💼 Management Samenvatting
Zero Trust vormt het fundament onder iedere moderne beveiligingsstrategie en is binnen de Nederlandse Baseline voor Veilige Cloud geen keuze maar een bestuurlijke verplichting. Het uitgangspunt \"nooit vertrouwen, altijd verifiëren\" vertaalt zich naar concrete eisen voor identiteiten, apparaten, netwerken, applicaties, data en infrastructuur. Dit artikel biedt een diepgaande leidraad waarmee CISO's, security-architecten en operations teams Zero Trust omzetten in aantoonbare maatregelen die de weerbaarheid van Rijksdiensten, gemeenten en uitvoeringsorganisaties drastisch verhogen.
Aanbeveling
IMPLEMENT
Risico zonder
Very High
Risk Score
9/10
Implementatie
280u (tech: 160u)
Van toepassing op:
✓ Microsoft 365
✓ Microsoft Entra ID
✓ Microsoft Defender XDR
✓ Azure
✓ Hybride netwerken
✓ Microsoft Entra ID
✓ Microsoft Defender XDR
✓ Azure
✓ Hybride netwerken
Publieke instellingen verwerken staatsgeheimen, persoonsgegevens en vitale bedrijfsprocessen over gedistribueerde workloads. Perimeters bestaan nauwelijks nog door SaaS, thuiswerken en ketensamenwerkingen. Elke gecompromitteerde beheerder kan zich ongezien door het netwerk bewegen zodra vertrouwen impliciet wordt gegeven. Bovendien eisen BIO, AVG en NIS2 dat toegang gebaseerd is op context en risico. Zonder Zero Trust ontbeert de organisatie bewijs dat privileges tijdgebonden zijn, dat apparaten compliant zijn en dat detectie en respons zonder menselijke vertraging verlopen. Incidenten escaleren daardoor sneller, toezichtshouders kunnen sancties opleggen en bestuurlijke aansprakelijkheid komt in beeld.
PowerShell Modules Vereist
Primary API: Microsoft Graph, Microsoft Defender XDR API, Intune Graph endpoints
Connection:
Required Modules: Microsoft.Graph.Beta.Profiles.Users, Microsoft.Graph.Identity.SignIns, Microsoft.Graph.DeviceManagement, Defender, Az.Accounts
Connection:
Connect-MgGraph -Scopes Policy.Read.All, DeviceManagementConfiguration.Read.All; gebruik OAuth2 client credentials voor Defender XDRRequired Modules: Microsoft.Graph.Beta.Profiles.Users, Microsoft.Graph.Identity.SignIns, Microsoft.Graph.DeviceManagement, Defender, Az.Accounts
Implementatie
Het artikel beschrijft een zero-trustbesturingsmodel dat begint bij bestuurlijke opdracht, doorloopt in een technisch referentiemodel en eindigt bij monitoring, rapportage en continue verbetering. Iedere sectie bevat rijke praktijkvoorbeelden, bevestigt de koppeling met BIO-controles en verwijst naar het PowerShell-script in deze repository waarmee teams lokaal kunnen testen, simuleren en rapportages genereren. Door beleid, techniek en bewijsvoering te integreren ontstaat een duurzaam raamwerk dat naadloos aansluit op audits, pentesten en maturity-assessments.
Bestuurlijke verankering, risicobeeld en ketenafspraken
Zero Trust slaagt alleen wanneer bestuurders expliciet opdracht geven en verantwoordelijkheden vastleggen over meerdere bestuurslagen. Het college van B&W, de secretaris-generaal of het bestuur van een zelfstandig bestuursorgaan neemt een besluit dat iedere toegang tot kroonjuwelen alleen wordt toegestaan nadat identiteit, apparaatstatus, netwerkcontext en dataclassificatie zijn geverifieerd. Dat besluit vertaalt zich in een beleidsnotitie die wordt gepubliceerd in het centrale normenkader en voorzien van een wijzigingsbeheerproces. De Functionaris Gegevensbescherming bevestigt dat logging en gedragsanalyse rechtmatig zijn, terwijl procurement clausules toevoegt aan alle contracten waarin leveranciers verplicht worden om Zero Trust-vereisten te volgen wanneer zij toegang vragen tot de tenant. Deze bestuurlijke dekking voorkomt dat Zero Trust afhankelijk is van goodwill van losse teams en zorgt voor budget, capaciteit en escalatierechten.
