💼 Management Samenvatting
Azure Migrate assessment biedt een gestructureerde aanpak voor het inventariseren, analyseren en beoordelen van on-premises workloads voordat deze worden gemigreerd naar Azure. Door uitgebreide discovery en assessment uit te voeren, kunnen Nederlandse overheidsorganisaties weloverwogen beslissingen nemen over migratiestrategieën, kostenramingen en technische vereisten, waardoor risico's worden geminimaliseerd en migratiesucces wordt gemaximaliseerd.
Aanbeveling
IMPLEMENTEER
Risico zonder
High
Risk Score
7/10
Implementatie
32u (tech: 20u)
Van toepassing op:
✓ On-premises workloads
✓ VMware omgevingen
✓ Hyper-V omgevingen
✓ Fysieke servers
✓ Azure Virtual Machines
✓ VMware omgevingen
✓ Hyper-V omgevingen
✓ Fysieke servers
✓ Azure Virtual Machines
Het ontbreken van een grondige assessment voordat migraties worden gestart vormt een significant risico voor elke organisatie die workloads naar Azure wil migreren. Zonder adequate assessment kunnen organisaties niet begrijpen welke workloads geschikt zijn voor migratie, welke technische uitdagingen moeten worden overwonnen, wat de verwachte kosten zijn, en welke beveiligings- en compliance-implicaties de migratie heeft. Dit kan leiden tot mislukte migraties, onverwachte kosten, beveiligingslekken, niet-naleving van compliance-vereisten en aanzienlijke vertragingen in het migratieproces. Voor Nederlandse overheidsorganisaties is dit onacceptabel, aangezien migraties vaak kritieke diensten betreffen en moeten voldoen aan strikte eisen zoals vastgelegd in de Baseline Informatiebeveiliging Overheid (BIO), de NIS2 richtlijn en de Algemene Verordening Gegevensbescherming (AVG). Azure Migrate assessment lost deze problemen op door geautomatiseerde discovery te bieden van on-premises workloads, gedetailleerde analyse van afhankelijkheden tussen systemen, kostenramingen op basis van werkelijke resourcegebruik, beveiligingsbeoordelingen die identificeren welke workloads extra beveiligingsmaatregelen vereisen, en migratiereadiness-rapportages die aangeven welke workloads klaar zijn voor migratie en welke aanvullende voorbereiding vereisen. Bovendien biedt Azure Migrate assessment ondersteuning voor verschillende migratiescenario's, inclusief lift-and-shift migraties waarbij workloads worden verplaatst zonder wijzigingen, modernisering waarbij workloads worden geoptimaliseerd voor cloud-native services, en hybride scenario's waarbij workloads gedeeltelijk in de cloud en gedeeltelijk on-premises blijven. Door deze uitgebreide assessment uit te voeren voordat migraties worden gestart, kunnen organisaties weloverwogen beslissingen nemen, risico's identificeren en mitigeren, en realistische migratieplannen ontwikkelen die aansluiten bij de business doelen en compliance-vereisten van de organisatie.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.Migrate
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.Migrate
Implementatie
De implementatie van Azure Migrate assessment omvat het opzetten van een Azure Migrate-project in de Azure Portal, het installeren en configureren van assessment-apparaten voor discovery van on-premises omgevingen, en het uitvoeren van uitgebreide assessments die workloads analyseren op basis van verschillende criteria. Het Azure Migrate-project fungeert als centrale beheeromgeving voor alle assessment-activiteiten en biedt een overzicht van alle gediscoverde workloads, assessment-resultaten en migratierecommendaties. Voor VMware-omgevingen wordt een Azure Migrate-apparaat geïnstalleerd als virtuele machine in de vCenter Server-omgeving, terwijl voor Hyper-V-omgevingen een Azure Migrate-apparaat wordt geïnstalleerd op een Windows Server-machine. Voor fysieke servers of andere omgevingen kan een op agent gebaseerde discovery worden gebruikt waarbij agents worden geïnstalleerd op de te beoordelen machines. Het assessment-apparaat voert continue discovery uit van virtuele machines, fysieke servers, databases, applicaties en netwerkconfiguraties, waarbij alle relevante informatie wordt verzameld zoals CPU-gebruik, geheugengebruik, opslagcapaciteit, netwerkconfiguraties en afhankelijkheden tussen systemen. Deze informatie wordt veilig verzonden naar Azure Migrate, waar uitgebreide analyses worden uitgevoerd om migratiereadiness te bepalen, kosten te ramen, beveiligingsrisico's te identificeren en migratierecommendaties te genereren. De assessment-resultaten worden gepresenteerd in gedetailleerde rapportages die aangeven welke workloads geschikt zijn voor migratie, welke technische aanpassingen vereist zijn, wat de verwachte kosten zijn, en welke beveiligings- en compliance-implicaties de migratie heeft. Organisaties kunnen deze rapportages gebruiken om migratieplannen te ontwikkelen, budgetten te bepalen, risico's te identificeren en mitigeren, en stakeholders te informeren over de verwachte impact van de migratie.
