💼 Management Samenvatting
Voorwaardelijke toegang beleid dat meervoudige authenticatie (MFA) afdwingt voor toegang tot Azure-beheerinterfaces beschermt organisaties tegen onbevoegde wijzigingen aan kritieke infrastructuur. Deze maatregel vormt een essentiële beveiligingslaag voor alle beheeractiviteiten via de Azure Portal, Azure CLI, Azure PowerShell en de Azure Resource Manager API.
Aanbeveling
IMPLEMENTEER MFA VOOR AZURE-BEHEER
Risico zonder
Critical
Risk Score
9/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Azure
✓ Azure Portal
✓ Azure CLI
✓ Azure PowerShell
✓ Azure Portal
✓ Azure CLI
✓ Azure PowerShell
Toegang tot Azure-beheeromgevingen biedt de mogelijkheid om kritieke infrastructuurcomponenten te wijzigen, waaronder het verwijderen van virtuele machines, het aanpassen van netwerkregels, het exporteren van gevoelige gegevens en het uitschakelen van beveiligingsfuncties. Zonder meervoudige authenticatie is toegang tot Azure-beheer alleen beschermd door een wachtwoord, wat onvoldoende is voor deze hoogwaardige toegang. Een gecompromitteerd account met Azure-beheertoegang kan leiden tot volledige verwijdering van infrastructuur door ransomware-actoren, het uitschakelen van beveiligingsregels, het plaatsen van achterdeuren en het exfiltreren van gevoelige gegevens. Deze risico's maken MFA voor Azure-beheer tot een absolute noodzaak voor alle organisaties die cloudinfrastructuur beheren.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.Identity.SignIns
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.Identity.SignIns
Implementatie
Deze beveiligingscontrole configureert een voorwaardelijk toegangsbeleid waarbij alle gebruikers worden verplicht om meervoudige authenticatie te gebruiken bij toegang tot Microsoft Azure Management. Dit omvat alle toegangspunten: de Azure Portal, Azure CLI, Azure PowerShell en de Azure Resource Manager API. Ongeacht andere beleidsregels wordt bij elke poging tot toegang tot deze beheerinterfaces altijd MFA vereist. Deze extra beveiligingslaag zorgt ervoor dat zelfs als een wachtwoord wordt gecompromitteerd, aanvallers niet direct toegang kunnen krijgen tot de beheeromgeving zonder de tweede authenticatiefactor.
Vereisten
Voordat u een voorwaardelijk toegangsbeleid implementeert dat meervoudige authenticatie afdwingt voor Azure-beheerinterfaces, moet u ervoor zorgen dat aan verschillende technische en organisatorische vereisten wordt voldaan. Deze vereisten zijn essentieel voor een succesvolle implementatie en om te voorkomen dat gebruikers onbedoeld worden uitgesloten van toegang tot kritieke beheersystemen.
De primaire technische vereiste is een Azure AD Premium P1 licentie of hoger. Voorwaardelijke toegang is een premium functie die niet beschikbaar is in de gratis versie van Azure Active Directory. Organisaties moeten daarom controleren of hun Azure AD-tenant over de juiste licentie beschikt voordat ze beginnen met de configuratie. Voor grotere organisaties kan Azure AD Premium P2 ook worden overwogen, omdat dit aanvullende beveiligingsfuncties biedt zoals Identity Protection en risicogebaseerde voorwaardelijke toegang.
Een tweede kritieke vereiste is dat alle gebruikers die toegang nodig hebben tot Azure-beheerinterfaces moeten zijn geregistreerd voor meervoudige authenticatie. Dit betekent dat gebruikers hun authenticatiemethoden moeten hebben geconfigureerd, zoals de Microsoft Authenticator-app, SMS-verificatie, of hardware-tokens. Organisaties moeten een registratieproces opzetten waarbij alle betrokken gebruikers worden begeleid bij het instellen van hun MFA-methoden voordat het beleid wordt geactiveerd. Het is belangrijk om te voorkomen dat gebruikers worden uitgesloten van toegang omdat ze nog niet zijn geregistreerd.
