L1 BIO 02.01.01 ISO A.5.1 CIS Organizational

Cloud Governance Framework Voor Azure

📅 2025-01-27
⏱️ 15 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Een robuust cloud governance framework vormt de fundamentele basis voor veilig, gecontroleerd en compliant gebruik van Azure binnen Nederlandse overheidsorganisaties. Zonder een doordachte governance-structuur ontstaan snel wildgroei van resources, inconsistente beveiligingsconfiguraties, oncontroleerbare kosten en compliance-risico's die kunnen leiden tot schending van BIO, AVG en NIS2-vereisten.

Aanbeveling
IMPLEMENTEER EEN ROBUUST CLOUD GOVERNANCE FRAMEWORK VOOR ALLE AZURE-ABONNEMENTEN
Risico zonder
High
Risk Score
8/10
Implementatie
100u (tech: 60u)
Van toepassing op:
Azure Tenant

Cloud governance in Azure is veel meer dan alleen technische configuratie. Het is een integraal raamwerk dat organisatorische besluitvorming, technische standaarden, compliance-vereisten en operationele processen met elkaar verbindt. Zonder een gestructureerd governance framework ontstaan binnen organisaties al snel verschillende interpretaties van wat 'veilig' en 'compliant' betekent, worden resources gecreëerd zonder passende beveiligingscontroles, ontbreekt zicht op kosten en afhankelijkheden, en kunnen auditors niet aantonen dat de organisatie voldoet aan relevante normen zoals de Baseline Informatiebeveiliging Overheid (BIO), de Algemene Verordening Gegevensbescherming (AVG) en de NIS2-richtlijn. In de praktijk leidt dit tot situaties waarin teams zelfstandig Azure-abonnementen aanmaken zonder centrale controle, waarin security policies niet consistent worden toegepast, waarin kosten onbeheersbaar oplopen en waarin tijdens audits niet kan worden aangetoond dat passende maatregelen zijn genomen. Voor Nederlandse overheidsorganisaties heeft dit directe gevolgen: niet-naleving kan leiden tot boetes, reputatieschade, verlies van vertrouwen bij burgers en mogelijk politieke consequenties. Daarnaast stellen frameworks zoals BIO en NIS2 expliciet eisen aan governance: organisaties moeten kunnen aantonen dat zij een gestructureerd proces hebben voor het beheren van cloudresources, dat beslissingen over architectuur en beveiliging formeel zijn vastgelegd, en dat er mechanismen zijn om naleving van policies te monitoren en af te dwingen.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Resources, Az.PolicyInsights

Implementatie

Een cloud governance framework voor Azure bestaat uit meerdere samenhangende componenten die samen zorgen voor gecontroleerd, veilig en compliant gebruik van de cloud. De technische basis wordt gevormd door Azure Management Groups, die een hiërarchische structuur creëren waarin abonnementen worden gegroepeerd op basis van organisatorische eenheden, omgevingen (productie, test, ontwikkeling) of compliance-vereisten. Binnen deze structuur worden Azure Policies gebruikt om standaarden af te dwingen, bijvoorbeeld dat alle storage accounts versleuteling moeten gebruiken, dat bepaalde VM-sizes niet zijn toegestaan, of dat resources altijd moeten worden voorzien van specifieke tags voor kostenallocatie en compliance. Azure Policy kan zowel preventief werken (door het blokkeren van niet-compliant configuraties) als reactief (door het rapporteren van afwijkingen in bestaande resources). Naast policies spelen Azure Blueprints of Azure Resource Manager templates een belangrijke rol in het standaardiseren van resource-implementaties, zodat teams niet telkens opnieuw hoeven te bedenken hoe een veilige en compliant omgeving eruitziet. Tagging vormt een essentieel onderdeel van governance, omdat tags informatie bevatten over eigenaarschap, kostencentra, data-classificatie, compliance-niveaus en omgevingstypen. Deze tags maken het mogelijk om kosten te alloceren, compliance te rapporteren en resources te beheren op basis van bedrijfslogica in plaats van alleen technische kenmerken. Het governance framework omvat daarnaast organisatorische componenten: een Cloud Center of Excellence (CCoE) of governance board dat beslissingen neemt over architectuurstandaarden, een change management proces voor wijzigingen in policies en standaarden, en een duidelijk raamwerk voor uitzonderingen en afwijkingen. Belangrijk is dat governance niet alleen restrictief is, maar ook faciliterend: door duidelijke standaarden en geautomatiseerde compliance-controles kunnen teams sneller en veiliger werken, omdat zij niet telkens opnieuw hoeven na te denken over beveiligingsconfiguraties en compliance-vereisten.