Vereisten
Voor het succesvol implementeren van Azure Migrate assessment zijn specifieke technische, organisatorische en licentievereisten noodzakelijk. Deze vereisten vormen de fundamentele basis voor een succesvolle assessment en zijn essentieel om te kunnen voldoen aan compliance-vereisten zoals vastgelegd in de Baseline Informatiebeveiliging Overheid, de NIS2 richtlijn en andere relevante wet- en regelgeving. Organisaties die deze vereisten niet volledig begrijpen of implementeren, lopen het risico dat zij niet beschikken over adequate assessment-capaciteit en niet kunnen voldoen aan de eisen voor weloverwogen migratieplanning. De primaire licentievereiste voor Azure Migrate assessment is een Azure-abonnement met actieve Azure Migrate-service. Azure Migrate biedt een gratis assessment-optie voor de eerste 500 virtuele machines, wat voldoende is voor de meeste assessment-scenario's. Voor grotere omgevingen of geavanceerde assessment-functies zoals dependency mapping en performance-based sizing kunnen aanvullende licenties vereist zijn. Daarnaast moeten organisaties beschikken over voldoende Azure-resources voor het opslaan van assessment-data en het uitvoeren van analyses, inclusief Azure Storage voor assessment-resultaten en Azure Log Analytics voor geavanceerde analyses. Voor organisaties die gebruik maken van Azure Migrate voor migratieplanning op grote schaal, kunnen kosten ontstaan voor data-opslag en geavanceerde assessment-functies, maar de basisassessment-functionaliteit is doorgaans kosteloos beschikbaar. Naast licentievereisten zijn specifieke Azure-machtigingen vereist om Azure Migrate assessment te kunnen configureren en beheren. De Azure Migrate Contributor rol is de primaire rol die nodig is voor het opzetten van Azure Migrate-projecten, het configureren van assessment-apparaten en het uitvoeren van assessments. Deze rol kan worden toegewezen via Azure Role-Based Access Control (RBAC) en biedt beheerders de benodigde rechten om Azure Migrate-projecten te maken, assessment-apparaten te registreren en assessment-resultaten te bekijken. Het is belangrijk te realiseren dat deze rol gevoelige bevoegdheden bevat, omdat Azure Migrate assessment informatie kan verzamelen over on-premises omgevingen, workloads en configuraties die als vertrouwelijk kunnen worden beschouwd. Daarom moet de rol alleen worden toegewezen aan vertrouwde beheerders die een security clearance hebben en die zijn getraind in het omgaan met migratie- en assessment-technologie. Organisaties moeten een proces implementeren voor het toewijzen en beheren van deze rol, inclusief regelmatige reviews om te verifiëren dat alleen geautoriseerde personen toegang hebben tot Azure Migrate assessment-functionaliteit. Voor on-premises omgevingen die moeten worden beoordeeld, zijn aanvullende technische vereisten noodzakelijk. Voor VMware-omgevingen moet een vCenter Server beschikbaar zijn met voldoende rechten voor het Azure Migrate-apparaat om virtuele machines te kunnen ontdekken en te monitoren. Het assessment-apparaat moet worden geïnstalleerd als virtuele machine in de VMware-omgeving, waarbij specifieke hardware- en software-eisen gelden inclusief voldoende CPU, geheugen en opslagcapaciteit. Het apparaat moet beschikken over uitgaande internetconnectiviteit naar Azure, waarbij specifieke URL's en IP-adressen moeten worden toegestaan voor de Azure Migrate-service. Voor Hyper-V-omgevingen moet een System Center Virtual Machine Manager (SCVMM) server beschikbaar zijn, of moet het assessment-apparaat directe toegang hebben tot Hyper-V-hosts. Voor fysieke servers of andere omgevingen kan een op agent gebaseerde discovery worden gebruikt waarbij agents worden geïnstalleerd op de te beoordelen machines, waarbij de agents informatie verzamelen over de machineconfiguratie, resourcegebruik en afhankelijkheden. Netwerkvereisten zijn eveneens cruciaal voor een succesvolle Azure Migrate assessment implementatie. De on-premises omgeving moet beschikken over uitgaande internetconnectiviteit naar Azure, waarbij specifieke URL's en IP-adressen moeten worden toegestaan voor de Azure Migrate-service. Organisaties met restrictieve firewallregels moeten ervoor zorgen dat Azure Migrate endpoints toegankelijk zijn, inclusief de Azure Migrate endpoints voor data-upload en de Azure Storage endpoints voor assessment-resultaten. Daarnaast moeten organisaties ervoor zorgen dat het assessment-apparaat toegang heeft tot alle te beoordelen workloads, waarbij netwerkconnectiviteit moet worden geconfigureerd zodat het apparaat virtuele machines, fysieke servers, databases en applicaties kan ontdekken en monitoren. Voor complexe omgevingen met meerdere netwerken, VLAN's of subnetten moeten gedetailleerde netwerkconfiguraties worden geconfigureerd om ervoor te zorgen dat het assessment-apparaat toegang heeft tot alle relevante workloads. Het is cruciaal te realiseren dat zonder de juiste licenties, machtigingen en technische configuraties Azure Migrate assessment niet correct kan functioneren en organisaties niet kunnen voldoen aan de eisen voor weloverwogen migratieplanning. Het ontbreken van adequate assessment-capaciteit kan leiden tot mislukte migraties, onverwachte kosten, beveiligingslekken en niet-naleving van compliance-vereisten. Daarom moeten organisaties ervoor zorgen dat alle vereisten volledig zijn geïmplementeerd voordat zij afhankelijk worden van Azure Migrate assessment voor migratieplanning.
Implementatie
Gebruik PowerShell-script azure-migrate-assessment.ps1 (functie Invoke-Remediation) – Configureert Azure Migrate assessment-projecten en valideert de assessment-configuratie volgens de Nederlandse Baseline voor Veilige Cloud..
