BIO 08.01.01 ISO A.8.1.2

Azure Policy Definities Voor Resource Tagging

📅 2025-01-20
⏱️ 20 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Azure Policy definities voor resource tagging vormen de technische basis voor consistente en geautomatiseerde tag governance binnen cloudomgevingen. Zonder goed gestructureerde policy definities kunnen organisaties niet garanderen dat resources consistent worden getagd volgens organisatiebrede standaarden, wat leidt tot operationele problemen, compliance-hiaten en onmogelijkheid tot kostentoewijzing.

Aanbeveling
IMPLEMENTEER VOOR EFFECTIEVE TAG GOVERNANCE
Risico zonder
Medium
Risk Score
6/10
Implementatie
35u (tech: 20u)
Van toepassing op:
All Azure Resources
Management Groups
Subscriptions

Het ontbreken van gestructureerde Azure Policy definities voor resource tagging creëert aanzienlijke governance- en operationele risico's voor Nederlandse overheidsorganisaties. Zonder specifieke policy definities die tagvereisten afdwingen, ontstaat er inconsistentie waarbij verschillende teams verschillende tagwaarden gebruiken, tags volledig vergeten worden, of tags worden toegepast met typefouten en inconsistenties. Deze inconsistentie maakt het onmogelijk om geautomatiseerde processen te bouwen die afhankelijk zijn van tags, zoals kostentoewijzing, omgevingsdetectie, of geautomatiseerde beveiligingsconfiguratie. Bovendien kunnen organisaties zonder policy definities niet aantonen tijdens audits dat zij een gestructureerd proces hebben voor het beheren van resource metadata, wat vereist is voor compliance met ISO 27001, BIO en NIS2. Het risico manifesteert zich ook in operationele inefficiëntie waarbij teams handmatig resources moeten corrigeren die niet correct zijn getagd, wat tijd en resources kost en foutgevoelig is. Daarnaast ontstaan compliance-hiaten omdat gegevensclassificatie en eigendomsregistratie niet consistent worden toegepast zonder geautomatiseerde enforcement via policies. Een goed ontworpen set van policy definities lost deze problemen volledig op door automatische enforcement van tagvereisten, validatie van tagwaarden, en geautomatiseerde tag-toepassing op basis van resource-eigenschappen.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Resources, Az.PolicyInsights

Implementatie

Dit artikel beschrijft hoe organisaties een complete set van Azure Policy definities ontwikkelen, implementeren en beheren voor resource tagging. Het artikel behandelt de verschillende typen policy definities die nodig zijn voor effectieve tag governance, inclusief policies die vereisen dat specifieke tags aanwezig zijn, policies die tagwaarden valideren tegen toegestane waarden, policies die automatisch tags toevoegen of wijzigen, en policies die tags overnemen van resourcegroepen naar onderliggende resources. Daarnaast wordt uitgelegd hoe policy definities worden georganiseerd in een logische structuur, hoe parameters worden gebruikt voor flexibiliteit, en hoe policies worden getest voordat ze worden geïmplementeerd. Het artikel biedt praktische voorbeelden van policy definities voor veelvoorkomende tagvereisten zoals Environment, CostCenter, Owner, Application en DataClassification tags, en beschrijft hoe deze policies worden geïntegreerd in een breder governance framework.

Typen Policy Definities voor Tagging

Voor effectieve resource tagging governance zijn verschillende typen Azure Policy definities nodig, elk met een specifiek doel en effect. Het begrijpen van deze verschillende typen is essentieel voor het ontwerpen van een complete tag governance strategie die alle aspecten van tagging afdekt. De eerste categorie bestaat uit Require Tag policies die het effect 'Deny' gebruiken om te voorkomen dat resources worden aangemaakt zonder specifieke verplichte tags. Deze policies vormen de basis van tag enforcement en zorgen ervoor dat teams niet per ongeluk resources kunnen aanmaken die niet voldoen aan minimale tagvereisten. Een Require Tag policy controleert bij het aanmaken of bijwerken van resources of de betreffende tag aanwezig is en blokkeert de operatie volledig indien de tag ontbreekt, waarbij een duidelijke foutmelding wordt gegeven die aangeeft welke tag ontbreekt. Deze policies zijn bijzonder effectief voor kritieke tags zoals Environment en CostCenter die essentieel zijn voor operationele en financiële governance.

Een tweede belangrijke categorie bestaat uit Tag Value Validation policies die controleren of tagwaarden overeenkomen met gedefinieerde toegestane waarden. Deze policies gebruiken het effect 'Deny' of 'Audit' om te voorkomen dat resources worden aangemaakt met ongeldige tagwaarden, zoals Environment tags met waarden zoals 'prod' of 'dev' wanneer alleen 'productie', 'ontwikkeling', 'test' en 'staging' zijn toegestaan. Tag Value Validation policies voorkomen typefouten en inconsistenties die later problemen veroorzaken bij geautomatiseerde processen en rapportages die afhankelijk zijn van exacte tagwaarden. Deze policies kunnen worden geconfigureerd met parameters die de toegestane waarden definiëren, waardoor ze flexibel zijn en gemakkelijk kunnen worden aangepast wanneer nieuwe waarden nodig zijn zonder de policy definitie zelf te wijzigen.

Modify policies vormen een derde categorie die automatisch tags toevoegen of wijzigen wanneer resources worden aangemaakt of bijgewerkt. Deze policies gebruiken het effect 'Modify' om resources automatisch te voorzien van tags zonder dat teams handmatig tags hoeven toe te voegen. Modify policies zijn bijzonder nuttig voor het automatisch overnemen van tags van resourcegroepen naar onderliggende resources, wat de administratieve belasting voor teams vermindert en zorgt voor consistentie binnen resourcegroepen. Een Modify policy kan bijvoorbeeld automatisch de Environment tag van een resourcegroep overnemen naar alle resources binnen die groep, waardoor teams alleen de tag op resourcegroepniveau hoeven te beheren. Deze policies kunnen ook worden gebruikt om standaardwaarden toe te voegen aan resources waar teams vergeten zijn tags toe te voegen, hoewel dit minder ideaal is dan Require Tag policies omdat het niet voorkomt dat resources zonder tags worden aangemaakt.

