BIO 17.01.01 ISO A.12.3.1

Resilience Assessment Voor Azure-omgevingen

📅 2025-01-15
⏱️ 20 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Een structurele resilience assessment vormt de basis voor het bepalen van de weerbaarheid van Azure-omgevingen tegen verstoringen, uitval en bedreigingen. Zonder een periodieke evaluatie van de resilience-posture kunnen organisaties niet aantonen dat hun cloud-omgevingen voldoende beschermd zijn tegen operationele risico's en dat zij kunnen voldoen aan continuïteitsverplichtingen zoals gesteld in de Baseline Informatiebeveiliging Overheid en de NIS2 richtlijn.

Aanbeveling
IMPLEMENTEER RESILIENCE ASSESSMENT
Risico zonder
High
Risk Score
8/10
Implementatie
200u (tech: 80u)
Van toepassing op:
Azure Tenant
Azure Subscriptions
Azure Resources
Hybrid Cloud Environments

Resilience assessment is essentieel omdat cloud-omgevingen continu veranderen: nieuwe services worden toegevoegd, configuraties worden aangepast, afhankelijkheden ontstaan en bedreigingslandschappen evolueren. Zonder regelmatige assessments kunnen organisaties niet bepalen of hun Azure-omgevingen nog steeds voldoen aan de gestelde continuïteits- en beschikbaarheidseisen, of dat nieuwe kwetsbaarheden zijn ontstaan die de resilience hebben verminderd. Voor Nederlandse overheidsorganisaties heeft dit directe impact op wettelijke verplichtingen zoals de BIO die eisen stelt aan continuïteitsbeheer en beschikbaarheid, de NIS2 richtlijn die vereist dat essentiële en belangrijke entiteiten aantoonbaar weerbaar zijn tegen cyberbedreigingen, en de AVG die vereist dat organisaties passende technische en organisatorische maatregelen treffen om persoonsgegevens te beschermen. Daarnaast stellen frameworks zoals BIO en NIS2 expliciet eisen aan resilience: organisaties moeten aantonen dat zij beschikken over gedocumenteerde assessments van hun resilience-posture, dat zij regelmatig evalueren of hun continuïteits- en herstelplannen nog steeds effectief zijn, en dat zij verbeteracties implementeren wanneer assessments uitwijzen dat resilience onvoldoende is. Zonder een correct uitgevoerde resilience assessment kunnen organisaties niet aantonen dat zij voldoen aan deze verplichtingen.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Resources, Az.Monitor, Az.RecoveryServices

Implementatie

Dit artikel beschrijft stap voor stap hoe u een complete resilience assessment uitvoert voor Azure-omgevingen binnen Nederlandse overheidsorganisaties. U leert hoe u de resilience-posture evalueert op basis van beschikbaarheid, herstelbaarheid, redundantie en continuïteitsplanning, hoe u kwetsbaarheden en single points of failure identificeert, hoe u recovery time objectives (RTO) en recovery point objectives (RPO) valideert, en hoe u resilience-scores berekent en rapporteert. Vervolgens wordt uitgelegd hoe u resilience assessments integreert met business continuity planning en disaster recovery, hoe u assessments gebruikt om verbeteracties te prioriteren, en hoe u resilience metrics monitort en rapporteert aan bestuur en auditors. Het artikel behandelt ook specifieke scenario's zoals regionale uitval, service-uitval, datacenter-uitval en ketenafhankelijkheden. Tot slot wordt ingegaan op compliance-rapportage en audit-evidence, zodat u aantoonbaar kunt rapporteren aan bestuur en auditors dat uw resilience assessment correct is uitgevoerd en dat verbeteracties worden opgevolgd. Het bijbehorende PowerShell-script ondersteunt beheerteams bij het uitvoeren van resilience assessments, het identificeren van kwetsbaarheden en single points of failure, en het rapporteren van resilience-scores en aanbevelingen.

