💼 Management Samenvatting
Internet of Things (IoT) omgevingen vormen een unieke beveiligingsuitdaging voor Nederlandse overheidsorganisaties die steeds meer afhankelijk worden van verbonden apparaten voor kritieke dienstverlening. Deze index pagina biedt een overzicht van alle IoT-beveiligingsaspecten die relevant zijn voor Azure-omgevingen en helpt organisaties om een samenhangend, aantoonbaar beveiligingsraamwerk op te bouwen dat voldoet aan de Baseline Informatiebeveiliging Overheid (BIO), de NIS2 richtlijn en andere relevante normenkaders voor kritieke infrastructuren.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
9/10
Implementatie
180u (tech: 80u)
Van toepassing op:
✓ Azure IoT Hub
✓ Azure IoT Central
✓ Azure IoT Edge
✓ IoT Devices
✓ Azure IoT Central
✓ Azure IoT Edge
✓ IoT Devices
IoT-apparaten worden steeds vaker ingezet in kritieke infrastructuren zoals verkeerssystemen, waterbeheer, energie-infrastructuur en openbare veiligheid. Deze apparaten zijn echter vaak inherent kwetsbaar: zij beschikken over beperkte rekenkracht voor geavanceerde beveiliging, draaien op verouderde firmware, gebruiken zwakke authenticatiemechanismen en communiceren via onversleutelde protocollen. Cybercriminelen misbruiken deze kwetsbaarheden voor verschillende kwaadaardige doeleinden, waaronder het opzetten van botnets zoals het beruchte Mirai-botnet, laterale beweging naar bedrijfsnetwerken, gedistribueerde denial-of-service aanvallen (DDoS), cryptomining, diefstal van gegevens via sensoren en de verspreiding van ransomware. Zonder een doordacht IoT-beveiligingsraamwerk ontstaat het risico dat organisaties niet kunnen aantonen dat zij passende maatregelen hebben genomen om IoT-omgevingen te beveiligen, wat kan leiden tot niet-naleving van BIO, NIS2 en andere relevante wet- en regelgeving, boetes, reputatieschade en bestuurlijke aansprakelijkheid bij incidenten.
PowerShell Modules Vereist
Primary API: Azure IoT Hub API, Azure Resource Manager API, Microsoft Defender for IoT
Connection:
Required Modules: Az.Accounts, Az.IotHub, Az.Security
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.IotHub, Az.Security
Implementatie
Dit index-artikel fungeert als centrale verzamelplaats voor alle IoT-beveiligingsgerelateerde artikelen binnen de Azure-domein van de 'Nederlandse Baseline voor Veilige Cloud'. We behandelen de belangrijkste beveiligingsuitdagingen die specifiek zijn voor IoT-omgevingen, beschrijven hoe deze worden vertaald naar concrete Azure-services en configuraties, en laten zien hoe organisaties een volwassen IoT-beveiligingsproces kunnen opzetten. Het artikel verbindt specifieke IoT-beveiligingsartikelen zoals device identity management, firmware-updates, industriële beveiligingspatronen, IoT device security, netwerksegmentatie volgens het Purdue-model en OT-beveiligingsgovernance, en biedt handvatten voor governance, monitoring en incident response. Daarnaast beschrijft het artikel hoe IoT-beveiliging wordt gemeten, gerapporteerd en continu verbeterd binnen een Azure-omgeving.
Het IoT-beveiligingslandschap voor Nederlandse overheidsorganisaties
Nederlandse overheidsorganisaties die IoT-technologie gebruiken, worden geconfronteerd met een complexe beveiligingsuitdaging die fundamenteel verschilt van traditionele IT-beveiliging. IoT-apparaten zijn vaak embedded systemen met beperkte rekenkracht en geheugen, waardoor zij niet kunnen beschikken over dezelfde beveiligingsmechanismen als traditionele computers. Veel IoT-apparaten draaien op verouderde firmware die niet regelmatig wordt bijgewerkt, gebruiken standaardwachtwoorden die nooit zijn gewijzigd, communiceren via onversleutelde protocollen zoals MQTT zonder TLS, en beschikken niet over ingebouwde beveiligingsmonitoring. Deze kwetsbaarheden maken IoT-apparaten tot een aantrekkelijk doelwit voor cybercriminelen die deze apparaten kunnen compromitteren voor verschillende kwaadaardige doeleinden.
De Baseline Informatiebeveiliging Overheid (BIO) vormt het fundament voor informatiebeveiliging binnen de publieke sector en legt eisen op rond risicomanagement, beveiligingsmaatregelen, incident response en continuïteit. Voor IoT-omgevingen betekent dit dat organisaties moeten kunnen aantonen dat zij passende maatregelen hebben genomen om IoT-apparaten te beveiligen, dat zij processen hebben geïmplementeerd voor het beheren van device identities, dat zij regelmatig firmware-updates uitvoeren, en dat zij netwerksegmentatie hebben geïmplementeerd om IoT-apparaten te isoleren van kritieke bedrijfsnetwerken. De NIS2 richtlijn voegt daar specifieke eisen aan toe voor essentiële en belangrijke entiteiten op het gebied van cybersecurity-maatregelen, incidentmeldingen en supply chain security, waarbij IoT-apparaten vaak onderdeel vormen van kritieke infrastructuren die onder de reikwijdte van NIS2 vallen.
