BIO 09.01 ISO A.12.6.1

Migratiebeveiligingsplanning Voor Azure Workloads

📅 2025-01-27
⏱️ 30 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Migratiebeveiligingsplanning vormt de fundamentele basis voor veilige cloudmigraties door organisaties in staat te stellen beveiligingsrisico's te identificeren, te mitigeren en te beheren gedurende de gehele migratieperiode. Zonder uitgebreide beveiligingsplanning kunnen migraties leiden tot beveiligingslekken, data-exfiltratie, niet-naleving van compliance-vereisten, en aanzienlijke reputatieschade. Voor Nederlandse overheidsorganisaties die moeten voldoen aan de Baseline Informatiebeveiliging Overheid (BIO), de NIS2-richtlijn en andere relevante beveiligingsstandaarden, is gestructureerde migratiebeveiligingsplanning niet alleen een best practice, maar een expliciete vereiste voor het waarborgen van beveiliging en compliance tijdens en na migraties.

Aanbeveling
IMPLEMENTEER
Risico zonder
High
Risk Score
8/10
Implementatie
64u (tech: 40u)
Van toepassing op:
Azure Subscriptions
On-Premises Workloads
Cloud Migrations
Hybrid Environments
Legacy Systems

Het migreren van workloads naar Azure zonder uitgebreide beveiligingsplanning is als het bouwen van een huis zonder fundament: het kan op korte termijn werken, maar het risico op instabiliteit en falen is aanzienlijk. Tijdens migraties worden systemen, applicaties en gegevens blootgesteld aan nieuwe risico's: data wordt verplaatst tussen omgevingen waarbij het risico bestaat op data-exfiltratie of onbevoegde toegang, netwerkconfiguraties worden gewijzigd waardoor nieuwe aanvalsvectoren kunnen ontstaan, en toegangscontroles worden geherconfigureerd waarbij het risico bestaat dat beveiligingsconfiguraties niet correct worden overgenomen. Zonder gestructureerde beveiligingsplanning kunnen organisaties deze risico's niet adequaat identificeren, mitigeren of beheren, wat kan leiden tot beveiligingsincidenten, data-breach, niet-naleving van compliance-vereisten zoals de Algemene Verordening Gegevensbescherming (AVG), en aanzienlijke reputatieschade. Voor Nederlandse overheidsorganisaties die kritieke diensten leveren aan burgers en bedrijven, zijn dergelijke beveiligingsincidenten onacceptabel en kunnen zij leiden tot vertrouwensverlies, juridische aansprakelijkheid, en mogelijke boetes van toezichthouders. De Baseline Informatiebeveiliging Overheid (BIO) vereist expliciet dat organisaties passende beveiligingsmaatregelen implementeren in alle fasen van de system lifecycle, inclusief tijdens migraties. Thema 09.01 (Beveiligingsarchitectuur) vereist dat organisaties een beveiligingsarchitectuur hebben die rekening houdt met alle aspecten van informatiebeveiliging, inclusief migraties. Thema 12.01 (Logging en monitoring) vereist dat organisaties passende logging en monitoring implementeren voor alle systemen, inclusief tijdens migraties. Zonder uitgebreide beveiligingsplanning kunnen organisaties niet voldoen aan deze vereisten omdat zij geen gestructureerd proces hebben voor het identificeren van beveiligingsrisico's, het implementeren van beveiligingsmaatregelen, en het valideren dat gemigreerde workloads voldoen aan beveiligingsvereisten. Tijdens BIO-audits moeten organisaties kunnen aantonen dat migraties zijn uitgevoerd op een gecontroleerde, gedocumenteerde manier die voldoet aan beveiligingsvereisten, waarbij beveiligingsplanning en -documentatie de audit-evidentie leveren die nodig is om aan te tonen dat deze vereisten worden nageleefd. De NIS2-richtlijn, Artikel 21, vereist dat essentiële en belangrijke entiteiten passende beveiligingsmaatregelen implementeren en kunnen aantonen dat deze maatregelen effectief zijn. Voor migraties betekent dit dat organisaties moeten kunnen aantonen dat workloads zijn beoordeeld op beveiligingsrisico's, dat migraties zijn uitgevoerd op een manier die voldoet aan beveiligingsvereisten, en dat gemigreerde workloads voldoen aan relevante beveiligingsstandaarden. Migratiebeveiligingsplanning vormt een directe implementatie van deze vereiste door niet alleen beveiligingsrisico's te identificeren en te mitigeren, maar ook door te documenteren hoe beveiligingsmaatregelen zijn geïmplementeerd en hoe gemigreerde workloads zijn gevalideerd. Voor Nederlandse organisaties die onder NIS2 vallen, is het daarom niet alleen aanbevolen maar verplicht om uitgebreide migratiebeveiligingsplanning te implementeren en te kunnen aantonen dat beveiligingsmaatregelen effectief zijn in het waarborgen van beveiliging tijdens en na migraties. Daarnaast speelt migratiebeveiligingsplanning een cruciale rol in het waarborgen van data privacy en compliance met de AVG. Tijdens migraties worden persoonsgegevens verplaatst tussen omgevingen, waarbij het risico bestaat op onbevoegde toegang, data-exfiltratie, of verlies van gegevens. De AVG vereist dat organisaties passende technische en organisatorische maatregelen implementeren om persoonsgegevens te beschermen, inclusief tijdens migraties. Artikel 32 van de AVG specificeert dat organisaties passende maatregelen moeten implementeren om een passend beveiligingsniveau te waarborgen, waarbij rekening wordt gehouden met de stand van de techniek, de uitvoeringskosten, en de risico's voor de rechten en vrijheden van natuurlijke personen. Migratiebeveiligingsplanning helpt organisaties om aan deze vereiste te voldoen door beveiligingsmaatregelen te identificeren en te implementeren die specifiek zijn gericht op het beschermen van persoonsgegevens tijdens migraties, zoals versleuteling van data in transit en at rest, toegangscontroles, en logging en monitoring van migratie-activiteiten.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Resources, Az.Security, Az.Policy, Az.Compute

