L1 BIO 05.01.01 ISO A.18.1.1 CIS Multiple

Azure Policy Toewijzingen Verificatie

📅 2025-01-15
⏱️ 10 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Verificatie van Azure Policy toewijzingen is essentieel om te garanderen dat alle abonnementen en resources zijn beschermd door de juiste beveiligings- en compliance-beleidsregels. Zonder systematische verificatie kunnen organisaties onbewust abonnementen hebben zonder toegewezen policies, wat leidt tot beveiligingshiaten en compliance-overtredingen.

Aanbeveling
IMPLEMENTEER VOOR AUTOMATISCHE GOVERNANCE VERIFICATIE
Risico zonder
High
Risk Score
8/10
Implementatie
10u (tech: 8u)
Van toepassing op:
Azure Subscriptions

Zonder verificatie van Azure Policy toewijzingen lopen organisaties aanzienlijke risico's op het gebied van governance en beveiliging. Nieuwe abonnementen worden vaak aangemaakt zonder dat policies automatisch worden toegewezen, waardoor deze abonnementen kwetsbaar zijn voor misconfiguraties. Bestaande abonnementen kunnen per ongeluk policies verliezen wanneer Management Groups worden herstructureerd of wanneer abonnementen worden verplaatst tussen organisatie-eenheden. Zonder regelmatige verificatie blijven deze problemen onopgemerkt totdat een audit wordt uitgevoerd of een beveiligingsincident plaatsvindt. Het ontbreken van policies op zelfs maar één abonnement kan leiden tot het aanmaken van niet-compliant resources die niet voldoen aan organisatiebrede beveiligingsstandaarden. Compliance-frameworks zoals ISO 27001, de BIO-normen en NIS2 vereisen expliciet dat organisaties kunnen aantonen dat beveiligingsbeleid consistent wordt toegepast over alle cloud-resources. Zonder verificatie kunnen organisaties niet bewijzen dat alle abonnementen zijn beschermd door policies, wat kan leiden tot het falen van audits en mogelijke boetes. Auditors verwachten concrete bewijzen dat policies zijn toegewezen en actief zijn op alle relevante abonnementen. Het ontbreken van deze verificatie kan worden geïnterpreteerd als een gebrek aan governance-maturiteit en kan leiden tot negatieve audit-bevindingen. Beveiligingsrisico's nemen exponentieel toe wanneer abonnementen zonder policies worden gebruikt. Zonder policies kunnen teams onbewust resources aanmaken die niet voldoen aan beveiligingsvereisten, zoals virtuele machines zonder versleuteling, opslagaccounts met openbare toegang, of databases zonder netwerkbeveiliging. Deze misconfiguraties creëren aanvalsoppervlakken die kunnen worden uitgebuit door cybercriminelen. Het risico wordt nog verergerd wanneer organisaties groeien en het aantal abonnementen toeneemt, waardoor handmatige verificatie praktisch onmogelijk wordt. Verificatie van policy-toewijzingen biedt organisaties volledige zichtbaarheid op hun governance-postuur. Door regelmatig te controleren welke policies zijn toegewezen aan welke abonnementen, kunnen security officers snel identificeren waar beveiligingshiaten bestaan en corrigerende maatregelen nemen. Deze verificatie maakt het mogelijk om proactief te reageren op problemen voordat ze escaleren tot beveiligingsincidenten of compliance-overtredingen. Geautomatiseerde verificatie kan worden geïntegreerd in bestaande monitoring- en alerting-systemen, waardoor teams onmiddellijk worden geïnformeerd wanneer abonnementen zonder policies worden gedetecteerd. Voor Nederlandse overheidsorganisaties en organisaties die moeten voldoen aan de BIO-normen is verificatie van policy-toewijzingen niet alleen een best practice maar een compliance-vereiste. Thema 05.01 van de BIO vereist dat organisaties kunnen aantonen dat beveiligingsbeleid wordt toegepast op alle informatiesystemen. Verificatie van Azure Policy toewijzingen biedt het concrete bewijs dat nodig is om aan deze vereiste te voldoen tijdens externe audits. Zonder deze verificatie kunnen organisaties niet bewijzen dat ze voldoen aan BIO-vereisten, wat kan leiden tot het verlies van certificeringen of het falen van audits.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.PolicyInsights, Az.Resources

Implementatie

Verificatie van Azure Policy toewijzingen omvat het systematisch controleren van alle Azure-abonnementen om te verifiëren dat essentiële beveiligings- en compliance-policies zijn toegewezen. Dit proces controleert of abonnementen policies hebben ontvangen via directe toewijzing of via overerving van Management Groups. De verificatie identificeert abonnementen die geen policies hebben, abonnementen met onvolledige policy-sets, en abonnementen waar policies mogelijk zijn verwijderd of verlopen. Essentiële policies die moeten worden geverifieerd omvatten de Azure Security Benchmark initiative, die meer dan honderd beveiligingscontroles bevat. Daarnaast moeten organisaties verifiëren dat specifieke kritieke policies zijn toegewezen, zoals policies voor versleuteling, netwerkbeveiliging, toegangscontrole en logging. Voor Nederlandse organisaties is het ook belangrijk om te verifiëren dat policies voor data residency en geografische beperkingen zijn toegewezen om te voldoen aan AVG-vereisten. Het verificatieproces kan worden geautomatiseerd met PowerShell-scripts die alle abonnementen doorlopen en controleren welke policies zijn toegewezen. Deze scripts kunnen worden geïntegreerd in CI/CD-pipelines of worden uitgevoerd als geplande taken om continue verificatie te garanderen. De resultaten van verificatie moeten worden gedocumenteerd en gerapporteerd aan security officers en compliance-teams voor audit-doeleinden.

