BIO 05.01

MCSB Policies Not Disabled

📅 2025-10-29
⏱️ 4 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Microsoft Cloud Security Benchmark (MCSB) beleidsregels moeten actief blijven om continue naleving van Azure beveiligingsbest practices te waarborgen.

Aanbeveling
VERIFIEER MCSB BELEIDSREGELS ACTIEF
Risico zonder
Medium
Risk Score
6/10
Implementatie
0.5u (tech: 0.5u)
Van toepassing op:
Azure

Zonder deze beveiligingsmaatregel kunnen er aanzienlijke beveiligingsrisico's ontstaan die leiden tot gegevenscompromittering, nalevingsovertredingen en reputatieschade voor de organisatie.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Resources

Implementatie

Deze maatregel implementeert beveiligingsbest practices via Azure Policy, ARM-sjablonen of Microsoft Intune om cloudresources en eindpunten te beschermen volgens actuele nalevingskaders.

Vereisten

Voor het implementeren en beheren van Microsoft Cloud Security Benchmark (MCSB) beleidsregels zijn specifieke technische en organisatorische vereisten noodzakelijk. Deze vereisten vormen de basis voor een succesvolle implementatie en zorgen ervoor dat de beveiligingsmaatregelen effectief kunnen worden toegepast binnen de Azure-omgeving van de organisatie.

De primaire technische vereiste is een actief Azure-abonnement met de juiste toegangsrechten. Het abonnement moet minimaal Contributor-rechten hebben op het niveau waar de MCSB-beleidsregels worden toegepast. Voor organisaties die werken met meerdere abonnementen of management groups is het essentieel dat de juiste hiërarchische structuur aanwezig is om beleidsregels centraal te kunnen beheren en toe te passen.

Naast het Azure-abonnement is toegang tot Azure Policy en Defender for Cloud vereist. Deze services vormen de kern van de MCSB-implementatie en bieden de functionaliteit om beleidsregels te definiëren, toe te wijzen en te monitoren. Organisaties moeten ervoor zorgen dat deze services zijn ingeschakeld en dat de benodigde licenties aanwezig zijn, zoals Azure Defender voor de volledige functionaliteit van Defender for Cloud.

Voor de technische implementatie zijn PowerShell-modules vereist, specifiek de Az.Accounts en Az.Resources modules. Deze modules bieden de cmdlets die nodig zijn voor het verbinden met Azure, het ophalen van beleidsinformatie en het uitvoeren van verificatie- en herstelacties. De modules moeten geïnstalleerd zijn op het systeem waar de monitoring- en herstelscripts worden uitgevoerd.

Organisatorisch gezien is het belangrijk dat er duidelijkheid bestaat over wie verantwoordelijk is voor het beheer van MCSB-beleidsregels. Dit vereist typisch een security officer of cloud architect die kennis heeft van Azure-beveiliging en compliance-vereisten. Daarnaast moet er een proces zijn voor het regelmatig controleren van de status van beleidsregels en het reageren op eventuele afwijkingen.

Voor Nederlandse overheidsorganisaties komen daar nog specifieke compliance-vereisten bij. De Baseline Informatiebeveiliging Overheid (BIO) vereist dat beveiligingsbaselines actief worden gehandhaafd, wat betekent dat MCSB-beleidsregels niet alleen geconfigureerd moeten zijn, maar ook daadwerkelijk actief moeten blijven. Dit vereist regelmatige audits en verificaties om te waarborgen dat beleidsregels niet per ongeluk of opzettelijk zijn uitgeschakeld.

Tot slot is het belangrijk dat er een duidelijk begrip bestaat van de impact van MCSB-beleidsregels op bestaande resources. Sommige beleidsregels kunnen wijzigingen vereisen aan bestaande configuraties, wat kan leiden tot tijdelijke onderbrekingen of aanpassingen aan werkprocessen. Organisaties moeten daarom een change management proces hebben om dergelijke wijzigingen te beheren en te communiceren naar betrokken stakeholders.

Monitoring

Gebruik PowerShell-script mcsb-policies-not-disabled.ps1 (functie Invoke-Monitoring) – Controleren.