Resilience Assessment Framework

Een effectief resilience assessment framework begint met een duidelijke methodologie die definieert welke aspecten van resilience worden geëvalueerd, welke criteria worden gebruikt om resilience te meten, en hoe assessments worden uitgevoerd en gerapporteerd. Deze methodologie moet worden gebaseerd op best practices en frameworks zoals de Baseline Informatiebeveiliging Overheid, ISO 27001, en NIST Cybersecurity Framework, zodat assessments aansluiten bij compliance-eisen en industry standards. De basis van het framework wordt gevormd door een resilience assessment model dat verschillende dimensies van resilience evalueert: technische resilience die zich richt op de beschikbaarheid en herstelbaarheid van Azure-services en -resources, organisatorische resilience die zich richt op processen, procedures en capaciteiten voor continuïteitsbeheer, operationele resilience die zich richt op monitoring, detectie en respons, en strategische resilience die zich richt op governance, risicomanagement en lange-termijn planning. Elke dimensie moet worden geëvalueerd op basis van specifieke criteria en metrics, zodat assessments objectief en reproduceerbaar zijn. Resilience criteria moeten worden gebaseerd op business requirements, compliance-eisen en best practices. Voor technische resilience betekent dit bijvoorbeeld het evalueren van redundantie-configuraties, failover-capaciteiten, back-up- en herstelprocedures, en beschikbaarheids-SLA's. Voor organisatorische resilience betekent dit het evalueren van business continuity plannen, disaster recovery procedures, crisis management frameworks, en oefenprogramma's. Voor operationele resilience betekent dit het evalueren van monitoring en detectie capabilities, incident response procedures, en escalatieprocessen. Voor strategische resilience betekent dit het evalueren van governance-structuren, risicomanagement processen, en lange-termijn investeringsstrategieën. Assessment methodologie moet worden gestructureerd om ervoor te zorgen dat assessments consistent worden uitgevoerd, dat resultaten vergelijkbaar zijn over tijd, en dat verbeteracties kunnen worden gemonitord. Het framework moet definiëren hoe assessments worden gepland, wie verantwoordelijk is voor het uitvoeren van assessments, welke tools en technieken worden gebruikt, hoe resultaten worden gedocumenteerd, en hoe verbeteracties worden geïdentificeerd en opgevolgd. Daarnaast moet het framework processen bevatten voor het valideren van assessment resultaten, bijvoorbeeld door middel van peer reviews of externe audits.

Technische Resilience Evaluatie

Gebruik PowerShell-script resilience-assessment.ps1 (functie Invoke-Monitoring) – Evalueert technische resilience van Azure-omgevingen en identificeert kwetsbaarheden.

Technische resilience evaluatie richt zich op de beschikbaarheid, herstelbaarheid en redundantie van Azure-services en -resources. Deze evaluatie moet worden uitgevoerd op verschillende niveaus: tenant-niveau voor tenant-brede configuraties en policies, subscription-niveau voor subscription-specifieke resources en configuraties, resource group-niveau voor logisch gegroepeerde resources, en individueel resource-niveau voor kritieke resources zoals databases, storage accounts en compute resources. Beschikbaarheidsevaluatie omvat het controleren van Azure SLA's voor gebruikte services, het verifiëren dat services zijn geconfigureerd voor hoge beschikbaarheid waar mogelijk, het evalueren van regionale redundantie-configuraties, en het controleren van service health monitoring en alerting. Voor kritieke workloads moet worden geëvalueerd of beschikbaarheids-SLA's voldoen aan business requirements en of aanvullende maatregelen nodig zijn om beschikbaarheid te verbeteren. Daarnaast moet worden geëvalueerd of services zijn geconfigureerd voor automatische failover en of failover-tijden acceptabel zijn voor business requirements. Herstelbaarheidsevaluatie omvat het controleren van back-up-configuraties voor kritieke resources, het verifiëren dat back-ups regelmatig worden uitgevoerd en getest, het evalueren van herstelprocedures en -tijden, en het controleren of recovery time objectives (RTO) en recovery point objectives (RPO) worden gehaald. Voor databases moet worden geëvalueerd of point-in-time recovery is geconfigureerd, of transaction logs regelmatig worden geback-upt, en of herstelprocedures zijn getest. Voor storage accounts moet worden geëvalueerd of geo-redundantie is geconfigureerd, of versioning en soft delete zijn ingeschakeld, en of herstelprocedures zijn gedocumenteerd en getest. Redundantie-evaluatie omvat het identificeren van single points of failure, het controleren van redundantie-configuraties voor kritieke resources, het evalueren van load balancing en traffic distribution, en het controleren van cross-region en cross-zone redundantie waar nodig. Voor compute resources moet worden geëvalueerd of availability sets of availability zones zijn geconfigureerd, of load balancers correct zijn geconfigureerd, en of auto-scaling is ingeschakeld voor variabele workloads. Voor storage resources moet worden geëvalueerd of geo-redundantie is geconfigureerd, of replication is ingeschakeld, en of failover-procedures zijn getest. Ketenafhankelijkheden evaluatie omvat het identificeren van externe afhankelijkheden zoals SaaS-services, API's en externe databases, het evalueren van de resilience van deze afhankelijkheden, en het controleren of alternatieve oplossingen beschikbaar zijn wanneer afhankelijkheden falen. Voor kritieke afhankelijkheden moet worden geëvalueerd of service level agreements (SLA's) voldoen aan business requirements, of monitoring is geconfigureerd voor afhankelijkheden, en of fallback-procedures zijn gedocumenteerd en getest.

