💼 Management Samenvatting
Azure DevOps vormt het centrale platform voor moderne softwareontwikkeling binnen Nederlandse overheidsorganisaties, waarbij broncode, CI/CD-pipelines, werkitems en artefacten worden beheerd. Dit index-artikel schetst de overkoepelende beveiligingsprincipes, best practices en implementatiestrategieën die organisaties helpen om een robuuste, compliance-gerichte DevOps-omgeving op te bouwen die voldoet aan de eisen van de Baseline Informatiebeveiliging Overheid (BIO), NIS2 richtlijn en andere relevante wet- en regelgeving.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
200u (tech: 120u)
Van toepassing op:
✓ Azure DevOps
✓ Azure Repos
✓ Azure Pipelines
✓ Azure Boards
✓ Azure Artifacts
✓ Azure Repos
✓ Azure Pipelines
✓ Azure Boards
✓ Azure Artifacts
Nederlandse overheidsorganisaties die Azure DevOps gebruiken voor softwareontwikkeling en applicatiebeheer staan voor complexe beveiligingsuitdagingen. Zonder een gestructureerde beveiligingsaanpak ontstaan kwetsbaarheden waarbij broncode onbeveiligd wordt opgeslagen, CI/CD-pipelines gevoelige credentials bevatten, toegangsrechten te ruim zijn toegewezen, en secrets per ongeluk worden gecommit naar repositories. Dit leidt tot verhoogde risico's op datalekken, compromittering van productiesystemen via gecompromitteerde pipelines, en niet-naleving van wet- en regelgeving zoals de AVG en NIS2. Een doordachte DevOps-beveiligingsstrategie zorgt ervoor dat beveiliging vanaf het begin is ingebouwd in het ontwikkelingsproces in plaats van achteraf te worden toegevoegd, wat zowel risico's als operationele kosten aanzienlijk verlaagt.
PowerShell Modules Vereist
Primary API: Azure DevOps REST API, Azure DevOps CLI
Connection:
Required Modules: Az.Accounts, Az.DevOps
Connection:
az devops login, Connect-AzAccountRequired Modules: Az.Accounts, Az.DevOps
Implementatie
Dit index-artikel positioneert Azure DevOps-beveiliging binnen de "Nederlandse Baseline voor Veilige Cloud" en beschrijft hoe organisaties een samenhangend beveiligingslandschap kunnen opbouwen voor hun development en CI/CD-omgevingen. We behandelen fundamentele principes zoals security by design, least privilege toegangsbeheer, secrets management, secure coding practices en geautomatiseerde security scanning, en laten zien hoe deze worden vertaald naar concrete Azure DevOps-configuraties en processen. Het artikel fungeert als kapstok voor meer specifieke artikelen over access governance, CI/CD security integration, secrets management, pipeline security en secure development lifecycle, en beschrijft hoe deze onderdelen samenkomen in een volwassen, aantoonbaar beveiligde DevOps-omgeving. Daarnaast biedt het artikel handvatten voor governance, compliance-monitoring en periodieke evaluatie van de DevOps-beveiligingsvolwassenheid.
Rol en scope van Azure DevOps-beveiliging binnen de overheid
Azure DevOps-beveiliging in een overheidscontext moet worden gezien als een strategisch kader dat technische beveiligingsmaatregelen, ontwikkelingsprocessen en compliance-vereisten met elkaar verbindt tot een samenhangend geheel. In tegenstelling tot ad-hoc implementaties waarbij beveiligingsmaatregelen los van elkaar worden toegepast, vormt een doordachte DevOps-beveiligingsstrategie de ruggengraat die ervoor zorgt dat alle componenten – van broncodebeheer tot pipeline-uitvoering, van toegangscontrole tot secrets management – op een consistente, beveiligde en beheersbare manier samenwerken. Deze strategie moet expliciet rekening houden met de specifieke eisen die gelden voor Nederlandse overheidsorganisaties, waaronder de Baseline Informatiebeveiliging Overheid (BIO), de NIS2 richtlijn, de Algemene Verordening Gegevensbescherming (AVG) en sectorale wetgeving zoals de Archiefwet.
