💼 Management Samenvatting
Azure Files Soft Delete vormt een kritieke beveiligingsmaatregel die organisaties beschermt tegen permanent gegevensverlies bij onbedoelde verwijdering van bestandsshares. Deze beveiligingsregeling waarborgt de correcte configuratie van soft delete functionaliteit en beschermt tegen beveiligingsrisico's die voortvloeien uit het permanent verlies van belangrijke bestanden en documenten.
Aanbeveling
IMPLEMENTEER FILES SOFT DELETE
Risico zonder
High
Risk Score
8/10
Implementatie
1u (tech: 0.5u)
Van toepassing op:
✓ Azure Files
Het inschakelen van soft delete voor Azure Files is essentieel voor het handhaven van een veilige omgeving en voorkomt bekende aanvalsvectoren door het afdwingen van security best practices. Zonder deze functie lopen organisaties het risico op permanent gegevensverlies bij ongelukken, kwaadaardige activiteiten zoals ransomware-aanvallen, of menselijke fouten. Soft delete biedt een veiligheidsnetwerk dat organisaties in staat stelt verwijderde bestandsshares te herstellen binnen een configureerbare bewaartermijn, waardoor kritieke bedrijfsprocessen kunnen worden voortgezet zonder onderbreking.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.opslag
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.opslag
Implementatie
Deze beveiligingsregeling schrijft voor dat soft delete voor Azure File Shares moet worden ingeschakeld met een retentieperiode van minimaal 90 dagen. Deze configuratie zorgt ervoor dat verwijderde bestandsshares niet onmiddellijk permanent worden gewist, maar gedurende de retentieperiode kunnen worden hersteld. De functie beschermt tegen zowel onbedoelde verwijderingen door geautoriseerde gebruikers als tegen kwaadaardige activiteiten die gericht zijn op het vernietigen van bedrijfsgegevens.
Vereisten en Voorbereiding
Voor het succesvol implementeren van Azure Files Soft Delete dienen organisaties te beschikken over een Azure Storage Account waarop Azure Files functionaliteit is ingeschakeld. Het storage account moet toegankelijk zijn voor beheerders die de configuratie kunnen wijzigen en de vereiste machtigingen hebben om soft delete in te schakelen. Organisaties moeten daarnaast overzicht hebben over alle bestaande File Shares binnen hun Azure omgeving om te kunnen bepalen welke shares deze beveiligingsmaatregel moeten krijgen.
Vanuit technisch perspectief vereist de implementatie van soft delete geen aanvullende Azure services of resources. De functie is beschikbaar voor alle typen storage accounts die Azure Files ondersteunen, inclusief zowel General Purpose v2 als Premium File Storage accounts. Organisaties dienen wel te beschikken over de juiste RBAC-machtigingen, specifiek de rol van Storage Account Contributor of een aangepaste rol met machtigingen voor het wijzigen van file service eigenschappen.
Voordat soft delete wordt ingeschakeld, is het raadzaam om een inventarisatie te maken van alle File Shares en hun gebruik. Deze inventarisatie helpt bij het bepalen van de optimale retentieperiode per share type. Kritieke bedrijfsdata kan bijvoorbeeld een langere retentieperiode vereisen dan tijdelijke of testomgevingen. Organisaties moeten ook rekening houden met de opslagkosten die ontstaan door de soft delete functie, aangezien verwijderde shares gedurende de retentieperiode opslagcapaciteit blijven gebruiken.
Naast technische vereisten zijn er ook organisatorische overwegingen. Beheerders moeten worden getraind in het gebruik van soft delete functionaliteit, inclusief het proces voor het herstellen van verwijderde shares. Documentatie moet worden bijgewerkt met procedures voor het beheren van soft delete instellingen en het uitvoeren van hersteloperaties. Bovendien moeten organisaties beleid ontwikkelen voor het omgaan met shares die de retentieperiode hebben bereikt en permanent moeten worden verwijderd.
Voor organisaties die voldoen aan specifieke compliance-vereisten, zoals BIO-normen of ISO 27001 certificering, moet de soft delete configuratie worden gedocumenteerd als onderdeel van het beveiligingsbeleid. Dit omvat het vastleggen van de gekozen retentieperiode, de motivatie achter deze keuze, en de procedures voor toegang tot en herstel van soft deleted shares. Deze documentatie vormt essentieel auditbewijs voor compliance-controles.
