BIO 12.03 ISO A.8.13

Onveranderlijke Opslagconfiguratie

📅 2025-01-27
⏱️ 8 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Onveranderlijke opslagconfiguratie vormt de technische basis voor het implementeren van WORM-principes (Write Once Read Many) in Azure Storage omgevingen. Deze configuratie waarborgt dat kritieke gegevens zoals backups, audit logs en compliance-documenten volledig beschermd zijn tegen wijziging, verwijdering en ransomware-aanvallen gedurende een vooraf bepaalde periode. Voor Nederlandse overheidsorganisaties die moeten voldoen aan strikte compliance-vereisten zoals BIO-normen, ISO 27001 en sector-specifieke regelgeving, is een correcte configuratie van onveranderlijke opslag essentieel voor het handhaven van gegevensintegriteit en het voldoen aan archiveringsvereisten.

Aanbeveling
IMPLEMENTEER VOOR KRITIEKE GEGEVENS
Risico zonder
High
Risk Score
8/10
Implementatie
8u (tech: 5u)
Van toepassing op:
Azure opslag

Het correct configureren van onveranderlijke opslag is van levensbelang voor organisaties die werken met kritieke gegevens die bescherming vereisen tegen onbevoegde wijzigingen, ransomware-aanvallen en accidentele verwijdering. Zonder een juiste configuratie kunnen organisaties niet garanderen dat hun gegevens daadwerkelijk onveranderlijk zijn, wat leidt tot significante compliance-risico's en het verlies van de laatste verdedigingslinie tegen gegevensverlies. Een onjuiste configuratie kan ertoe leiden dat gegevens als onveranderlijk worden beschouwd terwijl ze in werkelijkheid nog steeds kunnen worden gewijzigd of verwijderd, wat catastrofale gevolgen kan hebben voor organisaties die afhankelijk zijn van deze bescherming voor compliance-doeleinden. Daarnaast is een correcte configuratie essentieel voor het voldoen aan regelgeving zoals SEC 17a-4 en FINRA voor financiële instellingen, waarbij auditors specifiek zullen controleren of de configuratie technisch correct is geïmplementeerd en of deze daadwerkelijk de vereiste bescherming biedt.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Storage

Implementatie

Onveranderlijke opslagconfiguratie omvat het volledige proces van het voorbereiden, configureren en valideren van onveranderlijke opslagfunctionaliteit in Azure Storage accounts en containers. Dit proces begint met het inschakelen van vereiste functies zoals blob versioning en change feed, gevolgd door het configureren van de juiste toegangsrechten en RBAC-rollen voor beheerders die verantwoordelijk zijn voor het beheren van onveranderlijke beleidsregels. De configuratie omvat ook het bepalen van de juiste bewaartermijnen op basis van compliance-vereisten, het selecteren van het juiste type onveranderlijke beleidsregel (tijdgebaseerd of juridisch), en het implementeren van monitoring en alerting om te waarborgen dat de configuratie correct blijft functioneren. Daarnaast omvat configuratie het documenteren van alle keuzes en instellingen voor audit-doeleinden, het testen van de configuratie in een gecontroleerde omgeving voordat deze wordt toegepast op productiegegevens, en het implementeren van processen voor het beheren van de configuratie gedurende de gehele levenscyclus van de onveranderlijke opslag.