De primaire rol van Azure DevOps-beveiliging is het waarborgen van een veilige, betrouwbare en compliance-gerichte ontwikkelingsomgeving waarin organisaties software kunnen ontwikkelen, testen en deployen zonder onnodige risico's. Dit betekent dat beveiligingskeuzes niet alleen technisch correct moeten zijn, maar ook aantoonbaar moeten voldoen aan wettelijke en bestuurlijke vereisten. Een goed ontworpen DevOps-beveiligingsstrategie maakt het mogelijk om te bewijzen dat passende maatregelen zijn genomen om broncode te beveiligen, dat toegang tot repositories en pipelines wordt gecontroleerd en gelogd, dat secrets veilig worden beheerd, en dat de organisatie in staat is om snel te reageren op beveiligingsincidenten in de development-omgeving. Voor auditors, toezichthouders en bestuurders biedt een gedocumenteerde DevOps-beveiligingsstrategie transparantie over hoe beveiliging is ingericht en hoe deze wordt onderhouden.
De scope van Azure DevOps-beveiliging binnen de Nederlandse Baseline voor Veilige Cloud omvat alle aspecten van de DevOps-toolchain: van source code management in Azure Repos tot CI/CD-pipelines in Azure Pipelines, van werkitembeheer in Azure Boards tot artefactopslag in Azure Artifacts. Het beveiligingslandschap moet rekening houden met verschillende ontwikkelingsscenario's – van traditionele waterfall-projecten tot agile en DevOps-teams, van kleine interne applicaties tot enterprise-oplossingen die duizenden gebruikers ondersteunen – en moet schaalbaar zijn van kleine pilots tot grote organisaties met honderden ontwikkelaars en tientallen projecten. Daarnaast moet de beveiligingsstrategie flexibel genoeg zijn om te kunnen evolueren met nieuwe Azure DevOps-features en veranderende ontwikkelingsmethodologieën, terwijl de fundamentele beveiligingsprincipes consistent blijven.
Implementatieroadmap: van basis naar volwassen DevOps-beveiliging
De implementatie van een volwassen Azure DevOps-beveiligingsstrategie verloopt zelden in één grote stap, maar groeit geleidelijk van een solide basis naar een geavanceerd, geoptimaliseerd landschap. In de eerste fase wordt de fundamentele basis gelegd: een goed gestructureerd toegangsbeheermodel met duidelijke rollen en verantwoordelijkheden, basisbeveiliging voor repositories door branch policies en pull request-vereisten, en essentiële secrets management door gebruik van Azure Key Vault of Azure DevOps Library Variable Groups. Deze basislaag zorgt ervoor dat alle repositories en pipelines vanaf het begin worden beschermd en dat er een duidelijke scheiding is tussen verschillende omgevingen (development, test, productie) en verschillende vertrouwelijkheidsniveaus. In deze fase worden ook de eerste governance-mechanismen ingericht, zoals toegangsbeoordelingen en auditlogging voor alle belangrijke gebeurtenissen.
In de volgende fase wordt de beveiligingsstrategie uitgebreid met geavanceerde beveiligingsmaatregelen en geautomatiseerde controles. Security scanning wordt geïntegreerd in CI/CD-pipelines door gebruik van tools zoals Microsoft Defender for DevOps, Azure Security Center voor container scanning, en geautomatiseerde dependency scanning voor bekende kwetsbaarheden. Secrets management wordt volwassen door volledige integratie met Azure Key Vault, gebruik van managed identities waar mogelijk, en automatische rotatie van credentials. Pipeline-beveiliging wordt versterkt door approval gates voor productie-deployments, geautomatiseerde security tests in elke pipeline-uitvoering, en isolatie van productie-pipelines van development-pipelines. Monitoring en logging worden uitgebreid met Azure Monitor en Log Analytics voor centrale security monitoring en incident response in de DevOps-omgeving.
In de volwassenheidsfase wordt de DevOps-beveiligingsstrategie geoptimaliseerd en volledig geautomatiseerd. Infrastructure as Code (IaC) met Azure Resource Manager templates, Bicep of Terraform zorgt voor reproduceerbare, versiebeheerde omgevingen die consistent beveiligd zijn. Geautomatiseerde compliance-controles en security assessments worden regelmatig uitgevoerd om te verifiëren dat de DevOps-omgeving nog steeds voldoet aan alle vereisten. Advanced threat protection, behavioral analytics en machine learning-gebaseerde detectie helpen om verdachte activiteiten in repositories en pipelines vroegtijdig te identificeren. Governance wordt volwassen met geautomatiseerde rapportages, dashboards voor bestuurders en geïntegreerde change management processen. Door deze fasering expliciet te maken in een roadmap – met duidelijke mijlpalen, beslismomenten en success criteria – ontstaat voorspelbaarheid voor bestuurders en wordt het eenvoudiger om investeringen, risico's en baten te verantwoorden.
