💼 Management Samenvatting
Onveranderlijke opslagbeleidsregels vormen een kritieke beveiligingsmaatregel voor Azure Storage containers die bescherming biedt tegen onbevoegde wijzigingen, verwijderingen en ransomware-aanvallen. Deze beveiligingscontrole waarborgt de correcte configuratie van onveranderlijke opslag en beschermt organisaties tegen ernstige beveiligingsrisico's die kunnen ontstaan wanneer kritieke gegevens zoals backups, audit logs en compliance-documenten kunnen worden gewijzigd of verwijderd.
Aanbeveling
IMPLEMENTEER VOOR BACKUPS
Risico zonder
High
Risk Score
8/10
Implementatie
5u (tech: 3u)
Van toepassing op:
✓ Azure opslag
In een tijdperk waarin ransomware-aanvallen en datalekken steeds vaker voorkomen, is het beschermen van kritieke gegevens tegen wijziging of verwijdering van levensbelang. Deze instelling is essentieel voor het handhaven van een veilige omgeving en voorkomt bekende aanvalsvectoren door het afdwingen van beveiligingsbest practices. Onveranderlijke opslagbeleidsregels implementeren het WORM-principe (Write Once Read Many), wat betekent dat gegevens eenmaal geschreven niet meer kunnen worden gewijzigd of verwijderd gedurende een vooraf bepaalde periode. Dit biedt niet alleen bescherming tegen externe aanvallen, maar ook tegen onbevoegde interne wijzigingen, wat cruciaal is voor compliance met regelgeving zoals SEC 17a-4 en FINRA voor financiële instellingen.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.opslag
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.opslag
Implementatie
Onveranderlijke opslagbeleidsregels kunnen worden geconfigureerd op Azure Storage containers in twee varianten: tijdgebaseerde bewaarbeleidsregels en juridische bewaarbeleidsregels. Tijdgebaseerde bewaarbeleidsregels leggen een vaste bewaartermijn op waarbij blobs gedurende de opgegeven periode niet kunnen worden gewijzigd of verwijderd, zelfs niet door beheerders met de hoogste rechten. Juridische bewaarbeleidsregels bieden flexibele bescherming voor juridische doeleinden en blijven actief totdat ze expliciet worden verwijderd. Beide varianten zorgen ervoor dat gegevens volledig beschermd zijn tegen ransomware, onbevoegde wijzigingen en accidentele verwijdering, wat essentieel is voor backup-strategieën en compliance-vereisten.
Vereisten
De implementatie van onveranderlijke opslagbeleidsregels op Azure Storage containers vereist een zorgvuldige voorbereiding en het vervullen van specifieke technische en organisatorische vereisten. Deze vereisten vormen de fundering waarop de onveranderlijke opslagfunctionaliteit kan worden gebouwd en waarborgen dat de geconfigureerde beleidsregels daadwerkelijk de beoogde bescherming bieden tegen onbevoegde wijzigingen, verwijderingen en ransomware-aanvallen. De eerste en meest fundamentele vereiste betreft het Azure Storage account zelf. Organisaties moeten beschikken over een geldig Azure Storage account dat is geconfigureerd met de juiste toegangsrechten en beveiligingsinstellingen. Het opslagaccount dient te zijn ingesteld met de standaard of premium performance tier, waarbij de keuze afhankelijk is van de specifieke prestatie-eisen en budgettaire overwegingen van de organisatie. Een kritiek aandachtspunt vormt de geografische locatie van het opslagaccount, aangezien niet alle Azure-regio's onveranderlijke opslagbeleidsregels ondersteunen. Organisaties moeten daarom vooraf verifiëren of hun gekozen regio deze functionaliteit ondersteunt, of overwegen om het opslagaccount te migreren naar een ondersteunde regio indien dit nog niet het geval is. Een absolute voorwaarde voor het activeren van onveranderlijke opslagbeleidsregels is het inschakelen van blob versioning op het opslagaccount. Blob versioning vormt een essentiële technische component die automatisch eerdere versies van blobs behoudt wanneer deze worden gewijzigd of