BIO 08.03.01 ISO A.5.30

Azure Security: Overzicht Van Beveiligingsmaatregelen En Implementatie Voor Nederlandse Overheidsorganisaties

📅 2025-01-27
⏱️ 30 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Beveiliging in Azure is een multidimensionale uitdaging voor Nederlandse overheidsorganisaties die moeten voldoen aan strenge wettelijke kaders zoals de Baseline Informatiebeveiliging Overheid (BIO), de NIS2 richtlijn en ISO 27001. Deze index pagina biedt een overzicht van alle beveiligingsaspecten die relevant zijn voor Azure-omgevingen en helpt organisaties om een samenhangend, aantoonbaar beveiligingsraamwerk op te bouwen dat bescherming biedt tegen moderne bedreigingen, compliance waarborgt en vertrouwen creëert bij burgers, toezichthouders en bestuur.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
9/10
Implementatie
180u (tech: 80u)
Van toepassing op:
Azure Tenant
Azure Subscriptions
Azure Resources

Nederlandse overheidsorganisaties die Azure gebruiken, worden geconfronteerd met een toenemende complexiteit aan beveiligingsuitdagingen. Zonder een gestructureerde aanpak ontstaat het risico dat beveiliging wordt gezien als een lastige verplichting die vooral tijdens audits belangrijk is, in plaats van een integraal onderdeel van de dagelijkse cloudoperaties. Dit leidt tot ad-hoc implementaties, inconsistente toepassing van maatregelen, moeilijk aantoonbare beveiliging en verhoogde risico's op datalekken, cyberaanvallen, boetes, reputatieschade en bestuurlijke aansprakelijkheid. Een doordacht beveiligingsraamwerk helpt organisaties om proactief te voldoen aan wettelijke eisen, bedreigingen te beheersen en transparantie te bieden richting burgers, toezichthouders en bestuur.

PowerShell Modules Vereist
Primary API: Azure API, Azure Policy, Microsoft Defender for Cloud
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Resources, Az.Security, Az.KeyVault, Az.Network

Implementatie

Dit index-artikel fungeert als centrale verzamelplaats voor alle beveiligingsgerelateerde artikelen binnen het Azure-domein van de 'Nederlandse Baseline voor Veilige Cloud'. We behandelen de belangrijkste beveiligingsprincipes die relevant zijn voor Nederlandse overheidsorganisaties, beschrijven hoe deze worden vertaald naar concrete Azure-services en configuraties, en laten zien hoe organisaties een volwassen beveiligingsproces kunnen opzetten. Het artikel verbindt specifieke beveiligingsartikelen zoals cloud-native architectuur, cryptografische flexibiliteit, identiteitsgerichte beveiliging, HSM-configuratie en voorbereiding op opkomende bedreigingen, en biedt handvatten voor governance, monitoring en continue verbetering. Daarnaast beschrijft het artikel hoe beveiliging wordt gemeten, gerapporteerd en continu verbeterd binnen een Azure-omgeving.

Het beveiligingslandschap voor Nederlandse overheidsorganisaties in Azure

Nederlandse overheidsorganisaties die Azure gebruiken, moeten voldoen aan een complex web van nationale en Europese regelgeving op het gebied van informatiebeveiliging. De Baseline Informatiebeveiliging Overheid (BIO) vormt het fundament voor informatiebeveiliging binnen de publieke sector en legt eisen op rond risicomanagement, beveiligingsmaatregelen, incident response en continuïteit. De NIS2 richtlijn voegt daar specifieke eisen aan toe voor essentiële en belangrijke entiteiten op het gebied van cybersecurity-maatregelen, incidentmeldingen en supply chain security. ISO 27001 biedt een internationaal erkend framework voor informatiebeveiligingsmanagementsystemen (ISMS) dat vaak wordt gebruikt als aanvulling op de BIO. Daarnaast kunnen sectorale wetten en regelingen specifieke eisen stellen, bijvoorbeeld de Archiefwet voor het beheer van overheidsinformatie, of de Wet elektronisch bestuursverkeer (Web) voor digitale dienstverlening.

Azure beveiliging betekent niet dat u deze kaders een-op-een hoeft te implementeren als losstaande silo's. In de praktijk overlappen veel eisen elkaar: de BIO vereist bijvoorbeeld encryptie van gevoelige gegevens, NIS2 stelt eisen aan beveiligingsmonitoring, en ISO 27001 beschrijft algemene maatregelen voor access control. Een effectieve aanpak is daarom om een geïntegreerd beveiligingsraamwerk op te zetten waarin gemeenschappelijke eisen worden geïdentificeerd en vertaald naar concrete Azure-configuraties. Azure Policy, Microsoft Defender for Cloud en beveiligingsdashboards kunnen vervolgens worden gebruikt om deze configuraties te monitoren en af te dwingen. Door beveiliging te benaderen als een samenhangend geheel in plaats van losse checklists, ontstaat efficiëntie in implementatie en beheer, terwijl tegelijkertijd alle relevante kaders worden afgedekt.