Governance, compliance en relatie met andere DevOps-artikelen
Governance rond Azure DevOps-beveiliging raakt meerdere disciplines: informatiebeveiliging, software development lifecycle management, cloud governance, compliance en risk management. Zonder een helder governance-model ontstaat het risico dat beveiligingskeuzes versnipperd worden gemaakt, dat verschillende teams verschillende standaarden hanteren, en dat niemand zich eigenaar voelt van de integrale DevOps-beveiligingsstrategie. Een effectief governance-model benoemt daarom ten minste een DevOps security architect die verantwoordelijk is voor de overkoepelende beveiligingsstrategie, een security officer die beveiligingsaspecten waarborgt, en expliciete rollen voor CISO, privacy officer en compliance officer. Deze rollen worden vertaald naar concrete taken: wie keurt nieuwe beveiligingspatronen goed, wie beoordeelt afwijkingen van standaarden, wie beheert de beveiligingsdocumentatie, en wie beslist over het uitfaseren van verouderde beveiligingsmaatregelen. Deze afspraken worden vastgelegd in governance-documenten, beveiligingsprincipes en changeprocedures zodat zij organisatiebreed herkenbaar zijn.
Op compliancegebied vormt Azure DevOps-beveiliging een kruispunt van verschillende wettelijke kaders. De AVG vereist dat persoonsgegevens adequaat worden beveiligd en dat organisaties kunnen aantonen welke technische en organisatorische maatregelen zijn genomen, ook in development-omgevingen. De BIO en NIS2 leggen eisen op rond informatiebeveiliging, incident response en continuïteit, waarbij development-omgevingen vaak kritieke systemen zijn die moeten worden beschermd. ISO 27001 biedt een internationaal erkend framework voor informatiebeveiligingsmanagement, inclusief beveiliging van development-omgevingen. Deze compliance-vereisten moeten expliciet worden vertaald naar beveiligingskeuzes: welke encryptie-standaarden worden gebruikt voor broncode, hoe wordt toegang gecontroleerd, hoe worden secrets beheerd, hoe worden logs bewaard, en hoe wordt incident response georganiseerd voor development-omgevingen. Dit index-artikel moet daarom expliciet worden gelezen in samenhang met andere artikelen binnen de "Nederlandse Baseline voor Veilige Cloud", zoals de artikelen over access governance, CI/CD security integration, secrets management, pipeline security en secure development lifecycle. Samen vormen zij een consistent raamwerk: dit artikel schetst de overkoepelende lijnen, terwijl de deelartikelen verdieping bieden op specifieke beveiligingsaspecten en technische implementaties.
Voor auditors en toezichthouders is vooral van belang dat de samenhang tussen beleid, beveiligingsstrategie, implementatie en operationele controles aantoonbaar is. Dat betekent dat u niet alleen beveiligingsdocumenten en procesbeschrijvingen beschikbaar heeft, maar ook concreet kunt laten zien welke Azure DevOps-organisaties en projecten er zijn, hoe deze zijn geconfigureerd, hoe vaak security assessments worden uitgevoerd en welke verbeteracties zijn ondernomen na incidenten of bevindingen. De in dit domein beschreven PowerShell-scripts – waaronder het index-script bij dit artikel en de scripts voor specifieke DevOps-beveiligingscomponenten – helpen om deze informatie snel en reproduceerbaar te verzamelen. Door hun output te koppelen aan dashboards en rapportages wordt governance niet beperkt tot papieren documenten, maar ondersteund door actuele operationele data die aantoonbaar maakt dat de DevOps-beveiligingsstrategie daadwerkelijk wordt nageleefd en onderhouden.
Monitoring van het Azure DevOps-beveiligingslandschap
Gebruik PowerShell-script index.ps1 (functie Invoke-Monitoring) – Geeft een overzicht van de belangrijkste Azure DevOps-beveiligingscomponenten en controleert of basiselementen aanwezig en correct geconfigureerd zijn..