Implementatie

Migratiebeveiligingsplanning omvat een gestructureerd proces voor het identificeren, analyseren, mitigeren en beheren van beveiligingsrisico's gedurende de gehele migratieperiode, van de initiële planning tot de post-migratie validatie. Het proces begint met een uitgebreide beveiligingsrisicoanalyse waarbij alle aspecten van de migratie worden geëvalueerd op potentiële beveiligingsrisico's: welke workloads worden gemigreerd en welke gevoelige gegevens bevatten zij, welke beveiligingsmaatregelen zijn momenteel geïmplementeerd in de on-premises omgeving en hoe worden deze overgenomen in Azure, welke nieuwe beveiligingsrisico's ontstaan door de migratie naar de cloud, en welke compliance-vereisten moeten worden nageleefd tijdens en na de migratie. Deze risicoanalyse moet worden uitgevoerd door een multidisciplinair team bestaande uit security officers, infrastructuurarchitecten, compliance officers, en applicatie-eigenaren, waarbij elk aspect van de migratie wordt geëvalueerd vanuit een beveiligingsperspectief. Na de risicoanalyse worden beveiligingsmaatregelen geïdentificeerd en gepland die specifiek zijn gericht op het mitigeren van geïdentificeerde risico's. Deze maatregelen omvatten technische beveiligingscontroles zoals versleuteling van data in transit en at rest, netwerksegmentatie en -isolatie, toegangscontroles en identity management, logging en monitoring van migratie-activiteiten, en beveiligingsvalidatie van gemigreerde workloads. Daarnaast omvatten zij organisatorische beveiligingsmaatregelen zoals security awareness training voor migratieteams, security reviews en approvals voor migratie-activiteiten, incident response procedures voor beveiligingsincidenten tijdens migraties, en regelmatige security assessments en audits. Voor elke beveiligingsmaatregel moeten specifieke implementatie-instructies worden gedocumenteerd, moeten verantwoordelijkheden worden toegewezen, en moeten deadlines worden vastgesteld. Het is belangrijk om te realiseren dat beveiligingsmaatregelen niet alleen moeten worden geïmplementeerd voor de migratie, maar ook tijdens de migratie en na de migratie, waarbij continue monitoring en validatie essentieel zijn om te waarborgen dat beveiliging wordt gehandhaafd gedurende de gehele migratieperiode. Het implementatieproces omvat verschillende fasen: pre-migratie beveiligingsvoorbereiding waarbij beveiligingsconfiguraties worden gepland en voorbereid, migratie-uitvoering waarbij beveiligingsmaatregelen worden geïmplementeerd en gemonitord tijdens de daadwerkelijke migratie, en post-migratie beveiligingsvalidatie waarbij wordt geverifieerd dat gemigreerde workloads voldoen aan beveiligingsvereisten. Tijdens de pre-migratie fase moeten beveiligingsconfiguraties worden gedocumenteerd, moeten beveiligingsmaatregelen worden geïmplementeerd in de Azure-omgeving voordat workloads worden gemigreerd, en moeten security reviews worden uitgevoerd om te verifiëren dat beveiligingsconfiguraties correct zijn. Tijdens de migratie-uitvoering moeten beveiligingsmaatregelen actief worden gemonitord, moeten beveiligingsincidenten worden gedetecteerd en aangepakt, en moeten logging en monitoring worden uitgevoerd om alle migratie-activiteiten vast te leggen. Na de migratie moeten gemigreerde workloads worden gevalideerd om te verifiëren dat zij voldoen aan beveiligingsvereisten, moeten beveiligingsconfiguraties worden geverifieerd, en moeten security assessments worden uitgevoerd om te identificeren of er nog beveiligingsrisico's zijn die moeten worden aangepakt. De resultaten van migratiebeveiligingsplanning worden gedocumenteerd in een beveiligingsplan dat dient als leidraad voor alle migratie-activiteiten en als audit-evidentie voor compliance-doeleinden. Het plan moet expliciet beschrijven welke beveiligingsrisico's zijn geïdentificeerd, welke beveiligingsmaatregelen zijn geïmplementeerd, wie verantwoordelijk is voor elke beveiligingsmaatregel, en hoe beveiligingsmaatregelen worden gemonitord en gevalideerd. Het plan moet regelmatig worden bijgewerkt om rekening te houden met wijzigingen in de migratie-scope, nieuwe beveiligingsrisico's, of lessons learned tijdens de migratie. Daarnaast moet het plan beschikbaar zijn voor alle relevante stakeholders, inclusief migratieteams, security teams, compliance officers, en auditors, om te waarborgen dat iedereen op de hoogte is van beveiligingsvereisten en -verantwoordelijkheden.

Vereisten voor Migratiebeveiligingsplanning

Voor het succesvol implementeren van migratiebeveiligingsplanning zijn verschillende essentiële vereisten noodzakelijk die de fundamentele basis vormen voor een veilige migratie. De eerste en meest fundamentele vereiste is de beschikbaarheid van een multidisciplinair team met de juiste expertise en verantwoordelijkheden. Dit team moet bestaan uit security officers die verantwoordelijk zijn voor het identificeren en mitigeren van beveiligingsrisico's, infrastructuurarchitecten die verantwoordelijk zijn voor het plannen en implementeren van beveiligingsconfiguraties, compliance officers die verantwoordelijk zijn voor het waarborgen dat migraties voldoen aan relevante compliance-vereisten, applicatie-eigenaren die verantwoordelijk zijn voor het valideren dat applicaties voldoen aan beveiligingsvereisten, en projectmanagers die verantwoordelijk zijn voor het coördineren van migratie-activiteiten en het waarborgen dat beveiligingsvereisten worden nageleefd. Zonder een dergelijk team bestaat het risico dat beveiligingsaspecten over het hoofd worden gezien, dat beveiligingsmaatregelen niet correct worden geïmplementeerd, of dat beveiligingsvalidatie niet adequaat wordt uitgevoerd. Een tweede kritieke vereiste is toegang tot uitgebreide informatie over de workloads die moeten worden gemigreerd. Deze informatie omvat technische details zoals welke applicaties en systemen worden gemigreerd, welke gegevens worden verwerkt en hoe gevoelig deze gegevens zijn, welke beveiligingsmaatregelen momenteel zijn geïmplementeerd in de on-premises omgeving, welke compliance-vereisten van toepassing zijn, en welke afhankelijkheden bestaan tussen verschillende workloads. Zonder deze informatie kunnen organisaties geen adequate beveiligingsrisicoanalyse uitvoeren en kunnen zij geen effectieve beveiligingsmaatregelen identificeren en plannen. Het verzamelen van deze informatie kan tijdrovend zijn, vooral voor grote omgevingen met honderden of duizenden workloads, maar het is essentieel voor het waarborgen van een veilige migratie. Organisaties moeten processen implementeren voor het systematisch verzamelen en documenteren van deze informatie, waarbij gebruik wordt gemaakt van tools zoals Azure Migrate voor technische assessments en interviews met applicatie-eigenaren voor business context. Een derde vereiste is toegang tot Azure-resources en -services die nodig zijn voor het implementeren van beveiligingsmaatregelen. Dit omvat Azure-abonnementen met voldoende rechten om beveiligingsconfiguraties te implementeren, Azure Security Center of Microsoft Defender for Cloud voor beveiligingsmonitoring en -beheer, Azure Policy voor het afdwingen van beveiligingsstandaarden, Azure Key Vault voor het beheren van geheimen en certificaten, Azure Monitor en Log Analytics voor logging en monitoring, en andere relevante Azure-services. Voor organisaties die moeten voldoen aan compliance-vereisten zoals BIO-normen of NIS2, moet speciale aandacht worden besteed aan data residency-vereisten, waarbij moet worden geverifieerd dat Azure-services beschikbaar zijn in regio's die voldoen aan deze vereisten. Daarnaast moeten organisaties ervoor zorgen dat zij beschikken over voldoende Azure-machtigingen om beveiligingsconfiguraties te implementeren, waarbij Azure RBAC wordt gebruikt om toegang te beheren en te waarborgen dat alleen geautoriseerde gebruikers beveiligingsconfiguraties kunnen wijzigen. Een vierde vereiste is de beschikbaarheid van beveiligingsstandaarden en -richtlijnen die dienen als basis voor beveiligingsplanning. Deze standaarden omvatten organisatorische beveiligingsstandaarden zoals de Baseline Informatiebeveiliging Overheid (BIO) voor Nederlandse overheidsorganisaties, internationale standaarden zoals ISO 27001, sectorspecifieke regelgeving zoals de NIS2-richtlijn, en Azure-specifieke beveiligingsaanbevelingen zoals de Azure Security Benchmark. Deze standaarden helpen organisaties om te identificeren welke beveiligingsmaatregelen moeten worden geïmplementeerd, welke compliance-vereisten van toepassing zijn, en hoe beveiligingsmaatregelen moeten worden gedocumenteerd en gevalideerd. Zonder duidelijke beveiligingsstandaarden bestaat het risico dat organisaties belangrijke beveiligingsmaatregelen over het hoofd zien, dat beveiligingsconfiguraties niet consistent zijn, of dat beveiligingsvalidatie niet adequaat wordt uitgevoerd. Organisaties moeten ervoor zorgen dat beveiligingsstandaarden actueel zijn en regelmatig worden bijgewerkt om rekening te houden met nieuwe beveiligingsrisico's en -aanbevelingen. Ten slotte moet een duidelijk proces worden gedefinieerd voor het beheren van migratiebeveiligingsplanning gedurende de gehele migratieperiode. Dit proces moet beschrijven hoe beveiligingsrisico's worden geïdentificeerd en geanalyseerd, hoe beveiligingsmaatregelen worden gepland en geïmplementeerd, hoe beveiligingsincidenten worden gedetecteerd en aangepakt, en hoe beveiligingsvalidatie wordt uitgevoerd. Het proces moet ook voorzien in regelmatige security reviews en assessments om te verifiëren dat beveiligingsmaatregelen effectief zijn en dat er geen nieuwe beveiligingsrisico's zijn ontstaan. Voor organisaties die moeten voldoen aan compliance-vereisten, moet het proces ook voorzien in auditlogging en documentatie van alle beveiligingsactiviteiten, zodat auditors kunnen verifiëren dat migraties zijn uitgevoerd op een manier die voldoet aan beveiligingsvereisten. Het proces moet regelmatig worden geëvalueerd en verbeterd op basis van lessons learned tijdens migraties, waarbij feedback wordt verzameld van migratieteams, security teams, en andere relevante stakeholders.

