BIO 12.01 ISO A.8.1.1

Azure Landing Zones: Overzicht, Principes En Implementatie Voor De Nederlandse Publieke Sector

📅 2025-01-27
⏱️ 30 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Azure Landing Zones vormen de fundamentele basis voor veilige, schaalbare en beheersbare cloudomgevingen binnen de Nederlandse publieke sector. Dit index-artikel schetst de overkoepelende principes, design patterns en best practices die organisaties helpen om een robuuste, compliance-gerichte Azure-infrastructuur op te bouwen die voldoet aan de eisen van de Baseline Informatiebeveiliging Overheid (BIO), NIS2 richtlijn en andere relevante wet- en regelgeving.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
200u (tech: 120u)
Van toepassing op:
Azure

Nederlandse overheidsorganisaties die migreren naar Azure of hun bestaande cloudomgevingen willen professionaliseren, staan voor complexe uitdagingen. Zonder een gestructureerde landing zone-aanpak ontstaan versnipperde oplossingen waarin beveiligingsmaatregelen inconsistent worden toegepast, netwerksegmentatie ontbreekt, logging en monitoring onvolledig zijn en compliance-vereisten moeilijk aantoonbaar zijn. Dit leidt tot verhoogde risico's op datalekken, niet-naleving van wet- en regelgeving zoals de AVG en NIS2, en bestuurlijke aansprakelijkheid bij incidenten. Een doordachte landing zone-architectuur zorgt ervoor dat beveiliging, beschikbaarheid, schaalbaarheid en beheerbaarheid vanaf het begin zijn ingebouwd in plaats van achteraf te worden toegevoegd, wat zowel kosten als risico's aanzienlijk verlaagt.

PowerShell Modules Vereist
Primary API: Azure Portal, Azure Resource Manager
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Resources, Az.ManagementGroups

Implementatie

Dit index-artikel positioneert Azure Landing Zones binnen de "Nederlandse Baseline voor Veilige Cloud" en beschrijft hoe organisaties een samenhangend cloudlandschap kunnen opbouwen. We behandelen fundamentele principes zoals management group-hiërarchie, subscription design, netwerkarchitectuur, identiteits- en toegangsbeheer, beveiligingsservices en governance-mechanismen. Het artikel fungeert als kapstok voor meer specifieke artikelen over governance, netwerkarchitectuur, beveiligingsservices en compliance, en beschrijft hoe deze onderdelen samenkomen in een volwassen, aantoonbaar beveiligde cloudomgeving. Daarnaast biedt het artikel handvatten voor governance, architectuurbeheer en periodieke evaluatie van de landing zone-volwassenheid.

Rol en scope van Azure Landing Zones binnen de overheid

Azure Landing Zones in een overheidscontext moeten worden gezien als een strategisch kader dat technische keuzes, beveiligingsmaatregelen en operationele processen met elkaar verbindt tot een samenhangend geheel. In tegenstelling tot ad-hoc implementaties waarbij services en configuraties los van elkaar worden opgezet, vormt een doordachte landing zone-architectuur de ruggengraat die ervoor zorgt dat alle componenten – van management groups tot subscriptions, van netwerken tot identiteiten, van opslag tot applicaties – op een consistente, beveiligde en beheersbare manier samenwerken. Deze architectuur moet expliciet rekening houden met de specifieke eisen die gelden voor Nederlandse overheidsorganisaties, waaronder de Baseline Informatiebeveiliging Overheid (BIO), de NIS2 richtlijn, de Algemene Verordening Gegevensbescherming (AVG) en sectorale wetgeving zoals de Archiefwet.

De primaire rol van Azure Landing Zones is het waarborgen van een veilige, betrouwbare en compliance-gerichte cloudomgeving waarin organisaties hun digitale dienstverlening kunnen uitvoeren zonder onnodige risico's. Dit betekent dat architectuurkeuzes niet alleen technisch correct moeten zijn, maar ook aantoonbaar moeten voldoen aan wettelijke en bestuurlijke vereisten. Een goed ontworpen landing zone maakt het mogelijk om te bewijzen dat passende maatregelen zijn genomen om gegevens te beveiligen, dat toegang tot systemen en gegevens wordt gecontroleerd en gelogd, en dat de organisatie in staat is om snel te reageren op beveiligingsincidenten. Voor auditors, toezichthouders en bestuurders biedt een gedocumenteerde landing zone-architectuur transparantie over hoe beveiliging is ingericht en hoe deze wordt onderhouden.