overschreven. Deze functionaliteit is onmisbaar omdat het systeem in staat moet zijn om versies te beheren, te beschermen en te controleren. Zonder blob versioning kunnen onveranderlijke opslagbeleidsregels simpelweg niet worden toegepast, omdat het onderliggende systeem geen mechanisme heeft om wijzigingen te detecteren, te voorkomen of te registreren. Het inschakelen van versioning heeft echter ook implicaties voor de opslagkosten, aangezien meerdere versies van blobs worden bewaard. Organisaties moeten daarom een grondige kostenanalyse uitvoeren voordat versioning wordt geactiveerd, met name op opslagaccounts die grote hoeveelheden gegevens bevatten. De toegangscontrole en autorisatie vormen een ander cruciaal aspect van de vereisten. De gebruiker of service principal die verantwoordelijk is voor het configureren van onveranderlijke opslagbeleidsregels moet beschikken over de juiste Azure Role-Based Access Control (RBAC) rollen. Voor het daadwerkelijk configureren van beleidsregels op containers zijn minimaal de rollen Storage Blob Data Contributor of Storage Blob Data Owner vereist. Voor het beheren van accountniveau-instellingen zoals het inschakelen van blob versioning is de rol Storage Account Contributor nodig. Organisaties moeten ervoor zorgen dat deze rollen zijn toegewezen volgens het principe van least privilege, waarbij gebruikers alleen de minimale rechten krijgen die nodig zijn voor het uitvoeren van hun taken. Een belangrijk technisch aspect dat organisaties moeten begrijpen, betreft de manier waarop onveranderlijke beleidsregels werken met bestaande gegevens. Onveranderlijke opslagbeleidsregels kunnen alleen worden toegepast op nieuwe blobs of op bestaande blobs die nog geen actieve onveranderlijke beleidsregel hebben geconfigureerd. Dit betekent dat bestaande blobs die al een actieve onveranderlijke beleidsregel hebben, niet kunnen worden gewijzigd of verwijderd totdat de beleidsregel verloopt of expliciet wordt verwijderd, indien dit is toegestaan door de configuratie. Voor organisaties die containers hebben met bestaande gegevens die bescherming nodig heeft, kan dit betekenen dat gegevens moeten worden gemigreerd naar nieuwe containers waarop onveranderlijke beleidsregels kunnen worden toegepast vanaf het moment van creatie. Naast de technische vereisten zijn er ook organisatorische overwegingen die aandacht verdienen. Organisaties moeten een duidelijk beleid ontwikkelen over welke containers onveranderlijke opslagbeleidsregels nodig hebben, welke bewaartermijnen van toepassing zijn, en hoe deze beleidsregels worden beheerd gedurende hun levenscyclus. Dit beleid moet worden afgestemd op compliance-vereisten, organisatorisch archiveringsbeleid, en de specifieke aard van de gegevens die worden bewaard. Daarnaast is het essentieel om procedures te ontwikkelen voor het beheren van onveranderlijke beleidsregels, inclusief het monitoren van wanneer beleidsregels verlopen, het beslissen over het behouden of verwijderen van gegevens na het verlopen van de bewaartermijn, en het beheren van juridische bewaarbeleidsregels. Tot slot vormt testen een onmisbaar onderdeel van het implementatieproces. Voordat onveranderlijke opslagbeleidsregels worden geïmplementeerd in productieomgevingen, is het sterk aanbevolen om deze eerst uitvoerig te testen in een gecontroleerde testomgeving. Dit stelt organisaties in staat om te begrijpen hoe de beleidsregels werken in de praktijk, welke impact ze hebben op bestaande workflows en applicaties, en hoe ze kunnen worden beheerd en gemonitord gedurende de bewaartermijn. Testen helpt ook om eventuele configuratiefouten of onverwachte gedragingen te identificeren voordat de beleidsregels worden toegepast op kritieke productiegegevens.
Monitoring en controle
Gebruik PowerShell-script immutable-storage-policies.ps1 (functie Invoke-Monitoring) – Controleren.