Organisatorische Resilience Evaluatie

Organisatorische resilience evaluatie richt zich op processen, procedures en capaciteiten voor continuïteitsbeheer, crisis management en disaster recovery. Deze evaluatie moet worden uitgevoerd op verschillende niveaus: strategisch niveau voor governance en risicomanagement, tactisch niveau voor planning en procedures, en operationeel niveau voor uitvoering en monitoring. Business continuity planning evaluatie omvat het controleren of business continuity plannen bestaan voor kritieke processen, het verifiëren dat plannen regelmatig worden bijgewerkt en getest, het evalueren van business impact analyses (BIA) en risicoanalyses, en het controleren of recovery time objectives (RTO) en recovery point objectives (RPO) zijn gedefinieerd en gevalideerd. Voor kritieke processen moet worden geëvalueerd of business continuity plannen gedetailleerd genoeg zijn, of rollen en verantwoordelijkheden duidelijk zijn gedefinieerd, en of plannen zijn geïntegreerd met technische disaster recovery procedures. Disaster recovery planning evaluatie omvat het controleren of disaster recovery plannen bestaan voor kritieke Azure-workloads, het verifiëren dat plannen regelmatig worden bijgewerkt en getest, het evalueren van disaster recovery procedures en -tijden, en het controleren of disaster recovery is geïntegreerd met business continuity planning. Voor kritieke workloads moet worden geëvalueerd of disaster recovery plannen gedetailleerd genoeg zijn, of herstelprocedures zijn gedocumenteerd en getest, en of disaster recovery capaciteiten voldoen aan business requirements. Crisis management evaluatie omvat het controleren of crisis management frameworks bestaan, het verifiëren dat frameworks regelmatig worden bijgewerkt en getest, het evalueren van crisis management procedures en -capaciteiten, en het controleren of crisis management is geïntegreerd met business continuity en disaster recovery. Voor crisis management moet worden geëvalueerd of rollen en verantwoordelijkheden duidelijk zijn gedefinieerd, of escalatielijnen en besluitvormingsprocessen zijn gedocumenteerd, en of communicatieprotocollen zijn ontwikkeld en getest. Oefenprogramma evaluatie omvat het controleren of regelmatige oefeningen worden uitgevoerd voor business continuity, disaster recovery en crisis management, het verifiëren dat oefeningen worden gedocumenteerd en geëvalueerd, het evalueren van oefenresultaten en verbeteracties, en het controleren of oefenprogramma's aansluiten bij compliance-eisen zoals BIO 17.3. Voor oefenprogramma's moet worden geëvalueerd of verschillende types oefeningen worden uitgevoerd, of oefeningen realistisch genoeg zijn, en of verbeteracties worden opgevolgd.

Resilience Scoring en Rapportage

Resilience scoring en rapportage zijn essentieel om assessment resultaten te communiceren naar bestuur, management en auditors, en om verbeteracties te prioriteren. Scoring moet worden gebaseerd op objectieve criteria en metrics, zodat scores vergelijkbaar zijn over tijd en tussen verschillende omgevingen. Resilience scoring model moet verschillende dimensies van resilience combineren tot een overall resilience score. Elke dimensie moet worden gescoord op basis van specifieke criteria, waarbij scores worden genormaliseerd zodat verschillende dimensies kunnen worden gecombineerd. Het scoring model moet bijvoorbeeld technische resilience, organisatorische resilience, operationele resilience en strategische resilience combineren, waarbij elke dimensie wordt gewogen op basis van business requirements en compliance-eisen. Scoring criteria moeten worden gebaseerd op best practices en compliance-eisen. Voor technische resilience betekent dit bijvoorbeeld dat scores worden gebaseerd op beschikbaarheids-SLA's, redundantie-configuraties, back-up- en herstelprocedures, en failover-capaciteiten. Voor organisatorische resilience betekent dit dat scores worden gebaseerd op business continuity plannen, disaster recovery procedures, crisis management frameworks, en oefenprogramma's. Scores moeten worden geclassificeerd in categorieën zoals 'Excellent', 'Good', 'Adequate', 'Needs Improvement' en 'Critical', zodat bestuur en management snel kunnen zien waar verbeteracties nodig zijn. Rapportage moet worden gestructureerd om ervoor te zorgen dat assessment resultaten duidelijk worden gecommuniceerd naar verschillende stakeholders. Executive summaries moeten high-level resilience scores en aanbevelingen bevatten voor bestuur, gedetailleerde rapporten moeten technische bevindingen en aanbevelingen bevatten voor beheerteams, en compliance-rapporten moeten bewijsstukken bevatten voor auditors. Daarnaast moeten rapporten trendanalyses bevatten die laten zien hoe resilience is geëvolueerd over tijd, zodat bestuur en management kunnen zien of verbeteracties effectief zijn geweest. Verbeteracties prioritering moet worden gebaseerd op risico en impact. Kritieke verbeteracties die directe impact hebben op resilience en compliance moeten worden geprioriteerd boven minder urgente verbeteracties. Prioritering moet worden gedocumenteerd en gecommuniceerd naar bestuur en management, zodat duidelijk is welke verbeteracties worden opgepakt en wanneer deze worden voltooid.

