💼 Management Samenvatting
Het beheren van beveiligingsupdates in Azure-omgevingen is een kritieke beveiligingsmaatregel voor Nederlandse overheidsorganisaties die moeten voldoen aan de Baseline Informatiebeveiliging Overheid (BIO), de NIS2 richtlijn en andere relevante normenkaders. Dit index-artikel biedt een overzicht van hoe organisaties een volwassen patch management-proces kunnen opzetten voor Azure-resources, inclusief virtuele machines, containers, PaaS-services en hybride omgevingen.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
9/10
Implementatie
100u (tech: 60u)
Van toepassing op:
✓ Azure Tenant
✓ Azure Subscriptions
✓ Azure Virtual Machines
✓ Azure Kubernetes Service
✓ Azure App Services
✓ Azure Subscriptions
✓ Azure Virtual Machines
✓ Azure Kubernetes Service
✓ Azure App Services
Zonder een gestructureerd proces voor het beheren van beveiligingsupdates lopen Azure-omgevingen onnodige risico's op bekende kwetsbaarheden die door aanvallers kunnen worden misbruikt. Nederlandse overheidsorganisaties hebben bovendien wettelijke verplichtingen om passende technische maatregelen te treffen ter bescherming van informatie en systemen. BIO 12.02 vereist bijvoorbeeld dat organisaties beveiligingsupdates tijdig toepassen, terwijl NIS2 specifieke eisen stelt aan vulnerability management en incidentpreventie. Zonder een volwassen update management-proces ontstaat het risico op datalekken, service-uitval, reputatieschade en niet-naleving van wettelijke eisen.
PowerShell Modules Vereist
Primary API: Azure API, Azure Update Management, Microsoft Defender for Cloud
Connection:
Required Modules: Az.Accounts, Az.Compute, Az.Automation, Az.Security, Az.Resources
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.Compute, Az.Automation, Az.Security, Az.Resources
Implementatie
Dit index-artikel beschrijft hoe Nederlandse overheidsorganisaties een samenhangend raamwerk kunnen opzetten voor het beheren van beveiligingsupdates in Azure. We behandelen de verschillende Azure-services en tools die beschikbaar zijn voor update management, zoals Azure Update Management, Azure Automation, Microsoft Defender for Cloud en Azure Arc. Het artikel beschrijft hoe organisaties een patch management-proces kunnen inrichten dat voldoet aan BIO- en NIS2-vereisten, inclusief prioritering, testen, implementatie en verificatie. Daarnaast behandelt het artikel specifieke uitdagingen zoals het updaten van hybride omgevingen, containers, PaaS-services en kritieke systemen met hoge beschikbaarheidseisen.
Het beveiligingsupdate-landschap in Azure
Azure-omgevingen bestaan uit verschillende typen resources die elk hun eigen update-mechanismen en uitdagingen kennen. Virtuele machines (IaaS) vereisen traditioneel patch management waarbij besturingssysteem- en applicatie-updates handmatig of geautomatiseerd moeten worden toegepast. Azure Kubernetes Service (AKS) clusters hebben updates nodig voor zowel de Kubernetes-versie als de onderliggende node images. PaaS-services zoals Azure App Service, Azure SQL Database en Azure Functions worden automatisch bijgewerkt door Microsoft, maar organisaties moeten wel controleren of deze updates voldoen aan hun compliance-vereisten en of er geen breaking changes optreden. Azure Arc-enabled servers brengen on-premises en multi-cloud resources onder Azure-beheer, waardoor ook deze resources kunnen profiteren van Azure Update Management. Daarnaast zijn er specifieke services zoals Azure Virtual Desktop, Azure Stack HCI en Azure VMware Solution die elk hun eigen update-cycli en -processen kennen.
Microsoft biedt verschillende tools en services om organisaties te helpen bij het beheren van updates. Azure Update Management, onderdeel van Azure Automation, biedt een gecentraliseerde oplossing voor het plannen, implementeren en monitoren van updates voor Windows- en Linux-VM's in Azure, on-premises en in andere cloudomgevingen. Microsoft Defender for Cloud detecteert kwetsbaarheden in VM's, containers en PaaS-services en biedt aanbevelingen voor het toepassen van updates. Azure Policy kan worden gebruikt om af te dwingen dat VM's zijn aangesloten op Update Management en dat automatische updates zijn ingeschakeld. Azure Monitor en Log Analytics bieden inzicht in de compliance-status van updates en kunnen alerts genereren wanneer kritieke updates niet zijn toegepast. Voor container-workloads biedt Azure Container Registry vulnerability scanning en image update management. Deze tools werken samen om een compleet beeld te geven van de update-status en om geautomatiseerde patch management mogelijk te maken.
