BIO 08.01 ISO A.9.4

Veilige Deployment Van Azure OpenAI Service

📅 2025-01-15
⏱️ 25 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Azure OpenAI Service biedt Nederlandse overheidsorganisaties toegang tot geavanceerde generatieve AI-modellen zoals GPT-4, GPT-3.5 en Embeddings-modellen, met volledige controle over data, beveiliging en compliance. Een veilige en goed doordachte deployment is essentieel om te garanderen dat AI-toepassingen voldoen aan Nederlandse en Europese regelgeving, inclusief de AVG en EU AI Act.

Aanbeveling
IMPLEMENTEER STRUCTUREEL VEILIGE AZURE OPENAI DEPLOYMENT
Risico zonder
High
Risk Score
9/10
Implementatie
280u (tech: 160u)
Van toepassing op:
Azure
Azure OpenAI Service
Azure Cognitive Services
AI Services

Zonder een zorgvuldige deployment-strategie lopen organisaties het risico op datalekken, ongeautoriseerde toegang tot AI-modellen, non-compliance met privacywetgeving, onvoldoende traceerbaarheid van AI-beslissingen en mogelijk onjuiste of bevooroordeelde AI-output. Voor Nederlandse overheidsorganisaties kunnen deze risico's leiden tot boetes, reputatieschade, verlies van publiek vertrouwen en juridische aansprakelijkheid. Bovendien vereisen de EU AI Act en AVG specifieke maatregelen rond logging, monitoring, datalocatie en transparantie die alleen kunnen worden gewaarborgd met een goed geplande deployment.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Resources, Az.CognitiveServices, Az.Monitor, Az.KeyVault

Implementatie

Dit artikel biedt een complete gids voor het veilig deployen van Azure OpenAI Service binnen Nederlandse overheidsorganisaties. U leert hoe u Azure OpenAI-resources inricht met de juiste beveiligingsconfiguraties, hoe u netwerkisolatie en toegangsbeheer implementeert, hoe u logging en monitoring configureert voor compliance en auditing, en hoe u data-residency en gegevensbescherming waarborgt. Daarnaast worden best practices behandeld voor modelselectie, kostenbeheer, capaciteitsplanning en integratie met bestaande applicaties en processen.

Planvorming en Architectuurkeuzes voor Azure OpenAI Deployment

Voordat u Azure OpenAI Service gaat deployen, is grondige planvorming essentieel om te zorgen dat de implementatie past binnen de bestaande IT-architectuur, voldoet aan beveiligings- en compliance-eisen en toekomstige groei kan ondersteunen. Begin met het definiëren van de use cases waarvoor Azure OpenAI wordt ingezet: gaat het om tekstgeneratie voor automatische correspondentie, om chatassistenten voor burgers, om documentanalyse en samenvatting, of om geavanceerde datastromen met embeddings? Elk use case heeft verschillende eisen aan modelkeuze, latentie, kosten en beveiliging, waardoor het belangrijk is om deze keuzes vooraf te documenteren en te valideren met stakeholders, privacy officers en security teams.

Een cruciale architecturale keuze betreft de netwerkconfiguratie: worden Azure OpenAI-resources via het publieke internet benaderd, of via private endpoints voor volledige netwerkisolatie? Voor Nederlandse overheidsorganisaties die gevoelige persoonsgegevens verwerken, is private endpoint-deployment sterk aan te bevelen, omdat dit voorkomt dat verkeer over het publieke internet loopt en de blootstellingssurface beperkt. Private endpoints maken het mogelijk om Azure OpenAI-resources te koppelen aan specifieke virtuele netwerken, waardoor alleen geautoriseerde systemen binnen het eigen netwerk toegang hebben. Dit verhoogt niet alleen de beveiliging, maar draagt ook bij aan compliance met datasoevereiniteitsvereisten, omdat u volledige controle heeft over waar en hoe data wordt getransporteerd.

Modelselectie is een andere belangrijke planningsoverweging. Azure OpenAI biedt verschillende modellen met verschillende capaciteiten en kostenprofielen. GPT-4 Turbo is krachtig maar duurder, geschikt voor complexe taken die hoge kwaliteit vereisen. GPT-3.5 Turbo is sneller en goedkoper, geschikt voor meer routinematige taken. Embeddings-modellen zoals text-embedding-ada-002 zijn specifiek geoptimaliseerd voor semantische zoekfuncties en documentanalyse. Het is belangrijk om modelkeuzes te baseren op daadwerkelijke performance-eisen en kostenbeperkingen, en om te overwegen om verschillende modellen te gebruiken voor verschillende use cases binnen dezelfde organisatie. Daarnaast moet u rekening houden met regionale beschikbaarheid: niet alle modellen zijn in alle Azure-regio's beschikbaar, wat impact kan hebben op datalocatievereisten en latentie.

Capaciteitsplanning en kostenbeheer zijn kritieke aspecten van deployment-planning, omdat Azure OpenAI-gebruik op basis van tokens kan leiden tot onverwachte kosten wanneer niet goed beheerd. Bepaal vooraf welke quota's en limieten u nodig heeft, zowel voor development- als productieomgevingen, en overweeg om verschillende abonnementen of resourcegroepen te gebruiken voor verschillende fasen van de levenscyclus. Implementeer vanaf het begin cost management-tools en alerting, zodat u wordt gewaarschuwd wanneer kosten boven bepaalde drempels komen. Daarnaast moet u nadenken over hoe u gebruik gaat monitoren en beperken: gaat u soft limits instellen per applicatie of gebruiker, gebruikt u Azure Policy om bepaalde configuraties af te dwingen, of implementeert u custom rate limiting in uw applicaties? Door deze vragen vooraf te beantwoorden, voorkomt u kostenverrassingen en zorgt u voor voorspelbaar budgetbeheer.

