BIO 12.06 ISO A.8.8

Controle VM Besturingssysteem Updates

📅 2025-10-29
⏱️ 4 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Besturingssysteemupdates voor virtuele machines moeten regelmatig worden gecontroleerd en geïnstalleerd om de beveiligingspostuur van de cloudomgeving te waarborgen.

Aanbeveling
IMPLEMENTEER UPDATEBEHEER
Risico zonder
Critical
Risk Score
9/10
Implementatie
4u (tech: 2u)
Van toepassing op:
Azure

Zonder deze essentiële beveiligingsmaatregel kunnen er aanzienlijke beveiligingsrisico's ontstaan die leiden tot datalekken, nalevingsproblemen en reputatieschade voor de organisatie. Ongepatchte systemen vormen een van de meest voorkomende aanvalsvectoren in moderne cloudomgevingen, waarbij cybercriminelen actief zoeken naar bekende kwetsbaarheden die niet zijn verholpen.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Compute

Implementatie

Monitoring en beheer van ontbrekende besturingssysteemupdates via Azure Update Manager of Update Management, waarbij automatische detectie, beoordeling en installatie van kritieke beveiligingspatches worden gefaciliteerd voor alle virtuele machines in de Azure-omgeving.

Vereisten

Voor het implementeren van een effectief updatebeheersysteem voor virtuele machines in Azure zijn verschillende technische en organisatorische vereisten van essentieel belang. Deze vereisten vormen de basis voor een robuuste patchmanagementstrategie die voldoet aan de eisen van moderne cybersecurity frameworks en Nederlandse compliance-standaarden. Technisch gezien vereist het systeem de aanwezigheid van Azure virtuele machines die moeten worden beheerd. Deze virtuele machines kunnen zowel Windows- als Linux-gebaseerde systemen zijn, waarbij elk besturingssysteem specifieke aandacht vereist voor het patchmanagementproces. De virtuele machines moeten beschikken over netwerkconnectiviteit naar Azure Update Manager services, wat betekent dat uitgaande HTTPS-verbindingen naar Microsoft-eindpunten moeten worden toegestaan. Voor Linux-systemen is het bovendien noodzakelijk dat de Log Analytics-agent is geïnstalleerd en correct is geconfigureerd, terwijl Windows-systemen gebruik kunnen maken van de ingebouwde Windows Update-service in combinatie met Azure Update Manager. Azure Update Manager of Update Management vormt de kerncomponent van het patchbeheersysteem. Deze service biedt gecentraliseerde functionaliteit voor het detecteren, beoordelen en installeren van updates voor virtuele machines op schaal. De service integreert naadloos met Azure Monitor en Azure Automation, waardoor geavanceerde orchestratie en rapportage mogelijk worden. Voor organisaties die reeds gebruik maken van Azure Arc kunnen ook hybride machines worden beheerd via dezelfde interface, wat de consistentie in patchmanagementstrategieën aanzienlijk verbetert. Vanuit organisatorisch perspectief vereist effectief updatebeheer duidelijke beleidskaders en procedures. Organisaties moeten een patchmanagementbeleid ontwikkelen dat definieert welke updates als kritiek worden beschouwd, welke testprocedures moeten worden gevolgd voordat patches in productieomgevingen worden geïmplementeerd, en welke maintenance windows beschikbaar zijn voor het installeren van updates zonder bedrijfscontinuïteit te verstoren. Daarnaast is het essentieel dat er voldoende technische expertise beschikbaar is voor het configureren en onderhouden van het updatebeheersysteem, waarbij kennis van zowel Azure-services als besturingssysteemspecifieke patchprocessen vereist is. Toegangsrechten vormen een kritieke vereiste voor het succesvol implementeren van updatebeheer. Beheerders moeten beschikken over de juiste Azure RBAC-rollen, waarbij minimaal de rol van Virtual Machine Contributor of een aangepaste rol met specifieke machtigingen voor Update Management vereist is. Voor het uitvoeren van updates op virtuele machines zijn bovendien lokale beheerdersrechten op de betreffende systemen noodzakelijk, wat betekent dat service accounts of managed identities correct moeten worden geconfigureerd met de benodigde privileges. Financieel gezien is Azure Update Manager beschikbaar zonder extra kosten voor Azure-abonnementen, wat betekent dat alleen de onderliggende compute-kosten voor virtuele machines en eventuele Azure Automation-kosten van toepassing zijn. Dit maakt de service bijzonder aantrekkelijk voor organisaties die streven naar kosteneffectief patchmanagement zonder de complexiteit van zelfgebouwde oplossingen. De investering in tijd en middelen voor implementatie en configuratie is relatief beperkt, waarbij de meeste organisaties binnen enkele uren een werkende configuratie kunnen realiseren.

