💼 Management Samenvatting
Deze beveiligingsregel waarborgt de correcte configuratie van blob soft delete en beschermt tegen permanente gegevensverliesrisico's.
Aanbeveling
IMPLEMENTEER BLOB SOFT DELETE
Risico zonder
High
Risk Score
8/10
Implementatie
1u (tech: 0.5u)
Van toepassing op:
✓ Azure opslag
Deze instelling is essentieel voor het handhaven van een veilige opslagomgeving en voorkomt permanente gegevensverlies door het afdwingen van beveiligingsbest practices. Zonder blob soft delete kunnen verwijderde of overschreven blobs niet worden hersteld, wat leidt tot onherstelbaar gegevensverlies bij ransomware-aanvallen, onbedoelde verwijderingen of menselijke fouten.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.opslag
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.opslag
Implementatie
Deze regel past de benodigde beveiligingsinstellingen toe via Azure Policy of handmatige configuratie om opslagaccounts te beschermen volgens actuele beveiligingsframeworks zoals CIS Benchmarks, BIO en ISO 27001. Blob soft delete biedt een extra beschermingslaag door verwijderde en overschreven blobs tijdelijk te bewaren, waardoor herstel mogelijk is binnen de ingestelde retentieperiode.
Vereisten
Voor het implementeren van blob soft delete zijn specifieke vereisten van toepassing die organisaties moeten begrijpen voordat zij deze beveiligingsmaatregel activeren. De primaire vereiste is de beschikbaarheid van een Azure Storage-account, ongeacht het prestatieniveau of de replicatietype. Blob soft delete is beschikbaar voor alle opslagaccounts, inclusief General Purpose v2, Blob Storage-accounts en Premium Block Blob Storage-accounts. Het maakt niet uit of het opslagaccount gebruik maakt van lokaal redundante opslag (LRS), zone-redundante opslag (ZRS), geografisch redundante opslag (GRS) of geografisch zone-redundante opslag (GZRS), de functionaliteit werkt consistent across alle replicatietypen. Naast de basisvereiste van een opslagaccount, moeten organisaties rekening houden met de benodigde machtigingen voor configuratie. Het activeren van blob soft delete vereist ten minste de rol van Storage Account Contributor of een aangepaste rol met de machtiging Microsoft.Storage/storageAccounts/blobServices/write. Voor organisaties die Azure Policy gebruiken om blob soft delete centraal te beheren, zijn aanvullende machtigingen vereist voor het maken en toewijzen van beleidsregels. Deze machtigingsvereisten zijn essentieel om te waarborgen dat alleen geautoriseerd personeel wijzigingen kan aanbrengen aan deze kritieke beveiligingsinstelling. Een belangrijke overweging bij de implementatie is de retentieperiode die organisaties willen instellen. Azure ondersteunt retentieperioden tussen één en 365 dagen, waarbij de standaardwaarde zeven dagen bedraagt. Organisaties moeten deze periode zorgvuldig bepalen op basis van hun bedrijfsvereisten, compliance-verplichtingen en de verwachte tijd tussen een incident en detectie. Langere retentieperioden bieden meer bescherming maar resulteren ook in hogere opslagkosten, aangezien verwijderde blobs gedurende de retentieperiode blijven bestaan en opslagruimte in beslag nemen. Voor organisaties die werken met grote hoeveelheden gegevens of frequente verwijderingen, is het raadzaam om de kostenimpact te evalueren voordat een lange retentieperiode wordt ingesteld. De opslagkosten voor soft-deleted blobs worden berekend tegen hetzelfde tarief als actieve blobs, wat betekent dat organisaties moeten balanceren tussen bescherming en kostenbeheersing. Daarnaast moeten organisaties rekening houden met de beschikbaarheid van monitoring- en hersteltools, aangezien effectief gebruik van blob soft delete afhankelijk is van de mogelijkheid om snel te detecteren wanneer herstel nodig is en om het herstelproces efficiënt uit te voeren.
Monitoring
Gebruik PowerShell-script blob-soft-delete-enabled.ps1 (functie Invoke-Monitoring) – Controleren.
