💼 Management Samenvatting
Security architecture vormt de fundamentele basis voor een veerkrachtig, schaalbaar en beheersbaar beveiligingslandschap binnen Nederlandse overheidsorganisaties. Dit index-artikel beschrijft de overkoepelende principes, strategieën en best practices voor het ontwerpen en implementeren van een samenhangende beveiligingsarchitectuur die aansluit bij de Nederlandse Baseline voor Veilige Cloud. Het artikel positioneert security architecture als de ruggengraat die alle beveiligingsmaatregelen, processen en governance met elkaar verbindt tot een consistent geheel.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
9/10
Implementatie
260u (tech: 160u)
Van toepassing op:
✓ Azure
✓ M365
✓ On-premises
✓ Hybride omgevingen
✓ M365
✓ On-premises
✓ Hybride omgevingen
Zonder een doordachte security architecture ontstaan versnipperde, inconsistente beveiligingslandschappen waarin maatregelen ad hoc worden toegepast, compliance-vereisten moeilijk aantoonbaar zijn en het risico op security-incidenten aanzienlijk toeneemt. Nederlandse overheidsorganisaties moeten voldoen aan strenge eisen vanuit de Baseline Informatiebeveiliging Overheid (BIO), de NIS2 richtlijn, de AVG en sectorspecifieke wetgeving. Een gestructureerde security architecture zorgt ervoor dat technische maatregelen zoals toegangscontrole, encryptie, logging en monitoring zijn ingebed in een formeel vastgesteld beveiligingskader met duidelijke rollen, besluitvormingslijnen en design patterns. Dit maakt het mogelijk om consistent beveiligingsbeslissingen te nemen, nieuwe diensten en technologieën op een veilige manier te integreren, en aantoonbaar te voldoen aan compliance-vereisten bij audits en toezicht.
PowerShell Modules Vereist
Primary API: Microsoft 365 Admin Center, Azure Portal
Connection:
Required Modules: Microsoft.Graph, Az.Accounts
Connection:
Connect-MgGraph, Connect-AzAccountRequired Modules: Microsoft.Graph, Az.Accounts
Implementatie
Dit index-artikel positioneert security architecture binnen de Nederlandse Baseline voor Veilige Cloud en beschrijft hoe organisaties een samenhangend beveiligingslandschap kunnen opbouwen dat voldoet aan de eisen van de BIO, de NIS2 richtlijn en andere relevante wet- en regelgeving. We behandelen fundamentele concepten zoals Defense in Depth, Zero Trust, security by design, en laten zien hoe deze worden vertaald naar concrete architectuurpatronen en technische implementaties. Het artikel fungeert als kapstok voor meer specifieke artikelen over beveiligingsontwerp, identity governance, netwerksegmentatie, data protection, logging en monitoring, en beschrijft hoe deze onderdelen samenkomen in een volwassen, aantoonbaar beveiligde IT-omgeving. Daarnaast biedt het artikel handvatten voor governance, architectuurbeheer en periodieke evaluatie van de beveiligingsvolwassenheid.
Fundamenten van Security Architecture
Security architecture is een strategisch kader dat technische maatregelen, organisatorische processen en governance met elkaar verbindt tot een samenhangend geheel dat de vertrouwelijkheid, integriteit en beschikbaarheid van informatie en IT-diensten waarborgt. In tegenstelling tot ad-hoc implementaties waarbij beveiligingsmaatregelen los van elkaar worden opgezet, vormt een doordachte security architecture de ruggengraat die ervoor zorgt dat alle componenten – van identiteiten tot netwerken, van applicaties tot data, van on-premises systemen tot cloudservices – op een consistente, beveiligde en beheersbare manier samenwerken. Deze architectuur moet expliciet rekening houden met de specifieke eisen die gelden voor Nederlandse overheidsorganisaties, waaronder de Baseline Informatiebeveiliging Overheid (BIO), de NIS2 richtlijn, de Algemene Verordening Gegevensbescherming (AVG) en sectorale wetgeving zoals de Archiefwet.