Beveiligingsconfiguratie en Toegangsbeheer

Beveiliging van Azure OpenAI-resources begint bij de basisconfiguratie van de service zelf. Wanneer u een nieuwe Azure OpenAI-resource aanmaakt, moet u expliciet kiezen voor een regio die voldoet aan uw datalocatievereisten. Voor Nederlandse overheidsorganisaties betekent dit doorgaans dat u kiest voor West-Europa of North-Europa, omdat deze regio's binnen de Europese Unie liggen en voldoen aan EU Data Boundary-vereisten. Daarnaast moet u direct bij het aanmaken overwegen of u Customer Managed Keys wilt gebruiken voor encryptie, wat extra beveiliging biedt door u volledige controle te geven over de encryptiesleutels via Azure Key Vault. Hoewel dit extra configuratie vereist, is het sterk aan te bevelen voor organisaties die zeer gevoelige data verwerken of die strenge compliance-eisen hebben rond encryptiebeheer.

Toegangsbeheer vormt het hart van Azure OpenAI-beveiliging en moet worden geconfigureerd volgens het principe van least privilege. Azure OpenAI ondersteunt authenticatie via API-keys en via Azure Active Directory (Entra ID), waarbij AAD-authenticatie sterk wordt aanbevolen voor productieomgevingen omdat dit geïntegreerd is met bestaande identiteitsbeheerprocessen en meer geavanceerde autorisatie mogelijk maakt. Configureer Role-Based Access Control (RBAC) om specifieke rollen te definiëren: wie mag resources beheren, wie mag modellen deployen, wie mag alleen gebruiken, en wie mag monitoring en logs bekijken? Gebruik service principals of managed identities voor applicatie-toegang in plaats van gedeelde API-keys, omdat dit betere traceerbaarheid biedt en het eenvoudiger maakt om toegang te beheren en te revokeren wanneer nodig.

Netwerkbeveiliging is een ander cruciaal onderdeel van de beveiligingsconfiguratie. Configureer private endpoints om Azure OpenAI-resources alleen toegankelijk te maken vanuit specifieke virtuele netwerken, waardoor externe toegang via het publieke internet wordt geblokkeerd. Combineer dit met Network Security Groups en Azure Firewall om verkeer verder te filteren op basis van bron-IP-adressen, poorten en protocollen. Voor extra beveiliging kunt u Azure OpenAI integreren met Azure Private Link, wat ervoor zorgt dat alle communicatie binnen het Microsoft backbone-netwerk plaatsvindt en nooit het publieke internet passeert. Daarnaast moet u overwegen om Application Security Groups te gebruiken om logische groepen van applicaties te definiëren die verschillende netwerkregels nodig hebben, waardoor beheer eenvoudiger wordt wanneer de omgeving groeit.

Content filtering en abuse prevention zijn specifieke beveiligingsmaatregelen die Azure OpenAI biedt om te voorkomen dat de service wordt misbruikt voor schadelijke doeleinden of om ongepaste content te genereren. Azure OpenAI bevat ingebouwde content filters die automatisch input en output scannen op geweld, haat, zelfbeschadiging, seksuele content en andere ongepaste materiaal. Deze filters kunnen worden geconfigureerd met verschillende strictheidniveaus, waarbij u moet afwegen tussen het blokkeren van mogelijk problematische content en het voorkomen van false positives die legitieme gebruikssituaties blokkeren. Voor Nederlandse overheidsorganisaties is het belangrijk om deze filters aan te passen aan de specifieke context: overheidscommunicatie heeft andere normen dan commerciële applicaties, en u moet zorgvuldig balanceren tussen veiligheid en functionaliteit. Documenteer uw content filter-configuratie en test deze regelmatig om te zorgen dat filters effectief zijn zonder te veel legitieme content te blokkeren.

Data Governance en Privacybescherming

Data governance is van fundamenteel belang bij Azure OpenAI-deployment, omdat generatieve AI-modellen persoonsgegevens kunnen verwerken, opslaan en genereren. Nederlandse overheidsorganisaties moeten volledig voldoen aan de Algemene Verordening Gegevensbescherming (AVG), wat betekent dat u moet kunnen aantonen welke persoonsgegevens worden verwerkt, op welke grondslag, met welk doel en hoe lang data wordt bewaard. Azure OpenAI biedt opties voor data handling: standaard worden prompts en responses niet gebruikt voor modeltraining, maar Microsoft behoudt het recht om deze data te gebruiken voor abuse monitoring en verbetering van content filters. Voor organisaties die gevoelige persoonsgegevens verwerken, is het belangrijk om expliciet te kiezen voor opt-out van training en monitoring waar mogelijk, en om aanvullende maatregelen te treffen zoals het anonimiseren van input voordat deze naar Azure OpenAI wordt gestuurd.

Een belangrijke overweging bij data governance is de scheiding tussen verschillende data types en het beperken van data-exposure. Ontwikkel een duidelijk beleid over welke soorten persoonsgegevens wel en niet mogen worden verwerkt via Azure OpenAI: mag de service bijvoorbeeld worden gebruikt voor geanonimiseerde data, voor publiek beschikbare informatie, of voor interne documentatie zonder persoonsgegevens? Definieer expliciete use cases en documenteer de juridische grondslag voor elke use case. Daarnaast moet u procedures ontwikkelen voor het identificeren en verwijderen van persoonsgegevens uit prompts voordat deze naar Azure OpenAI worden gestuurd, bijvoorbeeld door gebruik te maken van pattern matching, Named Entity Recognition of andere preprocessing-stappen. Wanneer persoonsgegevens toch moeten worden verwerkt, zorg er dan voor dat dit wordt gedocumenteerd in uw verwerkingsregister en dat betrokkenen worden geïnformeerd volgens AVG-vereisten.

