💼 Management Samenvatting
Azure Backup vormt de fundamentele beveiligingslaag voor gegevensbescherming en bedrijfscontinuïteit binnen de Microsoft Azure-cloudomgeving. Deze dienst biedt geautomatiseerde, versleutelde back-ups voor een breed scala aan Azure-resources, waaronder virtuele machines, bestandsshares, SQL-databases en workloads die draaien op Azure Arc. Dit index-artikel schetst de overkoepelende strategie, best practices en implementatiebenaderingen voor Nederlandse overheidsorganisaties die Azure Backup willen inzetten als onderdeel van hun compliance-gerichte beveiligingsstrategie. Het artikel fungeert als kapstok voor meer specifieke artikelen over Recovery Services-kluizen, back-upbeleid, immutabele opslag en herstelprocedures, en beschrijft hoe deze onderdelen samenkomen in een volwassen, aantoonbaar beveiligde back-upomgeving die voldoet aan de eisen van de Baseline Informatiebeveiliging Overheid (BIO), ISO 27001, AVG en de aankomende NIS2-richtlijn.
Aanbeveling
Implementeer en test Azure Backup voor alle kritieke Azure-resources zodat herstelpunten aantoonbaar beschikbaar zijn en voldoen aan de afgesproken retentie en encryptie-eisen.
Risico zonder
Critical
Risk Score
10/10
Implementatie
24u (tech: 16u)
Van toepassing op:
✓ Azure Tenant
✓ Azure Resources
✓ Azure Virtual Machines
✓ Azure Files
✓ Azure SQL Databases
✓ Azure Resources
✓ Azure Virtual Machines
✓ Azure Files
✓ Azure SQL Databases
Nederlandse overheidsorganisaties die hun kritieke workloads naar Azure migreren of hun bestaande cloudomgevingen willen professionaliseren, staan voor de uitdaging om aantoonbaar te voldoen aan wettelijke eisen rond gegevensbescherming en bedrijfscontinuïteit. Zonder een gestructureerde back-upstrategie ontstaan versnipperde oplossingen waarin back-ups inconsistent worden toegepast, retentie-eisen niet worden nageleefd, hersteltests niet worden uitgevoerd en compliance-vereisten moeilijk aantoonbaar zijn. Dit leidt tot verhoogde risico's op permanent gegevensverlies bij ransomware-aanvallen, hardwarestoringen of menselijke fouten, niet-naleving van wet- en regelgeving zoals de AVG en NIS2, en bestuurlijke aansprakelijkheid bij incidenten. Een doordachte Azure Backup-strategie zorgt ervoor dat herstelvermogen, versleuteling, geo-redundantie en testprocedures vanaf het begin zijn ingebouwd in plaats van achteraf te worden toegevoegd, wat zowel kosten als risico's aanzienlijk verlaagt.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.RecoveryServices, Az.Resources
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.RecoveryServices, Az.Resources
Implementatie
Dit index-artikel positioneert Azure Backup binnen de "Nederlandse Baseline voor Veilige Cloud" en beschrijft hoe organisaties een samenhangend back-uplandschap kunnen opbouwen. We behandelen fundamentele principes zoals Recovery Point Objective (RPO) en Recovery Time Objective (RTO), immutabele opslag voor ransomware-bescherming, geo-redundantie voor regionale calamiteiten, en geautomatiseerde monitoring en alerting. Het artikel fungeert als kapstok voor meer specifieke artikelen over Azure Backup-configuratie, back-upbeleid, immutabele backup-opslag en herstelprocedures, en beschrijft hoe deze onderdelen samenkomen in een volwassen, aantoonbaar beveiligde back-upomgeving. Daarnaast biedt het artikel handvatten voor governance, back-upbeheer en periodieke evaluatie van de back-upvolwassenheid.
Rol en scope van Azure Backup binnen de overheid
Azure Backup in een overheidscontext moet worden gezien als een strategisch kader dat technische keuzes, beveiligingsmaatregelen en operationele processen met elkaar verbindt tot een samenhangend geheel. In tegenstelling tot ad-hoc implementaties waarbij back-ups los van elkaar worden opgezet, vormt een doordachte back-upstrategie de ruggengraat die ervoor zorgt dat alle kritieke resources – van virtuele machines tot databases, van bestandsshares tot applicatiedata – op een consistente, beveiligde en beheersbare manier worden beschermd. Deze strategie moet expliciet rekening houden met de specifieke eisen die gelden voor Nederlandse overheidsorganisaties, waaronder de Baseline Informatiebeveiliging Overheid (BIO) paragraaf 12.03, de NIS2 richtlijn artikel 21, de Algemene Verordening Gegevensbescherming (AVG) artikel 32 en sectorale wetgeving zoals de Archiefwet.