Het risicobeeld wordt herijkt op basis van actuele dreigingen zoals identiteitsmisbruik, pass-the-cookie-aanvallen en living-off-the-land-technieken. Security-architecten koppelen scenario's aan concrete processen: een gecompromitteerde wethouder die via Teams vertrouwelijke vergaderingen benadert, een inspecteur die gevoelige dossiers synchroniseert via een niet-goedgekeurde laptop, of een leverancier die via legacy authenticatie rechtstreeks op productie-API's inlogt. Voor elk scenario beschrijven zij de impact op beschikbaarheid, integriteit en vertrouwelijkheid en benoemen zij welke Zero Trust-controles het risico mitigeren. Dit risicoregister wordt gedeeld met interne audits en het Chief Risk Officer-overleg, zodat er één waarheid bestaat over dreigingen, kansinschatting en restrisico's.
Ketenafspraken zijn cruciaal omdat publieke organisaties steeds vaker samenwerken binnen regionale samenwerkingsverbanden, shared service centra en consortiums. Een Zero Trust-ketenovereenkomst specificeert dat externe partijen aantoonbaar multi-factor authenticatie afdwingen, device compliance rapporteren en logging delen conform afgesproken tijdlijnen. Daarnaast wordt vastgesteld hoe tokens worden uitgegeven, welke identiteitsproviders zijn toegestaan en hoe snel incidentmeldingen moeten worden doorgezet naar het Nationaal Cyber Security Centrum. Door deze afspraken juridisch te borgen, wordt voorkomen dat leveranciers alsnog legacy protocollen gebruiken of twijfelachtige uitzonderingen eisen zodra de druk oploopt.
Tot slot wordt governance vertaald naar concrete overlegstructuren. Een Zero Trust Board met vertegenwoordigers van security, operations, architectuur, hr en juridische zaken stelt kwartaaldoelen vast, beoordeelt uitzonderingen en bewaakt de roadmap. Bij deze board hoort een meetlat met KPI's zoals \"percentage beheerders dat PIM gebruikt\", \"aantal apparaten dat conditional access blokkeert\" en \"tijd tot remediatie van risicovolle sessies\". Door indicatoren te koppelen aan bestuurlijke dashboards ontstaat directe zichtbaarheid voor portefeuillehouders Digitale Veiligheid, wat cruciaal is om investeringen te continueren en verandermoeheid tegen te gaan.
Een vaak onderschat onderdeel is cultuurverandering. Medewerkers hebben uitleg nodig over waarom Zero Trust soms extra stappen vraagt, zoals herauthenticatie of het gebruik van een beheerde browser. Het programma zet daarom in op communicatiecampagnes, microlearning en simulatiesessies waarin wordt getoond hoe een aanvaller misbruik maakt van impliciet vertrouwen. Managers ontvangen voorbeeldteksten om weerstand in teams te adresseren en krijgen inzicht in prestaties via role-based dashboards. Door mensgerichte interventies naast technische maatregelen te plaatsen, wordt Zero Trust niet ervaren als een blokkade maar als een middel om maatschappelijke taken veilig uit te voeren.
Architectuurprincipes, signaalketens en automatisering
Gebruik PowerShell-script index.ps1 (functie Invoke-ZeroTrustAssessment) – Voert een integrale controle uit op kernindicatoren zoals MFA-dekking, Conditional Access-scope, device compliance en private endpoints, en genereert een risicoprofiel per pijler..
De architectuur combineert de zes Zero Trust-pijlers tot één coherente keten. Identiteiten worden beheerd via Microsoft Entra ID waarbij elke beheerrol via Privileged Identity Management wordt geactiveerd en meervoudige authenticatie verplicht is. Apparaten worden geregistreerd in Intune met compliance policies die controleren op up-to-date patches, EDR-status en BitLocker. Netwerken worden gesegmenteerd met Azure Firewall, Private Link en VLAN's voor on-premises OT-omgevingen. Applicaties worden achter app-proxy's geplaatst, krijgen workload identities met minimaal benodigde rechten en publiceren telemetry naar Azure Monitor. Data wordt geclassificeerd met Purview, versleuteld met klantbeheerde sleutels en bewaakt door DLP. Infrastructurele componenten worden beschermd door Defender for Cloud en just-in-time toegang. Al deze signalen stromen real-time naar Microsoft Sentinel waar detecties worden verrijkt met context uit HR, projectplanning en dreigingsinformatie.