Vereisten

Voordat verificatie van Azure Policy toewijzingen kan worden uitgevoerd, moeten organisaties verschillende essentiële vereisten vervullen. De eerste vereiste is toegang tot alle Azure-abonnementen binnen de organisatie. Dit vereist dat de persoon of service principal die de verificatie uitvoert, leesrechten heeft op alle relevante abonnementen. Voor grote organisaties met honderden abonnementen kan dit betekenen dat toegang moet worden verkregen via Management Groups of dat een service principal moet worden geconfigureerd met tenant-brede leesrechten. Zonder toegang tot alle abonnementen kan verificatie niet volledig zijn, wat leidt tot blinde vlekken in de governance-visibility. Een gedocumenteerde policy-strategie is essentieel om te bepalen welke policies moeten worden geverifieerd. Deze strategie moet expliciet definiëren welke policies verplicht zijn voor alle abonnementen, welke policies optioneel zijn maar aanbevolen, en welke policies alleen van toepassing zijn op specifieke omgevingen of bedrijfsonderdelen. Zonder een duidelijke strategie is het onmogelijk om te bepalen of een abonnement voldoende policies heeft toegewezen. De policy-strategie moet worden ontwikkeld in samenwerking met security officers, compliance managers en IT-beheerders, en moet regelmatig worden herzien naarmate nieuwe beveiligingsvereisten ontstaan of wanneer compliance-frameworks worden bijgewerkt. Vanuit technisch perspectief zijn de juiste PowerShell-modules een absolute vereiste. De Az.PolicyInsights en Az.Resources modules moeten zijn geïnstalleerd en bijgewerkt naar de nieuwste versies om toegang te hebben tot alle benodigde cmdlets voor policy-verificatie. Deze modules bieden de functionaliteit om policy-toewijzingen op te vragen, compliance-status te controleren, en details te verkrijgen over welke policies zijn toegewezen aan welke scopes. Zonder deze modules kan verificatie niet worden uitgevoerd, of kunnen resultaten onvolledig of onnauwkeurig zijn. Een geautomatiseerd verificatieproces vereist een platform waarop scripts kunnen worden uitgevoerd, zoals Azure Automation, een CI/CD-pipeline, of een dedicated monitoring-server. Dit platform moet toegang hebben tot Azure via een service principal of managed identity, en moet regelmatig kunnen worden uitgevoerd zonder menselijke tussenkomst. Voor organisaties die continue verificatie willen, moet het platform kunnen worden geconfigureerd om dagelijks of zelfs real-time verificatie uit te voeren. Het platform moet ook de mogelijkheid hebben om waarschuwingen te genereren wanneer problemen worden gedetecteerd, zodat teams onmiddellijk kunnen reageren op ontbrekende policies. Een rapportage- en documentatieproces is essentieel om de resultaten van verificatie vast te leggen voor audit-doeleinden. Dit proces moet duidelijk beschrijven hoe verificatieresultaten worden gedocumenteerd, waar deze worden opgeslagen, en hoe lang ze worden bewaard. Voor compliance-doeleinden moeten verificatierapporten vaak minimaal zeven jaar worden bewaard, wat betekent dat een geschikt archiefsysteem moet worden geconfigureerd. Rapporten moeten gedetailleerde informatie bevatten over welke abonnementen zijn gecontroleerd, welke policies zijn gevonden, welke policies ontbreken, en wanneer de verificatie is uitgevoerd. Deze informatie is essentieel voor auditors om te begrijpen hoe organisaties hun governance-postuur monitoren en handhaven. Ten slotte moet een remediatieproces worden gedefinieerd voor wanneer ontbrekende policies worden gedetecteerd. Dit proces moet duidelijk beschrijven wie verantwoordelijk is voor het toewijzen van ontbrekende policies, hoe snel dit moet gebeuren, en hoe wordt geverifieerd dat policies daadwerkelijk zijn toegewezen na remediatie. Zonder een gestructureerd remediatieproces kunnen ontbrekende policies onopgelost blijven, waardoor de verificatie zijn doel mist. Het remediatieproces moet ook rekening houden met uitzonderingen, waarbij sommige abonnementen legitiem geen bepaalde policies kunnen hebben vanwege technische beperkingen of bedrijfsvereisten. Deze uitzonderingen moeten worden gedocumenteerd en goedgekeurd door de juiste autoriteiten.

Implementatie

Gebruik PowerShell-script azure-policy-assigned.ps1 (functie Invoke-Implementation) – Implementeren.

Gebruik PowerShell-script azure-policy-assigned.ps1 (functie Invoke-Monitoring) – Verifieert Azure Policy toewijzingen op alle abonnementen.