Voor Nederlandse overheidsorganisaties is het belangrijk om te begrijpen dat update management niet alleen een technische activiteit is, maar ook een governance- en compliance-uitdaging. BIO 12.02 vereist dat organisaties beveiligingsupdates tijdig toepassen, waarbij 'tijdig' moet worden gedefinieerd op basis van risicoanalyse en de kritiekheid van systemen. NIS2 verlangt dat essentiële en belangrijke entiteiten passende maatregelen treffen om kwetsbaarheden te beheren en te voorkomen dat bekende kwetsbaarheden worden misbruikt. Dit betekent dat organisaties niet alleen moeten kunnen aantonen dat updates worden toegepast, maar ook dat er een gestructureerd proces bestaat voor prioritering, testen, implementatie en verificatie. Daarnaast moeten organisaties kunnen rapporteren over de compliance-status van updates, openstaande kwetsbaarheden en de effectiviteit van het patch management-proces. Dit vereist een combinatie van technische tools, procesbeschrijvingen, monitoring en rapportage die samen een aantoonbaar beheerst update management-raamwerk vormen.
Implementatieframework: van beleid naar geautomatiseerde updates
Het implementeren van een volwassen update management-raamwerk in Azure begint met het definiëren van een patch management-beleid dat expliciet maakt welke updates wanneer moeten worden toegepast, wie verantwoordelijk is voor het testen en implementeren van updates, en hoe uitzonderingen worden behandeld. Dit beleid moet aansluiten bij de risicoanalyse en de kritiekheid van systemen: kritieke systemen met hoge beschikbaarheidseisen kunnen bijvoorbeeld een langere testperiode vereisen voordat updates worden toegepast, terwijl minder kritieke systemen sneller kunnen worden bijgewerkt. Het beleid moet ook rekening houden met verschillende typen updates: beveiligingsupdates hebben meestal hoge prioriteit en moeten snel worden toegepast, terwijl feature updates en service packs meer tijd kunnen krijgen voor testen en validatie. Voor Nederlandse overheidsorganisaties is het belangrijk dat dit beleid expliciet koppelt aan BIO- en NIS2-vereisten, zodat tijdens audits duidelijk kan worden aangetoond dat er een gestructureerd proces bestaat voor het beheren van updates.
Vervolgens wordt Azure Update Management geconfigureerd voor alle relevante VM's en Arc-enabled servers. Update Management gebruikt Log Analytics workspaces om update-inventarisatie, planning en compliance-status bij te houden. Organisaties moeten ervoor zorgen dat alle VM's zijn aangesloten op een Log Analytics workspace met Update Management ingeschakeld, en dat de juiste tags en resource groups worden gebruikt om updates te kunnen plannen en monitoren per omgeving (productie, test, ontwikkeling) of per workload. Update schedules worden geconfigureerd met specifieke maintenance windows die rekening houden met business hours, piekbelasting en beschikbaarheidseisen. Kritieke updates kunnen worden geconfigureerd om automatisch te worden toegepast buiten business hours, terwijl andere updates handmatige goedkeuring vereisen. Azure Policy kan worden gebruikt om af te dwingen dat nieuwe VM's automatisch worden aangesloten op Update Management, zodat het proces schaalbaar blijft wanneer de omgeving groeit.
Microsoft Defender for Cloud speelt een belangrijke rol bij het detecteren van kwetsbaarheden en het prioriteren van updates. Defender for Cloud scant VM's, containers en PaaS-services op bekende kwetsbaarheden en genereert aanbevelingen met een secure score-impact. Deze aanbevelingen kunnen worden geïntegreerd in Azure Policy en Update Management om automatisch updates te plannen voor resources met kritieke kwetsbaarheden. Defender for Cloud biedt ook vulnerability assessment voor VM's via geïntegreerde scanners zoals Qualys of Microsoft Defender Vulnerability Management, die diepgaande analyses uitvoeren en gedetailleerde rapportages genereren over openstaande kwetsbaarheden. Voor container-workloads biedt Defender for Cloud container image scanning die kwetsbaarheden detecteert in container images voordat deze worden deployed. Door deze informatie te combineren met Update Management ontstaat een proactief proces waarbij kwetsbaarheden niet alleen worden gedetecteerd, maar ook automatisch worden aangepakt via geplande updates.