Management Groups Hiërarchie en Organisatiestructuur

De basis van effectieve Azure governance wordt gevormd door een doordachte Management Groups hiërarchie die de organisatiestructuur, compliance-vereisten en operationele behoeften weerspiegelt. Management Groups in Azure maken het mogelijk om abonnementen logisch te groeperen en policies, toegangscontroles en compliance-vereisten centraal toe te passen op meerdere abonnementen tegelijk. Voor Nederlandse overheidsorganisaties is het essentieel om deze hiërarchie te ontwerpen op basis van zowel organisatorische eenheden (bijvoorbeeld per afdeling, programma of dienst) als compliance-niveaus (bijvoorbeeld productieomgevingen met strikte BIO-vereisten versus testomgevingen met minder strenge eisen). Een typische Management Groups structuur begint met een root Management Group die alle Azure-abonnementen binnen de organisatie bevat. Onder deze root worden vervolgens Management Groups gecreëerd voor verschillende omgevingstypen (zoals Productie, Test, Ontwikkeling en Sandbox), waarbij elk omgevingstype zijn eigen set van policies en compliance-vereisten heeft. Productie Management Groups krijgen bijvoorbeeld strikte security policies, verplichte monitoring en logging, en beperkingen op welke services en configuraties zijn toegestaan. Test- en ontwikkelomgevingen kunnen meer flexibiliteit hebben, maar moeten nog steeds voldoen aan basisbeveiligingsvereisten. Binnen deze omgevingstypen kunnen vervolgens Management Groups worden gecreëerd voor specifieke organisatorische eenheden, programma's of workloads, bijvoorbeeld een Management Group voor 'Burgerzaken Productie' of 'Zorgketen Integraties Productie'. Deze structuur maakt het mogelijk om zowel generieke policies (zoals 'alle storage accounts moeten versleuteling gebruiken') toe te passen op alle abonnementen binnen een omgevingstype, als specifieke policies (zoals 'alle resources in Burgerzaken moeten worden getagd met kostencentrum X') toe te passen op specifieke organisatorische eenheden. Naast omgevingstypen en organisatorische eenheden kunnen Management Groups ook worden gebruikt om compliance-niveaus te representeren. Voor Nederlandse overheidsorganisaties betekent dit bijvoorbeeld dat er een Management Group kan zijn voor 'BIO Hoog' workloads die persoonsgegevens bevatten en strikte beveiligingsvereisten hebben, een Management Group voor 'BIO Basis' workloads met minder gevoelige data, en mogelijk een Management Group voor 'Open Data' workloads die publiekelijk beschikbaar zijn. Elke compliance-niveau krijgt zijn eigen set van policies die aansluiten bij de specifieke vereisten, bijvoorbeeld extra logging en monitoring voor BIO Hoog workloads, of beperkingen op externe toegang voor workloads met persoonsgegevens. Het ontwerpen van de Management Groups hiërarchie vereist nauwe samenwerking tussen IT-architecten, security officers, compliance officers en business stakeholders. De structuur moet flexibel genoeg zijn om toekomstige groei en wijzigingen te accommoderen, maar ook duidelijk genoeg om teams te helpen begrijpen waar hun abonnementen thuishoren en welke regels van toepassing zijn. Belangrijk is dat de hiërarchie wordt gedocumenteerd in een governance-handboek dat uitlegt wat elke Management Group vertegenwoordigt, welke policies van toepassing zijn, en wie verantwoordelijk is voor het beheer ervan. Deze documentatie is essentieel voor nieuwe teamleden, auditors en bestuurders die inzicht willen krijgen in hoe de Azure-omgeving is georganiseerd en gecontroleerd.