De implementatie van Azure Migrate assessment vereist een gestructureerde aanpak die begint met het opzetten van een Azure Migrate-project in de Azure Portal, gevolgd door het installeren en configureren van assessment-apparaten voor discovery van on-premises omgevingen, en het uitvoeren van uitgebreide assessments die workloads analyseren op basis van verschillende criteria. Hoewel Azure Migrate assessment relatief eenvoudig te configureren is via de Azure Portal, is het essentieel om de implementatie zorgvuldig te plannen en uit te voeren om ervoor te zorgen dat alle relevante workloads adequaat worden beoordeeld en dat de assessment-resultaten aansluiten bij de migratiedoelen van de organisatie. Het ontbreken van deze planning kan leiden tot situaties waarin assessments niet correct zijn geconfigureerd, waardoor migratierecommendaties onnauwkeurig zijn of belangrijke workloads over het hoofd worden gezien. De eerste stap in het implementatieproces is het aanmaken van een Azure Migrate-project in de Azure Portal. Dit project fungeert als centrale beheeromgeving voor alle assessment-activiteiten en biedt een overzicht van alle gediscoverde workloads, assessment-resultaten en migratierecommendaties. Organisaties moeten een duidelijke naamgevingsconventie gebruiken voor het project, bijvoorbeeld AzureMigrate-Assessment-Prod-2025, zodat beheerders direct kunnen zien voor welke omgeving en periode het project bedoeld is. Bij het aanmaken van het project moeten organisaties ervoor zorgen dat de juiste resource group wordt geselecteerd en dat het project wordt geplaatst in de juiste Azure-regio, wat latency minimaliseert en ervoor zorgt dat assessment-data optimaal worden verwerkt. Na het aanmaken van het project moet worden gekozen welk assessment-tool wordt gebruikt: Azure Migrate: Discovery and assessment voor servers, Azure Migrate: Database assessment voor databases, of Azure Migrate: App containerization voor applicaties. Voor de meeste migratiescenario's wordt Azure Migrate: Discovery and assessment aanbevolen, omdat dit uitgebreide assessment-capaciteit biedt voor servers, virtuele machines en applicaties. Vervolgens moet een assessment-apparaat worden geïnstalleerd en geconfigureerd in de on-premises omgeving. Voor VMware-omgevingen wordt een Azure Migrate-apparaat geïnstalleerd als virtuele machine in de vCenter Server-omgeving, waarbij het apparaat wordt gedownload als OVA-bestand en wordt geïmporteerd in vCenter Server. Het apparaat moet worden geconfigureerd met voldoende resources: minimaal 32 GB RAM, 8 vCPU's en 80 GB opslag voor kleine tot middelgrote omgevingen, en meer resources voor grotere omgevingen. Na het opstarten van het apparaat moet het worden geregistreerd bij het Azure Migrate-project door de registratiesleutel in te voeren die beschikbaar is in de Azure Portal. Het apparaat begint vervolgens automatisch met discovery van virtuele machines, fysieke servers, databases en applicaties in de omgeving, waarbij continue monitoring wordt uitgevoerd om resourcegebruik en afhankelijkheden te verzamelen. Voor Hyper-V-omgevingen wordt een vergelijkbaar proces gevolgd, waarbij het assessment-apparaat wordt geïnstalleerd op een Windows Server-machine met toegang tot Hyper-V-hosts. Voor fysieke servers of andere omgevingen kan een op agent gebaseerde discovery worden gebruikt waarbij agents worden geïnstalleerd op de te beoordelen machines. Na het voltooien van de discovery-fase moeten assessments worden geconfigureerd en uitgevoerd. Azure Migrate biedt verschillende assessment-opties: server assessments die virtuele machines en fysieke servers analyseren op basis van grootte, kosten en migratiereadiness, database assessments die databases analyseren op basis van compatibiliteit, migratiemogelijkheden en kosten, en applicatie-assessments die applicaties analyseren op basis van afhankelijkheden, moderniseringmogelijkheden en cloud-readiness. Organisaties moeten assessments configureren met de juiste instellingen: de doelsubscriptie en resource group voor migratie, de Azure-regio waar workloads naartoe moeten worden gemigreerd, de pricing tier die moet worden gebruikt voor kostenramingen, en de assessment-eigenschappen zoals discount percentages en reserved instances. Na het configureren van de assessment-instellingen kunnen assessments worden uitgevoerd, waarbij Azure Migrate uitgebreide analyses uitvoert op basis van de verzamelde discovery-data. De assessment-resultaten worden gepresenteerd in gedetailleerde rapportages die aangeven welke workloads geschikt zijn voor migratie, welke technische aanpassingen vereist zijn, wat de verwachte kosten zijn, en welke beveiligings- en compliance-implicaties de migratie heeft. Voor uitgebreide dependency mapping moeten agents worden geïnstalleerd op virtuele machines en fysieke servers die moeten worden geanalyseerd. Deze agents verzamelen informatie over netwerkverbindingen, processen, services en afhankelijkheden tussen systemen, waardoor organisaties een compleet beeld krijgen van hoe workloads met elkaar verbonden zijn en welke systemen samen moeten worden gemigreerd. Dependency mapping is essentieel voor het identificeren van applicatiegroepen, het begrijpen van afhankelijkheden tussen systemen, en het ontwikkelen van migratiestrategieën die ervoor zorgen dat gerelateerde workloads samen worden gemigreerd. Azure Migrate biedt automatische applicatiegroep-detectie op basis van dependency mapping, waardoor organisaties workloads kunnen groeperen die samen moeten worden gemigreerd. Tot slot moeten assessment-resultaten worden geanalyseerd en gebruikt voor migratieplanning. Organisaties moeten de assessment-rapportages grondig reviewen, waarbij wordt gelet op migratiereadiness-scores, kostenramingen, beveiligingsaanbevelingen en technische vereisten. Op basis van deze analyse kunnen organisaties migratieplannen ontwikkelen, budgetten bepalen, risico's identificeren en mitigeren, en stakeholders informeren over de verwachte impact van de migratie. Regelmatige updates van assessments zijn essentieel om ervoor te zorgen dat assessment-resultaten actueel blijven en dat migratieplannen aansluiten bij de huidige staat van de omgeving.
Monitoring
Gebruik PowerShell-script azure-migrate-assessment.ps1 (functie Invoke-Monitoring) – Monitort de status van Azure Migrate assessment-projecten en rapporteert over discovery-status, assessment-voltooiing en migratiereadiness..