Continue Verbetering en Monitoring

Gebruik PowerShell-script resilience-assessment.ps1 (functie Invoke-Monitoring) – Monitort resilience metrics en identificeert verbeterkansen.

Continue verbetering en monitoring van resilience zijn essentieel om te garanderen dat resilience effectief blijft en aansluit bij de actuele organisatie, technologie en bedreigingslandschap. Het resilience assessment framework moet daarom processen bevatten voor het regelmatig monitoren van resilience metrics, het identificeren van verbeterkansen, en het implementeren van verbeteracties. Monitoring van resilience metrics omvat het regelmatig controleren van beschikbaarheids-SLA's, back-up-statussen, failover-capaciteiten, en oefenresultaten. Deze monitoring moet worden geautomatiseerd waar mogelijk, bijvoorbeeld door gebruik te maken van Azure Monitor en andere monitoring tools, maar moet ook ruimte bieden voor periodieke handmatige reviews door het resilience assessment team. Daarnaast moet monitoring trendanalyses bevatten die laten zien hoe resilience metrics evolueren over tijd, zodat vroegtijdig kan worden ingegrepen wanneer metrics verslechteren. Evaluatie van resilience moet plaatsvinden na elke assessment en na elke significante wijziging in de Azure-omgeving, waarbij wordt geanalyseerd wat goed gaat, wat beter kan, en welke verbeteracties nodig zijn. Deze evaluaties moeten worden gedocumenteerd en moeten leiden tot concrete actieplannen die worden opgevolgd. Daarnaast moeten periodieke reviews worden uitgevoerd, bijvoorbeeld jaarlijks, waarbij het volledige resilience assessment framework wordt geëvalueerd en waar nodig wordt bijgewerkt. Verbeteracties moeten worden geprioriteerd op basis van risico en impact, waarbij kritieke verbeteracties direct worden opgepakt en minder urgente verbeteracties worden gepland voor toekomstige implementatie. Alle verbeteracties moeten worden gedocumenteerd en moeten worden geverifieerd door middel van toekomstige assessments, zodat kan worden bevestigd dat verbeteringen effectief zijn. Daarnaast moeten verbeteracties worden gecommuniceerd naar bestuur en management, zodat duidelijk is welke verbeteringen worden geïmplementeerd en wat de verwachte impact is.

Remediatie

Gebruik PowerShell-script resilience-assessment.ps1 (functie Invoke-Remediation) – Genereert aanbevelingen voor resilience verbeteracties.