Azure Policy Framework en Compliance Afdwinging

Azure Policy vormt het technische hart van het governance framework, omdat policies ervoor zorgen dat resources en configuraties voldoen aan organisatorische standaarden, beveiligingsvereisten en compliance-kaders. Een volwassen Policy framework combineert zowel preventieve policies (die het creëren van niet-compliant resources blokkeren) als reactieve policies (die afwijkingen in bestaande resources detecteren en rapporteren). Voor Nederlandse overheidsorganisaties is het essentieel om policies te ontwerpen die aansluiten bij de Baseline Informatiebeveiliging Overheid (BIO), de AVG, NIS2-vereisten en andere relevante normen, zodat compliance niet alleen wordt gecontroleerd maar ook wordt afgedwongen. Een effectief Policy framework begint met het definiëren van policy sets (initiatives) die samenhangende beveiligings- en compliance-vereisten groeperen. Bijvoorbeeld een 'BIO Basis Security Initiative' die policies bevat voor versleuteling, logging, netwerkbeveiliging en toegangscontrole die aansluiten bij BIO-normen. Deze initiatives worden vervolgens toegewezen aan de relevante Management Groups, zodat alle abonnementen binnen die Management Groups automatisch voldoen aan de vereisten. Microsoft biedt standaard policy sets zoals 'Azure Security Benchmark' en 'CIS Microsoft Azure Foundations Benchmark', die een goede basis vormen, maar organisaties moeten deze aanvullen met custom policies die specifiek zijn voor hun compliance-kaders en organisatorische vereisten. Preventieve policies gebruiken Azure Policy met de 'deny' effect om het creëren van resources te blokkeren die niet voldoen aan standaarden. Bijvoorbeeld een policy die voorkomt dat storage accounts worden aangemaakt zonder versleuteling, of een policy die blokkeert dat VMs worden gecreëerd met bepaalde onveilige configuraties. Deze preventieve aanpak is effectiever dan reactieve monitoring, omdat het voorkomt dat niet-compliant resources überhaupt worden gecreëerd, wat tijd en geld bespaart en compliance-risico's reduceert. Belangrijk is dat preventieve policies worden getest in een testomgeving voordat zij worden toegepast op productie, om te voorkomen dat legitieme workloads onterecht worden geblokkeerd. Reactieve policies gebruiken de 'audit' of 'auditIfNotExists' effecten om afwijkingen in bestaande resources te detecteren zonder deze te blokkeren. Deze policies zijn nuttig voor het identificeren van resources die zijn gecreëerd voordat bepaalde policies werden geïmplementeerd, of voor het monitoren van configuratiewijzigingen die kunnen leiden tot compliance-problemen. De resultaten van reactieve policies worden verzameld in Azure Policy compliance-dashboards, waar beheerders en compliance officers kunnen zien welke resources niet-compliant zijn en welke acties nodig zijn om deze te remediëren. Voor Nederlandse overheidsorganisaties is het belangrijk om regelmatig deze compliance-rapportages te reviewen en te gebruiken als input voor verbeteracties en audits. Naast standaard Azure Policies kunnen organisaties gebruikmaken van Azure Policy Extensions om custom policies te creëren die specifieke organisatorische vereisten afdwingen. Bijvoorbeeld policies die controleren of resources zijn getagd met vereiste metadata, policies die specifieke naming conventions afdwingen, of policies die controleren of resources zijn geïmplementeerd in goedgekeurde Azure-regio's. Deze custom policies maken het mogelijk om governance-vereisten te vertalen naar concrete technische controles die automatisch worden uitgevoerd, wat de consistentie en compliance van de Azure-omgeving aanzienlijk verbetert.

Tagging Strategie en Resource Metadata

Een doordachte tagging strategie is essentieel voor effectieve cloud governance, omdat tags informatie bevatten over eigenaarschap, kosten, compliance-niveaus en bedrijfscontext die niet direct zichtbaar zijn in technische resource-eigenschappen. Zonder consistente tagging kunnen organisaties niet effectief kosten alloceren, compliance rapporteren, of resources beheren op basis van bedrijfslogica. Voor Nederlandse overheidsorganisaties is tagging bovendien belangrijk voor het voldoen aan audit-vereisten, omdat auditors moeten kunnen verifiëren wie verantwoordelijk is voor welke resources en welke compliance-niveaus van toepassing zijn. Een volwassen tagging strategie begint met het definiëren van een standaard set van tags die voor alle resources verplicht zijn. Deze standaard tags bevatten typisch informatie over eigenaarschap (bijvoorbeeld 'Owner' of 'Team'), kostenallocatie (bijvoorbeeld 'CostCenter' of 'Project'), omgevingstype (bijvoorbeeld 'Environment' met waarden zoals 'Production', 'Test', 'Development'), data-classificatie (bijvoorbeeld 'DataClassification' met waarden zoals 'Public', 'Internal', 'Confidential', 'Secret'), en compliance-niveaus (bijvoorbeeld 'ComplianceLevel' met waarden zoals 'BIO Basis', 'BIO Hoog', 'AVG Persoonsgegevens'). Deze tags worden vervolgens afgedwongen via Azure Policies, zodat resources niet kunnen worden gecreëerd zonder de vereiste tags, of zodat bestaande resources zonder tags worden geïdentificeerd voor remediatie. Naast standaard tags kunnen organisaties optionele tags gebruiken voor aanvullende metadata die specifiek is voor bepaalde workloads of use cases. Bijvoorbeeld tags voor 'ApplicationName', 'Version', 'SLA', 'BackupRequired', of 'DisasterRecovery'. Deze optionele tags maken het mogelijk om resources te groeperen en te beheren op basis van bedrijfslogica die relevant is voor specifieke teams of programma's, zonder dat deze tags verplicht zijn voor alle resources in de organisatie. Tags worden gebruikt voor verschillende governance-doeleinden. Kostenallocatie is een van de belangrijkste use cases: door resources te taggen met kostencentra, projecten of programma's kunnen organisaties gedetailleerde kostenrapportages genereren die laten zien welke afdelingen, teams of projecten welke Azure-kosten veroorzaken. Dit maakt het mogelijk om kosten te sturen, budgetten te beheren en verantwoording af te leggen over cloud-uitgaven. Compliance-rapportage is een andere belangrijke use case: door resources te taggen met compliance-niveaus en data-classificaties kunnen organisaties snel identificeren welke resources voldoen aan welke compliance-vereisten, welke resources mogelijk extra beveiliging nodig hebben, en welke resources moeten worden geïncludeerd in specifieke audit-rapportages. Resource management is een derde belangrijke use case voor tagging. Door resources te taggen met eigenaarschap en team-informatie kunnen organisaties automatisch toegangsrechten toewijzen, verantwoordelijkheden duidelijk maken, en resources beheren op basis van organisatorische eenheden in plaats van alleen technische kenmerken. Bijvoorbeeld, een policy kan automatisch alle resources met tag 'Team=Security' toegang verlenen aan het security team, of een script kan alle resources met tag 'Environment=Test' automatisch afsluiten buiten kantooruren om kosten te besparen. Het implementeren van een tagging strategie vereist zowel technische als organisatorische maatregelen. Technisch moeten Azure Policies worden gecreëerd die vereisen dat resources worden getagd met standaard tags, en moeten processen worden geautomatiseerd voor het toevoegen van tags aan bestaande resources. Organisatorisch moeten teams worden getraind in het belang van tagging, moeten standaarden worden gedocumenteerd in een governance-handboek, en moeten regelmatige audits worden uitgevoerd om te verifiëren dat tagging consistent wordt toegepast. Belangrijk is dat tagging niet alleen een technische oefening is, maar ook een manier om bedrijfscontext en verantwoordelijkheden vast te leggen in de cloud-omgeving, wat essentieel is voor effectieve governance en compliance.