Zero Trust vereist dat signalen niet los van elkaar worden beoordeeld maar worden gecorreleerd. Daarom is er een central decision engine ingericht waarin Conditional Access dynamische policies toepast. Een gebruiker met een compliant apparaat kan standaard toegang krijgen, maar zodra Identity Protection aangeeft dat een sign-in verdacht is, wordt toegang geweigerd zelfs als het apparaat gezond is. Andersom kan een laag risico-gebruiker alsnog geblokkeerd worden wanneer Defender detecteert dat het device geen recente sensorupdates heeft. Deze combinatorische logica wordt beheerd als code in Git, getest via pipelines en uitgerold met change control zodat regressies direct worden gedetecteerd.
Automatisering voorkomt dat Zero Trust verzandt in handwerk. Alle policies, netwerkregelingen en data-classificaties worden beschreven in declaratieve templates. GitOps-workflows voeren validaties uit, draaien unit tests en vereisen dubbele goedkeuring voordat wijzigingen live gaan. Het bijbehorende PowerShell-script ondersteunt deze aanpak: in debugmodus laadt het voorbeelddata zodat architecten nieuwe configuraties kunnen simuleren. In productiemodus leest het script exports uit Graph en Defender, berekent het een maturity-score per pijler en schrijft het een rapport weg dat direct kan worden gedeeld met het Zero Trust Board. Hierdoor kan elke wijziging worden ondersteund met meetbare evidence, wat essentieel is voor audits en voor budgetdiscussies.
Interfaces naar legacy systemen blijven een uitdaging. Het referentieontwerp eist daarom dat alle on-premises identity providers federeren naar Entra ID en dat legacy protocollen zoals POP, IMAP of Basic Authentication worden uitgeschakeld. Voor systemen die dat (nog) niet ondersteunen wordt een tijdelijke isolatiezone ingericht met strikte monitoring, een expirerende vrijstelling en een plan van aanpak. Het script markeert dergelijke uitzonderingen expliciet in de output zodat bestuurders weten welke onderdelen nog aandacht nodig hebben en welke deadlines dreigen te verlopen.
Elke architectuurlaag krijgt bovendien een eigen resiliency-plan. Identiteiten worden beschermd via geo-redundante tenantconfiguraties, apparaten hebben herstelprofielen en offline policies, netwerken profiteren van geautomatiseerde failover en applicaties worden getest op chaos scenario's. Datareplicatie is gekoppeld aan classificaties, zodat zeer vertrouwelijke datasets alleen naar goedgekeurde regio's worden gekopieerd. Het script toetst of deze resiliency-voorwaarden nog actueel zijn, bijvoorbeeld of fallback-methoden zijn getest binnen de vereiste termijnen. Daarmee ontstaat een levend referentiemodel dat direct inspeelt op nieuwe eisen uit de BIO-aanvullingen of sectorale kaders zoals I-strategie Rijk.
Operaties, monitoring en gerichte respons
Gebruik PowerShell-script index.ps1 (functie Invoke-ZeroTrustMonitoring) – Maakt een consolidatie van operationele indicatoren, vergelijkt resultaten met streefwaarden en exporteert een managementrapport..
Operationele teams registreren dagelijkse controles in runbooks die zijn afgestemd op Zero Trust-indicatoren. Iedere ochtend controleert het SOC de lijst met geblokkeerde sessies, nieuwe risk detections en apparaten die de compliance-status verloren. Het identity-team bekijkt welke PIM-activaties zijn afgewezen en of er pogingen waren om governance te omzeilen via legacy protocollen. Deze processen zijn gestandaardiseerd en worden meerdere keren per jaar geoefend. Het script ondersteunt deze routines door ruwe API-data te normaliseren en de uitkomsten direct te koppelen aan runbook-ID's, waardoor teams exact weten welke stap moet worden uitgevoerd en welke tijdslimiet daarvoor geldt.