De primaire rol van Azure Backup is het waarborgen van een veilige, betrouwbare en compliance-gerichte back-upomgeving waarin organisaties hun digitale dienstverlening kunnen continueren zonder onnodige risico's op gegevensverlies. Dit betekent dat back-upkeuzes niet alleen technisch correct moeten zijn, maar ook aantoonbaar moeten voldoen aan wettelijke en bestuurlijke vereisten. Een goed ontworpen back-upstrategie maakt het mogelijk om te bewijzen dat passende maatregelen zijn genomen om gegevens te beschermen, dat herstelpunten regelmatig worden getest, en dat de organisatie in staat is om snel te reageren op incidenten die gegevensverlies veroorzaken. Voor auditors, toezichthouders en bestuurders biedt een gedocumenteerde back-upstrategie transparantie over hoe gegevensbescherming is ingericht en hoe deze wordt onderhouden.
De scope van Azure Backup binnen de Nederlandse Baseline voor Veilige Cloud omvat alle lagen van de cloudstack: van Infrastructure as a Service (IaaS) virtuele machines tot Platform as a Service (PaaS) databases en bestandsshares, van Azure Arc-workloads tot hybride omgevingen. Het back-uplandschap moet rekening houden met verschillende workload-typen en moet schaalbaar zijn van kleine pilots tot enterprise-omgevingen die duizenden resources en petabytes aan data ondersteunen. Daarnaast moet de back-upstrategie flexibel genoeg zijn om te kunnen evolueren met nieuwe Azure-services en veranderende businessvereisten, terwijl de fundamentele beveiligingsprincipes zoals versleuteling, immutabiliteit en geo-redundantie consistent blijven.
Componenten van een volwassen Azure Backup-strategie
Een volwassen Azure Backup-strategie bestaat uit meerdere samenhangende componenten die gezamenlijk zorgen voor een robuuste, compliance-gerichte gegevensbescherming. De eerste component is de Recovery Services-kluis, die fungeert als centrale opslaglocatie voor alle herstelpunten. Deze kluis moet worden geconfigureerd met de juiste opslagredundantie (lokaal redundant, zone-redundant of geo-redundant), versleuteling met door de klant beheerde sleutels (CMK) indien vereist, en identity- en accessmanagement-instellingen die voldoen aan het least privilege-principe. De kluis moet worden gekoppeld aan Log Analytics voor centrale monitoring en moet worden beschermd tegen onbevoegde toegang en onbedoelde verwijdering via Azure Resource Locks.
De tweede component is het back-upbeleid, dat de frequentie, retentie en onderhoudsvensters van de back-ups bepaalt. Dit beleid vormt de contractuele afspraak tussen beveiliging, operations en de applicatie-eigenaar en moet aantoonbaar aansluiten bij de afgesproken Recovery Point Objective (RPO) en Recovery Time Objective (RTO). Het beleid moet worden gedefinieerd voor verschillende retentieperiodes: dagelijkse back-ups voor korte-termijnherstel, wekelijkse back-ups voor maandelijkse retentie, maandelijkse back-ups voor jaarlijkse retentie, en jaarlijkse back-ups voor langetermijnarchivering. Voor kritieke workloads moet immutabele opslag worden geactiveerd, zodat back-ups niet kunnen worden gewijzigd of verwijderd gedurende de retentieperiode, zelfs niet door beheerders met volledige rechten. Dit is essentieel voor ransomware-bescherming, omdat aanvallers anders de back-ups kunnen wissen voordat ze de primaire systemen versleutelen.
De derde component is de daadwerkelijke koppeling van resources aan het back-upbeleid. Dit omvat zowel portaalhandelingen als automatische controles via scripts en Azure Policy, zodat geen enkele productie- of testresource per ongeluk buiten de back-upstrategie valt. Voor virtuele machines wordt de Azure Backup-extensie geïnstalleerd, voor Azure Files worden bestandsshares gekoppeld aan de kluis, en voor SQL-databases worden logboekback-ups geconfigureerd. Elke resource moet worden getagd met metadata die aangeeft welke applicatie-eigenaar verantwoordelijk is, wat de dataklasse is, en wat de RPO- en RTO-eisen zijn. Deze tags helpen bij het automatiseren van compliance-rapportages en het prioriteren van herstelacties tijdens incidenten.
De vierde component is monitoring en alerting. Elke mislukte back-upjob of overschrijding van retentie moet automatisch een waarschuwing genereren die wordt opgevolgd binnen de afgesproken service levels. Monitoring moet worden geïntegreerd met Azure Monitor, Log Analytics en Microsoft Sentinel voor centrale security monitoring en incident response. Dashboards moeten real-time inzicht bieden in de status van alle back-upoperaties, het opslagverbruik van de kluis, en trends in back-upsuccespercentages. Deze dashboards helpen bestuurders om te beoordelen of de back-upstrategie nog steeds voldoet aan de businessvereisten en of aanvullende investeringen nodig zijn.