Een belangrijk aspect van Azure beveiliging voor Nederlandse overheidsorganisaties is de verschuiving naar moderne beveiligingsprincipes zoals Zero Trust en Defense in Depth. Zero Trust betekent dat organisaties niet langer vertrouwen op traditionele perimeter-gebaseerde beveiliging, maar elke toegangspoging verifiëren op basis van identiteit, apparaat, locatie en context. Defense in Depth betekent dat meerdere beveiligingslagen worden toegepast zodat wanneer één laag faalt, andere lagen nog steeds bescherming bieden. Deze principes zijn essentieel in moderne cloudomgevingen waar workloads dynamisch worden geïmplementeerd, waar gebruikers overal vandaan werken, en waar bedreigingen steeds geavanceerder worden. Het is daarom essentieel om deze principes expliciet te maken in het beveiligingsraamwerk en deze te vertalen naar concrete Azure-configuraties en servicekeuzes.

Implementatieframework: van principe naar praktijk

Het implementeren van een volwassen beveiligingsraamwerk in Azure begint met het vertalen van wettelijke eisen en beveiligingsprincipes naar concrete, meetbare configuratie-eisen. Dit proces begint bij een grondige analyse: welke artikelen en controls uit de BIO, NIS2 of ISO 27001 zijn relevant voor de Azure-omgeving, en hoe kunnen deze worden vertaald naar Azure-specifieke maatregelen? Voorbeelden zijn: 'alle opslagaccounts moeten versleuteling-at-rest hebben' (vertaling van BIO-vereisten rond data protection), 'alle netwerkverbindingen moeten worden gelogd' (vertaling van NIS2-vereisten rond monitoring), of 'alle toegang moet worden geverifieerd met multi-factor authenticatie' (vertaling van Zero Trust principes). Deze vertalingen worden vastgelegd in een beveiligingsmatrix die expliciet maakt welke Azure-configuraties bijdragen aan welke beveiligingsvereisten, zodat later tijdens audits duidelijk kan worden aangetoond dat maatregelen zijn genomen.

Vervolgens worden deze eisen vertaald naar Azure Policy-definities en initiatieven die automatisch kunnen controleren of resources voldoen aan de gestelde eisen. Azure Policy biedt honderden ingebouwde policies die direct aansluiten bij beveiligingsstandaarden zoals de Azure Security Benchmark, maar organisaties zullen ook custom policies moeten ontwikkelen voor organisatie-specifieke eisen. Deze policies worden gebundeld in initiatieven per thema (bijvoorbeeld 'BIO Security Baseline', 'NIS2 Threat Protection', 'Zero Trust Access Control') en toegewezen aan management groups en subscriptions. Het effecttype kan variëren: audit-only policies signaleren afwijkingen zonder te blokkeren, deny policies voorkomen dat niet-conforme resources worden aangemaakt, en deployIfNotExists policies zorgen automatisch dat ontbrekende configuraties worden aangebracht. Door een gelaagde aanpak te hanteren – met generieke basismaatregelen op hoog niveau en specifieke maatregelen op lagere niveaus – ontstaat een flexibel maar krachtig beveiligingsraamwerk.

Microsoft Defender for Cloud vormt een belangrijke aanvulling op Azure Policy door continue security assessments uit te voeren op basis van beveiligingsstandaarden zoals de Azure Security Benchmark, NIST, CIS en ISO 27001. Defender for Cloud genereert aanbevelingen voor verbeteringen, detecteert bedreigingen in real-time, en biedt secure score als samenvattende indicator van de beveiligingspostuur. Voor beveiligingsdoeleinden is het belangrijk om deze beveiligingsstandaarden te activeren en te koppelen aan de organisatie-specifieke beveiligingsvereisten. Door de secure score te monitoren en te benchmarken tegen interne doelen of sectorale gemiddelden, krijgen bestuurders en security officers een duidelijk beeld van de beveiligingsvolwassenheid. Daarnaast biedt Defender for Cloud regulatory compliance-dashboards die expliciet laten zien welke controls uit verschillende frameworks (zoals ISO 27001, NIST, PCI-DSS) wel of niet worden nageleefd, wat waardevol is voor audits en rapportages richting toezichthouders.