Monitoring van het Azure DevOps-beveiligingslandschap gaat verder dan het bewaken van individuele repositories of pipelines. Bestuurders, security teams en compliance officers hebben behoefte aan een samenvattend beeld: welke Azure DevOps-organisaties en projecten zijn actief, hoe is toegangsbeheer ingericht, welke beveiligingsmaatregelen zijn geactiveerd, en zijn er signalen dat de beveiligingsstrategie niet meer voldoet aan compliance-vereisten. Het index-script bij dit artikel inventariseert de belangrijkste DevOps-beveiligingscomponenten en vertaalt die naar een compacte managementsamenvatting: hoeveel projecten voldoen aan beveiligingsstandaarden, hoeveel repositories hebben branch policies geconfigureerd, welke secrets management-oplossingen zijn actief, en voor welke onderdelen aanvullende acties nodig zijn. Dit vormt een startpunt voor diepgaandere analyses met gespecialiseerde scripts voor specifieke DevOps-beveiligingscomponenten, en helpt om het gesprek met bestuur en auditcommissies te structureren rond feitelijke cijfers en meetbare beveiligingsvolwassenheid.
Effectieve DevOps-beveiligingsmonitoring omvat zowel technische als governance-aspecten. Technisch gezien moet worden gemonitord of repositories correct zijn geconfigureerd volgens de beveiligingsstandaarden, of pipelines beveiligingscontroles bevatten, of secrets veilig worden beheerd, en of er afwijkingen zijn die kunnen wijzen op security risico's of compliance-problemen. Governance-monitoring richt zich op de vraag of beveiligingsprincipes worden nageleefd, of documentatie actueel is, of change management processen correct worden gevolgd, en of er regelmatige reviews plaatsvinden om de beveiligingsstrategie te evalueren en te verbeteren. Door beide aspecten te combineren ontstaat een compleet beeld van de DevOps-beveiligingsvolwassenheid en kunnen gerichte verbeteracties worden ondernomen om de beveiligingsstrategie verder te professionaliseren.
Remediatie en volwassenwording van Azure DevOps-beveiliging
Gebruik PowerShell-script index.ps1 (functie Invoke-Remediation) – Genereert overzichten van DevOps-beveiligingshiaten en biedt handvatten voor gerichte verbeteracties om de beveiligingsvolwassenheid te verhogen..
Remediatie binnen het Azure DevOps-beveiligingsdomein betekent in de praktijk dat u gaten dicht tussen de gewenste beveiligingsstrategie en de werkelijkheid. In veel organisaties bestaan al wel beleidsdocumenten over softwareontwikkeling, informatiebeveiliging en DevOps-beveiligingsprincipes, maar ontbreekt concrete vastlegging van hoe deze worden vertaald naar Azure DevOps-configuraties, welke beveiligingsmaatregelen daadwerkelijk zijn ingericht, en hoe de beveiligingsstrategie wordt onderhouden en geëvalueerd. Het index-script ondersteunt remediatie door automatisch te inventariseren waar beveiligingsstandaarden niet worden nageleefd, waar beveiligingsmaatregelen ontbreken, en waar documentatie verouderd of incompleet is. Op basis van deze inventarisatie kunnen gerichte verbeteracties worden gepland en uitgevoerd, waarbij prioriteit wordt gegeven aan de meest kritieke hiaten die de grootste impact hebben op beveiliging en compliance.
Een volwassen Azure DevOps-beveiligingsstrategie groeit stap voor stap door continue verbetering. Na elke monitoringsronde worden de belangrijkste verbeterpunten vastgelegd, van een eigenaar voorzien en ingepland in het reguliere change- of verbeterportfolio. Denk aan het standaardiseren van toegangsbeheerconfiguraties, het implementeren van ontbrekende beveiligingsmaatregelen zoals branch policies of secrets management, het verbeteren van pipeline-beveiliging door security scanning, het actualiseren van beveiligingsdocumentatie of het invoeren van geautomatiseerde compliance-controles. Door de resultaten van het index-script te combineren met de uitkomsten van gespecialiseerde scripts voor specifieke DevOps-beveiligingscomponenten ontstaat een integraal beeld van de voortgang. Uiteindelijk wordt Azure DevOps-beveiliging zo niet alleen een technisch ontwerp, maar een aantoonbaar beheerst en verantwoord ingericht fundament voor de softwareontwikkeling van de organisatie, dat continu wordt geëvalueerd en verbeterd om te blijven voldoen aan veranderende eisen en dreigingen.