Governance Monitoring en Compliance Rapportage

Gebruik PowerShell-script cloud-governance-framework.ps1 (functie Invoke-Monitoring) – Controleert de governance-structuur en policy compliance.

Effectieve governance vereist continue monitoring en rapportage om te verifiëren dat policies worden nageleefd, dat de governance-structuur correct functioneert, en dat compliance-doelstellingen worden gehaald. Zonder uitgebreide monitoring kunnen organisaties niet aantonen dat hun governance framework daadwerkelijk werkt, kunnen afwijkingen onopgemerkt blijven, en kunnen bestuurders en auditors niet verifiëren dat passende maatregelen zijn genomen. Voor Nederlandse overheidsorganisaties is governance monitoring bovendien essentieel voor het voldoen aan BIO-, AVG- en NIS2-vereisten, die expliciet eisen dat organisaties kunnen aantonen dat zij passende controles hebben geïmplementeerd en dat deze controles effectief zijn. Azure Policy compliance monitoring vormt de kern van governance monitoring. Azure Policy verzamelt automatisch compliance-gegevens voor alle toegewezen policies en initiatives, en presenteert deze in dashboards die laten zien welke resources compliant zijn, welke resources niet-compliant zijn, en welke policies het vaakst worden geschonden. Deze dashboards kunnen worden gefilterd op Management Group, abonnement, resource type, of policy, waardoor beheerders en compliance officers snel kunnen identificeren waar problemen bestaan en welke acties nodig zijn. Voor Nederlandse overheidsorganisaties is het belangrijk om deze compliance-dashboards regelmatig te reviewen, bijvoorbeeld maandelijks, en om bevindingen te gebruiken als input voor verbeteracties en managementrapportages. Naast Azure Policy compliance monitoring moeten organisaties ook monitoren of de governance-structuur zelf correct functioneert. Dit omvat het controleren of Management Groups correct zijn geconfigureerd, of policies correct zijn toegewezen aan de juiste Management Groups, of tagging consistent wordt toegepast, en of er geen resources zijn gecreëerd buiten de governance-structuur (bijvoorbeeld abonnementen die niet zijn toegevoegd aan een Management Group). Deze monitoring kan worden geautomatiseerd via PowerShell-scripts of Azure Automation runbooks die regelmatig de governance-configuratie controleren en waarschuwingen genereren wanneer afwijkingen worden gedetecteerd. Kostenmonitoring is een ander belangrijk aspect van governance monitoring. Door resources te taggen met kostencentra en projecten kunnen organisaties gedetailleerde kostenrapportages genereren die laten zien welke teams, programma's of workloads welke kosten veroorzaken. Azure Cost Management biedt ingebouwde rapportage-mogelijkheden die kunnen worden gebruikt om kosten te analyseren op basis van tags, resource types, services, of andere dimensies. Voor Nederlandse overheidsorganisaties is het belangrijk om regelmatig kostenrapportages te genereren en te delen met budgetverantwoordelijken, zodat cloud-kosten transparant zijn en kunnen worden gestuurd. Compliance-rapportage is essentieel voor het voldoen aan audit-vereisten. Organisaties moeten regelmatig rapportages genereren die aantonen dat policies zijn geïmplementeerd, dat resources compliant zijn, en dat governance-processen correct functioneren. Deze rapportages moeten worden opgeslagen met passende bewaartermijnen (bijvoorbeeld zeven jaar voor financiële en compliance-doeleinden) en moeten beschikbaar zijn voor auditors en toezichthouders. Azure Policy compliance-gegevens kunnen worden geëxporteerd naar externe systemen zoals Azure Log Analytics of Power BI voor geavanceerde analyse en langetermijnopslag, wat essentieel is voor organisaties die moeten voldoen aan langere bewaartermijnen voor compliance-documentatie.