De scope van Azure Landing Zones binnen de Nederlandse Baseline voor Veilige Cloud omvat alle lagen van de cloudstack: van de management group-hiërarchie en subscription-structuur tot netwerkinfrastructuur en applicaties, van identiteits- en toegangsbeheer tot monitoring en incident response. Het landing zone-landschap moet rekening houden met verschillende workload-typen – van Infrastructure as a Service (IaaS) virtuele machines tot Platform as a Service (PaaS) applicaties en Software as a Service (SaaS) integraties – en moet schaalbaar zijn van kleine pilots tot enterprise-omgevingen die duizenden gebruikers en honderden applicaties ondersteunen. Daarnaast moet de architectuur flexibel genoeg zijn om te kunnen evolueren met nieuwe Azure-services en veranderende businessvereisten, terwijl de fundamentele beveiligingsprincipes consistent blijven.

Implementatieroadmap: van basis naar volwassen landing zone

De implementatie van een volwassen Azure Landing Zone verloopt zelden in één grote stap, maar groeit geleidelijk van een solide basis naar een geavanceerd, geoptimaliseerd landschap. In de eerste fase wordt de fundamentele basis gelegd: een goed gestructureerde management group-hiërarchie die organisatie, omgevingen en workloads logisch organiseert, subscription-design die duidelijk onderscheid maakt tussen productie, test en development omgevingen, basisnetwerkarchitectuur met hub-and-spoke of virtual WAN topologie, basisidentiteitsbeheer via Azure Active Directory, en essentiële beveiligingsservices zoals Microsoft Defender voor Cloud. Deze basislaag zorgt ervoor dat alle resources vanaf het begin worden beschermd en dat er een duidelijke scheiding is tussen verschillende omgevingen en verschillende vertrouwelijkheidsniveaus. In deze fase worden ook de eerste governance-mechanismen ingericht, zoals Azure Policy voor het afdwingen van standaarden en Azure Blueprints voor het snel opzetten van nieuwe omgevingen die voldoen aan compliance-vereisten.

In de volgende fase wordt de landing zone uitgebreid met geavanceerde beveiligingsmaatregelen en operationele processen. Zero Trust-principes worden geïmplementeerd door Conditional Access policies, Just-In-Time toegang, en microsegmentatie van netwerken. Defense in depth wordt versterkt door meerdere beveiligingslagen: netwerkfirewalls, applicatiefirewalls, endpoint protection, data encryption en identity protection werken samen om aanvallen op meerdere niveaus te detecteren en te blokkeren. Monitoring en logging worden uitgebreid met Azure Monitor, Log Analytics en Microsoft Sentinel voor centrale security monitoring en incident response. In deze fase worden ook disaster recovery en business continuity processen ingericht, inclusief geautomatiseerde back-ups, replicatie naar secundaire regio's en geteste herstelprocedures. Subscription-design wordt verfijnd met dedicated subscriptions voor specifieke workloads, cost management en budget controls worden geïmplementeerd, en resource naming conventions en tagging strategies worden gestandaardiseerd.

In de volwassenheidsfase wordt de landing zone geoptimaliseerd en geautomatiseerd. Infrastructure as Code (IaC) met Azure Resource Manager templates, Bicep of Terraform zorgt voor reproduceerbare, versiebeheerde omgevingen. Geautomatiseerde compliance-controles en security assessments worden regelmatig uitgevoerd om te verifiëren dat de landing zone nog steeds voldoet aan alle vereisten. Advanced threat protection, behavioral analytics en machine learning-gebaseerde detectie helpen om zero-day aanvallen en geavanceerde persistent threats (APT's) vroegtijdig te identificeren. Governance wordt volwassen met geautomatiseerde rapportages, dashboards voor bestuurders en geïntegreerde change management processen. Landing zone-operations worden geautomatiseerd met self-service portals voor workload-eigenaren, geautomatiseerde provisioning workflows en geïntegreerde cost optimization. Door deze fasering expliciet te maken in een roadmap – met duidelijke mijlpalen, beslismomenten en success criteria – ontstaat voorspelbaarheid voor bestuurders en wordt het eenvoudiger om investeringen, risico's en baten te verantwoorden.