Monitoring

Gebruik PowerShell-script vm-os-updates-check.ps1 (functie Invoke-Monitoring) – Controleren.

Monitoring van updatecompliance vormt een fundamenteel onderdeel van effectief patchbeheer in Azure-omgevingen. Het proces omvat continue bewaking van de patchstatus van virtuele machines, detectie van ontbrekende kritieke updates, en rapportage over de algehele compliance-postuur van de cloudinfrastructuur. Azure Update Manager biedt uitgebreide monitoringmogelijkheden die organisaties in staat stellen proactief te reageren op beveiligingsrisico's die voortvloeien uit ongepatchte systemen. De monitoringfunctionaliteit controleert updatecompliance via Azure Update Manager door regelmatig de patchstatus van alle geregistreerde virtuele machines te evalueren. Het systeem vergelijkt de geïnstalleerde updates op elke virtuele machine met de beschikbare updates in de Microsoft Update-catalogus, waarbij zowel beveiligingsupdates als optionele updates kunnen worden geïdentificeerd. Voor Windows-systemen worden updates gecategoriseerd op basis van hun prioriteit en impact, waarbij kritieke beveiligingsupdates de hoogste prioriteit krijgen. Linux-systemen worden geëvalueerd op basis van de beschikbare pakketupdates voor de specifieke distributie en versie. Het monitoringproces genereert gedetailleerde rapporten die inzicht bieden in de compliance-status van individuele virtuele machines en de gehele omgeving. Deze rapporten bevatten informatie over het aantal ontbrekende updates per machine, de kritiekheid van ontbrekende patches, en de tijd sinds de laatste succesvolle update-installatie. Organisaties kunnen deze informatie gebruiken om prioriteiten te stellen voor patchimplementatie, waarbij systemen met kritieke ontbrekende updates voorrang krijgen boven systemen met minder urgente updatevereisten. Azure Update Manager integreert naadloos met Azure Monitor en Log Analytics, waardoor geavanceerde query's en dashboards kunnen worden geconfigureerd voor real-time monitoring van updatecompliance. Beheerders kunnen aangepaste waarschuwingen configureren die worden geactiveerd wanneer virtuele machines gedurende een bepaalde periode niet zijn bijgewerkt, of wanneer kritieke beveiligingsupdates beschikbaar zijn maar nog niet zijn geïnstalleerd. Deze waarschuwingen kunnen worden geïntegreerd met bestaande incident response-processen, waardoor snelle reactie op beveiligingsrisico's mogelijk wordt. Het monitoringproces ondersteunt ook compliance-rapportage voor verschillende frameworks en standaarden. Organisaties kunnen rapporten genereren die aantonen dat zij voldoen aan de vereisten van het BIO-kader, ISO 27001, en andere relevante standaarden voor patchmanagement. Deze rapporten kunnen worden gebruikt tijdens audits en compliance-beoordelingen, waarbij gedocumenteerd bewijs wordt geleverd van de effectiviteit van het patchbeheerproces. Voor organisaties met grote aantallen virtuele machines biedt de monitoringfunctionaliteit schaalbaarheid en automatisering. Het systeem kan duizenden virtuele machines tegelijkertijd monitoren zonder dat handmatige interventie vereist is, waardoor efficiënt beheer mogelijk is zelfs in complexe, gedistribueerde omgevingen. De monitoringgegevens worden automatisch bijgewerkt, waarbij de update-status van virtuele machines regelmatig wordt gesynchroniseerd met de centrale Update Manager-service. Effectieve monitoring vereist ook regelmatige review en analyse van de gegenereerde rapporten. Beveiligingsteams moeten periodiek de compliance-status evalueren, trends identificeren in update-installaties, en aanpassingen maken aan het patchmanagementbeleid op basis van de verzamelde gegevens. Deze continue verbetering zorgt ervoor dat het patchbeheerproces effectief blijft en voldoet aan de evoluerende beveiligingsvereisten van moderne cloudomgevingen.

