💼 Management Samenvatting
Verwijderingsvergrendelingen op Azure opslagaccounts vormen een essentiële beveiligingsmaatregel om onbedoelde verwijdering van kritieke opslagresources te voorkomen.
Aanbeveling
Implementeer verwijderingsvergrendelingen op alle productieopslagaccounts
Risico zonder
High
Risk Score
8/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Azure opslag
Het per ongeluk verwijderen van opslagaccounts kan leiden tot permanent verlies van bedrijfskritieke gegevens, onderbreking van bedrijfsprocessen en schending van compliance-vereisten. Zonder verwijderingsvergrendelingen kunnen beheerders met de juiste rechten een opslagaccount met één klik permanent verwijderen, wat in productieomgevingen catastrofale gevolgen kan hebben.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.Resources
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.Resources
Implementatie
Het toepassen van CanNotDelete-vergrendelingen op productieopslagaccounts voorkomt dat deze resources per ongeluk worden verwijderd, zelfs door gebruikers met beheerdersrechten. Deze vergrendelingen vormen een laatste verdedigingslinie tegen menselijke fouten en kwaadwillende acties.
Vereisten
Voor het implementeren van verwijderingsvergrendelingen op Azure opslagaccounts zijn specifieke vereisten van toepassing die organisaties grondig moeten begrijpen voordat zij deze essentiële beveiligingsmaatregel implementeren. Deze vereisten omvatten technische, organisatorische en operationele aspecten die allemaal moeten worden overwogen om een succesvolle en effectieve implementatie te waarborgen. De primaire vereiste betreft het bestaan van een Azure opslagaccount dat bescherming nodig heeft tegen onbedoelde verwijdering. Dit kan zowel een nieuw aangemaakt opslagaccount zijn als een bestaand account dat momenteel nog geen vergrendelingen heeft. Voor Nederlandse overheidsorganisaties is het van cruciaal belang om alle productieopslagaccounts te identificeren die bedrijfskritieke gegevens bevatten, omdat deze accounts de hoogste prioriteit hebben voor bescherming. Organisaties moeten een grondige inventarisatie uitvoeren van alle opslagaccounts binnen hun Azure-omgeving, waarbij zij rekening houden met verschillende omgevingen zoals productie, acceptatie, test en ontwikkeling. Daarnaast is het essentieel dat de persoon die de vergrendelingen toepast beschikt over de juiste Azure-machtigingen. Specifiek is de rol van Inzender of hoger vereist, of de specifieke machtiging Microsoft.Authorization/locks/write. Deze machtigingen zijn nodig omdat resourcevergrendelingen worden beheerd op het niveau van Azure Resource Manager, niet op het niveau van de individuele service. Dit betekent dat de machtigingen voor het beheren van vergrendelingen verschillen van de machtigingen die nodig zijn voor het beheren van de opslagaccounts zelf. Organisaties moeten ervoor zorgen dat alleen geautoriseerde personen deze machtigingen hebben, en dat het gebruik van deze machtigingen wordt gemonitord en geaudit. Organisaties moeten ook rekening houden met de operationele impact van verwijderingsvergrendelingen. Hoewel deze vergrendelingen het verwijderen van resources voorkomen, blokkeren zij niet alle bewerkingen. Lezen, schrijven en configuratiewijzigingen blijven mogelijk, wat betekent dat normale bedrijfsactiviteiten niet worden verstoord. Dit is een belangrijk voordeel van verwijderingsvergrendelingen, omdat zij beveiliging bieden zonder de dagelijkse operaties te hinderen. Echter, wanneer een opslagaccount daadwerkelijk moet worden verwijderd, bijvoorbeeld tijdens een migratie naar een nieuwe omgeving, na het einde van een project, of tijdens een consolidatie van resources, moet de vergrendeling eerst worden verwijderd door een gebruiker met de juiste rechten. Dit vereist een gestructureerd proces