Een volwassen beveiligingsimplementatie gaat verder dan alleen technische configuraties. Het omvat ook organisatorische processen: wie is verantwoordelijk voor beveiliging, hoe worden uitzonderingen op beleid behandeld, hoe vaak worden beveiligingsassessments uitgevoerd, en hoe wordt gerapporteerd richting bestuur en toezichthouders? Deze processen moeten worden vastgelegd in procedures en geïntegreerd in de reguliere governance- en changeprocessen. Geautomatiseerde beveiligingsrapportages, dashboards en alerts zorgen ervoor dat beveiliging niet wordt vergeten in de dagelijkse operatie, maar continu wordt bewaakt en verbeterd. Door beveiliging expliciet te koppelen aan risicomanagement en security operations ontstaat een proactieve cultuur waarin bedreigingen snel worden gesignaleerd en opgelost, in plaats van reactief tijdens audits of na incidenten.

Monitoring, rapportage en continue verbetering

Gebruik PowerShell-script index.ps1 (functie Invoke-Monitoring) – Geeft een overzicht van de beveiligingsstatus van de Azure-omgeving, inclusief policy compliance, secure score en belangrijke beveiligingsindicatoren..

Beveiliging is geen eenmalige activiteit, maar vereist continue monitoring en rapportage om te verifiëren dat de Azure-omgeving blijft voldoen aan de gestelde eisen en beschermd blijft tegen bedreigingen. Azure Policy en Policy Insights leveren gedetailleerde informatie over de mate waarin resources voldoen aan toegewezen beleidsregels, met specifieke rapportages per policy, resource type, subscription en resource group. Microsoft Defender for Cloud biedt secure score als samenvattende indicator en gedetailleerde aanbevelingen per resource en security control. Door deze gegevens te combineren in dashboards (bijvoorbeeld met Azure Monitor workbooks of Power BI) ontstaat een actueel beeld van de beveiligingsstatus per domein, workload en eigenaar. Voor bestuur en directie zijn vooral trendinformatie, grote afwijkingen en de relatie met risico's relevant; voor operationele teams zijn detailoverzichten van niet-conforme resources en toegewezen acties essentieel.

Effectieve beveiligingsrapportage gaat verder dan het simpelweg verzamelen van technische metingen. Het moet ook de context bieden die nodig is voor bestuurlijke besluitvorming en verantwoording richting toezichthouders. Dat betekent dat rapportages niet alleen laten zien hoe de huidige situatie is, maar ook welke verbeteringen in de afgelopen periode zijn doorgevoerd, welke rest-risico's bewust zijn geaccepteerd met motivatie, en welke acties nog openstaan om beveiliging verder te verbeteren. Voor Nederlandse overheidsorganisaties is het verstandig om een vaste rapportagecyclus af te spreken, bijvoorbeeld kwartaalrapportages over de ontwikkeling van secure score, aantallen niet-conforme resources, doorgevoerde verbeteracties en openstaande risico's. Deze rapportages worden besproken in governance-overleggen met CISO, security officer en bestuur, en vormen de basis voor besluitvorming over aanvullende investeringen, prioritering van verbeteracties of acceptatie van rest-risico's.

Continue verbetering van beveiliging vereist een gestructureerde aanpak waarbij bevindingen uit monitoring worden vertaald naar concrete verbeteracties. Niet-conforme resources moeten worden geanalyseerd: wat is de oorzaak (bijvoorbeeld ontbrekende kennis, technische beperkingen, of bewuste afwijking), wat is de impact op risico's en beveiliging, en wat is de beste remediatiestrategie? Sommige afwijkingen kunnen automatisch worden opgelost via remediation tasks of deployIfNotExists policies, andere vereisen handmatige interventie of procesaanpassingen. Belangrijk is dat verbeteracties worden voorzien van een eigenaar, deadline en prioriteit, en dat de voortgang wordt gemonitord totdat de afwijking is opgelost. Door dit proces expliciet te maken en te koppelen aan het bredere risicomanagement- en changeproces, ontstaat een transparante keten van bevinding → analyse → maatregel → verificatie → rest-risico. Dit sluit rechtstreeks aan bij de eisen uit BIO, ISO 27001 en NIS2 rond continue verbetering en aantoonbaarheid van beheersmaatregelen.

Governance en relatie met andere beveiligingsartikelen

Beveiliging in Azure is geen geïsoleerde discipline, maar moet worden ingebed in een breder governance-raamwerk dat enterprise architectuur, risicomanagement, security operations en change management met elkaar verbindt. Zonder duidelijke governance ontstaat het risico dat beveiliging wordt gezien als een lastige verplichting die vooral tijdens audits belangrijk is, in plaats van een integraal onderdeel van de cloudstrategie. Een effectief governance-model benoemt daarom expliciete rollen en verantwoordelijkheden: wie is eindverantwoordelijk voor beveiliging (vaak de CISO of security officer), wie beheert Azure Policies en beveiligingsconfiguraties (vaak een cloud architect of security architect), wie voert beveiligingsassessments uit (vaak interne audit of een gespecialiseerd team), en wie rapporteert richting bestuur en toezichthouders? Deze rollen worden vertaald naar concrete taken en processen die vastgelegd worden in governance-documenten, zodat zij organisatiebreed herkenbaar zijn.

