💼 Management Samenvatting
Geografische locatiegebaseerde toegangsbeperkingen vormen een essentiële beveiligingslaag die aanmeldingen vanuit onverwachte landen of regio's blokkeert om diefstal van inloggegevens en onbevoegde toegang te detecteren en te voorkomen. Deze maatregel voegt een extra dimensie toe aan de beveiligingsstrategie door de fysieke locatie van de gebruiker te gebruiken als een factor bij het bepalen van toegangsrechten.
Aanbeveling
OVERWEEG GEOGRAFISCHE BEPERKINGEN
Risico zonder
Medium
Risk Score
6/10
Implementatie
4u (tech: 2u)
Van toepassing op:
✓ Azure
✓ Entra ID
✓ Entra ID
Aanmeldingen vanuit onverwachte geografische locaties vormen een belangrijke indicator van mogelijke compromittering van inloggegevens. Wanneer een aanvaller beschikt over gestolen inloggegevens, zal deze zich doorgaans aanmelden vanuit een ander land dan waar de legitieme gebruiker zich normaal gesproken bevindt. Geografische beperkingen bieden organisaties de mogelijkheid om dergelijke verdachte activiteiten te detecteren en te blokkeren voordat onbevoegde toegang kan worden verkregen. Deze maatregel kan worden geconfigureerd om toegang volledig te blokkeren of om aanvullende authenticatie te vereisen, zoals meervoudige authenticatie, bij aanmeldingen vanuit ongebruikelijke locaties. Voor Nederlandse organisaties die primair opereren binnen Nederland en de Europese Unie, biedt deze aanpak een effectieve manier om aanmeldpogingen vanuit risicovolle regio's te beperken.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.Authentication, Microsoft.Graph.Identity.SignIns
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.Authentication, Microsoft.Graph.Identity.SignIns
Implementatie
Geografische Conditional Access-beleidsregels worden geïmplementeerd door middel van Conditional Access-beleid met benoemde locaties. Dit systeem maakt het mogelijk om aanmeldingen te blokkeren vanuit landen waar de organisatie geen aanwezigheid heeft of waarvan bekend is dat zij een hoog risico vormen. Organisaties kunnen kiezen voor een whitelist-benadering waarbij alleen goedgekeurde landen worden toegestaan en alle andere landen worden geblokkeerd, of voor een blacklist-benadering waarbij specifieke risicolanden worden geblokkeerd. Daarnaast kunnen organisaties ervoor kiezen om meervoudige authenticatie te vereisen bij aanmeldingen vanuit niet-vertrouwde locaties in plaats van volledige blokkering, wat meer flexibiliteit biedt voor legitieme gebruikers die mogelijk reizen voor zakelijke doeleinden.
Vereisten
Voor het implementeren van geografische locatiebeperkingen via Conditional Access zijn specifieke licentievereisten en configuratievoorbereidingen noodzakelijk. De implementatie vereist allereerst een Entra ID P1 licentie, die toegang biedt tot de geavanceerde Conditional Access-functionaliteiten. Deze licentie is essentieel omdat geografische beperkingen deel uitmaken van de premium beveiligingsfuncties die Microsoft biedt voor identiteits- en toegangsbeheer. Organisaties die gebruikmaken van Entra ID Free kunnen deze functionaliteit niet implementeren en zullen moeten upgraden naar een P1 of P2 licentie. Deze licentievereisten zijn van fundamenteel belang omdat geografische beperkingen geavanceerde beveiligingsfuncties vereisen die alleen beschikbaar zijn in de betaalde licentieversies. Zonder de juiste licentie kunnen organisaties geen gebruik maken van de benoemde locaties functionaliteit die nodig is voor het implementeren van geografische beperkingen. Daarnaast moeten benoemde locaties worden geconfigureerd voordat het Conditional Access-beleid kan worden ingesteld. Benoemde locaties vormen de basis voor geografische filtering en kunnen worden gedefinieerd op basis van IP-adresbereiken of landen en regio's. Voor een effectieve implementatie moet de organisatie een lijst met goedgekeurde landen opstellen waarvan aanmeldingen zijn toegestaan. Deze lijst moet worden gebaseerd op de werkelijke bedrijfsvoetafdruk van de organisatie, waarbij rekening wordt gehouden met kantoren, medewerkers die regelmatig reizen, en zakelijke partners die toegang nodig hebben. Het configureren van benoemde locaties is een