Effectieve monitoring van Azure Migrate assessment is essentieel om te waarborgen dat assessments correct blijven functioneren en dat organisaties altijd beschikken over actuele assessment-resultaten die essentieel zijn voor migratieplanning. Zonder uitgebreide monitoring kunnen organisaties niet garanderen dat discovery actief is, dat alle relevante workloads worden beoordeeld, en dat er geen problemen zijn met de assessment-infrastructuur die kunnen leiden tot onnauwkeurige of verouderde assessment-resultaten. Monitoring omvat het continu volgen van de discovery-status, het verifiëren dat assessments worden uitgevoerd en voltooid, het controleren van de gezondheid van assessment-apparaten, en het waarborgen dat assessment-resultaten actueel blijven en aansluiten bij de huidige staat van de omgeving. De basis van monitoring wordt gevormd door regelmatige verificatie van de discovery-status via de Azure Portal of via PowerShell. Beheerders moeten wekelijks controleren of alle relevante workloads worden gediscoverd, of de discovery-status gezond is, en of er geen waarschuwingen of foutmeldingen zijn die kunnen wijzen op problemen met de discovery-functionaliteit. Deze verificatie kan worden geautomatiseerd via PowerShell-scripts die de discovery-status controleren van alle assessment-apparaten en waarschuwingen genereren wanneer discovery is gestopt, wanneer bepaalde workloads niet worden gediscoverd, of wanneer er fouten zijn gedetecteerd. Het is belangrijk om deze verificaties regelmatig uit te voeren, omdat configuratiewijzigingen, netwerkproblemen of infrastructuurproblemen kunnen leiden tot het onbedoeld stoppen van discovery, wat kan resulteren in onvolledige of verouderde assessment-resultaten. Naast het controleren van de discovery-status moeten organisaties regelmatig verifiëren dat assessments worden uitgevoerd en voltooid. Dit kan worden gedaan door de assessment-status te monitoren in de Azure Portal, waarbij wordt gecontroleerd of assessments succesvol zijn voltooid, of er fouten zijn opgetreden tijdens de assessment, en of assessment-resultaten beschikbaar zijn. Organisaties moeten processen implementeren voor het monitoren van de assessment-status, waarbij wekelijks wordt gecontroleerd of assessments worden uitgevoerd en of resultaten beschikbaar zijn, en waarbij waarschuwingen worden gegenereerd wanneer assessments falen of wanneer resultaten verouderd zijn. Daarnaast moeten organisaties regelmatig assessment-resultaten reviewen om te verifiëren dat resultaten actueel zijn en aansluiten bij de huidige staat van de omgeving, waarbij wordt gelet op wijzigingen in workloadconfiguraties, resourcegebruik en afhankelijkheden. Voor assessment-apparaten is het essentieel om te monitoren of de apparaten gezond zijn en correct functioneren. Dit omvat het controleren of de apparaten actief zijn, of er voldoende resources beschikbaar zijn, en of de connectiviteit naar Azure correct functioneert. Problemen met assessment-apparaten kunnen leiden tot het stoppen van discovery voor alle workloads die via deze apparaten worden beheerd, wat kan resulteren in een volledige uitval van de assessment-capaciteit. Organisaties moeten processen implementeren voor het monitoren van de assessment-apparaat gezondheid, waarbij dagelijks wordt gecontroleerd of de apparaten actief zijn en of er geen fouten zijn gedetecteerd, en waarbij waarschuwingen worden gegenereerd wanneer problemen worden gedetecteerd. Daarnaast moeten organisaties regelmatig de resourcegebruik van assessment-apparaten controleren, waarbij wordt geverifieerd dat er voldoende CPU, geheugen en opslagcapaciteit beschikbaar is voor continue discovery en assessment-activiteiten. Daarnaast moeten organisaties processen implementeren voor het monitoren van de kwaliteit en nauwkeurigheid van assessment-resultaten. Dit omvat het controleren of assessment-resultaten aansluiten bij de werkelijke staat van de omgeving, of kostenramingen realistisch zijn, en of migratierecommendaties correct zijn. Wanneer assessment-resultaten niet aansluiten bij de werkelijke staat van de omgeving, moeten organisaties onderzoeken wat de oorzaak is en passende maatregelen nemen om de assessment-configuratie aan te passen of assessments opnieuw uit te voeren. Organisaties moeten regelmatig assessment-resultaten vergelijken met de werkelijke staat van de omgeving om te verifiëren dat resultaten actueel en nauwkeurig zijn, waarbij wordt gelet op wijzigingen in workloadconfiguraties, resourcegebruik en afhankelijkheden die kunnen leiden tot verouderde of onnauwkeurige assessment-resultaten.