De vijfde en meest kritieke component is het regelmatig testen van herstelprocedures. Zonder periodieke hersteltesten blijft een back-up een papieren zekerheid en worden fouten in netwerkconfiguraties, OS-drivers of applicatiedata vaak pas ontdekt tijdens een crisis. Hersteltests moeten minimaal per kwartaal worden uitgevoerd voor kritieke workloads, moeten worden gedocumenteerd in runbooks met schermopnamen en PowerShell-commando's, en moeten worden gerapporteerd aan het CISO-office. Scenario-gestuurde tests moeten verschillende scenario's oefenen: volledige resourceherstel, specifieke componentherstel, herstel naar een andere regio, en herstel na een ransomware-aanval. Door deze tests regelmatig uit te voeren en de resultaten te documenteren, bouwt men een cultuur op waarin veerkracht net zo belangrijk is als functionaliteit.
Implementatieroadmap: van basis naar volwassen back-upstrategie
De implementatie van een volwassen Azure Backup-strategie verloopt zelden in één grote stap, maar groeit geleidelijk van een solide basis naar een geavanceerd, geoptimaliseerd landschap. In de eerste fase wordt de fundamentele basis gelegd: een goed gestructureerde Recovery Services-kluis met geo-redundante opslag, een basis back-upbeleid met dagelijkse back-ups en 30 dagen retentie, en de koppeling van alle kritieke productieresources aan dit beleid. Deze basislaag zorgt ervoor dat alle resources vanaf het begin worden beschermd en dat er een duidelijke scheiding is tussen verschillende omgevingen (development, test, productie) en verschillende vertrouwelijkheidsniveaus. In deze fase worden ook de eerste monitoring-mechanismen ingericht, zoals Azure Monitor-waarschuwingen voor mislukte back-upjobs en wekelijkse rapportages naar het SOC.
In de volgende fase wordt de back-upstrategie uitgebreid met geavanceerde beveiligingsmaatregelen en operationele processen. Immutabele opslag wordt geactiveerd voor kritieke workloads om ransomware-bescherming te bieden, door de klant beheerde sleutels (CMK) worden geconfigureerd voor versleuteling indien vereist door het dataclassificatiebeleid, en langetermijnretentie wordt ingericht voor workloads die moeten voldoen aan archiveringsvereisten. Monitoring wordt uitgebreid met Log Analytics-werkruimten, Microsoft Sentinel-integratie voor centrale security monitoring, en geautomatiseerde compliance-rapportages die aantonen dat alle resources correct zijn gekoppeld aan back-upbeleid. In deze fase worden ook disaster recovery en business continuity processen ingericht, inclusief geteste herstelprocedures, runbooks voor verschillende herstelscenario's, en escalatiepaden voor kritieke incidenten.
In de volwassenheidsfase wordt de back-upstrategie geoptimaliseerd en geautomatiseerd. Infrastructure as Code (IaC) met Azure Resource Manager templates, Bicep of Terraform zorgt voor reproduceerbare, versiebeheerde Recovery Services-kluizen en back-upbeleid. Geautomatiseerde compliance-controles en security assessments worden regelmatig uitgevoerd om te verifiëren dat de back-upstrategie nog steeds voldoet aan alle vereisten. Advanced monitoring met machine learning-gebaseerde detectie helpt om trends in back-upsuccespercentages te identificeren en proactief problemen op te lossen voordat ze kritiek worden. Governance wordt volwassen met geautomatiseerde rapportages, dashboards voor bestuurders en geïntegreerde change management processen. Door deze fasering expliciet te maken in een roadmap – met duidelijke mijlpalen, beslismomenten en success criteria – ontstaat voorspelbaarheid voor bestuurders en wordt het eenvoudiger om investeringen, risico's en baten te verantwoorden.
Governance, compliance en relatie met andere back-upartikelen
Governance rond Azure Backup raakt meerdere disciplines: informatiebeveiliging, cloud governance, compliance en risk management. Zonder een helder governance-model ontstaat het risico dat back-upkeuzes versnipperd worden gemaakt, dat verschillende teams verschillende standaarden hanteren, en dat niemand zich eigenaar voelt van de integrale back-upstrategie. Een effectief governance-model benoemt daarom ten minste een back-upbeheerder die verantwoordelijk is voor de overkoepelende back-upstrategie, een security officer die beveiligingsaspecten waarborgt, en expliciete rollen voor CISO, privacy officer en compliance officer. Deze rollen worden vertaald naar concrete taken: wie keurt nieuwe back-upbeleid goed, wie beoordeelt afwijkingen van standaarden, wie beheert de back-updocumentatie, en wie beslist over het uitfaseren van verouderde herstelpunten. Deze afspraken worden vastgelegd in governance-documenten, back-upprincipes en changeprocedures zodat zij organisatiebreed herkenbaar zijn.