Effectieve monitoring van blob soft delete-configuratie is essentieel om te waarborgen dat deze kritieke beveiligingsmaatregel correct is geïmplementeerd en actief blijft. Organisaties moeten regelmatig controleren of blob soft delete is ingeschakeld voor alle relevante opslagaccounts en of de retentieperiode voldoet aan de organisatorische en compliance-vereisten. Het monitoringproces omvat verschillende aspecten die systematisch moeten worden gecontroleerd. De primaire monitoringactiviteit betreft het verifiëren van de status van blob soft delete voor elk opslagaccount binnen de organisatie. Dit omvat het controleren of de functie daadwerkelijk is ingeschakeld, wat de huidige retentieperiode is, en of deze instellingen overeenkomen met het beveiligingsbeleid van de organisatie. Voor grote organisaties met tientallen of honderden opslagaccounts is geautomatiseerde monitoring via PowerShell-scripts of Azure Policy essentieel om te voorkomen dat accounts over het hoofd worden gezien. Naast het controleren van de configuratiestatus, moeten organisaties ook monitoren op daadwerkelijke gebruik van de soft delete-functionaliteit. Dit omvat het bijhouden van het aantal soft-deleted blobs, de totale opslagruimte die wordt gebruikt door soft-deleted blobs, en trends in verwijderingsactiviteiten. Deze metriekken kunnen waardevolle inzichten bieden in de effectiviteit van de beveiligingsmaatregel en kunnen helpen bij het identificeren van ongebruikelijke patronen die mogelijk wijzen op beveiligingsincidenten of operationele problemen. Voor organisaties die Azure Monitor gebruiken, kunnen aangepaste metriekken en waarschuwingen worden geconfigureerd om proactief te worden gewaarschuwd wanneer blob soft delete wordt uitgeschakeld of wanneer de retentieperiode wordt gewijzigd. Deze waarschuwingen zijn cruciaal voor het handhaven van beveiligingsnaleving en het voorkomen van onbedoelde configuratiewijzigingen die de bescherming kunnen verminderen. Daarnaast moeten organisaties regelmatig audits uitvoeren om te verifiëren dat alle nieuwe opslagaccounts automatisch blob soft delete hebben ingeschakeld, hetzij via Azure Policy, hetzij via organisatorische procedures. Het monitoringproces moet ook aandacht besteden aan de kostenaspecten van blob soft delete. Omdat soft-deleted blobs opslagruimte in beslag nemen tegen hetzelfde tarief als actieve blobs, moeten organisaties regelmatig evalueren of de huidige retentieperiode kosteneffectief is en of aanpassingen nodig zijn. Monitoringtools kunnen helpen bij het identificeren van opslagaccounts met ongebruikelijk hoge volumes aan soft-deleted blobs, wat kan wijzen op operationele problemen of de noodzaak voor aanpassing van de retentieperiode.
Compliance en Auditing
Blob soft delete speelt een cruciale rol in het voldoen aan verschillende beveiligings- en compliance-frameworks die van toepassing zijn op Nederlandse overheidsorganisaties en organisaties die werken met gevoelige gegevens. De implementatie van blob soft delete draagt direct bij aan naleving van meerdere erkende standaarden en frameworks, waaronder de CIS Microsoft Azure Foundations Benchmark, de Baseline Informatiebeveiliging Overheid (BIO), en de ISO 27001:2022 norm. Binnen de CIS Microsoft Azure Foundations Benchmark wordt blob soft delete expliciet genoemd in controle 3.8, die vereist dat soft delete is ingeschakeld voor blob-opslag. Deze controle valt onder niveau 2 (L2) van de benchmark, wat betekent dat het wordt aanbevolen voor organisaties die een hoger beveiligingsniveau willen bereiken. De CIS Benchmark wordt wereldwijd erkend als een best practice framework en wordt vaak gebruikt als basis voor beveiligingsaudits en certificeringen. Voor Nederlandse organisaties die werken met overheidsgegevens of gevoelige informatie, is naleving van CIS-controles vaak een vereiste voor het verkrijgen van contracten of het voldoen aan sectorale regelgeving. De Baseline Informatiebeveiliging Overheid (BIO) bevat specifieke controles die betrekking hebben op back-up- en herstelprocedures. Controle 12.03 van de BIO vereist dat organisaties passende back-up- en herstelmaatregelen implementeren om gegevensverlies te voorkomen en herstel mogelijk te maken na