Audit logging en traceerbaarheid zijn essentieel voor data governance en compliance. Configureer Azure OpenAI-diagnostische instellingen om alle API-aanroepen te loggen naar een centrale Log Analytics-werkruimte, inclusief metadata over wie de aanroep heeft gedaan, wanneer deze plaatsvond, welke model en parameters zijn gebruikt, en eventuele foutmeldingen. Deze logs moeten worden bewaard voor een periode die voldoet aan uw compliance-vereisten, doorgaans minimaal zeven jaar voor overheidsorganisaties in overeenstemming met de Archiefwet. Implementeer bovendien application-level logging in uw applicaties die Azure OpenAI gebruiken, zodat u ook kunt traceren welke specifieke prompts zijn gebruikt en welke responses zijn gegenereerd. Deze combinatie van infrastructuur- en applicatielogs maakt het mogelijk om volledige audit trails te creëren die aantonen hoe AI is gebruikt en hoe beslissingen zijn genomen, wat kritiek is voor accountability en voor het beantwoorden van vragen van toezichthouders, auditors of burgers.

Retentiebeleid en data lifecycle management moeten worden geconfigureerd om te zorgen dat data niet langer wordt bewaard dan nodig is. Azure OpenAI slaat prompts en responses tijdelijk op voor abuse monitoring, maar u moet ook nadenken over waar uw applicaties data opslaan die is gegenereerd door of verwerkt via Azure OpenAI. Implementeer automatische retentiebeleid in uw opslagsystemen, zodat gegenereerde content, logs en tussenliggende data automatisch worden verwijderd na de bewaartermijn. Voor persoonsgegevens moet dit beleid zijn gebaseerd op AVG-vereisten: data mag niet langer worden bewaard dan nodig is voor het doel waarvoor het is verzameld. Daarnaast moet u procedures ontwikkelen voor het reageren op verzoeken van betrokkenen om hun persoonsgegevens in te zien, te rectificeren of te verwijderen (AVG-artikel 15, 16 en 17): hoe identificeert u alle locaties waar AI-gegenereerde content met persoonsgegevens is opgeslagen, hoe verwijdert u deze data, en hoe verifieert u dat verwijdering succesvol is geweest? Door deze processen vooraf te definiëren en te automatiseren waar mogelijk, maakt u compliance eenvoudiger en voorkomt u dat u achteraf moet zoeken naar data wanneer een verzoek wordt gedaan.

Monitoring, Logging en Observability

Gebruik PowerShell-script deployment-guide.ps1 (functie Invoke-Monitoring) – Controleert of Azure OpenAI-resources zijn geconfigureerd met uitgebreide logging en monitoring via Azure Monitor en diagnostische instellingen..

Monitoring van Azure OpenAI-resources is essentieel om operationele gezondheid te waarborgen, kosten te beheersen, performance te optimaliseren en compliance te verifiëren. Configureer Azure Monitor-diagnostische instellingen voor alle Azure OpenAI-resources om metrische gegevens en logs te verzamelen over API-aanroepen, fouten, latency, token-gebruik en kosten. Deze diagnostische instellingen moeten worden gekoppeld aan een centrale Log Analytics-werkruimte, zodat alle logging op één plek wordt verzameld en kan worden geanalyseerd met Kusto Query Language (KQL). Stel bovendien alert rules in om automatisch te waarschuwen wanneer bepaalde drempels worden overschreden, zoals ongebruikelijk hoge kosten, toegenomen foutpercentages, langere latentietijden of onverwacht veel API-aanroepen van een specifieke applicatie of gebruiker.

Cost monitoring is bijzonder belangrijk voor Azure OpenAI, omdat kosten kunnen oplopen wanneer niet goed beheerd. Configureer Azure Cost Management alerts om te waarschuwen wanneer dagelijkse, wekelijkse of maandelijkse kosten boven bepaalde drempels komen. Daarnaast moet u gebruik maken van Azure OpenAI ingebouwde quota- en limietfuncties om te voorkomen dat kosten oncontroleerbaar worden: stel tokens-per-minute limieten in per model, implementeer rate limiting in uw applicaties, en overweeg om budget alerts te configureren op resourcegroep- of abonnementsniveau. Maak regelmatig cost analysis-rapporten om trends te identificeren en om te begrijpen welke use cases of applicaties de meeste kosten genereren, zodat u gericht kunt optimaliseren of budgetten kunt aanpassen. Door proactief kosten te monitoren en te beheren, voorkomt u verrassingen op de rekening en zorgt u voor voorspelbaar budgetbeheer.

Performance monitoring helpt om te begrijpen hoe goed Azure OpenAI presteert en waar optimalisaties mogelijk zijn. Monitor belangrijke metrieken zoals average response time, tokens per second, success rate en error rate, waarbij u trends analyseert over tijd om degradaties te detecteren. Configureer Application Insights voor uw applicaties die Azure OpenAI gebruiken, zodat u niet alleen de Azure OpenAI-service zelf monitort, maar ook de end-to-end performance van uw applicaties, inclusief de tijd die wordt besteed aan preprocessing, API-aanroepen en postprocessing. Dit helpt om bottlenecks te identificeren: liggen performance-problemen bij Azure OpenAI zelf, bij netwerklatentie, bij uw applicatiecode, of bij andere onderdelen van uw stack? Door performance holistisch te monitoren, kunt u gericht optimaliseren waar het meeste impact heeft.