Het monitoren en controleren van onveranderlijke opslagbeleidsregels vormt een essentieel onderdeel van een effectieve en robuuste beveiligingsstrategie. Zonder adequate monitoring kunnen organisaties niet garanderen dat hun kritieke gegevens daadwerkelijk worden beschermd tegen onbevoegde wijzigingen, verwijderingen of ransomware-aanvallen. Regelmatige en systematische controles zorgen ervoor dat beleidsregels correct zijn geconfigureerd, actief blijven gedurende hun gehele levenscyclus, en dat er geen onbevoegde of verdachte pogingen zijn gedaan om de beleidsregels te wijzigen, te verwijderen of te omzeilen. De monitoring van onveranderlijke opslagbeleidsregels omvat een breed spectrum van aspecten die allemaal aandacht verdienen. Het eerste en meest fundamentele aspect betreft de verificatie dat alle containers die kritieke gegevens bevatten daadwerkelijk zijn beschermd met onveranderlijke opslagbeleidsregels. Dit is met name cruciaal voor containers die backups, audit logs, compliance-documenten, financiële records, of andere gevoelige en kritieke informatie bevatten. Het PowerShell-script dat bij deze beveiligingscontrole hoort, kan worden gebruikt om systematisch alle opslagaccounts en containers binnen een organisatie te scannen en te identificeren welke containers wel en welke geen onveranderlijke beleidsregels hebben geconfigureerd. Deze scan moet regelmatig worden uitgevoerd, bij voorkeur wekelijks of maandelijks, om ervoor te zorgen dat nieuwe containers die kritieke gegevens bevatten ook worden beschermd. Een tweede kritiek monitoring-aspect betreft de verificatie dat geconfigureerde beleidsregels nog steeds actief zijn en niet onverwacht zijn verwijderd of gewijzigd. Azure biedt uitgebreide audit logs die alle wijzigingen aan onveranderlijke opslagbeleidsregels registreren, inclusief gedetailleerde informatie over wie de wijziging heeft doorgevoerd, wanneer deze wijziging heeft plaatsgevonden, en wat precies is gewijzigd. Deze audit logs moeten regelmatig worden gecontroleerd op verdachte of onbevoegde activiteiten, zoals pogingen om beleidsregels te verwijderen, de bewaartermijn te verkorten, of andere configuratiewijzigingen die de beveiliging kunnen compromitteren. Organisaties moeten alert zijn op patronen die kunnen wijzen op insider threats of gecompromitteerde accounts. Het bijhouden en monitoren van de bewaartermijnen van actieve beleidsregels vormt een derde belangrijk aspect van de monitoringstrategie. Organisaties moeten op elk moment weten wanneer beleidsregels verlopen en of er actie moet worden ondernomen voordat de bewaartermijn eindigt. Voor tijdgebaseerde bewaarbeleidsregels is het cruciaal om te monitoren wanneer de bewaartermijn verloopt, zodat organisaties tijdig kunnen beslissen of de gegevens moeten worden behouden door een nieuwe beleidsregel te configureren, of kunnen worden verwijderd in overeenstemming met het gegevensbewaarbeleid. Het niet tijdig verlengen van beleidsregels kan ertoe leiden dat kritieke gegevens onbedoeld kunnen worden verwijderd, terwijl het automatisch verlengen van beleidsregels zonder evaluatie kan leiden tot onnodige opslagkosten en problemen bij het voldoen aan privacy-vereisten zoals de AVG. Het monitoren van compliance met onveranderlijke opslagbeleidsregels is van bijzonder belang voor organisaties die moeten voldoen aan specifieke regelgeving zoals SEC 17a-4 of FINRA voor financiële instellingen, of de Baseline Informatiebeveiliging Overheid (BIO) voor Nederlandse overheidsorganisaties. Deze regelgeving vereist vaak dat bepaalde gegevens voor een specifieke periode onveranderlijk worden bewaard, en het is essentieel om te kunnen aantonen dat deze vereisten worden nageleefd tijdens audits en compliance-controles. Het PowerShell-script kan worden uitgebreid om gedetailleerde compliance-rapporten te genereren die aantonen welke containers zijn beschermd, voor hoe lang, en of deze bescherming voldoet aan de specifieke compliance-vereisten. Deze rapporten kunnen worden gebruikt tijdens