waarbij wordt geverifieerd dat de verwijdering legitiem is en is goedgekeurd door de juiste autoriteiten binnen de organisatie. Een belangrijke overweging betreft de scope van vergrendelingen. Vergrendelingen kunnen worden toegepast op verschillende niveaus binnen de Azure-hiërarchie: op individuele opslagaccounts, op resourcegroepen die meerdere opslagaccounts bevatten, of op abonnementen. Elke aanpak heeft voor- en nadelen. Vergrendelingen op individuele accounts bieden de meest granulaire controle, maar vereisen meer beheer wanneer er veel accounts zijn. Vergrendelingen op resourcegroepniveau zijn efficiënter voor het beheren van meerdere gerelateerde resources, maar kunnen ook resources beschermen die mogelijk geen bescherming nodig hebben. Vergrendelingen op abonnementsniveau bieden de breedste bescherming, maar kunnen te restrictief zijn voor omgevingen waar regelmatig resources worden aangemaakt en verwijderd. Organisaties moeten een duidelijke strategie ontwikkelen voor waar en wanneer vergrendelingen worden toegepast, waarbij productieomgevingen prioriteit krijgen boven ontwikkel- en testomgevingen. Deze strategie moet worden gedocumenteerd en regelmatig worden geëvalueerd om ervoor te zorgen dat deze nog steeds aansluit bij de behoeften van de organisatie. Tot slot vereist effectieve implementatie van verwijderingsvergrendelingen een goed gedocumenteerd proces voor het beheer van deze vergrendelingen. Dit omvat procedures voor het toepassen van vergrendelingen op nieuwe resources zodra deze worden aangemaakt, het periodiek controleren van de status van vergrendelingen om te verifiëren dat zij nog steeds actief zijn, en het veilig verwijderen van vergrendelingen wanneer dit operationeel noodzakelijk is. Zonder dergelijke procedures bestaat het risico dat vergrendelingen worden vergeten of onjuist worden beheerd, wat kan leiden tot operationele problemen of onvoldoende bescherming. Organisaties moeten ook overwegen om vergrendelingen te integreren in hun change management processen, zodat wijzigingen aan vergrendelingen worden geregistreerd, gecontroleerd en goedgekeurd volgens de vastgestelde procedures. Dit helpt om te waarborgen dat vergrendelingen op een gecontroleerde en geauditeerde manier worden beheerd, wat essentieel is voor compliance en beveiliging.
Monitoring en controle
Gebruik PowerShell-script delete-locks-applied.ps1 (functie Invoke-Monitoring) – Automatische controle van verwijderingsvergrendelingen.
Effectieve monitoring van verwijderingsvergrendelingen op Azure opslagaccounts is cruciaal voor het waarborgen van continue beveiliging en compliance binnen Nederlandse overheidsorganisaties. Zonder regelmatige monitoring bestaat het risico dat kritieke opslagaccounts onbeschermd raken, wat kan leiden tot onbedoelde verwijdering en verlies van bedrijfskritieke gegevens. Organisaties moeten daarom een uitgebreid monitoringprogramma implementeren dat regelmatig controleert of alle productieopslagaccounts zijn beschermd met verwijderingsvergrendelingen en of deze vergrendelingen correct zijn geconfigureerd en actief blijven. Het monitoringproces begint met het inventariseren van alle opslagaccounts binnen de Azure-omgeving. Dit omvat niet alleen productieaccounts, maar ook accounts in andere omgevingen zoals acceptatie, test en ontwikkeling die mogelijk kritieke gegevens bevatten of die in de toekomst kunnen worden gepromoveerd naar productie. Voor elk opslagaccount moet worden gecontroleerd of er een verwijderingsvergrendeling actief is, welk type vergrendeling is toegepast, wie de vergrendeling heeft aangemaakt en wanneer, en of de vergrendeling nog steeds geldig is. Deze informatie is essentieel voor het begrijpen van de huidige beveiligingsstatus en het identificeren van potentiële zwakke plekken in de beveiliging. De monitoring