kritieke stap die zorgvuldig moet worden uitgevoerd, omdat onjuiste configuratie kan leiden tot het blokkeren van legitieme gebruikers of het toestaan van ongewenste toegang vanuit risicovolle locaties. Het opstellen van een goedgekeurde landenlijst vereist overleg met verschillende stakeholders binnen de organisatie. HR-afdelingen kunnen informatie verstrekken over medewerkers die in het buitenland werken of regelmatig reizen. De IT-afdeling moet inzicht hebben in de geografische spreiding van kantoren en datacenters. Compliance-afdelingen kunnen input leveren over landen die mogelijk risico's vormen vanuit een beveiligings- of complianceperspectief. Deze multidisciplinaire aanpak zorgt ervoor dat de geografische beperkingen effectief zijn zonder legitieme zakelijke activiteiten te blokkeren. Het is belangrijk om regelmatig deze lijst te evalueren en bij te werken wanneer de bedrijfsvoetafdruk verandert, bijvoorbeeld door het openen van nieuwe kantoren, het sluiten van bestaande locaties, of wijzigingen in de geografische spreiding van medewerkers. Naast licentievereisten en configuratievoorbereidingen moeten organisaties ook rekening houden met technische vereisten voor het implementeren van geografische beperkingen. Dit omvat het hebben van voldoende kennis en expertise binnen het IT-team om Conditional Access-beleidsregels te configureren en te beheren. Organisaties moeten ook beschikken over adequate monitoring- en loggingmogelijkheden om de effectiviteit van de geografische beperkingen te kunnen controleren en te verifiëren. Daarnaast is het belangrijk om duidelijke procedures en documentatie te hebben voor het beheren van uitzonderingen, zoals break-glass accounts of service accounts die mogelijk toegang nodig hebben vanuit verschillende locaties. Deze procedures moeten regelmatig worden getest en bijgewerkt om ervoor te zorgen dat zij effectief blijven en niet worden misbruikt.
Monitoring
Gebruik PowerShell-script ca-geographic-policy.ps1 (functie Invoke-Monitoring) – Controleren.
Effectieve monitoring van geografische Conditional Access-beleidsregels vereist een gestructureerde en uitgebreide aanpak die veel verder gaat dan alleen het verifiëren of het beleid bestaat en is ingeschakeld. Beveiligingsteams moeten regelmatig en systematisch controleren of het Conditional Access-beleid voor geografische beperkingen actief is en correct functioneert volgens de beoogde configuratie. Dit omvat het grondig verifiëren van de beleidsconfiguratie, het controleren van de benoemde locaties die worden gebruikt, en het valideren dat de juiste gebruikers en applicaties onder het beleid vallen zoals bedoeld. Daarnaast moeten teams controleren of er geen conflicterende beleidsregels zijn die de effectiviteit van de geografische beperkingen kunnen verminderen. Het is belangrijk om te begrijpen dat monitoring niet een eenmalige activiteit is, maar een continu proces dat regelmatig moet worden uitgevoerd om ervoor te zorgen dat het beleid effectief blijft en dat eventuele problemen snel worden geïdentificeerd en opgelost. Monitoring moet ook gericht zijn op het detecteren en analyseren van pogingen tot aanmelding vanuit geblokkeerde of niet-vertrouwde locaties. Deze aanmeldpogingen kunnen belangrijke indicatoren zijn van gestolen inloggegevens of andere beveiligingsincidenten die onmiddellijke aandacht vereisen. Beveiligingsinformatie- en gebeurtenisbeheersystemen, ook wel SIEM-systemen genoemd, kunnen worden geconfigureerd om automatisch waarschuwingen te genereren wanneer dergelijke verdachte gebeurtenissen worden gedetecteerd. Azure AD Sign-in logs bieden uitgebreide en gedetailleerde informatie over alle aanmeldpogingen, inclusief de geografische locatie, het IP-adres, het tijdstip van de aanmelding, en of de aanmelding is toegestaan of geblokkeerd door het beleid. Deze logs vormen een waardevolle bron voor forensisch onderzoek en incident response. Organisaties moeten ervoor zorgen dat deze logs regelmatig worden gecontroleerd en dat er geautomatiseerde waarschuwingsmechanismen zijn die beveiligingsteams onmiddellijk informeren wanneer verdachte activiteiten worden gedetecteerd. Naast