interne en externe audits om aan te tonen dat de organisatie voldoet aan de vereiste beveiligingsstandaarden. Azure Monitor en Azure Log Analytics bieden krachtige tools voor het implementeren van geavanceerde monitoring en alerting voor onveranderlijke opslagbeleidsregels. Organisaties kunnen geautomatiseerde waarschuwingen configureren die worden geactiveerd wanneer een beleidsregel wordt verwijderd, gewijzigd, of wanneer een container zonder beleidsregel wordt gedetecteerd. Deze waarschuwingen kunnen worden geconfigureerd met verschillende prioriteitsniveaus, waarbij kritieke waarschuwingen zoals het verwijderen van een beleidsregel onmiddellijk worden gemeld aan security teams, terwijl minder urgente waarschuwingen zoals het detecteren van een nieuwe container zonder beleidsregel kunnen worden geaggregeerd in dagelijkse of wekelijkse rapporten. Deze waarschuwingen kunnen worden geïntegreerd met bestaande security information and event management (SIEM) systemen voor centrale monitoring en correlatie met andere beveiligingsgebeurtenissen. Een laatste maar niet minder belangrijk aspect van monitoring betreft de verificatie dat geconfigureerde beleidsregels daadwerkelijk werken zoals bedoeld. Dit kan worden getest door periodiek te proberen een blob te wijzigen of te verwijderen in een container met een actieve onveranderlijke beleidsregel. Als de wijziging of verwijdering wordt toegestaan, duidt dit op een configuratiefout of een probleem met de implementatie die onmiddellijk moet worden opgelost. Deze verificatietests moeten worden uitgevoerd na de initiële configuratie van beleidsregels, en periodiek daarna om ervoor te zorgen dat de beleidsregels blijven functioneren zoals bedoeld. Het is ook belangrijk om te monitoren op nieuwe containers die mogelijk ook bescherming nodig hebben, en op wijzigingen aan bestaande beleidsregels die mogelijk wijzen op onbevoegde toegang of configuratiefouten.
Compliance en Audit
Onveranderlijke opslagbeleidsregels spelen een cruciale en onmisbare rol bij het voldoen aan verschillende compliance-vereisten en auditstandaarden die van toepassing zijn op Nederlandse overheidsorganisaties, bedrijven en instellingen in verschillende sectoren. De implementatie van onveranderlijke opslagbeleidsregels helpt organisaties niet alleen te voldoen aan zowel nationale als internationale regelgeving en standaarden, maar biedt ook de technische en administratieve basis om deze compliance aan te tonen tijdens audits en regelgevingscontroles. Voor Nederlandse overheidsorganisaties vormt de Baseline Informatiebeveiliging Overheid (BIO) het primaire normenkader voor informatiebeveiliging. BIO controle 12.03 richt zich specifiek op gegevensbescherming en vereist dat organisaties passende maatregelen treffen om te voorkomen dat gegevens verloren gaan, vernietigd worden of onrechtmatig worden gewijzigd. Onveranderlijke opslagbeleidsregels bieden een concrete en verifieerbare implementatie van deze vereiste door technisch te garanderen dat kritieke gegevens niet kunnen worden gewijzigd of verwijderd gedurende de bewaartermijn, zelfs niet door beheerders met de hoogste rechten. Dit is met name relevant voor overheidsorganisaties die verplicht zijn om bepaalde documenten en gegevens voor langere perioden te bewaren voor archiverings- en auditdoeleinden, zoals financiële administraties, juridische documenten, en besluitvormingsprocessen. De onveranderlijke opslagbeleidsregels zorgen ervoor dat deze gegevens niet alleen worden bewaard, maar ook dat de integriteit van de gegevens wordt gegarandeerd, wat essentieel is voor de betrouwbaarheid van archieven en de rechtsgeldigheid van documenten. De ISO 27001:2022 standaard, met name controle A.8.13 (Information backup), vereist dat organisaties regelmatig backups maken van informatie en software, en dat deze backups regelmatig worden getest om te verifiëren dat ze kunnen worden gebruikt voor hersteldoeleinden. Onveranderlijke opslagbeleidsregels zijn essentieel voor het beschermen van deze