Vereisten

Het configureren van onveranderlijke opslag in Azure Storage vereist een grondige voorbereiding en het vervullen van specifieke technische, organisatorische en compliance-vereisten die essentieel zijn voor een succesvolle implementatie. Deze vereisten vormen de fundering waarop de onveranderlijke opslagfunctionaliteit kan worden gebouwd en waarborgen dat de geconfigureerde instellingen daadwerkelijk de beoogde bescherming bieden tegen onbevoegde wijzigingen, verwijderingen en ransomware-aanvallen. De eerste en meest fundamentele technische vereiste betreft het Azure Storage account zelf. Organisaties moeten beschikken over een geldig Azure Storage account van het type General Purpose v2 of BlobStorage, waarbij het account moet zijn geconfigureerd met de juiste prestatie-tier en redundantie-opties. Het is cruciaal om te verifiëren dat het gekozen Azure-regio onveranderlijke opslagfunctionaliteit ondersteunt, aangezien niet alle regio's deze functionaliteit beschikbaar hebben. Voor Nederlandse overheidsorganisaties die moeten voldoen aan data residency-vereisten, betekent dit dat ze moeten kiezen voor een regio binnen de Europese Unie, zoals West-Europa of Noord-Europa, waarbij ze moeten verifiëren dat deze regio's onveranderlijke opslag ondersteunen voordat ze de configuratie starten. Een absolute voorwaarde voor het configureren van onveranderlijke opslag is het inschakelen van blob versioning op het storage account. Blob versioning vormt een essentiële technische component die automatisch eerdere versies van blobs behoudt wanneer deze worden gewijzigd of overschreven. Deze functionaliteit is onmisbaar omdat het systeem in staat moet zijn om versies te beheren, te beschermen en te controleren. Zonder blob versioning kunnen onveranderlijke opslagbeleidsregels simpelweg niet worden geconfigureerd, omdat het onderliggende systeem geen mechanisme heeft om wijzigingen te detecteren, te voorkomen of te registreren. Het inschakelen van versioning heeft echter ook significante implicaties voor de opslagkosten, aangezien meerdere versies van blobs worden bewaard. Organisaties moeten daarom een grondige kostenanalyse uitvoeren voordat versioning wordt geactiveerd, met name op storage accounts die grote hoeveelheden gegevens bevatten. Deze kostenanalyse moet rekening houden met de frequentie van wijzigingen, het aantal blob-objecten, en de verwachte retentieperiode voor versies. De toegangscontrole en autorisatie vormen een ander cruciaal aspect van de configuratievereisten. De gebruiker of service principal die verantwoordelijk is voor het configureren van onveranderlijke opslag moet beschikken over de juiste Azure Role-Based Access Control (RBAC) rollen. Voor het daadwerkelijk configureren van onveranderlijke beleidsregels op containers zijn minimaal de rollen Storage Blob Data Contributor of Storage Blob Data Owner vereist. Voor het beheren van accountniveau-instellingen zoals het inschakelen van blob versioning is de rol Storage Account Contributor nodig. Organisaties moeten ervoor zorgen dat deze rollen zijn toegewezen volgens het principe van least privilege, waarbij gebruikers alleen de minimale rechten krijgen die nodig zijn voor het uitvoeren van hun specifieke taken. Daarnaast is het aanbevolen om Privileged Identity Management (PIM) te gebruiken voor rollen die onveranderlijke opslag kunnen configureren, zodat toegang tijdelijk is en wordt geaudit. Een belangrijk technisch aspect dat organisaties moeten begrijpen, betreft de manier waarop onveranderlijke opslagconfiguratie werkt met bestaande gegevens. Onveranderlijke opslagbeleidsregels kunnen alleen worden toegepast op nieuwe blobs of op bestaande blobs die nog geen actieve onveranderlijke beleidsregel hebben geconfigureerd. Dit betekent dat bestaande blobs die al een actieve onveranderlijke beleidsregel hebben, niet kunnen worden gewijzigd of verwijderd totdat de beleidsregel verloopt of expliciet wordt verwijderd, indien dit is toegestaan door de configuratie. Voor organisaties die containers hebben met bestaande gegevens die bescherming nodig heeft, kan dit betekenen dat gegevens moeten worden gemigreerd naar nieuwe containers waarop onveranderlijke beleidsregels kunnen worden geconfigureerd vanaf het moment van creatie. Deze migratie moet zorgvuldig worden gepland om ervoor te zorgen dat er geen gegevensverlies optreedt en dat de integriteit van de gegevens wordt behouden tijdens het migratieproces. Naast de technische vereisten zijn er ook belangrijke organisatorische overwegingen die aandacht verdienen. Organisaties moeten een duidelijk en gedetailleerd beleid ontwikkelen over welke containers onveranderlijke opslag nodig hebben, welke bewaartermijnen van toepassing zijn, en hoe deze configuratie wordt beheerd gedurende de levenscyclus. Dit beleid moet worden afgestemd op compliance-vereisten, organisatorisch archiveringsbeleid, en de specifieke aard van de gegevens die worden bewaard. Het beleid moet ook duidelijke richtlijnen bevatten over wie verantwoordelijk is voor het configureren van onveranderlijke opslag, wie toestemming moet geven voor configuratiewijzigingen, en hoe configuratiefouten of problemen moeten worden opgelost. Daarnaast is het essentieel om procedures te ontwikkelen voor het beheren van onveranderlijke opslagconfiguratie, inclusief het monitoren van wanneer beleidsregels verlopen, het beslissen over het behouden of verwijderen van gegevens na het verlopen van de bewaartermijn, en het beheren van juridische bewaarbeleidsregels. Voor compliance-doeleinden moeten organisaties ook uitgebreide documentatie ontwikkelen die aantoont hoe onveranderlijke opslag is geconfigureerd, waarom bepaalde keuzes zijn gemaakt, en hoe de configuratie voldoet aan specifieke compliance-vereisten. Deze documentatie is essentieel voor audits en compliance-controles, omdat auditors moeten kunnen verifiëren dat de configuratie technisch correct is en dat deze voldoet aan alle relevante regelgevingsvereisten. De documentatie moet ook procedures bevatten voor het reageren op compliance-verzoeken, zoals het recht op verwijdering onder de AVG, waarbij organisaties moeten kunnen uitleggen hoe ze balanceren tussen onveranderlijke opslag en privacy-vereisten. Tot slot vormt testen een onmisbaar onderdeel van het configuratieproces. Voordat onveranderlijke opslagconfiguratie wordt geïmplementeerd in productieomgevingen, is het sterk aanbevolen om deze eerst uitvoerig te testen in een gecontroleerde testomgeving die identiek is aan de productieomgeving. Dit stelt organisaties in staat om te begrijpen hoe de configuratie werkt in de praktijk, welke impact deze heeft op bestaande workflows en applicaties, en hoe deze kan worden beheerd en gemonitord gedurende de bewaartermijn. Testen helpt ook om eventuele configuratiefouten of onverwachte gedragingen te identificeren voordat de configuratie wordt toegepast op kritieke productiegegevens. Het testproces moet verschillende scenario's omvatten, zoals het configureren van tijdgebaseerde bewaarbeleidsregels, het configureren van juridische bewaarbeleidsregels, het testen van wat er gebeurt wanneer een beleidsregel verloopt, en het verifiëren dat gegevens daadwerkelijk niet kunnen worden gewijzigd of verwijderd wanneer een beleidsregel actief is.

Monitoring en controle

Gebruik PowerShell-script immutable-storage-configuration.ps1 (functie Invoke-Monitoring) – Controleren.