moet worden uitgevoerd met behulp van geautomatiseerde scripts die regelmatig worden uitgevoerd, bijvoorbeeld wekelijks of maandelijks, afhankelijk van de behoeften en risicoprofiel van de organisatie. Deze scripts moeten alle opslagaccounts identificeren die geen vergrendelingen hebben en deze rapporteren aan de beveiligingsteams via geautomatiseerde meldingen of dashboards. Daarnaast moeten scripts controleren of vergrendelingen onbedoeld zijn verwijderd of gewijzigd, wat kan wijzen op onbevoegde toegang, configuratiefouten, of pogingen tot kwaadwillende activiteiten. Geautomatiseerde monitoring is essentieel omdat handmatige controles tijdrovend zijn, foutgevoelig, en niet schaalbaar zijn voor organisaties met honderden of duizenden opslagaccounts. Naast technische monitoring is het belangrijk om de status van vergrendelingen te documenteren in centrale beheersystemen zoals Configuration Management Databases of beveiligingsinformatie- en eventmanagementsystemen. Dit maakt het mogelijk om snel te zien welke resources zijn beschermd en welke mogelijk aandacht nodig hebben. Documentatie moet ook informatie bevatten over de reden voor het toepassen van vergrendelingen, de verwachte duur van de bescherming, en de contactpersoon die verantwoordelijk is voor het beheer van de vergrendeling. Deze documentatie is essentieel voor auditing, compliance-rapportage, en het begrijpen van de context achter elke vergrendeling. Wanneer monitoring onthult dat opslagaccounts zonder vergrendelingen bestaan, moet een gestructureerd proces worden gevolgd om deze situatie te adresseren. Eerst moet worden beoordeeld of het account daadwerkelijk bescherming nodig heeft op basis van de classificatie van de gegevens, de bedrijfskritiek, en de omgeving waarin het account zich bevindt. Niet alle accounts hebben dezelfde bescherming nodig; ontwikkel- en testaccounts kunnen bijvoorbeeld minder strikte bescherming vereisen dan productieaccounts. Vervolgens moeten vergrendelingen worden toegepast volgens de vastgestelde procedures, waarbij wordt gedocumenteerd wie de actie heeft uitgevoerd, wanneer dit is gebeurd, en waarom de vergrendeling is toegepast. Dit proces moet worden gevolgd voor alle accounts die voldoen aan de criteria voor bescherming. Monitoring moet ook aandacht besteden aan de operationele impact van vergrendelingen. Hoewel vergrendelingen bedoeld zijn om beveiliging te verbeteren, kunnen zij ook onbedoelde gevolgen hebben wanneer resources daadwerkelijk moeten worden verwijderd tijdens geplande migraties, projectafsluitingen, of consolidatie-activiteiten. Monitoringprocessen moeten daarom ook waarschuwen wanneer vergrendelingen mogelijk moeten worden verwijderd, zodat dit tijdig kan worden gepland en uitgevoerd zonder onnodige vertragingen in bedrijfsprocessen. Dit vereist coördinatie tussen beveiligingsteams, die verantwoordelijk zijn voor het behoud van vergrendelingen, en operationele teams, die verantwoordelijk zijn voor het beheer van resources. Tot slot moet monitoring worden geïntegreerd met bredere beveiligings- en complianceprocessen. De status van verwijderingsvergrendelingen moet worden meegenomen in periodieke beveiligingsaudits en compliancecontroles, waarbij wordt geverifieerd dat alle vereiste resources daadwerkelijk zijn beschermd volgens de organisatorische beleidsregels en externe compliance-vereisten zoals BIO 12.03 en ISO 27001. Monitoringresultaten moeten ook worden gerapporteerd aan management en toezichthouders als onderdeel van periodieke beveiligingsrapportages, zodat zij op de hoogte zijn van de beveiligingsstatus en kunnen ingrijpen wanneer nodig. Door monitoring te integreren met deze processen kunnen organisaties aantonen dat zij proactief werken aan het beschermen van kritieke resources en het voldoen aan hun compliance-verplichtingen.