Azure IoT Hub fungeert vaak als de centrale gateway naar duizenden verbonden apparaten, waardoor het een kritiek aanvalsoppervlak vormt voor potentiële indringers. Traditionele beveiligingsoplossingen begrijpen IoT-protocollen zoals MQTT, AMQP en CoAP niet volledig en kunnen daarom IoT-specifieke bedreigingen niet effectief detecteren. Dit creëert een gevaarlijke blinde vlek in de beveiligingspostuur van organisaties die afhankelijk zijn van IoT-technologie. Microsoft biedt verschillende Azure-services om deze uitdagingen aan te pakken, waaronder Azure IoT Hub voor device connectivity en management, Azure IoT Edge voor edge computing, Microsoft Defender for IoT voor threat detection, en Azure Device Provisioning Service voor veilige device onboarding. Deze services moeten worden geconfigureerd volgens best practices om een volwassen IoT-beveiligingsraamwerk te realiseren.
Implementatieframework: van device onboarding tot continue monitoring
Het implementeren van een volwassen IoT-beveiligingsraamwerk in Azure begint met het veilig onboarden van apparaten. Device identity management vormt de fundamentele basis voor IoT-beveiliging: elk apparaat moet een unieke identiteit hebben die wordt geverifieerd voordat het apparaat toegang krijgt tot de IoT-infrastructuur. Azure IoT Hub ondersteunt verschillende authenticatiemechanismen, waaronder symmetrische sleutels, X.509 certificaten en shared access signatures (SAS). Voor productie-omgevingen wordt sterk aanbevolen om X.509 certificaten te gebruiken, omdat deze cryptografisch sterker zijn dan symmetrische sleutels en beter geschikt zijn voor schaalbare implementaties. De Azure Device Provisioning Service (DPS) kan worden gebruikt om apparaten automatisch en veilig te registreren bij IoT Hub, waarbij device identities worden gegenereerd en geverifieerd voordat apparaten toegang krijgen tot de IoT-infrastructuur.
Firmware-updates vormen een kritiek onderdeel van IoT-beveiliging, omdat veel beveiligingsincidenten het gevolg zijn van bekende kwetsbaarheden in verouderde firmware. Azure IoT Hub biedt Device Management functionaliteit waarmee organisaties firmware-updates kunnen uitrollen naar IoT-apparaten via over-the-air (OTA) updates. Deze functionaliteit maakt het mogelijk om updates veilig te distribueren, de status van updates te monitoren en rollback uit te voeren wanneer updates problemen veroorzaken. Voor organisaties die moeten voldoen aan BIO en NIS2 is het essentieel om een proces te hebben voor het regelmatig bijwerken van firmware, waarbij kwetsbaarheden worden geïdentificeerd, patches worden getest en updates worden uitgerold naar alle relevante apparaten. Het ontbreken van een gestructureerd firmware-update proces kan leiden tot niet-naleving van compliance-vereisten en verhoogde risico's op beveiligingsincidenten.
Netwerksegmentatie is essentieel voor het isoleren van IoT-apparaten van kritieke bedrijfsnetwerken. Het Purdue-model voor industriële netwerken biedt een gestructureerde aanpak voor netwerksegmentatie, waarbij netwerken worden opgedeeld in verschillende niveaus (Level 0 tot Level 5) met specifieke beveiligingscontroles per niveau. Azure Virtual Networks en Network Security Groups kunnen worden gebruikt om netwerksegmentatie te implementeren, waarbij IoT-apparaten worden geïsoleerd in specifieke subnetten met strikte firewallregels die alleen noodzakelijke communicatie toestaan. Voor organisaties die operationele technologie (OT) gebruiken, zoals SCADA-systemen en industriële controlesystemen, is netwerksegmentatie nog kritieker omdat deze systemen vaak draaien op verouderde software die niet kan worden bijgewerkt zonder operationele verstoringen. Door OT-netwerken te segmenteren en te isoleren van IT-netwerken kunnen organisaties de impact van beveiligingsincidenten beperken en voldoen aan compliance-vereisten voor kritieke infrastructuren.