Security monitoring is kritiek om te detecteren wanneer Azure OpenAI wordt misbruikt of wanneer er beveiligingsincidenten plaatsvinden. Monitor alle authenticatiepogingen, inclusief mislukte pogingen, om brute force-aanvallen of credential stuffing te detecteren. Analyseer gebruikspatronen om anomalieën te identificeren: wordt de service gebruikt op ongebruikelijke tijden, vanuit onbekende locaties, of met onverwacht hoge volumes? Configureer security alerts voor verdachte activiteiten, zoals meerdere mislukte authenticatiepogingen, ongebruikelijke token-gebruikspatronen, of pogingen om content filters te omzeilen. Integreer deze monitoring met Azure Sentinel voor geavanceerde security information and event management (SIEM), waarbij u correlaties kunt maken tussen Azure OpenAI-activiteiten en andere security events in uw omgeving. Door security proactief te monitoren, kunt u incidenten snel detecteren en reageren voordat schade wordt aangericht.

Integratie met Bestaande Systemen en Applicaties

Integratie van Azure OpenAI met bestaande systemen en applicaties vereist zorgvuldige planning om te zorgen dat integraties veilig, schaalbaar en onderhoudbaar zijn. Begin met het definiëren van een integratie-architectuur die past binnen uw bestaande IT-landschap: gebruikt u een API Gateway om alle Azure OpenAI-aanroepen te centraliseren, implementeert u directe integraties vanuit individuele applicaties, of bouwt u een tussenlaag met custom API's die specifieke business logic bevatten? Een API Gateway-aanpak heeft voordelen omdat het centraal toegangsbeheer, rate limiting, logging en monitoring mogelijk maakt, terwijl directe integraties flexibeler zijn maar meer gedistribueerde beveiligingsconfiguratie vereisen. Voor Nederlandse overheidsorganisaties is het vaak aan te bevelen om te beginnen met een centrale API-laag, omdat dit governance en compliance eenvoudiger maakt.

Error handling en retry logic zijn belangrijke aspecten van integratie die vaak worden onderschat. Azure OpenAI-API's kunnen tijdelijk falen door rate limiting, service-onderhoud of netwerkproblemen, en uw applicaties moeten robuust zijn om deze fouten op te vangen zonder gebruikerservaring te degraderen. Implementeer exponential backoff retry logic, zodat falende aanvragen worden opnieuw geprobeerd met toenemende intervallen, maar niet oneindig doorgaan en daarmee resources verspillen. Definieer duidelijke timeouts en fallback-scenario's: wat gebeurt er wanneer Azure OpenAI niet beschikbaar is, moet de applicatie een alternatieve workflow gebruiken, een foutmelding tonen, of moet de gebruiker later opnieuw proberen? Documenteer deze error handling-strategieën en test ze regelmatig door failures te simuleren, zodat u zeker weet dat uw applicaties graceful degradation hebben wanneer Azure OpenAI problemen heeft.

Caching en optimalisatie kunnen aanzienlijk bijdragen aan kostenbesparing en performance-verbetering bij Azure OpenAI-integraties. Overweeg om responses te cachen wanneer dezelfde of vergelijkbare prompts worden gebruikt, bijvoorbeeld voor veelgestelde vragen, documenttemplates of statische content. Implementeer een caching-layer, zoals Azure Cache for Redis, om veelgebruikte responses op te slaan, waardoor u kosten bespaart door minder API-aanroepen te maken en performance verbetert door lagere latentie. Daarnaast moet u nadenken over prompt-optimalisatie: kortere, efficiëntere prompts gebruiken minder tokens en kosten minder, terwijl ze vaak nog steeds dezelfde kwaliteit leveren. Investeer tijd in het optimaliseren van prompts voordat u naar productie gaat, en blijf deze optimaliseren op basis van monitoring en feedback, zodat u continu kosten verlaagt en performance verbetert.

Versioning en change management zijn cruciaal wanneer Azure OpenAI wordt geïntegreerd met productieapplicaties. Wanneer u nieuwe modellen deployt, prompts aanpast of configuraties wijzigt, moet dit gebeuren op een gecontroleerde manier die geen storing veroorzaakt in afhankelijke systemen. Implementeer een versioning-strategie waarbij u verschillende API-versies of modelversies parallel kunt gebruiken, zodat u geleidelijk kunt migreren en snel kunt terugrollen wanneer problemen optreden. Gebruik feature flags of configuration management-tools om nieuwe functionaliteit geleidelijk uit te rollen naar subsets van gebruikers, zodat u impact kunt meten voordat u volledig migreert. Documenteer alle wijzigingen in change management-systemen en communiceer deze naar afhankelijke teams, zodat iedereen op de hoogte is van wat er verandert en wanneer. Door integraties op deze manier te beheren, voorkomt u onverwachte storingen en maakt u het mogelijk om veilig te experimenteren en te verbeteren.

Remediatie en Best Practices

Gebruik PowerShell-script deployment-guide.ps1 (functie Invoke-Remediation) – Identificeert Azure OpenAI-resources zonder adequate beveiliging, logging of monitoring en geeft gerichte aanbevelingen voor remediatie..

Wanneer u bestaande Azure OpenAI-deployments evalueert of nieuwe deployments optimaliseert, zijn er verschillende best practices die u moet volgen om veiligheid, compliance en operationele excellentie te waarborgen. Begin met een security assessment waarbij u alle Azure OpenAI-resources inventariseert en controleert op basisbeveiligingsconfiguraties: zijn private endpoints geconfigureerd, zijn diagnostische instellingen ingeschakeld, wordt RBAC correct toegepast, en zijn API-keys beveiligd in Key Vault? Gebruik Azure Policy of reguliere audits om te verifiëren dat alle resources voldoen aan uw beveiligingsstandaarden, en automatiseer waar mogelijk compliance-checks zodat u continu inzicht heeft in de beveiligingsstatus van uw Azure OpenAI-omgeving.