Een volwassen implementatie omvat ook testen en validatie voordat updates worden toegepast in productie. Organisaties moeten een testomgeving hebben waarin updates eerst worden getest voordat ze worden uitgerold naar productie. Azure Update Management ondersteunt dit door updates eerst toe te passen op een subset van VM's (canary deployment) en vervolgens geleidelijk uit te breiden naar de volledige omgeving. Daarnaast moeten organisaties kunnen verifiëren dat updates succesvol zijn toegepast en dat er geen negatieve impact is op de beschikbaarheid of functionaliteit van systemen. Azure Monitor en Log Analytics bieden query's en dashboards om de compliance-status van updates te monitoren en alerts te genereren wanneer updates falen of wanneer kritieke updates niet zijn toegepast binnen de afgesproken tijd. Door dit proces expliciet te maken en te documenteren, kunnen organisaties aantonen dat updates niet alleen worden toegepast, maar ook worden getest en geverifieerd voordat ze in productie komen.
Monitoring, compliance en rapportage van beveiligingsupdates
Gebruik PowerShell-script index.ps1 (functie Invoke-Monitoring) – Controleert de compliance-status van beveiligingsupdates in Azure, inclusief VM's met ontbrekende updates, Update Management-configuratie en vulnerability assessment-resultaten..
Monitoring van beveiligingsupdates in Azure is essentieel om te verifiëren dat het patch management-proces effectief werkt en dat alle resources up-to-date blijven. Azure Update Management biedt gedetailleerde rapportages over de compliance-status van updates per VM, resource group, subscription en omgeving. Deze rapportages laten zien welke updates beschikbaar zijn, welke updates zijn toegepast, welke updates zijn mislukt en welke updates nog openstaan. Microsoft Defender for Cloud biedt aanvullende inzichten door kwetsbaarheden te detecteren en te prioriteren op basis van exploitability en impact. Door deze gegevens te combineren in dashboards (bijvoorbeeld met Azure Monitor workbooks of Power BI) ontstaat een actueel beeld van de update-compliance per domein, workload en eigenaar. Voor bestuur en directie zijn vooral trendinformatie, kritieke openstaande updates en de relatie met risico's relevant; voor operationele teams zijn detailoverzichten van specifieke VM's met ontbrekende updates en geplande maintenance windows essentieel.
Effectieve compliance-rapportage voor beveiligingsupdates gaat verder dan het simpelweg verzamelen van technische metingen. Het moet ook de context bieden die nodig is voor bestuurlijke besluitvorming en verantwoording richting toezichthouders. Dat betekent dat rapportages niet alleen laten zien hoeveel updates openstaan, maar ook welke updates kritiek zijn, hoe lang ze al openstaan, wat de reden is voor vertraging (bijvoorbeeld testen, goedkeuring, of technische beperkingen), en wat de impact is op risico's en compliance. Voor Nederlandse overheidsorganisaties is het verstandig om een vaste rapportagecyclus af te spreken, bijvoorbeeld maandelijkse rapportages over de update-compliance-status, openstaande kritieke kwetsbaarheden, doorgevoerde updates en de effectiviteit van het patch management-proces. Deze rapportages worden besproken in governance-overleggen met CISO, security operations en bestuur, en vormen de basis voor besluitvorming over aanvullende investeringen, prioritering van updates of acceptatie van rest-risico's wanneer updates niet kunnen worden toegepast vanwege technische of business-redenen.
Continue verbetering van update management vereist een gestructureerde aanpak waarbij bevindingen uit monitoring worden vertaald naar concrete verbeteracties. VM's met langdurig openstaande kritieke updates moeten worden geanalyseerd: wat is de oorzaak (bijvoorbeeld ontbrekende Update Management-configuratie, technische beperkingen, of bewuste uitzondering), wat is de impact op risico's en compliance, en wat is de beste remediatiestrategie? Sommige updates kunnen automatisch worden toegepast via Update Management schedules, andere vereisen handmatige interventie of procesaanpassingen. Belangrijk is dat verbeteracties worden voorzien van een eigenaar, deadline en prioriteit, en dat de voortgang wordt gemonitord totdat de updates zijn toegepast. Door dit proces expliciet te maken en te koppelen aan het bredere risicomanagement- en security operations-proces, ontstaat een transparante keten van bevinding → analyse → maatregel → verificatie → rest-risico. Dit sluit rechtstreeks aan bij de eisen uit BIO en NIS2 rond continue verbetering en aantoonbaarheid van beheersmaatregelen voor vulnerability management.