Compliance en auditing
Verwijderingsvergrendelingen op Azure opslagaccounts spelen een cruciale rol in het voldoen aan verschillende compliance-vereisten die van toepassing zijn op Nederlandse overheidsorganisaties en andere organisaties die werken met gevoelige gegevens. De implementatie van deze beveiligingsmaatregel draagt direct bij aan het naleven van zowel nationale als internationale standaarden, en vormt een essentieel onderdeel van een uitgebreide beveiligingsstrategie die gericht is op het beschermen van kritieke gegevens en het waarborgen van continuïteit van bedrijfsprocessen. De Baseline Informatiebeveiliging Overheid (BIO) vereist in controle 12.03 dat organisaties maatregelen treffen om resources te beschermen tegen onbevoegde wijziging of verwijdering. Deze controle is specifiek gericht op het voorkomen van onbedoelde of kwaadwillende wijzigingen aan kritieke systemen en gegevens, wat essentieel is voor het waarborgen van de integriteit en beschikbaarheid van informatie. Verwijderingsvergrendelingen vormen een directe en effectieve implementatie van deze vereiste, omdat zij voorkomen dat opslagaccounts per ongeluk of onbevoegd worden verwijderd, zelfs door gebruikers met beheerdersrechten. Voor Nederlandse overheidsorganisaties is het toepassen van verwijderingsvergrendelingen op productieopslagaccounts daarom niet alleen een best practice, maar een verplichte maatregel om te voldoen aan BIO-vereisten. Organisaties die deze maatregel niet implementeren, lopen het risico op non-compliance tijdens audits en kunnen worden geconfronteerd met vragen van toezichthouders over hun beveiligingsmaatregelen. De ISO 27001:2022 standaard adresseert in controle A.8.13 het belang van informatieback-ups en het voorkomen van gegevensverlies. Deze controle vereist dat organisaties regelmatig back-ups maken van kritieke gegevens en procedures hebben voor het herstellen van gegevens in geval van verlies. Hoewel verwijderingsvergrendelingen geen back-ups vervangen, vormen zij een essentiële preventieve maatregel die voorkomt dat back-ups überhaupt nodig zijn door onbedoelde verwijdering. Door het voorkomen van accidentele verwijdering van opslagaccounts dragen vergrendelingen bij aan de continuïteit van bedrijfsprocessen en het waarborgen van beschikbaarheid van gegevens, wat direct aansluit bij de doelstellingen van ISO 27001. Bovendien helpen vergrendelingen om de kosten en complexiteit van hersteloperaties te verminderen, omdat voorkomen altijd beter is dan genezen. Voor organisaties die werken onder de Algemene Verordening Gegevensbescherming (AVG) zijn verwijderingsvergrendelingen relevant vanuit het perspectief van gegevensintegriteit en beschikbaarheid. Artikel 32 van de AVG vereist dat organisaties passende technische en organisatorische maatregelen treffen om persoonsgegevens te beschermen tegen verlies, vernietiging of onrechtmatige verwerking. Het voorkomen van onbedoelde verwijdering van opslagaccounts die persoonsgegevens bevatten, is een concrete implementatie van deze vereiste, omdat het helpt om te waarborgen dat persoonsgegevens beschikbaar blijven wanneer zij nodig zijn en niet per ongeluk worden vernietigd. Dit is vooral belangrijk voor organisaties die grote hoeveelheden persoonsgegevens verwerken, omdat het verlies van dergelijke gegevens kan leiden tot schending van de privacyrechten van betrokkenen en mogelijke boetes van de Autoriteit Persoonsgegevens. Auditing van verwijderingsvergrendelingen moet regelmatig worden uitgevoerd om te verifiëren dat alle vereiste resources daadwerkelijk zijn beschermd en dat de implementatie voldoet aan de organisatorische beleidsregels en externe compliance-vereisten. Auditprocessen moeten controleren of vergrendelingen aanwezig zijn op alle productieopslagaccounts die voldoen aan de criteria voor bescherming, of deze correct zijn geconfigureerd met het juiste type vergrendeling, en of er geen onbevoegde wijzigingen zijn aangebracht aan de vergrendelingen. Auditlogs