Monitoring wordt uitgevoerd op drie niveaus: tactisch (SOC/SIEM), operationeel (beheer) en bestuurlijk (rapportages). Sentinel en Defender leveren real-time alerts, maar het bestuur wil trends zien. Daarvoor bouwt de organisatie een Zero Trust-dashboard waarin indicatoren als MFA-dekking, CA-policieregel naleving, percentage private endpoints en patch-compliance worden weergegeven. Deze indicatoren worden rechtstreeks gevoed door het script zodat data consistent is en discussies over de juistheid van cijfers worden voorkomen. Elke indicator kent een triggerwaarde: valt de MFA-dekking onder de 99%, dan start automatisch een change om aanvullende methoden verplicht te stellen.
Responsprocessen zijn ingericht op snelheid. Zodra het script aangeeft dat een pijler beneden de drempel komt, opent het automatisch een ticket in het ITSM-systeem met prioriteit Hoog. Tegelijkertijd wordt een Teams-kanaal aangemaakt waar SOC, identity, device management en communicatie samenwerken. Dit verlaagt de tijd tussen detectie en actie van dagen naar minuten. Scenario's zoals \"risicovolle sessie vanaf onbekende locatie\" of \"apparaat zonder Defender sensor\" hebben vooraf goedgekeurde playbooks zodat containment en forensische vastlegging onmiddellijk starten. Alle stappen worden gelogd en toegevoegd aan het auditdossier.
Daarnaast borgt de organisatie dat scripts maximaal vijftien seconden draaien door datasetselectie te beperken en complexe queries vooraf in exports te verzamelen. In debugmodus kunnen teams met lokale JSON-bestanden oefenen en WhatIf-mode toont de acties zonder wijzigingen. Hierdoor voldoet het script aan de eis dat lokale testen mogelijk zijn zonder productie te raken, terwijl de operationele ploeg zekerheid heeft dat iedere run voorspelbaar is.
Opleiding en kennisdeling krijgen een vaste plek in de exploitatie. Nieuwe analisten volgen een Zero Trust onboarding waarin zij leren hoe signalen worden geïnterpreteerd, welke scripts zij mogen draaien en hoe escalaties verlopen. Elk kwartaal worden brown bag-sessies georganiseerd waarin lessons learned worden gedeeld, inclusief incidenten waarin Zero Trust-controles bewust tijdelijk moesten worden uitgeschakeld. Het script fungeert als demonstratiemiddel: in trainingsmodus laat het zien hoe indicatoren veranderen wanneer een controle faalt of wanneer een vrijstelling afloopt. Zo blijft de kennis op peil, ontstaan er geen schaduwdraaiboeken en blijft het vertrouwen in automatische beslissingen hoog.
Audittrail, compliance en continue verbetering
Auditors verlangen aantoonbaar bewijs dat Zero Trust meer is dan een beleidsdocument. Daarom maakt het programma gebruik van gecontroleerde bewijslijnen: voor iedere pijler bestaat een set exports (bijvoorbeeld Conditional Access-configuraties, Intune compliance-rapporten, Purview-labelstatistieken en Defender-configuraties) die worden voorzien van hashwaarden en digitaal worden ondertekend. Deze bestanden worden opgeslagen in een beveiligde SharePoint-site met retentiebeleid van zeven jaar. Het script voegt metadata toe, zoals de datasetversie en de gebruikte scopes, zodat iedere auditor kan verifiëren dat de cijfers authentiek zijn en afkomstig uit de juiste bron.
Compliance met BIO, ISO 27001, AVG en NIS2 wordt vertaald naar concrete controledoelen per pijler. Bijvoorbeeld: BIO 9.1 vereist aantoonbaar toegangsbeheer; het script levert een overzicht van alle actieve Conditional Access policies en hun uitzonderingen. ISO 27001 A.8.16 vereist netwerksegmentatie; de architectuursectie beschrijft de referentiemodellen en het script registreert welke private endpoints actief zijn. AVG artikel 32 benadrukt passende technische maatregelen rond persoonsgegevens; de data-paragraaf laat zien hoe labels en DLP worden afgedwongen. Door deze controles expliciet te koppelen aan meetpunten kunnen audits snel bepalen of de organisatie compliant is of aanvullende maatregelen moet treffen.