Speciale overwegingen voor verschillende workload-typen
Verschillende typen workloads in Azure hebben specifieke overwegingen voor update management. Virtuele machines vereisen traditioneel patch management waarbij besturingssysteem- en applicatie-updates moeten worden toegepast. Azure biedt verschillende opties: Windows Update, Linux package managers, of Azure Update Management voor gecentraliseerd beheer. Voor Windows-VM's kan Azure Automation worden gebruikt om Windows Update for Business te configureren, waardoor updates kunnen worden gefaseerd en getest voordat ze worden uitgerold. Voor Linux-VM's moeten organisaties rekening houden met verschillende distributies (Ubuntu, RHEL, SUSE) die elk hun eigen update-mechanismen hebben. Daarnaast moeten organisaties overwegen of ze gebruik willen maken van Azure's automatic OS image updates voor VM scale sets, wat automatisch de nieuwste OS-images toepast maar mogelijk breaking changes kan introduceren.
Azure Kubernetes Service (AKS) clusters hebben updates nodig voor zowel de Kubernetes-versie als de onderliggende node images. AKS biedt verschillende opties: automatische node image updates, geplande cluster upgrades, en node pool updates. Organisaties moeten een strategie hebben voor het updaten van AKS-clusters die rekening houdt met beschikbaarheidseisen, testen en rollback-scenario's. Container images moeten ook regelmatig worden bijgewerkt om kwetsbaarheden te patchen. Azure Container Registry biedt vulnerability scanning die automatisch kwetsbaarheden detecteert in images, en organisaties kunnen Azure Policy gebruiken om af te dwingen dat alleen images zonder kritieke kwetsbaarheden kunnen worden deployed. Daarnaast moeten organisaties overwegen om image update automation te implementeren die automatisch nieuwe versies van base images toepast wanneer deze beschikbaar komen.
PaaS-services zoals Azure App Service, Azure SQL Database en Azure Functions worden automatisch bijgewerkt door Microsoft, maar organisaties moeten wel controleren of deze updates voldoen aan hun compliance-vereisten. Microsoft biedt verschillende opties voor update control: Azure App Service kan worden geconfigureerd met deployment slots voor zero-downtime updates, Azure SQL Database biedt maintenance windows waarin updates kunnen worden gepland, en Azure Functions ondersteunt deployment slots voor het testen van updates voordat ze in productie komen. Organisaties moeten ook rekening houden met breaking changes die kunnen optreden bij PaaS-updates, en moeten processen hebben voor het testen en valideren van updates voordat ze worden toegepast. Daarnaast moeten organisaties kunnen verifiëren dat PaaS-services up-to-date zijn en dat er geen bekende kwetsbaarheden zijn die nog niet zijn gepatcht door Microsoft.
Hybride omgevingen met Azure Arc-enabled servers brengen specifieke uitdagingen met zich mee. On-premises servers en servers in andere cloudomgevingen kunnen worden aangesloten op Azure Update Management, maar organisaties moeten ervoor zorgen dat er voldoende netwerkconnectiviteit is en dat de Log Analytics agent correct is geïnstalleerd en geconfigureerd. Daarnaast moeten organisaties rekening houden met verschillende netwerkconfiguraties, firewallregels en proxy-instellingen die kunnen beïnvloeden hoe updates worden gedownload en toegepast. Azure Arc biedt ook de mogelijkheid om Azure Policy toe te passen op hybride resources, waardoor organisaties kunnen afdwingen dat ook on-premises servers zijn aangesloten op Update Management en dat automatische updates zijn ingeschakeld. Dit maakt het mogelijk om een consistent update management-proces te hebben voor zowel Azure-native als hybride resources.
Remediatie en volwassenwording van update management
Gebruik PowerShell-script index.ps1 (functie Invoke-Remediation) – Genereert overzichten van VM's met ontbrekende updates en biedt handvatten voor het configureren van Update Management en het plannen van updates..