moeten worden bijgehouden die documenteren wanneer vergrendelingen zijn toegepast, gewijzigd of verwijderd, en door wie deze acties zijn uitgevoerd. Deze logs zijn essentieel voor het traceren van wijzigingen en het identificeren van potentiële beveiligingsincidenten of policy violations. Audits moeten worden uitgevoerd door onafhankelijke partijen wanneer mogelijk, om te waarborgen dat de beoordeling objectief en grondig is. Compliance-rapportage moet de status van verwijderingsvergrendelingen opnemen als onderdeel van periodieke beveiligingsrapportages aan management en toezichthouders. Deze rapportages moeten duidelijk maken welke opslagaccounts zijn beschermd, welke mogelijk aandacht nodig hebben, en hoe de organisatie voldoet aan de relevante compliance-vereisten zoals BIO 12.03, ISO 27001 A.8.13, en AVG Artikel 32. Rapportages moeten ook trends en patronen identificeren, zoals een toename of afname van het aantal beschermde accounts, en moeten aanbevelingen bevatten voor het verbeteren van de beveiligingspostuur. Door regelmatige rapportage kunnen organisaties aantonen dat zij proactief werken aan het beschermen van kritieke resources en het voldoen aan hun compliance-verplichtingen, wat essentieel is voor het behouden van vertrouwen van stakeholders en het voorkomen van complianceproblemen.
Remediatie en implementatie
Gebruik PowerShell-script delete-locks-applied.ps1 (functie Invoke-Remediation) – Automatische toepassing van verwijderingsvergrendelingen.
Wanneer monitoring onthult dat opslagaccounts niet zijn beschermd met verwijderingsvergrendelingen, moet een gestructureerd remediatieproces worden gevolgd om deze situatie te adresseren en de beveiligingspostuur van de organisatie te verbeteren. Dit proces is essentieel voor het waarborgen dat alle kritieke resources worden beschermd tegen onbedoelde verwijdering, en moet worden uitgevoerd volgens vastgestelde procedures om consistentie en traceerbaarheid te waarborgen. Het proces begint met het identificeren van alle opslagaccounts die momenteel geen vergrendelingen hebben, gevolgd door een grondige risicoanalyse om te bepalen welke accounts prioriteit hebben voor bescherming op basis van hun bedrijfskritiek, gegevensclassificatie, en omgeving. Het remediatieproces start met een uitgebreide inventarisatie van alle opslagaccounts binnen de Azure-omgeving, waarbij rekening wordt gehouden met verschillende abonnementen, resourcegroepen, en omgevingen. Voor elk account moet worden beoordeeld of het productiegegevens bevat, wat de bedrijfskritiek is, welke gegevensclassificatie van toepassing is, en of het voldoet aan de criteria voor het toepassen van verwijderingsvergrendelingen zoals vastgelegd in het organisatorische beveiligingsbeleid. Productieaccounts die kritieke bedrijfsgegevens bevatten, zoals persoonsgegevens, financiële informatie, of andere gevoelige gegevens, hebben de hoogste prioriteit voor bescherming. Accounts in andere omgevingen zoals acceptatie of test die mogelijk gevoelige gegevens bevatten of die in de toekomst kunnen worden gepromoveerd naar productie, hebben een lagere maar nog steeds belangrijke prioriteit. Deze prioritering helpt om ervoor te zorgen dat beperkte resources worden ingezet waar zij het meeste effect hebben. Voordat vergrendelingen worden toegepast, is het belangrijk om te verifiëren dat de juiste machtigingen aanwezig zijn voor de gebruiker of service principal die de vergrendelingen zal toepassen. De gebruiker of service principal moet beschikken over de rol van Inzender of hoger, of de specifieke machtiging Microsoft.Authorization/locks/write op het niveau waar de vergrendeling wordt toegepast. Zonder deze machtigingen zal het toepassen van vergrendelingen falen, wat kan leiden tot onvolledige implementatie en een vals gevoel van beveiliging. Het is daarom essentieel om machtigingen te controleren voordat het remediatieproces wordt gestart, en om eventuele ontbrekende machtigingen te verkrijgen