Cost optimization is een continu proces dat regelmatige aandacht vereist. Analyseer maandelijks uw kosten en identificeer trends en anomalieën: zijn kosten gestegen zonder duidelijke reden, welke applicaties of use cases genereren de meeste kosten, en zijn er mogelijkheden om kosten te verlagen zonder functionaliteit te verliezen? Overweeg om minder dure modellen te gebruiken voor minder kritieke use cases, implementeer agressievere caching voor veelgebruikte queries, en optimaliseer prompts om token-gebruik te verminderen. Daarnaast moet u quota's en limieten gebruiken om te voorkomen dat kosten uit de hand lopen: stel harde limieten in voor development-omgevingen en soft limits met alerting voor productie, zodat u wordt gewaarschuwd voordat kosten exploderen. Door kosten proactief te beheren, voorkomt u verrassingen en zorgt u voor voorspelbaar budgetbeheer.

Documentatie en knowledge management zijn essentieel voor het behouden van institutional knowledge en voor het ondersteunen van nieuwe teamleden. Documenteer alle Azure OpenAI-configuraties, integraties, use cases en procedures in een centrale kennisbank, zodat teams kunnen leren van eerdere ervaringen en niet opnieuw het wiel hoeven uit te vinden. Organiseer regelmatig knowledge sharing-sessies waarbij teams hun learnings delen, best practices bespreken en gezamenlijk problemen oplossen. Maak gebruik van templates en runbooks voor veelvoorkomende taken, zoals het deployen van nieuwe resources, het configureren van monitoring, of het reageren op incidenten. Door kennis te delen en te documenteren, bouwt u een volwassen AI-capability op die niet afhankelijk is van individuele personen en die continu kan verbeteren op basis van collectieve ervaring.