Remediatie binnen het Azure security updates-domein betekent in de praktijk dat u gaten dicht tussen de gewenste update-compliance-status en de werkelijkheid. In veel organisaties bestaan al wel beleidsdocumenten over patch management, maar ontbreekt concrete vastlegging van hoe updates worden beheerd in Azure, welke VM's zijn aangesloten op Update Management, en hoe compliance wordt gemonitord en verbeterd. Het index-script ondersteunt remediatie door automatisch te inventariseren waar VM's ontbrekende updates hebben, waar Update Management niet is geconfigureerd, waar kritieke kwetsbaarheden openstaan, en waar update schedules ontbreken of niet worden nageleefd. Op basis van deze inventarisatie kunnen gerichte verbeteracties worden gepland en uitgevoerd, waarbij prioriteit wordt gegeven aan de meest kritieke hiaten die de grootste impact hebben op risico's en wettelijke naleving.
Een volwassen Azure security updates-raamwerk groeit stap voor stap door continue verbetering. Na elke monitoringsronde worden de belangrijkste verbeterpunten vastgelegd, van een eigenaar voorzien en ingepland in het reguliere change- of verbeterportfolio. Denk aan het configureren van Update Management voor VM's die nog niet zijn aangesloten, het instellen van update schedules voor verschillende omgevingen en workloads, het activeren van automatische updates voor niet-kritieke systemen, het verbeteren van vulnerability scanning en assessment, het actualiseren van patch management-documentatie, of het invoeren van geautomatiseerde update workflows. Door de resultaten van het index-script te combineren met de uitkomsten van gespecialiseerde tools zoals Microsoft Defender for Cloud en Azure Update Management ontstaat een integraal beeld van de voortgang. Uiteindelijk wordt Azure security updates management zo niet alleen een set van technische configuraties en processen, maar een aantoonbaar beheerst en verantwoord ingericht raamwerk dat continu wordt geëvalueerd en verbeterd om te blijven voldoen aan veranderende eisen, dreigingen en regelgeving.
Compliance & Frameworks
- BIO: 12.02, 12.05, 13.01, 17.01 - Tijdige toepassing van beveiligingsupdates en beheer van kwetsbaarheden in Azure-omgevingen als onderdeel van informatiebeveiligingsmaatregelen
- ISO 27001:2022: A.12.6.1, A.14.2.1, A.14.2.2 - Beheer van technische kwetsbaarheden en tijdige toepassing van beveiligingsupdates in cloudomgevingen
- NIS2: Artikel - Passende maatregelen voor het beheren van kwetsbaarheden en het voorkomen van misbruik van bekende kwetsbaarheden in essentiële en belangrijke entiteiten
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Inventariseert en beoordeelt de compliance-status van beveiligingsupdates in Azure.
.DESCRIPTION
Dit script controleert per abonnement de status van beveiligingsupdates voor
Azure-resources, met focus op:
- VM's met ontbrekende beveiligingsupdates
- Configuratie van Azure Update Management
- Vulnerability assessment-resultaten uit Microsoft Defender for Cloud
- Compliance-status per resource, resource group en subscription
Met de parameter -Monitoring wordt een samenvattend compliance-overzicht getoond.
Met -Remediation worden voorstellen gedaan voor Update Management-configuratie.
.NOTES
Filename: index.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/azure/security-updates/index.json
Category: security
Workload: azure
.LINK
https://github.com/m365-tenant-best-practise
.EXAMPLE
.\index.ps1 -Monitoring
Controleert de huidige update-compliance-status en rapporteert bevindingen.
.EXAMPLE
.\index.ps1 -Remediation -WhatIf
Toont welke Update Management-configuraties zouden worden aanbevolen.
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Compute, Az.Automation, Az.Security, Az.Resources
[CmdletBinding()]
param(
[Parameter(HelpMessage = "Monitor current update compliance status")]
[switch]$Monitoring,
[Parameter(HelpMessage = "Apply recommended Update Management configuration")]
[switch]$Remediation,
[Parameter(HelpMessage = "Show what would happen without making changes")]
[switch]$WhatIf
)
$ErrorActionPreference = 'Stop'
$PolicyName = "Azure Security Updates - Compliance Check"
# ============================================================================
# HELPER: CONNECTIEBEHEER
# ============================================================================
function Get-AzContextOrWarning {
<#
.SYNOPSIS
Zorgt voor een geldige Azure-context zonder interactieve prompts.