De implementatie van Azure Policy toewijzing verificatie begint met het ontwikkelen van een geautomatiseerd script dat alle Azure-abonnementen binnen de organisatie doorloopt en controleert welke policies zijn toegewezen. Het script moet eerst alle actieve abonnementen ophalen, waarbij alleen abonnementen worden gecontroleerd die daadwerkelijk in gebruik zijn. Voor elk abonnement moet het script controleren welke policies direct zijn toegewezen aan het abonnement, en welke policies zijn overgeërfd van bovenliggende Management Groups. Deze informatie is essentieel omdat policies die zijn toegewezen op Management Group-niveau automatisch worden overgenomen door onderliggende abonnementen. Het verificatieproces moet controleren op de aanwezigheid van essentiële policies zoals de Azure Security Benchmark initiative. Deze initiative bevat meer dan honderd individuele policies die zijn gebaseerd op best practices en compliance-vereisten, en vormt de basis voor een veilige Azure-omgeving. Organisaties moeten verifiëren dat deze initiative is toegewezen aan alle productie-abonnementen, en idealiter ook aan niet-productie-abonnementen om consistente beveiliging te garanderen. Naast de Azure Security Benchmark moeten organisaties ook verifiëren dat specifieke kritieke policies zijn toegewezen, zoals policies voor versleuteling, netwerkbeveiliging en logging. Voor Nederlandse organisaties is het belangrijk om te verifiëren dat policies voor data residency en geografische beperkingen zijn toegewezen. Deze policies zorgen ervoor dat resources alleen worden aangemaakt in toegestane Azure-regio's, wat essentieel is voor het naleven van AVG-vereisten en nationale wetgeving. Het verificatiescript moet specifiek controleren op policies die resources beperken tot EU-regio's of specifiek tot Nederlandse datacenters, afhankelijk van de compliance-vereisten van de organisatie. Het script moet gedetailleerde rapporten genereren die duidelijk aangeven welke abonnementen policies hebben, welke abonnementen policies missen, en welke specifieke policies ontbreken. Deze rapporten moeten worden opgeslagen in een centraal archief voor audit-doeleinden en moeten regelmatig worden gecontroleerd door security officers. Het script moet ook waarschuwingen kunnen genereren wanneer kritieke policies ontbreken, zodat teams onmiddellijk kunnen reageren op beveiligingshiaten. Geautomatiseerde verificatie kan worden geïntegreerd in bestaande monitoring- en alerting-systemen. Azure Monitor kan worden gebruikt om waarschuwingen te configureren wanneer het verificatiescript ontbrekende policies detecteert. Deze waarschuwingen kunnen worden doorgestuurd naar Microsoft Teams, e-mail, of andere communicatiekanalen die worden gebruikt door security teams. Voor organisaties die gebruik maken van SIEM-systemen kunnen verificatieresultaten worden geïntegreerd in deze systemen voor gecentraliseerde monitoring en analyse. Het verificatieproces moet regelmatig worden uitgevoerd om te garanderen dat nieuwe abonnementen onmiddellijk worden gecontroleerd en dat bestaande abonnementen hun policies behouden. Voor grote organisaties met veel abonnementen wordt aanbevolen om verificatie dagelijks uit te voeren, terwijl kleinere organisaties mogelijk kunnen volstaan met wekelijkse verificatie. Het is belangrijk om verificatie uit te voeren na belangrijke wijzigingen in de organisatiestructuur, zoals wanneer abonnementen worden verplaatst tussen Management Groups of wanneer nieuwe Management Groups worden aangemaakt. Naast geautomatiseerde verificatie moeten organisaties ook periodieke handmatige reviews uitvoeren om te verifiëren dat het geautomatiseerde proces correct functioneert en om eventuele edge cases te identificeren die mogelijk niet worden gedekt door het script. Deze handmatige reviews moeten worden uitgevoerd door ervaren security officers die bekend zijn met de policy-strategie van de organisatie en die kunnen beoordelen of de verificatie volledig en accuraat is. Handmatige reviews moeten worden gedocumenteerd en de bevindingen moeten worden gebruikt om het geautomatiseerde proces te verbeteren.

Monitoring

Gebruik PowerShell-script azure-policy-assigned.ps1 (functie Invoke-Monitoring) – Controleren.