Continu verbeteren en iteratie zijn fundamenteel voor succesvolle Azure OpenAI-deployments, omdat de technologie snel evolueert en use cases zich ontwikkelen. Plan regelmatige reviews waarbij u evalueert wat goed gaat, wat beter kan, en welke nieuwe mogelijkheden relevant zijn voor uw organisatie. Test nieuwe modellen en features in development-omgevingen voordat u ze naar productie brengt, en wees niet bang om te experimenteren met verschillende aanpakken om te ontdekken wat het beste werkt voor uw specifieke context. Houd bij met de roadmap van Microsoft voor Azure OpenAI, zodat u op de hoogte bent van nieuwe features, verbeteringen en best practices die u kunt toepassen. Door continu te leren en te verbeteren, zorgt u ervoor dat uw Azure OpenAI-deployments blijven voldoen aan de hoogste standaarden voor veiligheid, compliance en operationele excellentie, en dat u maximaal profiteert van de mogelijkheden die generatieve AI biedt voor de Nederlandse publieke sector.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Controle op beveiliging, logging en monitoring van Azure OpenAI Service deployments .DESCRIPTION Dit script helpt om inzicht te krijgen in de beveiliging en configuratie van Azure OpenAI-resources in Azure. Het controleert of resources zijn voorzien van adequate logging, monitoring, netwerkbeveiliging en toegangsbeheer. Daarnaast kan het worden gebruikt als onderdeel van periodieke controles of CI/CD-pijplijnen om te signaleren waar aanvullende maatregelen nodig zijn. .NOTES Filename: deployment-guide.ps1 Author: Nederlandse Baseline voor Veilige Cloud Created: 2025-01-15 Last Modified: 2025-01-15 Version: 1.0 Related JSON: content/azure/openai/deployment-guide.json .LINK https://github.com/[org]/m365-tenant-best-practise .EXAMPLE .\deployment-guide.ps1 Voert een korte samenvattende controle uit. .EXAMPLE .\deployment-guide.ps1 -Monitoring Toont gedetailleerde informatie over gevonden Azure OpenAI-resources en hun configuratie. .EXAMPLE .\deployment-guide.ps1 -Remediation Geeft gerichte aanbevelingen voor resources zonder adequate beveiliging of monitoring. #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Resources, Az.CognitiveServices, Az.Monitor, Az.KeyVault [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $PolicyName = 'Azure OpenAI Deployment beveiligingscontrole' $ResourceType = 'Microsoft.CognitiveServices/accounts' $RequiredTagName = 'OpenAIDeployment' $RequiredTagValue = 'Production' function Connect-RequiredServices { <# .SYNOPSIS Maakt verbinding met Azure als er nog geen context is. #> [CmdletBinding()] param() Write-Verbose "Controleren van Azure verbinding..." try { $context = Get-AzContext -ErrorAction SilentlyContinue if (-not $context) { Write-Host "Verbinding maken met Azure..." -ForegroundColor Yellow Connect-AzAccount -ErrorAction Stop | Out-Null Write-Host "Verbonden met Azure." -ForegroundColor Green } else { Write-Verbose "Reeds verbonden met Azure: $($context.Account.Id)" } } catch { Write-Error "Kon niet verbinden met Azure: $_" throw } } function Get-AzureOpenAIResources { <# .SYNOPSIS Haalt alle Azure OpenAI-resources op. .DESCRIPTION Selecteert alle Cognitive Services accounts die Azure OpenAI Service bevatten in het huidige abonnement of alle abonnementen waartoe de gebruiker toegang heeft. .OUTPUTS Array van Azure OpenAI-resources #> [CmdletBinding()] param() Write-Verbose "Ophalen van Azure OpenAI-resources..." try { # Haal alle Cognitive Services accounts op $allAccounts = Get-AzResource -ResourceType $ResourceType -ErrorAction SilentlyContinue # Filter op accounts die OpenAI bevatten (kind = 'OpenAI') $openAIResources = $allAccounts | Where-Object { $_.Kind -eq 'OpenAI' -or ($_.Properties -and $_.Properties.kind -eq 'OpenAI') } Write-Verbose "Gevonden $($openAIResources.Count) Azure OpenAI-resources" return $openAIResources } catch { Write-Warning "Kon Azure OpenAI-resources niet ophalen: $_" return @() } } function Test-AzureOpenAISecurity { <# .SYNOPSIS Controleert of Azure OpenAI-resources voldoen aan beveiligingseisen. .DESCRIPTION Controleert of resources zijn geconfigureerd met logging, monitoring, netwerkbeveiliging en beveiligingsinstellingen zoals vereist voor productie-deployments. .OUTPUTS PSCustomObject met samenvattende en gedetailleerde resultaten. #> [CmdletBinding()] param() Write-Verbose "Uitvoeren van beveiligingscontrole..." $resources = Get-AzureOpenAIResources if ($resources.Count -eq 0) { Write-Host "Geen Azure OpenAI-resources gevonden in het huidige abonnement." -ForegroundColor Yellow return @{ TotalResources = 0 CompliantResources = 0 NonCompliantResources = 0 AllDetails = @() IsCompliant = $false } } $details = @() foreach ($resource in $resources) { Write-Verbose "Controleren van resource: $($resource.Name)" # Controleer tags $hasDeploymentTag = $false $deploymentTagValue = $null if ($resource.Tags -and $resource.Tags.ContainsKey($RequiredTagName)) { $hasDeploymentTag = $true $deploymentTagValue = $resource.Tags[$RequiredTagName] } # Controleer diagnostische instellingen $hasDiagnostics = $false try { $diagSettings = Get-AzDiagnosticSetting -ResourceId $resource.ResourceId -ErrorAction SilentlyContinue $hasDiagnostics = $null -ne $diagSettings -and $diagSettings.Count -gt 0 } catch { Write-Verbose "Kon diagnostische instellingen niet controleren voor $($resource.Name): $_" } # Controleer op private endpoints (vereenvoudigd - controleer tags) $hasPrivateEndpoint = $false if ($resource.Tags -and $resource.Tags.ContainsKey('PrivateEndpoint')) { $hasPrivateEndpoint = $true } # Controleer op Key Vault-integratie (indicatie van goede beveiliging) $usesKeyVault = $false try { # Haal properties op om te controleren op Key Vault-referenties $account = Get-AzCognitiveServicesAccount -ResourceGroupName $resource.ResourceGroupName -Name $resource.Name -ErrorAction SilentlyContinue if ($account -and $account.Properties -and $account.Properties.encryption) { $usesKeyVault = $null -ne $account.Properties.encryption.keyVaultProperties } } catch { Write-Verbose "Kon Key Vault-configuratie niet controleren voor $($resource.Name): $_" } # Controleer netwerkregels (vereenvoudigd) $hasNetworkRules = $false try { $account = Get-AzCognitiveServicesAccount -ResourceGroupName $resource.ResourceGroupName -Name $resource.Name -ErrorAction SilentlyContinue if ($account -and $account.Properties -and $account.Properties.networkAcls) { $hasNetworkRules = $account.Properties.networkAcls.defaultAction -eq 'Deny' } } catch { Write-Verbose "Kon netwerkregels niet controleren voor $($resource.Name): $_" } # Bepaal compliance-status $isCompliant = $hasDeploymentTag -and $deploymentTagValue -eq $RequiredTagValue -and $hasDiagnostics -and ($hasPrivateEndpoint -or $hasNetworkRules) $obj = [PSCustomObject]@{ Name = $resource.Name ResourceGroup = $resource.ResourceGroupName Location = $resource.Location HasDeploymentTag = $hasDeploymentTag DeploymentTagValue = $deploymentTagValue HasDiagnostics = $hasDiagnostics HasPrivateEndpoint = $hasPrivateEndpoint HasNetworkRules = $hasNetworkRules UsesKeyVault = $usesKeyVault IsCompliant = $isCompliant ResourceId = $resource.ResourceId } $details += $obj } $production = $details | Where-Object { $_.HasDeploymentTag -and $_.DeploymentTagValue -eq $RequiredTagValue } $compliant = $production | Where-Object { $_.IsCompliant } $nonCompliant = $production | Where-Object { -not $_.IsCompliant } $summary = [PSCustomObject]@{ TotalResources = $details.Count ProductionResources = $production.Count CompliantResources = $compliant.Count NonCompliantResources = $nonCompliant.Count WithDiagnostics = ($production | Where-Object { $_.HasDiagnostics }).Count WithoutDiagnostics = ($production | Where-Object { -not $_.HasDiagnostics }).Count WithNetworkSecurity = ($production | Where-Object { $_.HasPrivateEndpoint -or $_.HasNetworkRules }).Count WithoutNetworkSecurity = ($production | Where-Object { -not $_.HasPrivateEndpoint -and -not $_.HasNetworkRules }).Count WithKeyVault = ($production | Where-Object { $_.UsesKeyVault }).Count WithoutKeyVault = ($production | Where-Object { -not $_.UsesKeyVault }).Count AllDetails = $details IsCompliant = ($nonCompliant.Count -eq 0 -and $production.Count -gt 0) } return $summary } function Invoke-Monitoring { <# .SYNOPSIS Voert een gedetailleerde monitoringcontrole uit. .DESCRIPTION Toont een overzicht van Azure OpenAI-resources en hun beveiligings- en monitoringconfiguratie, zodat beheerders gericht vervolgacties kunnen plannen. #> [CmdletBinding()] param() Write-Host "`nMonitoring: Azure OpenAI Deployment Beveiliging" -ForegroundColor Yellow Write-Host "==================================================" -ForegroundColor Yellow Connect-RequiredServices $result = Test-AzureOpenAISecurity Write-Host "`nResultaten:" -ForegroundColor Cyan Write-Host " Totaal Azure OpenAI-resources: $($result.TotalResources)" -ForegroundColor White Write-Host " Productie-resources: $($result.ProductionResources)" -ForegroundColor White Write-Host " Compliant resources: $($result.CompliantResources)" -ForegroundColor $(if ($result.CompliantResources -eq $result.ProductionResources) { "Green" } else { "Yellow" }) Write-Host " Non-compliant resources: $($result.NonCompliantResources)" -ForegroundColor $(if ($result.NonCompliantResources -eq 0) { "Green" } else { "Red" }) Write-Host "" Write-Host " Met diagnostische logging: $($result.WithDiagnostics)" -ForegroundColor $(if ($result.WithDiagnostics -eq $result.ProductionResources) { "Green" } else { "Yellow" }) Write-Host " Zonder diagnostische logging: $($result.WithoutDiagnostics)" -ForegroundColor $(if ($result.WithoutDiagnostics -eq 0) { "Green" } else { "Red" }) Write-Host " Met netwerkbeveiliging: $($result.WithNetworkSecurity)" -ForegroundColor $(if ($result.WithNetworkSecurity -eq $result.ProductionResources) { "Green" } else { "Yellow" }) Write-Host " Zonder netwerkbeveiliging: $($result.WithoutNetworkSecurity)" -ForegroundColor $(if ($result.WithoutNetworkSecurity -eq 0) { "Green" } else { "Red" }) Write-Host " Met Key Vault-integratie: $($result.WithKeyVault)" -ForegroundColor $(if ($result.WithKeyVault -gt 0) { "Green" } else { "Yellow" }) Write-Host " Zonder Key Vault-integratie: $($result.WithoutKeyVault)" -ForegroundColor $(if ($result.WithoutKeyVault -eq 0) { "Green" } else { "Yellow" }) if ($result.ProductionResources -eq 0) { Write-Host "`nLet op: er zijn nog geen resources gemarkeerd met $RequiredTagName=$RequiredTagValue." -ForegroundColor Yellow Write-Host "Gebruik tags om duidelijk vast te leggen welke Azure OpenAI-resources productie-deployments bevatten." -ForegroundColor Yellow } elseif ($result.NonCompliantResources -gt 0) { Write-Host "`nDe volgende productie-resources zijn niet compliant:" -ForegroundColor Red $result.AllDetails | Where-Object { $_.HasDeploymentTag -and $_.DeploymentTagValue -eq $RequiredTagValue -and -not $_.IsCompliant } | Select-Object Name, ResourceGroup, Location, HasDiagnostics, HasNetworkRules, UsesKeyVault | Format-Table -AutoSize } if ($result.ProductionResources -gt 0 -and $result.WithoutDiagnostics -gt 0) { Write-Host "`nDe volgende productie-resources missen diagnostische logging:" -ForegroundColor Yellow $result.AllDetails | Where-Object { $_.HasDeploymentTag -and $_.DeploymentTagValue -eq $RequiredTagValue -and -not $_.HasDiagnostics } | Select-Object Name, ResourceGroup, Location | Format-Table -AutoSize } if ($result.ProductionResources -gt 0 -and $result.WithoutNetworkSecurity -gt 0) { Write-Host "`nDe volgende productie-resources hebben geen netwerkbeveiliging (private endpoints of netwerkregels):" -ForegroundColor Yellow $result.AllDetails | Where-Object { $_.HasDeploymentTag -and $_.DeploymentTagValue -eq $RequiredTagValue -and -not $_.HasPrivateEndpoint -and -not $_.HasNetworkRules } | Select-Object Name, ResourceGroup, Location | Format-Table -AutoSize Write-Host "Aanbeveling: configureer private endpoints of netwerkregels om toegang te beperken." -ForegroundColor Yellow } if ($result.IsCompliant) { Write-Host "`n✅ COMPLIANT - Alle productie Azure OpenAI-resources zijn correct geconfigureerd" -ForegroundColor Green exit 0 } else { Write-Host "`n❌ NON-COMPLIANT - Actie vereist voor ontbrekende configuraties" -ForegroundColor Red Write-Host " Gebruik -Remediation voor gedetailleerde aanbevelingen" -ForegroundColor Yellow exit 1 } } function Invoke-Remediation { <# .SYNOPSIS Geeft aanbevelingen voor remediatie rond Azure OpenAI-deployment beveiliging. .DESCRIPTION Dit script wijzigt zelf geen resources, maar rapporteert waar beveiliging, logging en monitoring ontbreken zodat beheerders gerichte wijzigingen kunnen doorvoeren via beleid, ARM/Bicep of Terraform. #> [CmdletBinding()] param() Write-Host "`nRemediatie: Azure OpenAI Deployment Beveiliging" -ForegroundColor Yellow Write-Host "==================================================" -ForegroundColor