Wanneer assessments uitwijzen dat resilience onvoldoende is of dat verbeteracties nodig zijn, is een gestructureerde remediatieaanpak noodzakelijk. Begin met een gap-analyse waarin u inventariseert welke aspecten van resilience onvoldoende zijn, welke verbeteracties nodig zijn, en welke resources en capaciteiten beschikbaar zijn voor remediatie. Prioriteer deze bevindingen op basis van risico en impact, waarbij kritieke verbeteracties direct worden opgepakt. Voor technische resilience verbeteracties moet u eerst bepalen welke resources en services het meest kritiek zijn en deze prioriteren voor verbetering. Begin met het implementeren van redundantie voor single points of failure, gevolgd door het verbeteren van back-up- en herstelprocedures, en vervolgens het configureren van failover-capaciteiten waar nodig. Zorg dat alle technische verbeteracties worden getest tijdens oefeningen, zodat kan worden bevestigd dat zij correct functioneren tijdens een echte verstoring. Voor organisatorische resilience verbeteracties moet u eerst bepalen welke processen en procedures het meest kritiek zijn en deze prioriteren voor verbetering. Begin met het ontwikkelen of verbeteren van business continuity plannen voor kritieke processen, gevolgd door het ontwikkelen of verbeteren van disaster recovery procedures voor kritieke workloads, en vervolgens het ontwikkelen of verbeteren van crisis management frameworks. Zorg dat alle organisatorische verbeteracties worden getest tijdens oefeningen, zodat kan worden bevestigd dat zij correct werken tijdens een echte crisis. Voor operationele resilience verbeteracties moet u eerst bepalen welke monitoring en detectie capabilities het meest kritiek zijn en deze prioriteren voor verbetering. Begin met het configureren van monitoring en alerting voor kritieke resources en services, gevolgd door het verbeteren van incident response procedures, en vervolgens het verbeteren van escalatieprocessen. Zorg dat alle operationele verbeteracties worden getest tijdens oefeningen, zodat kan worden bevestigd dat zij correct functioneren tijdens een echte incident. Na remediatie is het belangrijk om de verbeteringen te valideren door middel van assessments en oefeningen. Voer voor alle gerepareerde aspecten een assessment uit om te verifiëren dat resilience is verbeterd. Update monitoring en metrics zodat toekomstige problemen direct worden gesignaleerd. Documenteer alle remediatie-activiteiten, inclusief de geïdentificeerde problemen, de uitgevoerde wijzigingen en de validatieresultaten, zodat deze informatie beschikbaar is voor toekomstige assessments en verbeteringen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Resilience Assessment - Evaluatie en Monitoring .DESCRIPTION Evalueert de resilience-posture van Azure-omgevingen door het analyseren van beschikbaarheid, redundantie, back-up-configuraties en herstelbaarheid. Het script identificeert kwetsbaarheden, single points of failure en genereert aanbevelingen voor resilience verbeteracties. .NOTES Filename: resilience-assessment.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/azure/management/resilience-assessment.json NBVC Debug: Gebruik de omgevingsvariabele NBVC_LOCAL_DEBUG=1 om lokale testen uit te voeren zonder verbinding te maken met Azure-API's. .EXAMPLE .\resilience-assessment.ps1 -Monitoring Evalueert resilience-posture en identificeert kwetsbaarheden .EXAMPLE .\resilience-assessment.ps1 -Remediation Genereert aanbevelingen voor resilience verbeteracties #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Resources, Az.Monitor, Az.RecoveryServices [CmdletBinding()] param( [Parameter(HelpMessage = "Evalueert resilience-posture en identificeert kwetsbaarheden")] [switch]$Monitoring, [Parameter(HelpMessage = "Genereert aanbevelingen voor resilience verbeteracties")] [switch]$Remediation, [Parameter(HelpMessage = "Preview wijzigingen zonder uit te voeren")] [switch]$WhatIf ) $ErrorActionPreference = 'Stop' $PolicyName = "Resilience Assessment - Azure" function Get-IsLocalDebug { param() return [bool]($env:NBVC_LOCAL_DEBUG -eq '1') } function Connect-RequiredServices { if (Get-IsLocalDebug) { Write-Verbose "NBVC_LOCAL_DEBUG is actief - Azure verbinding wordt overgeslagen." return } try { if (-not (Get-Module -ListAvailable -Name Az.Accounts)) { throw "Het PowerShell-module 'Az.Accounts' is niet beschikbaar. Installeer