Microsoft Defender for IoT biedt geavanceerde threat detection voor IoT-omgevingen door middel van gedragsanalyse van apparaten, kwetsbaarheidsscanning van firmware en gespecialiseerde bedreigingsinformatie voor IoT-systemen. De service detecteert proactief cyberaanvallen die specifiek gericht zijn op IoT-infrastructuren en helpt organisaties hun IoT-ecosysteem te beschermen tegen moderne bedreigingen. Defender for IoT biedt continue monitoring van IoT Hub-telemetrie, anomaliedetectie voor apparaatgedrag zoals ongebruikelijke datavolumes en afwijkende verbindingspatronen, kwetsbaarheidsbeoordeling voor apparaatfirmware, detectie van gecompromitteerde apparaten, analyse van IoT-protocollen inclusief MQTT, AMQP en CoAP, en beveiligingsaanbevelingen per apparaat. Voor organisaties die moeten voldoen aan BIO en NIS2 is het essentieel om Defender for IoT te activeren en te configureren, omdat deze service de detectiecapaciteiten biedt die nodig zijn om beveiligingsincidenten snel te identificeren en te reageren.
Monitoring, detectie en incident response voor IoT-omgevingen
Gebruik PowerShell-script index.ps1 (functie Invoke-Monitoring) – Geeft een overzicht van de IoT-beveiligingsstatus van de Azure-omgeving, inclusief IoT Hub-configuraties, device identities, Defender for IoT-status en belangrijke beveiligingsindicatoren..
Effectieve monitoring van IoT-beveiliging vereist een combinatie van technische monitoringtools en organisatorische processen. Azure IoT Hub biedt uitgebreide logging en monitoring functionaliteit via Azure Monitor, waarbij alle device-to-cloud en cloud-to-device berichten worden gelogd, evenals device management operaties, twin updates en connection events. Deze logs kunnen worden geëxporteerd naar Azure Log Analytics voor geavanceerde analyses en correlaties met andere beveiligingsgebeurtenissen. Microsoft Defender for IoT voegt daar IoT-specifieke threat detection aan toe, waarbij anomalieën in device gedrag worden gedetecteerd en waarschuwingen worden gegenereerd wanneer verdachte activiteiten worden geïdentificeerd. Voor organisaties die moeten voldoen aan BIO en NIS2 is het essentieel om deze monitoringcapaciteiten te activeren en te configureren, omdat zij de detectiecapaciteiten bieden die nodig zijn om beveiligingsincidenten snel te identificeren en te reageren.
Incident response voor IoT-omgevingen vereist specifieke expertise omdat IoT-apparaten vaak draaien op embedded systemen met beperkte loggingcapaciteiten en omdat IoT-protocollen zoals MQTT en CoAP anders werken dan traditionele IT-protocollen. Wanneer een IoT-apparaat wordt gecompromitteerd, moet het security team snel kunnen identificeren welk apparaat is aangetast, welke data is gelekt of gemanipuleerd, en welke andere apparaten mogelijk zijn gecompromitteerd. Microsoft Defender for IoT biedt gedetailleerde forensische informatie over IoT-incidenten, waarbij device gedrag wordt geanalyseerd, kwetsbaarheden worden geïdentificeerd en aanbevelingen worden gegeven voor remediatie. Voor organisaties die moeten voldoen aan NIS2 is het essentieel om processen te hebben voor het melden van beveiligingsincidenten aan de bevoegde autoriteiten, waarbij IoT-incidenten die impact hebben op kritieke infrastructuren binnen de vereiste tijdsframes moeten worden gemeld.
Continue verbetering van IoT-beveiliging vereist een gestructureerde aanpak waarbij bevindingen uit monitoring worden vertaald naar concrete verbeteracties. Niet-conforme apparaten moeten worden geanalyseerd: wat is de oorzaak (bijvoorbeeld verouderde firmware, zwakke authenticatie, of ontbrekende netwerksegmentatie), wat is de impact op risico's en compliance, en wat is de beste remediatiestrategie? Sommige afwijkingen kunnen automatisch worden opgelost via Azure Policy of Defender for IoT remediation tasks, andere vereisen handmatige interventie of procesaanpassingen. Belangrijk is dat verbeteracties worden voorzien van een eigenaar, deadline en prioriteit, en dat de voortgang wordt gemonitord totdat de afwijking is opgelost. Door dit proces expliciet te maken en te koppelen aan het bredere risicomanagement- en changeproces, ontstaat een transparante keten van bevinding → analyse → maatregel → verificatie → rest-risico. Dit sluit rechtstreeks aan bij de eisen uit BIO, ISO 27001 en NIS2 rond continue verbetering en aantoonbaarheid van beheersmaatregelen.
Governance en relatie met andere IoT-beveiligingsartikelen
IoT-beveiliging in Azure is geen geïsoleerde discipline, maar moet worden ingebed in een breder governance-raamwerk dat enterprise architectuur, risicomanagement, security operations en change management met elkaar verbindt. Zonder duidelijke governance ontstaat het risico dat IoT-beveiliging wordt gezien als een lastige verplichting die vooral tijdens audits belangrijk is, in plaats van een integraal onderdeel van de IoT-strategie. Een effectief governance-model benoemt daarom expliciete rollen en verantwoordelijkheden: wie is eindverantwoordelijk voor IoT-beveiliging (vaak de CISO of IoT security architect), wie beheert device identities en firmware-updates (vaak een IoT operations team), wie voert security assessments uit (vaak interne audit of een gespecialiseerd team), en wie rapporteert richting bestuur en toezichthouders? Deze rollen worden vertaald naar concrete taken en processen die vastgelegd worden in governance-documenten, zodat zij organisatiebreed herkenbaar zijn.