Compliance & Frameworks
- BIO: 09.02, 12.01, 12.02, 17.01 - Borging van veilige, gedocumenteerde en controleerbare DevOps-omgevingen binnen informatiebeveiligingsmanagement voor overheidsorganisaties.
- ISO 27001:2022: A.8.1.1, A.9.2.1, A.14.1.1, A.18.1.3 - Beveiligingsmaatregelen voor development-omgevingen, toegangsbeheer en risicobeheer voor cloudgebaseerde DevOps-systemen.
- NIS2: Artikel - Versterking van digitale weerbaarheid door gecontroleerde inzet van DevOps-beveiliging, inclusief governance, monitoring en incident response.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Overzichtsmonitoring en remediatie voor Azure DevOps-beveiligingslandschap
.DESCRIPTION
Geeft een samenvattend beeld van de belangrijkste Azure DevOps-beveiligingscomponenten
(organisaties, projecten, repositories, pipelines en beveiligingsconfiguraties) binnen de
repository en ondersteunt het gericht dichten van hiaten in beveiligingsstandaarden
en configuratieregisters.
.NOTES
Filename: index.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-01-27
Last Modified: 2025-01-27
Version: 1.0
Related JSON: content/azure/devops/index.json
.LINK
https://github.com/[org]/m365-tenant-best-practise
.EXAMPLE
.\index.ps1 -Monitoring
Toont een samenvattend overzicht van Azure DevOps-beveiligingscomponenten en configuratiestatus.
.EXAMPLE
.\index.ps1 -Remediation
Genereert een basisoverzicht en, indien gewenst, templates voor ontbrekende beveiligingsdocumentatie.
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.DevOps
[CmdletBinding()]
param(
[Parameter(HelpMessage = "Voer een samenvattende monitoring uit van het Azure DevOps-beveiligingslandschap.")]
[switch]$Monitoring,
[Parameter(HelpMessage = "Genereer remediatie-overzichten en optioneel documentatietemplates.")]
[switch]$Remediation,
[Parameter(HelpMessage = "Toon welke acties zouden worden uitgevoerd zonder daadwerkelijk te wijzigen.")]
[switch]$WhatIf
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
function Get-RepositoryRoot {
<#
.SYNOPSIS
Bepaalt de rootmap van de repository op basis van de locatie van dit script.
.OUTPUTS
String met pad naar repository-root.
#>
[CmdletBinding()]
param()
$root = Resolve-Path (Join-Path $PSScriptRoot "..\..\..") -ErrorAction SilentlyContinue
if (-not $root) {
throw "Kon de repository-root niet bepalen op basis van PSScriptRoot: $PSScriptRoot"
}
return $root.Path
}
function Get-AzureDevOpsSecurityInventory {
<#
.SYNOPSIS
Stelt een overzicht op van Azure DevOps-beveiligings-gerelateerde JSON- en PS1-bestanden.
.OUTPUTS
PSCustomObject met aantallen en details.