De primaire rol van security architecture is het waarborgen van een veerkrachtige, betrouwbare en compliance-gerichte IT-omgeving waarin organisaties hun digitale dienstverlening kunnen uitvoeren zonder onnodige risico's op beveiligingsincidenten, datalekken of serviceonderbrekingen. Dit betekent dat architectuurkeuzes niet alleen technisch correct moeten zijn, maar ook aantoonbaar moeten voldoen aan wettelijke en bestuurlijke vereisten. Een goed ontworpen security architecture maakt het mogelijk om te bewijzen dat passende maatregelen zijn genomen om gegevens te beschermen, dat beveiligingsprocessen daadwerkelijk werken en dat de organisatie in staat is om snel te reageren op beveiligingsincidenten en dreigingen. Voor auditors, toezichthouders en bestuurders biedt een gedocumenteerde security architecture transparantie over hoe beveiliging is ingericht en hoe deze wordt onderhouden en geëvalueerd.
De scope van security architecture binnen de Nederlandse Baseline voor Veilige Cloud omvat alle lagen van de IT-stack: van de fysieke en netwerkinfrastructuur tot applicaties en data, van identiteits- en toegangsbeheer tot monitoring en incident response. Het beveiligingslandschap moet rekening houden met verschillende workload-typen – van Infrastructure as a Service (IaaS) virtuele machines tot Platform as a Service (PaaS) applicaties en Software as a Service (SaaS) integraties – en moet schaalbaar zijn van kleine pilots tot enterprise-omgevingen die duizenden gebruikers en honderden applicaties ondersteunen. Daarnaast moet de architectuur flexibel genoeg zijn om te kunnen evolueren met nieuwe technologieën en veranderende dreigingen, terwijl de fundamentele beveiligingsprincipes consistent blijven.
Een fundamenteel concept binnen security architecture is Defense in Depth, een strategie waarbij meerdere beveiligingslagen worden geïmplementeerd om de kans op succesvolle aanvallen te minimaliseren en de impact te beperken wanneer één laag faalt. Deze lagen omvatten typisch: identiteits- en toegangsbeheer, netwerkbeveiliging, compute-beveiliging, applicatiebeveiliging, data-beveiliging, logging en monitoring, en governance. Elke laag biedt onafhankelijke bescherming, zodat wanneer één laag wordt doorbroken, andere lagen nog steeds actief zijn om verdere escalatie te voorkomen. Defense in Depth voorkomt dat organisaties afhankelijk worden van een enkele beveiligingsmaatregel, wat een kritiek kwetsbaar punt zou vormen in het beveiligingslandschap.
Zero Trust is een ander fundamenteel principe dat centraal staat in moderne security architecture. Zero Trust gaat uit van het uitgangspunt dat geen enkele gebruiker, apparaat of netwerkverbinding automatisch vertrouwd wordt, ongeacht of deze zich binnen of buiten de organisatie bevindt. In plaats daarvan wordt elke toegang expliciet geverifieerd en geautoriseerd op basis van identiteit, apparaatstatus, locatie, risicoscore en andere contextuele factoren. Zero Trust vereist een verschuiving van traditionele perimetergebaseerde beveiliging naar identiteits- en data-gedreven beveiliging, waarbij bescherming wordt geboden op het niveau van individuele resources en transacties. Dit principe is bijzonder relevant voor hybride en cloudomgevingen waarin de traditionele netwerkperimeter niet meer bestaat.
Governance en Compliance
Governance rond security architecture raakt meerdere disciplines: enterprise architectuur, informatiebeveiliging, cloud governance, compliance en risk management. Zonder een helder governance-model ontstaat het risico dat architectuurkeuzes versnipperd worden gemaakt, dat verschillende teams verschillende standaarden hanteren, en dat niemand zich eigenaar voelt van de integrale beveiligingsstrategie. Een effectief governance-model benoemt daarom ten minste een enterprise architect die verantwoordelijk is voor de overkoepelende architectuurvisie, een security architect die de beveiligingsarchitectuur beheert, een cloud architect die de technische cloud-architectuur beheert, en expliciete rollen voor CISO, privacy officer en compliance officer. Deze rollen worden vertaald naar concrete taken: wie keurt nieuwe beveiligingspatronen goed, wie beoordeelt afwijkingen van standaarden, wie beheert de architectuurdocumentatie, en wie beslist over het uitfaseren van verouderde componenten.