Op compliancegebied vormt Azure Backup een kruispunt van verschillende wettelijke kaders. De AVG vereist dat persoonsgegevens adequaat worden beveiligd en dat organisaties kunnen aantonen welke technische en organisatorische maatregelen zijn genomen. De BIO paragraaf 12.03 en NIS2 artikel 21 leggen eisen op rond gegevensbescherming, incident response en continuïteit. ISO 27001 control A.8.13 benadrukt dat organisaties niet alleen back-ups moeten maken, maar ook de procedures, verantwoordelijkheden en testresultaten moeten documenteren. Deze compliance-vereisten moeten expliciet worden vertaald naar back-upkeuzes: welke encryptie-standaarden worden gebruikt, hoe wordt toegang gecontroleerd, hoe worden logs bewaard, en hoe wordt incident response georganiseerd. Dit index-artikel moet daarom expliciet worden gelezen in samenhang met andere artikelen binnen de "Nederlandse Baseline voor Veilige Cloud", zoals de artikelen over Azure Backup-configuratie, back-upbeleid, immutabele backup-opslag en herstelprocedures. Samen vormen zij een consistent raamwerk: dit artikel schetst de overkoepelende lijnen, terwijl de deelartikelen verdieping bieden op specifieke back-upcomponenten en technische implementaties.
Voor auditors en toezichthouders is vooral van belang dat de samenhang tussen beleid, back-upstrategie, implementatie en operationele controles aantoonbaar is. Dat betekent dat u niet alleen back-updocumentatie en procesbeschrijvingen beschikbaar heeft, maar ook concreet kunt laten zien welke Azure-resources er zijn, hoe deze zijn gekoppeld aan back-upbeleid, hoe vaak back-ups worden uitgevoerd, en welke hersteltests zijn uitgevoerd. De in dit domein beschreven PowerShell-scripts – waaronder het index-script bij dit artikel en de scripts voor specifieke back-upcomponenten – helpen om deze informatie snel en reproduceerbaar te verzamelen. Door hun output te koppelen aan dashboards en rapportages wordt governance niet beperkt tot papieren documenten, maar ondersteund door actuele operationele data die aantoonbaar maakt dat de back-upstrategie daadwerkelijk wordt nageleefd en onderhouden.
Monitoring van het Azure Backup-landschap
Gebruik PowerShell-script index.ps1 (functie Invoke-Monitoring) – Geeft een overzicht van de belangrijkste Azure Backup-componenten en controleert of basiselementen aanwezig en correct geconfigureerd zijn..
Monitoring van het Azure Backup-landschap gaat verder dan het bewaken van individuele back-upjobs. Bestuurders, back-upbeheerders en security teams hebben behoefte aan een samenvattend beeld: hoeveel Recovery Services-kluizen zijn actief, hoeveel resources zijn beschermd, wat is het back-upsuccespercentage, en zijn er signalen dat de back-upstrategie niet meer voldoet aan compliance-vereisten. Het index-script bij dit artikel inventariseert de belangrijkste back-upcomponenten en vertaalt die naar een compacte managementsamenvatting: hoeveel kluizen zijn geconfigureerd, hoeveel resources zijn gekoppeld aan back-upbeleid, welke resources ontbreken nog, en voor welke onderdelen aanvullende acties nodig zijn. Dit vormt een startpunt voor diepgaandere analyses met gespecialiseerde scripts voor specifieke back-upcomponenten, en helpt om het gesprek met bestuur en auditcommissies te structureren rond feitelijke cijfers en meetbare back-upvolwassenheid.
Effectieve back-upmonitoring omvat zowel technische als governance-aspecten. Technisch gezien moet worden gemonitord of back-upjobs succesvol zijn afgerond, of resources correct zijn gekoppeld aan back-upbeleid, of retentie-instellingen overeenkomen met wettelijke en contractuele verplichtingen, en of er afwijkingen zijn die kunnen wijzen op security risico's of compliance-problemen. Governance-monitoring richt zich op de vraag of back-upprincipes worden nageleefd, of documentatie actueel is, of change management processen correct worden gevolgd, en of er regelmatige reviews plaatsvinden om de back-upstrategie te evalueren en te verbeteren. Door beide aspecten te combineren ontstaat een compleet beeld van de back-upvolwassenheid en kunnen gerichte verbeteracties worden ondernomen om de back-upstrategie verder te professionaliseren.
Remediatie en volwassenwording van Azure Backup
Gebruik PowerShell-script index.ps1 (functie Invoke-Remediation) – Genereert overzichten van back-uphiaten en biedt handvatten voor gerichte verbeteracties om de back-upvolwassenheid te verhogen..
Remediatie binnen het Azure Backup-domein betekent in de praktijk dat u gaten dicht tussen de gewenste back-upstrategie en de werkelijkheid. In veel organisaties bestaan al wel beleidsdocumenten over gegevensbescherming, bedrijfscontinuïteit en back-upvereisten, maar ontbreekt concrete vastlegging van hoe deze worden vertaald naar Azure-configuraties, welke resources daadwerkelijk zijn beschermd, en hoe de back-upstrategie wordt onderhouden en geëvalueerd. Het index-script ondersteunt remediatie door automatisch te inventariseren waar back-upstandaarden niet worden nageleefd, waar resources niet zijn gekoppeld aan back-upbeleid, en waar documentatie verouderd of incompleet is. Op basis van deze inventarisatie kunnen gerichte verbeteracties worden gepland en uitgevoerd, waarbij prioriteit wordt gegeven aan de meest kritieke hiaten die de grootste impact hebben op beveiliging en compliance.