Dit index-artikel moet expliciet worden gelezen in samenhang met andere IoT-beveiligingsartikelen binnen de 'Nederlandse Baseline voor Veilige Cloud'. Het artikel over device identity management beschrijft hoe apparaten veilig worden geregistreerd en geverifieerd bij Azure IoT Hub. Het artikel over firmware-updates behandelt hoe organisaties een gestructureerd proces kunnen opzetten voor het bijwerken van IoT-device firmware. Het artikel over industriële beveiligingspatronen beschrijft hoe organisaties netwerksegmentatie kunnen implementeren volgens het Purdue-model. Het artikel over IoT device security gaat dieper in op de specifieke beveiligingsmaatregelen die moeten worden geïmplementeerd op IoT-apparaten zelf. Het artikel over netwerksegmentatie volgens het Purdue-model behandelt hoe OT-netwerken kunnen worden geïsoleerd van IT-netwerken. Het artikel over OT-beveiligingsgovernance beschrijft hoe organisaties een volwassen governance-proces kunnen opzetten voor operationele technologie. Samen vormen deze artikelen een compleet beeld: dit index-artikel schetst de overkoepelende lijnen en het governance-kader, terwijl de deelartikelen verdieping bieden op specifieke IoT-beveiligingsaspecten en technische implementaties.
Voor auditors en toezichthouders is vooral van belang dat de samenhang tussen beleid, technische configuraties, monitoring en remediatie aantoonbaar is. Dat betekent dat u niet alleen IoT-beveiligingsdocumenten en procesbeschrijvingen beschikbaar heeft, maar ook concreet kunt laten zien welke Azure IoT Hub-configuraties zijn toegepast, hoe device identities worden beheerd, hoe firmware-updates worden uitgerold, hoe netwerksegmentatie is geïmplementeerd en hoe Defender for IoT is geconfigureerd. De in dit domein beschreven PowerShell-scripts – waaronder het index-script bij dit artikel en de scripts voor specifieke IoT-beveiligingsaspecten – helpen om deze informatie snel en reproduceerbaar te verzamelen. Door hun output te koppelen aan dashboards en rapportages wordt IoT-beveiliging niet beperkt tot papieren documenten, maar ondersteund door actuele operationele data die aantoonbaar maakt dat het IoT-beveiligingsraamwerk daadwerkelijk wordt nageleefd, gemonitord en verbeterd. Dit vormt de basis voor vertrouwen bij toezichthouders en het bestuur, en helpt om IoT-beveiliging te positioneren als een proactieve, waarde-toevoegende activiteit in plaats van een reactieve, lastige verplichting.
Remediatie en volwassenwording van Azure IoT-beveiliging
Gebruik PowerShell-script index.ps1 (functie Invoke-Remediation) – Genereert overzichten van IoT-beveiligingshiaten en biedt handvatten voor gerichte verbeteracties om de IoT-beveiligingsvolwassenheid te verhogen..
Remediatie binnen het Azure IoT-beveiligingsdomein betekent in de praktijk dat u gaten dicht tussen de gewenste IoT-beveiligingsstatus en de werkelijkheid. In veel organisaties bestaan al wel beleidsdocumenten over IoT-beveiliging, maar ontbreekt concrete vastlegging van hoe deze worden vertaald naar Azure IoT Hub-configuraties, welke device identities daadwerkelijk zijn geconfigureerd, hoe firmware-updates worden beheerd, en hoe IoT-beveiliging wordt gemonitord en verbeterd. Het index-script ondersteunt remediatie door automatisch te inventariseren waar IoT-beveiligingsvereisten niet worden nageleefd, waar belangrijke configuraties ontbreken, waar Defender for IoT niet is geactiveerd, en waar documentatie verouderd of incompleet is. Op basis van deze inventarisatie kunnen gerichte verbeteracties worden gepland en uitgevoerd, waarbij prioriteit wordt gegeven aan de meest kritieke hiaten die de grootste impact hebben op risico's en wettelijke naleving.