Op compliancegebied vormt security architecture een kruispunt van verschillende wettelijke kaders. De AVG vereist dat persoonsgegevens adequaat worden beveiligd en dat organisaties kunnen aantonen welke technische en organisatorische maatregelen zijn genomen. De BIO en NIS2 leggen eisen op rond informatiebeveiliging, incident response en beveiligingsvolwassenheid. ISO 27001 biedt een internationaal erkend framework voor informatiebeveiligingsmanagement. Deze compliance-vereisten moeten expliciet worden vertaald naar architectuurkeuzes: welke beveiligingspatronen worden gebruikt, hoe wordt toegang gecontroleerd, hoe worden logs bewaard, en hoe wordt incident response georganiseerd. Dit index-artikel moet daarom expliciet worden gelezen in samenhang met andere artikelen binnen de Nederlandse Baseline voor Veilige Cloud, zoals de artikelen over defense in depth implementatie, zero trust architectuur, identity governance, en logging en monitoring. Samen vormen zij een consistent raamwerk: dit artikel schetst de overkoepelende lijnen, terwijl de deelartikelen verdieping bieden op specifieke beveiligingspatronen en technische implementaties.
Voor auditors en toezichthouders is vooral van belang dat de samenhang tussen beleid, architectuur, implementatie en operationele controles aantoonbaar is. Dat betekent dat u niet alleen architectuurdiagrammen en procesbeschrijvingen beschikbaar heeft, maar ook concreet kunt laten zien welke resources er zijn, hoe deze zijn geconfigureerd, hoe vaak beveiligingsassessments worden uitgevoerd en welke verbeteracties zijn ondernomen na incidenten of bevindingen. De in dit domein beschreven PowerShell-scripts – waaronder het index-script bij dit artikel en de scripts voor specifieke beveiligingscomponenten – helpen om deze informatie snel en reproduceerbaar te verzamelen. Door hun output te koppelen aan dashboards en rapportages wordt governance niet beperkt tot papieren documenten, maar ondersteund door actuele operationele data die aantoonbaar maakt dat de security architecture daadwerkelijk wordt nageleefd en onderhouden.
Implementatieroadmap
De implementatie van een volwassen security architecture verloopt zelden in één grote stap, maar groeit geleidelijk van een solide basis naar een geavanceerd, geoptimaliseerd landschap. In de eerste fase wordt de fundamentele basis gelegd: een goed gestructureerd beveiligingsbeleid waarin per dienst wordt vastgesteld welke beveiligingsvereisten gelden, welke data wordt verwerkt en welk niveau van bescherming benodigd is. Voor elk kritiek systeem worden expliciete beveiligingsdoelstellingen vastgesteld, bijvoorbeeld een bepaald niveau van encryptie, toegangscontrole of monitoring. Deze doelstellingen vormen de harde ontwerpcriteria voor de IT-architectuur en voorkomen discussies op het moment van een incident.
Vervolgens wordt per workload bepaald welke beveiligingsstrategie passend en haalbaar is. Voor niet-kritieke systemen kan een basis beveiligingspakket voldoende zijn, waarbij standaard beveiligingsmaatregelen worden toegepast zoals multi-factor authenticatie, basis encryptie en standaard logging. Voor bedrijfskritieke workloads is doorgaans een combinatie van meerdere beveiligingslagen nodig. Dit kan bestaan uit geavanceerde identity protection, netwerksegmentatie, geavanceerde threat detection, en het inzetten van geavanceerde monitoring- en responsetechnologieën. Belangrijk is dat de gekozen strategie niet alleen technisch mogelijk, maar ook financieel verantwoord en beheersbaar is.
In de volwassenheidsfase wordt de security architecture geoptimaliseerd en geautomatiseerd. Infrastructure as Code (IaC) zorgt voor reproduceerbare, versiebeheerde omgevingen. Geautomatiseerde compliance-controles en beveiligingsassessments worden regelmatig uitgevoerd om te verifiëren dat de architectuur nog steeds voldoet aan alle vereisten. Advanced monitoring, behavioral analytics en machine learning-gebaseerde detectie helpen om potentiële bedreigingen vroegtijdig te identificeren. Governance wordt volwassen met geautomatiseerde rapportages, dashboards voor bestuurders en geïntegreerde change management processen. Door deze fasering expliciet te maken in een roadmap – met duidelijke mijlpalen, beslismomenten en success criteria – ontstaat voorspelbaarheid voor bestuurders en wordt het eenvoudiger om investeringen, risico's en baten te verantwoorden.
Monitoring en Evaluatie
Gebruik PowerShell-script index.ps1 (functie Invoke-Monitoring) – Geeft een overzicht van de belangrijkste security architecture componenten en controleert of basiselementen aanwezig en correct geconfigureerd zijn..