reactieve monitoring is proactieve analyse essentieel voor het behouden van een effectieve beveiligingspostuur. Beveiligingsteams moeten regelmatig trends analyseren in aanmeldpatronen om te identificeren of er wijzigingen zijn in het normale gebruikersgedrag die mogelijk wijzen op compromittering van accounts. Deze analyse kan helpen bij het vroegtijdig detecteren van beveiligingsincidenten voordat deze worden misbruikt voor verdere aanvallen. Daarnaast moeten organisaties periodiek evalueren of de goedgekeurde landenlijst nog steeds accuraat is en of deze moet worden bijgewerkt op basis van wijzigingen in de bedrijfsvoetafdruk, zoals het openen van nieuwe kantoren in andere landen, of nieuwe beveiligingsrisico's die zijn geïdentificeerd. Proactieve monitoring omvat ook het analyseren van historische gegevens om patronen te identificeren en te voorspellen welke locaties mogelijk risico's vormen in de toekomst. Het monitoren van valse positieven is eveneens van cruciaal belang voor het behouden van de effectiviteit van het beleid en de tevredenheid van gebruikers. Als legitieme gebruikers regelmatig worden geblokkeerd of worden gevraagd om aanvullende authenticatie wanneer zij zich op goedgekeurde locaties bevinden, kan dit wijzen op problemen met de configuratie van benoemde locaties of de goedgekeurde landenlijst. Deze valse positieven kunnen leiden tot gebruikersontevredenheid en kunnen ertoe leiden dat gebruikers proberen de beveiligingsmaatregelen te omzeilen door gebruik te maken van VPN-verbindingen of andere methoden, wat de effectiviteit van het beleid aanzienlijk vermindert. Regelmatige evaluatie en bijstelling van de configuratie op basis van monitoringgegevens is daarom essentieel. Organisaties moeten een gestructureerd proces hebben voor het verzamelen en analyseren van feedback van gebruikers over blokkeringen en uitdagingen, zodat problemen snel kunnen worden geïdentificeerd en opgelost. Een belangrijk aspect van monitoring is het bijhouden van statistieken en metriek over de effectiviteit van het geografische beperkingsbeleid. Dit omvat het bijhouden van het aantal geblokkeerde aanmeldpogingen, het aantal uitgedaagde aanmeldingen, het aantal valse positieven, en het aantal succesvolle aanmeldingen vanuit goedgekeurde locaties. Deze statistieken kunnen worden gebruikt om trends te identificeren, de effectiviteit van het beleid te meten, en beslissingen te nemen over eventuele aanpassingen aan de configuratie. Daarnaast moeten organisaties regelmatig rapporten genereren voor management en compliance-doeleinden die aantonen dat passende maatregelen zijn genomen om geografische risico's te mitigeren en te beheren.
Implementatie
Gebruik PowerShell-script ca-geographic-policy.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van geografische Conditional Access-beleidsregels begint met het zorgvuldig aanmaken van benoemde locaties voor goedgekeurde landen. Dit proces wordt uitgevoerd in de Azure AD-portal onder de sectie Beveiliging, specifiek bij de optie Benoemde locaties. Organisaties hebben de keuze tussen het definiëren van locaties op basis van IP-adresbereiken of op basis van landen en regio's. Voor geografische beperkingen is de optie om locaties te definiëren op basis van landen en regio's meestal het meest praktisch en onderhoudsvriendelijk, omdat deze automatisch alle IP-adressen binnen een land omvat zonder dat specifieke IP-bereiken handmatig hoeven te worden beheerd en bijgewerkt wanneer IP-adressen veranderen. Het gebruik van landen en regio's als basis voor benoemde locaties vereenvoudigt het beheer aanzienlijk, omdat organisaties niet hoeven te zorgen voor het bijhouden van veranderende IP-adresbereiken die door internet service providers worden toegewezen. Bij het configureren van benoemde locaties moeten organisaties zorgvuldig en weloverwogen bepalen welke landen moeten worden opgenomen in de goedgekeurde lijst. Voor Nederlandse organisaties zal dit typisch Nederland en mogelijk andere EU-landen omvatten waar de organisatie kantoren heeft, waar medewerkers regelmatig werken, of waar zakelijke partners zich bevinden. Het is van cruciaal belang om rekening te