Governance, compliance en relatie met andere architectuurartikelen

Governance rond Azure Landing Zones raakt meerdere disciplines: enterprise architectuur, informatiebeveiliging, cloud governance, compliance en risk management. Zonder een helder governance-model ontstaat het risico dat landing zone-keuzes versnipperd worden gemaakt, dat verschillende teams verschillende standaarden hanteren, en dat niemand zich eigenaar voelt van de integrale architectuur. Een effectief governance-model benoemt daarom ten minste een enterprise architect die verantwoordelijk is voor de overkoepelende landing zone-visie, een cloud architect die de technische Azure-architectuur beheert, een security architect die beveiligingsaspecten waarborgt, en expliciete rollen voor CISO, privacy officer en compliance officer. Deze rollen worden vertaald naar concrete taken: wie keurt nieuwe landing zone-patronen goed, wie beoordeelt afwijkingen van standaarden, wie beheert de architectuurdocumentatie, en wie beslist over het uitfaseren van verouderde componenten. Deze afspraken worden vastgelegd in governance-documenten, architectuurprincipes en changeprocedures zodat zij organisatiebreed herkenbaar zijn.

Op compliancegebied vormt Azure Landing Zones een kruispunt van verschillende wettelijke kaders. De AVG vereist dat persoonsgegevens adequaat worden beveiligd en dat organisaties kunnen aantonen welke technische en organisatorische maatregelen zijn genomen. De BIO en NIS2 leggen eisen op rond informatiebeveiliging, incident response en continuïteit. ISO 27001 biedt een internationaal erkend framework voor informatiebeveiligingsmanagement. Deze compliance-vereisten moeten expliciet worden vertaald naar landing zone-keuzes: welke encryptie-standaarden worden gebruikt, hoe wordt toegang gecontroleerd, hoe worden logs bewaard, en hoe wordt incident response georganiseerd. Dit index-artikel moet daarom expliciet worden gelezen in samenhang met andere artikelen binnen de "Nederlandse Baseline voor Veilige Cloud", zoals de artikelen over governance, netwerkarchitectuur, identiteitsbeheer, beveiligingsservices en compliance. Samen vormen zij een consistent raamwerk: dit artikel schetst de overkoepelende lijnen, terwijl de deelartikelen verdieping bieden op specifieke landing zone-componenten en technische implementaties.

Voor auditors en toezichthouders is vooral van belang dat de samenhang tussen beleid, landing zone-architectuur, implementatie en operationele controles aantoonbaar is. Dat betekent dat u niet alleen architectuurdiagrammen en procesbeschrijvingen beschikbaar heeft, maar ook concreet kunt laten zien welke Azure-resources er zijn, hoe deze zijn geconfigureerd, hoe vaak security assessments worden uitgevoerd en welke verbeteracties zijn ondernomen na incidenten of bevindingen. De in dit domein beschreven PowerShell-scripts – waaronder het index-script bij dit artikel en de scripts voor specifieke landing zone-componenten – helpen om deze informatie snel en reproduceerbaar te verzamelen. Door hun output te koppelen aan dashboards en rapportages wordt governance niet beperkt tot papieren documenten, maar ondersteund door actuele operationele data die aantoonbaar maakt dat de landing zone-architectuur daadwerkelijk wordt nageleefd en onderhouden.

Monitoring van het Azure Landing Zone-landschap

Gebruik PowerShell-script index.ps1 (functie Invoke-Monitoring) – Geeft een overzicht van de belangrijkste Azure Landing Zone-componenten en controleert of basiselementen aanwezig en correct geconfigureerd zijn..

Monitoring van het Azure Landing Zone-landschap gaat verder dan het bewaken van individuele resources. Bestuurders, enterprise architects en security teams hebben behoefte aan een samenvattend beeld: welke management groups en subscriptions zijn actief, hoe is de hiërarchie ingericht, welke netwerkarchitectuur is geïmplementeerd, welke beveiligingsservices zijn geactiveerd, en zijn er signalen dat de landing zone niet meer voldoet aan compliance-vereisten. Het index-script bij dit artikel inventariseert de belangrijkste landing zone-componenten en vertaalt die naar een compacte managementsamenvatting: hoeveel subscriptions voldoen aan naming conventions, hoeveel netwerken zijn correct gesegmenteerd, welke Defender-services zijn actief, welke Azure Policies zijn geïmplementeerd, en voor welke onderdelen aanvullende acties nodig zijn. Dit vormt een startpunt voor diepgaandere analyses met gespecialiseerde scripts voor specifieke landing zone-componenten, en helpt om het gesprek met bestuur en auditcommissies te structureren rond feitelijke cijfers en meetbare landing zone-volwassenheid.