Het monitoren en controleren van onveranderlijke opslagconfiguratie vormt een essentieel onderdeel van een effectieve en robuuste beveiligingsstrategie die waarborgt dat de configuratie correct blijft functioneren en dat alle kritieke gegevens daadwerkelijk worden beschermd tegen onbevoegde wijzigingen, verwijderingen en ransomware-aanvallen. Zonder adequate monitoring kunnen organisaties niet garanderen dat hun onveranderlijke opslagconfiguratie correct is geïmplementeerd, actief blijft gedurende de gehele levenscyclus, en dat er geen onbevoegde of verdachte pogingen zijn gedaan om de configuratie te wijzigen, te verwijderen of te omzeilen. De monitoring van onveranderlijke opslagconfiguratie omvat een breed spectrum van aspecten die allemaal aandacht verdienen. Het eerste en meest fundamentele aspect betreft de verificatie dat alle vereiste accountniveau-instellingen correct zijn geconfigureerd, met name blob versioning en change feed, die beide essentieel zijn voor het functioneren van onveranderlijke opslag. Het PowerShell-script dat bij deze beveiligingscontrole hoort, kan worden gebruikt om systematisch alle storage accounts binnen een organisatie te scannen en te verifiëren dat blob versioning is ingeschakeld op alle accounts die onveranderlijke opslag gebruiken of moeten gebruiken. Deze scan moet regelmatig worden uitgevoerd, bij voorkeur wekelijks of maandelijks, om ervoor te zorgen dat versioning niet onverwacht wordt uitgeschakeld door configuratiefouten, automatische processen, of onbevoegde gebruikers. Een tweede kritiek monitoring-aspect betreft de verificatie dat geconfigureerde onveranderlijke beleidsregels nog steeds actief zijn en niet onverwacht zijn verwijderd of gewijzigd. Azure biedt uitgebreide audit logs die alle wijzigingen aan onveranderlijke opslagconfiguratie registreren, inclusief gedetailleerde informatie over wie de wijziging heeft doorgevoerd, wanneer deze wijziging heeft plaatsgevonden, en wat precies is gewijzigd. Deze audit logs moeten regelmatig worden gecontroleerd op verdachte of onbevoegde activiteiten, zoals pogingen om beleidsregels te verwijderen, de bewaartermijn te verkorten, of andere configuratiewijzigingen die de beveiliging kunnen compromitteren. Organisaties moeten alert zijn op patronen die kunnen wijzen op insider threats of gecompromitteerde accounts, zoals ongebruikelijke tijden van configuratiewijzigingen, wijzigingen door gebruikers die normaal gesproken geen toegang hebben tot deze functies, of meerdere mislukte pogingen om beleidsregels te wijzigen. Het bijhouden en monitoren van de bewaartermijnen van actieve beleidsregels vormt een derde belangrijk aspect van de monitoringstrategie. Organisaties moeten op elk moment weten wanneer beleidsregels verlopen en of er actie moet worden ondernomen voordat de bewaartermijn eindigt. Voor tijdgebaseerde bewaarbeleidsregels is het cruciaal om te monitoren wanneer de bewaartermijn verloopt, zodat organisaties tijdig kunnen beslissen of de gegevens moeten worden behouden door een nieuwe beleidsregel te configureren, of kunnen worden verwijderd in overeenstemming met het gegevensbewaarbeleid. Het niet tijdig verlengen van beleidsregels kan ertoe leiden dat kritieke gegevens onbedoeld kunnen worden verwijderd, terwijl het automatisch verlengen van beleidsregels zonder evaluatie kan leiden tot onnodige opslagkosten en problemen bij het voldoen aan privacy-vereisten zoals de AVG. Het PowerShell-script kan worden uitgebreid om waarschuwingen te genereren wanneer beleidsregels binnen een bepaalde periode verlopen, bijvoorbeeld 30 of 60 dagen voordat de bewaartermijn eindigt. Het monitoren van de configuratiestatus van containers vormt een vierde belangrijk aspect. Organisaties moeten regelmatig controleren welke containers onveranderlijke opslagbeleidsregels hebben geconfigureerd en welke containers deze nog ontberen, maar waarvan de gegevens wel bescherming nodig hebben. Dit is met name cruciaal voor containers die backups, audit logs, compliance-documenten, financiële records, of andere gevoelige en kritieke informatie bevatten. Het PowerShell-script kan worden gebruikt om systematisch alle containers te scannen en te identificeren welke containers wel en welke geen onveranderlijke beleidsregels hebben geconfigureerd, waarbij containers met kritieke gegevens maar zonder beleidsregels worden gemarkeerd als hoge prioriteit voor remediatie. Azure Monitor en Azure Log Analytics bieden krachtige tools voor het implementeren van geavanceerde monitoring en alerting voor onveranderlijke opslagconfiguratie. Organisaties kunnen geautomatiseerde waarschuwingen configureren die worden geactiveerd wanneer een beleidsregel wordt verwijderd, gewijzigd, of wanneer een container zonder beleidsregel wordt gedetecteerd die kritieke gegevens bevat. Deze waarschuwingen kunnen worden geconfigureerd met verschillende prioriteitsniveaus, waarbij kritieke waarschuwingen zoals het verwijderen van een beleidsregel onmiddellijk worden gemeld aan security teams, terwijl minder urgente waarschuwingen zoals het detecteren van een nieuwe container zonder beleidsregel kunnen worden geaggregeerd in dagelijkse of wekelijkse rapporten. Deze waarschuwingen kunnen worden geïntegreerd met bestaande security information and event management (SIEM) systemen voor centrale monitoring en correlatie met andere beveiligingsgebeurtenissen. Een laatste maar niet minder belangrijk aspect van monitoring betreft de verificatie dat geconfigureerde beleidsregels daadwerkelijk werken zoals bedoeld. Dit kan worden getest door periodiek te proberen een blob te wijzigen of te verwijderen in een container met een actieve onveranderlijke beleidsregel. Als de wijziging of verwijdering wordt toegestaan, duidt dit op een configuratiefout of een probleem met de implementatie die onmiddellijk moet worden opgelost. Deze verificatietests moeten worden uitgevoerd na de initiële configuratie van beleidsregels, en periodiek daarna om ervoor te zorgen dat de beleidsregels blijven functioneren zoals bedoeld. Het is ook belangrijk om te monitoren op nieuwe containers die mogelijk ook bescherming nodig hebben, en op wijzigingen aan bestaande configuratie die mogelijk wijzen op onbevoegde toegang of configuratiefouten.