Continue verbetering wordt verankerd in een Zero Trust roadmap waarin elk kwartaal drie soorten initiatieven staan: onderhoud (bijvoorbeeld het vernieuwen van FIPS-geschikte certificaten), innovatie (zoals het toepassen van risico-adaptieve policies of continuous access evaluation) en sanering (het weghalen van legacy protocollen of shadow-IT). Evaluaties tijdens Purple Team-oefeningen, red teaming en leveranciersaudits worden vertaald naar epics in Azure DevOps zodat voortgang transparant is. Het script kan als kwaliteitshek in pipelines fungeren: wanneer een wijziging de maturity-score verlaagt onder de streefwaarde, wordt de release automatisch geblokkeerd tot aanvullende maatregelen zijn geïmplementeerd.
De relatie met andere artikelen binnen de Nederlandse Baseline voor Veilige Cloud blijft duidelijk. Dit indexartikel verwijst naar verdiepingen over conditional access, identity governance, netwerksegmentatie, data-classificatie en privileged access workstations. Organisaties worden aangemoedigd om een sitemap bij te houden waarin staat welke artikelen zijn geïmplementeerd, welke scripts draaien in productie en hoe gegevensstromen zijn verbonden. Hierdoor ontstaat een herleidbare keten van beleid naar techniek en bewijs, essentieel wanneer de Algemene Rekenkamer of Europese toezichthouders steekproeven uitvoeren.
Auditors en bestuurders verwachten bovendien transparantie over beslisruimte. Elke vrijstelling, bijvoorbeeld het tijdelijk toestaan van legacy authenticatie voor een niche-applicatie, krijgt een digitale paspoortkaart waarin de eigenaar, einddatum, goedkeurders en mitigerende maatregelen worden beschreven. Het script leest deze registraties uit en waarschuwt zodra een einddatum nadert of ontbreekt. Daardoor kunnen bestuurders proactief besluiten verlengen, aanvullende controles opleggen of de vrijstelling beëindigen. Dit voorkomt dat tijdelijke maatregelen permanente gaten worden en laat zien dat Zero Trust daadwerkelijk onderhevig is aan continue verbetering.
Compliance & Frameworks
- BIO: 9.1, 9.2, 12.1, 12.2 - Aantoonbaar toegangsbeheer, logging, netwerksegmentatie en incidentrespons conform de Baseline Informatiebeveiliging Overheid.
- ISO 27001:2022: A.5.17, A.5.23, A.8.16, A.8.18, A.12.6 - Verbindt Zero Trust-principes aan identiteitsbeheer, netwerkbeveiliging en continue verbetering binnen ISO 27001:2022.
- NIS2: Artikel - Verplichte risicobeheersingsmaatregelen en supply-chain-borging voor essentiële en belangrijke entiteiten.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Meet Zero Trust-volwassenheid binnen de Nederlandse Baseline voor Veilige Cloud.
.DESCRIPTION
Het script hoort bij content/security/zero-trust/index.json en controleert de
belangrijkste indicatoren voor identiteiten, apparaten, netwerken, data en
operations. In DebugMode werkt het script volledig met voorbeelddata zodat
teams lokaal kunnen testen zonder productietokens of API-calls.
.NOTES
Filename: index.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-10-01
Version: 1.0
.LINK
https://github.com/microsoft/m365-tenant-best-practise
.EXAMPLE
.\index.ps1 -Assessment -DebugMode
Toont een Zero Trust-score per pijler op basis van voorbeelddata.
.EXAMPLE
.\index.ps1 -Monitoring -ConfigPath .\exports\zt-dataset.json
Genereert een managementrapport met kernindicatoren uit een eigen exportbestand.
.EXAMPLE
.\index.ps1 -Remediation -WhatIf
Somt de benodigde verbeteracties op zonder wijzigingen door te voeren.