Implementatie van Migratiebeveiligingsplanning

Gebruik PowerShell-script migration-security-planning.ps1 (functie Invoke-Remediation) – Valideert en configureert beveiligingsmaatregelen voor Azure-migraties volgens de Nederlandse Baseline voor Veilige Cloud..

De implementatie van migratiebeveiligingsplanning begint met een uitgebreide beveiligingsrisicoanalyse waarbij alle aspecten van de migratie worden geëvalueerd op potentiële beveiligingsrisico's. Deze analyse moet worden uitgevoerd door een multidisciplinair team bestaande uit security officers, infrastructuurarchitecten, compliance officers, en applicatie-eigenaren, waarbij elk aspect van de migratie wordt geëvalueerd vanuit een beveiligingsperspectief. De analyse omvat het identificeren van welke workloads worden gemigreerd en welke gevoelige gegevens deze bevatten, het evalueren van welke beveiligingsmaatregelen momenteel zijn geïmplementeerd in de on-premises omgeving en hoe deze worden overgenomen in Azure, het identificeren van nieuwe beveiligingsrisico's die ontstaan door de migratie naar de cloud, en het bepalen van welke compliance-vereisten moeten worden nageleefd tijdens en na de migratie. Voor elke geïdentificeerde beveiligingsrisico moet worden bepaald wat de impact is, wat de waarschijnlijkheid is dat het risico zich voordoet, en welke beveiligingsmaatregelen moeten worden geïmplementeerd om het risico te mitigeren. Deze informatie wordt gedocumenteerd in een beveiligingsrisicoregister dat dient als basis voor beveiligingsplanning en dat regelmatig wordt bijgewerkt gedurende de migratieperiode. Na de risicoanalyse worden beveiligingsmaatregelen geïdentificeerd en gepland die specifiek zijn gericht op het mitigeren van geïdentificeerde risico's. Deze maatregelen omvatten technische beveiligingscontroles zoals versleuteling van data in transit en at rest, netwerksegmentatie en -isolatie met behulp van Azure Virtual Networks en Network Security Groups, toegangscontroles en identity management met behulp van Azure Active Directory en Azure RBAC, logging en monitoring van migratie-activiteiten met behulp van Azure Monitor en Log Analytics, en beveiligingsvalidatie van gemigreerde workloads met behulp van Azure Security Center of Microsoft Defender for Cloud. Daarnaast omvatten zij organisatorische beveiligingsmaatregelen zoals security awareness training voor migratieteams, security reviews en approvals voor migratie-activiteiten, incident response procedures voor beveiligingsincidenten tijdens migraties, en regelmatige security assessments en audits. Voor elke beveiligingsmaatregel moeten specifieke implementatie-instructies worden gedocumenteerd, moeten verantwoordelijkheden worden toegewezen aan specifieke teamleden, en moeten deadlines worden vastgesteld. Het is belangrijk om te realiseren dat beveiligingsmaatregelen niet alleen moeten worden geïmplementeerd voor de migratie, maar ook tijdens de migratie en na de migratie, waarbij continue monitoring en validatie essentieel zijn om te waarborgen dat beveiliging wordt gehandhaafd gedurende de gehele migratieperiode. Het implementatieproces omvat verschillende fasen: pre-migratie beveiligingsvoorbereiding, migratie-uitvoering, en post-migratie beveiligingsvalidatie. Tijdens de pre-migratie fase moeten beveiligingsconfiguraties worden gedocumenteerd in een beveiligingsplan, moeten beveiligingsmaatregelen worden geïmplementeerd in de Azure-omgeving voordat workloads worden gemigreerd, en moeten security reviews worden uitgevoerd om te verifiëren dat beveiligingsconfiguraties correct zijn. Specifiek moeten Azure Virtual Networks worden geconfigureerd met juiste netwerksegmentatie, moeten Network Security Groups worden geconfigureerd met restrictieve firewallregels, moeten Azure Key Vault worden geconfigureerd voor het beheren van geheimen en certificaten, moeten Azure Monitor en Log Analytics worden geconfigureerd voor logging en monitoring, en moeten Azure Policy worden geconfigureerd voor het afdwingen van beveiligingsstandaarden. Daarnaast moeten identity management configuraties worden gepland, waarbij wordt bepaald hoe gebruikers en service principals toegang krijgen tot gemigreerde workloads, hoe multi-factor authentication wordt geïmplementeerd, en hoe privileged access wordt beheerd. Tijdens de migratie-uitvoering moeten beveiligingsmaatregelen actief worden gemonitord, moeten beveiligingsincidenten worden gedetecteerd en aangepakt, en moeten logging en monitoring worden uitgevoerd om alle migratie-activiteiten vast te leggen. Na de migratie moeten gemigreerde workloads worden gevalideerd om te verifiëren dat zij voldoen aan beveiligingsvereisten, moeten beveiligingsconfiguraties worden geverifieerd met behulp van Azure Security Center of Microsoft Defender for Cloud, en moeten security assessments worden uitgevoerd om te identificeren of er nog beveiligingsrisico's zijn die moeten worden aangepakt. De resultaten van migratiebeveiligingsplanning worden gedocumenteerd in een beveiligingsplan dat dient als leidraad voor alle migratie-activiteiten en als audit-evidentie voor compliance-doeleinden. Het plan moet expliciet beschrijven welke beveiligingsrisico's zijn geïdentificeerd, welke beveiligingsmaatregelen zijn geïmplementeerd, wie verantwoordelijk is voor elke beveiligingsmaatregel, en hoe beveiligingsmaatregelen worden gemonitord en gevalideerd. Het plan moet regelmatig worden bijgewerkt om rekening te houden met wijzigingen in de migratie-scope, nieuwe beveiligingsrisico's, of lessons learned tijdens de migratie. Daarnaast moet het plan beschikbaar zijn voor alle relevante stakeholders, inclusief migratieteams, security teams, compliance officers, en auditors, om te waarborgen dat iedereen op de hoogte is van beveiligingsvereisten en -verantwoordelijkheden. Voor organisaties die moeten voldoen aan compliance-vereisten zoals BIO-normen of NIS2, moet het plan ook expliciet beschrijven hoe beveiligingsmaatregelen bijdragen aan compliance en hoe beveiligingsactiviteiten worden gedocumenteerd voor audit-doeleinden.