Effectieve monitoring van Azure Policy toewijzing verificatie is essentieel om te garanderen dat het verificatieproces daadwerkelijk werkt en dat organisaties op de hoogte blijven van hun governance-postuur. Het monitoringproces moet verschillende aspecten omvatten, waaronder het bijhouden van verificatieresultaten over tijd, het identificeren van trends in policy-toewijzingen, en het detecteren van afwijkingen die kunnen wijzen op problemen. Het bijhouden van verificatieresultaten over tijd maakt het mogelijk om trends te identificeren en te bepalen of de governance-postuur van de organisatie verbetert of verslechtert. Door historische data te analyseren kunnen security officers zien of het aantal abonnementen zonder policies toeneemt of afneemt, of nieuwe abonnementen consistent policies ontvangen, en of bestaande abonnementen hun policies behouden. Deze trendanalyse is waardevol voor het identificeren van systematische problemen, zoals wanneer nieuwe abonnementen consistent worden aangemaakt zonder policies, wat kan wijzen op een probleem in het provisioning-proces. Waarschuwingen moeten worden geconfigureerd om teams onmiddellijk te informeren wanneer kritieke policies ontbreken op productie-abonnementen. Deze waarschuwingen moeten worden geconfigureerd met verschillende prioriteitsniveaus, waarbij ontbrekende policies op productie-abonnementen de hoogste prioriteit krijgen, gevolgd door ontbrekende policies op niet-productie-abonnementen. Waarschuwingen moeten worden doorgestuurd naar de juiste teams, zoals security officers voor beveiligingsgerelateerde policies en compliance managers voor compliance-gerelateerde policies. Het is belangrijk om waarschuwingsmoeheid te voorkomen door waarschuwingen te configureren op een manier die alleen relevante en actievereiste meldingen genereert. Maandelijkse compliance-rapporten moeten worden gegenereerd die een overzicht bieden van de policy-toewijzing status over alle abonnementen. Deze rapporten moeten niet alleen de huidige status weergeven, maar ook trends over tijd, waardoor organisaties kunnen zien of de governance-postuur verbetert of verslechtert. Rapporten moeten worden geëxporteerd in verschillende formaten voor distributie aan stakeholders en voor archivering voor audit-doeleinden. Voor organisaties die moeten voldoen aan compliance-vereisten zoals ISO 27001 of de BIO-normen, zijn deze rapporten vaak een vereiste voor certificering. Het monitoren van nieuwe abonnementen is bijzonder belangrijk omdat deze vaak worden aangemaakt zonder dat policies automatisch worden toegewezen. Het verificatieproces moet specifiek controleren op nieuwe abonnementen en waarschuwingen genereren wanneer nieuwe abonnementen worden gedetecteerd zonder policies. Dit maakt het mogelijk om snel te reageren en policies toe te wijzen voordat resources worden aangemaakt die niet voldoen aan beveiligingsvereisten. Voor organisaties met een hoog volume van nieuwe abonnementen kan het nuttig zijn om geautomatiseerde policy-toewijzing te implementeren als onderdeel van het provisioning-proces. Het bijhouden van remediatie-activiteiten is belangrijk om te garanderen dat geïdentificeerde problemen daadwerkelijk worden opgelost. Dit omvat het documenteren van welke abonnementen policies hebben ontvangen na verificatie, wie verantwoordelijk was voor de remediatie, wanneer de remediatie is voltooid, en of de remediatie succesvol was door de verificatie opnieuw uit te voeren na voltooiing. Voor audit-doeleinden is deze documentatie essentieel om aan te tonen dat organisaties proactief omgaan met governance-problemen en dat ze een gestructureerd proces hebben voor het identificeren en oplossen van ontbrekende policies. Naast het monitoren van policy-toewijzingen moeten organisaties ook monitoren of het verificatieproces zelf correct functioneert. Dit omvat het controleren of verificatiescripts succesvol worden uitgevoerd, of er fouten optreden tijdens verificatie, en of alle abonnementen daadwerkelijk worden gecontroleerd. Problemen met het verificatieproces kunnen leiden tot blinde vlekken waarbij sommige abonnementen niet worden gecontroleerd, wat kan resulteren in onopgemerkte beveiligingshiaten. Monitoring van het verificatieproces moet worden geïntegreerd in bestaande monitoring-systemen zodat problemen snel worden gedetecteerd en opgelost.