dit module voordat u het script gebruikt." } if (-not (Get-Module -ListAvailable -Name Az.Resources)) { throw "Het PowerShell-module 'Az.Resources' is niet beschikbaar. Installeer dit module voordat u het script gebruikt." } if (-not (Get-Module -ListAvailable -Name Az.Monitor)) { Write-Warning "Het PowerShell-module 'Az.Monitor' is niet beschikbaar. Sommige monitoring functies zijn mogelijk niet beschikbaar." } if (-not (Get-Module -ListAvailable -Name Az.RecoveryServices)) { Write-Warning "Het PowerShell-module 'Az.RecoveryServices' is niet beschikbaar. Sommige back-up functies zijn mogelijk niet beschikbaar." } $ctx = Get-AzContext -ErrorAction SilentlyContinue if (-not $ctx) { Write-Host "Verbinding maken met Azure (Connect-AzAccount)..." -ForegroundColor Yellow Connect-AzAccount -ErrorAction Stop | Out-Null } else { Write-Verbose "Bestaande Azure context gevonden: $($ctx.Name)" } } catch { throw "Kon niet verbinden met Azure: $($_.Exception.Message)" } } function Get-ResilienceMetrics { <# .SYNOPSIS Haalt resilience metrics op uit Azure-omgevingen. .OUTPUTS PSCustomObject met resilience metric-informatie. #> [CmdletBinding()] param() if (Get-IsLocalDebug) { # Gesimuleerde gegevens voor lokale debug en CI-tests return [PSCustomObject]@{ Timestamp = Get-Date TotalResources = 150 ResourcesWithRedundancy = 120 ResourcesWithBackup = 135 ResourcesWithMonitoring = 145 SinglePointsOfFailure = 5 AvailabilityScore = 85 RedundancyScore = 80 BackupScore = 90 MonitoringScore = 95 OverallResilienceScore = 87.5 CriticalFindings = @( [PSCustomObject]@{ ResourceName = "prod-sql-server-01" ResourceType = "Microsoft.Sql/servers" Finding = "Geen geo-redundantie geconfigureerd" Severity = "High" } ) } } Connect-RequiredServices $metrics = @{ Timestamp = Get-Date TotalResources = 0 ResourcesWithRedundancy = 0 ResourcesWithBackup = 0 ResourcesWithMonitoring = 0 SinglePointsOfFailure = 0 CriticalFindings = @() } try { $subscriptions = Get-AzSubscription -ErrorAction SilentlyContinue foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id -ErrorAction SilentlyContinue | Out-Null # Haal resources op try { $resourceGroups = Get-AzResourceGroup -ErrorAction SilentlyContinue foreach ($rg in $resourceGroups) { $resources = Get-AzResource -ResourceGroupName $rg.ResourceGroupName -ErrorAction SilentlyContinue foreach ($resource in $resources) { $metrics.TotalResources++ # Controleer redundantie (vereist resource-specifieke checks) $hasRedundancy = $false if ($resource.ResourceType -eq "Microsoft.Sql/servers") { try { $server = Get-AzSqlServer -ResourceGroupName $rg.ResourceGroupName -ServerName $resource.Name -ErrorAction SilentlyContinue if ($server) { # Controleer of geo-redundantie is geconfigureerd (vereist uitgebreidere checks) $hasRedundancy = $true } } catch { # Resource-specifieke check niet beschikbaar } } elseif ($resource.ResourceType -eq "Microsoft.Storage/storageAccounts") { try { $storageAccount = Get-AzStorageAccount -ResourceGroupName $rg.ResourceGroupName -Name $resource.Name -ErrorAction SilentlyContinue if ($storageAccount -and $storageAccount.GeoReplicationEnabled) { $hasRedundancy = $true } } catch { # Resource-specifieke check niet beschikbaar } } else { # Voor andere resource types, controleer op availability sets of zones $hasRedundancy = $true # Standaard aanname } if ($hasRedundancy) { $metrics.ResourcesWithRedundancy++ } else { $metrics.SinglePointsOfFailure++ $metrics.CriticalFindings += [PSCustomObject]@{ ResourceName = $resource.Name ResourceType = $resource.ResourceType Finding = "Geen redundantie geconfigureerd" Severity = "High" } } # Controleer back-up (vereist Recovery Services Vault checks) $hasBackup = $false try { $vaults = Get-AzRecoveryServicesVault -ErrorAction SilentlyContinue foreach ($vault in $vaults) { $backupItems = Get-AzRecoveryServicesBackupItem -VaultId $vault.ID -ErrorAction SilentlyContinue foreach ($item in $backupItems) { if ($item.ResourceId -eq $resource.ResourceId) { $hasBackup = $true break } } if ($hasBackup) { break } } } catch { # Back-up check niet beschikbaar } if ($hasBackup) { $metrics.ResourcesWithBackup++ } # Controleer monitoring (vereist Azure Monitor checks) $hasMonitoring = $false try { $alerts = Get-AzMetricAlertRuleV2 -ErrorAction SilentlyContinue foreach ($alert in $alerts) { if ($alert.TargetResourceId -eq $resource.ResourceId) { $hasMonitoring = $true break } } } catch { # Monitoring check niet beschikbaar } if ($hasMonitoring) { $metrics.ResourcesWithMonitoring++ } } } } catch { Write-Verbose "Kon resources niet ophalen voor abonnement $($sub.Name): $_" } } # Bereken scores if ($metrics.TotalResources -gt 0) { $metrics.AvailabilityScore = [Math]::Round(($metrics.ResourcesWithMonitoring / $metrics.TotalResources) * 100, 2) $metrics.RedundancyScore = [Math]::Round(($metrics.ResourcesWithRedundancy / $metrics.TotalResources) * 100, 2) $metrics.BackupScore = [Math]::Round(($metrics.ResourcesWithBackup / $metrics.TotalResources) * 100, 2) $metrics.MonitoringScore = [Math]::Round(($metrics.ResourcesWithMonitoring / $metrics.TotalResources) * 100, 2) $metrics.OverallResilienceScore = [Math]::Round(($metrics.AvailabilityScore + $metrics.RedundancyScore + $metrics.BackupScore + $metrics.MonitoringScore) / 4, 2) } } catch { Write-Verbose "Fout bij ophalen resilience metrics: $_" } return [PSCustomObject]$metrics } function Invoke-Monitoring { <# .SYNOPSIS Evalueert resilience-posture en identificeert kwetsbaarheden. #> [CmdletBinding()] param() Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName - Monitoring" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan $metrics = Get-ResilienceMetrics Write-Host "`nResilience Metrics:" -ForegroundColor Cyan Write-Host "Totaal aantal resources: $($metrics.TotalResources)" -ForegroundColor White Write-Host "Resources met redundantie: $($metrics.ResourcesWithRedundancy) ($($metrics.RedundancyScore)%)" -ForegroundColor $(if ($metrics.RedundancyScore -ge 90) { "Green" } elseif ($metrics.RedundancyScore -ge 70) { "Yellow" } else { "Red" }) Write-Host "Resources met back-up: $($metrics.ResourcesWithBackup) ($($metrics.BackupScore)%)" -ForegroundColor $(if ($metrics.BackupScore -ge 90) { "Green" } elseif ($metrics.BackupScore -ge 70) { "Yellow" } else { "Red" }) Write-Host "Resources met monitoring: $($metrics.ResourcesWithMonitoring) ($($metrics.MonitoringScore)%)" -ForegroundColor $(if ($metrics.MonitoringScore -ge 90) { "Green" } elseif ($metrics.MonitoringScore -ge 70) { "Yellow" } else { "Red" }) Write-Host "Single points of failure: $($metrics.SinglePointsOfFailure)" -ForegroundColor $(if ($metrics.SinglePointsOfFailure -eq 0) { "Green" } elseif ($metrics.SinglePointsOfFailure -lt 5) { "Yellow" } else { "Red" }) Write-Host "`nResilience Scores:" -ForegroundColor Cyan Write-Host "Beschikbaarheid score: $($metrics.AvailabilityScore)%" -ForegroundColor $(if ($metrics.AvailabilityScore -ge 90) { "Green" } elseif ($metrics.AvailabilityScore -ge 70) { "Yellow" } else { "Red" }) Write-Host "Redundantie score: $($metrics.RedundancyScore)%" -ForegroundColor $(if ($metrics.RedundancyScore -ge 90) { "Green" } elseif ($metrics.RedundancyScore -ge 70) { "Yellow" } else { "Red" }) Write-Host "Back-up score: $($metrics.BackupScore)%" -ForegroundColor $(if ($metrics.BackupScore -ge 90) { "Green" } elseif ($metrics.BackupScore -ge 70) { "Yellow" } else { "Red" }) Write-Host "Monitoring score: $($metrics.MonitoringScore)%" -ForegroundColor $(if ($metrics.MonitoringScore -ge 90) { "Green" } elseif ($metrics.MonitoringScore -ge 70) { "Yellow" } else { "Red" }) Write-Host "Overall resilience score: $($metrics.OverallResilienceScore)%" -ForegroundColor $(if ($metrics.OverallResilienceScore -ge 90) { "Green" } elseif ($metrics.OverallResilienceScore -ge 70) { "Yellow" } else { "Red" }) if ($metrics.CriticalFindings.Count -gt 0) { Write-Host "`nKritieke Bevindingen:" -ForegroundColor Red foreach ($finding in $metrics.CriticalFindings) { Write-Host " • $($finding.ResourceName) ($($finding.ResourceType))" -ForegroundColor Yellow Write-Host " $($finding.Finding) - Severity: $($finding.Severity)" -ForegroundColor Yellow } } else { Write-Host "`n[INFO] Geen kritieke bevindingen gedetecteerd." -ForegroundColor Green } # Resilience aanbeveling if ($metrics.OverallResilienceScore -lt 70) { Write-Host "`n[WAARSCHUWING] Resilience score is onder de aanbevolen drempel (70%):" -ForegroundColor Red Write-Host " • Overall resilience score: $($metrics.OverallResilienceScore)%" -ForegroundColor Red Write-Host " • Aanbevolen: Implementeer verbeteracties om resilience te verhogen naar minimaal 90%" -ForegroundColor Yellow } elseif ($metrics.OverallResilienceScore -lt 90) { Write-Host "`n[INFO] Resilience score is acceptabel maar