backups tegen ransomware-aanvallen, onbevoegde wijzigingen, en accidentele of opzettelijke verwijdering. Zonder onveranderlijke beleidsregels kunnen backups worden versleuteld of verwijderd door aanvallers, waardoor de hele backup-strategie waardeloos wordt en organisaties hun laatste verdedigingslinie tegen gegevensverlies verliezen. Door backups te beschermen met onveranderlijke opslagbeleidsregels, kunnen organisaties aantonen dat ze voldoen aan de ISO 27001 vereisten voor betrouwbare, beschermde en verifieerbare backups. Dit is met name belangrijk voor organisaties die ISO 27001 certificering nastreven of behouden, omdat auditors zullen controleren of backups daadwerkelijk beschermd zijn tegen de meest relevante bedreigingen. Voor financiële instellingen en organisaties die opereren in de Verenigde Staten of die moeten voldoen aan Amerikaanse regelgeving, zijn SEC 17a-4 en FINRA vereisten van cruciaal belang en vaak zelfs verplicht. SEC 17a-4 vereist dat financiële instellingen bepaalde records voor een periode van minimaal drie tot zes jaar onveranderlijk bewaren, waarbij onveranderlijk betekent dat de gegevens niet kunnen worden gewijzigd, verwijderd of overschreven gedurende deze periode. Deze vereiste kan alleen worden nageleefd met onveranderlijke opslagbeleidsregels die technisch garanderen dat gegevens niet kunnen worden gewijzigd of verwijderd gedurende de vereiste bewaartermijn. FINRA (Financial Industry Regulatory Authority) heeft vergelijkbare vereisten voor de bewaring van financiële records, en beide regelgevingsinstanties vereisen dat organisaties kunnen aantonen dat hun opslagsystemen voldoen aan deze onveranderlijkheidsvereisten. Onveranderlijke opslagbeleidsregels bieden deze garantie en maken het mogelijk voor organisaties om te voldoen aan deze strikte regelgevingsvereisten. Bij audits en compliance-controles moeten organisaties kunnen aantonen dat ze voldoen aan deze compliance-vereisten door middel van concrete bewijsstukken en audit trails. Onveranderlijke opslagbeleidsregels bieden uitgebreide audit trails en logs die aantonen wanneer beleidsregels zijn geconfigureerd, wie ze heeft geconfigureerd, welke bewaartermijnen zijn ingesteld, en of er pogingen zijn gedaan om ze te wijzigen of te verwijderen. Deze audit trails zijn essentieel voor het succesvol doorstaan van externe audits en compliance-controles, omdat auditors kunnen verifiëren dat de organisatie daadwerkelijk voldoet aan de vereiste beveiligingsstandaarden. De logs bieden ook bescherming voor de organisatie zelf, omdat ze kunnen aantonen dat eventuele problemen niet het gevolg zijn van nalatigheid of onvoldoende beveiligingsmaatregelen. Organisaties moeten ook zorgvuldig rekening houden met de Algemene Verordening Gegevensbescherming (AVG) wanneer ze onveranderlijke opslagbeleidsregels implementeren. Hoewel onveranderlijke beleidsregels gegevens beschermen tegen wijziging en verwijdering, wat belangrijk is voor gegevensintegriteit en beveiliging, moeten organisaties ook kunnen voldoen aan AVG-vereisten zoals het recht op verwijdering, ook wel bekend als het recht om vergeten te worden. Dit betekent dat organisaties een zorgvuldige balans moeten vinden tussen het beschermen van gegevens met onveranderlijke beleidsregels en het kunnen voldoen aan AVG-verzoeken van betrokkenen. In sommige gevallen kan dit betekenen dat onveranderlijke beleidsregels alleen worden toegepast op gegevens die niet onder de AVG vallen, zoals geanonimiseerde gegevens of gegevens die zijn verzameld voor specifieke wettelijke doeleinden. In andere gevallen kan het betekenen dat er uitzonderingen worden gemaakt voor AVG-verzoeken, waarbij de onveranderlijke beleidsregel wordt verwijderd of aangepast om te voldoen aan het verzoek van de betrokkene. Het is belangrijk om deze afwegingen te documenteren en te integreren in het privacybeleid van de organisatie. Het documenteren en koppelen van compliance-vereisten aan geconfigureerde onveranderlijke opslagbeleidsregels vormt een essentieel