Compliance en Audit

Onveranderlijke opslagconfiguratie speelt een cruciale en onmisbare rol bij het voldoen aan verschillende compliance-vereisten en auditstandaarden die van toepassing zijn op Nederlandse overheidsorganisaties, bedrijven en instellingen in verschillende sectoren. De correcte configuratie van onveranderlijke opslag helpt organisaties niet alleen te voldoen aan zowel nationale als internationale regelgeving en standaarden, maar biedt ook de technische en administratieve basis om deze compliance aan te tonen tijdens audits en regelgevingscontroles. Voor Nederlandse overheidsorganisaties vormt de Baseline Informatiebeveiliging Overheid (BIO) het primaire normenkader voor informatiebeveiliging. BIO controle 12.03 richt zich specifiek op gegevensbescherming en vereist dat organisaties passende maatregelen treffen om te voorkomen dat gegevens verloren gaan, vernietigd worden of onrechtmatig worden gewijzigd. Een correct geconfigureerde onveranderlijke opslag biedt een concrete en verifieerbare implementatie van deze vereiste door technisch te garanderen dat kritieke gegevens niet kunnen worden gewijzigd of verwijderd gedurende de bewaartermijn, zelfs niet door beheerders met de hoogste rechten. Dit is met name relevant voor overheidsorganisaties die verplicht zijn om bepaalde documenten en gegevens voor langere perioden te bewaren voor archiverings- en auditdoeleinden, zoals financiële administraties, juridische documenten, en besluitvormingsprocessen. De correcte configuratie zorgt ervoor dat deze gegevens niet alleen worden bewaard, maar ook dat de integriteit van de gegevens wordt gegarandeerd, wat essentieel is voor de betrouwbaarheid van archieven en de rechtsgeldigheid van documenten. De ISO 27001:2022 standaard, met name controle A.8.13 (Information backup), vereist dat organisaties regelmatig backups maken van informatie en software, en dat deze backups regelmatig worden getest om te verifiëren dat ze kunnen worden gebruikt voor hersteldoeleinden. Een correct geconfigureerde onveranderlijke opslag is essentieel voor het beschermen van deze backups tegen ransomware-aanvallen, onbevoegde wijzigingen, en accidentele of opzettelijke verwijdering. Zonder correct geconfigureerde onveranderlijke opslag kunnen backups worden versleuteld of verwijderd door aanvallers, waardoor de hele backup-strategie waardeloos wordt en organisaties hun laatste verdedigingslinie tegen gegevensverlies verliezen. Door backups te beschermen met correct geconfigureerde onveranderlijke opslag, kunnen organisaties aantonen dat ze voldoen aan de ISO 27001 vereisten voor betrouwbare, beschermde en verifieerbare backups. Dit is met name belangrijk voor organisaties die ISO 27001 certificering nastreven of behouden, omdat auditors zullen controleren of backups daadwerkelijk beschermd zijn tegen de meest relevante bedreigingen en of de configuratie technisch correct is geïmplementeerd. Voor financiële instellingen en organisaties die opereren in de Verenigde Staten of die moeten voldoen aan Amerikaanse regelgeving, zijn SEC 17a-4 en FINRA vereisten van cruciaal belang en vaak zelfs verplicht. SEC 17a-4 vereist dat financiële instellingen bepaalde records voor een periode van minimaal drie tot zes jaar onveranderlijk bewaren, waarbij onveranderlijk betekent dat de gegevens niet kunnen worden gewijzigd, verwijderd of overschreven gedurende deze periode. Deze vereiste kan alleen worden nageleefd met correct geconfigureerde onveranderlijke opslag die technisch garandeert dat gegevens niet kunnen worden gewijzigd of verwijderd gedurende de vereiste bewaartermijn. FINRA (Financial Industry Regulatory Authority) heeft vergelijkbare vereisten voor de bewaring van financiële records, en beide regelgevingsinstanties vereisen dat organisaties kunnen aantonen dat hun opslagsystemen voldoen aan deze onveranderlijkheidsvereisten en dat de configuratie technisch correct is geïmplementeerd. Correct geconfigureerde onveranderlijke opslag biedt deze garantie en maakt het mogelijk voor organisaties om te voldoen aan deze strikte regelgevingsvereisten. Bij audits en compliance-controles moeten organisaties kunnen aantonen dat ze voldoen aan deze compliance-vereisten door middel van concrete bewijsstukken en audit trails. Correct geconfigureerde onveranderlijke opslag biedt uitgebreide audit trails en logs die aantonen wanneer configuratie is uitgevoerd, wie de configuratie heeft uitgevoerd, welke bewaartermijnen zijn ingesteld, en of er pogingen zijn gedaan om de configuratie te wijzigen of te verwijderen. Deze audit trails zijn essentieel voor het succesvol doorstaan van externe audits en compliance-controles, omdat auditors kunnen verifiëren dat de organisatie daadwerkelijk voldoet aan de vereiste beveiligingsstandaarden en dat de configuratie technisch correct is geïmplementeerd. De logs bieden ook bescherming voor de organisatie zelf, omdat ze kunnen aantonen dat eventuele problemen niet het gevolg zijn van nalatigheid of onvoldoende beveiligingsmaatregelen. Organisaties moeten ook zorgvuldig rekening houden met de Algemene Verordening Gegevensbescherming (AVG) wanneer ze onveranderlijke opslagconfiguratie implementeren. Hoewel onveranderlijke opslag gegevens beschermt tegen wijziging en verwijdering, wat belangrijk is voor gegevensintegriteit en beveiliging, moeten organisaties ook kunnen voldoen aan AVG-vereisten zoals het recht op verwijdering, ook wel bekend als het recht om vergeten te worden. Dit betekent dat organisaties een zorgvuldige balans moeten vinden tussen het beschermen van gegevens met onveranderlijke opslag en het kunnen voldoen aan AVG-verzoeken van betrokkenen. In sommige gevallen kan dit betekenen dat onveranderlijke opslag alleen wordt geconfigureerd op gegevens die niet onder de AVG vallen, zoals geanonimiseerde gegevens of gegevens die zijn verzameld voor specifieke wettelijke doeleinden. In andere gevallen kan het betekenen dat er uitzonderingen worden gemaakt voor AVG-verzoeken, waarbij de onveranderlijke beleidsregel wordt verwijderd of aangepast om te voldoen aan het verzoek van de betrokkene. Het is belangrijk om deze afwegingen te documenteren en te integreren in het privacybeleid van de organisatie. Het documenteren en koppelen van compliance-vereisten aan geconfigureerde onveranderlijke opslagconfiguratie vormt een essentieel onderdeel van effectief compliance management. Deze documentatie helpt niet alleen bij audits door duidelijk te maken waarom bepaalde configuratiekeuzes zijn gemaakt, voor hoe lang, en welke compliance-vereisten ze adresseren, maar het helpt ook bij het beheren van de configuratie gedurende de levenscyclus. Organisaties moeten regelmatig hun compliance-status controleren en verifiëren dat alle vereiste containers correct zijn geconfigureerd met onveranderlijke opslag, en dat deze configuratie voldoet aan de actuele compliance-vereisten. Dit omvat ook het monitoren van wijzigingen in regelgeving en het aanpassen van configuratie wanneer nieuwe vereisten worden geïntroduceerd of bestaande vereisten worden gewijzigd.