Compliance en Audit

Verificatie van Azure Policy toewijzingen speelt een cruciale rol in het voldoen aan verschillende compliance-vereisten die van toepassing zijn op Nederlandse organisaties, met name in de publieke sector. De CIS Azure Foundations Benchmark bevat organisatorische controles die vereisen dat organisaties kunnen aantonen dat beveiligingsbeleid consistent wordt toegepast over alle cloud-resources. Verificatie van policy-toewijzingen biedt het concrete bewijs dat nodig is om aan deze vereiste te voldoen. De CIS Azure Benchmark adviseert expliciet dat organisaties regelmatig controleren of policies zijn toegewezen aan alle relevante abonnementen en resources, en dat deze verificatie wordt gedocumenteerd voor audit-doeleinden. Zonder verificatie kunnen organisaties niet bewijzen dat ze voldoen aan CIS-aanbevelingen, wat kan leiden tot negatieve audit-bevindingen. Voor organisaties die moeten voldoen aan ISO 27001, specifiek controle A.18.1.1 (Review of information security), biedt verificatie van policy-toewijzingen een mechanisme om regelmatige beoordelingen van beveiligingsvereisten te ondersteunen. ISO 27001 vereist dat organisaties regelmatig controleren of beveiligingsvereisten worden nageleefd en dat deze controles worden gedocumenteerd. Verificatie van Azure Policy toewijzingen maakt het mogelijk om te verifiëren dat beveiligingsbeleid is toegepast op alle relevante resources, en de gegenereerde rapporten kunnen worden gebruikt als bewijs voor auditors dat beveiligingsvereisten worden gecontroleerd en gehandhaafd. Het compliance-dashboard en verificatierapporten bieden de transparantie die nodig is voor ISO 27001-certificering en maken het mogelijk om trends te identificeren in nalevingsproblemen die kunnen worden aangepakt voordat ze escaleren tot compliance-overtredingen. De NIS2-richtlijn, die van toepassing is op essentiële en belangrijke entiteiten in verschillende sectoren, vereist in Artikel 21 dat organisaties beleidsmechanismen implementeren voor het afdwingen van beveiligingsmaatregelen. Verificatie van Azure Policy toewijzingen vormt een directe implementatie van deze vereiste, omdat het verifieert dat beveiligingsbeleid daadwerkelijk is toegepast op alle cloud-resources. Voor Nederlandse organisaties die onder NIS2 vallen, is het gebruik van policy-verificatie niet alleen een best practice maar een compliance-vereiste. De NIS2-richtlijn vereist expliciet dat organisaties kunnen aantonen dat beveiligingsmaatregelen consistent worden toegepast, en verificatie van policy-toewijzingen biedt het mechanisme om dit te bewijzen. Zonder verificatie kunnen organisaties niet voldoen aan NIS2-vereisten, wat kan leiden tot boetes en andere sancties. De BIO-normen, die specifiek zijn ontwikkeld voor de Nederlandse overheid, bevatten in Thema 05.01 vereisten voor informatiebeveiligingsbeleid. Dit thema benadrukt het belang van gedefinieerd en geïmplementeerd beveiligingsbeleid, en vereist dat organisaties kunnen aantonen dat dit beleid daadwerkelijk wordt toegepast. Verificatie van Azure Policy toewijzingen vertegenwoordigt de technische implementatie van deze vereiste, waarbij wordt gecontroleerd of organisatorische beveiligingsvereisten daadwerkelijk zijn vertaald naar toegewezen technische controles. Voor overheidsorganisaties die moeten voldoen aan BIO-normen, is documentatie van policy-verificatie en de resultaten daarvan een essentieel onderdeel van de audit-evidentie. De verificatierapporten die worden gegenereerd kunnen worden gebruikt om aan te tonen dat alle abonnementen zijn beschermd door policies, en dat er een gestructureerd proces bestaat voor het identificeren en oplossen van ontbrekende policies. Naast deze specifieke compliance-frameworks kunnen verificatie van Azure Policy toewijzingen ook helpen bij het voldoen aan andere relevante standaarden en regelgeving. De Algemene Verordening Gegevensbescherming (AVG) vereist bijvoorbeeld dat organisaties passende technische en organisatorische maatregelen implementeren om persoonsgegevens te beschermen. Verificatie van policy-toewijzingen kan worden gebruikt om te verifiëren dat policies voor versleuteling, toegangscontrole en andere beveiligingsmaatregelen zijn toegewezen aan alle abonnementen die persoonsgegevens verwerken. Evenzo kunnen verificatierapporten worden gebruikt om te voldoen aan sector-specifieke vereisten, zoals die voor de gezondheidszorg of financiële dienstverlening. Door verificatie te configureren die specifiek is afgestemd op de compliance-vereisten van de organisatie, kunnen organisaties ervoor zorgen dat hun cloud-omgevingen consistent voldoen aan alle relevante standaarden en regelgeving.

Remediatie

Gebruik PowerShell-script azure-policy-assigned.ps1 (functie Invoke-Remediation) – Herstellen.