via de juiste kanalen binnen de organisatie. Dit kan tijd in beslag nemen, vooral in grote organisaties met complexe machtigingsstructuren, dus het is belangrijk om dit vroeg in het proces aan te pakken. De daadwerkelijke toepassing van vergrendelingen kan worden uitgevoerd via verschillende methoden, waaronder de Azure Portal voor handmatige implementatie, Azure PowerShell of Azure CLI voor geautomatiseerde implementatie via scripts, of geautomatiseerde scripts die worden uitgevoerd als onderdeel van een CI/CD-pipeline of scheduled task. Voor consistente implementatie en schaalbaarheid wordt sterk aanbevolen om geautomatiseerde scripts te gebruiken die alle vereiste accounts in één keer kunnen bewerken, omdat dit sneller is, minder foutgevoelig, en beter schaalbaar is dan handmatige implementatie. Deze scripts moeten uitgebreide logging bevatten die documenteert welke vergrendelingen zijn toegepast, wanneer dit is gebeurd, door wie, en wat de status was van elke actie. Deze logs zijn essentieel voor auditing, troubleshooting, en het begrijpen van wat er is gebeurd tijdens het remediatieproces. Na het toepassen van vergrendelingen moet worden geverifieerd dat deze correct zijn geconfigureerd en actief zijn. Dit omvat het controleren dat de vergrendelingen daadwerkelijk actief zijn op de juiste resources, dat zij het juiste type hebben zoals CanNotDelete, en dat zij zijn toegepast op het juiste niveau binnen de Azure-hiërarchie. Verificatie moet worden uitgevoerd direct na implementatie om te waarborgen dat de vergrendelingen correct zijn toegepast, en vervolgens periodiek als onderdeel van het reguliere monitoringproces om te waarborgen dat vergrendelingen niet onbedoeld zijn verwijderd of gewijzigd. Verificatie kan worden uitgevoerd via dezelfde tools die worden gebruikt voor monitoring, en moet worden gedocumenteerd als onderdeel van het remediatieproces. Het is belangrijk om te begrijpen dat verwijderingsvergrendelingen operationele procedures kunnen beïnvloeden, en dat organisaties daarom duidelijke procedures moeten ontwikkelen voor het beheren van vergrendelingen gedurende de levenscyclus van resources. Wanneer een opslagaccount daadwerkelijk moet worden verwijderd, bijvoorbeeld tijdens een migratie naar een nieuwe omgeving, na het einde van een project, of tijdens een consolidatie van resources, moet de vergrendeling eerst worden verwijderd door een gebruiker met de juiste rechten. Organisaties moeten daarom duidelijke procedures ontwikkelen voor het veilig verwijderen van vergrendelingen wanneer dit operationeel noodzakelijk is, waarbij wordt gewaarborgd dat alleen geautoriseerde personen deze actie kunnen uitvoeren, dat de verwijdering wordt geregistreerd en geaudit, en dat er een goedkeuringsproces is voor het verwijderen van vergrendelingen op kritieke resources. Deze procedures helpen om te waarborgen dat vergrendelingen niet onnodig worden verwijderd, terwijl zij tegelijkertijd flexibiliteit bieden wanneer verwijdering legitiem is. Documentatie is een cruciaal onderdeel van het remediatieproces en moet worden bijgehouden voor alle acties die worden uitgevoerd tijdens het proces. Alle acties moeten worden gedocumenteerd, inclusief welke accounts zijn beschermd, wanneer dit is gebeurd, wie verantwoordelijk was voor de implementatie, en wat de reden was voor het toepassen van vergrendelingen. Deze documentatie is essentieel voor auditing, compliance-rapportage, en het begrijpen van de huidige beveiligingsstatus van de Azure-omgeving. Goede documentatie maakt het ook mogelijk om snel te identificeren wanneer vergrendelingen mogelijk moeten worden verwijderd of aangepast, en helpt om te waarborgen dat toekomstige wijzigingen worden uitgevoerd met volledige kennis van de historische context. Documentatie moet worden opgeslagen in een centrale locatie die toegankelijk is voor alle relevante stakeholders, en moet regelmatig worden bijgewerkt om ervoor te zorgen dat deze actueel en accuraat blijft.