Monitoring van het security architecture landschap gaat verder dan het bewaken van individuele resources. Bestuurders, enterprise architects en security teams hebben behoefte aan een samenvattend beeld: welke beveiligingsmaatregelen zijn actief, hoe is de beveiligingsstatus ingericht, welke workloads zijn beschermd, en zijn er signalen dat de beveiligingsarchitectuur niet meer voldoet aan compliance-vereisten. Het index-script bij dit artikel inventariseert de belangrijkste beveiligingscomponenten en vertaalt die naar een compacte managementsamenvatting: hoeveel workloads zijn beschermd, hoeveel beveiligingsservices zijn geconfigureerd, welke workloads hebben recente beveiligingsassessments ondergaan, en voor welke onderdelen aanvullende acties nodig zijn. Dit vormt een startpunt voor diepgaandere analyses met gespecialiseerde scripts voor specifieke beveiligingscomponenten, en helpt om het gesprek met bestuur en auditcommissies te structureren rond feitelijke cijfers en meetbare beveiligingsvolwassenheid.
Effectieve security architecture monitoring omvat zowel technische als governance-aspecten. Technisch gezien moet worden gemonitord of resources correct zijn geconfigureerd volgens de beveiligingsstandaarden, of beveiligingsservices actief zijn en correct functioneren, en of er afwijkingen zijn die kunnen wijzen op security risico's of compliance-problemen. Governance-monitoring richt zich op de vraag of beveiligingsprincipes worden nageleefd, of documentatie actueel is, of change management processen correct worden gevolgd, en of er regelmatige reviews plaatsvinden om de beveiligingsarchitectuur te evalueren en te verbeteren. Door beide aspecten te combineren ontstaat een compleet beeld van de beveiligingsvolwassenheid en kunnen gerichte verbeteracties worden ondernomen om de architectuur verder te professionaliseren.
Remediatie en Volwassenwording
Gebruik PowerShell-script index.ps1 (functie Invoke-Remediation) – Genereert overzichten van beveiligingshiaten en biedt handvatten voor gerichte verbeteracties om de beveiligingsvolwassenheid te verhogen..
Remediatie binnen het security architecture domein betekent in de praktijk dat u gaten dicht tussen de gewenste beveiligingsarchitectuur en de werkelijkheid. In veel organisaties bestaan al wel beleidsdocumenten over cloudgebruik, informatiebeveiliging en beveiligingsprincipes, maar ontbreekt concrete vastlegging van hoe deze worden vertaald naar configuraties, welke resources daadwerkelijk zijn ingericht, en hoe de beveiligingsarchitectuur wordt onderhouden en geëvalueerd. Het index-script ondersteunt remediatie door automatisch te inventariseren waar beveiligingsstandaarden niet worden nageleefd, waar beveiligingsservices ontbreken, en waar documentatie verouderd of incompleet is. Op basis van deze inventarisatie kunnen gerichte verbeteracties worden gepland en uitgevoerd, waarbij prioriteit wordt gegeven aan de meest kritieke hiaten die de grootste impact hebben op beveiliging en compliance.
Een volwassen security architecture groeit stap voor stap door continue verbetering. Na elke monitoringsronde worden de belangrijkste verbeterpunten vastgelegd, van een eigenaar voorzien en ingepland in het reguliere change- of verbeterportfolio. Denk aan het standaardiseren van beveiligingspatronen, het implementeren van ontbrekende beveiligingsservices, het verbeteren van netwerksegmentatie, het actualiseren van beveiligingsdocumentatie of het invoeren van geautomatiseerde compliance-controles. Door de resultaten van het index-script te combineren met de uitkomsten van gespecialiseerde scripts voor specifieke beveiligingscomponenten ontstaat een integraal beeld van de voortgang. Uiteindelijk wordt security architecture zo niet alleen een technisch ontwerp, maar een aantoonbaar beheerst en verantwoord ingericht fundament voor de digitale dienstverlening van de organisatie, dat continu wordt geëvalueerd en verbeterd om te blijven voldoen aan veranderende eisen en dreigingen.
Compliance & Frameworks
- BIO: 05.01, 05.02, 05.03, 09.01, 12.01, 12.02, 12.03 - Beveiligingsarchitectuur en design, toegangsbeheer, logging en monitoring, en beveiligingsmaatregelen binnen informatiebeveiligingsmanagement voor overheidsorganisaties.