Een volwassen Azure Backup-strategie groeit stap voor stap door continue verbetering. Na elke monitoringsronde worden de belangrijkste verbeterpunten vastgelegd, van een eigenaar voorzien en ingepland in het reguliere change- of verbeterportfolio. Denk aan het koppelen van ontbrekende resources aan back-upbeleid, het implementeren van immutabele opslag voor kritieke workloads, het verbeteren van monitoring en alerting, het actualiseren van back-updocumentatie of het invoeren van geautomatiseerde compliance-controles. Door de resultaten van het index-script te combineren met de uitkomsten van gespecialiseerde scripts voor specifieke back-upcomponenten ontstaat een integraal beeld van de voortgang. Uiteindelijk wordt Azure Backup zo niet alleen een technisch ontwerp, maar een aantoonbaar beheerst en verantwoord ingericht fundament voor de gegevensbescherming van de organisatie, dat continu wordt geëvalueerd en verbeterd om te blijven voldoen aan veranderende eisen en dreigingen.
Compliance & Frameworks
- CIS M365: Control 7.3 (L1) - Zorg ervoor dat Azure Backup is geconfigureerd voor Azure-resources
- BIO: 12.03.01 - Reservekopieën - Backup mandatory voor gegevensbescherming
- ISO 27001:2022: A.8.13 - Information backup - Regular backup procedures
- NIS2: Artikel - bedrijfscontinuïteit en disaster recovery
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Overzichtsmonitoring en remediatie voor Azure Backup-landschap
.DESCRIPTION
Geeft een samenvattend beeld van de belangrijkste Azure Backup-componenten
(Recovery Services-kluizen, back-upbeleid, beschermde resources en documentatie)
binnen de repository en ondersteunt het gericht dichten van hiaten in back-upstandaarden
en configuratieregisters.
.NOTES
Filename: index.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-01-27
Last Modified: 2025-01-27
Version: 1.0
Related JSON: content/azure/backup/index.json
CIS Control: 7.3
.LINK
https://github.com/[org]/m365-tenant-best-practise
.EXAMPLE
.\index.ps1 -Monitoring
Toont een samenvattend overzicht van Azure Backup-componenten en configuratiestatus.
.EXAMPLE
.\index.ps1 -Remediation
Genereert een basisoverzicht en, indien gewenst, templates voor ontbrekende back-updocumentatie.
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.RecoveryServices, Az.Resources
[CmdletBinding()]
param(
[Parameter(HelpMessage = "Voer een samenvattende monitoring uit van het Azure Backup-landschap.")]
[switch]$Monitoring,
[Parameter(HelpMessage = "Genereer remediatie-overzichten en optioneel documentatietemplates.")]
[switch]$Remediation,
[Parameter(HelpMessage = "Toon welke acties zouden worden uitgevoerd zonder daadwerkelijk te wijzigen.")]
[switch]$WhatIf
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
function Connect-RequiredServices {
<#
.SYNOPSIS
Controleert en maakt verbinding met Azure-services indien nodig.
#>
[CmdletBinding()]
param()
if (-not (Get-AzContext -ErrorAction SilentlyContinue)) {
Write-Verbose "Geen actieve Azure-verbinding gevonden. Verbinden..."
Connect-AzAccount -ErrorAction Stop | Out-Null
Write-Verbose "Verbonden met Azure."
}
else {
Write-Verbose "Azure-verbinding actief: $((Get-AzContext).Account.Id)"
}
}
function Get-RepositoryRoot {
<#
.SYNOPSIS
Bepaalt de rootmap van de repository op basis van de locatie van dit script.
.OUTPUTS
String met pad naar repository-root.
#>
[CmdletBinding()]
param()
$root = Resolve-Path (Join-Path $PSScriptRoot "..\..\..") -ErrorAction SilentlyContinue
if (-not $root) {
throw "Kon de repository-root niet bepalen op basis van PSScriptRoot: $PSScriptRoot"
}
return $root.Path
}
function Get-AzureBackupInventory {
<#
.SYNOPSIS
Stelt een overzicht op van Azure Backup-gerelateerde JSON- en PS1-bestanden.
.OUTPUTS
PSCustomObject met aantallen en details.