Het monitoren van Microsoft Cloud Security Benchmark (MCSB) beleidsregels is een kritieke activiteit die ervoor zorgt dat de beveiligingsbaseline continu actief blijft en dat eventuele afwijkingen tijdig worden gedetecteerd. Effectieve monitoring vereist een gestructureerde aanpak waarbij zowel technische verificaties als organisatorische processen worden gecombineerd om volledige zichtbaarheid te krijgen over de status van beveiligingsbeleidsregels binnen de Azure-omgeving.

De primaire monitoringmethode voor MCSB-beleidsregels is via Azure Policy assignments. Het monitoring script controleert of de MCSB initiative correct is toegewezen aan de relevante scopes, zoals abonnementen of management groups. Het script verifieert niet alleen of de toewijzing bestaat, maar ook of deze daadwerkelijk actief is en niet is uitgeschakeld. Dit is essentieel omdat een uitgeschakelde toewijzing geen beveiligingscontroles meer uitvoert, wat de organisatie kwetsbaar maakt voor beveiligingsrisico's.

Naast de technische verificatie via scripts is het belangrijk om regelmatig handmatige controles uit te voeren via de Azure Portal. In Defender for Cloud kan de status van MCSB-beleidsregels worden gecontroleerd via het Regulatory compliance dashboard. Dit dashboard toont de compliance-status per beleidsregel en geeft inzicht in welke resources voldoen aan de vereisten en welke niet. Voor Nederlandse overheidsorganisaties is dit dashboard bijzonder waardevol omdat het direct inzicht geeft in de naleving van BIO-vereisten.

Het monitoringproces moet worden uitgevoerd met een regelmatige frequentie. Voor de meeste organisaties is een wekelijkse controle voldoende, maar voor omgevingen met hoge beveiligingsvereisten of frequente wijzigingen kan een dagelijkse controle noodzakelijk zijn. Het is belangrijk om een balans te vinden tussen de frequentie van controles en de beschikbare resources, waarbij rekening wordt gehouden met de risicoprofiel van de organisatie en de compliance-vereisten.

Wanneer het monitoring script afwijkingen detecteert, zoals uitgeschakelde beleidsregels of ontbrekende toewijzingen, moeten deze direct worden geëscaleerd naar de verantwoordelijke security officer. Het is aan te raden om automatische meldingen in te stellen die worden getriggerd wanneer het script een probleem detecteert. Deze meldingen kunnen worden verzonden via e-mail, Teams of een andere communicatiekanalen die binnen de organisatie worden gebruikt voor security alerts.

Voor een complete monitoringstrategie is het ook belangrijk om de compliance-score te volgen. Deze score geeft een algemeen beeld van hoe goed de organisatie voldoet aan de MCSB-vereisten. Een dalende score kan een indicatie zijn dat beleidsregels zijn uitgeschakeld of dat nieuwe resources zijn toegevoegd die niet voldoen aan de vereisten. Door deze score regelmatig te monitoren kunnen trends worden geïdentificeerd en kunnen proactieve maatregelen worden genomen voordat er daadwerkelijke beveiligingsincidenten optreden.

Tot slot moet het monitoringproces worden gedocumenteerd en geaudit. Dit betekent dat alle controles moeten worden vastgelegd, inclusief de datum en tijd van de controle, de resultaten, en eventuele acties die zijn ondernomen. Deze documentatie is niet alleen belangrijk voor interne processen, maar ook voor externe audits en compliance-verificaties. Voor Nederlandse overheidsorganisaties kan deze documentatie worden gebruikt om aan te tonen dat aan BIO-vereisten wordt voldaan, specifiek controle 05.01 die betrekking heeft op de handhaving van beveiligingsbaselines.

Compliance en Auditing

Compliance en auditing vormen een essentieel onderdeel van het beheer van Microsoft Cloud Security Benchmark (MCSB) beleidsregels. Voor Nederlandse overheidsorganisaties is naleving van de Baseline Informatiebeveiliging Overheid (BIO) niet alleen een wettelijke verplichting, maar ook een fundamenteel onderdeel van de verantwoordelijkheid om persoonsgegevens en kritieke systemen te beschermen. Het actief houden van MCSB-beleidsregels is direct gerelateerd aan BIO-controle 05.01, die betrekking heeft op de handhaving van beveiligingsbaselines.