Remediatie van ontbrekende Azure Policy toewijzingen vormt een kritiek onderdeel van het governance-beheerproces en vereist een gestructureerde aanpak om effectief te zijn. Wanneer verificatie ontbrekende policies detecteert, moet een duidelijk gedefinieerd remediatieproces worden gevolgd om ervoor te zorgen dat policies snel en correct worden toegewezen zonder de operationele continuïteit te verstoren. Het remediatieproces begint met het prioriteren van ontbrekende policies op basis van risico en bedrijfskritiek, waarbij productie-abonnementen zonder kritieke policies de hoogste prioriteit krijgen. Voor productie-abonnementen die essentiële policies missen, zoals de Azure Security Benchmark initiative, moet onmiddellijke remediatie worden uitgevoerd. Deze policies vormen de basis voor beveiliging en moeten aanwezig zijn op alle productie-abonnementen zonder uitzondering. Het toewijzen van policies aan productie-abonnementen moet worden uitgevoerd tijdens een geplande onderhoudsperiode wanneer mogelijk, om eventuele impact op actieve services te minimaliseren. Voordat policies worden toegewezen, moet een impactanalyse worden uitgevoerd om te bepalen welke effecten de policy-toewijzing zal hebben op bestaande resources. Sommige policies kunnen bestaande resources beïnvloeden, en het is belangrijk om te begrijpen welke impact dit zal hebben voordat policies worden toegewezen. Voor niet-productie-abonnementen kan remediatie worden uitgevoerd met minder urgentie, maar moet nog steeds binnen een redelijke tijdsperiode worden voltooid. Niet-productie-abonnementen vormen vaak een testomgeving voor nieuwe resources en configuraties, en het ontbreken van policies kan leiden tot het aanmaken van niet-compliant resources die later naar productie worden gepromoveerd. Daarom is het belangrijk om ook niet-productie-abonnementen te beschermen met policies, hoewel de urgentie lager kan zijn dan voor productie-abonnementen. Wanneer policies moeten worden toegewezen aan meerdere abonnementen, kan dit proces worden geautomatiseerd met PowerShell-scripts die alle relevante abonnementen doorlopen en policies toewijzen. Deze automatisering vermindert de kans op menselijke fouten en zorgt voor consistentie in de manier waarop policies worden toegewezen. Geautomatiseerde remediatie moet echter eerst worden getest in een niet-productieomgeving om te verifiëren dat het proces correct functioneert voordat het wordt toegepast op productie-abonnementen. Na het toewijzen van policies moet verificatie opnieuw worden uitgevoerd om te bevestigen dat policies daadwerkelijk zijn toegewezen en actief zijn. Deze verificatie moet worden uitgevoerd binnen 24 uur na remediatie om te garanderen dat het probleem is opgelost. Als verificatie nog steeds ontbrekende policies detecteert, moet het remediatieproces opnieuw worden uitgevoerd en moeten eventuele problemen worden geïdentificeerd en opgelost. Het is belangrijk om te documenteren welke policies zijn toegewezen, wanneer ze zijn toegewezen, en wie verantwoordelijk was voor de remediatie, voor audit-doeleinden. In sommige gevallen kunnen abonnementen legitiem geen bepaalde policies hebben vanwege technische beperkingen, bedrijfsvereisten, of andere geldige redenen. In deze situaties moeten uitzonderingen worden gedocumenteerd via het uitzonderingsproces dat is gedefinieerd in de policy-strategie van de organisatie. Uitzonderingen moeten worden beoordeeld en goedgekeurd door de juiste autoriteiten, zoals security officers of compliance managers, voordat ze worden geïmplementeerd. Bovendien moeten uitzonderingen regelmatig worden herbeoordeeld, bijvoorbeeld elk kwartaal of halfjaar, om te bepalen of de uitzondering nog steeds gerechtvaardigd is. Als de reden voor de uitzondering niet langer geldig is, moet de uitzondering worden ingetrokken en moeten policies worden toegewezen. Het documenteren van alle remediatie-activiteiten is cruciaal voor audit-doeleinden en voor het begrijpen van de geschiedenis van policy-toewijzingen. Alle toewijzingen van policies, wijzigingen in policy-configuraties, en uitzonderingen moeten worden vastgelegd in een changelog die duidelijk aangeeft wat er is gewijzigd, wanneer de wijziging heeft plaatsgevonden, wie de wijziging heeft geautoriseerd, en wat de reden was voor de wijziging. Deze documentatie is essentieel tijdens externe audits en helpt organisaties om te verantwoorden waarom bepaalde governance-beslissingen zijn genomen. Bovendien maakt deze documentatie het mogelijk om in de toekomst terug te gaan naar eerdere configuraties indien dat nodig mocht zijn. Na voltooiing van het remediatieproces moet een post-implementatie review worden uitgevoerd om te evalueren of de gewenste doelen zijn bereikt en of er onbedoelde neveneffecten zijn opgetreden. Deze review moet worden uitgevoerd door een multidisciplinair team dat bestaat uit security officers, cloud administrators en vertegenwoordigers van de business units die zijn beïnvloed door de wijzigingen. Tijdens deze review moeten verschillende aspecten worden geëvalueerd: of alle ontbrekende policies daadwerkelijk zijn toegewezen, of de policies correct functioneren, of er geen onbedoelde impact is op bestaande resources, en of het verificatieproces de nieuwe toewijzingen correct detecteert. De bevindingen van deze review moeten worden gedocumenteerd en gebruikt om toekomstige remediatie-activiteiten te verbeteren.