Compliance & Frameworks
- BIO: 12.03 - Bescherming van resources tegen onbevoegde wijziging of verwijdering
- ISO 27001:2022: A.8.13 - Informatieback-ups en preventie van gegevensverlies
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Delete Locks Applied
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 3.10
Controleert of delete locks zijn toegepast op storage accounts.
.NOTES
Filename: delete-locks-applied.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 3.10
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Storage, Az.Resources
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Delete Locks Applied"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$storageAccounts = Get-AzStorageAccount -ErrorAction SilentlyContinue
$result = @{ TotalAccounts = $storageAccounts.Count; WithLocks = 0 }
foreach ($account in $storageAccounts) {
$locks = Get-AzResourceLock -ResourceGroupName $account.ResourceGroupName -ResourceName $account.StorageAccountName -ResourceType "Microsoft.Storage/storageAccounts" -ErrorAction SilentlyContinue
if ($locks) { $result.WithLocks++ }
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Storage Accounts: $($r.TotalAccounts)" -ForegroundColor White
Write-Host "With Delete Locks: $($r.WithLocks)" -ForegroundColor $(if ($r.WithLocks -gt 0) { 'Green' } else { 'Yellow' })
}
else {
$r = Test-Compliance
Write-Host "`nDelete Locks: $($r.WithLocks)/$($r.TotalAccounts) accounts"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Storage Accounts: $($r.TotalAccounts)" -ForegroundColor White
Write-Host "With Delete Locks: $($r.WithLocks)" -ForegroundColor $(if ($r.WithLocks -gt 0) { 'Green' } else { 'Yellow' })
}
else {
$r = Test-Compliance
Write-Host "`nDelete Locks: $($r.WithLocks)/$($r.TotalAccounts) accounts"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder verwijderingsvergrendelingen bestaat het risico dat opslagaccounts per ongeluk worden verwijderd, wat kan leiden tot permanent verlies van bedrijfskritieke gegevens. Een enkele klik kan voldoende zijn om een opslagaccount permanent te verwijderen, zelfs door beheerders met de juiste rechten. Dit vormt een hoog risico voor organisaties die werken met gevoelige gegevens. Daarnaast voldoen organisaties zonder verwijderingsvergrendelingen niet aan de vereisten van BIO 12.03, wat kan leiden tot complianceproblemen.
Management Samenvatting
Verwijderingsvergrendelingen moeten worden toegepast op alle productieopslagaccounts in Azure om onbedoelde verwijdering te voorkomen. CanNotDelete-vergrendelingen kunnen worden geactiveerd via de Azure Portal door te navigeren naar het opslagaccount, vervolgens naar Vergrendelingen, en daar een CanNotDelete-vergrendeling toe te voegen. Deze maatregel is kosteloos en vormt een verplichte vereiste volgens BIO 12.03. De implementatie neemt ongeveer één tot twee uur in beslag, inclusief het toepassen van vergrendelingen en het testen van procedures. Deze beveiligingsmaatregel is essentieel voor de bescherming van productieomgevingen.
- Implementatietijd: 2 uur
- FTE required: 0.02 FTE