Compliance en Auditing
Azure Migrate assessment is een fundamentele vereiste voor naleving van verschillende cybersecurity frameworks en wet- en regelgeving die van toepassing zijn op Nederlandse overheidsorganisaties die workloads naar Azure willen migreren. Zonder adequate assessment kunnen organisaties niet voldoen aan de vereisten van internationale standaarden zoals ISO 27001 en sectorspecifieke regelgeving zoals de Baseline Informatiebeveiliging Overheid en de NIS2 richtlijn. Deze frameworks vereisen allemaal dat organisaties passende maatregelen hebben genomen om migraties te plannen en uit te voeren, wat essentieel is voor het waarborgen van beveiliging, transparantie en verantwoording. Het ontbreken van adequate assessment-capaciteit kan leiden tot mislukte migraties, onverwachte kosten, beveiligingslekken en niet-naleving van compliance-vereisten. De Baseline Informatiebeveiliging Overheid (BIO) norm 12.01 vereist dat organisaties passende voorzieningen treffen voor het beheren van veranderingen in informatiesystemen. Deze norm is specifiek ontwikkeld voor de Nederlandse publieke sector en stelt eisen aan het beheer van wijzigingen in informatiesystemen, inclusief migraties naar cloudomgevingen. Voor Azure-migraties betekent dit dat organisaties moeten kunnen aantonen dat zij grondige assessments hebben uitgevoerd voordat migraties werden gestart, dat zij weloverwogen beslissingen hebben genomen over migratiestrategieën, en dat zij processen hebben geïmplementeerd voor het monitoren en beheren van migraties. Norm 12.01 specificeert dat organisaties moeten kunnen aantonen dat zij passende maatregelen hebben genomen om risico's te identificeren en te mitigeren voordat wijzigingen worden doorgevoerd, wat voor migraties betekent dat grondige assessments essentieel zijn. Voor Azure Migrate assessment betekent dit dat assessments moeten zijn uitgevoerd voor alle workloads die moeten worden gemigreerd, dat assessment-resultaten moeten zijn geanalyseerd en gebruikt voor migratieplanning, en dat regelmatig assessments moeten worden bijgewerkt om ervoor te zorgen dat resultaten actueel blijven. De NIS2 richtlijn, Artikel 21, stelt specifieke eisen aan essentiële en belangrijke entiteiten met betrekking tot risicobeheer en beveiligingsmaatregelen. Nederlandse organisaties die onder de reikwijdte van NIS2 vallen, moeten kunnen aantonen dat zij passende maatregelen hebben genomen om risico's te identificeren en te mitigeren, wat voor migraties betekent dat grondige assessments essentieel zijn. Artikel 21 specificeert dat organisaties moeten kunnen aantonen dat zij passende maatregelen hebben genomen om beveiligingsrisico's te identificeren en te mitigeren, wat onder andere betekent dat zij moeten beschikken over uitgebreide assessment-capaciteit die alle relevante workloads analyseert op basis van beveiligingscriteria. Voor Azure Migrate assessment betekent dit dat assessments moeten zijn uitgevoerd voor alle workloads die moeten worden gemigreerd, dat beveiligingsbeoordelingen moeten zijn uitgevoerd, en dat beveiligingsrisico's moeten zijn geïdentificeerd en gemitigeerd voordat migraties worden gestart. De ISO 27001 standaard, controle A.8.1.1, vereist eveneens dat organisaties maatregelen treffen om veranderingen in informatiesystemen te beheren. Deze internationale standaard wordt veelvuldig gebruikt door Nederlandse organisaties die certificering nastreven en vormt een belangrijke basis voor informatiebeveiligingsmanagement. Controle A.8.1.1 specificeert dat organisaties moeten kunnen aantonen dat zij passende maatregelen hebben genomen om wijzigingen in informatiesystemen te plannen en uit te voeren, wat voor migraties betekent dat grondige assessments essentieel zijn. Voor Azure Migrate assessment betekent dit dat assessments moeten zijn uitgevoerd voor alle workloads die moeten worden gemigreerd, dat assessment-resultaten moeten zijn geanalyseerd en gebruikt voor migratieplanning, en dat regelmatig assessments moeten worden bijgewerkt. Het niet implementeren van adequate assessment-capaciteit kan leiden tot niet-naleving van ISO 27001, wat kan resulteren in het verlies van certificering en reputatieschade. Daarnaast speelt Azure Migrate assessment een rol in de verantwoording richting burgers en bestuur. Wanneer een gemeente, ministerie of uitvoeringsinstantie besluit om workloads naar Azure te migreren, zullen media, volksvertegenwoordigers en toezichthouders vragen of de organisatie redelijke maatregelen heeft genomen om migraties te plannen en risico's te mitigeren. Door te kunnen aantonen dat Azure Migrate assessment is uitgevoerd voor alle relevante workloads, met gedocumenteerde assessment-resultaten en weloverwogen migratieplannen, laat de organisatie zien dat zij de verantwoordelijkheid voor migratieplanning serieus neemt. Dit versterkt niet alleen de juridische positie bij eventuele onderzoeken, maar draagt ook bij aan vertrouwen in de digitale overheid. Binnen de Nederlandse Baseline voor Veilige Cloud is een volwassen Azure Migrate assessment daarom geen luxe, maar een essentieel onderdeel van aantoonbare naleving en goed openbaar bestuur.
Remediatie
Gebruik PowerShell-script azure-migrate-assessment.ps1 (functie Invoke-Remediation) – Configureert Azure Migrate assessment-projecten voor workloads die nog niet zijn beoordeeld en lost assessment-problemen op..