Remediatie

Gebruik PowerShell-script immutable-storage-configuration.ps1 (functie Invoke-Remediation) – Herstellen.

Wanneer monitoring en controles uitwijzen dat onveranderlijke opslagconfiguratie ontbreekt, onjuist is geconfigureerd, of niet meer correct functioneert, moet onmiddellijk en doortastend actie worden ondernomen om deze beveiligingskloof te herstellen. Remediatie van ontbrekende of onjuist geconfigureerde onveranderlijke opslagconfiguratie is een kritieke beveiligingsmaatregel die moet worden uitgevoerd volgens een gestructureerd en gedocumenteerd proces om ervoor te zorgen dat alle stappen correct worden uitgevoerd en dat de beveiligingsstatus van de organisatie wordt hersteld. Het remediatieproces begint met een grondige inventarisatie en identificatie van alle storage accounts en containers die onveranderlijke opslagconfiguratie nodig hebben maar deze nog niet hebben geconfigureerd of waarvan de configuratie onjuist is. Dit omvat containers die kritieke gegevens bevatten zoals backups, audit logs, compliance-documenten, financiële records, en andere gevoelige informatie die bescherming vereist tegen onbevoegde wijzigingen, verwijderingen of ransomware-aanvallen. Het PowerShell-script dat bij deze beveiligingscontrole hoort, kan worden gebruikt om automatisch alle dergelijke storage accounts en containers te identificeren en te categoriseren op basis van hun inhoud, beveiligingsvereisten, en de aard van de gegevens die ze bevatten. Deze categorisatie helpt bij het prioriteren van de remediatie-activiteiten, waarbij storage accounts en containers met de meest kritieke gegevens de hoogste prioriteit krijgen. Voor storage accounts waar blob versioning nog niet is ingeschakeld, moet dit onmiddellijk worden geactiveerd voordat onveranderlijke opslagbeleidsregels kunnen worden geconfigureerd. Het inschakelen van blob versioning is een accountniveau-instelling die kan worden uitgevoerd via de Azure Portal, Azure PowerShell, of de Azure REST API. Organisaties moeten ervoor zorgen dat de gebruiker of service principal die deze wijziging uitvoert beschikt over de juiste RBAC-rollen, specifiek de rol Storage Account Contributor. Na het inschakelen van versioning moeten organisaties een grondige kostenanalyse uitvoeren om te begrijpen wat de impact zal zijn op de maandelijkse opslagkosten, aangezien versioning automatisch historische versies bewaart van alle blob-wijzigingen. Deze kostenanalyse moet rekening houden met de frequentie van wijzigingen, het aantal blob-objecten, en de verwachte retentieperiode voor versies. Voor containers die onveranderlijke opslagbeleidsregels nodig hebben, moet zorgvuldig worden bepaald welk type beleidsregel het meest geschikt is voor het specifieke gebruiksscenario en de compliance-vereisten. Tijdgebaseerde bewaarbeleidsregels zijn bij uitstek geschikt voor gegevens die voor een vaste en bekende periode moeten worden bewaard, zoals backups die zeven jaar moeten worden bewaard voor compliance-doeleinden, of audit logs die moeten worden bewaard volgens specifieke archiveringsvereisten. Deze beleidsregels bieden voorspelbaarheid en duidelijkheid over wanneer gegevens kunnen worden verwijderd, wat belangrijk is voor kostenbeheer en compliance-planning. Juridische bewaarbeleidsregels daarentegen zijn geschikt voor gegevens die moeten worden bewaard voor juridische procedures, onderzoeken, of rechtszaken, waarbij de exacte bewaartermijn nog niet bekend is en kan variëren afhankelijk van de voortgang van de juridische procedures. Deze beleidsregels bieden de flexibiliteit die nodig is voor juridische doeleinden, terwijl ze toch de vereiste bescherming bieden. Bij het configureren van tijdgebaseerde bewaarbeleidsregels moet de juiste bewaartermijn worden gekozen op basis van een zorgvuldige afweging van compliance-vereisten, organisatorisch beleid, de aard van de gegevens, en de kostenimplicaties. Het is belangrijk om niet te kort te kiezen, omdat de bewaartermijn niet kan worden verkort zodra de beleidsregel actief is, wat betekent dat organisaties vastzitten aan de gekozen periode totdat deze verloopt. Als de bewaartermijn te kort is gekozen, kan dit leiden tot problemen bij het voldoen aan compliance-vereisten of het verliezen van gegevens die nog nodig zijn. Aan de andere kant kan het kiezen van een bewaartermijn die te lang is leiden tot onnodige opslagkosten, vooral wanneer blob versioning is ingeschakeld, en kan het problemen veroorzaken bij het voldoen aan AVG-vereisten zoals het recht op verwijdering. Organisaties moeten daarom een grondige analyse uitvoeren voordat ze de bewaartermijn vaststellen, waarbij ze rekening houden met alle relevante compliance-vereisten, organisatorisch beleid, en kostenoverwegingen. Voor containers die al gegevens bevatten, is het belangrijk om