Yellow Connect-RequiredServices $result = Test-AzureOpenAISecurity Write-Host "`nRemediatie-advies voor Azure OpenAI-resources:" -ForegroundColor Cyan Write-Host "================================================" -ForegroundColor Cyan $noTag = $result.AllDetails | Where-Object { -not $_.HasDeploymentTag } $tagNoDiag = $result.AllDetails | Where-Object { $_.HasDeploymentTag -and $_.DeploymentTagValue -eq $RequiredTagValue -and -not $_.HasDiagnostics } $tagNoNetwork = $result.AllDetails | Where-Object { $_.HasDeploymentTag -and $_.DeploymentTagValue -eq $RequiredTagValue -and -not $_.HasPrivateEndpoint -and -not $_.HasNetworkRules } $tagNoKeyVault = $result.AllDetails | Where-Object { $_.HasDeploymentTag -and $_.DeploymentTagValue -eq $RequiredTagValue -and -not $_.UsesKeyVault } if ($noTag.Count -gt 0) { Write-Host "`nResources zonder $RequiredTagName-tag (overweeg classificatie):" -ForegroundColor Yellow $noTag | Select-Object Name, ResourceGroup, Location | Format-Table -AutoSize Write-Host "Aanbeveling: bepaal per resource of deze productie-deployments bevat en voeg de tag toe." -ForegroundColor Yellow Write-Host " Voorbeeld: Set-AzResource -ResourceId <ResourceId> -Tag @{$RequiredTagName='$RequiredTagValue'} -Force" -ForegroundColor Gray } else { Write-Host "`nAlle gevonden resources hebben een $RequiredTagName-tag." -ForegroundColor Green } if ($tagNoDiag.Count -gt 0) { Write-Host "`nProductie-resources zonder diagnostische logging:" -ForegroundColor Red $tagNoDiag | Select-Object Name, ResourceGroup, Location | Format-Table -AutoSize Write-Host "Aanbeveling: configureer diagnostische instellingen naar een centrale Log Analytics-werkruimte." -ForegroundColor Red Write-Host "Dit is essentieel voor monitoring, debugging, compliance-audittrails en kostenbeheer." -ForegroundColor Red Write-Host " Gebruik: Set-AzDiagnosticSetting of Azure Portal > Resource > Diagnostics settings" -ForegroundColor Gray } else { Write-Host "`nAlle productie-resources hebben diagnostische logging geconfigureerd." -ForegroundColor Green } if ($tagNoNetwork.Count -gt 0) { Write-Host "`nProductie-resources zonder netwerkbeveiliging:" -ForegroundColor Red $tagNoNetwork | Select-Object Name, ResourceGroup, Location | Format-Table -AutoSize Write-Host "Aanbeveling: configureer private endpoints of netwerkregels om toegang te beperken." -ForegroundColor Red Write-Host "Voor gevoelige data is private endpoint-deployment sterk aanbevolen." -ForegroundColor Red Write-Host " Zie: https://learn.microsoft.com/azure/ai-services/openai/how-to/secure-deployment" -ForegroundColor Gray } else { Write-Host "`nAlle productie-resources hebben netwerkbeveiliging geconfigureerd." -ForegroundColor Green } if ($tagNoKeyVault.Count -gt 0) { Write-Host "`nProductie-resources zonder Key Vault-integratie:" -ForegroundColor Yellow $tagNoKeyVault | Select-Object Name, ResourceGroup, Location | Format-Table -AutoSize Write-Host "Aanbeveling: integreer Azure Key Vault voor encryptie met Customer Managed Keys." -ForegroundColor Yellow Write-Host "Dit biedt extra beveiliging en controle over encryptiesleutels." -ForegroundColor Yellow } else { Write-Host "`nAlle productie-resources gebruiken Key Vault voor encryptie." -ForegroundColor Green } Write-Host "`nAanvullende best practices:" -ForegroundColor Cyan Write-Host "- Configureer RBAC voor strikt toegangsbeheer op basis van rollen" -ForegroundColor Cyan Write-Host "- Implementeer Azure Policy om te controleren dat alle productie-resources logging hebben" -ForegroundColor Cyan Write-Host "- Gebruik Managed Identities voor applicatie-authenticatie in plaats van API-keys" -ForegroundColor Cyan Write-Host "- Configureer cost alerts en quota's om kosten onder controle te houden" -ForegroundColor Cyan Write-Host "- Implementeer content filtering voor abuse prevention" -ForegroundColor Cyan Write-Host "- Documenteer alle use cases en data governance-processen" -ForegroundColor Cyan } function Invoke-Implementation { <# .SYNOPSIS Wrapper om remediatieadvies aan te roepen. .DESCRIPTION Voor integratie in generieke tooling kan deze functie worden gebruikt als standaard implementatie-entrypoint. #> [CmdletBinding()] param() Invoke-Remediation } # ============================================================================ # MAIN EXECUTION # ============================================================================ try { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Azure OpenAI Deployment Monitoring" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan # Execute based on parameters if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { Invoke-Remediation } else { # Default: Compliance check Connect-RequiredServices $result = Test-AzureOpenAISecurity Write-Host "Azure OpenAI Deployment beveiliging:" -ForegroundColor Cyan Write-Host " Resources: $($result.TotalResources)" -ForegroundColor White Write-Host " Productie: $($result.ProductionResources)" -ForegroundColor White Write-Host " Compliant: $($result.CompliantResources)" -ForegroundColor $(if ($result.CompliantResources -eq $result.ProductionResources -and $result.ProductionResources -gt 0) { "Green" } else { "Yellow" }) if ($result.IsCompliant) { Write-Host "`n✅ COMPLIANT" -ForegroundColor Green } else { Write-Host "`n❌ NON-COMPLIANT" -ForegroundColor Red Write-Host "`nRun met -Monitoring voor gedetailleerde rapportage" -ForegroundColor Yellow Write-Host "Run met -Remediation voor aanbevelingen" -ForegroundColor Yellow } return $result } } catch { Write-Error "Error: $_" throw } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder veilige deployment-strategie lopen Azure OpenAI-implementaties hoog risico op datalekken, non-compliance met AVG en EU AI Act, onvoldoende traceerbaarheid van AI-beslissingen en oncontroleerbare kosten. Dit kan leiden tot boetes, reputatieschade, verlies van publiek vertrouwen en juridische aansprakelijkheid voor Nederlandse overheidsorganisaties.

Management Samenvatting

Richt een veilige en goed doordachte Azure OpenAI-deployment in met private endpoints, uitgebreide logging en monitoring, strikt toegangsbeheer, data governance-processen en kostenbeheer. Combineer technische beveiligingsmaatregelen met organisatorische processen voor compliance, audit en continu verbeteren om ervoor te zorgen dat generatieve AI veilig, betrouwbaar en aantoonbaar in control wordt ingezet binnen de Nederlandse publieke sector.