#>
#Requires -Version 5.1
[CmdletBinding()]
param(
[Parameter(Mandatory = $false)]
[switch]$Assessment,
[Parameter(Mandatory = $false)]
[switch]$Monitoring,
[Parameter(Mandatory = $false)]
[switch]$Remediation,
[Parameter(Mandatory = $false)]
[switch]$DebugMode,
[Parameter(Mandatory = $false)]
[switch]$WhatIf,
[Parameter(Mandatory = $false)]
[string]$ConfigPath = ".\config\security-zero-trust-index.dataset.json",
[Parameter(Mandatory = $false)]
[string]$OutputPath = ".\artifacts\security-zero-trust-index-report.json"
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
function Write-ScriptBanner {
Write-Host ""
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Zero Trust Index Assessment" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host ""
}
function Get-SampleDataset {
[CmdletBinding()]
param()
return [ordered]@{
RetrievedAt = (Get-Date)
MfaCoverage = 99.1
ConditionalAccessCoverage = 97.5
DeviceComplianceRate = 95.3
HighRiskSessions = 3
LegacyProtocolsEnabled = 1
PrivateEndpointCoverage = 82
DefenderSensorCoverage = 96
PimOutsideBaseline = 2
AverageRemediationHours = 7.5
ZeroTrustExceptions = 4
DlpIncidentsOpen = 5
DataResidencyExceptions = 1
AutomationCoverage = 88
LastComprehensiveReview = (Get-Date).AddDays(-32)
}
}
function Get-ConfigDataset {
[CmdletBinding()]
param()
if (Test-Path -Path $ConfigPath) {
Write-Verbose "Configuratiebestand gevonden: $ConfigPath"
try {
return Get-Content -Path $ConfigPath -Raw | ConvertFrom-Json -ErrorAction Stop
}
catch {
Write-Warning "Kon dataset niet lezen. Fout: $($_.Exception.Message)"
}
}
if (-not $DebugMode) {
Write-Warning "Geen dataset gevonden. Gebruik DebugMode of lever een exportbestand via -ConfigPath."
}
return Get-SampleDataset
}
function Test-ZeroTrustSignals {
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
$Dataset
)
$issues = New-Object System.Collections.Generic.List[string]
if ($Dataset.MfaCoverage -lt 99) {
$issues.Add("MFA-dekking $($Dataset.MfaCoverage)% is lager dan de norm van 99%.")
}
if ($Dataset.ConditionalAccessCoverage -lt 98) {
$issues.Add("Conditional Access dekt slechts $($Dataset.ConditionalAccessCoverage)% van de gebruikers en apps.")
}
if ($Dataset.DeviceComplianceRate -lt 96) {
$issues.Add("Device compliance staat op $($Dataset.DeviceComplianceRate)% en voldoet niet aan de norm van 96%.")
}
if ($Dataset.HighRiskSessions -gt 0) {
$issues.Add("$($Dataset.HighRiskSessions) risicovolle sessies wachten op remediatie.")
}
if ($Dataset.LegacyProtocolsEnabled -gt 0) {
$issues.Add("Er zijn nog $($Dataset.LegacyProtocolsEnabled) legacy protocollen ingeschakeld.")
}
if ($Dataset.PrivateEndpointCoverage -lt 85) {
$issues.Add("Slechts $($Dataset.PrivateEndpointCoverage)% van de kritieke services gebruikt private endpoints.")
}
if ($Dataset.DefenderSensorCoverage -lt 98) {
$issues.Add("Defender-sensoren zijn slechts op $($Dataset.DefenderSensorCoverage)% van de assets actief.")
}
if ($Dataset.PimOutsideBaseline -gt 0) {
$issues.Add("$($Dataset.PimOutsideBaseline) PIM-activaties vonden plaats buiten de baseline-voorwaarden.")
}
if ($Dataset.ZeroTrustExceptions -gt 0) {
$issues.Add("$($Dataset.ZeroTrustExceptions) Zero Trust-vrijstellingen naderen hun einddatum.")
}
if ($Dataset.DlpIncidentsOpen -gt 0) {
$issues.Add("$($Dataset.DlpIncidentsOpen) openstaande DLP-incidenten zijn nog niet geclassificeerd.")
}
if ($Dataset.DataResidencyExceptions -gt 0) {
$issues.Add("Er zijn $($Dataset.DataResidencyExceptions) uitzonderingen op datalocatiebeleid.")
}
if ((Get-Date) - $Dataset.LastComprehensiveReview -gt [TimeSpan]::FromDays(30)) {
$issues.Add("De laatste Zero Trust-review is ouder dan 30 dagen.")