Een volwassen Azure IoT-beveiligingsraamwerk groeit stap voor stap door continue verbetering. Na elke monitoringsronde worden de belangrijkste verbeterpunten vastgelegd, van een eigenaar voorzien en ingepland in het reguliere change- of verbeterportfolio. Denk aan het implementeren van ontbrekende Azure IoT Hub-beveiligingsconfiguraties, het activeren van Defender for IoT, het verbeteren van device identity management, het invoeren van gestructureerde firmware-update processen, het implementeren van netwerksegmentatie, het verbeteren van IoT-beveiligingsrapportages en dashboards, het actualiseren van IoT-beveiligingsdocumentatie, of het invoeren van geautomatiseerde remediation workflows. Door de resultaten van het index-script te combineren met de uitkomsten van gespecialiseerde scripts voor specifieke IoT-beveiligingsaspecten ontstaat een integraal beeld van de voortgang. Uiteindelijk wordt Azure IoT-beveiliging zo niet alleen een set van technische configuraties en processen, maar een aantoonbaar beheerst en verantwoord ingericht raamwerk dat continu wordt geëvalueerd en verbeterd om te blijven voldoen aan veranderende eisen, dreigingen en regelgeving.
Compliance & Frameworks
- BIO: 08.03.01, 09.01.02, 09.02.01, 12.01, 12.05, 17.01 - IoT-beveiliging voor kritieke infrastructuren, inclusief device identity management, firmware-updates, netwerksegmentatie en incident response.
- ISO 27001:2022: A.8.16, A.12.1, A.12.7, A.18.1.3 - Informatiebeveiligingsmanagementsysteem voor IoT-omgevingen, inclusief device security, netwerkbeveiliging en continue monitoring.
- NIS2: Artikel - Risicobeheersing, incident response en beveiligingsmaatregelen voor essentiële en belangrijke entiteiten met IoT-infrastructuren.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Overzichtsmonitoring en remediatie voor Azure IoT Security-status
.DESCRIPTION
Geeft een samenvattend beeld van de IoT-beveiligingsstatus van de Azure-omgeving,
inclusief IoT Hub-configuraties, device identities, Defender for IoT-status en belangrijke beveiligingsindicatoren.
Ondersteunt het gericht identificeren en dichten van IoT-beveiligingshiaten.
.NOTES
Filename: index.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-11-26
Last Modified: 2025-11-26
Version: 1.0
Related JSON: content/azure/iot-security/index.json
.LINK
https://github.com/[org]/m365-tenant-best-practise
.EXAMPLE
.\index.ps1 -Monitoring
Toont een samenvattend overzicht van Azure IoT-beveiligingsstatus en belangrijke indicatoren.
.EXAMPLE
.\index.ps1 -Remediation
Genereert een overzicht van IoT-beveiligingshiaten en biedt handvatten voor verbeteracties.
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.IotHub, Az.Security
[CmdletBinding()]
param(
[Parameter(HelpMessage = "Voer een samenvattende monitoring uit van de Azure IoT-beveiligingsstatus.")]
[switch]$Monitoring,
[Parameter(HelpMessage = "Genereer remediatie-overzichten en handvatten voor IoT-beveiligingsverbeteringen.")]
[switch]$Remediation,
[Parameter(HelpMessage = "Toon welke acties zouden worden uitgevoerd zonder daadwerkelijk te wijzigen.")]
[switch]$WhatIf
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
function Get-RepositoryRoot {
<#
.SYNOPSIS
Bepaalt de rootmap van de repository op basis van de locatie van dit script.
.OUTPUTS
String met pad naar repository-root.
#>
[CmdletBinding()]
param()
$root = Resolve-Path (Join-Path $PSScriptRoot "..\..\..") -ErrorAction SilentlyContinue
if (-not $root) {
throw "Kon de repository-root niet bepalen op basis van PSScriptRoot: $PSScriptRoot"
}
return $root.Path
}
function Get-IoTSecurityInventory {
<#
.SYNOPSIS
Stelt een overzicht op van Azure IoT-beveiligingsgerelateerde JSON- en PS1-bestanden.
.OUTPUTS
PSCustomObject met aantallen en details.