houden met medewerkers die mogelijk reizen voor zakelijke doeleinden, zoals internationale conferenties, klantbezoeken, of projecten in het buitenland, zodat zij niet onnodig worden geblokkeerd en hun productiviteit wordt belemmerd. Sommige organisaties kiezen ervoor om een brede lijst met goedgekeurde landen te gebruiken en vervolgens specifieke hoog-risico landen expliciet te blokkeren, terwijl andere organisaties een meer restrictieve whitelist-benadering prefereren waarbij alleen specifiek goedgekeurde landen zijn toegestaan. De keuze tussen deze benaderingen hangt af van de specifieke beveiligingsbehoeften en risicotolerantie van de organisatie. Na het configureren van de benoemde locaties wordt het Conditional Access-beleid aangemaakt met de juiste voorwaarden en toegangscontroles. Dit beleid moet worden toegepast op alle gebruikers binnen de organisatie, tenzij er specifieke uitzonderingen zijn die moeten worden geconfigureerd, zoals break-glass accounts die worden gebruikt in noodsituaties, service accounts die mogelijk vanuit verschillende locaties moeten kunnen aanmelden, of specifieke gebruikersgroepen die om zakelijke redenen toegang nodig hebben vanuit niet-goedgekeurde locaties. De voorwaarde voor het beleid wordt ingesteld op Locaties, waarbij wordt geselecteerd dat het beleid van toepassing is op elke locatie behalve de goedgekeurde benoemde locaties. Dit betekent dat aanmeldingen vanuit niet-goedgekeurde landen automatisch worden getriggerd door het beleid en de geconfigureerde toegangscontroles worden toegepast. Het is belangrijk om zorgvuldig te overwegen welke gebruikers en groepen moeten worden uitgesloten van het beleid, omdat te veel uitzonderingen de effectiviteit van de geografische beperkingen kunnen verminderen. De toegangscontrole kan worden ingesteld op twee verschillende manieren, afhankelijk van de beveiligingsbehoeften en risicotolerantie van de organisatie. De eerste optie is volledige blokkering van toegang, wat de meest restrictieve benadering is en geschikt voor organisaties die zeer strikte geografische beperkingen willen implementeren. De tweede optie is het vereisen van meervoudige authenticatie, wat meer flexibiliteit biedt en legitieme gebruikers in staat stelt om toegang te krijgen wanneer zij zich in een niet-goedgekeurde locatie bevinden, maar wel aanvullende verificatie vereist om de identiteit te bevestigen. De keuze tussen deze opties hangt af van verschillende factoren, waaronder de risicotolerantie van de organisatie, de behoeften van de gebruikers, de aard van de bedrijfsactiviteiten, en de compliancevereisten waaraan de organisatie moet voldoen. Organisaties kunnen ook kiezen voor een hybride aanpak waarbij sommige hoog-risico landen volledig worden geblokkeerd, terwijl andere landen meervoudige authenticatie vereisen. Na het configureren van alle instellingen moet het beleid worden ingeschakeld om effectief te zijn. Het is sterk aanbevolen om het beleid eerst in rapportmodus te plaatsen, ook wel report-only mode genoemd, om te observeren wat de impact zou zijn zonder daadwerkelijk gebruikers te blokkeren of te verstoren. Deze aanpak stelt organisaties in staat om te leren hoe het beleid werkt in de praktijk, eventuele problemen te identificeren, en de configuratie aan te passen indien nodig voordat het beleid volledig wordt geactiveerd. Na een evaluatieperiode van enkele weken, waarin voldoende data is verzameld om de impact te beoordelen, kan het beleid worden geactiveerd voor volledige handhaving. Organisaties moeten ook overwegen om een gefaseerde implementatie uit te voeren, waarbij het beleid eerst wordt toegepast op een kleine groep gebruikers, zoals een specifieke afdeling of locatie, voordat het wordt uitgerold naar de volledige organisatie. Deze gefaseerde aanpak minimaliseert risico's en stelt organisaties in staat om problemen op te lossen voordat het beleid breed wordt geïmplementeerd. Tijdens de implementatieperiode moeten organisaties ook zorgen voor adequate communicatie met gebruikers over de nieuwe beveiligingsmaatregelen en wat zij kunnen verwachten wanneer zij zich in verschillende geografische locaties bevinden.