kan worden verbeterd:" -ForegroundColor Yellow Write-Host " • Overall resilience score: $($metrics.OverallResilienceScore)%" -ForegroundColor Yellow Write-Host " • Aanbevolen: Overweeg aanvullende verbeteracties om resilience te verhogen naar 90%+" -ForegroundColor Yellow } else { Write-Host "`n[INFO] Resilience score is uitstekend." -ForegroundColor Green } return $metrics } function Invoke-Remediation { <# .SYNOPSIS Genereert aanbevelingen voor resilience verbeteracties. .DESCRIPTION Deze functie analyseert resilience metrics en genereert specifieke aanbevelingen voor verbeteracties op basis van geïdentificeerde kwetsbaarheden en single points of failure. #> [CmdletBinding()] param() Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName - Remediatie" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan $metrics = Invoke-Monitoring Write-Host "`n[INFO] Resilience verbeteracties aanbevelingen:" -ForegroundColor Cyan if ($metrics.RedundancyScore -lt 90) { Write-Host "`nRedundantie Verbeteracties:" -ForegroundColor Yellow Write-Host " 1. Configureer geo-redundantie voor kritieke storage accounts" -ForegroundColor White Write-Host " 2. Implementeer availability zones voor kritieke compute resources" -ForegroundColor White Write-Host " 3. Configureer load balancing voor high-availability workloads" -ForegroundColor White Write-Host " 4. Elimineer single points of failure door redundantie toe te voegen" -ForegroundColor White } if ($metrics.BackupScore -lt 90) { Write-Host "`nBack-up Verbeteracties:" -ForegroundColor Yellow Write-Host " 1. Configureer Azure Backup voor alle kritieke resources" -ForegroundColor White Write-Host " 2. Implementeer geo-redundant back-up storage" -ForegroundColor White Write-Host " 3. Test regelmatig back-up- en herstelprocedures" -ForegroundColor White Write-Host " 4. Verifieer dat RTO en RPO worden gehaald" -ForegroundColor White } if ($metrics.MonitoringScore -lt 90) { Write-Host "`nMonitoring Verbeteracties:" -ForegroundColor Yellow Write-Host " 1. Configureer Azure Monitor alerts voor alle kritieke resources" -ForegroundColor White Write-Host " 2. Implementeer log analytics voor centrale monitoring" -ForegroundColor White Write-Host " 3. Configureer automatische escalatie voor kritieke alerts" -ForegroundColor White Write-Host " 4. Stel dashboards op voor resilience metrics" -ForegroundColor White } if ($metrics.SinglePointsOfFailure -gt 0) { Write-Host "`nSingle Points of Failure Eliminatie:" -ForegroundColor Yellow Write-Host " 1. Identificeer en documenteer alle single points of failure" -ForegroundColor White Write-Host " 2. Prioriteer eliminatie op basis van business impact" -ForegroundColor White Write-Host " 3. Implementeer redundantie voor kritieke single points of failure" -ForegroundColor White Write-Host " 4. Test failover-procedures regelmatig" -ForegroundColor White } Write-Host "`n[INFO] Raadpleeg het resilience assessment framework voor gedetailleerde implementatie-instructies." -ForegroundColor Cyan return $metrics } try { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan if ($Monitoring) { Invoke-Monitoring | Out-Null } elseif ($Remediation) { Invoke-Remediation | Out-Null } else { # Standaard: monitoring-uitvoer Invoke-Monitoring | Out-Null } } catch { Write-Error ("Fout tijdens uitvoering van {0}: {1}" -f $PolicyName, $_) exit 1 } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder een structurele resilience assessment kunnen organisaties niet aantonen dat hun Azure-omgevingen voldoende weerbaar zijn tegen verstoringen, uitval en bedreigingen. Dit kan leiden tot langdurige dienstuitval, gegevensverlies, reputatieschade en niet-naleving van wettelijke verplichtingen zoals de NIS2 richtlijn, de AVG en de Baseline Informatiebeveiliging Overheid. Daarnaast kunnen organisaties niet aantonen dat zij voldoen aan compliance-eisen voor continuïteitsbeheer en beschikbaarheid.

Management Samenvatting

Een resilience assessment biedt een gestructureerde aanpak voor het evalueren van de weerbaarheid van Azure-omgevingen tegen verstoringen, uitval en bedreigingen. Correcte implementatie vereist een assessment framework met duidelijke methodologie, technische en organisatorische resilience evaluatie, scoring en rapportage, en continue verbetering. Implementatie: 200 uur. High priority voor aantoonbare resilience volgens BIO-, NIS2- en AVG-eisen.