#>
[CmdletBinding()]
param()
$repoRoot = Get-RepositoryRoot
$contentRoot = Join-Path $repoRoot "content\azure\backup"
$codeRoot = Join-Path $repoRoot "code\azure\backup"
$jsonFiles = @()
if (Test-Path -Path $contentRoot) {
$jsonFiles = Get-ChildItem -Path $contentRoot -Filter "*.json" -File -ErrorAction SilentlyContinue
}
$ps1Files = @()
if (Test-Path -Path $codeRoot) {
$ps1Files = Get-ChildItem -Path $codeRoot -Filter "*.ps1" -File -ErrorAction SilentlyContinue
}
$byName = @{}
foreach ($json in $jsonFiles) {
$base = [System.IO.Path]::GetFileNameWithoutExtension($json.Name)
if (-not $byName.ContainsKey($base)) {
$byName[$base] = [pscustomobject]@{
Name = $base
JsonPath = $null
JsonUpdated = $null
ScriptPath = $null
ScriptUpdated= $null
}
}
$entry = $byName[$base]
$entry.JsonPath = $json.FullName
$entry.JsonUpdated = $json.LastWriteTime
$byName[$base] = $entry
}
foreach ($ps1 in $ps1Files) {
$base = [System.IO.Path]::GetFileNameWithoutExtension($ps1.Name)
if (-not $byName.ContainsKey($base)) {
$byName[$base] = [pscustomobject]@{
Name = $base
JsonPath = $null
JsonUpdated = $null
ScriptPath = $null
ScriptUpdated= $null
}
}
$entry = $byName[$base]
$entry.ScriptPath = $ps1.FullName
$entry.ScriptUpdated = $ps1.LastWriteTime
$byName[$base] = $entry
}
$items = $byName.Values | Sort-Object Name
$missingJson = $items | Where-Object { -not $_.JsonPath }
$missingScript = $items | Where-Object { -not $_.ScriptPath }
return [pscustomobject]@{
RepositoryRoot = $repoRoot
Items = $items
MissingJson = $missingJson
MissingScripts = $missingScript
TotalControls = $items.Count
WithJsonAndPs1 = ($items | Where-Object { $_.JsonPath -and $_.ScriptPath }).Count
}
}
function Get-AzureBackupStatus {
<#
.SYNOPSIS
Inventariseert de status van belangrijke Azure Backup-componenten.
.OUTPUTS
PSCustomObject met back-upstatus.
#>
[CmdletBinding()]
param()
$isConnected = $false
try {
$context = Get-AzContext -ErrorAction Stop
if ($context) {
$isConnected = $true
Write-Verbose "Azure-verbinding actief: $($context.Account.Id) in tenant $($context.Tenant.Id)"
}
}
catch {
Write-Verbose "Geen actieve Azure-verbinding: $_"
}
if (-not $isConnected) {
Write-Warning "Geen actieve Azure-verbinding. Alleen repository-inventarisatie wordt uitgevoerd."
return [pscustomobject]@{
AzureConnected = $false
RecoveryServicesVaults = 0
ProtectedResources = 0
TotalVMs = 0
VMsWithBackup = 0
BackupPolicies = 0
}
}
try {
Write-Verbose "Inventariseren van Azure Backup-componenten..."
$vaults = @()
try {
$vaults = Get-AzRecoveryServicesVault -ErrorAction SilentlyContinue
}
catch {
Write-Verbose "Kon Recovery Services-kluizen niet ophalen: $_"
}
$protectedCount = 0
$totalVMs = 0
$vmsWithBackup = 0
$backupPolicies = 0
foreach ($vault in $vaults) {
Set-AzRecoveryServicesVaultContext -Vault $vault -ErrorAction SilentlyContinue | Out-Null
try {
# Controleer VM back-ups
$vmContainers = Get-AzRecoveryServicesBackupContainer -ContainerType AzureVM -ErrorAction SilentlyContinue
if ($vmContainers) {
$protectedCount += $vmContainers.Count
}
# Controleer back-upbeleid
$policies = Get-AzRecoveryServicesBackupProtectionPolicy -ErrorAction SilentlyContinue
if ($policies) {
$backupPolicies += $policies.Count
}
}
catch {
Write-Verbose "Kon backup-containers voor vault '$($vault.Name)' niet ophalen: $_"
}
}
# Haal alle VMs op om te controleren of ze beschermd zijn
$allVMs = @()
try {
$allVMs = Get-AzVM -ErrorAction SilentlyContinue
}
catch {
Write-Verbose "Kon virtuele machines niet ophalen: $_"
}
foreach ($vm in $allVMs) {
$isProtected = $false
foreach ($vault in $vaults) {
Set-AzRecoveryServicesVaultContext -Vault $vault -ErrorAction SilentlyContinue | Out-Null
$container = Get-AzRecoveryServicesBackupContainer -ContainerType AzureVM -ErrorAction SilentlyContinue |
Where-Object { $_.FriendlyName -eq $vm.Name -or $_.VirtualMachineId -eq $vm.Id }
if ($container) {
$isProtected = $true
break
}
}
if ($isProtected) {
$vmsWithBackup++
}
}
return [pscustomobject]@{
AzureConnected = $true
RecoveryServicesVaults = $vaults.Count
ProtectedResources = $protectedCount
TotalVMs = $allVMs.Count
VMsWithBackup = $vmsWithBackup
BackupPolicies = $backupPolicies
}
}
catch {
Write-Warning "Fout bij inventariseren van Azure Backup-componenten: $_"
return [pscustomobject]@{
AzureConnected = $false
RecoveryServicesVaults = 0
ProtectedResources = 0
TotalVMs = 0
VMsWithBackup = 0
BackupPolicies = 0
}
}
}
function New-BackupDocumentationTemplate {
<#
.SYNOPSIS
Maakt een eenvoudige Markdown-template aan voor aanvullende Azure Backup-documentatie.