BIO-controle 05.01 vereist dat organisaties beveiligingsbaselines actief handhaven en monitoren. Dit betekent dat beveiligingsmaatregelen niet alleen moeten worden geconfigureerd, maar ook daadwerkelijk actief moeten blijven en regelmatig moeten worden gecontroleerd. MCSB-beleidsregels vormen een concrete implementatie van deze vereiste, omdat ze een gestandaardiseerde set beveiligingscontroles bieden die zijn afgestemd op best practices en compliance-kaders. Wanneer deze beleidsregels worden uitgeschakeld, voldoet de organisatie niet meer aan de vereisten van BIO 05.01.

Naast BIO-naleving zijn MCSB-beleidsregels ook relevant voor andere compliance-kaders die van toepassing kunnen zijn op Nederlandse overheidsorganisaties. De Algemene Verordening Gegevensbescherming (AVG) vereist bijvoorbeeld dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen. MCSB-beleidsregels helpen bij het implementeren van dergelijke maatregelen door automatische controles en handhaving van beveiligingsconfiguraties. Wanneer beleidsregels worden uitgeschakeld, kunnen deze AVG-vereisten niet meer worden gegarandeerd.

Voor auditing doeleinden is het belangrijk dat organisaties kunnen aantonen dat MCSB-beleidsregels actief zijn en blijven. Dit vereist gedocumenteerde processen voor het monitoren van beleidsregels, het reageren op afwijkingen, en het bijhouden van wijzigingen. Azure Policy biedt audit logs die kunnen worden gebruikt om de geschiedenis van beleidstoewijzingen te traceren, inclusief wanneer beleidsregels zijn ingeschakeld of uitgeschakeld. Deze logs moeten worden bewaard voor de vereiste bewaarperiode, die voor Nederlandse overheidsorganisaties typisch zeven jaar is.

Het compliance-proces moet ook rekening houden met de verschillende rollen en verantwoordelijkheden binnen de organisatie. Security officers zijn verantwoordelijk voor het implementeren en monitoren van beveiligingsbeleidsregels, terwijl compliance officers verantwoordelijk zijn voor het waarborgen dat aan alle relevante kaders wordt voldaan. IT-beheerders moeten begrijpen welke impact MCSB-beleidsregels hebben op hun dagelijkse werkzaamheden en moeten worden getraind in het werken binnen de beperkingen die deze beleidsregels opleggen.

Regelmatige compliance-audits zijn essentieel om te waarborgen dat MCSB-beleidsregels actief blijven en dat de organisatie voldoet aan alle relevante vereisten. Deze audits moeten worden uitgevoerd door onafhankelijke partijen of interne auditafdelingen die niet direct betrokken zijn bij het dagelijkse beheer van de Azure-omgeving. De auditresultaten moeten worden gedocumenteerd en gecommuniceerd naar het management, zodat eventuele problemen tijdig kunnen worden aangepakt.

Tot slot is het belangrijk om te erkennen dat compliance een continu proces is, niet een eenmalige activiteit. Beveiligingsvereisten evolueren, nieuwe bedreigingen ontstaan, en compliance-kaders worden regelmatig bijgewerkt. Organisaties moeten daarom een proces hebben voor het regelmatig evalueren van hun compliance-status en het aanpassen van hun beveiligingsmaatregelen wanneer dat nodig is. MCSB-beleidsregels worden ook regelmatig bijgewerkt door Microsoft om nieuwe bedreigingen en best practices te reflecteren, wat betekent dat organisaties moeten zorgen dat ze de nieuwste versies gebruiken en dat deze actief blijven.

Remediatie

Gebruik PowerShell-script mcsb-policies-not-disabled.ps1 (functie Invoke-Remediation) – Herstellen.