#>
[CmdletBinding()]
param()
$ctx = Get-AzContext -ErrorAction SilentlyContinue
if (-not $ctx) {
Write-Warning "Geen actieve Azure-context gevonden. Meld u vooraf aan met 'Connect-AzAccount'."
return $null
}
return $ctx
}
# ============================================================================
# FUNCTIES
# ============================================================================
function Get-UpdateComplianceStatus {
<#
.SYNOPSIS
Haalt update-compliance-status op voor alle VM's in de tenant.
.OUTPUTS
PSCustomObject met TotalVMs, VMsWithMissingUpdates, UpdateManagementEnabled, CriticalVulnerabilities
#>
[CmdletBinding()]
param()
$subscriptions = Get-AzSubscription -ErrorAction SilentlyContinue | Where-Object { $_.State -eq 'Enabled' }
$totalVMs = 0
$vmsWithMissingUpdates = 0
$updateManagementEnabled = 0
$criticalVulnerabilities = 0
$vmsWithoutUpdateManagement = @()
foreach ($sub in $subscriptions) {
Set-AzContext -SubscriptionId $sub.Id -ErrorAction SilentlyContinue | Out-Null
try {
$vms = Get-AzVM -ErrorAction SilentlyContinue
$totalVMs += $vms.Count
foreach ($vm in $vms) {
try {
# Controleer of Update Management is ingeschakeld via Automation Account
$automationAccounts = Get-AzAutomationAccount -ErrorAction SilentlyContinue
$updateManagementConfigured = $false
foreach ($aa in $automationAccounts) {
try {
$updateConfig = Get-AzAutomationUpdateManagement -ResourceGroupName $aa.ResourceGroupName -AutomationAccountName $aa.AutomationAccountName -VMId $vm.Id -ErrorAction SilentlyContinue
if ($updateConfig) {
$updateManagementEnabled++
$updateManagementConfigured = $true
break
}
}
catch {
# Update Management niet geconfigureerd voor deze VM
}
}
if (-not $updateManagementConfigured) {
$vmsWithoutUpdateManagement += [PSCustomObject]@{
Name = $vm.Name
ResourceGroup = $vm.ResourceGroupName
Subscription = $sub.Name
SubscriptionId = $sub.Id
}
}
# Probeer vulnerability assessment-resultaten op te halen via Defender for Cloud
try {
$vmResourceId = $vm.Id
$vulnerabilities = Get-AzSecurityAssessment -ErrorAction SilentlyContinue |
Where-Object { $_.ResourceDetails.Id -eq $vmResourceId -and $_.Status.Code -eq 'Unhealthy' }
if ($vulnerabilities) {
$criticalVulns = $vulnerabilities | Where-Object { $_.Metadata.Severity -eq 'High' -or $_.Metadata.Severity -eq 'Critical' }
if ($criticalVulns) {
$criticalVulnerabilities++
$vmsWithMissingUpdates++
}
}
}
catch {
Write-Verbose "Kon vulnerability assessment niet ophalen voor VM '$($vm.Name)': $_"
}
}
catch {
Write-Verbose "Kon Update Management-status niet controleren voor VM '$($vm.Name)': $_"
}
}
}
catch {
Write-Verbose "Kon VM's niet ophalen voor subscription '$($sub.Name)': $_"
}
}
[PSCustomObject]@{
TotalVMs = $totalVMs
VMsWithMissingUpdates = $vmsWithMissingUpdates
UpdateManagementEnabled = $updateManagementEnabled
CriticalVulnerabilities = $criticalVulnerabilities
VMsWithoutUpdateManagement = $vmsWithoutUpdateManagement
}
}
function Test-UpdateManagementCompliance {
<#
.SYNOPSIS
Test of Update Management correct is geconfigureerd.