onderdeel van effectief compliance management. Deze documentatie helpt niet alleen bij audits door duidelijk te maken waarom bepaalde beleidsregels zijn geconfigureerd, voor hoe lang, en welke compliance-vereisten ze adresseren, maar het helpt ook bij het beheren van de beleidsregels gedurende hun levenscyclus. Organisaties moeten regelmatig hun compliance-status controleren en verifiëren dat alle vereiste containers zijn beschermd met onveranderlijke beleidsregels, en dat deze beleidsregels voldoen aan de actuele compliance-vereisten. Dit omvat ook het monitoren van wijzigingen in regelgeving en het aanpassen van beleidsregels wanneer nieuwe vereisten worden geïntroduceerd of bestaande vereisten worden gewijzigd.
Remediatie
Gebruik PowerShell-script immutable-storage-policies.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer monitoring en controles uitwijzen dat containers niet zijn beschermd met onveranderlijke opslagbeleidsregels, of dat bestaande beleidsregels onjuist zijn geconfigureerd, moet onmiddellijk en doortastend actie worden ondernomen om deze beveiligingskloof te herstellen. Remediatie van ontbrekende of onjuist geconfigureerde onveranderlijke opslagbeleidsregels is een kritieke beveiligingsmaatregel die moet worden uitgevoerd volgens een gestructureerd en gedocumenteerd proces om ervoor te zorgen dat alle stappen correct worden uitgevoerd en dat de beveiligingsstatus van de organisatie wordt hersteld. Het remediatieproces begint met een grondige inventarisatie en identificatie van alle containers die onveranderlijke opslagbeleidsregels nodig hebben maar deze nog niet hebben geconfigureerd. Dit omvat containers die kritieke gegevens bevatten zoals backups, audit logs, compliance-documenten, financiële records, en andere gevoelige informatie die bescherming vereist tegen onbevoegde wijzigingen, verwijderingen of ransomware-aanvallen. Het PowerShell-script dat bij deze beveiligingscontrole hoort, kan worden gebruikt om automatisch alle dergelijke containers te identificeren en te categoriseren op basis van hun inhoud, beveiligingsvereisten, en de aard van de gegevens die ze bevatten. Deze categorisatie helpt bij het prioriteren van de remediatie-activiteiten, waarbij containers met de meest kritieke gegevens de hoogste prioriteit krijgen. Voor elke container die een onveranderlijke beleidsregel nodig heeft, moet zorgvuldig worden bepaald welk type beleidsregel het meest geschikt is voor het specifieke gebruiksscenario en de compliance-vereisten. Tijdgebaseerde bewaarbeleidsregels zijn bij uitstek geschikt voor gegevens die voor een vaste en bekende periode moeten worden bewaard, zoals backups die zeven jaar moeten worden bewaard voor compliance-doeleinden, of audit logs die moeten worden bewaard volgens specifieke archiveringsvereisten. Deze beleidsregels bieden voorspelbaarheid en duidelijkheid over wanneer gegevens kunnen worden verwijderd, wat belangrijk is voor kostenbeheer en compliance-planning. Juridische bewaarbeleidsregels daarentegen zijn geschikt voor gegevens die moeten worden bewaard voor juridische procedures, onderzoeken, of rechtszaken, waarbij de exacte bewaartermijn nog niet bekend is en kan variëren afhankelijk van de voortgang van de juridische procedures. Deze beleidsregels bieden de flexibiliteit die nodig is voor juridische doeleinden, terwijl ze toch de vereiste bescherming bieden. Bij het configureren van tijdgebaseerde bewaarbeleidsregels moet de juiste bewaartermijn worden gekozen op basis van een zorgvuldige afweging van compliance-vereisten, organisatorisch beleid, de aard van de gegevens, en de kostenimplicaties. Het is belangrijk om niet te kort te kiezen, omdat de bewaartermijn niet kan worden verkort zodra de beleidsregel actief is, wat betekent dat organisaties vastzitten aan de gekozen periode totdat deze verloopt. Als de bewaartermijn te kort is gekozen, kan dit leiden tot problemen bij het voldoen aan compliance-vereisten of het verliezen van gegevens die nog nodig zijn. Aan de andere kant kan