Break-glass accounts vormen een uitzondering op deze regel en moeten expliciet worden uitgesloten van het MFA-beleid voor Azure-beheer. Break-glass accounts zijn noodgevallenaccounts die worden gebruikt wanneer normale beheerprocessen niet beschikbaar zijn, bijvoorbeeld tijdens een beveiligingsincident of wanneer de MFA-infrastructuur zelf is gecompromitteerd. Deze accounts moeten worden beveiligd met sterke wachtwoorden en moeten worden gemonitord op ongebruikelijke activiteit. Het is essentieel dat alleen een beperkt aantal vertrouwde personen toegang heeft tot deze accounts en dat alle activiteiten worden gelogd voor auditdoeleinden.
Voor organisaties die Azure CLI of Azure PowerShell gebruiken voor geautomatiseerde beheertaken, is een uitgebreid testplan vereist. Scripts en geautomatiseerde processen kunnen niet interactief reageren op MFA-prompts, wat betekent dat service principals of managed identities moeten worden gebruikt in plaats van gebruikersaccounts. Organisaties moeten een inventarisatie maken van alle geautomatiseerde processen die Azure-beheerinterfaces gebruiken en deze migreren naar service principals voordat het MFA-beleid wordt geactiveerd. Dit voorkomt dat kritieke automatiseringen worden onderbroken wanneer het beleid wordt ingeschakeld.
Naast deze technische vereisten zijn er ook organisatorische overwegingen. IT-teams moeten worden getraind in het gebruik van MFA bij toegang tot Azure-beheerinterfaces, en er moeten duidelijke procedures worden opgesteld voor scenario's waarin MFA niet beschikbaar is. Communicatie naar gebruikers is essentieel om te voorkomen dat ze worden verrast door de nieuwe authenticatievereisten en om hen te helpen bij het oplossen van problemen die kunnen optreden tijdens de implementatie.
Implementatie
De implementatie van een voorwaardelijk toegangsbeleid voor meervoudige authenticatie bij Azure-beheerinterfaces vereist een gestructureerde aanpak om te zorgen voor een soepele overgang zonder verstoring van kritieke beheerprocessen. De implementatie bestaat uit verschillende fasen, beginnend met de configuratie van het beleid in de Azure Active Directory-omgeving en eindigend met de volledige activatie na een testperiode.
De eerste stap in het implementatieproces is het navigeren naar de Azure Active Directory-beheeromgeving. Vanuit de Azure Portal gaat u naar Azure Active Directory, selecteert u de sectie voorwaardelijke toegang en klikt u op nieuwe beleidsregel. Dit opent de configuratiewizard waarin u alle benodigde instellingen kunt configureren voor het MFA-beleid specifiek voor Azure-beheerinterfaces.
Bij het configureren van de beleidsnaam is het belangrijk om een duidelijke en beschrijvende naam te kiezen die direct aangeeft wat het beleid doet. Een naam zoals 'MFA vereisen voor Azure-beheer' maakt het voor beheerders duidelijk wat het doel is van dit specifieke beleid. Dit is vooral belangrijk wanneer organisaties meerdere voorwaardelijke toegangsbeleidsregels hebben geconfigureerd voor verschillende scenario's.
De gebruikersconfiguratie is een kritiek onderdeel van het beleid. Standaard moet het beleid worden toegepast op alle gebruikers om ervoor te zorgen dat niemand wordt uitgesloten van de MFA-vereiste. Echter, break-glass accounts moeten expliciet worden uitgesloten van dit beleid om te voorkomen dat deze noodgevallenaccounts worden geblokkeerd tijdens een crisis. Deze uitsluiting moet zorgvuldig worden geconfigureerd en gedocumenteerd, waarbij alleen specifiek geïdentificeerde break-glass accounts worden uitgesloten.
De cloud-applicatie selectie is waar u specifiek Microsoft Azure Management selecteert als de doeltoepassing. Deze selectie zorgt ervoor dat het beleid alleen van toepassing is op toegang tot Azure-beheerinterfaces, inclusief de Azure Portal, Azure CLI, Azure PowerShell en de Azure Resource Manager API. Het is belangrijk om te begrijpen dat deze selectie alle toegangspunten tot Azure-beheer omvat, ongeacht hoe gebruikers verbinding maken met de beheeromgeving.
Bij de toekenningsconfiguratie selecteert u de optie om meervoudige authenticatie te vereisen. Deze instelling zorgt ervoor dat gebruikers hun identiteit moeten verifiëren met een tweede factor voordat ze toegang krijgen tot Azure-beheerinterfaces. De configuratie moet worden ingesteld om MFA te vereisen, niet alleen als een optionele controle, om te garanderen dat alle toegang wordt beschermd door meervoudige authenticatie.