Monitoring en Controle
Gebruik PowerShell-script azure-files-soft-delete-enabled.ps1 (functie Invoke-Monitoring) – Automatische controle van soft delete configuratie.
Effectieve monitoring van Azure Files Soft Delete configuratie vereist een gestructureerde aanpak die zowel technische als organisatorische aspecten omvat. Het primaire doel van monitoring is te verzekeren dat soft delete correct is ingeschakeld voor alle productie File Shares en dat de configuratie overeenkomt met het vastgestelde beveiligingsbeleid van de organisatie.
Organisaties dienen regelmatig te controleren of soft delete daadwerkelijk is ingeschakeld voor alle relevante File Shares. Deze controle moet minimaal maandelijks worden uitgevoerd, maar voor omgevingen met frequente wijzigingen of hoge beveiligingsvereisten wordt wekelijkse of zelfs dagelijkse controle aanbevolen. Het monitoringproces moet alle storage accounts in de organisatie omvatten, inclusief accounts in verschillende Azure-abonnementen en resourcegroepen.
Bij het uitvoeren van controles moeten beheerders niet alleen verifiëren dat soft delete is ingeschakeld, maar ook de configuratie van de retentieperiode controleren. De retentieperiode moet overeenkomen met het beveiligingsbeleid van de organisatie en de compliance-vereisten die van toepassing zijn. Voor Nederlandse overheidsorganisaties die voldoen aan BIO-normen, is een minimale retentieperiode van 90 dagen vaak vereist om te voldoen aan backup- en herstelvereisten.
Naast configuratiecontroles is het belangrijk om te monitoren op daadwerkelijke soft delete gebeurtenissen. Wanneer File Shares worden verwijderd en in soft delete status terechtkomen, moeten deze gebeurtenissen worden gelogd en geanalyseerd. Patronen in verwijderingen kunnen wijzen op onjuiste configuraties, trainingstekorten bij gebruikers, of mogelijk kwaadaardige activiteiten. Monitoring van soft delete gebeurtenissen helpt organisaties proactief te reageren op potentiële problemen voordat data permanent verloren gaat.
Het monitoringproces moet worden geautomatiseerd waar mogelijk om menselijke fouten te voorkomen en consistentie te waarborgen. PowerShell scripts kunnen worden gebruikt om alle storage accounts te scannen en te rapporteren over de soft delete status. Deze scripts moeten worden geïntegreerd in bestaande monitoring- en alerting-systemen, zodat beheerders direct worden gewaarschuwd wanneer soft delete wordt uitgeschakeld of wanneer de configuratie niet overeenkomt met het beleid.
Audit logging vormt een essentieel onderdeel van het monitoringproces. Alle wijzigingen aan soft delete configuratie moeten worden vastgelegd in Azure Activity Logs, inclusief informatie over wie de wijziging heeft doorgevoerd, wanneer deze heeft plaatsgevonden, en wat de exacte wijziging was. Deze logs moeten worden bewaard volgens de compliance-vereisten van de organisatie en regelmatig worden gecontroleerd op ongebruikelijke activiteiten of ongeautoriseerde wijzigingen.
Compliance en Auditing
Azure Files Soft Delete speelt een cruciale rol bij het voldoen aan verschillende compliance-vereisten en beveiligingsstandaarden die van toepassing zijn op Nederlandse overheidsorganisaties en andere publieke sector organisaties. De implementatie van deze functie draagt direct bij aan het waarborgen van gegevensbescherming, beschikbaarheid en herstelbaarheid van kritieke informatiebestanden.
Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid (BIO) van toepassing. BIO-controle 12.03 (Backup) vereist dat organisaties beschikken over adequate backup- en herstelprocedures die bescherming bieden tegen gegevensverlies. Soft Delete voor Azure Files vormt een essentiële component van deze backup-strategie, omdat het automatische bescherming biedt tegen onbedoelde verwijderingen zonder dat handmatige backup-interventies vereist zijn. De functie vult traditionele backup-systemen aan door onmiddellijke bescherming te bieden tegen verwijderingen, terwijl backups vooral beschermen tegen fysieke schade, corruptie, of grootschalige uitval.