Effectieve landing zone-monitoring omvat zowel technische als governance-aspecten. Technisch gezien moet worden gemonitord of resources correct zijn geconfigureerd volgens de landing zone-standaarden, of beveiligingsservices actief zijn en correct functioneren, en of er afwijkingen zijn die kunnen wijzen op security risico's of compliance-problemen. Governance-monitoring richt zich op de vraag of landing zone-principes worden nageleefd, of documentatie actueel is, of change management processen correct worden gevolgd, en of er regelmatige reviews plaatsvinden om de landing zone te evalueren en te verbeteren. Door beide aspecten te combineren ontstaat een compleet beeld van de landing zone-volwassenheid en kunnen gerichte verbeteracties worden ondernomen om de architectuur verder te professionaliseren.

Remediatie en volwassenwording van Azure Landing Zones

Gebruik PowerShell-script index.ps1 (functie Invoke-Remediation) – Genereert overzichten van landing zone-hiaten en biedt handvatten voor gerichte verbeteracties om de landing zone-volwassenheid te verhogen..

Remediatie binnen het Azure Landing Zone-domein betekent in de praktijk dat u gaten dicht tussen de gewenste landing zone-architectuur en de werkelijkheid. In veel organisaties bestaan al wel beleidsdocumenten over cloudgebruik, informatiebeveiliging en architectuurprincipes, maar ontbreekt concrete vastlegging van hoe deze worden vertaald naar Azure-configuraties, welke resources daadwerkelijk zijn ingericht, en hoe de landing zone wordt onderhouden en geëvalueerd. Het index-script ondersteunt remediatie door automatisch te inventariseren waar landing zone-standaarden niet worden nageleefd, waar beveiligingsservices ontbreken, en waar documentatie verouderd of incompleet is. Op basis van deze inventarisatie kunnen gerichte verbeteracties worden gepland en uitgevoerd, waarbij prioriteit wordt gegeven aan de meest kritieke hiaten die de grootste impact hebben op beveiliging en compliance.