Voor de eerste implementatie wordt sterk aanbevolen om het beleid in te schakelen in de rapportage-only modus. Deze modus evalueert alle toegangspogingen tegen het beleid zonder daadwerkelijk toegang te blokkeren of MFA te vereisen. Dit geeft organisaties de mogelijkheid om te monitoren welke gebruikers worden beïnvloed door het beleid en om te identificeren of er onverwachte problemen zijn voordat het beleid volledig wordt geactiveerd. Tijdens deze testperiode, die minimaal één week zou moeten duren, moeten beheerders de sign-in logs monitoren om te zien welke gebruikers MFA zouden moeten gebruiken en of er gebruikers zijn die nog niet zijn geregistreerd voor MFA.
Na de monitoringperiode en na het oplossen van eventuele geïdentificeerde problemen, kan het beleid worden overgeschakeld van rapportage-only naar volledig ingeschakeld. Deze overgang moet zorgvuldig worden gepland, bij voorkeur tijdens een onderhoudsvenster of een periode met lage activiteit, om eventuele verstoringen te minimaliseren. Zodra het beleid is geactiveerd, moeten alle gebruikers meervoudige authenticatie gebruiken bij elke poging tot toegang tot Azure-beheerinterfaces.
Compliance en Auditing
Het implementeren van meervoudige authenticatie voor Azure-beheerinterfaces is niet alleen een best practice voor beveiliging, maar ook een vereiste voor naleving van verschillende internationale en nationale beveiligingsstandaarden en regelgeving. Organisaties die werken met gevoelige gegevens of kritieke infrastructuur moeten kunnen aantonen dat zij passende maatregelen hebben genomen om beheertoegang te beschermen tegen onbevoegde toegang.
De CIS Azure Benchmark versie 3.0.0 bevat specifieke richtlijn 1.28 die vereist dat meervoudige authenticatie wordt afgedwongen voor alle toegang tot Azure-beheerinterfaces. Deze controle is geclassificeerd als een Level 1 controle, wat betekent dat deze moet worden geïmplementeerd in alle Azure-omgevingen, ongeacht de grootte of complexiteit van de organisatie. De CIS Benchmark wordt wereldwijd erkend als een autoriteit op het gebied van cloudbeveiliging en wordt vaak gebruikt als basis voor security audits en compliance assessments.
Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid (BIO) van toepassing, specifiek controle 09.04 die betrekking heeft op meervoudige authenticatie voor geprivilegieerde toegang. Deze controle vereist dat organisaties meervoudige authenticatie implementeren voor alle accounts met verhoogde bevoegdheden, waaronder toegang tot cloudbeheeromgevingen. De BIO is gebaseerd op de ISO 27001-standaard maar bevat aanvullende eisen die specifiek zijn afgestemd op de Nederlandse publieke sector. Naleving van de BIO is verplicht voor alle overheidsorganisaties die werken met gevoelige informatie.
De internationale ISO 27001:2022 standaard bevat in controle A.9.4.3 specifieke eisen voor toegangscontrole voor beheersystemen. Deze controle vereist dat organisaties passende authenticatiemechanismen implementeren voor toegang tot beheersystemen, waarbij meervoudige authenticatie wordt aanbevolen voor alle geprivilegieerde toegang. ISO 27001-certificering is vaak een vereiste voor organisaties die werken met internationale partners of die moeten voldoen aan contractuele beveiligingseisen.
De Europese NIS2-richtlijn, die is geïmplementeerd in Nederlandse wetgeving, bevat in artikel 21 specifieke eisen voor de bescherming van geprivilegieerde toegang tot kritieke systemen. Organisaties die vallen onder de NIS2-richtlijn, waaronder essentiële dienstverleners en belangrijke entiteiten, moeten kunnen aantonen dat zij passende technische en organisatorische maatregelen hebben genomen om beheertoegang te beschermen. Meervoudige authenticatie voor cloudbeheerinterfaces vormt een essentieel onderdeel van deze maatregelen.