ISO 27001:2022 controle A.8.13 (Information backup) vereist dat organisaties regelmatig back-ups maken van informatie, software en systemen, en dat deze back-ups regelmatig worden getest. Soft Delete voor Azure Files draagt bij aan deze vereiste door een automatisch herstelmechanisme te bieden voor verwijderde bestandsshares. Hoewel soft delete geen vervanging is voor volledige backup-systemen, vormt het wel een belangrijke eerste verdedigingslinie die snel herstel mogelijk maakt zonder dat volledige backup-restore procedures nodig zijn.
Vanuit AVG-perspectief (Algemene Verordening Gegevensbescherming) helpt soft delete organisaties te voldoen aan hun verantwoordelijkheden voor gegevensbescherming. Artikel 32 van de AVG vereist passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen. Het voorkomen van permanent gegevensverlies door onbedoelde verwijdering is een belangrijke beveiligingsmaatregel die bijdraagt aan deze vereiste. Bovendien kan soft delete helpen bij het voldoen aan het recht op gegevenswissing (artikel 17 AVG) door gecontroleerde verwijdering mogelijk te maken waarbij verwijderde data nog kan worden hersteld als dit onterecht heeft plaatsgevonden.
Voor audit-doeleinden moeten organisaties kunnen aantonen dat soft delete correct is geconfigureerd en actief wordt beheerd. Dit omvat documentatie van de gekozen retentieperiode en de motivatie hiervoor, logs van configuratiewijzigingen, en rapportages over het gebruik van soft delete functionaliteit. Audit-evidence moet worden bewaard gedurende de vereiste compliance-retentieperiode, die voor Nederlandse overheidsorganisaties vaak minimaal zeven jaar bedraagt voor financieel en operationeel relevante informatie.
Organisaties moeten er ook voor zorgen dat soft delete configuratie consistent is met andere compliance-vereisten, zoals gegevensbewaarplichten. Wanneer organisaties verplicht zijn bepaalde gegevens te bewaren voor een specifieke periode, moet de soft delete retentieperiode minimaal deze vereiste periode dekken. Omgekeerd moet soft delete worden afgewogen tegen privacy-vereisten die kunnen vereisen dat gegevens definitief worden verwijderd wanneer de bewaartermijn is verstreken.
Remediatie en Herstel
Gebruik PowerShell-script azure-files-soft-delete-enabled.ps1 (functie Invoke-Remediation) – Automatische inschakeling van soft delete.
Wanneer monitoring aangeeft dat Azure Files Soft Delete niet is ingeschakeld of niet correct is geconfigureerd, is snelle remediatie essentieel om het risico op gegevensverlies te beperken. Het remediatieproces moet worden uitgevoerd met zorgvuldige planning om te voorkomen dat bestaande File Shares worden verstoord of dat gebruikers tijdelijk geen toegang hebben tot hun bestanden.
De eerste stap in het remediatieproces is het identificeren van alle storage accounts en File Shares die soft delete nog niet hebben ingeschakeld. Dit vereist een volledige inventarisatie van de Azure-omgeving, waarbij alle storage accounts worden gecontroleerd die Azure Files functionaliteit gebruiken. Organisaties moeten rekening houden met storage accounts in alle abonnementen, resourcegroepen en Azure-regio's waar ze actief zijn.
Voor elke storage account die soft delete nog niet heeft ingeschakeld, moet de configuratie worden gewijzigd met een geschikte retentieperiode. De keuze voor de retentieperiode moet gebaseerd zijn op het beveiligingsbeleid van de organisatie, compliance-vereisten, en de aard van de data die in de File Shares wordt opgeslagen. Nederlandse overheidsorganisaties worden doorgaans geadviseerd een minimale retentieperiode van 90 dagen te gebruiken om te voldoen aan BIO-vereisten en adequate bescherming te bieden tegen zowel onbedoelde verwijderingen als kwaadaardige activiteiten zoals ransomware.
Tijdens het remediatieproces is communicatie met stakeholders essentieel. Gebruikers en applicatie-eigenaren moeten op de hoogte worden gesteld van de wijzigingen, vooral omdat het inschakelen van soft delete geen directe impact heeft op de functionaliteit, maar wel op de manier waarop verwijderingen worden verwerkt. Training kan nodig zijn om gebruikers te informeren over de soft delete functionaliteit en hoe ze verwijderde shares kunnen herstellen indien nodig.