Een volwassen Azure Landing Zone groeit stap voor stap door continue verbetering. Na elke monitoringsronde worden de belangrijkste verbeterpunten vastgelegd, van een eigenaar voorzien en ingepland in het reguliere change- of verbeterportfolio. Denk aan het standaardiseren van management group-structuren, het implementeren van ontbrekende beveiligingsservices, het verbeteren van netwerksegmentatie, het actualiseren van landing zone-documentatie of het invoeren van geautomatiseerde compliance-controles. Door de resultaten van het index-script te combineren met de uitkomsten van gespecialiseerde scripts voor specifieke landing zone-componenten ontstaat een integraal beeld van de voortgang. Uiteindelijk wordt Azure Landing Zone zo niet alleen een technisch ontwerp, maar een aantoonbaar beheerst en verantwoord ingericht fundament voor de digitale dienstverlening van de organisatie, dat continu wordt geëvalueerd en verbeterd om te blijven voldoen aan veranderende eisen en dreigingen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Azure Landing Zones Monitoring en Remediatie .DESCRIPTION Controleert en handhaaft Azure Landing Zone compliance voor Nederlandse overheidsorganisaties conform BIO, NIS2 en AVG vereisten. Inventariseert management groups, subscriptions, netwerkarchitectuur, beveiligingsservices en governance-mechanismen. .NOTES Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/azure/landing-zones/index.json #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Resources, Az.ManagementGroups, Az.PolicyInsights [CmdletBinding()] param( [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert, [Parameter()][switch]$WhatIf ) $ErrorActionPreference = 'Stop' $script:PolicyName = "Azure Landing Zones" $script:ComplianceThreshold = 80 function Connect-RequiredServices { try { if (-not (Get-AzContext)) { Write-Host "Verbinden met Azure..." -ForegroundColor Yellow Connect-AzAccount -ErrorAction Stop | Out-Null } Write-Verbose "Azure verbinding: OK" } catch { Write-Warning "Fout bij verbinden met Azure: $_" throw } } function Get-ManagementGroupHierarchy { try { Write-Host " Inventariseren van management group-hiërarchie..." -ForegroundColor Gray $mgHierarchy = @{ TotalManagementGroups = 0 RootManagementGroup = $null ManagementGroups = @() HierarchyDepth = 0 } $allMgs = Get-AzManagementGroup -ErrorAction Stop $mgHierarchy.TotalManagementGroups = $allMgs.Count $rootMg = $allMgs | Where-Object { $_.Name -eq (Get-AzTenant).Id } | Select-Object -First 1 if ($rootMg) { $mgHierarchy.RootManagementGroup = $rootMg.DisplayName } foreach ($mg in $allMgs) { $mgInfo = [PSCustomObject]@{ Name = $mg.Name DisplayName = $mg.DisplayName Id = $mg.Id ParentId = $mg.ParentId } $mgHierarchy.ManagementGroups += $mgInfo } # Bereken hiërarchiediepte (vereenvoudigd) $maxDepth = 0 foreach ($mg in $mgHierarchy.ManagementGroups) { $depth = 1 $currentMg = $mg while ($currentMg.ParentId -and $depth -lt 10) { $parentMg = $mgHierarchy.ManagementGroups | Where-Object { $_.Id -eq $currentMg.ParentId } | Select-Object -First 1 if ($parentMg) { $depth++ $currentMg = $parentMg } else { break } } if ($depth -gt $maxDepth) { $maxDepth = $depth } } $mgHierarchy.HierarchyDepth = $maxDepth return $mgHierarchy } catch { Write-Warning "Fout bij inventariseren van management groups: $_" return $null } } function Get-SubscriptionInventory { try { Write-Host " Inventariseren van subscriptions..." -ForegroundColor Gray $subscriptions = Get-AzSubscription -ErrorAction Stop $subAnalysis = @{ TotalSubscriptions = 0 SubscriptionsByState = @{} SubscriptionsByEnvironment = @{} Subscriptions = @() } foreach ($sub in $subscriptions) { $subAnalysis.TotalSubscriptions++ # State tracking $state = $sub.State if (-not $subAnalysis.SubscriptionsByState.ContainsKey($state)) { $subAnalysis.SubscriptionsByState[$state] = 0 } $subAnalysis.SubscriptionsByState[$state]++ # Environment detection (op basis van naam, vereenvoudigd) $env = "Unknown" $subName = $sub.Name.ToLower() if ($subName -match "prod|productie|production") { $env = "Production" } elseif ($subName -match "test|testing") { $env = "Test" } elseif ($subName -match "dev|development|ontwikkel") { $env = "Development" } if (-not $subAnalysis.SubscriptionsByEnvironment.ContainsKey($env)) { $subAnalysis.SubscriptionsByEnvironment[$env] = 0 } $subAnalysis.SubscriptionsByEnvironment[$env]++ $subInfo = [PSCustomObject]@{ SubscriptionId = $sub.Id Name = $sub.Name State = $sub.State Environment = $env } $subAnalysis.Subscriptions += $subInfo } return $subAnalysis } catch { Write-Warning "Fout bij inventariseren van subscriptions: $_" return $null } } function Get-AzurePolicyCompliance { try { Write-Host " Controleren van Azure Policy compliance..." -ForegroundColor Gray $subscriptions = Get-AzSubscription -ErrorAction Stop $policyCompliance = @{ TotalPolicies = 0 CompliantPolicies = 0 NonCompliantResources = 0 PolicyDetails = @() } foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id -ErrorAction SilentlyContinue | Out-Null $assignments = Get-AzPolicyAssignment -ErrorAction SilentlyContinue foreach ($assignment in $assignments) { $policyCompliance.TotalPolicies++ $states = Get-AzPolicyState -PolicyAssignmentName $assignment.Name -ErrorAction SilentlyContinue $compliant = ($states | Where-Object { $_.ComplianceState -eq "Compliant" }).Count $nonCompliant = ($states | Where-Object { $_.ComplianceState -ne "Compliant" }).Count $policyCompliance.PolicyDetails += [PSCustomObject]@{ PolicyName = $assignment.Properties.DisplayName PolicyId = $assignment.ResourceId Subscription = $sub.Name Compliant = $compliant NonCompliant = $nonCompliant } $policyCompliance.NonCompliantResources += $nonCompliant if ($nonCompliant -eq 0 -and $compliant -gt 0) { $policyCompliance.CompliantPolicies++ } } } return $policyCompliance } catch { Write-Warning "Fout bij controleren van Policy compliance: $_" return $null } } function Get-SecurityServicesStatus { try { Write-Host " Controleren van beveiligingsservices..." -ForegroundColor Gray $securityServices = @{ DefenderForCloud = $false Sentinel = $false KeyVaults = 0 LogAnalyticsWorkspaces = 0 } # Check Defender for Cloud (vereenvoudigd - controleer of er resources zijn) try { $defenderSettings = Get-AzSecuritySetting -ErrorAction SilentlyContinue if ($defenderSettings) { $securityServices.DefenderForCloud = $true } } catch { Write-Verbose "Defender for Cloud status niet beschikbaar" } # Check Key Vaults try { $keyVaults = Get-AzKeyVault -ErrorAction SilentlyContinue $securityServices.KeyVaults = $keyVaults.Count } catch { Write-Verbose "Key Vault inventarisatie niet beschikbaar" } # Check Log Analytics Workspaces try { $workspaces = Get-AzOperationalInsightsWorkspace -ErrorAction SilentlyContinue $securityServices.LogAnalyticsWorkspaces = $workspaces.Count } catch { Write-Verbose "Log Analytics inventarisatie niet beschikbaar" } return $securityServices } catch { Write-Warning "Fout bij controleren van beveiligingsservices: $_" return $null } } function Invoke-Monitoring { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$script:PolicyName - Monitoring" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan try { Connect-RequiredServices $results = @{ IsCompliant = $false CompliancePercentage = 0 Details = @() } # Management Group Hierarchy $mgHierarchy = Get-ManagementGroupHierarchy if ($mgHierarchy) { Write-Host "`nManagement Group Hiërarchie:" -ForegroundColor Yellow Write-Host " Totaal management groups: $($mgHierarchy.TotalManagementGroups)" -ForegroundColor Gray Write-Host " Root management group: $($mgHierarchy.RootManagementGroup)" -ForegroundColor Gray Write-Host " Hiërarchiediepte: $($mgHierarchy.HierarchyDepth) niveaus" -ForegroundColor Gray $results.Details += "Management Groups: $($mgHierarchy.TotalManagementGroups) groups, depth $($mgHierarchy.HierarchyDepth)" } # Subscription Inventory $subAnalysis = Get-SubscriptionInventory if ($subAnalysis) { Write-Host "`nSubscriptions:" -ForegroundColor Yellow Write-Host " Totaal subscriptions: $($subAnalysis.TotalSubscriptions)" -ForegroundColor Gray Write-Host "`n Per status:" -ForegroundColor Gray foreach ($state in $subAnalysis.SubscriptionsByState.GetEnumerator() | Sort-Object Value -Descending) { Write-Host " $($state.Key): $($state.Value)" -ForegroundColor Gray } Write-Host "`n Per omgeving:" -ForegroundColor Gray foreach ($env in $subAnalysis.SubscriptionsByEnvironment.GetEnumerator() | Sort-Object Value -Descending) { Write-Host " $($env.Key): $($env.Value)" -ForegroundColor Gray } $results.Details += "Subscriptions: $($subAnalysis.TotalSubscriptions) total" } # Azure Policy Compliance $policyCompliance = Get-AzurePolicyCompliance if ($policyCompliance) { Write-Host "`nAzure Policy Compliance:" -ForegroundColor Yellow Write-Host " Totaal policies: $($policyCompliance.TotalPolicies)" -ForegroundColor