#>
[CmdletBinding()]
param()
$repoRoot = Get-RepositoryRoot
$contentRoot = Join-Path $repoRoot "content\azure\iot-security"
$codeRoot = Join-Path $repoRoot "code\azure\iot-security"
$jsonFiles = @()
if (Test-Path -Path $contentRoot) {
$jsonFiles = Get-ChildItem -Path $contentRoot -Filter "*.json" -File -ErrorAction SilentlyContinue
}
$ps1Files = @()
if (Test-Path -Path $codeRoot) {
$ps1Files = Get-ChildItem -Path $codeRoot -Filter "*.ps1" -File -ErrorAction SilentlyContinue
}
$byName = @{}
foreach ($json in $jsonFiles) {
$base = [System.IO.Path]::GetFileNameWithoutExtension($json.Name)
if (-not $byName.ContainsKey($base)) {
$byName[$base] = [pscustomobject]@{
Name = $base
JsonPath = $null
JsonUpdated = $null
ScriptPath = $null
ScriptUpdated= $null
}
}
$entry = $byName[$base]
$entry.JsonPath = $json.FullName
$entry.JsonUpdated = $json.LastWriteTime
$byName[$base] = $entry
}
foreach ($ps1 in $ps1Files) {
$base = [System.IO.Path]::GetFileNameWithoutExtension($ps1.Name)
if (-not $byName.ContainsKey($base)) {
$byName[$base] = [pscustomobject]@{
Name = $base
JsonPath = $null
JsonUpdated = $null
ScriptPath = $null
ScriptUpdated= $null
}
}
$entry = $byName[$base]
$entry.ScriptPath = $ps1.FullName
$entry.ScriptUpdated = $ps1.LastWriteTime
$byName[$base] = $entry
}
$items = $byName.Values | Sort-Object Name
$missingJson = $items | Where-Object { -not $_.JsonPath }
$missingScript = $items | Where-Object { -not $_.ScriptPath }
return [pscustomobject]@{
RepositoryRoot = $repoRoot
Items = $items
MissingJson = $missingJson
MissingScripts = $missingScript
TotalControls = $items.Count
WithJsonAndPs1 = ($items | Where-Object { $_.JsonPath -and $_.ScriptPath }).Count
}
}
function Test-AzureConnection {
<#
.SYNOPSIS
Controleert of er een actieve Azure-verbinding bestaat.
.OUTPUTS
Boolean: $true als verbonden, anders $false
#>
[CmdletBinding()]
param()
try {
$context = Get-AzContext -ErrorAction Stop
if ($context) {
Write-Verbose "Azure-verbinding actief: $($context.Account.Id) in tenant $($context.Tenant.Id)"
return $true
}
return $false
}
catch {
Write-Verbose "Geen actieve Azure-verbinding: $_"
return $false
}
}
function Get-AzureIoTSecurityStatus {
<#
.SYNOPSIS
Inventariseert de IoT-beveiligingsstatus van de Azure-omgeving.
.OUTPUTS
PSCustomObject met IoT-beveiligingsstatus.
#>
[CmdletBinding()]
param()
$isConnected = Test-AzureConnection
if (-not $isConnected) {
Write-Warning "Geen actieve Azure-verbinding. Alleen repository-inventarisatie wordt uitgevoerd."
return [pscustomobject]@{
AzureConnected = $false
IoTHubs = 0
DefenderForIoTEnabled = $false
DevicesWithX509 = 0
TotalDevices = 0
}
}
try {
Write-Verbose "Inventariseren van Azure IoT-beveiligingsstatus..."
$subscriptions = @()
try {
$subscriptions = Get-AzSubscription -ErrorAction SilentlyContinue | Where-Object { $_.State -eq 'Enabled' }
}
catch {
Write-Verbose "Kon subscriptions niet ophalen: $_"
}
$totalIoTHubs = 0
$defenderForIoTEnabled = $false
$totalDevices = 0
$devicesWithX509 = 0
foreach ($sub in $subscriptions) {
Set-AzContext -SubscriptionId $sub.Id -ErrorAction SilentlyContinue | Out-Null
try {
# Haal IoT Hubs op
$iotHubs = Get-AzIotHub -ErrorAction SilentlyContinue
$totalIoTHubs += $iotHubs.Count
foreach ($hub in $iotHubs) {
try {
# Haal devices op voor deze hub
$devices = Get-AzIotHubDevice -ResourceGroupName $hub.ResourceGroupName -IotHubName $hub.Name -ErrorAction SilentlyContinue
$totalDevices += $devices.Count
# Controleer of devices X.509 certificaten gebruiken (vereist gedetailleerde device query)
# Dit is een vereenvoudigde check - in productie zou je per device de authentication type moeten controleren
}
catch {
Write-Verbose "Kon devices niet ophalen voor IoT Hub '$($hub.Name)': $_"
}
}
# Controleer of Defender for IoT is ingeschakeld (vereist Az.Security module)
try {
$defenderSettings = Get-AzSecurityPricing -Name "IoT" -ErrorAction SilentlyContinue
if ($defenderSettings -and $defenderSettings.PricingTier -ne 'Free') {
$defenderForIoTEnabled = $true
}
}
catch {
Write-Verbose "Kon Defender for IoT status niet ophalen (mogelijk niet geconfigureerd): $_"
}
}
catch {
Write-Verbose "Kon IoT-beveiligingsstatus voor subscription '$($sub.Name)' niet ophalen: $_"
}
}
return [pscustomobject]@{
AzureConnected = $true
IoTHubs = $totalIoTHubs
DefenderForIoTEnabled = $defenderForIoTEnabled
DevicesWithX509 = $devicesWithX509
TotalDevices = $totalDevices
}
}
catch {
Write-Warning "Fout bij inventariseren van Azure IoT-beveiligingsstatus: $_"
return [pscustomobject]@{
AzureConnected = $false
IoTHubs = 0
DefenderForIoTEnabled = $false
DevicesWithX509 = 0
TotalDevices = 0
}
}
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Voert een samenvattende monitoring uit van Azure IoT-beveiligingsstatus.