incidenten. Blob soft delete voldoet aan deze vereiste door een automatisch herstelmechanisme te bieden voor verwijderde of overschreven blobs, zonder dat organisaties afhankelijk zijn van traditionele back-upoplossingen die mogelijk complexer zijn om te beheren of die langere hersteltijden hebben. Voor Nederlandse overheidsorganisaties is naleving van de BIO verplicht, wat betekent dat blob soft delete niet alleen een best practice is, maar een wettelijke vereiste voor organisaties die onder de BIO vallen. De ISO 27001:2022 norm bevat in controle A.8.13 specifieke vereisten voor informatieback-ups. Deze controle vereist dat organisaties regelmatige back-ups maken van informatie, software en systemen, en dat deze back-ups regelmatig worden getest om te waarborgen dat herstel mogelijk is. Blob soft delete voldoet aan deze vereiste door continue bescherming te bieden tegen gegevensverlies, zonder de noodzaak voor geplande back-uptaken. Bovendien maakt de functionaliteit het testen van herstelprocedures eenvoudiger, omdat organisaties op elk moment kunnen testen of verwijderde blobs kunnen worden hersteld zonder complexe back-up- en herstelprocessen te doorlopen. Voor organisaties die onder de Algemene Verordening Gegevensbescherming (AVG) vallen, kan blob soft delete ook relevant zijn voor het voldoen aan de vereisten voor gegevensintegriteit en beschikbaarheid. Hoewel de AVG niet expliciet blob soft delete vereist, draagt de functionaliteit bij aan het waarborgen dat persoonsgegevens beschikbaar blijven en niet onbedoeld verloren gaan, wat belangrijke aspecten zijn van AVG-naleving. Organisaties moeten echter ook rekening houden met de retentieperiode van soft-deleted blobs in relatie tot AVG-vereisten voor gegevensminimalisatie en het recht op verwijdering. Bij het voorbereiden van compliance-audits moeten organisaties kunnen aantonen dat blob soft delete is ingeschakeld voor alle relevante opslagaccounts, dat de retentieperiode voldoet aan de organisatorische en compliance-vereisten, en dat er processen zijn geïmplementeerd voor regelmatige monitoring en verificatie van de configuratie. Documentatie van de implementatie, configuratie en monitoringprocessen is essentieel voor het succesvol doorstaan van audits en het aantonen van continue naleving.
Remediatie
Gebruik PowerShell-script blob-soft-delete-enabled.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer monitoring aangeeft dat blob soft delete niet is ingeschakeld voor een opslagaccount, of wanneer de retentieperiode niet voldoet aan de organisatorische vereisten, moet onmiddellijk remediatie worden uitgevoerd om de beveiligingspostuur te herstellen. Het remediatieproces omvat verschillende stappen die systematisch moeten worden uitgevoerd om te waarborgen dat de configuratie correct wordt toegepast en dat er geen negatieve impact is op bestaande workloads of gegevens. De eerste stap in het remediatieproces is het identificeren van alle opslagaccounts waar blob soft delete niet is ingeschakeld of waar de configuratie niet voldoet aan de vereisten. Dit kan worden gedaan via het monitoring script dat automatisch alle opslagaccounts controleert en rapporteert over hun configuratiestatus. Voor grote organisaties met veel opslagaccounts is het raadzaam om een prioritering aan te brengen op basis van de gevoeligheid van de gegevens die in elk account worden opgeslagen, waarbij accounts met gevoelige of kritieke gegevens de hoogste prioriteit krijgen. Zodra de accounts zijn geïdentificeerd, kan het remediatiescript worden uitgevoerd om blob soft delete automatisch in te schakelen. Het script configureert niet alleen de functionaliteit, maar stelt ook een passende retentieperiode in op basis van de organisatorische vereisten. Voor de meeste organisaties is een retentieperiode van 30 tot 90 dagen geschikt, waarbij 30 dagen een goede balans biedt tussen bescherming en kostenbeheersing, terwijl 90 dagen meer bescherming biedt maar ook hogere opslagkosten met zich meebrengt. Na het uitvoeren van het remediatiescript is verificatie essentieel om te bevestigen dat de configuratie correct is toegepast. Dit omvat het opnieuw uitvoeren van het monitoring script om te verifiëren dat blob soft delete nu is