Dit index-artikel moet expliciet worden gelezen in samenhang met andere beveiligingsartikelen binnen de 'Nederlandse Baseline voor Veilige Cloud'. Het artikel over cloud-native architectuur beschrijft hoe beveiliging wordt toegepast in moderne container- en microservices-omgevingen. Het artikel over cryptografische flexibiliteit gaat dieper in op de implementatie van moderne cryptografie en voorbereiding op post-quantum cryptografie. Het artikel over identiteitsgerichte beveiliging beschrijft hoe Zero Trust principes worden toegepast op basis van identiteit en context. Het artikel over HSM-configuratie behandelt het gebruik van Hardware Security Modules voor kritieke cryptografische operaties. Het artikel over voorbereiding op opkomende bedreigingen beschrijft hoe organisaties proactief kunnen anticiperen op nieuwe beveiligingsrisico's. Samen vormen deze artikelen een compleet beeld: dit index-artikel schetst de overkoepelende lijnen en het governance-kader, terwijl de deelartikelen verdieping bieden op specifieke beveiligingsaspecten en technische implementaties.

Voor auditors en toezichthouders is vooral van belang dat de samenhang tussen beleid, technische configuraties, monitoring en remediatie aantoonbaar is. Dat betekent dat u niet alleen beveiligingsdocumenten en procesbeschrijvingen beschikbaar heeft, maar ook concreet kunt laten zien welke Azure Policies zijn toegepast, hoe resources zijn geconfigureerd, hoe vaak beveiligingsassessments worden uitgevoerd en welke verbeteracties zijn ondernomen. De in dit domein beschreven PowerShell-scripts – waaronder het index-script bij dit artikel en de scripts voor specifieke beveiligingsaspecten – helpen om deze informatie snel en reproduceerbaar te verzamelen. Door hun output te koppelen aan dashboards en rapportages wordt beveiliging niet beperkt tot papieren documenten, maar ondersteund door actuele operationele data die aantoonbaar maakt dat het beveiligingsraamwerk daadwerkelijk wordt nageleefd, gemonitord en verbeterd. Dit vormt de basis voor vertrouwen bij toezichthouders en het bestuur, en helpt om beveiliging te positioneren als een proactieve, waarde-toevoegende activiteit in plaats van een reactieve, lastige verplichting.

Remediatie en volwassenwording van Azure beveiliging

Gebruik PowerShell-script index.ps1 (functie Invoke-Remediation) – Genereert overzichten van beveiligingshiaten en biedt handvatten voor gerichte verbeteracties om de beveiligingsvolwassenheid te verhogen..

Remediatie binnen het Azure beveiligingsdomein betekent in de praktijk dat u gaten dicht tussen de gewenste beveiligingsstatus en de werkelijkheid. In veel organisaties bestaan al wel beleidsdocumenten over informatiebeveiliging, maar ontbreekt concrete vastlegging van hoe deze worden vertaald naar Azure-configuraties, welke policies daadwerkelijk zijn toegepast, en hoe beveiliging wordt gemonitord en verbeterd. Het index-script ondersteunt remediatie door automatisch te inventariseren waar beveiligingsvereisten niet worden nageleefd, waar belangrijke policies ontbreken, waar secure score onder de gestelde drempelwaarden ligt, en waar documentatie verouderd of incompleet is. Op basis van deze inventarisatie kunnen gerichte verbeteracties worden gepland en uitgevoerd, waarbij prioriteit wordt gegeven aan de meest kritieke hiaten die de grootste impact hebben op risico's en wettelijke naleving.