Voor auditdoeleinden moeten organisaties kunnen aantonen dat het voorwaardelijke toegangsbeleid correct is geconfigureerd en actief is. Dit vereist het bijhouden van screenshots van de beleidsconfiguratie, sign-in logs die MFA-verificatie tonen voor Azure-beheerinterfaces, en documentatie van de implementatieprocedure. Auditoren zullen controleren of het beleid daadwerkelijk wordt toegepast en of er geen uitzonderingen zijn gemaakt die de beveiliging kunnen compromitteren. Het is belangrijk om regelmatig te controleren of het beleid nog actief is en of er geen wijzigingen zijn aangebracht die de effectiviteit kunnen verminderen.
Naast deze specifieke compliance-eisen is meervoudige authenticatie voor beheertoegang ook een vereiste voor naleving van de Algemene Verordening Gegevensbescherming (AVG), omdat het helpt bij het beschermen van persoonsgegevens tegen onbevoegde toegang. Organisaties die werken met persoonsgegevens moeten kunnen aantonen dat zij passende technische maatregelen hebben genomen om gegevens te beschermen, en meervoudige authenticatie voor beheertoegang vormt een belangrijk onderdeel van deze maatregelen.
Monitoring
Het monitoren van het voorwaardelijke toegangsbeleid voor meervoudige authenticatie bij Azure-beheerinterfaces is essentieel om te verzekeren dat het beleid correct functioneert en dat alle toegangspogingen worden beschermd door MFA. Effectieve monitoring stelt organisaties in staat om potentiële beveiligingsproblemen vroegtijdig te identificeren, compliance te verifiëren en de effectiviteit van de beveiligingsmaatregelen te meten. Zonder adequate monitoring kunnen organisaties niet aantonen dat hun beveiligingscontroles daadwerkelijk werken en kunnen ze kwetsbaar blijven voor aanvallen die het MFA-beleid omzeilen.
De primaire monitoringactiviteit bestaat uit het regelmatig controleren van de sign-in logs in Azure Active Directory. Deze logs bevatten gedetailleerde informatie over elke toegangspoging tot Azure-beheerinterfaces, inclusief of MFA succesvol is voltooid, welke authenticatiemethode is gebruikt, en of er fouten zijn opgetreden tijdens het authenticatieproces. Beheerders moeten dagelijks deze logs controleren op ongebruikelijke patronen, zoals meerdere mislukte MFA-pogingen van hetzelfde account, toegangspogingen van onbekende locaties, of pogingen om het MFA-beleid te omzeilen.
Een kritieke monitoringindicator is het percentage succesvolle MFA-verificaties voor Azure-beheerinterfaces. Organisaties moeten een baseline vaststellen voor het verwachte aantal MFA-verificaties per dag en alerting configureren wanneer dit aantal significant afwijkt van de norm. Een plotselinge daling in MFA-verificaties kan bijvoorbeeld wijzen op een probleem met het beleid of op pogingen om toegang te krijgen via alternatieve routes die niet door het beleid worden gedekt. Evenzo kan een onverwachte toename in MFA-verificaties wijzen op een mogelijke aanval of op een probleem met de gebruikerservaring.
Naast het monitoren van sign-in logs moeten organisaties ook regelmatig controleren of het voorwaardelijke toegangsbeleid nog actief is en of er geen ongeautoriseerde wijzigingen zijn aangebracht. Dit kan worden gedaan door wekelijks de beleidsconfiguratie te controleren en te verifiëren dat alle instellingen nog correct zijn geconfigureerd. Specifieke aandachtspunten zijn onder meer het controleren of het beleid nog is toegepast op de juiste gebruikersgroepen, of de cloud-applicatie selectie nog correct is ingesteld op Microsoft Azure Management, en of er geen nieuwe uitzonderingen zijn toegevoegd die de beveiliging kunnen compromitteren.
Voor geavanceerde monitoring kunnen organisaties gebruik maken van Azure Monitor en Azure Sentinel om geautomatiseerde alerting en analyse te implementeren. Deze tools maken het mogelijk om complexe queries uit te voeren op sign-in logs, om anomaliedetectie te implementeren, en om automatische waarschuwingen te genereren wanneer verdachte activiteiten worden gedetecteerd. Bijvoorbeeld, een waarschuwing kan worden geconfigureerd wanneer een account meerdere mislukte MFA-pogingen heeft binnen een korte tijdsperiode, wat kan wijzen op een brute-force aanval of op een gecompromitteerd account.
