan try { Connect-RequiredServices $results = @{ IsCompliant = $false CompliancePercentage = 0 Details = @() } # Management Group Hierarchy $mgHierarchy = Get-ManagementGroupHierarchy if ($mgHierarchy) { Write-Host "`nManagement Group Hiërarchie:" -ForegroundColor Yellow Write-Host " Totaal management groups: $($mgHierarchy.TotalManagementGroups)" -ForegroundColor Gray Write-Host " Root management group: $($mgHierarchy.RootManagementGroup)" -ForegroundColor Gray Write-Host " Hiërarchiediepte: $($mgHierarchy.HierarchyDepth) niveaus" -ForegroundColor Gray $results.Details += "Management Groups: $($mgHierarchy.TotalManagementGroups) groups, depth $($mgHierarchy.HierarchyDepth)" } # Subscription Inventory $subAnalysis = Get-SubscriptionInventory if ($subAnalysis) { Write-Host "`nSubscriptions:" -ForegroundColor Yellow Write-Host " Totaal subscriptions: $($subAnalysis.TotalSubscriptions)" -ForegroundColor Gray Write-Host "`n Per status:" -ForegroundColor Gray foreach ($state in $subAnalysis.SubscriptionsByState.GetEnumerator() | Sort-Object Value -Descending) { Write-Host " $($state.Key): $($state.Value)" -ForegroundColor Gray } Write-Host "`n Per omgeving:" -ForegroundColor Gray foreach ($env in $subAnalysis.SubscriptionsByEnvironment.GetEnumerator() | Sort-Object Value -Descending) { Write-Host " $($env.Key): $($env.Value)" -ForegroundColor Gray } $results.Details += "Subscriptions: $($subAnalysis.TotalSubscriptions) total" } # Azure Policy Compliance $policyCompliance = Get-AzurePolicyCompliance if ($policyCompliance) { Write-Host "`nAzure Policy Compliance:" -ForegroundColor Yellow Write-Host " Totaal policies: $($policyCompliance.TotalPolicies)" -ForegroundColor Gray Write-Host " Compliant policies: $($policyCompliance.CompliantPolicies)" -ForegroundColor $(if ($policyCompliance.CompliantPolicies -eq $policyCompliance.TotalPolicies) { "Green" } else { "Yellow" }) Write-Host " Non-compliant resources: $($policyCompliance.NonCompliantResources)" -ForegroundColor $(if ($policyCompliance.NonCompliantResources -eq 0) { "Green" } else { "Red" }) if ($policyCompliance.TotalPolicies -gt 0) { $policyCompliancePercentage = ($policyCompliance.CompliantPolicies / $policyCompliance.TotalPolicies) * 100 $results.CompliancePercentage = $policyCompliancePercentage $results.Details += "Azure Policies: $($policyCompliance.CompliantPolicies)/$($policyCompliance.TotalPolicies) compliant ($([math]::Round($policyCompliancePercentage, 1))%)" } } # Monitoring Status $monitoringStatus = Get-MonitoringStatus if ($monitoringStatus) { Write-Host "`nMonitoring en Logging:" -ForegroundColor Yellow Write-Host " Log Analytics Workspaces: $($monitoringStatus.LogAnalyticsWorkspaces)" -ForegroundColor $(if ($monitoringStatus.LogAnalyticsWorkspaces -gt 0) { "Green" } else { "Yellow" }) Write-Host " Defender for Cloud: $(if ($monitoringStatus.DefenderForCloud) { "Actief" } else { "Niet actief" })" -ForegroundColor $(if ($monitoringStatus.DefenderForCloud) { "Green" } else { "Yellow" }) $results.Details += "Monitoring: Workspaces=$($monitoringStatus.LogAnalyticsWorkspaces), Defender=$($monitoringStatus.DefenderForCloud)" } # Cost Management Status $costStatus = Get-CostManagementStatus if ($costStatus) { Write-Host "`nCost Management:" -ForegroundColor Yellow Write-Host " Budgets geconfigureerd: $(if ($costStatus.BudgetsConfigured) { "Ja" } else { "Nee" })" -ForegroundColor $(if ($costStatus.BudgetsConfigured) { "Green" } else { "Yellow" }) $results.Details += "Cost Management: Budgets=$($costStatus.BudgetsConfigured)" } # Overall Compliance if ($results.CompliancePercentage -gt 0) { $results.IsCompliant = $results.CompliancePercentage -ge $script:ComplianceThreshold } else { # Fallback: als er geen policy data is, check basisvereisten $results.IsCompliant = ($mgHierarchy -and $mgHierarchy.TotalManagementGroups -gt 0) -and ($subAnalysis -and $subAnalysis.TotalSubscriptions -gt 0) -and ($monitoringStatus -and $monitoringStatus.LogAnalyticsWorkspaces -gt 0) } Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Compliance Status:" -ForegroundColor Yellow if ($results.CompliancePercentage -gt 0) { Write-Host " Percentage: $([math]::Round($results.CompliancePercentage, 1))%" -ForegroundColor $(if ($results.IsCompliant) { "Green" } else { "Yellow" }) } Write-Host " Status: $(if ($results.IsCompliant) { "COMPLIANT" } else { "NON-COMPLIANT" })" -ForegroundColor $(if ($results.IsCompliant) { "Green" } else { "Red" }) Write-Host "========================================" -ForegroundColor Cyan if ($results.IsCompliant) { Write-Host "`n[OK] Management compliance behaald" -ForegroundColor Green exit 0 } else { Write-Host "`n[WAARSCHUWING] Management compliance niet behaald" -ForegroundColor Red Write-Host "Gebruik -Remediation voor hulp bij het oplossen van bevindingen" -ForegroundColor Yellow exit 1 } } catch { Write-Host "`n[ERROR] Monitoring gefaald: $_" -ForegroundColor Red exit 2 } } function Invoke-Remediation { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$script:PolicyName - Remediatie" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan try { Connect-RequiredServices Write-Host "`nRemediatie-opties:" -ForegroundColor Yellow Write-Host " 1. Management group-hiërarchie opzetten of verbeteren" -ForegroundColor Gray Write-Host " 2. Subscription-structuur standaardiseren" -ForegroundColor Gray Write-Host " 3. Azure Policy implementeren voor compliance" -ForegroundColor Gray Write-Host " 4. Monitoring en logging configureren" -ForegroundColor Gray Write-Host " 5. Cost management en budgetten instellen" -ForegroundColor Gray Write-Host "" # Check management groups $mgHierarchy = Get-ManagementGroupHierarchy if (-not $mgHierarchy -or $mgHierarchy.TotalManagementGroups -eq 0) { Write-Host " [ACTIE] Management group-hiërarchie ontbreekt" -ForegroundColor Red Write-Host " - Maak een root management group aan" -ForegroundColor Gray Write-Host " - Organiseer subscriptions in logische management groups" -ForegroundColor Gray Write-Host " - Implementeer een hiërarchie: Root > Environment > Workload" -ForegroundColor Gray } else { Write-Host " [OK] Management group-hiërarchie aanwezig: $($mgHierarchy.TotalManagementGroups) groups" -ForegroundColor Green } # Check subscriptions $subAnalysis = Get-SubscriptionInventory if (-not $subAnalysis -or $subAnalysis.TotalSubscriptions -eq 0) { Write-Host " [ACTIE] Geen subscriptions gevonden" -ForegroundColor Red } else { Write-Host " [OK] Subscriptions gevonden: $($subAnalysis.TotalSubscriptions)" -ForegroundColor Green if ($subAnalysis.SubscriptionsByEnvironment["Unknown"] -gt 0) { Write-Host " [ACTIE] $($subAnalysis.SubscriptionsByEnvironment['Unknown']) subscriptions zonder duidelijke omgeving" -ForegroundColor Yellow Write-Host " - Standaardiseer subscription-namen met omgevingsindicatoren (Prod/Test/Dev)" -ForegroundColor Gray } } # Check Azure Policies $policyCompliance = Get-AzurePolicyCompliance if (-not $policyCompliance -or $policyCompliance.TotalPolicies -eq 0) { Write-Host " [ACTIE] Geen Azure Policies geïmplementeerd" -ForegroundColor Red Write-Host " - Implementeer CIS Azure Benchmark initiative" -ForegroundColor Gray Write-Host " - Configureer aangepaste policies voor organisatie-specifieke vereisten" -ForegroundColor Gray Write-Host " - Wijs policies toe aan management groups voor inheritance" -ForegroundColor Gray } else { Write-Host " [OK] Azure Policies geïmplementeerd: $($policyCompliance.TotalPolicies)" -ForegroundColor Green if ($policyCompliance.NonCompliantResources -gt 0) { Write-Host " [ACTIE] $($policyCompliance.NonCompliantResources) non-compliant resources gevonden" -ForegroundColor Yellow Write-Host " - Onderzoek en remedieer non-compliant resources" -ForegroundColor Gray Write-Host " - Overweeg auto-remediation waar mogelijk" -ForegroundColor Gray } } # Check monitoring $monitoringStatus = Get-MonitoringStatus