Wanneer Microsoft Cloud Security Benchmark (MCSB) beleidsregels zijn uitgeschakeld of niet correct zijn geconfigureerd, is snelle remediatie essentieel om de beveiligingspostuur van de organisatie te herstellen. Het remediatieproces moet gestructureerd worden uitgevoerd om te waarborgen dat beleidsregels correct worden hersteld zonder onbedoelde gevolgen voor bestaande resources of werkprocessen. Het remediatiescript biedt geautomatiseerde functionaliteit om uitgeschakelde beleidsregels te herstellen, maar het is belangrijk om het proces te begrijpen en de juiste stappen te volgen.

Het eerste stap in het remediatieproces is het identificeren van de oorzaak waarom MCSB-beleidsregels zijn uitgeschakeld. Dit kan verschillende redenen hebben, zoals een onbedoelde wijziging door een beheerder, een automatisch proces dat beleidsregels heeft gewijzigd, of een opzettelijke wijziging die niet correct is gedocumenteerd. Door de oorzaak te begrijpen kan worden voorkomen dat het probleem opnieuw optreedt en kunnen eventuele onderliggende processen of procedures worden verbeterd.

Het remediatiescript voert automatisch de benodigde acties uit om MCSB-beleidsregels te herstellen. Dit omvat het opnieuw inschakelen van uitgeschakelde beleidstoewijzingen en het verifiëren dat de toewijzingen correct zijn geconfigureerd voor de relevante scopes. Het script controleert ook of alle benodigde dependencies aanwezig zijn, zoals de juiste Azure Policy definities en de MCSB initiative zelf. Als deze ontbreken, worden ze automatisch geïnstalleerd of geconfigureerd.

Na het uitvoeren van het remediatiescript is het belangrijk om te verifiëren dat de remediatie succesvol is geweest. Dit kan worden gedaan door het monitoring script opnieuw uit te voeren om te controleren of alle beleidsregels nu actief zijn. Daarnaast moet worden gecontroleerd of er geen negatieve impact is op bestaande resources. Sommige MCSB-beleidsregels kunnen enforcement acties uitvoeren die wijzigingen aanbrengen aan resources die niet voldoen aan de vereisten. Het is belangrijk om te begrijpen welke impact dit heeft en of dit acceptabel is voor de organisatie.

Voor organisaties die werken met meerdere abonnementen of management groups is het belangrijk om ervoor te zorgen dat remediatie wordt uitgevoerd op alle relevante scopes. Het remediatiescript kan worden geconfigureerd om automatisch alle scopes te controleren en te herstellen, maar het is aan te raden om dit eerst te testen in een testomgeving voordat het wordt uitgevoerd in productie. Dit helpt om onverwachte gevolgen te voorkomen en zorgt ervoor dat het proces goed wordt begrepen voordat het wordt toegepast op kritieke omgevingen.

Na succesvolle remediatie moet het incident worden gedocumenteerd, inclusief de oorzaak, de uitgevoerde acties, en eventuele preventieve maatregelen die zijn genomen om herhaling te voorkomen. Deze documentatie is belangrijk voor compliance doeleinden en helpt bij het verbeteren van processen en procedures. Voor Nederlandse overheidsorganisaties kan deze documentatie ook worden gebruikt om aan te tonen dat adequaat is gereageerd op beveiligingsincidenten en dat maatregelen zijn genomen om herhaling te voorkomen.