- ISO 27001:2022: A.5.1, A.8.2, A.12.4, A.14.1, A.17.1.1 - Policies voor informatiebeveiliging, asset management, logging en monitoring, security requirements voor development, en information security continuity planning.
- NIS2: Artikel - Versterking van digitale weerbaarheid door gecontroleerde inzet van beveiligingsmaatregelen, inclusief governance, monitoring en incident response.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Overzichtsmonitoring en remediatie voor security architecture landschap
.DESCRIPTION
Geeft een samenvattend beeld van de belangrijkste security architecture componenten
(beveiligingsmaatregelen, configuraties, documentatie en compliance) binnen de
repository en ondersteunt het gericht dichten van hiaten in beveiligingsstandaarden
en configuratieregisters.
.NOTES
Filename: index.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-01-27
Last Modified: 2025-01-27
Version: 1.0
Related JSON: content/general/security-architecture/index.json
.LINK
https://github.com/[org]/m365-tenant-best-practise
.EXAMPLE
.\index.ps1 -Monitoring
Toont een samenvattend overzicht van security architecture componenten en configuratiestatus.
.EXAMPLE
.\index.ps1 -Remediation
Genereert een basisoverzicht en, indien gewenst, templates voor ontbrekende beveiligingsdocumentatie.
#>
#Requires -Version 5.1
[CmdletBinding()]
param(
[Parameter(HelpMessage = "Voer een samenvattende monitoring uit van het security architecture landschap.")]
[switch]$Monitoring,
[Parameter(HelpMessage = "Genereer remediatie-overzichten en optioneel documentatietemplates.")]
[switch]$Remediation,
[Parameter(HelpMessage = "Toon welke acties zouden worden uitgevoerd zonder daadwerkelijk te wijzigen.")]
[switch]$WhatIf
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
function Get-RepositoryRoot {
<#
.SYNOPSIS
Bepaalt de rootmap van de repository op basis van de locatie van dit script.
.OUTPUTS
String met pad naar repository-root.
#>
[CmdletBinding()]
param()
$parentPath = Split-Path -Parent $PSScriptRoot
$grandParentPath = Split-Path -Parent $parentPath
$rootPath = Split-Path -Parent $grandParentPath
$root = Resolve-Path $rootPath -ErrorAction SilentlyContinue
if (-not $root) {
throw "Kon de repository-root niet bepalen op basis van PSScriptRoot: $PSScriptRoot"
}
return $root.Path
}
function Get-SecurityArchitectureInventory {
<#
.SYNOPSIS
Stelt een overzicht op van security architecture-gerelateerde JSON- en PS1-bestanden.
.OUTPUTS
PSCustomObject met aantallen en details.
#>
[CmdletBinding()]
param()
$repoRoot = Get-RepositoryRoot
$paths = @(
"content\general\security-architecture",
"content\design\security",
"content\azure\architecture",
"content\azure\network-security",
"content\blogs\best-practices"
)
$contentPaths = @()
foreach ($path in $paths) {
$contentPaths += Join-Path $repoRoot $path
}
$codePathsList = @(
"code\general\security-architecture",
"code\design\security",
"code\azure\architecture",
"code\azure\network-security",
"code\blogs\best-practices"
)
$codePaths = @()
foreach ($path in $codePathsList) {
$codePaths += Join-Path $repoRoot $path
}
$jsonFiles = @()
foreach ($path in $contentPaths) {
if (Test-Path -Path $path) {
$files = Get-ChildItem -Path $path -Filter "*.json" -File -ErrorAction SilentlyContinue |
Where-Object { $_.Name -match "(security|architecture|defense|zero.trust)" }
$jsonFiles += $files
}
}
$ps1Files = @()
foreach ($path in $codePaths) {
if (Test-Path -Path $path) {
$files = Get-ChildItem -Path $path -Filter "*.ps1" -File -ErrorAction SilentlyContinue |
Where-Object { $_.Name -match "(security|architecture|defense|zero.trust)" }
$ps1Files += $files
}
}
$byName = @{}
foreach ($json in $jsonFiles) {
$base = [System.IO.Path]::GetFileNameWithoutExtension($json.Name)
if (-not $byName.ContainsKey($base)) {
$byName[$base] = [pscustomobject]@{
Name = $base
JsonPath = $null
JsonUpdated = $null
ScriptPath = $null
ScriptUpdated= $null
}
}
$entry = $byName[$base]
$entry.JsonPath = $json.FullName
$entry.JsonUpdated = $json.LastWriteTime
$byName[$base] = $entry
}
foreach ($ps1 in $ps1Files) {
$base = [System.IO.Path]::GetFileNameWithoutExtension($ps1.Name)