Het monitoren van gebruikerservaring is eveneens belangrijk om te verzekeren dat het MFA-beleid geen onnodige belemmeringen creëert voor legitieme gebruikers. Organisaties moeten feedback verzamelen van gebruikers over hun ervaring met MFA bij toegang tot Azure-beheerinterfaces en moeten problemen snel oplossen. Veelvoorkomende problemen zijn onder meer gebruikers die hun MFA-methoden zijn vergeten, problemen met de Microsoft Authenticator-app, of vertragingen in het ontvangen van SMS-verificatiecodes. Door deze problemen proactief te monitoren en op te lossen, kunnen organisaties de gebruikerservaring verbeteren en voorkomen dat gebruikers proberen het MFA-beleid te omzeilen.
Voor compliance en auditdoeleinden moeten organisaties regelmatig rapporten genereren die aantonen dat het MFA-beleid correct wordt toegepast. Deze rapporten moeten informatie bevatten over het aantal MFA-verificaties, het percentage succesvolle verificaties, eventuele uitzonderingen op het beleid, en alle wijzigingen die zijn aangebracht aan de beleidsconfiguratie. Deze rapporten moeten worden bewaard voor de vereiste bewaarperiode en moeten beschikbaar zijn voor interne en externe auditors.
Gebruik PowerShell-script ca-mfa-azure-management.ps1 (functie Invoke-Monitoring) – Automatische controle van het MFA-beleid voor Azure-beheerinterfaces.
Remediatie
Wanneer monitoring activiteiten onthullen dat het voorwaardelijke toegangsbeleid voor meervoudige authenticatie bij Azure-beheerinterfaces niet correct is geconfigureerd of niet wordt toegepast, is onmiddellijke remediatie vereist om de beveiligingsrisico's te elimineren. Remediatie-activiteiten moeten worden uitgevoerd volgens een gestructureerd proces dat ervoor zorgt dat de beveiligingscontrole snel wordt hersteld zonder onnodige verstoring van bedrijfsprocessen. Het is essentieel dat organisaties een duidelijk gedefinieerd remediatieproces hebben dat kan worden geactiveerd wanneer problemen worden gedetecteerd.
Het meest kritieke remediatiescenario is wanneer monitoring onthult dat het MFA-beleid niet actief is of niet correct wordt toegepast op alle Azure-beheerinterfaces. In dit geval moet het beleid onmiddellijk worden geactiveerd of gecorrigeerd om te verzekeren dat alle toegang wordt beschermd door meervoudige authenticatie. De eerste stap is om de huidige status van het beleid te controleren en te identificeren waarom het niet correct functioneert. Mogelijke oorzaken zijn onder meer een beleid dat per ongeluk is uitgeschakeld, een wijziging in de gebruikersconfiguratie die bepaalde gebruikers heeft uitgesloten, of een probleem met de cloud-applicatie selectie.
Wanneer monitoring onthult dat bepaalde gebruikers niet worden gevraagd om MFA bij toegang tot Azure-beheerinterfaces, moet onmiddellijk worden onderzocht waarom dit gebeurt. Mogelijke oorzaken zijn onder meer gebruikers die zijn uitgesloten van het beleid, een conflict met een ander voorwaardelijk toegangsbeleid dat MFA overschrijft, of een probleem met de gebruikersregistratie voor MFA. In alle gevallen moet het probleem worden opgelost door de beleidsconfiguratie te corrigeren, gebruikers te registreren voor MFA, of conflicterende beleidsregels aan te passen.
Voor organisaties die gebruik maken van geautomatiseerde scripts of service principals voor Azure-beheer, is het belangrijk om te verzekeren dat deze niet worden beïnvloed door het MFA-beleid. Service principals en managed identities zijn niet onderworpen aan voorwaardelijke toegangsbeleidsregels, wat betekent dat ze kunnen worden gebruikt voor geautomatiseerde beheertaken zonder MFA. Echter, als monitoring onthult dat gebruikersaccounts worden gebruikt voor geautomatiseerde processen die falen vanwege MFA-vereisten, moeten deze worden gemigreerd naar service principals of managed identities.