#>
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
[string]$Name,
[Parameter(Mandatory = $true)]
[string]$OutputPath
)
$template = @"
# Azure Backup component: $Name
**Laatst bijgewerkt:** $(Get-Date -Format "yyyy-MM-dd")
**Documentatie-eigenaar:** [Naam / functie]
**Status:** Concept
## 1. Rol in het Azure Backup-landschap
[Beschrijf hoe deze component (artikel, script of control) past in de totale Azure Backup-strategie.]
## 2. Back-upprincipes en design patterns
[Beschrijf welke back-upprincipes en design patterns worden toegepast.]
## 3. Technische implementatie
[Beschrijf de concrete Azure-services, configuraties en koppelingen.]
## 4. Beveiligingsmaatregelen
[Beschrijf beveiligingslagen, encryptie, toegangscontrole en monitoring.]
## 5. Compliance en governance
[Beschrijf hoe wordt voldaan aan BIO, NIS2, AVG en andere relevante kaders.]
## 6. Verbeterpunten en vervolgstappen
[Beschrijf bekende verbeterpunten, gepland onderhoud en evaluatiemomenten.]
"@
$folder = Split-Path -Path $OutputPath -Parent
if (-not (Test-Path -Path $folder)) {
New-Item -Path $folder -ItemType Directory -Force | Out-Null
}
$template | Out-File -FilePath $OutputPath -Encoding UTF8
Write-Host " Template gegenereerd: $OutputPath" -ForegroundColor Green
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Voert een samenvattende monitoring uit van Azure Backup-componenten.
.OUTPUTS
PSCustomObject met overzichtsresultaten.
#>
[CmdletBinding()]
param()
Write-Host "`nMonitoring: Azure Backup overzicht" -ForegroundColor Yellow
Write-Host "====================================" -ForegroundColor Yellow
$inventory = Get-AzureBackupInventory
$backupStatus = Get-AzureBackupStatus
Write-Host "`nRepository-root: $($inventory.RepositoryRoot)" -ForegroundColor Cyan
Write-Host "Totaal Azure Backup-controls (JSON/PS1-combinaties): $($inventory.TotalControls)" -ForegroundColor Cyan
Write-Host "Volledig gekoppeld (JSON + PS1): $($inventory.WithJsonAndPs1)" -ForegroundColor Cyan
if ($backupStatus.AzureConnected) {
Write-Host "`nAzure Backup-omgeving status:" -ForegroundColor Cyan
Write-Host " Recovery Services-kluizen: $($backupStatus.RecoveryServicesVaults)" -ForegroundColor Gray
Write-Host " Beschermde Resources: $($backupStatus.ProtectedResources)" -ForegroundColor Gray
Write-Host " Totaal Virtuele Machines: $($backupStatus.TotalVMs)" -ForegroundColor Gray
Write-Host " VMs met Backup: $($backupStatus.VMsWithBackup)" -ForegroundColor $(if ($backupStatus.VMsWithBackup -eq $backupStatus.TotalVMs -and $backupStatus.TotalVMs -gt 0) { 'Green' } else { 'Yellow' })
Write-Host " Back-upbeleid: $($backupStatus.BackupPolicies)" -ForegroundColor Gray
if ($backupStatus.TotalVMs -gt 0 -and $backupStatus.VMsWithBackup -lt $backupStatus.TotalVMs) {
Write-Host "`n⚠️ Niet alle virtuele machines zijn beschermd door Azure Backup." -ForegroundColor Yellow
}
}
else {
Write-Host "`n⚠️ Geen actieve Azure-verbinding. Verbind met Connect-AzAccount voor volledige monitoring." -ForegroundColor Yellow
}
if ($inventory.MissingJson.Count -gt 0) {
Write-Host "`n❌ Ontbrekende JSON voor de volgende scripts:" -ForegroundColor Red
foreach ($item in $inventory.MissingJson) {
Write-Host " - $($item.Name) (script: $($item.ScriptPath))" -ForegroundColor Red
}
}
if ($inventory.MissingScripts.Count -gt 0) {
Write-Host "`n❌ Ontbrekende PS1-scripts voor de volgende JSON-bestanden:" -ForegroundColor Red
foreach ($item in $inventory.MissingScripts) {
Write-Host " - $($item.Name) (json: $($item.JsonPath))" -ForegroundColor Red
}
}
if (($inventory.MissingJson.Count -eq 0) -and ($inventory.MissingScripts.Count -eq 0)) {
Write-Host "`n✅ Alle Azure Backup-artikelen hebben zowel JSON als PS1." -ForegroundColor Green
}
else {
Write-Host "`n⚠️ Er zijn nog hiaten in de JSON/PS1-koppeling voor Azure Backup." -ForegroundColor Yellow
Write-Host " Gebruik -Remediation om gericht met deze hiaten aan de slag te gaan." -ForegroundColor Yellow
}
return [pscustomobject]@{
Inventory = $inventory
BackupStatus = $backupStatus
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Ondersteunt remediatie door ontbrekende componenten inzichtelijk te maken en optioneel documentatietemplates te genereren.