#>
[CmdletBinding()]
param()
$status = Get-UpdateComplianceStatus
$complianceIssues = @()
if ($status.VMsWithoutUpdateManagement.Count -gt 0) {
$complianceIssues += "Er zijn $($status.VMsWithoutUpdateManagement.Count) VM's zonder Update Management-configuratie"
}
if ($status.CriticalVulnerabilities -gt 0) {
$complianceIssues += "Er zijn $($status.CriticalVulnerabilities) VM's met kritieke kwetsbaarheden"
}
if ($status.TotalVMs -gt 0) {
$updateManagementPercentage = [math]::Round(($status.UpdateManagementEnabled / $status.TotalVMs) * 100, 1)
if ($updateManagementPercentage -lt 90) {
$complianceIssues += "Slechts $updateManagementPercentage% van de VM's heeft Update Management ingeschakeld (doel: 90%)"
}
}
[PSCustomObject]@{
IsCompliant = ($complianceIssues.Count -eq 0)
Issues = $complianceIssues
Status = $status
}
}
# ============================================================================
# HOOFDFUNCTIES
# ============================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert configuratie (delegeert naar remediatie)
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Voert de monitoringcheck uit voor update-compliance
#>
[CmdletBinding()]
param()
$ctx = Get-AzContextOrWarning
if (-not $ctx) {
Write-Error "Geen actieve Azure-context gevonden. Voer eerst 'Connect-AzAccount' uit."
return
}
try {
$compliance = Test-UpdateManagementCompliance
$status = $compliance.Status
Write-Host "" -ForegroundColor White
Write-Host "========================================" -ForegroundColor Cyan
Write-Host $PolicyName -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host ("Totaal aantal VM's : {0}" -f $status.TotalVMs) -ForegroundColor White
Write-Host ("VM's met Update Management : {0}" -f $status.UpdateManagementEnabled) -ForegroundColor White
Write-Host ("VM's zonder Update Management : {0}" -f $status.VMsWithoutUpdateManagement.Count) -ForegroundColor White
Write-Host ("VM's met ontbrekende updates : {0}" -f $status.VMsWithMissingUpdates) -ForegroundColor White
Write-Host ("Kritieke kwetsbaarheden : {0}" -f $status.CriticalVulnerabilities) -ForegroundColor White
if ($status.TotalVMs -gt 0) {
$updateManagementPercentage = [math]::Round(($status.UpdateManagementEnabled / $status.TotalVMs) * 100, 1)
Write-Host ("Update Management coverage : {0}%" -f $updateManagementPercentage) -ForegroundColor White
}
Write-Host "" -ForegroundColor White
if ($compliance.IsCompliant) {
Write-Host "[COMPLIANT] De update-compliance-status voldoet aan de gestelde eisen." -ForegroundColor Green
}
else {
Write-Host "[NON-COMPLIANT] De volgende compliance-issues zijn geïdentificeerd:" -ForegroundColor Yellow
foreach ($issue in $compliance.Issues) {
Write-Host " - $issue" -ForegroundColor Yellow
}
}
if ($status.VMsWithoutUpdateManagement.Count -gt 0) {
Write-Host "" -ForegroundColor White
Write-Host "VM's zonder Update Management-configuratie:" -ForegroundColor Yellow
$status.VMsWithoutUpdateManagement | ForEach-Object {
Write-Host " - $($_.Name) (RG: $($_.ResourceGroup), Sub: $($_.Subscription))" -ForegroundColor Yellow
}
}
if ($status.CriticalVulnerabilities -gt 0) {
Write-Host "" -ForegroundColor White
Write-Host "[WAARSCHUWING] Er zijn VM's met kritieke kwetsbaarheden gedetecteerd. Raadpleeg Microsoft Defender for Cloud voor details en prioriteer updates." -ForegroundColor Red
}
}
catch {
Write-Error "Fout bij uitvoeren van monitoring: $_"
exit 1
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Ondersteunt remediatie door aanbevelingen te geven voor Update Management-configuratie
.DESCRIPTION
Dit script voert geen automatische remediatie uit, maar geeft duidelijke
aanwijzingen om Update Management te configureren en updates te plannen.
#>
[CmdletBinding()]
param()
$ctx = Get-AzContextOrWarning
if (-not $ctx) {
Write-Error "Geen actieve Azure-context gevonden. Voer eerst 'Connect-AzAccount' uit."