.OUTPUTS
PSCustomObject met overzichtsresultaten.
#>
[CmdletBinding()]
param()
Write-Host "`nMonitoring: Azure IoT Security overzicht" -ForegroundColor Yellow
Write-Host "=========================================" -ForegroundColor Yellow
$inventory = Get-IoTSecurityInventory
$iotStatus = Get-AzureIoTSecurityStatus
Write-Host "`nRepository-root: $($inventory.RepositoryRoot)" -ForegroundColor Cyan
Write-Host "Totaal Azure IoT security controls (JSON/PS1-combinaties): $($inventory.TotalControls)" -ForegroundColor Cyan
Write-Host "Volledig gekoppeld (JSON + PS1): $($inventory.WithJsonAndPs1)" -ForegroundColor Cyan
if ($iotStatus.AzureConnected) {
Write-Host "`nAzure IoT-beveiligingsstatus:" -ForegroundColor Cyan
Write-Host " IoT Hubs gevonden: $($iotStatus.IoTHubs)" -ForegroundColor Gray
Write-Host " Totaal geregistreerde devices: $($iotStatus.TotalDevices)" -ForegroundColor Gray
if ($iotStatus.DefenderForIoTEnabled) {
Write-Host " Defender for IoT: INGESCHAKELD" -ForegroundColor Green
} else {
Write-Host " Defender for IoT: UITGESCHAKELD of niet geconfigureerd" -ForegroundColor Yellow
}
}
else {
Write-Host "`n⚠️ Geen actieve Azure-verbinding. Verbind met Connect-AzAccount voor volledige IoT-beveiligingsmonitoring." -ForegroundColor Yellow
}
if ($inventory.MissingJson.Count -gt 0) {
Write-Host "`n❌ Ontbrekende JSON voor de volgende scripts:" -ForegroundColor Red
foreach ($item in $inventory.MissingJson) {
Write-Host " - $($item.Name) (script: $($item.ScriptPath))" -ForegroundColor Red
}
}
if ($inventory.MissingScripts.Count -gt 0) {
Write-Host "`n❌ Ontbrekende PS1-scripts voor de volgende JSON-bestanden:" -ForegroundColor Red
foreach ($item in $inventory.MissingScripts) {
Write-Host " - $($item.Name) (json: $($item.JsonPath))" -ForegroundColor Red
}
}
if (($inventory.MissingJson.Count -eq 0) -and ($inventory.MissingScripts.Count -eq 0)) {
Write-Host "`n✅ Alle Azure IoT-beveiligingsartikelen hebben zowel JSON als PS1." -ForegroundColor Green
}
else {
Write-Host "`n⚠️ Er zijn nog hiaten in de JSON/PS1-koppeling voor Azure IoT-beveiliging." -ForegroundColor Yellow
Write-Host " Gebruik -Remediation om gericht met deze hiaten aan de slag te gaan." -ForegroundColor Yellow
}
# IoT-beveiliging evaluatie
$isCompliant = $true
if ($iotStatus.AzureConnected) {
if ($iotStatus.IoTHubs -gt 0 -and -not $iotStatus.DefenderForIoTEnabled) {
$isCompliant = $false
Write-Host "`n⚠️ IoT Hubs gevonden maar Defender for IoT is niet ingeschakeld. Activeer Defender for IoT voor threat detection." -ForegroundColor Yellow
}
if ($iotStatus.IoTHubs -eq 0) {
Write-Host "`nℹ️ Geen IoT Hubs gevonden in deze omgeving." -ForegroundColor Cyan
}
}
return [pscustomobject]@{
Inventory = $inventory
IoTSecurityStatus = $iotStatus
IsCompliant = $isCompliant
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Ondersteunt remediatie door IoT-beveiligingshiaten inzichtelijk te maken en handvatten te bieden voor verbeteracties.
.OUTPUTS
PSCustomObject met remediatieadvies.
#>
[CmdletBinding()]
param()
Write-Host "`nRemediatie: Azure IoT Security verbetering" -ForegroundColor Yellow
Write-Host "==========================================" -ForegroundColor Yellow
$inventory = Get-IoTSecurityInventory
$iotStatus = Get-AzureIoTSecurityStatus
$repoRoot = $inventory.RepositoryRoot
$actions = @()
Write-Host "`nIoT-beveiligingshiaten analyse:" -ForegroundColor Cyan
if ($iotStatus.AzureConnected) {
if ($iotStatus.IoTHubs -gt 0 -and -not $iotStatus.DefenderForIoTEnabled) {
$action = [pscustomobject]@{
Priority = "High"
Issue = "Defender for IoT niet ingeschakeld"
Count = $iotStatus.IoTHubs
Recommendation = "Activeer Microsoft Defender for IoT op subscriptions met IoT Hubs voor geavanceerde threat detection en kwetsbaarheidsbeoordeling."