ingeschakeld en dat de retentieperiode correct is ingesteld. Daarnaast moeten organisaties controleren of er geen negatieve impact is op bestaande workloads, hoewel blob soft delete normaal gesproken geen impact heeft op de prestaties of functionaliteit van actieve workloads. Voor organisaties die Azure Policy gebruiken, kan remediatie ook worden geautomatiseerd door beleidsregels te configureren die automatisch blob soft delete inschakelen wanneer nieuwe opslagaccounts worden gemaakt of wanneer bestaande accounts worden gedetecteerd zonder de juiste configuratie. Deze aanpak voorkomt dat accounts in de toekomst zonder blob soft delete worden gecreëerd en vermindert de noodzaak voor handmatige remediatie. Het is echter belangrijk om te onthouden dat Azure Policy-remediatie enige tijd kan duren, en dat kritieke accounts mogelijk directe handmatige remediatie vereisen. Na succesvolle remediatie moeten organisaties documenteren welke accounts zijn bijgewerkt, wanneer de remediatie is uitgevoerd, en welke configuratie-instellingen zijn toegepast. Deze documentatie is belangrijk voor compliance-doeleinden en voor het bijhouden van de beveiligingspostuur over tijd. Daarnaast moeten organisaties overwegen om processen te implementeren die voorkomen dat blob soft delete in de toekomst wordt uitgeschakeld, bijvoorbeeld door machtigingen te beperken of door regelmatige monitoring en waarschuwingen te configureren.
Compliance & Frameworks
- CIS M365: Control 3.8 (L2) - Soft delete
- BIO: 12.03 - Backup
- ISO 27001:2022: A.8.13 - Information backup
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Blob Soft Delete Enabled
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 3.4
Controleert of soft delete is ingeschakeld voor blobs.
.NOTES
Filename: blob-soft-delete-enabled.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 3.4
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Storage
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Blob Soft Delete Enabled"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$storageAccounts = Get-AzStorageAccount -ErrorAction SilentlyContinue
$result = @{ TotalAccounts = $storageAccounts.Count; WithBlobSoftDelete = 0 }
foreach ($account in $storageAccounts) {
$blobService = Get-AzStorageBlobServiceProperty -ResourceGroupName $account.ResourceGroupName -StorageAccountName $account.StorageAccountName -ErrorAction SilentlyContinue
if ($blobService.DeleteRetentionPolicy.Enabled) {
$result.WithBlobSoftDelete++
}
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Storage Accounts: $($r.TotalAccounts)" -ForegroundColor White
Write-Host "With Blob Soft Delete: $($r.WithBlobSoftDelete)" -ForegroundColor $(if ($r.WithBlobSoftDelete -eq $r.TotalAccounts) { 'Green' } else { 'Yellow' })
}
else {
$r = Test-Compliance
Write-Host "`nBlob Soft Delete: $($r.WithBlobSoftDelete)/$($r.TotalAccounts) accounts"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Storage Accounts: $($r.TotalAccounts)" -ForegroundColor White
Write-Host "With Blob Soft Delete: $($r.WithBlobSoftDelete)" -ForegroundColor $(if ($r.WithBlobSoftDelete -eq $r.TotalAccounts) { 'Green' } else { 'Yellow' })
}
else {
$r = Test-Compliance
Write-Host "`nBlob Soft Delete: $($r.WithBlobSoftDelete)/$($r.TotalAccounts) accounts"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder blob soft delete bestaat het risico op permanent gegevensverlies bij ransomware-aanvallen of onbedoelde verwijderingen. Verwijderde of overschreven blobs kunnen niet worden hersteld zonder deze functionaliteit. Naleving van CIS 3.8 en BIO 12.03 vereist de implementatie van blob soft delete. Het risico is hoog vanwege de mogelijkheid van onherstelbaar gegevensverlies.
Management Samenvatting
Blob Soft Delete: Schakel soft delete in voor blobs met een retentieperiode van 14 tot 90 dagen. Herstel verwijderde of overschreven blobs binnen de retentieperiode. Bescherming tegen ransomware door het herstellen van blobs van vóór versleuteling. Activatie via Storage Account → Data protection → Blob soft delete. Minimale opslagkosten. Verplicht volgens CIS 3.8 en BIO 12.03. Implementatietijd: ongeveer 30 minuten. Essentiële verdediging tegen ransomware.
- Implementatietijd: 1 uur
- FTE required: 0.01 FTE