return
}
Write-Host "[INFO] Dit is een monitoringgerichte control zonder automatische remediatie." -ForegroundColor Yellow
Write-Host "[INFO] Gebruik de resultaten om Update Management te configureren en updates te plannen." -ForegroundColor Yellow
Write-Host "" -ForegroundColor White
try {
$compliance = Test-UpdateManagementCompliance
$status = $compliance.Status
if ($status.VMsWithoutUpdateManagement.Count -gt 0) {
Write-Host "AANBEVELINGEN VOOR UPDATE MANAGEMENT:" -ForegroundColor Cyan
Write-Host "" -ForegroundColor White
Write-Host "1. Configureer Azure Update Management voor alle VM's:" -ForegroundColor White
Write-Host " - Maak een Azure Automation Account aan (indien nog niet aanwezig)" -ForegroundColor Gray
Write-Host " - Schakel Update Management in via Azure Portal of PowerShell" -ForegroundColor Gray
Write-Host " - Koppel alle VM's aan Update Management via de Automation Account" -ForegroundColor Gray
Write-Host "" -ForegroundColor White
Write-Host "2. Configureer update schedules:" -ForegroundColor White
Write-Host " - Definieer maintenance windows per omgeving (productie, test, ontwikkeling)" -ForegroundColor Gray
Write-Host " - Stel prioriteiten in voor kritieke updates" -ForegroundColor Gray
Write-Host " - Configureer automatische updates voor niet-kritieke systemen" -ForegroundColor Gray
Write-Host "" -ForegroundColor White
Write-Host "3. Activeer Microsoft Defender for Cloud vulnerability assessment:" -ForegroundColor White
Write-Host " - Schakel vulnerability assessment in voor alle VM's" -ForegroundColor Gray
Write-Host " - Configureer automatische scanning en rapportage" -ForegroundColor Gray
Write-Host " - Koppel vulnerability findings aan Update Management schedules" -ForegroundColor Gray
Write-Host "" -ForegroundColor White
if ($WhatIf) {
Write-Host "[WHATIF] De volgende VM's zouden Update Management-configuratie nodig hebben:" -ForegroundColor Yellow
$status.VMsWithoutUpdateManagement | ForEach-Object {
Write-Host " - $($_.Name) (RG: $($_.ResourceGroup), Sub: $($_.Subscription))" -ForegroundColor Yellow
}
}
}
else {
Write-Host "[INFO] Alle VM's hebben Update Management geconfigureerd." -ForegroundColor Green
}
if ($status.CriticalVulnerabilities -gt 0) {
Write-Host "" -ForegroundColor White
Write-Host "AANBEVELINGEN VOOR KRITIEKE KWETSBAARHEDEN:" -ForegroundColor Cyan
Write-Host "" -ForegroundColor White
Write-Host "1. Prioriteer updates voor VM's met kritieke kwetsbaarheden" -ForegroundColor White
Write-Host "2. Plan updates binnen de afgesproken SLA (bijvoorbeeld binnen 7 dagen voor kritieke updates)" -ForegroundColor White
Write-Host "3. Test updates eerst in een testomgeving voordat ze in productie worden toegepast" -ForegroundColor White
Write-Host "4. Monitor de compliance-status regelmatig via dit script of Azure dashboards" -ForegroundColor White
}
# Voer monitoring uit om de huidige status te tonen
Invoke-Monitoring
}
catch {
Write-Error "Fout bij uitvoeren van remediatie: $_"
exit 1
}
}
# ============================================================================
# MAIN EXECUTION
# ============================================================================
try {
$ctx = Get-AzContextOrWarning
if (-not $ctx) {
Write-Error "Geen actieve Azure-context gevonden. Voer eerst 'Connect-AzAccount' uit."
exit 1
}
if ($Remediation) {
Invoke-Remediation
}
elseif ($Monitoring) {
Invoke-Monitoring
}
else {
# Standaard: voer monitoring uit
Invoke-Monitoring
}
}
catch {
Write-Error "Fout bij uitvoeren van script: $_"
exit 1
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder een volwassen update management-raamwerk in Azure lopen organisaties onnodige risico's op bekende kwetsbaarheden die door aanvallers kunnen worden misbruikt. Dit kan leiden tot datalekken, service-uitval, reputatieschade en niet-naleving van BIO- en NIS2-vereisten rond vulnerability management en incidentpreventie.
Management Samenvatting
Azure security updates management vereist een samenhangend raamwerk dat patch management combineert met vulnerability management, geautomatiseerde update deployment en compliance-monitoring. Dit index-artikel beschrijft hoe organisaties Azure Update Management, Microsoft Defender for Cloud en andere tools kunnen gebruiken om een volwassen update management-proces op te zetten dat voldoet aan BIO- en NIS2-vereisten.
- Implementatietijd: 100 uur
- FTE required: 0.4 FTE