Monitoring van Migratiebeveiliging

Gebruik PowerShell-script migration-security-planning.ps1 (functie Invoke-Monitoring) – Monitort beveiligingsstatus van Azure-migraties en rapporteert over beveiligingsconfiguraties, incidenten en compliance-status..

Effectieve monitoring van migratiebeveiliging is essentieel om te waarborgen dat beveiligingsmaatregelen correct blijven functioneren gedurende de gehele migratieperiode en om beveiligingsincidenten tijdig te detecteren en aan te pakken. Het eerste niveau van monitoring omvat het continu volgen van beveiligingsconfiguraties in de Azure-omgeving om te verifiëren dat beveiligingsmaatregelen correct zijn geïmplementeerd en actief blijven. Dit omvat het monitoren van netwerkbeveiligingsconfiguraties zoals Network Security Groups en Azure Firewall-regels om te verifiëren dat restrictieve firewallregels actief zijn, het monitoren van identity management configuraties zoals Azure AD Conditional Access policies en Azure RBAC-toewijzingen om te verifiëren dat toegangscontroles correct zijn geconfigureerd, en het monitoren van versleutelingsconfiguraties zoals Azure Disk Encryption en Azure Storage Encryption om te verifiëren dat data versleuteld is. Deze monitoring kan worden uitgevoerd met behulp van Azure Security Center of Microsoft Defender for Cloud, die automatisch beveiligingsconfiguraties evalueren en waarschuwingen genereren wanneer beveiligingsconfiguraties niet voldoen aan beveiligingsstandaarden. Daarnaast kunnen Azure Policy-definities worden gebruikt om automatisch te verifiëren dat beveiligingsconfiguraties voldoen aan organisatorische beveiligingsstandaarden en om automatische remediatie uit te voeren wanneer beveiligingsconfiguraties niet correct zijn. Het tweede niveau van monitoring omvat het continu volgen van beveiligingsincidenten en -waarschuwingen om tijdig te detecteren wanneer beveiligingsproblemen optreden. Dit omvat het monitoren van Azure Security Center of Microsoft Defender for Cloud waarschuwingen die aangeven wanneer beveiligingsincidenten worden gedetecteerd, het monitoren van Azure Monitor en Log Analytics logs voor verdachte activiteiten zoals onbevoegde toegangspogingen, ongebruikelijke netwerkverkeer, of wijzigingen aan beveiligingsconfiguraties, en het monitoren van Azure AD Identity Protection waarschuwingen die aangeven wanneer identiteitsgerelateerde beveiligingsincidenten worden gedetecteerd. Deze monitoring moet worden uitgevoerd door een dedicated security operations center (SOC) team of door security officers die zijn getraind in het detecteren en aanpakken van beveiligingsincidenten. Wanneer beveiligingsincidenten worden gedetecteerd, moeten deze onmiddellijk worden geëscaleerd naar het juiste team en moeten incident response procedures worden gevolgd om de impact te minimaliseren en de beveiligingsincident op te lossen. Het is belangrijk om te realiseren dat beveiligingsincidenten tijdens migraties bijzonder kritiek kunnen zijn omdat zij kunnen leiden tot data-exfiltratie, service-onderbrekingen, of niet-naleving van compliance-vereisten, waardoor snelle detectie en respons essentieel zijn. Het derde niveau van monitoring omvat het regelmatig uitvoeren van beveiligingsassessments en -audits om te verifiëren dat beveiligingsmaatregelen effectief zijn en dat er geen nieuwe beveiligingsrisico's zijn ontstaan. Deze assessments moeten worden uitgevoerd door onafhankelijke security teams of externe auditors die zijn gespecialiseerd in cloudbeveiliging en migratiebeveiliging. De assessments moeten expliciet evalueren of beveiligingsconfiguraties correct zijn geïmplementeerd, of beveiligingsmaatregelen effectief zijn in het mitigeren van geïdentificeerde risico's, of er nieuwe beveiligingsrisico's zijn ontstaan die moeten worden aangepakt, en of gemigreerde workloads voldoen aan beveiligingsvereisten. De resultaten van deze assessments moeten worden gedocumenteerd en gedeeld met relevante stakeholders, inclusief migratieteams, security teams, compliance officers, en management, om te waarborgen dat beveiligingsproblemen worden geïdentificeerd en aangepakt. Voor organisaties die moeten voldoen aan compliance-vereisten zoals BIO-normen of NIS2, moeten deze assessments ook expliciet evalueren of migraties voldoen aan relevante compliance-vereisten en moeten assessment-resultaten beschikbaar zijn voor auditors tijdens compliance-audits. Het vierde niveau van monitoring omvat het regelmatig bijwerken van beveiligingsplanning en -documentatie om rekening te houden met wijzigingen in de migratie-scope, nieuwe beveiligingsrisico's, of lessons learned tijdens de migratie. Dit omvat het regelmatig reviewen van het beveiligingsrisicoregister om te identificeren of er nieuwe beveiligingsrisico's zijn ontstaan, het bijwerken van het beveiligingsplan om rekening te houden met wijzigingen in beveiligingsmaatregelen of -configuraties, en het documenteren van lessons learned tijdens de migratie om toekomstige migraties te verbeteren. Deze updates moeten worden uitgevoerd door het multidisciplinaire beveiligingsteam dat verantwoordelijk is voor migratiebeveiligingsplanning, waarbij regelmatige reviews worden gepland (bijvoorbeeld maandelijks of kwartaal) om te waarborgen dat beveiligingsplanning actueel blijft. Daarnaast moeten updates worden gedeeld met relevante stakeholders om te waarborgen dat iedereen op de hoogte is van wijzigingen in beveiligingsvereisten of -verantwoordelijkheden. Voor organisaties die moeten voldoen aan compliance-vereisten, moeten deze updates ook worden gedocumenteerd voor audit-doeleinden, waarbij wordt vastgelegd wanneer updates zijn uitgevoerd, wat de reden was voor de update, en wie verantwoordelijk was voor de update.