Compliance en Audit

Compliance en audit vormen kritieke aspecten van patchbeheer voor virtuele machines in Azure-omgevingen, waarbij organisaties moeten aantonen dat zij effectieve processen hebben geïmplementeerd voor het beheren van beveiligingsupdates. Nederlandse overheidsorganisaties en organisaties die werken met gevoelige gegevens moeten voldoen aan verschillende frameworks en standaarden die specifieke vereisten stellen aan patchbeheer en beveiligingsupdateprocessen. Het BIO-kader (Baseline Informatiebeveiliging Overheid) bevat specifieke controles voor patchbeheer, waaronder BIO-controle 12.06 die stelt dat organisaties een gestructureerd proces moeten hebben voor het beheren van beveiligingsupdates. Deze controle vereist dat organisaties regelmatig beveiligingsupdates installeren, een proces hebben voor het prioriteren van updates op basis van risico, en documentatie bijhouden van geïnstalleerde patches en de rationale achter beslissingen om bepaalde updates wel of niet te installeren. Azure Update Manager ondersteunt deze vereisten door uitgebreide rapportage en auditlogging te bieden die aantonen wanneer updates zijn geïnstalleerd, welke updates zijn overgeslagen en waarom, en welke virtuele machines mogelijk niet voldoen aan de patchbeheervereisten. ISO 27001:2022 bevat eveneens specifieke controles voor technische kwetsbaarheden, waaronder controle A.8.8 die vereist dat organisaties informatie over technische kwetsbaarheden van informatiesystemen tijdig verkrijgen, de blootstelling aan dergelijke kwetsbaarheden evalueren en passende maatregelen nemen om de geïdentificeerde risico's te beheersen. Deze controle is direct gerelateerd aan patchbeheer, waarbij beveiligingsupdates de primaire methode vormen voor het verhelpen van technische kwetsbaarheden. Azure Update Manager faciliteert naleving van deze controle door automatische detectie van beschikbare updates, risicobeoordeling op basis van de kritiekheid van patches, en geautomatiseerde installatieprocessen die ervoor zorgen dat kritieke beveiligingsupdates tijdig worden geïmplementeerd. Voor organisaties die onder de NIS2-richtlijn vallen zijn aanvullende vereisten van toepassing voor patchbeheer. De richtlijn vereist dat essentiële en belangrijke entiteiten passende technische en organisatorische maatregelen treffen om de beveiliging van netwerk- en informatiesystemen te waarborgen, waarbij patchbeheer een fundamenteel onderdeel vormt van deze maatregelen. Organisaties moeten kunnen aantonen dat zij een proactieve aanpak hebben voor het beheren van beveiligingsupdates, waarbij kritieke patches binnen redelijke termijnen worden geïnstalleerd en waarbij processen zijn geïmplementeerd voor het testen van updates voordat deze in productieomgevingen worden geïmplementeerd. Audit van patchbeheerprocessen vereist uitgebreide documentatie en logging van alle activiteiten die verband houden met het installeren en beheren van updates. Azure Update Manager genereert automatisch auditlogs die vastleggen wanneer updates zijn gedetecteerd, wanneer compliance-scans zijn uitgevoerd, wanneer updates zijn geïnstalleerd, en welke fouten of problemen zijn opgetreden tijdens het updateproces. Deze logs kunnen worden geïntegreerd met Azure Monitor en Log Analytics voor langetermijnopslag en analyse, waarbij organisaties kunnen voldoen aan vereisten voor logretentie die vaak zeven jaar of langer bedragen voor overheidsorganisaties. Compliance-rapportage moet regelmatig worden gegenereerd en beoordeeld door beveiligingsteams en management. Deze rapporten moeten inzicht bieden in de algehele compliance-status van de omgeving, trends in update-installaties, en eventuele gebieden waar verbetering nodig is. Organisaties moeten ook kunnen aantonen dat zij een proces hebben voor het behandelen van uitzonderingen, waarbij virtuele machines die om legitieme redenen niet kunnen worden bijgewerkt worden gedocumenteerd en gecompenseerd met aanvullende beveiligingsmaatregelen. Voor Nederlandse overheidsorganisaties is het bovendien belangrijk dat patchbeheerprocessen worden geïntegreerd met bredere informatiebeveiligingsmanagementprocessen. Dit betekent dat patchbeheer moet worden opgenomen in het informatiebeveiligingsbeleid, dat rollen en verantwoordelijkheden duidelijk moeten zijn gedefinieerd, en dat regelmatige training en awareness-activiteiten worden georganiseerd voor medewerkers die betrokken zijn bij het patchbeheerproces. Azure Update Manager ondersteunt deze integratie door uitgebreide rapportage en documentatie te bieden die kan worden gebruikt in informatiebeveiligingsmanagementprocessen en compliance-audits.