#>
[CmdletBinding()]
param()
$repoRoot = Get-RepositoryRoot
$contentRoot = Join-Path $repoRoot "content\azure\devops"
$codeRoot = Join-Path $repoRoot "code\azure\devops"
$jsonFiles = @()
if (Test-Path -Path $contentRoot) {
$jsonFiles = Get-ChildItem -Path $contentRoot -Filter "*.json" -File -ErrorAction SilentlyContinue
}
$ps1Files = @()
if (Test-Path -Path $codeRoot) {
$ps1Files = Get-ChildItem -Path $codeRoot -Filter "*.ps1" -File -ErrorAction SilentlyContinue
}
$byName = @{}
foreach ($json in $jsonFiles) {
$base = [System.IO.Path]::GetFileNameWithoutExtension($json.Name)
if (-not $byName.ContainsKey($base)) {
$byName[$base] = [pscustomobject]@{
Name = $base
JsonPath = $null
JsonUpdated = $null
ScriptPath = $null
ScriptUpdated= $null
}
}
$entry = $byName[$base]
$entry.JsonPath = $json.FullName
$entry.JsonUpdated = $json.LastWriteTime
$byName[$base] = $entry
}
foreach ($ps1 in $ps1Files) {
$base = [System.IO.Path]::GetFileNameWithoutExtension($ps1.Name)
if (-not $byName.ContainsKey($base)) {
$byName[$base] = [pscustomobject]@{
Name = $base
JsonPath = $null
JsonUpdated = $null
ScriptPath = $null
ScriptUpdated= $null
}
}
$entry = $byName[$base]
$entry.ScriptPath = $ps1.FullName
$entry.ScriptUpdated = $ps1.LastWriteTime
$byName[$base] = $entry
}
$items = $byName.Values | Sort-Object Name
$missingJson = $items | Where-Object { -not $_.JsonPath }
$missingScript = $items | Where-Object { -not $_.ScriptPath }
return [pscustomobject]@{
RepositoryRoot = $repoRoot
Items = $items
MissingJson = $missingJson
MissingScripts = $missingScript
TotalControls = $items.Count
WithJsonAndPs1 = ($items | Where-Object { $_.JsonPath -and $_.ScriptPath }).Count
}
}
function Test-AzureDevOpsConnection {
<#
.SYNOPSIS
Controleert of er een actieve Azure DevOps-verbinding bestaat.
.OUTPUTS
Boolean: $true als verbonden, anders $false
#>
[CmdletBinding()]
param()
try {
# Controleer of Azure DevOps CLI is geïnstalleerd en geconfigureerd
$azDevOpsCheck = az devops --version 2>$null
if ($LASTEXITCODE -eq 0) {
Write-Verbose "Azure DevOps CLI beschikbaar"
# Probeer een eenvoudige query uit te voeren
$orgs = az devops organization list 2>$null | ConvertFrom-Json -ErrorAction SilentlyContinue
if ($orgs) {
Write-Verbose "Azure DevOps-verbinding actief"
return $true
}
}
return $false
}
catch {
Write-Verbose "Geen actieve Azure DevOps-verbinding: $_"
return $false
}
}
function Get-AzureDevOpsSecurityStatus {
<#
.SYNOPSIS
Inventariseert de status van belangrijke Azure DevOps-beveiligingscomponenten.
.OUTPUTS
PSCustomObject met beveiligingsstatus.
#>
[CmdletBinding()]
param()
$isConnected = Test-AzureDevOpsConnection
if (-not $isConnected) {
Write-Warning "Geen actieve Azure DevOps-verbinding. Alleen repository-inventarisatie wordt uitgevoerd."
return [pscustomobject]@{
DevOpsConnected = $false
Organizations = 0
Projects = 0
Repositories = 0
Pipelines = 0
}
}
try {
Write-Verbose "Inventariseren van Azure DevOps-beveiligingscomponenten..."
$organizations = @()
try {
$orgsJson = az devops organization list 2>$null | ConvertFrom-Json -ErrorAction SilentlyContinue
if ($orgsJson) {
$organizations = $orgsJson
}
}
catch {
Write-Verbose "Kon organisaties niet ophalen: $_"
}
# Voor een volledige inventarisatie zouden we per organisatie projecten moeten ophalen
# Dit is een vereenvoudigde versie die de structuur toont
return [pscustomobject]@{
DevOpsConnected = $true
Organizations = $organizations.Count
Projects = 0 # Vereist per-organisatie query
Repositories = 0 # Vereist per-project query
Pipelines = 0 # Vereist per-project query
}
}
catch {
Write-Warning "Fout bij inventariseren van Azure DevOps-componenten: $_"
return [pscustomobject]@{
DevOpsConnected = $false
Organizations = 0
Projects = 0
Repositories = 0
Pipelines = 0
}
}
}
function New-DevOpsSecurityDocumentationTemplate {
<#
.SYNOPSIS
Maakt een eenvoudige Markdown-template aan voor aanvullende Azure DevOps-beveiligingsdocumentatie.