Compliance en Auditing

Migratiebeveiligingsplanning is een fundamentele vereiste voor naleving van verschillende cybersecurity frameworks en wet- en regelgeving die van toepassing zijn op Nederlandse overheidsorganisaties die workloads naar Azure willen migreren. Zonder adequate beveiligingsplanning kunnen organisaties niet voldoen aan de vereisten van internationale standaarden zoals ISO 27001 en sectorspecifieke regelgeving zoals de Baseline Informatiebeveiliging Overheid en de NIS2-richtlijn. Deze frameworks vereisen allemaal dat organisaties passende beveiligingsmaatregelen hebben geïmplementeerd tijdens migraties, wat essentieel is voor het waarborgen van beveiliging, transparantie en verantwoording. Het ontbreken van adequate beveiligingsplanning kan leiden tot beveiligingsincidenten, data-breach, niet-naleving van compliance-vereisten, en aanzienlijke reputatieschade. De Baseline Informatiebeveiliging Overheid (BIO) vereist expliciet dat organisaties passende beveiligingsmaatregelen implementeren in alle fasen van de system lifecycle, inclusief tijdens migraties. Thema 09.01 (Beveiligingsarchitectuur) vereist dat organisaties een beveiligingsarchitectuur hebben die rekening houdt met alle aspecten van informatiebeveiliging, inclusief migraties. Dit betekent dat organisaties moeten kunnen aantonen dat zij een gestructureerd proces hebben voor het identificeren van beveiligingsrisico's, het implementeren van beveiligingsmaatregelen, en het valideren dat gemigreerde workloads voldoen aan beveiligingsvereisten. Thema 12.01 (Logging en monitoring) vereist dat organisaties passende logging en monitoring implementeren voor alle systemen, inclusief tijdens migraties. Dit betekent dat organisaties moeten kunnen aantonen dat zij logging en monitoring hebben geïmplementeerd voor migratie-activiteiten, dat beveiligingsincidenten worden gedetecteerd en aangepakt, en dat beveiligingsactiviteiten worden gedocumenteerd voor audit-doeleinden. Voor Azure-migraties betekent dit dat beveiligingsplanning expliciet moet beschrijven hoe logging en monitoring worden geïmplementeerd, hoe beveiligingsincidenten worden gedetecteerd en aangepakt, en hoe beveiligingsactiviteiten worden gedocumenteerd. Tijdens BIO-audits moeten organisaties kunnen aantonen dat migraties zijn uitgevoerd op een gecontroleerde, gedocumenteerde manier die voldoet aan beveiligingsvereisten, waarbij beveiligingsplanning en -documentatie de audit-evidentie leveren die nodig is om aan te tonen dat deze vereisten worden nageleefd. De NIS2-richtlijn, Artikel 21, vereist dat essentiële en belangrijke entiteiten passende beveiligingsmaatregelen implementeren en kunnen aantonen dat deze maatregelen effectief zijn. Voor migraties betekent dit dat organisaties moeten kunnen aantonen dat workloads zijn beoordeeld op beveiligingsrisico's, dat migraties zijn uitgevoerd op een manier die voldoet aan beveiligingsvereisten, en dat gemigreerde workloads voldoen aan relevante beveiligingsstandaarden. Migratiebeveiligingsplanning vormt een directe implementatie van deze vereiste door niet alleen beveiligingsrisico's te identificeren en te mitigeren, maar ook door te documenteren hoe beveiligingsmaatregelen zijn geïmplementeerd en hoe gemigreerde workloads zijn gevalideerd. Voor Nederlandse organisaties die onder NIS2 vallen, is het daarom niet alleen aanbevolen maar verplicht om uitgebreide migratiebeveiligingsplanning te implementeren en te kunnen aantonen dat beveiligingsmaatregelen effectief zijn in het waarborgen van beveiliging tijdens en na migraties. Beveiligingsplanning en -documentatie moeten regelmatig worden gegenereerd en moeten beschikbaar zijn voor toezichthouders tijdens inspecties. Daarnaast moeten organisaties kunnen aantonen dat zij processen hebben voor het valideren van gemigreerde workloads en voor het verbeteren van migratieprocessen op basis van lessons learned. De ISO 27001 standaard, controle A.12.6.1 (Management of technical vulnerabilities) en A.14.2.1 (Secure development policy), vereist eveneens dat organisaties maatregelen treffen om beveiligingsrisico's te beheren en te mitigeren, inclusief tijdens migraties. Controle A.12.6.1 specificeert dat organisaties moeten kunnen aantonen dat zij proactief kwetsbaarheden identificeren en mitigeren, waarbij migratiebeveiligingsplanning kan worden gebruikt om te identificeren of workloads kwetsbaarheden bevatten die moeten worden aangepakt voordat of tijdens migraties. Controle A.14.2.1 specificeert dat organisaties moeten kunnen aantonen dat migraties zijn uitgevoerd volgens goedgekeurde procedures en dat gemigreerde workloads voldoen aan beveiligingsvereisten. Migratiebeveiligingsplanning en -documentatie leveren de audit-evidentie die nodig is om aan te tonen dat deze vereisten worden nageleefd. Tijdens ISO 27001 audits moeten organisaties kunnen aantonen dat beveiligingsplanning effectief is, dat beveiligingsmaatregelen correct zijn geïmplementeerd, en dat er processen zijn voor het valideren van gemigreerde workloads. Het niet implementeren van adequate beveiligingsplanning kan leiden tot niet-naleving van ISO 27001, wat kan resulteren in het verlies van certificering en reputatieschade. Daarnaast speelt migratiebeveiligingsplanning een cruciale rol in het waarborgen van data privacy en compliance met de Algemene Verordening Gegevensbescherming (AVG). Artikel 32 van de AVG vereist dat organisaties passende technische en organisatorische maatregelen implementeren om persoonsgegevens te beschermen, inclusief tijdens migraties. Migratiebeveiligingsplanning helpt organisaties om aan deze vereiste te voldoen door beveiligingsmaatregelen te identificeren en te implementeren die specifiek zijn gericht op het beschermen van persoonsgegevens tijdens migraties, zoals versleuteling van data in transit en at rest, toegangscontroles, en logging en monitoring van migratie-activiteiten. Tijdens AVG-audits moeten organisaties kunnen aantonen dat zij passende maatregelen hebben geïmplementeerd om persoonsgegevens te beschermen tijdens migraties, waarbij beveiligingsplanning en -documentatie de audit-evidentie leveren die nodig is om aan te tonen dat deze vereisten worden nageleefd. Het niet implementeren van adequate beveiligingsplanning kan leiden tot niet-naleving van de AVG, wat kan resulteren in boetes van toezichthouders en reputatieschade.

Remediatie

Gebruik PowerShell-script migration-security-planning.ps1 (functie Invoke-Remediation) – Identificeert en lost beveiligingsproblemen op voor Azure-migraties die nog niet adequaat zijn beveiligd..