Remediatie

Gebruik PowerShell-script vm-os-updates-check.ps1 (functie Invoke-Remediation) – Herstellen.

Remediatie van ontbrekende beveiligingsupdates vormt een kritiek onderdeel van het patchmanagementproces, waarbij organisaties proactief moeten handelen om beveiligingsrisico's te verhelpen die voortvloeien uit ongepatchte systemen. Het remediatieproces omvat niet alleen de technische installatie van updates, maar ook planning, testen, en validatie om ervoor te zorgen dat updates succesvol worden geïnstalleerd zonder negatieve impact op bedrijfsprocessen. Het remediatieproces begint met de identificatie van virtuele machines die ontbrekende kritieke beveiligingsupdates hebben. Azure Update Manager faciliteert dit door automatische detectie en prioritering van updates op basis van hun kritiekheid en impact. Beveiligingsteams kunnen vervolgens bepalen welke updates moeten worden geïnstalleerd en in welke volgorde, waarbij kritieke beveiligingsupdates die gerelateerd zijn aan actieve bedreigingen of bekende kwetsbaarheden de hoogste prioriteit krijgen. Voordat updates worden geïnstalleerd in productieomgevingen is het essentieel dat updates worden getest in een gecontroleerde testomgeving. Dit testproces helpt identificeren of updates compatibel zijn met bestaande applicaties en configuraties, of updates mogelijk prestatieproblemen veroorzaken, en of updates aanvullende configuratie vereisen na installatie. Organisaties moeten een gestructureerd testproces hebben dat definieert welke tests moeten worden uitgevoerd, wie verantwoordelijk is voor het uitvoeren van tests, en hoe lang het testproces moet duren voordat updates kunnen worden goedgekeurd voor productie-implementatie. Azure Update Manager biedt verschillende opties voor het installeren van updates, waaronder onmiddellijke installatie, geplande installatie tijdens maintenance windows, en geautomatiseerde installatie volgens een vooraf gedefinieerd schema. Voor kritieke beveiligingsupdates kan onmiddellijke installatie worden overwogen, vooral wanneer updates gerelateerd zijn aan actieve bedreigingen of zero-day kwetsbaarheden. Voor minder urgente updates is geplande installatie tijdens maintenance windows vaak de voorkeursmethode, waarbij updates worden geïnstalleerd tijdens perioden met lage bedrijfsactiviteit om de impact op bedrijfsprocessen te minimaliseren. Het remediatieproces moet ook rekening houden met de beschikbaarheid en bedrijfscontinuïteit. Voor kritieke productiesystemen kan het nodig zijn om updates te installeren tijdens specifieke maintenance windows, waarbij systemen mogelijk tijdelijk niet beschikbaar zijn. Organisaties moeten een proces hebben voor het communiceren van geplande onderhoudsperiodes aan gebruikers en stakeholders, en voor het coördineren van update-installaties met andere geplande onderhoudsactiviteiten. Na installatie van updates is validatie essentieel om te verifiëren dat updates succesvol zijn geïnstalleerd en dat systemen correct functioneren. Azure Update Manager biedt statusrapportage die aangeeft of updates succesvol zijn geïnstalleerd, of er fouten zijn opgetreden tijdens het installatieproces, en of systemen mogelijk herstart moeten worden om updates volledig te activeren. Beveiligingsteams