Remediatie van Azure Migrate assessment omvat het opzetten van assessment-projecten voor workloads die nog niet zijn beoordeeld, het oplossen van assessment-problemen wanneer discovery is gestopt of niet correct functioneert, en het waarborgen dat alle relevante workloads adequaat worden beoordeeld. Het is belangrijk om te realiseren dat wanneer assessments niet actief zijn, organisaties niet beschikken over adequate assessment-capaciteit voor de betreffende workloads, wat kan resulteren in onvolledige of verouderde migratieplanning. Daarom moeten organisaties processen implementeren voor het snel detecteren en oplossen van assessment-problemen, zodat de impact op de migratieplanning wordt geminimaliseerd. Wanneer workloads nog niet zijn beoordeeld, kunnen assessment-projecten worden opgezet via de Azure Portal door een nieuw Azure Migrate-project aan te maken en assessment-apparaten te configureren. Tijdens het opzetten van het project wordt automatisch een assessment-tool geselecteerd, wordt een resource group gekozen en worden assessment-instellingen geconfigureerd. Organisaties moeten ervoor zorgen dat de juiste resource group wordt geselecteerd en dat het project over de juiste naamgevingsconventie beschikt. Na het opzetten van het project moet een assessment-apparaat worden geïnstalleerd en geconfigureerd in de on-premises omgeving, waarbij het apparaat wordt geregistreerd bij het Azure Migrate-project en discovery wordt gestart. Het is belangrijk om de discovery-fase te monitoren en ervoor te zorgen dat alle relevante workloads worden gediscoverd voordat assessments worden uitgevoerd. Wanneer discovery is gestopt of niet correct functioneert, moet eerst worden onderzocht wat de oorzaak is van het probleem. Veelvoorkomende oorzaken zijn netwerkproblemen, onvoldoende resources op het assessment-apparaat, problemen met de assessment-infrastructuur of configuratiefouten. Organisaties moeten processen implementeren voor het onderzoeken van assessment-problemen, waarbij wordt gecontroleerd of de assessment-apparaten gezond zijn, of er voldoende netwerkconnectiviteit beschikbaar is, en of er configuratiefouten zijn. Zodra de oorzaak is geïdentificeerd, kunnen passende maatregelen worden genomen om het probleem op te lossen, bijvoorbeeld door netwerkconfiguraties aan te passen, resources op het assessment-apparaat te vergroten of assessment-apparaten opnieuw te configureren. Na het oplossen van het probleem moet discovery opnieuw worden gestart en moet worden geverifieerd dat discovery correct functioneert voordat assessments worden uitgevoerd. Voor assessment-apparaten kunnen aanvullende remediatiestappen nodig zijn wanneer de apparaten niet correct functioneren. Dit kan bijvoorbeeld betekenen dat de apparaten opnieuw moeten worden geconfigureerd, dat de connectiviteit naar Azure moet worden hersteld, of dat de apparaten opnieuw moeten worden geïnstalleerd. Organisaties moeten processen implementeren voor het onderzoeken en oplossen van assessment-apparaat problemen, waarbij wordt gecontroleerd of de apparaten actief zijn, of er voldoende resources beschikbaar zijn, en of de connectiviteit naar Azure correct functioneert. Na het oplossen van assessment-apparaat problemen moet worden geverifieerd dat discovery opnieuw actief is voor alle workloads die via deze apparaten worden beheerd. Daarnaast moeten organisaties processen implementeren voor het onderzoeken van de oorzaak van assessment-problemen, zodat preventieve maatregelen kunnen worden genomen om te voorkomen dat het probleem opnieuw optreedt. Dit kan bijvoorbeeld betekenen dat netwerkconfiguraties moeten worden aangepast, dat monitoring moet worden uitgebreid, of dat aanvullende training moet worden gegeven aan beheerders. Door deze preventieve maatregelen te implementeren kunnen organisaties ervoor zorgen dat Azure Migrate assessment continu actief blijft en dat er geen gaten ontstaan in de assessment-capaciteit die kunnen leiden tot onvolledige of verouderde migratieplanning.
Compliance & Frameworks
- BIO: 12.01 - Passende voorzieningen voor het beheren van veranderingen in informatiesystemen.
- ISO 27001:2022: A.8.1.1 - Verantwoordelijkheden en procedures voor het beheren van veranderingen.
- NIS2: Artikel - Risicobeheer en beveiligingsmaatregelen voor essentiële en belangrijke entiteiten.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Azure Migrate Assessment
.DESCRIPTION
Controleert en configureert Azure Migrate assessment-projecten voor
migratieplanning van on-premises workloads naar Azure.
Biedt monitoring van assessment-status en ondersteuning voor configuratie
van assessment-projecten en discovery-apparaten.
.NOTES
Filename: azure-migrate-assessment.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/azure/migration/azure-migrate-assessment.json
NBVC Debug: Gebruik de omgevingsvariabele NBVC_LOCAL_DEBUG=1 om
lokale testen uit te voeren zonder verbinding te maken
met Azure-API's.
.EXAMPLE
.\azure-migrate-assessment.ps1 -Monitoring
Controleert de status van Azure Migrate assessment-projecten
.EXAMPLE
.\azure-migrate-assessment.ps1 -Remediation -WhatIf
Preview van assessment-project configuratie voor workloads zonder assessment
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Migrate
[CmdletBinding()]
param(
[Parameter(HelpMessage = "Controleert de status van Azure Migrate assessment-projecten")]
[switch]$Monitoring,
[Parameter(HelpMessage = "Configureert assessment-projecten voor workloads die nog niet zijn beoordeeld")]
[switch]$Remediation,
[Parameter(HelpMessage = "Preview van wijzigingen zonder daadwerkelijke configuratie")]
[switch]$WhatIf
)
$ErrorActionPreference = 'Stop'
$PolicyName = "Azure Migrate Assessment"
function Get-IsLocalDebug {
param()
return [bool]($env:NBVC_LOCAL_DEBUG -eq '1')
}
function Connect-RequiredServices {
if (Get-IsLocalDebug) {
Write-Verbose "NBVC_LOCAL_DEBUG is actief - Azure verbinding wordt overgeslagen."
return
}
try {
$requiredModules = @('Az.Accounts', 'Az.Migrate')
foreach ($module in $requiredModules) {
if (-not (Get-Module -ListAvailable -Name $module)) {
throw "Het PowerShell-module '$module' is niet beschikbaar. Installeer dit module voordat u het script gebruikt."
}
}
$ctx = Get-AzContext -ErrorAction SilentlyContinue
if (-not $ctx) {
Write-Host "Verbinding maken met Azure (Connect-AzAccount)..." -ForegroundColor Yellow
Connect-AzAccount -ErrorAction Stop | Out-Null
}
else {
Write-Verbose "Bestaande Azure context gevonden: $($ctx.Name)"
}
}
catch {
throw "Kon niet verbinden met Azure: $($_.Exception.Message)"
}
}
function Get-AssessmentStatus {
<#
.SYNOPSIS
Haalt assessment-status op voor Azure Migrate-projecten.
.OUTPUTS
PSCustomObject met assessment-status per Azure Migrate-project.