}
$score = 100
$score -= [math]::Min(20, (99 - [double]$Dataset.MfaCoverage) * 1.5)
$score -= [math]::Min(15, (98 - [double]$Dataset.ConditionalAccessCoverage))
$score -= [math]::Min(15, (96 - [double]$Dataset.DeviceComplianceRate))
$score -= [math]::Min(10, (85 - [double]$Dataset.PrivateEndpointCoverage) / 2)
$score -= ($Dataset.HighRiskSessions * 1.5)
$score -= ($Dataset.LegacyProtocolsEnabled * 3)
$score -= ($Dataset.PimOutsideBaseline * 2)
$score -= ($Dataset.ZeroTrustExceptions * 1.5)
$score -= ($Dataset.DlpIncidentsOpen * 0.8)
$score = [math]::Max(0, [math]::Round($score, 2))
return [pscustomobject]@{
Timestamp = Get-Date
Score = $score
Dataset = $Dataset
Issues = $issues
IsCompliant = ($issues.Count -eq 0)
IdentityHealth = [math]::Round(($Dataset.MfaCoverage + $Dataset.ConditionalAccessCoverage) / 2, 2)
DeviceHealth = $Dataset.DeviceComplianceRate
NetworkHealth = $Dataset.PrivateEndpointCoverage
DataHealth = if ($Dataset.DlpIncidentsOpen -eq 0) { 100 } else { [math]::Max(60, 100 - ($Dataset.DlpIncidentsOpen * 4)) }
OperationsHealth= if (($Dataset.LastComprehensiveReview -and ((Get-Date) - $Dataset.LastComprehensiveReview).Days -le 30)) { 100 } else { 70 }
}
}
function Invoke-ZeroTrustAssessment {
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
$Dataset
)
$result = Test-ZeroTrustSignals -Dataset $Dataset
Write-Host "Zero Trust-score : $($result.Score)" -ForegroundColor White
Write-Host "MFA-dekking : $($Dataset.MfaCoverage)% " -ForegroundColor White
Write-Host "Conditional Access-dekking: $($Dataset.ConditionalAccessCoverage)% " -ForegroundColor White
Write-Host "Device compliance : $($Dataset.DeviceComplianceRate)% " -ForegroundColor White
Write-Host "Private endpoints : $($Dataset.PrivateEndpointCoverage)% " -ForegroundColor White
Write-Host "Openstaande DLP-incidenten: $($Dataset.DlpIncidentsOpen)" -ForegroundColor White
if ($result.IsCompliant) {
Write-Host "`nResultaat: alle Zero Trust-controles voldoen aan de norm." -ForegroundColor Green
}
else {
Write-Host "`nResultaat: aandachtspunten gevonden." -ForegroundColor Yellow
$result.Issues | ForEach-Object { Write-Host " - $_" -ForegroundColor Yellow }
}
return $result
}
function Invoke-ZeroTrustMonitoring {
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
$Dataset,
[Parameter(Mandatory = $false)]
$AssessmentResult
)
$report = [pscustomobject]@{
RetrievedAt = $Dataset.RetrievedAt
KeyIndicators = [ordered]@{
"MFA%" = $Dataset.MfaCoverage
"CA%" = $Dataset.ConditionalAccessCoverage
"Devices%" = $Dataset.DeviceComplianceRate
"PrivateEndpoints%" = $Dataset.PrivateEndpointCoverage
"Automation%" = $Dataset.AutomationCoverage
"RiskSessions" = $Dataset.HighRiskSessions
"LegacyProtocols" = $Dataset.LegacyProtocolsEnabled
}
AssessmentScore = if ($AssessmentResult) { $AssessmentResult.Score } else { $null }
TrendComment = if ($AssessmentResult -and $AssessmentResult.Score -ge 90) { "Postuur is stabiel, focus op fine-tuning." } else { "Verscherpte monitoring nodig, voer remediatieverslag uit." }
}
Write-Host "`nMonitoringoverzicht:" -ForegroundColor Cyan
$report.KeyIndicators.GetEnumerator() | ForEach-Object {
Write-Host (" {0,-24} : {1}" -f $_.Key, $_.Value) -ForegroundColor Gray
}
return $report
}
function Invoke-ZeroTrustRemediation {
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
$AssessmentResult
)
$actions = New-Object System.Collections.Generic.List[string]
foreach ($issue in $AssessmentResult.Issues) {
switch -Regex ($issue) {
"MFA-dekking" { $actions.Add("Verplicht FIDO2 of smartcards voor alle beheerders en forceer re-registration van verouderde methoden.") }
"Conditional Access" { $actions.Add("Voeg alle bedrijfskritieke applicaties toe aan Conditional Access en blokkeer legacy authenticatie.") }