Compliance en Auditing

Cloud governance in Azure is nauw verweven met verschillende nationale en internationale normen en wettelijke kaders. Voor Nederlandse overheidsorganisaties vormt de Baseline Informatiebeveiliging Overheid (BIO) het belangrijkste referentiekader voor governance. Met name de normen rond beheer en organisatie vereisen dat organisaties een gestructureerd proces hebben voor het beheren van IT-resources, dat beslissingen over architectuur en beveiliging formeel zijn vastgelegd, en dat er mechanismen zijn om naleving van policies te monitoren en af te dwingen. Tijdens BIO-audits moet een organisatie kunnen aantonen dat er een vastgesteld governance-beleid is, dat policies zijn geïmplementeerd en worden nageleefd, en dat er regelmatige monitoring en rapportage plaatsvindt. De internationale norm ISO 27001 (Information Security Management Systems) vereist eveneens dat organisaties een gestructureerd proces hebben voor het beheren van informatiebeveiliging, inclusief het definiëren van policies, het monitoren van compliance, en het continu verbeteren van beveiligingsmaatregelen. Voor Azure-omgevingen betekent dit dat governance-structuren, policies en monitoring-processen expliciet moeten zijn vastgelegd en moeten aansluiten bij de bredere informatiebeveiligingsmanagementstructuur van de organisatie. Het cloud governance framework moet daarom worden geïntegreerd met het Information Security Management System (ISMS) en moet kunnen aantonen dat cloud-specifieke risico's worden beheerd binnen het bredere risicomanagementkader. De Algemene Verordening Gegevensbescherming (AVG) vereist dat organisaties passende technische en organisatorische maatregelen treffen om persoonsgegevens te beveiligen, waarbij governance een essentieel onderdeel vormt. Voor Azure-omgevingen betekent dit dat resources die persoonsgegevens verwerken moeten worden geïdentificeerd (bijvoorbeeld via tagging), dat passende beveiligingsmaatregelen moeten worden afgedwongen via policies, en dat toegang tot persoonsgegevens moet worden gecontroleerd en gelogd. Het governance framework moet daarom expliciet rekening houden met AVG-vereisten, bijvoorbeeld door policies te creëren die extra beveiliging afdwingen voor resources met persoonsgegevens, of door monitoring-processen te implementeren die controleren of AVG-vereisten worden nageleefd. De NIS2-richtlijn en de bijbehorende Nederlandse implementatiewet leggen voor aangewezen essentiële en belangrijke entiteiten extra nadruk op governance en risicomanagement. Toezichthouders verwachten dat organisaties kunnen onderbouwen hoe zij cloud-risico's beheren, hoe zij policies afdwingen, en hoe zij compliance monitoren. Azure-gebaseerde governance-maatregelen moeten daarom worden gepositioneerd binnen het bredere risicomanagement- en rapportagekader, zodat bestuurders inzicht hebben in de resterende risico's, de effectiviteit van getroffen maatregelen, en eventuele afwijkingen van governance-standaarden. Voor audit-doeleinden is het essentieel dat alle aspecten van het governance framework aantoonbaar zijn gedocumenteerd. Dit omvat het vastleggen van de Management Groups hiërarchie en de rationale daarachter, de policies die zijn geïmplementeerd en waarom, de tagging strategie en standaarden, compliance-rapportages en monitoring-resultaten, en managementbesluiten over governance-wijzigingen. Deze documentatie moet centraal en controleerbaar zijn opgeslagen, met bewaartermijnen die aansluiten bij wettelijke en organisatorische eisen, zodat auditors en toezichthouders op ieder moment een compleet beeld kunnen krijgen van de governance-volwassenheid van de organisatie.

Remediatie en Verbeteracties

Gebruik PowerShell-script cloud-governance-framework.ps1 (functie Invoke-Remediation) – Helpt bij het remediëren van governance-afwijkingen.