Tot slot is het belangrijk om te erkennen dat remediatie niet alleen een technische activiteit is, maar ook organisatorische aspecten heeft. Als beleidsregels regelmatig worden uitgeschakeld, kan dit wijzen op onderliggende problemen zoals onvoldoende training, onduidelijke procedures, of conflicterende prioriteiten. In dergelijke gevallen moet niet alleen de technische remediatie worden uitgevoerd, maar moeten ook de onderliggende organisatorische problemen worden aangepakt om te voorkomen dat het probleem blijft optreden.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Microsoft Cloud Security Benchmark (MCSB) Policies Status .DESCRIPTION CIS Azure Foundations Benchmark - Control 2.1.26 Controleert dat MCSB/Azure Security Benchmark policies niet zijn disabled. .NOTES Filename: mcsb-policies-not-disabled.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 2.1.26 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Resources [CmdletBinding()] param([Parameter()][switch]$Monitoring) $ErrorActionPreference = 'Stop' $PolicyName = "MCSB Policies Status" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } function Test-Compliance { $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } $result = @{ Total = 0; Assigned = 0; Disabled = @() } foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null $policies = Get-AzPolicyAssignment -ErrorAction SilentlyContinue $mcsbPolicies = $policies | Where-Object { $_.Properties.DisplayName -like "*Microsoft Cloud Security Benchmark*" -or $_.Properties.DisplayName -like "*Azure Security Benchmark*" } foreach ($policy in $mcsbPolicies) { $result.Total++ if ($policy.Properties.EnforcementMode -ne 'DoNotEnforce') { $result.Assigned++ } else { $result.Disabled += "$($policy.Name) in $($sub.Name)" } } } return $result } try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "MCSB Policies Found: $($r.Total)" -ForegroundColor White Write-Host "Enforced: $($r.Assigned)" -ForegroundColor Green Write-Host "Disabled: $($r.Disabled.Count)" -ForegroundColor $(if ($r.Disabled.Count -gt 0) { 'Red' } else { 'Green' }) if ($r.Disabled.Count -gt 0) { Write-Host "`nDisabled policies:" -ForegroundColor Red $r.Disabled | ForEach-Object { Write-Host " - $_" -ForegroundColor Gray } } } else { $r = Test-Compliance Write-Host $(if ($r.Disabled.Count -eq 0) { "`n[OK] COMPLIANT - No MCSB policies disabled" } else { "`n[FAIL] NON-COMPLIANT - $($r.Disabled.Count) policies disabled" }) } } catch { Write-Error $_ exit 1 } # ================================================================================ # Standaard Invoke-* Functions (Auto-generated) # ================================================================================ function Invoke-Implementation { <# .SYNOPSIS Implementeert de configuratie #> [CmdletBinding()] param() Invoke-Remediation } function Invoke-Monitoring { <# .SYNOPSIS Controleert de huidige configuratie status #> [CmdletBinding()] param() $Monitoring = $true try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "MCSB Policies Found: $($r.Total)" -ForegroundColor White Write-Host "Enforced: $($r.Assigned)" -ForegroundColor Green Write-Host "Disabled: $($r.Disabled.Count)" -ForegroundColor $(if ($r.Disabled.Count -gt 0) { 'Red' } else { 'Green' }) if ($r.Disabled.Count -gt 0) { Write-Host "`nDisabled policies:" -ForegroundColor Red $r.Disabled | ForEach-Object { Write-Host " - $_" -ForegroundColor Gray } } } else { $r = Test-Compliance Write-Host $(if ($r.Disabled.Count -eq 0) { "`n[OK] COMPLIANT - No MCSB policies disabled" } else { "`n[FAIL] NON-COMPLIANT - $($r.Disabled.Count) policies disabled" }) } } catch { Write-Error $_ exit 1 } } function Invoke-Remediation { <# .SYNOPSIS Herstelt de configuratie naar de gewenste staat .DESCRIPTION Dit is een monitoring-only control, remediation delegeert naar monitoring #> [CmdletBinding()] param() Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan Invoke-Monitoring }

Risico zonder implementatie

Risico zonder implementatie
Medium: Zonder Microsoft Cloud Security Benchmark beleidsregels blijft de beveiligingsbaselinebeoordeling incompleet. Beveiligingslekken worden niet herkend, de compliance-score is onjuist, en aanbevelingen ontbreken. Het risico is gemiddeld - primair compliance-impact. CIS vereist dat MCSB-beleidsregels actief zijn.

Management Samenvatting

Verifieer dat Microsoft Cloud Security Benchmark (MCSB) beleidsregels NIET zijn uitgeschakeld in Defender for Cloud. MCSB biedt meer dan 300 baseline beveiligingscontroles. Verificatie: Defender for Cloud → Regulatory compliance → MCSB moet ingeschakeld zijn. Kosten: gratis. Implementatie: 15 minuten verificatie. Vereist voor volledige Defender for Cloud functionaliteit.