"Device compliance" { $actions.Add("Forceer Intune sync en zet non-compliant apparaten in quarantaine terwijl patches worden uitgerold.") }
"risicovolle sessies" { $actions.Add("Markeer sessies in Identity Protection als onderzocht en documenteer containment binnen 4 uur.") }
"legacy protocollen" { $actions.Add("Schakel POP/IMAP/Basic Auth uit op de genoemde tenants en registreer een compensatieplan.") }
"private endpoints" { $actions.Add("Zet Private Link aan voor alle P2-services en controleer firewallregels op directe internettoegang.") }
"Defender-sensoren" { $actions.Add("Rol Defender for Endpoint-agenten opnieuw uit en valideer sensorstatus via de API.") }
"PIM-activaties" { $actions.Add("Controleer PIM-justificaties, pas policy enforcement aan en informeer het Zero Trust Board.") }
"vrijstellingen" { $actions.Add("Herzie Zero Trust-vrijstellingen, bevestig einddatum en registreer opvolgactie in het risicolog.") }
"DLP-incidenten" { $actions.Add("Classificeer de openstaande DLP-incidenten, voer forensisch onderzoek uit en documenteer lessons learned.") }
"datalocatiebeleid" { $actions.Add("Verplaats data naar goedgekeurde regio's of activeer customer lockbox voor tijdelijke toegang.") }
"review" { $actions.Add("Plan een integrale Zero Trust-review met CISO, architectuur en operations binnen vijf werkdagen.") }
}
}
if ($actions.Count -eq 0) {
Write-Host "Geen remediatie nodig." -ForegroundColor Green
return @()
}
Write-Host "`nRemediatie-advies:" -ForegroundColor Cyan
foreach ($action in $actions) {
if ($WhatIf) {
Write-Host "WhatIf: $action" -ForegroundColor Yellow
}
else {
Write-Host $action -ForegroundColor Gray
}
}
return $actions
}
function Save-ZeroTrustReport {
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
$Assessment,
[Parameter(Mandatory = $false)]
$Monitoring,
[Parameter(Mandatory = $false)]
$Remediation
)
$directory = Split-Path -Parent $OutputPath
if (-not (Test-Path -Path $directory)) {
New-Item -Path $directory -ItemType Directory -Force | Out-Null
}
$body = [pscustomobject]@{
GeneratedAt = Get-Date
Assessment = $Assessment
Monitoring = $Monitoring
Remediation = $Remediation
}
$body | ConvertTo-Json -Depth 6 | Out-File -FilePath $OutputPath -Encoding UTF8
Write-Host "`nRapport opgeslagen in $OutputPath" -ForegroundColor Green
}
Write-ScriptBanner
if (-not ($Assessment -or $Monitoring -or $Remediation)) {
$Assessment = $true
}
$dataset = Get-ConfigDataset
$assessmentResult = $null
$monitoringResult = $null
$remediationResult = $null
try {
if ($Assessment -or $Remediation) {
$assessmentResult = Invoke-ZeroTrustAssessment -Dataset $dataset
}
if ($Monitoring) {
$monitoringResult = Invoke-ZeroTrustMonitoring -Dataset $dataset -AssessmentResult $assessmentResult
}
if ($Remediation -and $assessmentResult) {
$remediationResult = Invoke-ZeroTrustRemediation -AssessmentResult $assessmentResult
}
Save-ZeroTrustReport -Assessment $assessmentResult -Monitoring $monitoringResult -Remediation $remediationResult | Out-Null
return [pscustomobject]@{
Assessment = $assessmentResult
Monitoring = $monitoringResult
Remediation = $remediationResult
}
}
catch {
Write-Error "Fout tijdens Zero Trust-evaluatie: $_"
exit 1
}
finally {
Write-Host ""
Write-Host "========================================" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
Very High: Uitstel van Zero Trust maakt het onmogelijk om te voldoen aan BIO en NIS2, vergroot de kans op laterale beweging en maakt bestuurlijke aansprakelijkheid reëel.
Management Samenvatting
Veranker Zero Trust bestuurlijk, configureer alle pijlers via geautomatiseerde policies, gebruik het meegeleverde script om maturity te meten en lever een volledig auditspoor dat aantoont dat identiteiten, apparaten, netwerken en data continu worden geverifieerd.
- Implementatietijd: 280 uur
- FTE required: 0.8 FTE