Wanneer uit monitoring, audits of evaluaties blijkt dat het governance framework tekortschiet, is een gestructureerde remediatieaanpak noodzakelijk. Ad-hoc wijzigingen – bijvoorbeeld het incidenteel toevoegen van een policy of het handmatig taggen van enkele resources – lossen zelden de kern van het probleem op en creëren vaak nieuwe risico's en inconsistenties. In plaats daarvan moeten organisaties werken met een verbeterprogramma waarin tekortkomingen worden geclassificeerd, geprioriteerd en opgepakt via concrete verbeteracties met eigenaar, planning en verwachte impact. Een effectieve remediatiestrategie begint met het in kaart brengen van de huidige governance-volwassenheid ten opzichte van een doelbeeld. Dit doelbeeld beschrijft bijvoorbeeld dat alle abonnementen zijn georganiseerd in een duidelijke Management Groups hiërarchie, dat alle kritieke policies zijn geïmplementeerd en worden nageleefd, dat alle resources zijn getagd met standaard tags, en dat er regelmatige compliance-monitoring en rapportage plaatsvindt. Op basis van een gap-analyse worden prioriteiten gesteld: eerst worden risico's aangepakt die direct kunnen leiden tot compliance-schendingen of beveiligingsincidenten, vervolgens worden structurele verbeteringen doorgevoerd in governance-structuur, policies en processen. Voor Azure betekent remediatie vaak dat bestaande resources moeten worden georganiseerd in de juiste Management Groups, dat ontbrekende tags moeten worden toegevoegd aan bestaande resources, dat niet-compliant resources moeten worden geconfigureerd om te voldoen aan policies, of dat nieuwe policies moeten worden gecreëerd en toegewezen om ontbrekende governance-vereisten af te dwingen. Deze activiteiten kunnen worden geautomatiseerd via PowerShell-scripts of Azure Automation runbooks, wat tijd bespaart en consistentie waarborgt. Belangrijk is dat remediatie-activiteiten worden uitgevoerd in overleg met resource-eigenaren, zodat teams begrijpen waarom wijzigingen nodig zijn en kunnen meewerken aan de implementatie. Naast technische remediatie moeten ook organisatorische verbeteringen worden doorgevoerd. Dit kan betekenen dat teams moeten worden getraind in governance-vereisten, dat processen moeten worden aangepast om governance te integreren in dagelijkse workflows, of dat rollen en verantwoordelijkheden moeten worden aangescherpt. Voor Nederlandse overheidsorganisaties is het belangrijk dat governance niet alleen wordt gezien als een IT-verantwoordelijkheid, maar als een gedeelde verantwoordelijkheid van alle teams die Azure gebruiken, met duidelijke rollen voor bestuur, CISO, compliance officers, IT-architecten en operationele teams. Na afronding van remediatie-activiteiten is een formele herbeoordeling noodzakelijk. Hierbij wordt gecontroleerd of de maatregelen daadwerkelijk zijn geïmplementeerd zoals gepland, of governance-doelstellingen nu worden gehaald, en of monitoring en rapportage correct functioneren. De uitkomsten van deze herbeoordeling worden gedeeld met bestuur, CISO en interne audit, zodat duidelijk is welke risico's zijn gereduceerd en welke rest-risico's nog geaccepteerd moeten worden. Op deze manier wordt cloud governance geen eenmalige inspanning, maar een structureel onderdeel van de bredere risicosturing en governance van de organisatie.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Cloud Governance Framework - Monitoring en Compliance Controle .DESCRIPTION Controleert de basiskenmerken van het Azure governance framework: - Management Groups hiërarchie structuur - Aantal geïmplementeerde Azure Policies - Policy compliance status - Tagging consistentie op resources Het script is bedoeld als monitoringcontrol die inzicht geeft in de volwassenheid en effectiviteit van het governance framework. .NOTES Filename: cloud-governance-framework.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/azure/management/cloud-governance-framework.json .EXAMPLE .\cloud-governance-framework.ps1 -Monitoring Controleert de governance-structuur en policy compliance .EXAMPLE .\cloud-governance-framework.ps1 -Remediation Geeft richting aan remediatie van governance-afwijkingen #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Resources, Az.PolicyInsights [CmdletBinding()] param( [Parameter()] [switch]$Monitoring, [Parameter()] [switch]$Remediation, [Parameter()] [switch]$WhatIf ) $ErrorActionPreference = 'Stop' $PolicyName = "Cloud Governance Framework - Azure" function Connect-RequiredServices { <# .SYNOPSIS Maakt verbinding met Azure services #> if (-not (Get-AzContext)) { Write-Host "Verbinden met Azure..." -ForegroundColor Gray Connect-AzAccount -ErrorAction Stop | Out-Null } } function Get-GovernanceStructure { <# .SYNOPSIS Haalt de Management Groups hiërarchie op #> try { $managementGroups = Get-AzManagementGroup -ErrorAction SilentlyContinue return $managementGroups } catch { Write-Verbose "Kon Management Groups niet ophalen: $_" return @() } } function Get-PolicyAssignments { <# .SYNOPSIS Haalt alle policy assignments op #> try { $assignments = Get-AzPolicyAssignment -ErrorAction SilentlyContinue return $assignments } catch { Write-Verbose "Kon policy assignments niet ophalen: $_" return @() } } function Get-PolicyCompliance { <# .SYNOPSIS Haalt policy compliance status op #> try { $subscriptions = Get-AzSubscription -ErrorAction SilentlyContinue $complianceResults = @() foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id -ErrorAction SilentlyContinue | Out-Null $states = Get-AzPolicyState -ErrorAction SilentlyContinue | Where-Object { $_.ComplianceState -ne 'Compliant' } if ($states) { $complianceResults += $states } } return $complianceResults } catch { Write-Verbose "Kon policy compliance niet ophalen: $_" return @() } } function Test-ResourceTagging { <# .SYNOPSIS Controleert tagging consistentie op resources #> try { $subscriptions = Get-AzSubscription -ErrorAction SilentlyContinue $taggingIssues = @() $requiredTags = @('Environment', 'Owner', 'CostCenter') foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id -ErrorAction SilentlyContinue | Out-Null $resourceGroups = Get-AzResourceGroup -ErrorAction SilentlyContinue foreach ($rg in $resourceGroups) { $missingTags = @() foreach ($tag in $requiredTags) { if (-not $rg.Tags.ContainsKey($tag)) { $missingTags += $tag } } if ($missingTags.Count -gt 0) { $taggingIssues += @{ ResourceGroup = $rg.ResourceGroupName Subscription = $sub.Name MissingTags = $missingTags } } } } return $taggingIssues } catch { Write-Verbose "Kon tagging niet controleren: $_" return @() } } function Test-Compliance { <# .SYNOPSIS Voert volledige governance compliance check uit #> $results = @{ ManagementGroups = 0 PolicyAssignments = 0 NonCompliantResources = 0 TaggingIssues = 0 IsCompliant = $false } $mgGroups = Get-GovernanceStructure $results.ManagementGroups = $mgGroups.Count $policyAssignments = Get-PolicyAssignments $results.PolicyAssignments = $policyAssignments.Count $complianceIssues = Get-PolicyCompliance $results.NonCompliantResources = $complianceIssues.Count $taggingIssues = Test-ResourceTagging $results.TaggingIssues = $taggingIssues.Count # Bepaal compliance status if ($results.ManagementGroups -gt 0 -and $results.PolicyAssignments -gt 0 -and $results.NonCompliantResources -eq 0 -and $results.TaggingIssues -eq 0) { $results.IsCompliant = $true } return $results } try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "" -ForegroundColor White Write-Host "========================================" -ForegroundColor Cyan Write-Host $PolicyName -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host ("Management Groups : {0}" -f $r.ManagementGroups) -ForegroundColor White Write-Host ("Policy Assignments : {0}" -f $r.PolicyAssignments) -ForegroundColor White Write-Host ("Non-Compliant Resources : {0}" -f $r.NonCompliantResources) -ForegroundColor $(if ($r.NonCompliantResources -eq 0) { "Green" } else { "Yellow" }) Write-Host ("Resources met Tag Issues : {0}" -f $r.TaggingIssues) -ForegroundColor $(if ($r.TaggingIssues -eq 0) { "Green" } else { "Yellow" }) Write-Host "" -ForegroundColor White if ($r.IsCompliant) { Write-Host "[OK] GOVERNANCE FRAMEWORK IS COMPLIANT" -ForegroundColor Green Write-Host " Alle basis governance-maatregelen zijn aanwezig en actief" -ForegroundColor Cyan exit 0 } else { Write-Host "[WAARSCHUWING] Governance framework heeft aandachtspunten:" -ForegroundColor Yellow if ($r.ManagementGroups -eq 0) { Write-Host " • Geen Management Groups hiërarchie gedetecteerd" -ForegroundColor Yellow } if ($r.PolicyAssignments -eq 0) { Write-Host " • Geen Azure Policy assignments gevonden" -ForegroundColor Yellow } if ($r.NonCompliantResources -gt 0) { Write-Host " • $($r.NonCompliantResources) resources zijn niet compliant met policies" -ForegroundColor Yellow } if ($r.TaggingIssues -gt 0) { Write-Host " • $($r.TaggingIssues) resource groups missen vereiste tags" -ForegroundColor Yellow } Write-Host "" -ForegroundColor White Write-Host "[INFO] Gebruik -Remediation voor richtlijnen" -ForegroundColor Cyan exit 1 } } else { $r = Test-Compliance Write-Host "" Write-Host ("Governance status: {0} MG's, {1} policies, {2} issues" -f $r.ManagementGroups, $r.PolicyAssignments, ($r.NonCompliantResources + $r.TaggingIssues)) } } catch { Write-Error $_ exit 1 } # ================================================================================ # Standaard Invoke-* Functions # ================================================================================ function Invoke-Implementation { <# .SYNOPSIS Implementeert de configuratie (delegeert naar remediatie) #> [CmdletBinding()] param() Invoke-Remediation } function Invoke-Monitoring { <# .SYNOPSIS Controleert de governance-structuur en policy compliance #> [CmdletBinding()] param() $Monitoring = $true try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "" -ForegroundColor White Write-Host "========================================" -ForegroundColor Cyan Write-Host $PolicyName -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host ("Management Groups : {0}" -f $r.ManagementGroups) -ForegroundColor White Write-Host ("Policy Assignments : {0}" -f $r.PolicyAssignments) -ForegroundColor White Write-Host ("Non-Compliant Resources : {0}" -f $r.NonCompliantResources) -ForegroundColor $(if ($r.NonCompliantResources -eq 0) { "Green" } else { "Yellow" }) Write-Host ("Resources met Tag Issues : {0}" -f $r.TaggingIssues) -ForegroundColor $(if ($r.TaggingIssues -eq 0) { "Green" } else { "Yellow" }) Write-Host "" -ForegroundColor White if ($r.IsCompliant) { Write-Host "[OK] GOVERNANCE FRAMEWORK IS COMPLIANT" -ForegroundColor Green Write-Host " Alle basis governance-maatregelen zijn aanwezig en actief" -ForegroundColor Cyan exit 0 } else { Write-Host "[WAARSCHUWING] Governance framework heeft aandachtspunten:" -ForegroundColor Yellow if ($r.ManagementGroups -eq 0) { Write-Host " • Geen Management Groups hiërarchie gedetecteerd" -ForegroundColor Yellow } if ($r.PolicyAssignments -eq 0) { Write-Host " • Geen Azure Policy assignments gevonden" -ForegroundColor Yellow } if ($r.NonCompliantResources -gt 0) { Write-Host " • $($r.NonCompliantResources) resources zijn niet compliant met policies" -ForegroundColor Yellow } if ($r.TaggingIssues -gt 0) { Write-Host " • $($r.TaggingIssues) resource groups missen vereiste tags" -ForegroundColor Yellow } Write-Host "" -ForegroundColor White Write-Host "[INFO] Gebruik -Remediation voor richtlijnen" -ForegroundColor Cyan exit 1 } } } catch { Write-Error $_ exit 1 } } function Invoke-Remediation { <# .SYNOPSIS Geeft richting aan remediatie van governance-afwijkingen .DESCRIPTION Dit script voert geen automatische remediatie uit, maar geeft een duidelijke boodschap over welke governance-maatregelen moeten worden geïmplementeerd volgens de architectuurlijnen. #> [CmdletBinding()] param() Write-Host "" -ForegroundColor White Write-Host "========================================" -ForegroundColor Cyan Write-Host "Governance Framework Remediatie" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "" -ForegroundColor White Write-Host "[INFO] Governance remediatie vereist een gestructureerde aanpak:" -ForegroundColor Yellow Write-Host "" -ForegroundColor White Write-Host "1. Management Groups Hiërarchie" -ForegroundColor Cyan Write-Host " • Creëer een logische hiërarchie op basis van omgevingstypen" -ForegroundColor Gray Write-Host " • Organiseer abonnementen in de juiste Management Groups" -ForegroundColor Gray Write-Host " • Documenteer de structuur en rationale" -ForegroundColor Gray Write-Host "" -ForegroundColor White Write-Host "2. Azure Policy Framework" -ForegroundColor Cyan Write-Host " • Implementeer standaard policy initiatives (bijv. Azure Security Benchmark)" -ForegroundColor Gray Write-Host " • Creëer custom policies voor organisatie-specifieke vereisten" -ForegroundColor Gray Write-Host " • Wijs policies toe aan de juiste Management Groups" -ForegroundColor Gray Write-Host " • Monitor compliance regelmatig" -ForegroundColor Gray Write-Host "" -ForegroundColor White Write-Host "3. Tagging Strategie" -ForegroundColor Cyan Write-Host " • Definieer standaard tags (Environment, Owner, CostCenter)" -ForegroundColor Gray Write-Host " • Implementeer policies die tags afdwingen" -ForegroundColor Gray Write-Host " • Voeg ontbrekende tags toe aan bestaande resources" -ForegroundColor Gray Write-Host " • Documenteer tagging standaarden" -ForegroundColor Gray Write-Host "" -ForegroundColor White Write-Host "4. Compliance Monitoring" -ForegroundColor Cyan Write-Host " • Configureer regelmatige compliance-rapportages" -ForegroundColor Gray Write-Host " • Review policy compliance dashboards maandelijks" -ForegroundColor Gray Write-Host " • Documenteer bevindingen en verbeteracties" -ForegroundColor Gray Write-Host "" -ForegroundColor White Write-Host "[INFO] Raadpleeg het governance-handboek voor gedetailleerde richtlijnen" -ForegroundColor Yellow Write-Host "" -ForegroundColor White # Voer monitoring uit om huidige status te tonen Invoke-Monitoring } # Main execution if ($Remediation) { Invoke-Remediation } elseif ($Monitoring) { Invoke-Monitoring } else { # Default: voer monitoring uit Invoke-Monitoring }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder een gestructureerd governance framework ontstaan wildgroei van resources, inconsistente beveiligingsconfiguraties, oncontroleerbare kosten en compliance-risico's die kunnen leiden tot schending van BIO, AVG en NIS2-vereisten. Dit kan resulteren in boetes, reputatieschade, verlies van vertrouwen bij burgers en mogelijk politieke consequenties. Daarnaast ontbreekt bij audits de mogelijkheid om aan te tonen dat passende maatregelen zijn genomen, wat kan leiden tot niet-naleving en handhavingsmaatregelen door toezichthouders.

Management Samenvatting

Een cloud governance framework voor Azure combineert Management Groups hiërarchie, Azure Policies, tagging strategie en compliance monitoring om gecontroleerd, veilig en compliant gebruik van de cloud te waarborgen. Door technische governance-maatregelen te combineren met organisatorische processen, rollen en verantwoordelijkheden ontstaat een robuust raamwerk dat voldoet aan BIO-, AVG- en NIS2-vereisten. Dit artikel beschrijft de aanpak, monitoring, compliance-eisen en remediatie, zodat bestuur en techniek samen kunnen sturen op effectieve cloud governance.