Compliance en Auditing
Geografische Conditional Access-beleidsregels dragen op verschillende manieren bij aan de naleving van verschillende beveiligings- en compliancekaders die relevant zijn voor Nederlandse overheidsorganisaties en bedrijven. De Baseline Informatiebeveiliging Overheid, ook wel bekend als BIO, bevat in controle 09.01 specifieke en gedetailleerde vereisten voor toegangscontrole en authenticatiebeleid. Deze controle vereist expliciet dat organisaties passende en effectieve maatregelen treffen om onbevoegde toegang te voorkomen en te detecteren, en geografische beperkingen vormen een bewezen effectieve manier om dit te bereiken door toegang te beperken op basis van de fysieke locatie van de gebruiker. Deze aanpak helpt organisaties te voldoen aan de BIO-vereisten door een extra beveiligingslaag toe te voegen die verder gaat dan traditionele authenticatiemethoden. Voor Nederlandse overheidsorganisaties is het implementeren van geografische beperkingen een concrete manier om te demonstreren dat zij voldoen aan de BIO-vereisten en passende maatregelen hebben genomen om hun systemen te beschermen tegen onbevoegde toegang vanuit risicovolle geografische locaties. De ISO 27001 standaard, specifiek controle A.9.1.2 over toegang tot netwerken en diensten, vereist dat organisaties toegangscontroles implementeren die zijn gebaseerd op een duidelijk gedefinieerd en gedocumenteerd toegangsbeheerbeleid. Geografische beperkingen voldoen volledig aan deze vereiste door een extra laag van toegangscontrole toe te voegen die verder gaat dan alleen gebruikersauthenticatie en die is gebaseerd op de geografische locatie van de gebruiker. Deze maatregel helpt organisaties te voldoen aan het fundamentele principe van gelaagde beveiliging, waarbij meerdere beveiligingslagen worden geïmplementeerd om de algehele beveiligingspostuur te versterken en de kans op succesvolle aanvallen te verminderen. Door geografische beperkingen te combineren met andere beveiligingsmaatregelen, zoals meervoudige authenticatie en risicogebaseerde toegangscontroles, creëren organisaties een robuust beveiligingssysteem dat voldoet aan de ISO 27001-vereisten. Organisaties die ISO 27001 gecertificeerd zijn of willen worden, kunnen geografische beperkingen gebruiken als onderdeel van hun toegangsbeheerbeleid om te demonstreren dat zij passende technische controles hebben geïmplementeerd. De NIS2-richtlijn, die is geïmplementeerd in de Nederlandse wetgeving en van toepassing is op essentiële en belangrijke entiteiten, bevat in Artikel 21 specifieke en bindende vereisten voor toegangscontrole en authenticatiemechanismen. Deze richtlijn vereist dat organisaties passende technische en organisatorische maatregelen treffen om de beveiliging van netwerk- en informatiesystemen te waarborgen en te beschermen tegen cyberdreigingen. Geografische Conditional Access-beleidsregels vormen een belangrijke technische maatregel die bijdraagt aan de naleving van deze vereisten door onbevoegde toegang te voorkomen vanuit geografische locaties die als risicovol worden beschouwd op basis van bekende cybercriminele activiteiten, politieke instabiliteit, of andere beveiligingsrisico's. Voor organisaties die onder de NIS2-richtlijn vallen, is het implementeren van geografische beperkingen een concrete manier om te demonstreren dat passende technische maatregelen zijn genomen. Deze organisaties moeten kunnen aantonen dat zij effectieve beveiligingsmaatregelen hebben geïmplementeerd om hun kritieke systemen te beschermen, en geografische beperkingen vormen een belangrijk onderdeel van deze beveiligingsstrategie. Voor auditdoeleinden en compliance-verificatie moeten organisaties uitgebreide en actuele documentatie bijhouden van alle geconfigureerde benoemde locaties, de Conditional Access-beleidsregels die zijn ingesteld, inclusief hun configuratie en status, en de logboeken van geblokkeerde of uitgedaagde aanmeldpogingen. Deze documentatie vormt het bewijs dat organisaties kunnen gebruiken om aan auditors en compliance-officers te demonstreren dat passende en effectieve maatregelen zijn genomen om geografische risico's te mitigeren en te beheren. Azure AD biedt uitgebreide loggingmogelijkheden die kunnen worden gebruikt om deze informatie automatisch te verzamelen, te bewaren voor de vereiste bewaartermijnen, en te exporteren voor auditdoeleinden. Organisaties moeten ervoor zorgen dat deze logboeken regelmatig worden gecontroleerd en dat er procedures zijn voor het bewaren en archiveren van deze gegevens volgens de compliancevereisten die van toepassing zijn op de organisatie. Het is belangrijk om deze documentatie up-to-date te houden en regelmatig te controleren of alle geconfigureerde instellingen nog steeds accuraat zijn en voldoen aan de compliancevereisten. Daarnaast moeten organisaties kunnen aantonen dat zij regelmatig de effectiviteit van hun geografische beperkingen evalueren en waar nodig aanpassingen maken om ervoor te zorgen dat zij blijven voldoen aan de vereisten van verschillende compliancekaders.