het kiezen van een bewaartermijn die te lang is leiden tot onnodige opslagkosten, vooral wanneer blob versioning is ingeschakeld, en kan het problemen veroorzaken bij het voldoen aan AVG-vereisten zoals het recht op verwijdering. Organisaties moeten daarom een grondige analyse uitvoeren voordat ze de bewaartermijn vaststellen. Voor containers die al gegevens bevatten, is het belangrijk om te begrijpen dat onveranderlijke beleidsregels alleen van toepassing zijn op nieuwe blobs of op bestaande blobs die nog geen onveranderlijke beleidsregel hebben geconfigureerd. Bestaande blobs kunnen niet retroactief worden beschermd met een onveranderlijke beleidsregel, tenzij ze worden gekopieerd naar een nieuwe blob of gemigreerd naar een nieuwe container. In sommige gevallen kan het nodig zijn om bestaande gegevens te migreren naar nieuwe containers met onveranderlijke beleidsregels, wat een zorgvuldige planning vereist om ervoor te zorgen dat de migratie correct wordt uitgevoerd zonder gegevensverlies of serviceonderbrekingen. Deze migratie moet worden uitgevoerd tijdens geplande onderhoudsvensters en moet worden getest voordat deze wordt toegepast op productiegegevens. Het remediatieproces moet volledig worden gedocumenteerd en geaudit om ervoor te zorgen dat alle wijzigingen kunnen worden getraceerd en geverifieerd. Dit betekent dat alle wijzigingen moeten worden geregistreerd in audit logs, inclusief wie de beleidsregels heeft geconfigureerd, wanneer dit is gebeurd, welke containers zijn beschermd, welke bewaartermijnen zijn ingesteld, en de reden voor de configuratie. Deze documentatie is essentieel voor compliance-audits en helpt bij het begrijpen van de beveiligingsstatus van de organisatie. Het helpt ook bij het identificeren van patronen of problemen die kunnen wijzen op systematische problemen die moeten worden aangepakt. Na het configureren van onveranderlijke opslagbeleidsregels moet worden geverifieerd dat de beleidsregels correct werken en de beoogde bescherming bieden. Dit kan worden gedaan door te proberen een blob te wijzigen of te verwijderen in een container met een actieve onveranderlijke beleidsregel. Als de wijziging of verwijdering wordt toegestaan, duidt dit op een configuratiefout of een probleem met de implementatie die onmiddellijk moet worden opgelost. Deze verificatie moet worden uitgevoerd voor elke container waarop een beleidsregel is geconfigureerd, en de resultaten moeten worden gedocumenteerd. Het is ook belangrijk om periodiek deze verificatie te herhalen om ervoor te zorgen dat de beleidsregels blijven functioneren zoals bedoeld. Organisaties moeten ook een duidelijk en gedocumenteerd proces hebben voor het beheren van onveranderlijke beleidsregels gedurende hun gehele levenscyclus. Dit omvat het monitoren van wanneer beleidsregels verlopen, het evalueren of gegevens moeten worden behouden of verwijderd na het verlopen van de bewaartermijn, en het beheren van juridische bewaarbeleidsregels die moeten worden verwijderd wanneer juridische procedures zijn afgerond. Dit proces moet worden geïntegreerd in het algemene gegevenslevenscyclusbeheerbeleid van de organisatie en moet duidelijke richtlijnen bevatten over wie verantwoordelijk is voor het nemen van beslissingen over het behouden of verwijderen van gegevens, en welke criteria worden gebruikt om deze beslissingen te nemen. Tot slot is het belangrijk om te zorgen voor continue en proactieve monitoring na remediatie. Zelfs nadat alle vereiste containers zijn beschermd met onveranderlijke beleidsregels, moeten organisaties blijven monitoren op nieuwe containers die mogelijk ook bescherming nodig hebben, op wijzigingen aan bestaande beleidsregels die mogelijk wijzen op onbevoegde toegang of configuratiefouten, en op containers waarvan de inhoud of classificatie is gewijzigd waardoor ze nu bescherming nodig hebben. Deze continue monitoring zorgt ervoor dat de beveiligingsstatus van de organisatie op peil blijft en dat nieuwe risico's tijdig worden geïdentificeerd en aangepakt.