#>
[CmdletBinding()]
param()
if (Get-IsLocalDebug) {
# Gesimuleerde gegevens voor lokale debug en CI-tests
return [PSCustomObject]@{
Timestamp = Get-Date
TotalProjects = 2
TotalServers = 45
DiscoveredServers = 42
AssessedServers = 38
UnassessedServers = 7
Projects = @(
[PSCustomObject]@{
ProjectName = "AzureMigrate-Assessment-Prod-2025"
ResourceGroupName = "rg-migration-prod"
DiscoveredServers = 28
AssessedServers = 25
AssessmentStatus = "Active"
LastAssessmentDate = (Get-Date).AddDays(-7)
},
[PSCustomObject]@{
ProjectName = "AzureMigrate-Assessment-Test-2025"
ResourceGroupName = "rg-migration-test"
DiscoveredServers = 14
AssessedServers = 13
AssessmentStatus = "Active"
LastAssessmentDate = (Get-Date).AddDays(-3)
}
)
}
}
Connect-RequiredServices
try {
# Haal alle resource groups op die mogelijk Azure Migrate-projecten bevatten
$resourceGroups = Get-AzResourceGroup -ErrorAction SilentlyContinue
$projects = @()
$totalServers = 0
$discoveredServers = 0
$assessedServers = 0
foreach ($rg in $resourceGroups) {
# Zoek naar Azure Migrate-projecten (deze worden opgeslagen als resources)
# Azure Migrate-projecten zijn typisch resources van type "Microsoft.Migrate/migrateProjects"
$migrateResources = Get-AzResource -ResourceGroupName $rg.ResourceGroupName -ResourceType "Microsoft.Migrate/migrateProjects" -ErrorAction SilentlyContinue
foreach ($resource in $migrateResources) {
try {
# Haal project details op
$projectDetails = Get-AzResource -ResourceId $resource.ResourceId -ErrorAction SilentlyContinue
if ($projectDetails) {
# Voor een volledige implementatie zouden we hier de Azure Migrate API aanroepen
# om discovery en assessment status op te halen. Voor nu gebruiken we een vereenvoudigde benadering.
$projects += [PSCustomObject]@{
ProjectName = $resource.Name
ResourceGroupName = $rg.ResourceGroupName
DiscoveredServers = 0 # Zou moeten worden opgehaald via Azure Migrate API
AssessedServers = 0 # Zou moeten worden opgehaald via Azure Migrate API
AssessmentStatus = "Unknown"
LastAssessmentDate = $null
}
}
}
catch {
Write-Verbose "Fout bij uitlezen van project '$($resource.Name)': $($_.Exception.Message)"
}
}
}
# Als er geen projecten zijn gevonden, controleer dan of er assessment-apparaten zijn
if ($projects.Count -eq 0) {
Write-Verbose "Geen Azure Migrate-projecten gevonden in deze context."
}
return [PSCustomObject]@{
Timestamp = Get-Date
TotalProjects = $projects.Count
TotalServers = $totalServers
DiscoveredServers = $discoveredServers
AssessedServers = $assessedServers
UnassessedServers = [Math]::Max(0, $discoveredServers - $assessedServers)
Projects = $projects
}
}
catch {
Write-Verbose "Fout bij ophalen van assessment-status: $($_.Exception.Message)"
return [PSCustomObject]@{
Timestamp = Get-Date
TotalProjects = 0
TotalServers = 0
DiscoveredServers = 0
AssessedServers = 0
UnassessedServers = 0
Projects = @()
Error = $_.Exception.Message
}
}
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Monitort de status van Azure Migrate assessment-projecten.
#>
[CmdletBinding()]
param()
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName - Monitoring" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
$status = Get-AssessmentStatus
Write-Host "Totaal aantal Azure Migrate-projecten: $($status.TotalProjects)" -ForegroundColor White
Write-Host "Totaal aantal servers: $($status.TotalServers)" -ForegroundColor White
Write-Host "Gediscoverde servers: $($status.DiscoveredServers)" -ForegroundColor $(if ($status.DiscoveredServers -gt 0) { "Green" } else { "Yellow" })
Write-Host "Beoordeelde servers: $($status.AssessedServers)" -ForegroundColor $(if ($status.AssessedServers -gt 0) { "Green" } else { "Yellow" })
Write-Host "Niet-beoordeelde servers: $($status.UnassessedServers)" -ForegroundColor $(if ($status.UnassessedServers -eq 0) { "Green" } else { "Yellow" })
if ($status.Projects.Count -gt 0) {
Write-Host "`nAzure Migrate-projecten:" -ForegroundColor Cyan
foreach ($project in $status.Projects) {
Write-Host "`nProjectnaam: $($project.ProjectName)" -ForegroundColor Cyan
Write-Host " Resourcegroep: $($project.ResourceGroupName)" -ForegroundColor Gray
Write-Host " Gediscoverde servers: $($project.DiscoveredServers)" -ForegroundColor White
Write-Host " Beoordeelde servers: $($project.AssessedServers)" -ForegroundColor White
Write-Host " Assessment-status: $($project.AssessmentStatus)" -ForegroundColor $(if ($project.AssessmentStatus -eq "Active") { "Green" } else { "Yellow" })
if ($project.LastAssessmentDate) {
Write-Host " Laatste assessment: $($project.LastAssessmentDate.ToString('yyyy-MM-dd'))" -ForegroundColor Gray
}
}
}
else {
Write-Host "`nGeen Azure Migrate-projecten gevonden." -ForegroundColor Yellow
}
if ($status.Error) {
Write-Host "`nFout bij ophalen van assessment-status: $($status.Error)" -ForegroundColor Red
}
# Compliance evaluatie
$assessmentPercentage = if ($status.DiscoveredServers -gt 0) {
[Math]::Round(($status.AssessedServers / $status.DiscoveredServers) * 100, 2)
}
else {
0
}
if ($status.TotalProjects -gt 0 -and $assessmentPercentage -ge 80) {
Write-Host "`nResultaat: Azure Migrate assessment is goed geconfigureerd. De meeste workloads zijn beoordeeld en assessment-resultaten zijn beschikbaar." -ForegroundColor Green
return 0
}
elseif ($status.TotalProjects -gt 0 -and $assessmentPercentage -ge 50) {
Write-Host "`nResultaat: Azure Migrate assessment is gedeeltelijk geconfigureerd. Overweeg om meer workloads te beoordelen voor complete migratieplanning." -ForegroundColor Yellow
return 1
}
else {
Write-Host "`nResultaat: Azure Migrate assessment is niet of nauwelijks geconfigureerd. Dit vormt een significant risico voor migratieplanning." -ForegroundColor Red
Write-Host "Aanbeveling: Configureer Azure Migrate assessment voor alle workloads die moeten worden gemigreerd om weloverwogen migratieplanning te waarborgen." -ForegroundColor Yellow
return 2
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Configureert Azure Migrate assessment-projecten voor workloads die nog niet zijn beoordeeld.