Remediatie
Gebruik PowerShell-script ca-geographic-policy.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer geografische Conditional Access-beleidsregels niet correct zijn geconfigureerd of wanneer er problemen worden geïdentificeerd tijdens monitoring en evaluatie, moeten organisaties een gestructureerd en gedocumenteerd remediatieproces volgen om deze problemen effectief op te lossen. De eerste en meest cruciale stap in het remediatieproces is het grondig identificeren en documenteren van de specifieke problemen die zijn geconstateerd. Dit kan variëren van volledig ontbrekende Conditional Access-beleidsregels tot onjuist geconfigureerde benoemde locaties, beleidsregels die niet zijn ingeschakeld ondanks dat zij zijn geconfigureerd, of conflicterende beleidsregels die de effectiviteit van de geografische beperkingen verminderen. Het is belangrijk om een systematische aanpak te volgen bij het identificeren van problemen, waarbij alle aspecten van de configuratie worden gecontroleerd en gedocumenteerd voordat er actie wordt ondernomen. Als er geen Conditional Access-beleid bestaat voor geografische beperkingen, moet dit onmiddellijk worden aangemaakt volgens de vastgestelde implementatieprocedure en best practices. Als het beleid wel bestaat maar niet is ingeschakeld, moet worden onderzocht waarom dit het geval is en wat de reden is voor de inactieve status. Mogelijk is het beleid opzettelijk uitgeschakeld voor testdoeleinden, vanwege eerdere problemen die zijn geconstateerd, of als onderdeel van een gefaseerde implementatie. In dergelijke gevallen moet worden beoordeeld of de oorspronkelijke problemen zijn opgelost, of de testperiode is voltooid, en of het veilig is om het beleid opnieuw in te schakelen zonder negatieve impact op de gebruikers of bedrijfsprocessen. Het is belangrijk om alle beslissingen en acties te documenteren voor auditdoeleinden en om ervoor te zorgen dat er een duidelijk spoor is van wat er is gedaan en waarom. Wanneer benoemde locaties onjuist zijn geconfigureerd of niet meer accuraat zijn, moeten deze worden bijgewerkt om de juiste landen of IP-adresbereiken te bevatten die overeenkomen met de huidige bedrijfsvoetafdruk van de organisatie. Dit kan nodig zijn wanneer de bedrijfsvoetafdruk van de organisatie is veranderd, bijvoorbeeld door het openen van nieuwe kantoren in andere landen, het sluiten van bestaande locaties, het aangaan van nieuwe zakelijke partnerschappen, of wijzigingen in de geografische spreiding van medewerkers. Organisaties moeten een gestructureerd proces hebben voor het regelmatig beoordelen en bijwerken van benoemde locaties, bijvoorbeeld op kwartaalbasis of wanneer er significante wijzigingen zijn in de bedrijfsvoetafdruk, om ervoor te zorgen dat deze accuraat blijven en legitieme gebruikers niet onnodig worden geblokkeerd. Het bijwerken van benoemde locaties moet worden uitgevoerd met dezelfde zorgvuldigheid als de oorspronkelijke configuratie, waarbij alle stakeholders worden geraadpleegd en de wijzigingen worden gedocumenteerd. Als gebruikers onterecht worden geblokkeerd of uitgedaagd voor meervoudige authenticatie wanneer zij zich op goedgekeurde locaties bevinden, moet worden onderzocht of hun locatie correct is geïdentificeerd door het systeem en of deze locatie moet worden toegevoegd aan de goedgekeurde lijst. In sommige gevallen kunnen VPN-verbindingen, proxy-servers, of netwerkconfiguraties ervoor zorgen dat de geografische locatie van een gebruiker onjuist wordt gedetecteerd, waardoor zij worden behandeld alsof zij zich in een niet-goedgekeurde locatie bevinden. Organisaties moeten duidelijke procedures hebben voor het snel oplossen van dergelijke problemen, inclusief een helpdeskproces voor gebruikers die problemen ondervinden, om de productiviteit van gebruikers niet onnodig te beïnvloeden en gebruikersontevredenheid te