}
$actions += $action
Write-Host " ❌ $($action.Issue): $($action.Count) IoT Hub(s)" -ForegroundColor Red
Write-Host " → $($action.Recommendation)" -ForegroundColor Gray
}
if ($iotStatus.TotalDevices -gt 0) {
Write-Host " ℹ️ Totaal geregistreerde devices: $($iotStatus.TotalDevices)" -ForegroundColor Cyan
Write-Host " → Controleer of alle devices X.509 certificaten gebruiken in plaats van symmetrische sleutels" -ForegroundColor Gray
Write-Host " → Implementeer regelmatige firmware-updates voor alle IoT-devices" -ForegroundColor Gray
Write-Host " → Zorg voor netwerksegmentatie om IoT-apparaten te isoleren van kritieke bedrijfsnetwerken" -ForegroundColor Gray
}
}
else {
Write-Host " ⚠️ Verbind met Azure voor gedetailleerde IoT-beveiligingsanalyse" -ForegroundColor Yellow
}
if ($inventory.MissingJson.Count -gt 0 -or $inventory.MissingScripts.Count -gt 0) {
Write-Host "`nRepository-hiaten:" -ForegroundColor Cyan
Write-Host (" Items zonder JSON: {0}" -f $inventory.MissingJson.Count) -ForegroundColor Cyan
Write-Host (" Items zonder script: {0}" -f $inventory.MissingScripts.Count) -ForegroundColor Cyan
Write-Host " → Werk deze hiaten bij om het IoT-beveiligingsraamwerk compleet te maken." -ForegroundColor Gray
}
Write-Host "`nVolgende stappen:" -ForegroundColor Cyan
Write-Host "1. Activeer Microsoft Defender for IoT op alle subscriptions met IoT Hubs" -ForegroundColor White
Write-Host "2. Implementeer X.509 certificaat-gebaseerde authenticatie voor alle IoT-devices" -ForegroundColor White
Write-Host "3. Stel een gestructureerd firmware-update proces op voor alle IoT-apparaten" -ForegroundColor White
Write-Host "4. Implementeer netwerksegmentatie volgens het Purdue-model voor OT-netwerken" -ForegroundColor White
Write-Host "5. Configureer uitgebreide logging en monitoring voor IoT Hub-activiteiten" -ForegroundColor White
Write-Host "6. Voer regelmatige IoT-beveiligingsassessments uit" -ForegroundColor White
return [pscustomobject]@{
Actions = $actions
Inventory = $inventory
IoTSecurityStatus = $iotStatus
}
}
try {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Azure IoT Security Overzichtsmonitor" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
if ($Monitoring) {
$result = Invoke-Monitoring
if ($result.IsCompliant) {
exit 0
} else {
exit 1
}
}
elseif ($Remediation) {
Invoke-Remediation | Out-Null
}
else {
# Standaard: compacte IoT-beveiligingscheck via monitoring
$result = Invoke-Monitoring
if ($result.IsCompliant -and ($result.Inventory.MissingJson.Count -eq 0) -and ($result.Inventory.MissingScripts.Count -eq 0)) {
Write-Host "`n✅ COMPLIANT" -ForegroundColor Green
exit 0
}
else {
Write-Host "`n❌ NON-COMPLIANT" -ForegroundColor Red
Write-Host "Run met -Monitoring voor gedetailleerde rapportage" -ForegroundColor Yellow
Write-Host "Run met -Remediation voor gericht verbeteradvies" -ForegroundColor Yellow
exit 1
}
}
}
catch {
Write-Error "Er is een fout opgetreden in index.ps1: $_"
exit 2
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder een volwassen IoT-beveiligingsraamwerk in Azure ontstaat het risico dat organisaties niet kunnen aantonen dat zij voldoen aan BIO, NIS2, AVG en andere relevante wet- en regelgeving voor kritieke infrastructuren. IoT-apparaten zijn inherent kwetsbaar en vormen een aantrekkelijk doelwit voor cybercriminelen. Het ontbreken van adequate IoT-beveiliging kan leiden tot botnet-compromittering, laterale beweging naar bedrijfsnetwerken, DDoS-aanvallen, gegevensdiefstal en ransomware. Dit kan resulteren in boetes, verplichte herstelmaatregelen, reputatieschade, verlies van vertrouwen bij burgers en bestuurlijke aansprakelijkheid bij incidenten.
Management Samenvatting
Azure IoT-beveiliging vereist een samenhangend raamwerk dat device identity management, firmware-updates, netwerksegmentatie, threat detection en incident response integreert. Dit index-artikel fungeert als centrale verzamelplaats voor IoT-beveiligingsartikelen en beschrijft governance, implementatie, monitoring en continue verbetering van IoT-beveiliging in Azure-omgevingen.
- Implementatietijd: 180 uur
- FTE required: 0.5 FTE