Een volwassen Azure beveiligingsraamwerk groeit stap voor stap door continue verbetering. Na elke monitoringsronde worden de belangrijkste verbeterpunten vastgelegd, van een eigenaar voorzien en ingepland in het reguliere change- of verbeterportfolio. Denk aan het implementeren van ontbrekende Azure Policies, het activeren van aanvullende Defender for Cloud-beveiligingsstandaarden, het verbeteren van beveiligingsrapportages en dashboards, het actualiseren van beveiligingsdocumentatie, of het invoeren van geautomatiseerde remediation workflows. Door de resultaten van het index-script te combineren met de uitkomsten van gespecialiseerde scripts voor specifieke beveiligingsaspecten ontstaat een integraal beeld van de voortgang. Uiteindelijk wordt Azure beveiliging zo niet alleen een set van technische configuraties en processen, maar een aantoonbaar beheerst en verantwoord ingericht raamwerk dat continu wordt geëvalueerd en verbeterd om te blijven voldoen aan veranderende eisen, dreigingen en regelgeving.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Overzichtsmonitoring en remediatie voor Azure Security-status .DESCRIPTION Geeft een samenvattend beeld van de beveiligingsstatus van de Azure-omgeving, inclusief policy compliance, secure score en belangrijke beveiligingsindicatoren. Ondersteunt het gericht identificeren en dichten van beveiligingshiaten. .NOTES Filename: index.ps1 Author: Nederlandse Baseline voor Veilige Cloud Created: 2025-01-27 Last Modified: 2025-01-27 Version: 1.0 Related JSON: content/azure/security/index.json .LINK https://github.com/[org]/m365-tenant-best-practise .EXAMPLE .\index.ps1 -Monitoring Toont een samenvattend overzicht van Azure beveiligingsstatus en belangrijke indicatoren. .EXAMPLE .\index.ps1 -Remediation Genereert een overzicht van beveiligingshiaten en biedt handvatten voor verbeteracties. #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Resources, Az.Security, Az.KeyVault, Az.Network [CmdletBinding()] param( [Parameter(HelpMessage = "Voer een samenvattende monitoring uit van de Azure beveiligingsstatus.")] [switch]$Monitoring, [Parameter(HelpMessage = "Genereer remediatie-overzichten en handvatten voor beveiligingsverbeteringen.")] [switch]$Remediation, [Parameter(HelpMessage = "Toon welke acties zouden worden uitgevoerd zonder daadwerkelijk te wijzigen.")] [switch]$WhatIf ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' function Get-RepositoryRoot { <# .SYNOPSIS Bepaalt de rootmap van de repository op basis van de locatie van dit script. .OUTPUTS String met pad naar repository-root. #> [CmdletBinding()] param() $root = Resolve-Path (Join-Path $PSScriptRoot "..\..\..") -ErrorAction SilentlyContinue if (-not $root) { throw "Kon de repository-root niet bepalen op basis van PSScriptRoot: $PSScriptRoot" } return $root.Path } function Get-SecurityInventory { <# .SYNOPSIS Stelt een overzicht op van Azure beveiligingsgerelateerde JSON- en PS1-bestanden. .OUTPUTS PSCustomObject met aantallen en details. #> [CmdletBinding()] param() $repoRoot = Get-RepositoryRoot $contentRoot = Join-Path $repoRoot "content\azure\security" $codeRoot = Join-Path $repoRoot "code\azure\security" $jsonFiles = @() if (Test-Path -Path $contentRoot) { $jsonFiles = Get-ChildItem -Path $contentRoot -Filter "*.json" -File -ErrorAction SilentlyContinue } $ps1Files = @() if (Test-Path -Path $codeRoot) { $ps1Files = Get-ChildItem -Path $codeRoot -Filter "*.ps1" -File -ErrorAction SilentlyContinue } $byName = @{} foreach ($json in $jsonFiles) { $base = [System.IO.Path]::GetFileNameWithoutExtension($json.Name) if (-not $byName.ContainsKey($base)) { $byName[$base] = [pscustomobject]@{ Name = $base JsonPath = $null JsonUpdated = $null ScriptPath = $null ScriptUpdated= $null } } $entry = $byName[$base] $entry.JsonPath = $json.FullName $entry.JsonUpdated = $json.LastWriteTime $byName[$base] = $entry } foreach ($ps1 in $ps1Files) { $base = [System.IO.Path]::GetFileNameWithoutExtension($ps1.Name) if (-not $byName.ContainsKey($base)) { $byName[$base] = [pscustomobject]@{ Name = $base JsonPath = $null JsonUpdated = $null ScriptPath = $null ScriptUpdated= $null } } $entry = $byName[$base] $entry.ScriptPath = $ps1.FullName $entry.ScriptUpdated = $ps1.LastWriteTime $byName[$base] = $entry } $items = $byName.Values | Sort-Object Name $missingJson = $items | Where-Object { -not $_.JsonPath } $missingScript = $items | Where-Object { -not $_.ScriptPath } return [pscustomobject]@{ RepositoryRoot = $repoRoot Items = $items MissingJson = $missingJson MissingScripts = $missingScript TotalControls = $items.Count WithJsonAndPs1 = ($items | Where-Object { $_.JsonPath -and $_.ScriptPath }).Count } } function Test-AzureConnection { <# .SYNOPSIS Controleert of er een actieve Azure-verbinding bestaat. .OUTPUTS Boolean: $true als verbonden, anders $false #> [CmdletBinding()] param() try { $context = Get-AzContext -ErrorAction Stop if ($context) { Write-Verbose "Azure-verbinding actief: $($context.Account.Id) in tenant $($context.Tenant.Id)" return $true } return $false } catch { Write-Verbose "Geen actieve Azure-verbinding: $_" return $false } } function Get-AzureSecurityStatus { <# .SYNOPSIS Inventariseert de beveiligingsstatus van de Azure-omgeving. .OUTPUTS PSCustomObject met beveiligingsstatus. #> [CmdletBinding()] param() $isConnected = Test-AzureConnection if (-not $isConnected) { Write-Warning "Geen actieve Azure-verbinding. Alleen repository-inventarisatie wordt uitgevoerd." return [pscustomobject]@{ AzureConnected = $false Subscriptions = 0 PolicyAssignments = 0 NonCompliantResources = 0 SecureScore = $null DefenderEnabled = $false } } try { Write-Verbose "Inventariseren van Azure beveiligingsstatus..." $subscriptions = @() try { $subscriptions = Get-AzSubscription -ErrorAction SilentlyContinue | Where-Object { $_.State -eq 'Enabled' } } catch { Write-Verbose "Kon subscriptions niet ophalen: $_" } $totalPolicyAssignments = 0 $totalNonCompliant = 0 $secureScoreAverage = $null $secureScores = @() $defenderEnabled = $false foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id -ErrorAction SilentlyContinue | Out-Null try { # Haal policy assignments op $assignments = Get-AzPolicyAssignment -ErrorAction SilentlyContinue $totalPolicyAssignments += $assignments.Count # Haal policy compliance summary op $summary = Get-AzPolicyStateSummary -ErrorAction SilentlyContinue if ($summary -and $summary.Results) { foreach ($r in $summary.Results) { if ($r.NonCompliantResources) { $totalNonCompliant += [int]$r.NonCompliantResources } } } } catch { Write-Verbose "Kon policy-compliance voor subscription '$($sub.Name)' niet ophalen: $_" } try { # Probeer secure score op te halen (vereist Defender for Cloud) $scores = Get-AzSecuritySecureScore -ErrorAction SilentlyContinue if ($scores) { $defenderEnabled = $true foreach ($s in $scores) { if ($s.Properties.Percentage) { $secureScores += [double]$s.Properties.Percentage } } } } catch { Write-Verbose "Kon secure score voor subscription '$($sub.Name)' niet ophalen (mogelijk Defender for Cloud niet actief): $_" } } if ($secureScores.Count -gt 0) { $secureScoreAverage = [math]::Round(($secureScores | Measure-Object -Average).Average * 100, 1) } return [pscustomobject]@{ AzureConnected = $true Subscriptions = $subscriptions.Count PolicyAssignments = $totalPolicyAssignments NonCompliantResources = $totalNonCompliant SecureScore = $secureScoreAverage DefenderEnabled = $defenderEnabled } } catch { Write-Warning "Fout bij inventariseren van Azure beveiligingsstatus: $_" return [pscustomobject]@{ AzureConnected = $false Subscriptions = 0 PolicyAssignments = 0 NonCompliantResources = 0 SecureScore = $null DefenderEnabled = $false } } } function Invoke-Monitoring { <# .SYNOPSIS Voert een samenvattende monitoring uit van Azure beveiligingsstatus. .OUTPUTS PSCustomObject met overzichtsresultaten. #> [CmdletBinding()] param() Write-Host "`nMonitoring: Azure Security overzicht" -ForegroundColor Yellow Write-Host "=========================================" -ForegroundColor Yellow $inventory = Get-SecurityInventory $azureStatus = Get-AzureSecurityStatus Write-Host "`nRepository-root: $($inventory.RepositoryRoot)" -ForegroundColor Cyan Write-Host "Totaal Azure security controls (JSON/PS1-combinaties): $($inventory.TotalControls)" -ForegroundColor Cyan Write-Host "Volledig gekoppeld (JSON + PS1): $($inventory.WithJsonAndPs1)" -ForegroundColor Cyan if ($azureStatus.AzureConnected) { Write-Host "`nAzure beveiligingsstatus:" -ForegroundColor Cyan Write-Host " Actieve subscriptions: $($azureStatus.Subscriptions)" -ForegroundColor Gray Write-Host " Policy assignments: $($azureStatus.PolicyAssignments)" -ForegroundColor Gray Write-Host " Niet-conforme resources: $($azureStatus.NonCompliantResources)" -ForegroundColor $(if ($azureStatus.NonCompliantResources -gt 0) { "Yellow" } else { "Gray" }) if ($null -ne $azureStatus.SecureScore) { Write-Host " Gemiddelde secure score: $($azureStatus.SecureScore)%" -ForegroundColor $(if ($azureStatus.SecureScore -lt 60) { "Yellow" } elseif ($azureStatus.SecureScore -lt 80) { "Cyan" } else { "Green" }) } else { Write-Host " Gemiddelde secure score: n.v.t. (Defender for Cloud mogelijk niet actief)" -ForegroundColor Yellow } if ($azureStatus.DefenderEnabled) { Write-Host " Microsoft Defender for Cloud: Ingeschakeld" -ForegroundColor Green } else { Write-Host " Microsoft Defender for Cloud: Niet ingeschakeld" -ForegroundColor Yellow } } else { Write-Host "`n⚠️ Geen actieve Azure-verbinding. Verbind met Connect-AzAccount voor volledige beveiligingsmonitoring." -ForegroundColor Yellow } if ($inventory.MissingJson.Count -gt 0) { Write-Host "`n❌ Ontbrekende JSON voor de volgende scripts:" -ForegroundColor Red foreach ($item in $inventory.MissingJson) { Write-Host " - $($item.Name) (script: $($item.ScriptPath))" -ForegroundColor Red } } if ($inventory.MissingScripts.Count -gt 0) { Write-Host "`n❌ Ontbrekende PS1-scripts voor de volgende JSON-bestanden:" -ForegroundColor Red foreach ($item in $inventory.MissingScripts) { Write-Host " - $($item.Name) (json: $($item.JsonPath))" -ForegroundColor Red } } if (($inventory.MissingJson.Count -eq 0) -and ($inventory.MissingScripts.Count -eq 0)) { Write-Host "`n✅ Alle Azure security-artikelen hebben zowel JSON als PS1." -ForegroundColor Green } else { Write-Host "`n⚠️ Er zijn nog hiaten in de JSON/PS1-koppeling voor Azure security." -ForegroundColor Yellow Write-Host " Gebruik -Remediation om gericht met deze hiaten aan de slag te gaan." -ForegroundColor Yellow } # Beveiliging evaluatie $isSecure = $true if ($azureStatus.AzureConnected) { if ($azureStatus.NonCompliantResources -gt 0) { $isSecure = $false Write-Host "`n⚠️ Er zijn niet-conforme resources gedetecteerd. Onderzoek deze via Azure Policy of Defender for Cloud." -ForegroundColor Yellow } if ($null -ne $azureStatus.SecureScore -and $azureStatus.SecureScore -lt 60) { $isSecure = $false Write-Host "⚠️ Secure score ligt onder 60%. Prioriteer verbeteracties op basis van Defender for Cloud-aanbevelingen." -ForegroundColor Yellow } if ($azureStatus.PolicyAssignments -eq 0) { Write-Host "⚠️ Geen policy assignments gevonden. Overweeg het implementeren van Azure Policies voor beveiligingscontrole." -ForegroundColor Yellow } if (-not $azureStatus.DefenderEnabled) { Write-Host "⚠️ Microsoft Defender for Cloud is niet ingeschakeld. Overweeg activering voor geavanceerde threat protection." -ForegroundColor Yellow } } return [pscustomobject]@{ Inventory = $inventory AzureStatus = $azureStatus IsSecure = $isSecure } } function Invoke-Remediation { <# .SYNOPSIS Ondersteunt remediatie door beveiligingshiaten inzichtelijk te maken en handvatten te bieden voor verbeteracties. .OUTPUTS PSCustomObject met remediatieadvies. #> [CmdletBinding()] param() Write-Host "`nRemediatie: Azure Security verbetering" -ForegroundColor Yellow Write-Host "==========================================" -ForegroundColor Yellow $inventory = Get-SecurityInventory $azureStatus = Get-AzureSecurityStatus $repoRoot = $inventory.RepositoryRoot $actions = @() Write-Host "`nBeveiligingshiaten analyse:" -ForegroundColor Cyan if ($azureStatus.AzureConnected) { if ($azureStatus.NonCompliantResources -gt 0) { $action = [pscustomobject]@{ Priority = "High" Issue = "Niet-conforme resources gedetecteerd" Count = $azureStatus.NonCompliantResources Recommendation = "Gebruik Azure Policy compliance-dashboards om specifieke niet-conforme resources te identificeren en remediatie uit te voeren." } $actions += $action Write-Host " ❌ $($action.Issue): $($action.Count) resources" -ForegroundColor Red Write-Host " → $($action.Recommendation)" -ForegroundColor Gray } if ($null -ne $azureStatus.SecureScore -and $azureStatus.SecureScore -lt 60) { $action = [pscustomobject]@{ Priority = "High" Issue = "Secure score onder drempelwaarde" Count = $azureStatus.SecureScore Recommendation = "Activeer Microsoft Defender for Cloud beveiligingsstandaarden