Compliance & Frameworks
- BIO: 12.03 - gegevensbescherming
- ISO 27001:2022: A.8.13 - Informatiebackup
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Immutable Storage Policies
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 3.12
Controleert immutable storage policies voor compliance.
.NOTES
Filename: immutable-storage-policies.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 3.12
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Storage
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Immutable Storage Policies"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer immutable policies op containers voor:" -ForegroundColor Gray
Write-Host " - Time-based retention policies" -ForegroundColor Gray
Write-Host " - Legal hold policies" -ForegroundColor Gray
Write-Host " - WORM (Write Once Read Many) compliance" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Immutable storage policies" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer immutable policies op containers voor:" -ForegroundColor Gray
Write-Host " - Time-based retention policies" -ForegroundColor Gray
Write-Host " - Legal hold policies" -ForegroundColor Gray
Write-Host " - WORM (Write Once Read Many) compliance" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Immutable storage policies" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
High: Veranderbare backups vormen een kritiek beveiligingsrisico omdat ransomware-aanvallen backups kunnen verwijderen of versleutelen, waardoor organisaties hun laatste verdedigingslinie verliezen. Zonder onveranderlijke opslagbeleidsregels kunnen zelfs beheerders met de hoogste rechten backups per ongeluk of opzettelijk verwijderen, wat kan leiden tot onherstelbaar gegevensverlies. Onveranderlijke opslag implementeert het WORM-principe (Write Once Read Many), wat betekent dat backups volledig beschermd zijn tegen ransomware, onbevoegde wijzigingen en accidentele verwijdering. Voor financiële instellingen is onveranderlijke opslag verplicht voor compliance met SEC 17a-4 en FINRA regelgeving, die vereisen dat bepaalde records onveranderlijk worden bewaard. Het risico is HOOG voor backups omdat zonder onveranderlijke opslagbeleidsregels organisaties kwetsbaar zijn voor ransomware-aanvallen die alle herstelopties kunnen elimineren.
Management Samenvatting
Onveranderlijke opslagbeleidsregels bieden tijdgebaseerde bewaarbeleidsregels (WORM) voor backup containers die garanderen dat blobs niet kunnen worden verwijderd of gewijzigd gedurende de bewaartermijn, zelfs niet door beheerders met de hoogste rechten. Dit creëert ransomware-bestendige backups die essentieel zijn voor een effectieve rampherstelstrategie. Activatie gebeurt via de Azure Portal of PowerShell door een onveranderlijkheidsbeleidsregel te configureren op de opslagcontainer. De functionaliteit zelf is gratis, hoewel blob versioning (een vereiste) kan leiden tot extra opslagkosten. Voor financiële instellingen is onveranderlijke opslag verplicht voor compliance met SEC 17a-4 en FINRA regelgeving. Implementatie duurt typisch 3-5 uur, inclusief planning, configuratie en verificatie. Deze maatregel is KRITISCH voor backup bescherming en moet worden geïmplementeerd voor alle containers die kritieke backups bevatten.
- Implementatietijd: 5 uur
- FTE required: 0.05 FTE