Wanneer monitoring onthult dat er meerdere mislukte MFA-pogingen zijn van een specifiek account, moet onmiddellijk worden ondernomen om te bepalen of het account is gecompromitteerd. In dit geval moet het account tijdelijk worden uitgeschakeld of moeten de referenties worden gereset, en moet een beveiligingsonderzoek worden gestart om te bepalen of er daadwerkelijk een inbreuk heeft plaatsgevonden. Het is belangrijk om deze acties snel uit te voeren om te voorkomen dat aanvallers toegang krijgen tot Azure-beheerinterfaces.
Voor break-glass accounts die zijn uitgesloten van het MFA-beleid, moet extra monitoring en remediatie worden geïmplementeerd om te verzekeren dat deze accounts niet worden misbruikt. Wanneer monitoring onthult dat een break-glass account is gebruikt, moet onmiddellijk worden onderzocht waarom dit account is gebruikt en of het gebruik legitiem was. Als het gebruik niet legitiem was, moeten de referenties worden gereset en moet het account worden beveiligd. Bovendien moeten alle activiteiten van break-glass accounts worden gelogd en geaudit voor compliance doeleinden.
Na het uitvoeren van remediatie-activiteiten is het essentieel om te verifiëren dat de remediatie succesvol is geweest en dat het MFA-beleid nu correct functioneert. Dit kan worden gedaan door testtoegangspogingen uit te voeren tot Azure-beheerinterfaces en te verifiëren dat MFA wordt vereist, door de sign-in logs te controleren om te bevestigen dat MFA-verificaties worden geregistreerd, en door de beleidsconfiguratie opnieuw te controleren om te verzekeren dat alle instellingen correct zijn. Alleen na succesvolle verificatie kan de remediatie als voltooid worden beschouwd.
Gebruik PowerShell-script ca-mfa-azure-management.ps1 (functie Invoke-Remediation) – Automatische remediatie van het MFA-beleid voor Azure-beheerinterfaces.
Compliance & Frameworks
- CIS M365: Control 1.28 (L1) - Zorg ervoor dat meervoudige authenticatie is vereist voor Azure-beheer
- BIO: 09.04 - BIO: meervoudige authenticatie voor geprivilegieerde toegang
- ISO 27001:2022: A.9.4.3 - Toegangscontrole voor beheersystemen
- NIS2: Artikel - Bescherming van geprivilegieerde toegang
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
CA MFA Azure Management
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 1.11
Controleert MFA requirement voor Azure Management.
.NOTES
Filename: ca-mfa-azure-management.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 1.11
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "CA MFA Azure Management"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer Conditional Access policies:" -ForegroundColor Gray
Write-Host " - MFA required voor Azure Management" -ForegroundColor Gray
Write-Host " - Cloud apps: Microsoft Azure Management" -ForegroundColor Gray
Write-Host " - Users: All users" -ForegroundColor Gray
Write-Host " - Grant: Require MFA" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: MFA for Azure Management" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer Conditional Access policies:" -ForegroundColor Gray
Write-Host " - MFA required voor Azure Management" -ForegroundColor Gray
Write-Host " - Cloud apps: Microsoft Azure Management" -ForegroundColor Gray
Write-Host " - Users: All users" -ForegroundColor Gray
Write-Host " - Grant: Require MFA" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: MFA for Azure Management" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Critical: Azure-beheer zonder meervoudige authenticatie betekent dat een gecompromitteerd wachtwoord kan leiden tot volledige overname van de infrastructuur. Ransomware-actoren kunnen virtuele machines verwijderen, back-ups wissen en netwerkisolatie doorbreken. Herstel kan weken duren en meer dan 500.000 euro kosten. Meervoudige authenticatie blokkeert 99,9 procent van de aanvallen. Naleving vereist: CIS 1.28, BIO 9.04, NIS2. Het risico is kritiek voor alle Azure-omgevingen.
Management Samenvatting
Voorwaardelijke toegang MFA voor Azure-beheer: vereis meervoudige authenticatie voor Azure Portal, Azure CLI, Azure PowerShell en Azure mobiele app-toegang. Activatie: voorwaardelijke toegang → Cloud-app: Microsoft Azure Management → MFA vereisen. Geen extra kosten. Verplicht volgens CIS 1.28, BIO 9.04, NIS2. Implementatietijd: 1 uur. Niet-onderhandelbaar - absolute must-have.
- Implementatietijd: 2 uur
- FTE required: 0.02 FTE