.OUTPUTS
PSCustomObject met remediatieadvies.
#>
[CmdletBinding()]
param()
Write-Host "`nRemediatie: Azure Backup overzicht" -ForegroundColor Yellow
Write-Host "===================================" -ForegroundColor Yellow
$inventory = Get-AzureBackupInventory
$repoRoot = $inventory.RepositoryRoot
$docRoot = Join-Path $repoRoot "documentatie\azure-backup"
if (-not (Test-Path -Path $docRoot)) {
New-Item -Path $docRoot -ItemType Directory -Force | Out-Null
}
$actions = @()
foreach ($item in $inventory.Items) {
$action = [pscustomobject]@{
Name = $item.Name
HasJson = [bool]$item.JsonPath
HasScript = [bool]$item.ScriptPath
DocumentationPath = $null
DocumentationExists = $false
}
$docFile = Join-Path $docRoot ("backup-" + $item.Name + ".md")
$action.DocumentationPath = $docFile
$action.DocumentationExists = Test-Path -Path $docFile
if (-not $action.DocumentationExists -and -not $WhatIf) {
New-BackupDocumentationTemplate -Name $item.Name -OutputPath $docFile
}
elseif (-not $action.DocumentationExists -and $WhatIf) {
Write-Host " [WhatIf] Zou documentatietemplate aanmaken: $docFile" -ForegroundColor Yellow
}
$actions += $action
}
Write-Host "`nSamenvatting remediatie-status:" -ForegroundColor Cyan
Write-Host (" Items zonder JSON: {0}" -f ($actions | Where-Object { -not $_.HasJson }).Count) -ForegroundColor Cyan
Write-Host (" Items zonder script: {0}" -f ($actions | Where-Object { -not $_.HasScript }).Count) -ForegroundColor Cyan
Write-Host (" Items zonder documentatie: {0}" -f ($actions | Where-Object { -not $_.DocumentationExists }).Count) -ForegroundColor Cyan
return $actions
}
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
try {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Azure Backup Overzichtsmonitor" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
Connect-RequiredServices
if ($Monitoring) {
Invoke-Monitoring | Out-Null
}
elseif ($Remediation) {
Invoke-Remediation | Out-Null
}
else {
# Standaard: compacte compliance check via monitoring
$result = Invoke-Monitoring
if (($result.Inventory.MissingJson.Count -eq 0) -and ($result.Inventory.MissingScripts.Count -eq 0)) {
Write-Host "`n✅ COMPLIANT" -ForegroundColor Green
}
else {
Write-Host "`n❌ NON-COMPLIANT" -ForegroundColor Red
Write-Host "Run met -Remediation voor een gericht overzicht van hiaten en documentatietemplates." -ForegroundColor Yellow
}
}
}
catch {
Write-Error "Er is een fout opgetreden in index.ps1: $_"
throw
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
Critical: Wanneer Azure-resources zonder back-up draaien, leidt een enkele ransomwarebesmetting, schijfstoring of menselijke fout onmiddellijk tot permanent verlies van applicaties en data. De organisatie kan weken uit de lucht zijn en loopt contractuele boetes, AVG-meldplichten en reputatieschade op. Financiële verliezen kunnen oplopen tot miljoenen euro's door herstelkosten, noodinvesteringen in hardware en uitgestelde dienstverlening. Daarnaast mislukt iedere audit op BIO, ISO 27001 en NIS2-onderdelen zodra blijkt dat er geen aantoonbaar herstelvermogen aanwezig is.
Management Samenvatting
Azure Backup levert geautomatiseerde, versleutelde momentopnamen met beleidsgestuurde retentie, geo-redundantie en integratie in beheerprocessen. Met een investering van enkele euro's per resource per maand wordt voldaan aan CIS 7.3, BIO 12.03, ISO 27001 A.8.13, AVG artikel 32 en NIS2. Plan dagelijkse back-ups, voer kwartaalgewijze hersteltests uit en koppel monitoring aan het SOC om continuïteit te garanderen.
- Implementatietijd: 24 uur
- FTE required: 0.1 FTE