voorkomen. Het is belangrijk om deze problemen snel op te lossen, omdat gebruikers die regelmatig worden geblokkeerd mogelijk proberen de beveiligingsmaatregelen te omzeilen, wat de effectiviteit van het beleid kan verminderen. Voor kritieke situaties, zoals wanneer een beheerder wordt geblokkeerd en geen toegang heeft tot het systeem om problemen op te lossen, of wanneer er een noodsituatie is waarbij legitieme gebruikers toegang nodig hebben vanuit niet-goedgekeurde locaties, moeten organisaties goed gedocumenteerde break-glass procedures hebben die kunnen worden geactiveerd wanneer nodig. Deze procedures kunnen het gebruik van specifieke break-glass accounts omvatten die zijn uitgesloten van geografische beperkingen en alleen worden gebruikt in noodsituaties, of tijdelijke uitschakeling van het beleid in gecontroleerde noodsituaties met strikte logging en goedkeuringsprocessen. Het is van cruciaal belang dat deze procedures goed zijn gedocumenteerd, regelmatig worden getest, en dat alleen geautoriseerd en getraind personeel toegang heeft tot deze break-glass mechanismen om misbruik te voorkomen. Break-glass procedures moeten worden beschouwd als een laatste redmiddel en moeten alleen worden gebruikt wanneer er geen andere opties beschikbaar zijn om legitieme gebruikers toegang te verlenen. Alle activiteiten die worden uitgevoerd via break-glass procedures moeten worden gelogd en gecontroleerd om ervoor te zorgen dat zij alleen worden gebruikt voor legitieme doeleinden.
Compliance & Frameworks
- BIO: 09.01 - Toegangscontrole en authenticatie beleid
- ISO 27001:2022: A.9.1.2 - Toegang tot netwerken en diensten
- NIS2: Artikel - Toegangscontrole en authenticatiemechanismen
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
CA Geographic Policy
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 1.9
Controleert Conditional Access policy voor geografische restricties.
.NOTES
Filename: ca-geographic-policy.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 1.9
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "CA Geographic Policy"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer Conditional Access policies:" -ForegroundColor Gray
Write-Host " - Named locations configured" -ForegroundColor Gray
Write-Host " - Geographic restrictions voor toegang" -ForegroundColor Gray
Write-Host " - Block of require MFA from untrusted locations" -ForegroundColor Gray
Write-Host " - Allow trusted countries/regions" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Geographic policy" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer Conditional Access policies:" -ForegroundColor Gray
Write-Host " - Named locations configured" -ForegroundColor Gray
Write-Host " - Geographic restrictions voor toegang" -ForegroundColor Gray
Write-Host " - Block of require MFA from untrusted locations" -ForegroundColor Gray
Write-Host " - Allow trusted countries/regions" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Geographic policy" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Diefstal van inloggegevens vanuit buitenlandse landen blijft onbeperkt. Aanmeldpogingen door aanvallers vanuit risicolanden (bekende cybercriminele hubs) zonder blokkering. Compliance: BIO 9.01 voor overheid. Het risico is medium - afhankelijk van de organisatorische voetafdruk (globaal versus alleen Nederland).
Management Samenvatting
Geografische Conditional Access: Blokkeer aanmeldingen vanuit hoog-risico landen OF vereis meervoudige authenticatie. Toegestane locaties: Nederland, EU, zakelijke locaties. Waarschuw bij buitenlandse aanmeldingen. Activatie: Conditional Access → Benoemde locaties → Blokkeer risicolanden. Geen extra kosten. Implementatie: 2-3 uur. Aanbevolen BIO 9.01. Optioneel voor globale organisaties, waardevol voor alleen-Nederland organisaties.
- Implementatietijd: 4 uur
- FTE required: 0.03 FTE