.DESCRIPTION
Deze functie identificeert workloads zonder assessment en biedt ondersteuning
voor het configureren van assessment-projecten. In productie vereist dit
handmatige configuratie via de Azure Portal of uitgebreidere automatisering.
#>
[CmdletBinding()]
param()
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName - Remediatie" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
$status = Get-AssessmentStatus
if ($status.TotalProjects -gt 0 -and $status.UnassessedServers -eq 0) {
Write-Host "Alle gediscoverde workloads zijn beoordeeld." -ForegroundColor Green
Write-Host "Geen remediatie nodig." -ForegroundColor Green
return 0
}
Write-Host "`nWorkloads zonder assessment: $($status.UnassessedServers)" -ForegroundColor Yellow
Write-Host "Azure Migrate-projecten: $($status.TotalProjects)" -ForegroundColor $(if ($status.TotalProjects -gt 0) { "Green" } else { "Yellow" })
if ($WhatIf) {
Write-Host "`n[WHATIF] Het script zou de volgende acties uitvoeren:" -ForegroundColor Yellow
Write-Host " 1. Azure Migrate-projecten identificeren zonder assessment" -ForegroundColor White
Write-Host " 2. Workloads identificeren die assessment nodig hebben" -ForegroundColor White
Write-Host " 3. Aanbevelingen geven voor het configureren van assessment via Azure Portal" -ForegroundColor White
Write-Host "`nOpmerking: Volledige automatisering van Azure Migrate assessment configuratie vereist" -ForegroundColor Cyan
Write-Host "uitgebreidere scripting en handmatige validatie. Gebruik deze functie voor" -ForegroundColor Cyan
Write-Host "het identificeren van workloads die assessment nodig hebben." -ForegroundColor Cyan
return 0
}
Write-Host "`nAanbevolen vervolgstappen:" -ForegroundColor Cyan
Write-Host " 1. Identificeer welke workloads moeten worden gemigreerd" -ForegroundColor White
Write-Host " 2. Bepaal de doelsubscriptie en resource group voor assessment" -ForegroundColor White
Write-Host " 3. Configureer Azure Migrate assessment via Azure Portal:" -ForegroundColor White
Write-Host " - Navigeer naar Azure Portal > Azure Migrate" -ForegroundColor Gray
Write-Host " - Maak een nieuw Azure Migrate-project aan" -ForegroundColor Gray
Write-Host " - Selecteer het assessment-tool (Discovery and assessment)" -ForegroundColor Gray
Write-Host " - Download en installeer het assessment-apparaat in de on-premises omgeving" -ForegroundColor Gray
Write-Host " - Registreer het apparaat bij het Azure Migrate-project" -ForegroundColor Gray
Write-Host " - Wacht tot discovery is voltooid (kan enkele dagen duren)" -ForegroundColor Gray
Write-Host " - Configureer en voer assessments uit voor gediscoverde workloads" -ForegroundColor Gray
Write-Host " 4. Analyseer assessment-resultaten en ontwikkel migratieplannen" -ForegroundColor White
Write-Host " 5. Update regelmatig assessments om ervoor te zorgen dat resultaten actueel blijven" -ForegroundColor White
if ($status.TotalProjects -eq 0) {
Write-Host "`nVoor nieuwe Azure Migrate-projecten:" -ForegroundColor Yellow
Write-Host " 1. Zorg ervoor dat u beschikt over voldoende Azure-machtigingen (Azure Migrate Contributor)" -ForegroundColor White
Write-Host " 2. Bepaal welke on-premises omgevingen moeten worden beoordeeld (VMware, Hyper-V, fysieke servers)" -ForegroundColor White
Write-Host " 3. Verifieer dat de on-premises omgeving uitgaande internetconnectiviteit heeft naar Azure" -ForegroundColor White
Write-Host " 4. Zorg ervoor dat firewallregels Azure Migrate endpoints toestaan" -ForegroundColor White
Write-Host " 5. Plan voldoende tijd voor discovery en assessment (kan weken duren voor grote omgevingen)" -ForegroundColor White
}
return 1
}
try {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
if ($Monitoring) {
$exitCode = Invoke-Monitoring
exit $exitCode
}
elseif ($Remediation) {
$exitCode = Invoke-Remediation
exit $exitCode
}
else {
# Standaard: monitoring uitvoeren
$exitCode = Invoke-Monitoring
exit $exitCode
}
}
catch {
Write-Host "`n[FAIL] ERROR: $_" -ForegroundColor Red
Write-Host "Error Details: $($_.Exception.Message)" -ForegroundColor Red
if ($_.Exception.InnerException) {
Write-Host "Inner Exception: $($_.Exception.InnerException.Message)" -ForegroundColor Red
}
exit 2
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Hoog - Zonder Azure Migrate assessment beschikken organisaties niet over adequate assessment-capaciteit voor migratieplanning. Dit kan leiden tot mislukte migraties, onverwachte kosten, beveiligingslekken, niet-naleving van BIO, NIS2 en ISO 27001, en aanzienlijke vertragingen in het migratieproces.
Management Samenvatting
Configureer Azure Migrate assessment voor alle workloads die moeten worden gemigreerd. Essentieel voor weloverwogen migratieplanning en risicobeheer. Voldoet aan BIO 12.01, NIS2 Artikel 21, ISO 27001 A.8.1.1. Implementatietijd: 32 uur (20 technisch, 12 organisatorisch). Regelmatig assessments bijwerken om ervoor te zorgen dat resultaten actueel blijven.
- Implementatietijd: 32 uur
- FTE required: 0.15 FTE