#>
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
[string]$Name,
[Parameter(Mandatory = $true)]
[string]$OutputPath
)
$template = @"
# Azure DevOps Beveiliging component: $Name
**Laatst bijgewerkt:** $(Get-Date -Format "yyyy-MM-dd")
**Documentatie-eigenaar:** [Naam / functie]
**Status:** Concept
## 1. Rol in het Azure DevOps-beveiligingslandschap
[Beschrijf hoe deze component (artikel, script of control) past in de totale Azure DevOps-beveiligingsstrategie.]
## 2. Beveiligingsprincipes en best practices
[Beschrijf welke beveiligingsprincipes en best practices worden toegepast.]
## 3. Technische implementatie
[Beschrijf de concrete Azure DevOps-configuraties, policies en koppelingen.]
## 4. Beveiligingsmaatregelen
[Beschrijf beveiligingslagen, toegangscontrole, secrets management en monitoring.]
## 5. Compliance en governance
[Beschrijf hoe wordt voldaan aan BIO, NIS2, AVG en andere relevante kaders.]
## 6. Verbeterpunten en vervolgstappen
[Beschrijf bekende verbeterpunten, gepland onderhoud en evaluatiemomenten.]
"@
$folder = Split-Path -Path $OutputPath -Parent
if (-not (Test-Path -Path $folder)) {
New-Item -Path $folder -ItemType Directory -Force | Out-Null
}
$template | Out-File -FilePath $OutputPath -Encoding UTF8
Write-Host " Template gegenereerd: $OutputPath" -ForegroundColor Green
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Voert een samenvattende monitoring uit van Azure DevOps-beveiligingscomponenten.
.OUTPUTS
PSCustomObject met overzichtsresultaten.
#>
[CmdletBinding()]
param()
Write-Host "`nMonitoring: Azure DevOps Beveiliging overzicht" -ForegroundColor Yellow
Write-Host "===============================================" -ForegroundColor Yellow
$inventory = Get-AzureDevOpsSecurityInventory
$devopsStatus = Get-AzureDevOpsSecurityStatus
Write-Host "`nRepository-root: $($inventory.RepositoryRoot)" -ForegroundColor Cyan
Write-Host "Totaal Azure DevOps-beveiligingscontrols (JSON/PS1-combinaties): $($inventory.TotalControls)" -ForegroundColor Cyan
Write-Host "Volledig gekoppeld (JSON + PS1): $($inventory.WithJsonAndPs1)" -ForegroundColor Cyan
if ($devopsStatus.DevOpsConnected) {
Write-Host "`nAzure DevOps-omgeving status:" -ForegroundColor Cyan
Write-Host " Organisaties: $($devopsStatus.Organizations)" -ForegroundColor Gray
Write-Host " Projecten: $($devopsStatus.Projects)" -ForegroundColor Gray
Write-Host " Repositories: $($devopsStatus.Repositories)" -ForegroundColor Gray
Write-Host " Pipelines: $($devopsStatus.Pipelines)" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Geen actieve Azure DevOps-verbinding. Configureer Azure DevOps CLI voor volledige monitoring." -ForegroundColor Yellow
Write-Host " Installeer: az extension add --name azure-devops" -ForegroundColor Gray
Write-Host " Configureer: az devops configure --defaults organization=https://dev.azure.com/YOURORG" -ForegroundColor Gray
}
if ($inventory.MissingJson.Count -gt 0) {
Write-Host "`n❌ Ontbrekende JSON voor de volgende scripts:" -ForegroundColor Red
foreach ($item in $inventory.MissingJson) {
Write-Host " - $($item.Name) (script: $($item.ScriptPath))" -ForegroundColor Red
}
}
if ($inventory.MissingScripts.Count -gt 0) {
Write-Host "`n❌ Ontbrekende PS1-scripts voor de volgende JSON-bestanden:" -ForegroundColor Red
foreach ($item in $inventory.MissingScripts) {
Write-Host " - $($item.Name) (json: $($item.JsonPath))" -ForegroundColor Red
}
}
if (($inventory.MissingJson.Count -eq 0) -and ($inventory.MissingScripts.Count -eq 0)) {
Write-Host "`n✅ Alle Azure DevOps-beveiligingsartikelen hebben zowel JSON als PS1." -ForegroundColor Green
}
else {
Write-Host "`n⚠️ Er zijn nog hiaten in de JSON/PS1-koppeling voor Azure DevOps-beveiliging." -ForegroundColor Yellow
Write-Host " Gebruik -Remediation om gericht met deze hiaten aan de slag te gaan." -ForegroundColor Yellow
}
return [pscustomobject]@{
Inventory = $inventory
DevOpsStatus = $devopsStatus
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Ondersteunt remediatie door ontbrekende componenten inzichtelijk te maken en optioneel documentatietemplates te genereren.