moeten deze statusrapportage regelmatig reviewen en actie ondernemen wanneer updates niet succesvol zijn geïnstalleerd. Voor updates die niet succesvol zijn geïnstalleerd moet een probleemoplossingsproces worden gevolgd. Dit proces moet identificeren waarom updates niet zijn geïnstalleerd, of er configuratieproblemen zijn die moeten worden opgelost, en welke stappen moeten worden ondernomen om updates alsnog succesvol te installeren. In sommige gevallen kan het nodig zijn om handmatige interventie uit te voeren of om aanvullende configuratie aan te passen voordat updates kunnen worden geïnstalleerd. Het remediatieproces moet ook rekening houden met uitzonderingen en edge cases. Sommige virtuele machines kunnen om legitieme redenen niet worden bijgewerkt, bijvoorbeeld omdat zij oude applicaties draaien die niet compatibel zijn met nieuwe updates, of omdat zij in een geïsoleerde omgeving staan zonder netwerkconnectiviteit naar update-services. Voor deze systemen moeten organisaties alternatieve beveiligingsmaatregelen implementeren, zoals netwerksegmentatie, aanvullende monitoring, of compenserende controles die het risico van ongepatchte systemen verminderen. Effectieve remediatie vereist ook continue monitoring en follow-up. Zelfs na succesvolle installatie van updates moeten organisaties blijven monitoren of systemen correct functioneren en of er geen onverwachte problemen zijn opgetreden. Dit monitoringproces helpt identificeren of updates mogelijk rollback vereisen, of aanvullende configuratie nodig is, en of er lessen kunnen worden geleerd voor toekomstige update-implementaties. Door dit continue verbeteringsproces kunnen organisaties hun patchmanagementeffectiviteit geleidelijk verbeteren en de risico's van toekomstige update-implementaties verminderen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS VM OS Updates Monitoring .DESCRIPTION CIS Azure Foundations Benchmark - Control 2.1.30 Controleert of system updates monitoring is enabled voor VMs. .NOTES Filename: vm-os-updates-check.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/azure/defender-cloud/vm-os-updates-check.json CIS Control: 2.1.30 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Security [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $PolicyName = "System Updates Monitoring" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } function Test-Compliance { Write-Verbose "Testing compliance for: $PolicyName..." $result = [PSCustomObject]@{ ScriptName = "vm-os-updates-check" PolicyName = $PolicyName IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 Details = @() Recommendations = @() } function Invoke-Revert { Write-Host "`n?? Updates monitoring uitschakelen niet aanbevolen" -ForegroundColor Yellow } try { # System updates monitoring is part of Defender for Servers $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } $result.TotalResources = $subscriptions.Count foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id | Out-Null $pricing = Get-AzSecurityPricing -Name "VirtualMachines" -ErrorAction SilentlyContinue if ($pricing -and $pricing.PricingTier -eq 'Standard') { $result.CompliantCount++ $result.Details += "? '$($sub.Name)': System updates monitoring enabled (via Defender