en prioriteer aanbevelingen met hoge impact." } $actions += $action Write-Host " ⚠️ $($action.Issue): $($action.Count)%" -ForegroundColor Yellow Write-Host " → $($action.Recommendation)" -ForegroundColor Gray } elseif ($null -eq $azureStatus.SecureScore) { $action = [pscustomobject]@{ Priority = "Medium" Issue = "Secure score niet beschikbaar" Count = 0 Recommendation = "Controleer of Microsoft Defender for Cloud is geactiveerd en beveiligingsstandaarden zijn ingeschakeld." } $actions += $action Write-Host " ⚠️ $($action.Issue)" -ForegroundColor Yellow Write-Host " → $($action.Recommendation)" -ForegroundColor Gray } if ($azureStatus.PolicyAssignments -eq 0) { $action = [pscustomobject]@{ Priority = "Medium" Issue = "Geen policy assignments gevonden" Count = 0 Recommendation = "Implementeer Azure Policy initiatieven voor beveiligingscontroles (bijv. Azure Security Benchmark, BIO baseline)." } $actions += $action Write-Host " ⚠️ $($action.Issue)" -ForegroundColor Yellow Write-Host " → $($action.Recommendation)" -ForegroundColor Gray } if (-not $azureStatus.DefenderEnabled) { $action = [pscustomobject]@{ Priority = "High" Issue = "Microsoft Defender for Cloud niet ingeschakeld" Count = 0 Recommendation = "Activeer Microsoft Defender for Cloud voor geavanceerde threat detection en protection." } $actions += $action Write-Host " ⚠️ $($action.Issue)" -ForegroundColor Yellow Write-Host " → $($action.Recommendation)" -ForegroundColor Gray } } else { Write-Host " ⚠️ Verbind met Azure voor gedetailleerde beveiligingsanalyse" -ForegroundColor Yellow } if ($inventory.MissingJson.Count -gt 0 -or $inventory.MissingScripts.Count -gt 0) { Write-Host "`nRepository-hiaten:" -ForegroundColor Cyan Write-Host (" Items zonder JSON: {0}" -f $inventory.MissingJson.Count) -ForegroundColor Cyan Write-Host (" Items zonder script: {0}" -f $inventory.MissingScripts.Count) -ForegroundColor Cyan Write-Host " → Werk deze hiaten bij om het beveiligingsraamwerk compleet te maken." -ForegroundColor Gray } Write-Host "`nVolgende stappen:" -ForegroundColor Cyan Write-Host "1. Analyseer niet-conforme resources via Azure Policy compliance-dashboards" -ForegroundColor White Write-Host "2. Implementeer ontbrekende Azure Policies en initiatieven" -ForegroundColor White Write-Host "3. Activeer en configureer Microsoft Defender for Cloud" -ForegroundColor White Write-Host "4. Stel beveiligingsdashboards en rapportages op" -ForegroundColor White Write-Host "5. Voer regelmatige beveiligingsassessments uit" -ForegroundColor White return [pscustomobject]@{ Actions = $actions Inventory = $inventory AzureStatus = $azureStatus } } try { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Azure Security Overzichtsmonitor" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan if ($Monitoring) { $result = Invoke-Monitoring if ($result.IsSecure) { exit 0 } else { exit 1 } } elseif ($Remediation) { Invoke-Remediation | Out-Null } else { # Standaard: compacte beveiligings check via monitoring $result = Invoke-Monitoring if ($result.IsSecure -and ($result.Inventory.MissingJson.Count -eq 0) -and ($result.Inventory.MissingScripts.Count -eq 0)) { Write-Host "`n✅ SECURE" -ForegroundColor Green exit 0 } else { Write-Host "`n❌ SECURITY ISSUES DETECTED" -ForegroundColor Red Write-Host "Run met -Monitoring voor gedetailleerde rapportage" -ForegroundColor Yellow Write-Host "Run met -Remediation voor gericht verbeteradvies" -ForegroundColor Yellow exit 1 } } } catch { Write-Error "Er is een fout opgetreden in index.ps1: $_" exit 2 } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder een volwassen beveiligingsraamwerk in Azure ontstaat het risico dat organisaties niet kunnen aantonen dat zij voldoen aan BIO, NIS2 en ISO 27001. Dit kan leiden tot datalekken, cyberaanvallen, boetes, verplichte herstelmaatregelen, reputatieschade, verlies van vertrouwen bij burgers en bestuurlijke aansprakelijkheid bij incidenten.

Management Samenvatting

Azure beveiliging vereist een samenhangend raamwerk dat meerdere wettelijke kaders (BIO, NIS2, ISO 27001) integreert en vertaalt naar concrete Azure-configuraties. Dit index-artikel fungeert als centrale verzamelplaats voor beveiligingsartikelen en beschrijft governance, implementatie, monitoring en continue verbetering van beveiliging in Azure-omgevingen.