.OUTPUTS
PSCustomObject met remediatieadvies.
#>
[CmdletBinding()]
param()
Write-Host "`nRemediatie: Azure DevOps Beveiliging overzicht" -ForegroundColor Yellow
Write-Host "===============================================" -ForegroundColor Yellow
$inventory = Get-AzureDevOpsSecurityInventory
$repoRoot = $inventory.RepositoryRoot
$docRoot = Join-Path $repoRoot "documentatie\azure-devops-security"
if (-not (Test-Path -Path $docRoot)) {
New-Item -Path $docRoot -ItemType Directory -Force | Out-Null
}
$actions = @()
foreach ($item in $inventory.Items) {
$action = [pscustomobject]@{
Name = $item.Name
HasJson = [bool]$item.JsonPath
HasScript = [bool]$item.ScriptPath
DocumentationPath = $null
DocumentationExists = $false
}
$docFile = Join-Path $docRoot ("devops-sec-" + $item.Name + ".md")
$action.DocumentationPath = $docFile
$action.DocumentationExists = Test-Path -Path $docFile
if (-not $action.DocumentationExists -and -not $WhatIf) {
New-DevOpsSecurityDocumentationTemplate -Name $item.Name -OutputPath $docFile
}
elseif (-not $action.DocumentationExists -and $WhatIf) {
Write-Host " [WhatIf] Zou documentatietemplate aanmaken: $docFile" -ForegroundColor Yellow
}
$actions += $action
}
Write-Host "`nSamenvatting remediatie-status:" -ForegroundColor Cyan
Write-Host (" Items zonder JSON: {0}" -f ($actions | Where-Object { -not $_.HasJson }).Count) -ForegroundColor Cyan
Write-Host (" Items zonder script: {0}" -f ($actions | Where-Object { -not $_.HasScript }).Count) -ForegroundColor Cyan
Write-Host (" Items zonder documentatie: {0}" -f ($actions | Where-Object { -not $_.DocumentationExists }).Count) -ForegroundColor Cyan
return $actions
}
try {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Azure DevOps Beveiliging Overzichtsmonitor" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
if ($Monitoring) {
Invoke-Monitoring | Out-Null
}
elseif ($Remediation) {
Invoke-Remediation | Out-Null
}
else {
# Standaard: compacte compliance check via monitoring
$result = Invoke-Monitoring
if (($result.Inventory.MissingJson.Count -eq 0) -and ($result.Inventory.MissingScripts.Count -eq 0)) {
Write-Host "`n✅ COMPLIANT" -ForegroundColor Green
}
else {
Write-Host "`n❌ NON-COMPLIANT" -ForegroundColor Red
Write-Host "Run met -Remediation voor een gericht overzicht van hiaten en documentatietemplates." -ForegroundColor Yellow
}
}
}
catch {
Write-Error "Er is een fout opgetreden in index.ps1: $_"
throw
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder een doordachte Azure DevOps-beveiligingsstrategie ontstaan kwetsbare development-omgevingen waarin broncode onbeveiligd wordt opgeslagen, CI/CD-pipelines gevoelige credentials bevatten, toegangsrechten te ruim zijn toegewezen, en secrets per ongeluk worden gecommit naar repositories. Dit kan leiden tot datalekken, compromittering van productiesystemen via gecompromitteerde pipelines, niet-naleving van AVG, BIO en NIS2, bestuurlijke aansprakelijkheid en verlies van vertrouwen bij burgers en bestuurders.
Management Samenvatting
Een doordachte Azure DevOps-beveiligingsstrategie vormt de fundamentele basis voor veilige, betrouwbare en compliance-gerichte ontwikkelingsomgevingen binnen de Nederlandse publieke sector. Dit index-artikel schetst de overkoepelende beveiligingsprincipes, best practices en implementatiestrategieën, en fungeert als kapstok voor meer specifieke artikelen over access governance, CI/CD security integration, secrets management en pipeline security.
- Implementatietijd: 200 uur
- FTE required: 1 FTE