if (-not $byName.ContainsKey($base)) {
$byName[$base] = [pscustomobject]@{
Name = $base
JsonPath = $null
JsonUpdated = $null
ScriptPath = $null
ScriptUpdated= $null
}
}
$entry = $byName[$base]
$entry.ScriptPath = $ps1.FullName
$entry.ScriptUpdated = $ps1.LastWriteTime
$byName[$base] = $entry
}
$items = $byName.Values | Sort-Object Name
$missingJson = $items | Where-Object { -not $_.JsonPath }
$missingScript = $items | Where-Object { -not $_.ScriptPath }
return [pscustomobject]@{
RepositoryRoot = $repoRoot
Items = $items
MissingJson = $missingJson
MissingScripts = $missingScript
TotalControls = $items.Count
WithJsonAndPs1 = ($items | Where-Object { $_.JsonPath -and $_.ScriptPath }).Count
}
}
function New-SecurityArchitectureDocumentationTemplate {
<#
.SYNOPSIS
Maakt een eenvoudige Markdown-template aan voor aanvullende security architecture documentatie.
#>
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
[string]$Name,
[Parameter(Mandatory = $true)]
[string]$OutputPath
)
$template = @"
# Security Architecture component: $Name
**Laatst bijgewerkt:** $(Get-Date -Format "yyyy-MM-dd")
**Documentatie-eigenaar:** [Naam / functie]
**Status:** Concept
## 1. Rol in het security architecture landschap
[Beschrijf hoe deze component (artikel, script of control) past in de totale beveiligingsarchitectuur.]
## 2. Beveiligingsprincipes en design patterns
[Beschrijf welke beveiligingsprincipes en design patterns worden toegepast, inclusief Defense in Depth en Zero Trust concepten.]
## 3. Technische implementatie
[Beschrijf de concrete services, configuraties en koppelingen voor beveiliging, toegangscontrole, encryptie en monitoring.]
## 4. Compliance en governance
[Beschrijf hoe wordt voldaan aan BIO, NIS2, AVG en andere relevante kaders voor beveiligingsarchitectuur.]
## 5. Monitoring en verbeterpunten
[Beschrijf monitoringindicatoren, beveiligingsassessments, bekende verbeterpunten en evaluatiemomenten.]
"@
$folder = Split-Path -Path $OutputPath -Parent
if (-not (Test-Path -Path $folder)) {
New-Item -Path $folder -ItemType Directory -Force | Out-Null
}
$template | Out-File -FilePath $OutputPath -Encoding UTF8
Write-Host " Template gegenereerd: $OutputPath" -ForegroundColor Green
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Voert een samenvattende monitoring uit van security architecture componenten.
.OUTPUTS
PSCustomObject met overzichtsresultaten.
#>
[CmdletBinding()]
param()
Write-Host "`nMonitoring: Security Architecture overzicht" -ForegroundColor Yellow
Write-Host "============================================" -ForegroundColor Yellow
$inventory = Get-SecurityArchitectureInventory
Write-Host "`nRepository-root: $($inventory.RepositoryRoot)" -ForegroundColor Cyan
Write-Host "Totaal security architecture controls (JSON/PS1-combinaties): $($inventory.TotalControls)" -ForegroundColor Cyan
Write-Host "Volledig gekoppeld (JSON + PS1): $($inventory.WithJsonAndPs1)" -ForegroundColor Cyan
if ($inventory.MissingJson.Count -gt 0) {
Write-Host "`n❌ Ontbrekende JSON voor de volgende scripts:" -ForegroundColor Red
foreach ($item in $inventory.MissingJson) {
Write-Host " - $($item.Name) (script: $($item.ScriptPath))" -ForegroundColor Red
}
}
if ($inventory.MissingScripts.Count -gt 0) {
Write-Host "`n❌ Ontbrekende PS1-scripts voor de volgende JSON-bestanden:" -ForegroundColor Red
foreach ($item in $inventory.MissingScripts) {
Write-Host " - $($item.Name) (json: $($item.JsonPath))" -ForegroundColor Red
}
}
if (($inventory.MissingJson.Count -eq 0) -and ($inventory.MissingScripts.Count -eq 0)) {
Write-Host "`n✅ Alle security architecture artikelen hebben zowel JSON als PS1." -ForegroundColor Green
}
else {
Write-Host "`n⚠️ Er zijn nog hiaten in de JSON/PS1-koppeling voor security architecture." -ForegroundColor Yellow
Write-Host " Gebruik -Remediation om gericht met deze hiaten aan de slag te gaan." -ForegroundColor Yellow
}
return [pscustomobject]@{
Inventory = $inventory
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Ondersteunt remediatie door ontbrekende componenten inzichtelijk te maken en optioneel documentatietemplates te genereren.