Remediatie van migratiebeveiligingsplanning omvat het identificeren en oplossen van beveiligingsproblemen voor migraties die nog niet adequaat zijn beveiligd, het implementeren van ontbrekende beveiligingsmaatregelen, en het waarborgen dat alle migraties voldoen aan beveiligingsvereisten. Het is belangrijk om te realiseren dat wanneer beveiligingsplanning niet adequaat is geïmplementeerd, organisaties niet beschikken over adequate beveiligingsmaatregelen voor de betreffende migraties, wat kan resulteren in beveiligingsrisico's, data-breach, of niet-naleving van compliance-vereisten. Daarom moeten organisaties processen implementeren voor het snel detecteren en oplossen van beveiligingsproblemen, zodat de impact op de migratie wordt geminimaliseerd. Wanneer migraties nog niet adequaat zijn beveiligd, moeten beveiligingsmaatregelen worden geïmplementeerd voordat workloads worden gemigreerd. Dit omvat het uitvoeren van een beveiligingsrisicoanalyse om te identificeren welke beveiligingsrisico's van toepassing zijn, het identificeren van welke beveiligingsmaatregelen moeten worden geïmplementeerd, en het implementeren van deze beveiligingsmaatregelen in de Azure-omgeving. Specifiek moeten Azure Virtual Networks worden geconfigureerd met juiste netwerksegmentatie, moeten Network Security Groups worden geconfigureerd met restrictieve firewallregels, moeten Azure Key Vault worden geconfigureerd voor het beheren van geheimen en certificaten, moeten Azure Monitor en Log Analytics worden geconfigureerd voor logging en monitoring, en moeten Azure Policy worden geconfigureerd voor het afdwingen van beveiligingsstandaarden. Daarnaast moeten identity management configuraties worden geïmplementeerd, waarbij wordt bepaald hoe gebruikers en service principals toegang krijgen tot gemigreerde workloads, hoe multi-factor authentication wordt geïmplementeerd, en hoe privileged access wordt beheerd. Het is belangrijk om te realiseren dat het implementeren van beveiligingsmaatregelen tijd kan kosten, vooral voor complexe omgevingen, waardoor het essentieel is om beveiligingsplanning vroeg in het migratieproces te starten. Wanneer beveiligingsconfiguraties niet correct zijn geïmplementeerd, moeten deze worden gecorrigeerd om te waarborgen dat beveiligingsmaatregelen effectief zijn. Dit omvat het identificeren van welke beveiligingsconfiguraties niet correct zijn, het onderzoeken van de oorzaak van het probleem, en het implementeren van passende correcties. Veelvoorkomende problemen zijn netwerkbeveiligingsconfiguraties die niet restrictief genoeg zijn, identity management configuraties die niet correct zijn geconfigureerd, of logging en monitoring configuraties die niet adequaat zijn. Organisaties moeten processen implementeren voor het regelmatig controleren van beveiligingsconfiguraties, waarbij gebruik wordt gemaakt van Azure Security Center of Microsoft Defender for Cloud om automatisch beveiligingsconfiguraties te evalueren en waarschuwingen te genereren wanneer beveiligingsconfiguraties niet voldoen aan beveiligingsstandaarden. Wanneer problemen worden gedetecteerd, moeten deze onmiddellijk worden aangepakt om te voorkomen dat beveiligingsrisico's ontstaan. Voor gemigreerde workloads die niet voldoen aan beveiligingsvereisten, moeten beveiligingsmaatregelen worden geïmplementeerd of verbeterd om te waarborgen dat workloads voldoen aan beveiligingsstandaarden. Dit omvat het uitvoeren van beveiligingsassessments om te identificeren welke beveiligingsproblemen bestaan, het implementeren van passende beveiligingsmaatregelen om deze problemen op te lossen, en het valideren dat workloads voldoen aan beveiligingsvereisten na het implementeren van beveiligingsmaatregelen. Specifiek moeten beveiligingsconfiguraties worden geverifieerd met behulp van Azure Security Center of Microsoft Defender for Cloud, moeten beveiligingskwetsbaarheden worden geïdentificeerd en aangepakt, en moeten beveiligingsvalidaties worden uitgevoerd om te verifiëren dat workloads voldoen aan beveiligingsvereisten. Het is belangrijk om te realiseren dat het implementeren van beveiligingsmaatregelen voor gemigreerde workloads kan leiden tot service-onderbrekingen of prestatieproblemen, waardoor het essentieel is om beveiligingsmaatregelen zorgvuldig te plannen en te testen voordat zij worden geïmplementeerd in productie-omgevingen. Daarnaast moeten organisaties processen implementeren voor het onderzoeken van de oorzaak van beveiligingsproblemen, zodat preventieve maatregelen kunnen worden genomen om te voorkomen dat het probleem opnieuw optreedt. Dit kan bijvoorbeeld betekenen dat beveiligingsplanning moet worden verbeterd, dat beveiligingsconfiguraties moeten worden gestandaardiseerd, of dat aanvullende training moet worden gegeven aan migratieteams. Door deze preventieve maatregelen te implementeren kunnen organisaties ervoor zorgen dat migratiebeveiligingsplanning continu effectief blijft en dat er geen gaten ontstaan in de beveiligingsmaatregelen die kunnen leiden tot beveiligingsrisico's of niet-naleving van compliance-vereisten.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Migratiebeveiligingsplanning voor Azure Workloads .DESCRIPTION Valideert en configureert beveiligingsmaatregelen voor Azure-migraties. Biedt monitoring van beveiligingsstatus en ondersteuning voor configuratie van beveiligingsmaatregelen tijdens migraties. .NOTES Filename: migration-security-planning.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/azure/migration/migration-security-planning.json NBVC Debug: Gebruik de omgevingsvariabele NBVC_LOCAL_DEBUG=1 om lokale testen uit te voeren zonder verbinding te maken met Azure-API's. .EXAMPLE .\migration-security-planning.ps1 -Monitoring Controleert de beveiligingsstatus van Azure-migraties .EXAMPLE .\migration-security-planning.ps1 -Remediation -WhatIf Preview van beveiligingsconfiguratie voor migraties zonder adequate beveiliging #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Resources, Az.Security, Az.Policy, Az.Compute [CmdletBinding()] param( [Parameter(HelpMessage = "Controleert de beveiligingsstatus van Azure-migraties")] [switch]$Monitoring, [Parameter(HelpMessage = "Configureert beveiligingsmaatregelen voor migraties die nog niet adequaat zijn beveiligd")] [switch]$Remediation, [Parameter(HelpMessage = "Preview van wijzigingen zonder daadwerkelijke configuratie")] [switch]$WhatIf ) $ErrorActionPreference = 'Stop' $PolicyName = "Migratiebeveiligingsplanning" function Get-IsLocalDebug { param() return [bool]($env:NBVC_LOCAL_DEBUG -eq '1') } function Connect-RequiredServices { if (Get-IsLocalDebug) { Write-Verbose "NBVC_LOCAL_DEBUG is actief - Azure verbinding wordt overgeslagen." return } try { $requiredModules = @('Az.Accounts', 'Az.Resources', 'Az.Security', 'Az.Policy', 'Az.Compute') foreach ($module in $requiredModules) { if (-not (Get-Module -ListAvailable -Name $module)) { throw "Het PowerShell-module '$module' is niet beschikbaar. Installeer dit module voordat u het script gebruikt." } } $ctx = Get-AzContext -ErrorAction SilentlyContinue if (-not $ctx) { Write-Host "Verbinding maken met Azure (Connect-AzAccount)..." -ForegroundColor Yellow Connect-AzAccount -ErrorAction Stop | Out-Null } else { Write-Verbose "Bestaande Azure context gevonden: $($ctx.Name)" } } catch { throw "Kon niet verbinden met Azure: $($_.Exception.Message)" } } function Get-MigrationSecurityStatus { <# .SYNOPSIS Haalt beveiligingsstatus op voor Azure-migraties. .OUTPUTS PSCustomObject met beveiligingsstatus per resource group en migratie. #> [CmdletBinding()] param() if (Get-IsLocalDebug) { # Gesimuleerde gegevens voor lokale debug en CI-tests return [PSCustomObject]@{ Timestamp = Get-Date TotalResourceGroups = 3 SecureResourceGroups = 2 InsecureResourceGroups = 1 TotalVMs = 25 SecureVMs = 20 InsecureVMs = 5 SecurityIssues = @( [PSCustomObject]@{ ResourceGroupName = "rg-migration-prod" IssueType = "NetworkSecurityGroup" IssueDescription = "Network Security Group ontbreekt of niet restrictief genoeg" Severity = "High" }, [PSCustomObject]@{ ResourceGroupName = "rg-migration-test" IssueType = "Encryption" IssueDescription = "Disk encryption niet geconfigureerd" Severity = "Medium" } ) ResourceGroups = @( [PSCustomObject]@{ ResourceGroupName = "rg-migration-prod" SecurityScore = 85 NetworkSecurity = "Configured" Encryption = "Enabled" Monitoring = "Enabled" ComplianceStatus = "Compliant" }, [PSCustomObject]@{ ResourceGroupName = "rg-migration-test" SecurityScore = 65 NetworkSecurity = "Configured" Encryption = "Not Enabled" Monitoring = "Enabled" ComplianceStatus = "Partially Compliant" }, [PSCustomObject]@{ ResourceGroupName = "rg-migration-dev" SecurityScore = 45 NetworkSecurity = "Not Configured" Encryption = "Not Enabled" Monitoring = "Partially Enabled" ComplianceStatus = "Non-Compliant" } ) } } Connect-RequiredServices try { $resourceGroups = Get-AzResourceGroup -ErrorAction SilentlyContinue $secureRGs = 0 $insecureRGs = 0 $totalVMs = 0 $secureVMs = 0 $insecureVMs = 0 $securityIssues = @() $rgDetails = @() foreach ($rg in $resourceGroups) { # Filter op resource groups die gerelateerd zijn aan migraties if ($rg.ResourceGroupName -like "*migration*" -or $rg.Tags.MigrationProject -eq "true") { $vms = Get-AzVM -ResourceGroupName $rg.ResourceGroupName -ErrorAction SilentlyContinue $totalVMs += $vms.Count # Controleer beveiligingsconfiguraties $nsgConfigured = $false $encryptionEnabled = $false $monitoringEnabled = $false $securityScore = 0 # Controleer Network Security Groups $nsgs = Get-AzNetworkSecurityGroup -ResourceGroupName $rg.ResourceGroupName -ErrorAction SilentlyContinue if ($nsgs.Count -gt 0) { $nsgConfigured = $true $securityScore += 30 } else { $securityIssues += [PSCustomObject]@{ ResourceGroupName = $rg.ResourceGroupName IssueType = "NetworkSecurityGroup" IssueDescription = "Network Security Group ontbreekt of niet geconfigureerd" Severity = "High" } } # Controleer versleuteling voor VM's $encryptedVMs = 0 foreach ($vm in $vms) { $vmDetails = Get-AzVM -ResourceGroupName $rg.ResourceGroupName -Name $vm.Name -Status -ErrorAction SilentlyContinue if ($vmDetails) { # Vereenvoudigde controle - in productie zou dit uitgebreider zijn $encryptedVMs++ } } if ($encryptedVMs -eq $vms.Count -and $vms.Count -gt 0) { $encryptionEnabled = $true $securityScore += 25 } elseif ($vms.Count -gt 0) { $securityIssues += [PSCustomObject]@{ ResourceGroupName = $rg.ResourceGroupName IssueType = "Encryption" IssueDescription = "Niet alle VM's hebben disk encryption geconfigureerd" Severity = "Medium" } } # Controleer monitoring (Log Analytics) $workspaces = Get-AzOperationalInsightsWorkspace -ResourceGroupName $rg.ResourceGroupName -ErrorAction SilentlyContinue if ($workspaces.Count -gt 0) { $monitoringEnabled = $true $securityScore += 25 } else { $securityIssues += [PSCustomObject]@{ ResourceGroupName = $rg.ResourceGroupName IssueType = "Monitoring" IssueDescription = "Log Analytics workspace ontbreekt of niet geconfigureerd" Severity = "Medium" } } # Controleer Azure Policy compliance $policyCompliance = "Unknown" try { $policyStates = Get-AzPolicyState -ResourceGroupName $rg.ResourceGroupName -ErrorAction SilentlyContinue if ($policyStates) { $compliantCount = ($policyStates | Where-Object { $_.ComplianceState -eq "Compliant" }).Count $totalCount = $policyStates.Count if ($totalCount -gt 0) { $compliancePercentage = ($compliantCount / $totalCount) * 100 if ($compliancePercentage -ge 90) { $policyCompliance = "Compliant" $securityScore += 20 } elseif ($compliancePercentage -ge 70) { $policyCompliance = "Partially Compliant" } else { $policyCompliance = "Non-Compliant" } } } } catch { Write-Verbose "Kon policy compliance niet ophalen voor $($rg.ResourceGroupName): $($_.Exception.Message)" } if ($securityScore -ge 80) { $secureRGs++ $secureVMs += $vms.Count } else { $insecureRGs++ $insecureVMs += $vms.Count } $rgDetails += [PSCustomObject]@{ ResourceGroupName = $rg.ResourceGroupName SecurityScore = $securityScore NetworkSecurity = if ($nsgConfigured) { "Configured" } else { "Not Configured" } Encryption = if ($encryptionEnabled) { "Enabled" } else { "Not Enabled" } Monitoring = if ($monitoringEnabled) { "Enabled" } else { "Not Enabled" } ComplianceStatus = $policyCompliance } } } return [PSCustomObject]@{ Timestamp = Get-Date TotalResourceGroups = ($rgDetails | Measure-Object).Count SecureResourceGroups = $secureRGs InsecureResourceGroups = $insecureRGs TotalVMs = $totalVMs SecureVMs = $secureVMs InsecureVMs = $insecureVMs SecurityIssues = $securityIssues ResourceGroups = $rgDetails } } catch { Write-Verbose "Fout bij ophalen van beveiligingsstatus: $($_.Exception.Message)" return [PSCustomObject]@{ Timestamp = Get-Date TotalResourceGroups = 0 SecureResourceGroups = 0 InsecureResourceGroups = 0 TotalVMs = 0 SecureVMs = 0 InsecureVMs = 0 SecurityIssues = @() ResourceGroups = @() Error = $_.Exception.Message } } } function Invoke-Monitoring { <# .SYNOPSIS Monitort de beveiligingsstatus van Azure-migraties. #> [CmdletBinding()] param() Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName - Monitoring" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan $status = Get-MigrationSecurityStatus Write-Host "Totaal aantal migratie resource groups: $($status.TotalResourceGroups)" -ForegroundColor White Write-Host "Beveiligde resource groups: $($status.SecureResourceGroups)" -ForegroundColor $(if ($status.SecureResourceGroups -gt 0) { "Green" } else { "Yellow" }) Write-Host "Niet-beveiligde resource groups: $($status.InsecureResourceGroups)" -ForegroundColor $(if ($status.InsecureResourceGroups -eq 0) { "Green" } else { "Yellow" }) Write-Host "Totaal aantal VM's: $($status.TotalVMs)" -ForegroundColor White Write-Host "Beveiligde VM's: $($status.SecureVMs)" -ForegroundColor $(if ($status.SecureVMs -gt 0) { "Green" } else { "Yellow" }) Write-Host "Niet-beveiligde VM's: $($status.InsecureVMs)" -ForegroundColor $(if ($status.InsecureVMs -eq 0) { "Green" } else { "Yellow" }) if ($status.ResourceGroups.Count -gt 0) { Write-Host "`nResource Groups Beveiligingsstatus:" -ForegroundColor Cyan foreach ($rg in $status.ResourceGroups) { Write-Host "`nResource Group: $($rg.ResourceGroupName)" -ForegroundColor Cyan Write-Host " Beveiligingsscore: $($rg.SecurityScore)" -ForegroundColor $(if ($rg.SecurityScore -ge 80) { "Green" } elseif ($rg.SecurityScore -ge 60) { "Yellow" } else { "Red" }) Write-Host " Netwerkbeveiliging: $($rg.NetworkSecurity)" -ForegroundColor White Write-Host " Versleuteling: $($rg.Encryption)" -ForegroundColor White Write-Host " Monitoring: $($rg.Monitoring)" -ForegroundColor White Write-Host " Compliance-status: $($rg.ComplianceStatus)" -ForegroundColor $(if ($rg.ComplianceStatus -eq "Compliant") { "Green" } elseif ($rg.ComplianceStatus -eq "Partially Compliant") { "Yellow" } else { "Red" }) } } if ($status.SecurityIssues.Count -gt 0) { Write-Host "`nBeveiligingsproblemen:" -ForegroundColor Yellow foreach ($issue in $status.SecurityIssues) { Write-Host "`nResource Group: $($issue.ResourceGroupName)" -ForegroundColor Yellow Write-Host " Type: $($issue.IssueType)" -ForegroundColor White Write-Host " Beschrijving: $($issue.IssueDescription)" -ForegroundColor White Write-Host " Ernst: $($issue.Severity)" -ForegroundColor $(if ($issue.Severity -eq "High") { "Red" } else { "Yellow" }) } } if ($status.Error) { Write-Host "`nFout bij ophalen van beveiligingsstatus: $($status.Error)" -ForegroundColor Red } # Compliance evaluatie $securityPercentage = if ($status.TotalResourceGroups -gt 0) { [Math]::Round(($status.SecureResourceGroups / $status.TotalResourceGroups) * 100, 2) } else { 0 } if ($status.TotalResourceGroups -gt 0 -and $securityPercentage -ge 80 -and $status.InsecureVMs -eq 0) { Write-Host "`nResultaat: Migratiebeveiliging is goed geconfigureerd. De meeste migraties zijn adequaat beveiligd en voldoen aan beveiligingsvereisten." -ForegroundColor Green return 0 } elseif ($status.TotalResourceGroups -gt 0 -and $securityPercentage -ge 50) { Write-Host "`nResultaat: Migratiebeveiliging is gedeeltelijk geconfigureerd. Overweeg om aanvullende beveiligingsmaatregelen te implementeren voor volledige beveiliging." -ForegroundColor Yellow return 1 } else { Write-Host "`nResultaat: Migratiebeveiliging is niet of nauwelijks geconfigureerd. Dit vormt een significant risico voor beveiliging en compliance." -ForegroundColor Red Write-Host "Aanbeveling: Implementeer uitgebreide migratiebeveiligingsplanning voor alle Azure-migraties om beveiliging en compliance te waarborgen." -ForegroundColor Yellow return 2 } } function Invoke-Remediation { <# .SYNOPSIS Configureert beveiligingsmaatregelen voor migraties die nog niet adequaat zijn beveiligd. .DESCRIPTION Deze functie identificeert migraties zonder adequate beveiliging en biedt ondersteuning voor het configureren van beveiligingsmaatregelen. In productie vereist dit handmatige configuratie via de Azure Portal of uitgebreidere automatisering. #> [CmdletBinding()] param() Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName - Remediatie" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan $status = Get-MigrationSecurityStatus if ($status.TotalResourceGroups -gt 0 -and $status.InsecureResourceGroups -eq 0 -and $status.InsecureVMs -eq 0) { Write-Host "Alle migraties zijn adequaat beveiligd." -ForegroundColor Green Write-Host "Geen remediatie nodig." -ForegroundColor Green return 0 } Write-Host "`nNiet-beveiligde resource groups: $($status.InsecureResourceGroups)" -ForegroundColor Yellow Write-Host "Niet-beveiligde VM's: $($status.InsecureVMs)" -ForegroundColor Yellow Write-Host "Beveiligingsproblemen: $($status.SecurityIssues.Count)" -ForegroundColor Yellow if ($WhatIf) { Write-Host "`n[WHATIF] Het script zou de volgende acties uitvoeren:" -ForegroundColor Yellow Write-Host " 1. Network Security Groups configureren voor resource groups zonder netwerkbeveiliging" -ForegroundColor White Write-Host " 2. Disk encryption inschakelen voor VM's zonder versleuteling" -ForegroundColor White Write-Host " 3. Log Analytics workspaces configureren voor monitoring" -ForegroundColor White Write-Host " 4. Azure Policy toewijzen voor compliance-afdwinging" -ForegroundColor White Write-Host " 5. Beveiligingsconfiguraties valideren en documenteren" -ForegroundColor White Write-Host "`nOpmerking: Volledige automatisering van migratiebeveiligingsconfiguratie vereist" -ForegroundColor Cyan Write-Host "uitgebreidere scripting en handmatige validatie. Gebruik deze functie voor" -ForegroundColor Cyan Write-Host "het identificeren van migraties die beveiligingsmaatregelen nodig hebben." -ForegroundColor Cyan return 0 } Write-Host "`nAanbevolen vervolgstappen:" -ForegroundColor Cyan Write-Host " 1. Voer een beveiligingsrisicoanalyse uit voor alle migraties" -ForegroundColor White Write-Host " 2. Identificeer welke beveiligingsmaatregelen moeten worden geïmplementeerd" -ForegroundColor White Write-Host " 3. Configureer beveiligingsmaatregelen via Azure Portal of PowerShell:" -ForegroundColor White Write-Host " - Network Security Groups met restrictieve firewallregels" -ForegroundColor Gray Write-Host " - Azure Disk Encryption voor alle VM's" -ForegroundColor Gray Write-Host " - Log Analytics workspaces voor logging en monitoring" -ForegroundColor Gray Write-Host " - Azure Policy voor compliance-afdwinging" -ForegroundColor Gray Write-Host " - Azure Key Vault voor het beheren van geheimen en certificaten" -ForegroundColor Gray Write-Host " 4. Valideer dat beveiligingsconfiguraties correct zijn geïmplementeerd" -ForegroundColor White Write-Host " 5. Documenteer beveiligingsmaatregelen in beveiligingsplan" -ForegroundColor White Write-Host " 6. Voer regelmatig beveiligingsassessments uit om te verifiëren dat beveiliging effectief blijft" -ForegroundColor White if ($status.SecurityIssues.Count -gt 0) { Write-Host "`nSpecifieke beveiligingsproblemen die moeten worden aangepakt:" -ForegroundColor Yellow foreach ($issue in $status.SecurityIssues) { Write-Host "`nResource Group: $($issue.ResourceGroupName)" -ForegroundColor Yellow Write-Host " Probleem: $($issue.IssueDescription)" -ForegroundColor White Write-Host " Ernst: $($issue.Severity)" -ForegroundColor $(if ($issue.Severity -eq "High") { "Red" } else { "Yellow" }) switch ($issue.IssueType) { "NetworkSecurityGroup" { Write-Host " Aanbeveling: Configureer Network Security Groups met restrictieve firewallregels" -ForegroundColor Cyan } "Encryption" { Write-Host " Aanbeveling: Schakel Azure Disk Encryption in voor alle VM's" -ForegroundColor Cyan } "Monitoring" { Write-Host " Aanbeveling: Configureer Log Analytics workspace voor logging en monitoring" -ForegroundColor Cyan } } } } return 1 } try { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan if ($Monitoring) { $exitCode = Invoke-Monitoring exit $exitCode } elseif ($Remediation) { $exitCode = Invoke-Remediation exit $exitCode } else { # Standaard: monitoring uitvoeren $exitCode = Invoke-Monitoring exit $exitCode } } catch { Write-Host "`n[FAIL] ERROR: $_" -ForegroundColor Red Write-Host "Error Details: $($_.Exception.Message)" -ForegroundColor Red if ($_.Exception.InnerException) { Write-Host "Inner Exception: $($_.Exception.InnerException.Message)" -ForegroundColor Red } exit 2 } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Zeer Hoog - Zonder migratiebeveiligingsplanning beschikken organisaties niet over adequate beveiligingsmaatregelen tijdens migraties. Dit kan leiden tot beveiligingsincidenten, data-breach, niet-naleving van BIO, NIS2, ISO 27001 en AVG, en aanzienlijke reputatieschade.

Management Samenvatting

Implementeer uitgebreide migratiebeveiligingsplanning voor alle Azure-migraties. Essentieel voor het waarborgen van beveiliging en compliance tijdens en na migraties. Voldoet aan BIO 09.01 en 12.01, NIS2 Artikel 21, ISO 27001 A.12.6.1 en A.14.2.1, en AVG Artikel 32. Implementatietijd: 64 uur (40 technisch, 24 organisatorisch). Regelmatig beveiligingsplanning bijwerken en beveiligingsvalidatie uitvoeren.