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Azure Policy Toewijzingen Verificatie .DESCRIPTION Verifieert of Azure Policy toewijzingen aanwezig zijn op alle abonnementen. Controleert zowel directe toewijzingen als overerving van Management Groups. .NOTES Filename: azure-policy-assigned.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Resources, Az.PolicyInsights [CmdletBinding()] param([Parameter()][switch]$Monitoring) $ErrorActionPreference = 'Stop' $PolicyName = "Azure Policy Toewijzingen Verificatie" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } function Test-PolicyAssignments { <# .SYNOPSIS Test of alle abonnementen Azure Policy toewijzingen hebben #> $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } $results = @() $totalSubscriptions = $subscriptions.Count $subscriptionsWithPolicies = 0 $subscriptionsWithoutPolicies = 0 $totalPolicyAssignments = 0 foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null $assignments = Get-AzPolicyAssignment -ErrorAction SilentlyContinue $assignmentCount = if ($assignments) { $assignments.Count } else { 0 } $totalPolicyAssignments += $assignmentCount $hasPolicies = $assignmentCount -gt 0 if ($hasPolicies) { $subscriptionsWithPolicies++ } else { $subscriptionsWithoutPolicies++ } $results += [PSCustomObject]@{ SubscriptionName = $sub.Name SubscriptionId = $sub.Id PolicyAssignments = $assignmentCount HasPolicies = $hasPolicies } } return @{ TotalSubscriptions = $totalSubscriptions SubscriptionsWithPolicies = $subscriptionsWithPolicies SubscriptionsWithoutPolicies = $subscriptionsWithoutPolicies TotalPolicyAssignments = $totalPolicyAssignments Details = $results } } function Test-CISBenchmarkAssignment { <# .SYNOPSIS Test of Azure Security Benchmark (CIS) is toegewezen #> $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } $cisAssigned = 0 $cisNotAssigned = 0 $details = @() foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null $assignments = Get-AzPolicyAssignment -ErrorAction SilentlyContinue $hasCIS = $false if ($assignments) { $cisPolicies = $assignments | Where-Object { $_.Properties.DisplayName -like "*CIS*" -or $_.Properties.DisplayName -like "*Security Benchmark*" -or $_.Properties.DisplayName -like "*Azure Security Benchmark*" } $hasCIS = $cisPolicies.Count -gt 0 } if ($hasCIS) { $cisAssigned++ } else { $cisNotAssigned++ } $details += [PSCustomObject]@{ SubscriptionName = $sub.Name SubscriptionId = $sub.Id HasCISBenchmark = $hasCIS } } return @{ CISAssigned = $cisAssigned CISNotAssigned = $cisNotAssigned Details = $details } } try { Connect-RequiredServices $policyResults = Test-PolicyAssignments $cisResults = Test-CISBenchmarkAssignment if ($Monitoring) { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "AZURE POLICY TOEWIJZINGEN VERIFICATIE" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "" Write-Host "Totaal Abonnementen: $($policyResults.TotalSubscriptions)" -ForegroundColor White Write-Host "Abonnementen met Policies: $($policyResults.SubscriptionsWithPolicies)" -ForegroundColor Green Write-Host "Abonnementen zonder Policies: $($policyResults.SubscriptionsWithoutPolicies)" -ForegroundColor $(if ($policyResults.SubscriptionsWithoutPolicies -gt 0) { "Red" } else { "Green" }) Write-Host "Totaal Policy Toewijzingen: $($policyResults.TotalPolicyAssignments)" -ForegroundColor White Write-Host "" Write-Host "Azure Security Benchmark (CIS):" -ForegroundColor Cyan Write-Host " Toegewezen: $($cisResults.CISAssigned)" -ForegroundColor Green Write-Host " Niet toegewezen: $($cisResults.CISNotAssigned)" -ForegroundColor $(if ($cisResults.CISNotAssigned -gt 0) { "Red" } else { "Green" }) if ($policyResults.SubscriptionsWithoutPolicies -gt 0) { Write-Host "`nWAARSCHUWING: Abonnementen zonder policies gedetecteerd:" -ForegroundColor Yellow $policyResults.Details | Where-Object { -not $_.HasPolicies } | ForEach-Object { Write-Host " - $($_.SubscriptionName) ($($_.SubscriptionId))" -ForegroundColor Red } } if ($cisResults.CISNotAssigned -gt 0) { Write-Host "`nWAARSCHUWING: Abonnementen zonder Azure Security Benchmark:" -ForegroundColor Yellow $cisResults.Details | Where-Object { -not $_.HasCISBenchmark } | ForEach-Object { Write-Host " - $($_.SubscriptionName) ($($_.SubscriptionId))" -ForegroundColor Red } } } else { Write-Host "`nPolicy Verificatie Resultaten:" -ForegroundColor Cyan Write-Host " Abonnementen met Policies: $($policyResults.SubscriptionsWithPolicies)/$($policyResults.TotalSubscriptions)" -ForegroundColor White Write-Host " CIS Benchmark Toegewezen: $($cisResults.CISAssigned)/$($policyResults.TotalSubscriptions)" -ForegroundColor White if ($policyResults.SubscriptionsWithoutPolicies -gt 0 -or $cisResults.CISNotAssigned -gt 0) { Write-Host " STATUS: WAARSCHUWING - Ontbrekende policies gedetecteerd" -ForegroundColor Yellow exit 1 } else { Write-Host " STATUS: OK - Alle abonnementen hebben policies toegewezen" -ForegroundColor Green } } } catch { Write-Error $_ exit 1 } # ================================================================================ # Standaard Invoke-* Functions (Auto-generated) # ================================================================================ function Invoke-Implementation { <# .SYNOPSIS Implementeert de configuratie #> [CmdletBinding()] param() Write-Host "[INFO] Dit is een verificatie-only control" -ForegroundColor Yellow Write-Host "[INFO] Running verificatie check..." -ForegroundColor Cyan Invoke-Monitoring } function Invoke-Monitoring { <# .SYNOPSIS Controleert de huidige configuratie status #> [CmdletBinding()] param() $Monitoring = $true try { Connect-RequiredServices $policyResults = Test-PolicyAssignments $cisResults = Test-CISBenchmarkAssignment Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "AZURE POLICY TOEWIJZINGEN VERIFICATIE" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "" Write-Host "Totaal Abonnementen: $($policyResults.TotalSubscriptions)" -ForegroundColor White Write-Host "Abonnementen met Policies: $($policyResults.SubscriptionsWithPolicies)" -ForegroundColor Green Write-Host "Abonnementen zonder Policies: $($policyResults.SubscriptionsWithoutPolicies)" -ForegroundColor $(if ($policyResults.SubscriptionsWithoutPolicies -gt 0) { "Red" } else { "Green" }) Write-Host "Totaal Policy Toewijzingen: $($policyResults.TotalPolicyAssignments)" -ForegroundColor White Write-Host "" Write-Host "Azure Security Benchmark (CIS):" -ForegroundColor Cyan Write-Host " Toegewezen: $($cisResults.CISAssigned)" -ForegroundColor Green Write-Host " Niet toegewezen: $($cisResults.CISNotAssigned)" -ForegroundColor $(if ($cisResults.CISNotAssigned -gt 0) { "Red" } else { "Green" }) if ($policyResults.SubscriptionsWithoutPolicies -gt 0) { Write-Host "`nWAARSCHUWING: Abonnementen zonder policies gedetecteerd:" -ForegroundColor Yellow $policyResults.Details | Where-Object { -not $_.HasPolicies } | ForEach-Object { Write-Host " - $($_.SubscriptionName) ($($_.SubscriptionId))" -ForegroundColor Red } } if ($cisResults.CISNotAssigned -gt 0) { Write-Host "`nWAARSCHUWING: Abonnementen zonder Azure Security Benchmark:" -ForegroundColor Yellow $cisResults.Details | Where-Object { -not $_.HasCISBenchmark } | ForEach-Object { Write-Host " - $($_.SubscriptionName) ($($_.SubscriptionId))" -ForegroundColor Red } } } catch { Write-Error $_ exit 1 } } function Invoke-Remediation { <# .SYNOPSIS Herstelt de configuratie naar de gewenste staat .DESCRIPTION Dit is een verificatie-only control. Remediatie vereist handmatige toewijzing van policies. Deze functie rapporteert welke abonnementen policies nodig hebben. #> [CmdletBinding()] param() Write-Host "[INFO] Dit is een verificatie-only control" -ForegroundColor Yellow Write-Host "[INFO] Remediatie vereist handmatige toewijzing van policies" -ForegroundColor Yellow Write-Host "[INFO] Running verificatie om abonnementen zonder policies te identificeren..." -ForegroundColor Cyan Write-Host "" try { Connect-RequiredServices $policyResults = Test-PolicyAssignments $cisResults = Test-CISBenchmarkAssignment if ($policyResults.SubscriptionsWithoutPolicies -gt 0) { Write-Host "Abonnementen die policies nodig hebben:" -ForegroundColor Yellow $policyResults.Details | Where-Object { -not $_.HasPolicies } | ForEach-Object { Write-Host " - $($_.SubscriptionName) ($($_.SubscriptionId))" -ForegroundColor Red Write-Host " Actie: Wijs Azure Security Benchmark initiative toe aan dit abonnement" -ForegroundColor White } } if ($cisResults.CISNotAssigned -gt 0) { Write-Host "`nAbonnementen die Azure Security Benchmark nodig hebben:" -ForegroundColor Yellow $cisResults.Details | Where-Object { -not $_.HasCISBenchmark } | ForEach-Object { Write-Host " - $($_.SubscriptionName) ($($_.SubscriptionId))" -ForegroundColor Red Write-Host " Actie: Wijs Azure Security Benchmark initiative toe" -ForegroundColor White } } if ($policyResults.SubscriptionsWithoutPolicies -eq 0 -and $cisResults.CISNotAssigned -eq 0) { Write-Host "Alle abonnementen hebben policies toegewezen. Geen remediatie nodig." -ForegroundColor Green } } catch { Write-Error $_ exit 1 } }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder verificatie van Azure Policy toewijzingen blijven beveiligingshiaten onopgemerkt wanneer abonnementen worden aangemaakt zonder policies of wanneer policies per ongeluk worden verwijderd. Nieuwe abonnementen kunnen onbewust worden gebruikt zonder beveiligingscontroles, wat leidt tot het aanmaken van niet-compliant resources die kunnen worden uitgebuit door aanvallers. Compliance-overtredingen blijven onopgemerkt totdat ze worden ontdekt tijdens audits, wat kan resulteren in boetes en reputatieschade. Organisaties kunnen niet bewijzen dat beveiligingsbeleid consistent wordt toegepast over alle cloud-resources, wat kan leiden tot het falen van audits en het verlies van certificeringen. Het risico is bijzonder hoog voor organisaties met meer dan tien abonnementen, waar handmatige verificatie praktisch onmogelijk wordt.

Management Samenvatting

Verificatie van Azure Policy toewijzingen controleert systematisch of alle Azure-abonnementen essentiële beveiligings- en compliance-policies hebben toegewezen. Het proces identificeert abonnementen zonder policies, abonnementen met onvolledige policy-sets, en abonnementen waar policies mogelijk zijn verwijderd. Verificatie kan worden geautomatiseerd met PowerShell-scripts die regelmatig worden uitgevoerd om continue governance-visibility te garanderen. De resultaten worden gedocumenteerd en gerapporteerd voor audit-doeleinden. Activatie gebeurt via geautomatiseerde scripts die kunnen worden geïntegreerd in CI/CD-pipelines of worden uitgevoerd als geplande taken. De implementatie vereist ongeveer acht tot tien uur voor script-ontwikkeling, testing en integratie. Verificatie is essentieel voor organisaties die moeten voldoen aan compliance-vereisten zoals CIS, ISO 27001, BIO en NIS2.