Gray Write-Host " Compliant policies: $($policyCompliance.CompliantPolicies)" -ForegroundColor $(if ($policyCompliance.CompliantPolicies -eq $policyCompliance.TotalPolicies) { "Green" } else { "Yellow" }) Write-Host " Non-compliant resources: $($policyCompliance.NonCompliantResources)" -ForegroundColor $(if ($policyCompliance.NonCompliantResources -eq 0) { "Green" } else { "Red" }) if ($policyCompliance.TotalPolicies -gt 0) { $policyCompliancePercentage = ($policyCompliance.CompliantPolicies / $policyCompliance.TotalPolicies) * 100 $results.CompliancePercentage = $policyCompliancePercentage $results.Details += "Azure Policies: $($policyCompliance.CompliantPolicies)/$($policyCompliance.TotalPolicies) compliant ($([math]::Round($policyCompliancePercentage, 1))%)" } } # Security Services $securityServices = Get-SecurityServicesStatus if ($securityServices) { Write-Host "`nBeveiligingsservices:" -ForegroundColor Yellow Write-Host " Defender for Cloud: $(if ($securityServices.DefenderForCloud) { "Actief" } else { "Niet actief" })" -ForegroundColor $(if ($securityServices.DefenderForCloud) { "Green" } else { "Yellow" }) Write-Host " Key Vaults: $($securityServices.KeyVaults)" -ForegroundColor Gray Write-Host " Log Analytics Workspaces: $($securityServices.LogAnalyticsWorkspaces)" -ForegroundColor Gray $results.Details += "Security Services: Defender=$($securityServices.DefenderForCloud), KeyVaults=$($securityServices.KeyVaults), Workspaces=$($securityServices.LogAnalyticsWorkspaces)" } # Overall Compliance if ($results.CompliancePercentage -gt 0) { $results.IsCompliant = $results.CompliancePercentage -ge $script:ComplianceThreshold } else { # Fallback: als er geen policy data is, check basisvereisten $results.IsCompliant = ($mgHierarchy -and $mgHierarchy.TotalManagementGroups -gt 0) -and ($subAnalysis -and $subAnalysis.TotalSubscriptions -gt 0) } Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Compliance Status:" -ForegroundColor Yellow if ($results.CompliancePercentage -gt 0) { Write-Host " Percentage: $([math]::Round($results.CompliancePercentage, 1))%" -ForegroundColor $(if ($results.IsCompliant) { "Green" } else { "Yellow" }) } Write-Host " Status: $(if ($results.IsCompliant) { "COMPLIANT" } else { "NON-COMPLIANT" })" -ForegroundColor $(if ($results.IsCompliant) { "Green" } else { "Red" }) Write-Host "========================================" -ForegroundColor Cyan if ($results.IsCompliant) { Write-Host "`n[OK] Landing zone compliance behaald" -ForegroundColor Green exit 0 } else { Write-Host "`n[WAARSCHUWING] Landing zone compliance niet behaald" -ForegroundColor Red Write-Host "Gebruik -Remediation voor hulp bij het oplossen van bevindingen" -ForegroundColor Yellow exit 1 } } catch { Write-Host "`n[ERROR] Monitoring gefaald: $_" -ForegroundColor Red exit 2 } } function Invoke-Remediation { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$script:PolicyName - Remediatie" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan try { Connect-RequiredServices Write-Host "`nRemediatie-opties:" -ForegroundColor Yellow Write-Host " 1. Management group-hiërarchie opzetten of verbeteren" -ForegroundColor Gray Write-Host " 2. Subscription-structuur standaardiseren" -ForegroundColor Gray Write-Host " 3. Azure Policy implementeren voor compliance" -ForegroundColor Gray Write-Host " 4. Beveiligingsservices activeren" -ForegroundColor Gray Write-Host "" # Check management groups $mgHierarchy = Get-ManagementGroupHierarchy if (-not $mgHierarchy -or $mgHierarchy.TotalManagementGroups -eq 0) { Write-Host " [ACTIE] Management group-hiërarchie ontbreekt" -ForegroundColor Red Write-Host " - Maak een root management group aan" -ForegroundColor Gray Write-Host " - Organiseer subscriptions in logische management groups" -ForegroundColor Gray Write-Host " - Implementeer een hiërarchie: Root > Environment > Workload" -ForegroundColor Gray } else { Write-Host " [OK] Management group-hiërarchie aanwezig: $($mgHierarchy.TotalManagementGroups) groups" -ForegroundColor Green } # Check subscriptions $subAnalysis = Get-SubscriptionInventory if (-not $subAnalysis -or $subAnalysis.TotalSubscriptions -eq 0) { Write-Host " [ACTIE] Geen subscriptions gevonden" -ForegroundColor Red } else { Write-Host " [OK] Subscriptions gevonden: $($subAnalysis.TotalSubscriptions)" -ForegroundColor Green if ($subAnalysis.SubscriptionsByEnvironment["Unknown"] -gt 0) { Write-Host " [ACTIE] $($subAnalysis.SubscriptionsByEnvironment['Unknown']) subscriptions zonder duidelijke omgeving" -ForegroundColor Yellow Write-Host " - Standaardiseer subscription-namen met omgevingsindicatoren (Prod/Test/Dev)" -ForegroundColor Gray } } # Check Azure Policies $policyCompliance = Get-AzurePolicyCompliance if (-not $policyCompliance -or $policyCompliance.TotalPolicies -eq 0) { Write-Host " [ACTIE] Geen Azure Policies geïmplementeerd" -ForegroundColor Red Write-Host " - Implementeer CIS Azure Benchmark initiative" -ForegroundColor Gray Write-Host " - Configureer aangepaste policies voor organisatie-specifieke vereisten" -ForegroundColor Gray Write-Host " - Wijs policies toe aan management groups voor inheritance" -ForegroundColor Gray } else { Write-Host " [OK] Azure Policies geïmplementeerd: $($policyCompliance.TotalPolicies)" -ForegroundColor Green if ($policyCompliance.NonCompliantResources -gt 0) { Write-Host " [ACTIE] $($policyCompliance.NonCompliantResources) non-compliant resources gevonden" -ForegroundColor Yellow Write-Host " - Onderzoek en remedieer non-compliant resources" -ForegroundColor Gray Write-Host " - Overweeg auto-remediation waar mogelijk" -ForegroundColor Gray } } # Check security services $securityServices = Get-SecurityServicesStatus if (-not $securityServices.DefenderForCloud) { Write-Host " [ACTIE] Defender for Cloud niet actief" -ForegroundColor Yellow Write-Host " - Activeer Microsoft Defender for Cloud" -ForegroundColor Gray Write-Host " - Configureer security policies en assessments" -ForegroundColor Gray } if ($securityServices.LogAnalyticsWorkspaces -eq 0) { Write-Host " [ACTIE] Geen Log Analytics Workspaces gevonden" -ForegroundColor Yellow Write-Host " - Maak een centrale Log Analytics workspace aan" -ForegroundColor Gray Write-Host " - Configureer diagnostische instellingen voor resources" -ForegroundColor Gray } Write-Host "`n Aanbevolen volgende stappen:" -ForegroundColor Yellow Write-Host " 1. Documenteer de landing zone-architectuur" -ForegroundColor Gray Write-Host " 2. Implementeer Infrastructure as Code (IaC) voor reproduceerbaarheid" -ForegroundColor Gray Write-Host " 3. Stel een governance-proces op voor landing zone-wijzigingen" -ForegroundColor Gray Write-Host " 4. Plan regelmatige reviews en assessments" -ForegroundColor Gray Write-Host "`n[INFO] Remediatie-advies gegenereerd" -ForegroundColor Cyan Write-Host "Voer monitoring opnieuw uit na implementatie van maatregelen" -ForegroundColor Yellow exit 0 } catch { Write-Host "`n[ERROR] Remediatie gefaald: $_" -ForegroundColor Red exit 2 } } function Invoke-Revert { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$script:PolicyName - Revert" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "`n[INFO] Revert functionaliteit niet beschikbaar voor landing zones" -ForegroundColor Yellow Write-Host "Landing zones zijn een fundamentele architectuurcomponent en moeten worden beheerd via governance-processen" -ForegroundColor Yellow exit 0 } # Main execution try { if ($Revert) { Invoke-Revert } elseif ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { Invoke-Remediation } else { Write-Host "`nGebruik: -Monitoring | -Remediation | -Revert" -ForegroundColor Yellow Write-Host "`nVoorbeelden:" -ForegroundColor Cyan Write-Host " .\index.ps1 -Monitoring" -ForegroundColor Gray Write-Host " .\index.ps1 -Remediation" -ForegroundColor Gray Write-Host " .\index.ps1 -Monitoring -WhatIf" -ForegroundColor Gray } } catch { Write-Host "`n[ERROR] Script execution failed: $_" -ForegroundColor Red exit 2 } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder een doordachte Azure Landing Zone-architectuur ontstaan versnipperde, inconsistente cloudomgevingen waarin beveiligingsmaatregelen niet samenhangend worden toegepast, compliance-vereisten moeilijk aantoonbaar zijn en het risico op datalekken en beveiligingsincidenten aanzienlijk toeneemt. Dit kan leiden tot niet-naleving van AVG, BIO en NIS2, bestuurlijke aansprakelijkheid en verlies van vertrouwen bij burgers en bestuurders.

Management Samenvatting

Azure Landing Zones vormen de fundamentele basis voor veilige, schaalbare en beheersbare cloudomgevingen binnen de Nederlandse publieke sector. Dit index-artikel schetst de overkoepelende principes, design patterns en best practices, en fungeert als kapstok voor meer specifieke artikelen over governance, netwerkarchitectuur, beveiligingsservices en compliance.