te begrijpen dat onveranderlijke beleidsregels alleen van toepassing zijn op nieuwe blobs of op bestaande blobs die nog geen onveranderlijke beleidsregel hebben geconfigureerd. Bestaande blobs kunnen niet retroactief worden beschermd met een onveranderlijke beleidsregel, tenzij ze worden gekopieerd naar een nieuwe blob of gemigreerd naar een nieuwe container. In sommige gevallen kan het nodig zijn om bestaande gegevens te migreren naar nieuwe containers met onveranderlijke beleidsregels, wat een zorgvuldige planning vereist om ervoor te zorgen dat de migratie correct wordt uitgevoerd zonder gegevensverlies of serviceonderbrekingen. Deze migratie moet worden uitgevoerd tijdens geplande onderhoudsvensters en moet worden getest voordat deze wordt toegepast op productiegegevens. Het remediatieproces moet volledig worden gedocumenteerd en geaudit om ervoor te zorgen dat alle wijzigingen kunnen worden getraceerd en geverifieerd. Dit betekent dat alle wijzigingen moeten worden geregistreerd in audit logs, inclusief wie de configuratie heeft uitgevoerd, wanneer dit is gebeurd, welke containers zijn geconfigureerd, welke bewaartermijnen zijn ingesteld, en de reden voor de configuratie. Deze documentatie is essentieel voor compliance-audits en helpt bij het begrijpen van de beveiligingsstatus van de organisatie. Het helpt ook bij het identificeren van patronen of problemen die kunnen wijzen op systematische problemen die moeten worden aangepakt. Na het configureren van onveranderlijke opslagconfiguratie moet worden geverifieerd dat de configuratie correct werkt en de beoogde bescherming biedt. Dit kan worden gedaan door te proberen een blob te wijzigen of te verwijderen in een container met een actieve onveranderlijke beleidsregel. Als de wijziging of verwijdering wordt toegestaan, duidt dit op een configuratiefout of een probleem met de implementatie die onmiddellijk moet worden opgelost. Deze verificatie moet worden uitgevoerd voor elke container waarop een beleidsregel is geconfigureerd, en de resultaten moeten worden gedocumenteerd. Het is ook belangrijk om periodiek deze verificatie te herhalen om ervoor te zorgen dat de configuratie blijft functioneren zoals bedoeld. Organisaties moeten ook een duidelijk en gedocumenteerd proces hebben voor het beheren van onveranderlijke opslagconfiguratie gedurende de gehele levenscyclus. Dit omvat het monitoren van wanneer beleidsregels verlopen, het evalueren of gegevens moeten worden behouden of verwijderd na het verlopen van de bewaartermijn, en het beheren van juridische bewaarbeleidsregels die moeten worden verwijderd wanneer juridische procedures zijn afgerond. Dit proces moet worden geïntegreerd in het algemene gegevenslevenscyclusbeheerbeleid van de organisatie en moet duidelijke richtlijnen bevatten over wie verantwoordelijk is voor het nemen van beslissingen over het behouden of verwijderen van gegevens, en welke criteria worden gebruikt om deze beslissingen te nemen. Tot slot is het belangrijk om te zorgen voor continue en proactieve monitoring na remediatie. Zelfs nadat alle vereiste containers correct zijn geconfigureerd met onveranderlijke opslag, moeten organisaties blijven monitoren op nieuwe containers die mogelijk ook bescherming nodig hebben, op wijzigingen aan bestaande configuratie die mogelijk wijzen op onbevoegde toegang of configuratiefouten, en op containers waarvan de inhoud of classificatie is gewijzigd waardoor ze nu bescherming nodig hebben. Deze continue monitoring zorgt ervoor dat de beveiligingsstatus van de organisatie op peil blijft en dat nieuwe risico's tijdig worden geïdentificeerd en aangepakt.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Immutable Storage Configuration .DESCRIPTION Controleert de configuratie van immutable storage in Azure Storage accounts. Verifieert blob versioning, change feed en immutable policies configuratie. .NOTES Filename: immutable-storage-configuration.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Storage [CmdletBinding()] param([Parameter()][switch]$Monitoring) $ErrorActionPreference = 'Stop' $PolicyName = "Immutable Storage Configuration" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } function Test-ImmutableStorageConfiguration { $storageAccounts = Get-AzStorageAccount -ErrorAction SilentlyContinue $results = @() foreach ($account in $storageAccounts) { try { $blobService = Get-AzStorageBlobServiceProperty -ResourceGroupName $account.ResourceGroupName -StorageAccountName $account.StorageAccountName -ErrorAction SilentlyContinue $accountResult = @{ StorageAccountName = $account.StorageAccountName ResourceGroupName = $account.ResourceGroupName BlobVersioningEnabled = $blobService.IsVersioningEnabled ChangeFeedEnabled = $false ContainersWithImmutablePolicies = 0 TotalContainers = 0 } # Check