if (-not $monitoringStatus -or $monitoringStatus.LogAnalyticsWorkspaces -eq 0) { Write-Host " [ACTIE] Geen Log Analytics Workspaces gevonden" -ForegroundColor Yellow Write-Host " - Maak een centrale Log Analytics workspace aan" -ForegroundColor Gray Write-Host " - Configureer diagnostische instellingen voor resources" -ForegroundColor Gray } else { Write-Host " [OK] Log Analytics Workspaces gevonden: $($monitoringStatus.LogAnalyticsWorkspaces)" -ForegroundColor Green } if (-not $monitoringStatus.DefenderForCloud) { Write-Host " [ACTIE] Defender for Cloud niet actief" -ForegroundColor Yellow Write-Host " - Activeer Microsoft Defender for Cloud" -ForegroundColor Gray Write-Host " - Configureer security policies en assessments" -ForegroundColor Gray } # Check cost management $costStatus = Get-CostManagementStatus if (-not $costStatus.BudgetsConfigured) { Write-Host " [ACTIE] Geen budgetten geconfigureerd" -ForegroundColor Yellow Write-Host " - Configureer budgetten voor belangrijke subscriptions" -ForegroundColor Gray Write-Host " - Stel cost alerts in voor kostenbewaking" -ForegroundColor Gray } else { Write-Host " [OK] Budgetten geconfigureerd" -ForegroundColor Green } Write-Host "`n Aanbevolen volgende stappen:" -ForegroundColor Yellow Write-Host " 1. Documenteer de management-structuur en processen" -ForegroundColor Gray Write-Host " 2. Implementeer Infrastructure as Code (IaC) voor reproduceerbaarheid" -ForegroundColor Gray Write-Host " 3. Stel een governance-proces op voor management-wijzigingen" -ForegroundColor Gray Write-Host " 4. Plan regelmatige reviews en assessments" -ForegroundColor Gray Write-Host " 5. Implementeer geautomatiseerde compliance-controles" -ForegroundColor Gray Write-Host "`n[INFO] Remediatie-advies gegenereerd" -ForegroundColor Cyan Write-Host "Voer monitoring opnieuw uit na implementatie van maatregelen" -ForegroundColor Yellow exit 0 } catch { Write-Host "`n[ERROR] Remediatie gefaald: $_" -ForegroundColor Red exit 2 } } function Invoke-Revert { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$script:PolicyName - Revert" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "`n[INFO] Revert functionaliteit niet beschikbaar voor management" -ForegroundColor Yellow Write-Host "Management is een fundamentele architectuurcomponent en moet worden beheerd via governance-processen" -ForegroundColor Yellow exit 0 } # Main execution try { if ($Revert) { Invoke-Revert } elseif ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { Invoke-Remediation } else { Write-Host "`nGebruik: -Monitoring | -Remediation | -Revert" -ForegroundColor Yellow Write-Host "`nVoorbeelden:" -ForegroundColor Cyan Write-Host " .\index.ps1 -Monitoring" -ForegroundColor Gray Write-Host " .\index.ps1 -Remediation" -ForegroundColor Gray Write-Host " .\index.ps1 -Monitoring -WhatIf" -ForegroundColor Gray } } catch { Write-Host "`n[ERROR] Script execution failed: $_" -ForegroundColor Red exit 2 } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder een doordachte Azure management-structuur ontstaan versnipperde, inconsistente cloudoperaties waarin beveiligingsincidenten niet tijdig worden gedetecteerd, kosten onbeheersbaar oplopen, compliance-vereisten niet aantoonbaar zijn en bestuurders geen zicht hebben op de werkelijke staat van de cloudomgeving. Dit kan leiden tot niet-naleving van AVG, BIO en NIS2, bestuurlijke aansprakelijkheid bij incidenten, verlies van vertrouwen bij burgers en mogelijk politieke consequenties.

Management Samenvatting

Effectief Azure management vormt de fundamentele basis voor veilige, gecontroleerde en kostenefficiënte cloudoperaties binnen Nederlandse overheidsorganisaties. Dit index-artikel schetst de overkoepelende principes, best practices en operationele processen, en fungeert als kapstok voor meer specifieke artikelen over governance, monitoring, kostenbeheer, security operations en andere management-gerelateerde onderwerpen.