Na het inschakelen van soft delete moet worden geverifieerd dat de configuratie correct is toegepast. Dit omvat het controleren van de retentieperiode-instelling, het verifiëren dat de configuratie persistent is en niet automatisch wordt teruggedraaid, en het testen van de functionaliteit door een test share te verwijderen en te controleren of deze in soft delete status terechtkomt. Dergelijke verificatiestappen zijn essentieel om te verzekeren dat de remediatie succesvol is geweest en dat de beveiliging daadwerkelijk is verbeterd.
Voor bestaande File Shares die al zijn verwijderd vóór de implementatie van soft delete, is herstel niet mogelijk. Dit benadrukt het belang van het zo snel mogelijk inschakelen van deze functie. Organisaties moeten echter wel een plan ontwikkelen voor het omgaan met toekomstige verwijderingen, inclusief procedures voor het herstellen van soft deleted shares en het bepalen wanneer shares definitief moeten worden verwijderd na het verstrijken van de retentieperiode.
Het remediatieproces moet worden gedocumenteerd als onderdeel van de compliance-documentatie. Dit omvat het vastleggen van welke storage accounts zijn bijgewerkt, wanneer de wijzigingen zijn doorgevoerd, wie verantwoordelijk was voor de implementatie, en welke retentieperiode is gekozen. Deze documentatie vormt belangrijk audit-evidence en helpt bij het onderhouden van een duidelijk overzicht van de beveiligingsconfiguratie binnen de organisatie.
Compliance & Frameworks
- BIO: 12.03 - Backup
- ISO 27001:2022: A.8.13 - Information backup
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Azure Files Soft Delete Enabled
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 3.2
Controleert of soft delete is ingeschakeld voor Azure Files.
.NOTES
Filename: azure-files-soft-delete-enabled.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 3.2
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Storage
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Azure Files Soft Delete Enabled"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$storageAccounts = Get-AzStorageAccount -ErrorAction SilentlyContinue
$result = @{ TotalAccounts = $storageAccounts.Count; WithFileSoftDelete = 0 }
foreach ($account in $storageAccounts) {
$fileService = Get-AzStorageFileServiceProperty -ResourceGroupName $account.ResourceGroupName -StorageAccountName $account.StorageAccountName -ErrorAction SilentlyContinue
if ($fileService.ShareDeleteRetentionPolicy.Enabled) {
$result.WithFileSoftDelete++
}
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Storage Accounts: $($r.TotalAccounts)" -ForegroundColor White
Write-Host "With File Soft Delete: $($r.WithFileSoftDelete)" -ForegroundColor $(if ($r.WithFileSoftDelete -eq $r.TotalAccounts) { 'Green' } else { 'Yellow' })
}
else {
$r = Test-Compliance
Write-Host "`nFile Soft Delete: $($r.WithFileSoftDelete)/$($r.TotalAccounts) accounts"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Storage Accounts: $($r.TotalAccounts)" -ForegroundColor White
Write-Host "With File Soft Delete: $($r.WithFileSoftDelete)" -ForegroundColor $(if ($r.WithFileSoftDelete -eq $r.TotalAccounts) { 'Green' } else { 'Yellow' })
}
else {
$r = Test-Compliance
Write-Host "`nFile Soft Delete: $($r.WithFileSoftDelete)/$($r.TotalAccounts) accounts"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder soft delete lopen organisaties het risico op permanent gegevensverlies bij onbedoelde verwijdering van bestandsshares. In het geval van ransomware-aanvallen waarbij aanvallers bestandsshares verwijderen, is zonder soft delete herstel niet mogelijk. Compliance-vereisten zoals BIO 10.01 en BIO 12.03 worden niet nageleefd zonder adequate bescherming tegen gegevensverlies. Het risico op data loss is hoog en kan leiden tot verstoring van kritieke bedrijfsprocessen en aanzienlijke financiële en reputatieschade.
Management Samenvatting
Azure Files Soft Delete moet worden ingeschakeld voor alle File Shares met een aanbevolen retentieperiode van minimaal 90 dagen. Deze functie maakt herstel van verwijderde shares mogelijk en biedt bescherming tegen ransomware-aanvallen. Activatie verloopt via Storage Account → File shares → Soft delete. De functie is kosteneffectief met minimale opslagkosten. Implementatie is verplicht volgens BIO 10.01 en BIO 12.03 en kan binnen 30 minuten worden voltooid. Essentiële beveiliging voor bestandsshare bescherming.
- Implementatietijd: 1 uur
- FTE required: 0.01 FTE