change feed (requires additional API call) try { $changeFeed = Get-AzStorageBlobServiceProperty -ResourceGroupName $account.ResourceGroupName -StorageAccountName $account.StorageAccountName -ErrorAction SilentlyContinue # Note: Change feed status requires specific API call, simplified here $accountResult.ChangeFeedEnabled = $false } catch { $accountResult.ChangeFeedEnabled = $false } # Check containers for immutable policies try { $containers = Get-AzStorageContainer -Context (New-AzStorageContext -StorageAccountName $account.StorageAccountName -StorageAccountKey (Get-AzStorageAccountKey -ResourceGroupName $account.ResourceGroupName -Name $account.StorageAccountName)[0].Value) -ErrorAction SilentlyContinue $accountResult.TotalContainers = $containers.Count foreach ($container in $containers) { try { $immutablePolicy = Get-AzStorageContainerImmutabilityPolicy -Context (New-AzStorageContext -StorageAccountName $account.StorageAccountName -StorageAccountKey (Get-AzStorageAccountKey -ResourceGroupName $account.ResourceGroupName -Name $account.StorageAccountName)[0].Value) -Name $container.Name -ErrorAction SilentlyContinue if ($immutablePolicy -and ($immutablePolicy.ImmutabilityPeriodSinceCreationInDays -gt 0 -or $immutablePolicy.State -eq 'Locked')) { $accountResult.ContainersWithImmutablePolicies++ } } catch { # Container may not have immutable policy, which is expected for many containers } } } catch { # Error accessing containers, log but continue } $results += $accountResult } catch { Write-Warning "Error checking storage account $($account.StorageAccountName): $_" } } return $results } try { Connect-RequiredServices if ($Monitoring) { $results = Test-ImmutableStorageConfiguration Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan if ($results.Count -eq 0) { Write-Host "Geen storage accounts gevonden." -ForegroundColor Yellow } else { $accountsWithVersioning = ($results | Where-Object { $_.BlobVersioningEnabled }).Count $totalContainers = ($results | Measure-Object -Property TotalContainers -Sum).Sum $containersWithPolicies = ($results | Measure-Object -Property ContainersWithImmutablePolicies -Sum).Sum Write-Host "Total Storage Accounts: $($results.Count)" -ForegroundColor White Write-Host "Accounts met Blob Versioning: $accountsWithVersioning/$($results.Count)" -ForegroundColor $(if ($accountsWithVersioning -eq $results.Count) { 'Green' } else { 'Yellow' }) Write-Host "Total Containers: $totalContainers" -ForegroundColor White Write-Host "Containers met Immutable Policies: $containersWithPolicies" -ForegroundColor $(if ($containersWithPolicies -gt 0) { 'Green' } else { 'Yellow' }) Write-Host "`nGedetailleerde status per account:" -ForegroundColor Cyan foreach ($result in $results) { $versioningStatus = if ($result.BlobVersioningEnabled) { "✓" } else { "✗" } $versioningColor = if ($result.BlobVersioningEnabled) { "Green" } else { "Red" } Write-Host " Account: $($result.StorageAccountName)" -ForegroundColor White Write-Host " Blob Versioning: $versioningStatus" -ForegroundColor $versioningColor Write-Host " Containers: $($result.TotalContainers) (met policies: $($result.ContainersWithImmutablePolicies))" -ForegroundColor Gray } } } else { $results = Test-ImmutableStorageConfiguration $accountsWithVersioning = ($results | Where-Object { $_.BlobVersioningEnabled }).Count Write-Host "`nImmutable Storage Configuration Status: $accountsWithVersioning/$($results.Count) accounts met blob versioning" } } catch { Write-Error $_ exit 1 } # ================================================================================ # Standaard Invoke-* Functions (Auto-generated) # ================================================================================ function Invoke-Implementation { <# .SYNOPSIS Implementeert de configuratie #> [CmdletBinding()] param() Invoke-Remediation } function Invoke-Monitoring { <# .SYNOPSIS Controleert de huidige configuratie status #> [CmdletBinding()] param() $Monitoring = $true try { Connect-RequiredServices $results = Test-ImmutableStorageConfiguration if ($Monitoring) { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan if ($results.Count -eq 0) { Write-Host "Geen storage accounts gevonden." -ForegroundColor Yellow } else { $accountsWithVersioning = ($results | Where-Object { $_.BlobVersioningEnabled }).Count $totalContainers = ($results | Measure-Object -Property TotalContainers -Sum).Sum $containersWithPolicies = ($results | Measure-Object -Property ContainersWithImmutablePolicies -Sum).Sum Write-Host "Total Storage Accounts: $($results.Count)" -ForegroundColor White Write-Host "Accounts met Blob Versioning: $accountsWithVersioning/$($results.Count)" -ForegroundColor $(if ($accountsWithVersioning -eq $results.Count) { 'Green' } else { 'Yellow' }) Write-Host "Total Containers: $totalContainers" -ForegroundColor White Write-Host "Containers met Immutable Policies: $containersWithPolicies" -ForegroundColor $(if ($containersWithPolicies -gt 0) { 'Green' } else { 'Yellow' }) Write-Host "`nGedetailleerde status per account:" -ForegroundColor Cyan foreach ($result in $results) { $versioningStatus = if ($result.BlobVersioningEnabled) { "✓" } else { "✗" } $versioningColor = if ($result.BlobVersioningEnabled) { "Green" } else { "Red" } Write-Host " Account: $($result.StorageAccountName)" -ForegroundColor White Write-Host " Blob Versioning: $versioningStatus" -ForegroundColor $versioningColor Write-Host " Containers: $($result.TotalContainers) (met policies: $($result.ContainersWithImmutablePolicies))" -ForegroundColor Gray } } } else { $accountsWithVersioning = ($results | Where-Object { $_.BlobVersioningEnabled }).Count Write-Host "`nImmutable Storage Configuration Status: $accountsWithVersioning/$($results.Count) accounts met blob versioning" } } catch { Write-Error $_ exit 1 } } function Invoke-Remediation { <# .SYNOPSIS Herstelt de configuratie naar de gewenste staat .DESCRIPTION Configureert blob versioning en verifieert immutable storage configuratie. Let op: Het configureren van immutable policies op containers vereist handmatige actie of specifieke implementatie per container. #> [CmdletBinding()] param() Write-Host "[INFO] Starting remediation for Immutable Storage Configuration..." -ForegroundColor Cyan try { Connect-RequiredServices $results = Test-ImmutableStorageConfiguration $accountsNeedingVersioning = $results | Where-Object { -not $_.BlobVersioningEnabled } if ($accountsNeedingVersioning.Count -eq 0) { Write-Host "[SUCCESS] Alle storage accounts hebben blob versioning ingeschakeld." -ForegroundColor Green } else { Write-Host "[WARNING] $($accountsNeedingVersioning.Count) storage account(s) hebben blob versioning niet ingeschakeld:" -ForegroundColor Yellow foreach ($account in $accountsNeedingVersioning) { Write-Host " - $($account.StorageAccountName) in resource group $($account.ResourceGroupName)" -ForegroundColor Gray Write-Host " [INFO] Gebruik de volgende PowerShell command om blob versioning in te schakelen:" -ForegroundColor Cyan Write-Host " Update-AzStorageBlobServiceProperty -ResourceGroupName '$($account.ResourceGroupName)' -StorageAccountName '$($account.StorageAccountName)' -IsVersioningEnabled `$true" -ForegroundColor White } } Write-Host "`n[INFO] Voor het configureren van immutable policies op containers, gebruik:" -ForegroundColor Cyan Write-Host " - Azure Portal: Storage Account → Containers → Selecteer container → Immutability policies" -ForegroundColor White Write-Host " - PowerShell: Set-AzStorageContainerImmutabilityPolicy" -ForegroundColor White Write-Host " - Zie MS Learn documentatie voor gedetailleerde instructies" -ForegroundColor White Write-Host "`n[INFO] Running monitoring check na remediatie..." -ForegroundColor Cyan Invoke-Monitoring } catch { Write-Error "Fout tijdens remediatie: $_" exit 1 } }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder correct geconfigureerde onveranderlijke opslag kunnen organisaties niet garanderen dat kritieke gegevens zoals backups, audit logs en compliance-documenten daadwerkelijk beschermd zijn tegen wijziging, verwijdering en ransomware-aanvallen. Een onjuiste configuratie kan ertoe leiden dat gegevens als onveranderlijk worden beschouwd terwijl ze in werkelijkheid nog steeds kunnen worden gewijzigd of verwijderd, wat catastrofale gevolgen kan hebben voor organisaties die afhankelijk zijn van deze bescherming voor compliance-doeleinden. Het risico is HOOG omdat zonder correct geconfigureerde onveranderlijke opslag organisaties kwetsbaar zijn voor ransomware-aanvallen die alle herstelopties kunnen elimineren, en omdat ze niet kunnen voldoen aan regelgeving zoals SEC 17a-4 en FINRA voor financiële instellingen.

Management Samenvatting

Onveranderlijke opslagconfiguratie omvat het volledige proces van het voorbereiden, configureren en valideren van onveranderlijke opslagfunctionaliteit in Azure Storage accounts en containers. Deze configuratie waarborgt dat kritieke gegevens volledig beschermd zijn tegen wijziging, verwijdering en ransomware-aanvallen. De configuratie vereist blob versioning, juiste RBAC-rollen, en zorgvuldige planning van bewaartermijnen. De functionaliteit zelf is gratis, hoewel blob versioning (een vereiste) kan leiden tot extra opslagkosten. Voor financiële instellingen is correct geconfigureerde onveranderlijke opslag verplicht voor compliance met SEC 17a-4 en FINRA regelgeving. Implementatie duurt typisch 5-8 uur, inclusief planning, configuratie, testen en verificatie. Deze maatregel is KRITISCH voor backup bescherming en moet worden geïmplementeerd voor alle containers die kritieke gegevens bevatten.