for Servers)" } else { $result.NonCompliantCount++ $result.Details += "? '$($sub.Name)': System updates monitoring NIET enabled" $result.Recommendations += "Enable Defender for Servers voor '$($sub.Name)'" } } $result.IsCompliant = ($result.NonCompliantCount -eq 0) if ($result.NonCompliantCount -gt 0) { $result.Recommendations += "System updates monitoring is included with Defender for Servers" } } catch { $result.Details += "ERROR: $($_.Exception.Message)" } return $result } function Invoke-Monitoring { $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Subscriptions: $($result.TotalResources)" -ForegroundColor White Write-Host "Enabled: $($result.CompliantCount)" -ForegroundColor Green Write-Host "Disabled: $($result.NonCompliantCount)" -ForegroundColor $(if ($result.NonCompliantCount -gt 0) { 'Red' } else { 'Green' }) if ($result.Details) { Write-Host "`nDetails:" -ForegroundColor Yellow $result.Details | ForEach-Object { Write-Host " $_" -ForegroundColor Gray } } if ($result.Recommendations) { Write-Host "`nAanbevelingen:" -ForegroundColor Yellow $result.Recommendations | ForEach-Object { Write-Host " ? $_" -ForegroundColor Cyan } } return $result } function Invoke-Revert { Write-Host "`n?? Updates monitoring uitschakelen niet aanbevolen" -ForegroundColor Yellow } try { Connect-RequiredServices if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { Write-Host "`n?? System updates monitoring vereist Defender for Servers" -ForegroundColor Yellow Write-Host " Run: defender-for-servers-enabled.ps1 -Remediation" -ForegroundColor Gray } elseif ($Revert) { Invoke-Revert } else { $result = Test-Compliance Write-Host "`nCompliance Check: $PolicyName" -ForegroundColor Cyan if ($result.IsCompliant) { Write-Host "Status: ? COMPLIANT" -ForegroundColor Green } else { Write-Host "Status: ? NON-COMPLIANT ($($result.NonCompliantCount) subscriptions)" -ForegroundColor Red } } } catch { Write-Error $_ exit 1 } function Invoke-Remediation { <# .SYNOPSIS Herstelt de configuratie naar de gewenste staat .DESCRIPTION Dit is een monitoring-only control, remediation delegeert naar monitoring #> [CmdletBinding()] param() Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan Invoke-Monitoring }

Risico zonder implementatie

Risico zonder implementatie
Critical: Zonder updatebeheer voor besturingssystemen blijven kritieke beveiligingspatches niet geïnstalleerd. Bekende kwetsbaarheden blijven uitbuitbaar, zero-day patches worden niet geïmplementeerd, en virtuele machines kunnen worden gecompromitteerd via ongepatchte kwetsbaarheden. De gemiddelde tijd tussen het uitbrengen van een patch en de eerste exploitatiepogingen bedraagt 24 tot 48 uur voor kritieke kwetsbaarheden. Naleving: CIS, BIO en NIS2 vereisen patchbeheer. Het risico is kritiek voor alle virtuele machines.

Management Samenvatting

Azure Update Manager biedt gecentraliseerd patchbeheer: geautomatiseerde patchbeoordeling, geplande onderhoudsvensters, en compliance-rapportage. Activatie: Azure Portal → Update Manager → Inschakelen per virtuele machine of op schaal. Gratis beschikbaar. Verplicht voor CIS, BIO en NIS2. Implementatie: 2 tot 4 uur voor initiële configuratie. Maandelijkse patchcycli. Verplicht voor alle productie-virtuele machines.