.OUTPUTS
PSCustomObject met remediatieadvies.
#>
[CmdletBinding()]
param()
Write-Host "`nRemediatie: Security Architecture overzicht" -ForegroundColor Yellow
Write-Host "===========================================" -ForegroundColor Yellow
$inventory = Get-SecurityArchitectureInventory
$repoRoot = $inventory.RepositoryRoot
$docRoot = Join-Path $repoRoot "documentatie\security-architecture"
if (-not (Test-Path -Path $docRoot)) {
New-Item -Path $docRoot -ItemType Directory -Force | Out-Null
}
$actions = @()
foreach ($item in $inventory.Items) {
$action = [pscustomobject]@{
Name = $item.Name
HasJson = [bool]$item.JsonPath
HasScript = [bool]$item.ScriptPath
DocumentationPath = $null
DocumentationExists = $false
}
$docFile = Join-Path $docRoot ("sa-" + $item.Name + ".md")
$action.DocumentationPath = $docFile
$action.DocumentationExists = Test-Path -Path $docFile
if (-not $action.DocumentationExists -and -not $WhatIf) {
New-SecurityArchitectureDocumentationTemplate -Name $item.Name -OutputPath $docFile
}
elseif (-not $action.DocumentationExists -and $WhatIf) {
Write-Host " [WhatIf] Zou documentatietemplate aanmaken: $docFile" -ForegroundColor Yellow
}
$actions += $action
}
Write-Host "`nSamenvatting remediatie-status:" -ForegroundColor Cyan
Write-Host (" Items zonder JSON: {0}" -f ($actions | Where-Object { -not $_.HasJson }).Count) -ForegroundColor Cyan
Write-Host (" Items zonder script: {0}" -f ($actions | Where-Object { -not $_.HasScript }).Count) -ForegroundColor Cyan
Write-Host (" Items zonder documentatie: {0}" -f ($actions | Where-Object { -not $_.DocumentationExists }).Count) -ForegroundColor Cyan
return $actions
}
try {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Security Architecture Overzichtsmonitor" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
if ($Monitoring) {
Invoke-Monitoring | Out-Null
}
elseif ($Remediation) {
Invoke-Remediation | Out-Null
}
else {
# Standaard: compacte compliance check via monitoring
$result = Invoke-Monitoring
if (($result.Inventory.MissingJson.Count -eq 0) -and ($result.Inventory.MissingScripts.Count -eq 0)) {
Write-Host "`n✅ COMPLIANT" -ForegroundColor Green
}
else {
Write-Host "`n❌ NON-COMPLIANT" -ForegroundColor Red
Write-Host "Run met -Remediation voor een gericht overzicht van hiaten en documentatietemplates." -ForegroundColor Yellow
}
}
}
catch {
Write-Error "Er is een fout opgetreden in index.ps1: $_"
throw
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder een doordachte security architecture ontstaan versnipperde, inconsistente IT-omgevingen waarin beveiligingsmaatregelen niet samenhangend worden toegepast, compliance-vereisten moeilijk aantoonbaar zijn en het risico op beveiligingsincidenten, datalekken en serviceonderbrekingen aanzienlijk toeneemt. Dit kan leiden tot niet-naleving van AVG, BIO en NIS2, bestuurlijke aansprakelijkheid en verlies van vertrouwen bij burgers en bestuurders.
Management Samenvatting
Een doordachte security architecture vormt de fundamentele basis voor veerkrachtige, schaalbare en beheersbare IT-omgevingen binnen de Nederlandse publieke sector. Dit index-artikel schetst de overkoepelende principes, strategieën en best practices, en fungeert als kapstok voor meer specifieke artikelen over beveiligingsontwerp, identity governance, netwerksegmentatie en monitoring.
- Implementatietijd: 260 uur
- FTE required: 1.5 FTE