Append policies vormen een vierde categorie die tags toevoegen aan bestaande resources zonder bestaande tags te overschrijven. Deze policies zijn nuttig wanneer organisaties bestaande resources willen voorzien van nieuwe tags zonder risico op het verliezen van bestaande tagwaarden. Append policies gebruiken het effect 'Append' om tags toe te voegen aan resources die al bestaan, wat handig is tijdens migraties of wanneer nieuwe tagvereisten worden geïntroduceerd voor bestaande omgevingen. Deze policies kunnen worden geconfigureerd om alleen tags toe te voegen wanneer deze nog niet aanwezig zijn, of om bestaande tagwaarden te overschrijven wanneer dat nodig is.

Een vijfde categorie bestaat uit Audit policies die niet blokkeren of wijzigen, maar alleen rapporteren wanneer resources niet voldoen aan tagvereisten. Deze policies zijn nuttig tijdens overgangsperioden wanneer organisaties tagvereisten introduceren maar nog niet klaar zijn om enforcement te activeren, of wanneer organisaties willen monitoren hoe goed teams voldoen aan tagvereisten zonder directe blokkering. Audit policies genereren compliance-rapporten die kunnen worden gebruikt om trends te identificeren en teams te ondersteunen bij het verbeteren van hun tag compliance voordat enforcement wordt geactiveerd.

Structuur en Organisatie van Policy Definities

Een effectieve organisatie van Azure Policy definities voor tagging vereist een gestructureerde aanpak waarbij policies logisch worden gegroepeerd en georganiseerd volgens hun doel en prioriteit. De structuur moet zodanig zijn ontworpen dat het eenvoudig is om te identificeren welke policies relevant zijn voor specifieke tagvereisten, en dat policies gemakkelijk kunnen worden beheerd en bijgewerkt zonder verwarring of conflicten. Een veelgebruikte aanpak is om policies te organiseren in categorieën op basis van hun functie: enforcement policies die tags vereisen, validatie policies die tagwaarden controleren, en automatisering policies die tags automatisch toevoegen of wijzigen.

Binnen elke categorie moeten policies verder worden georganiseerd op basis van prioriteit, waarbij Must-Have policies die essentieel zijn voor governance de hoogste prioriteit krijgen. Must-Have policies omvatten typisch Require Tag policies voor kritieke tags zoals Environment en CostCenter die essentieel zijn voor operationele en financiële governance. Should-Have policies omvatten aanvullende tagvereisten die aanbevolen zijn maar niet kritiek, zoals Application tags voor logische groepering of DataClassification tags voor beveiligingsclassificatie. Nice-to-Have policies omvatten optionele tags die nuttig zijn maar niet essentieel, zoals Project tags of Team tags die kunnen worden gebruikt voor aanvullende organisatie.

Policy definities moeten worden voorzien van duidelijke en beschrijvende namen die aangeven wat de policy doet en welke tags worden beïnvloed. Een goede naamgevingsconventie maakt gebruik van een prefix dat de categorie aangeeft, gevolgd door een beschrijving van de tagvereiste. Bijvoorbeeld: 'Require-Environment-Tag' voor een policy die de Environment tag vereist, of 'Validate-CostCenter-Tag-Values' voor een policy die CostCenter tagwaarden valideert. Deze naamgevingsconventie maakt het eenvoudig om policies te identificeren en te begrijpen zonder de volledige policy definitie te hoeven lezen.

Elke policy definitie moet worden voorzien van uitgebreide documentatie die uitlegt wat de policy doet, waarom deze nodig is, welke tags worden beïnvloed, en hoe de policy moet worden gebruikt. Deze documentatie moet worden opgenomen in het 'description' veld van de policy definitie, en moet ook worden vastgelegd in externe documentatie voor teams die policies gebruiken. De documentatie moet praktische voorbeelden bevatten van hoe de policy werkt, welke foutmeldingen gebruikers kunnen verwachten wanneer de policy blokkeert, en hoe teams kunnen voldoen aan de policy vereisten.

Parameters vormen een kritiek onderdeel van policy definities omdat ze flexibiliteit bieden zonder de policy definitie zelf te hoeven wijzigen. Voor Tag Value Validation policies moeten parameters worden gebruikt om toegestane tagwaarden te definiëren, waardoor de policy kan worden aangepast aan verschillende omgevingen of organisatie-eenheden zonder de policy definitie te wijzigen. Parameters moeten worden voorzien van duidelijke beschrijvingen en standaardwaarden waar mogelijk, en moeten worden gevalideerd om ervoor te zorgen dat alleen geldige waarden kunnen worden gebruikt. Het gebruik van parameters maakt policies herbruikbaar en onderhoudbaar, wat essentieel is voor een schaalbare tag governance strategie.

Implementatie van Tagging Policy Definities

Gebruik PowerShell-script resource-tagging-policies.ps1 (functie Invoke-Implementation) – Implementeert Azure Policy definities voor resource tagging volgens best practices.

De implementatie van Azure Policy definities voor resource tagging begint met het ontwikkelen van een complete set van policy definities die alle tagvereisten afdekken. Deze ontwikkeling moet beginnen met een inventarisatie van alle tagvereisten die zijn gedefinieerd in de tagtaxonomie, waarbij voor elke verplichte tag een Require Tag policy wordt ontwikkeld. Voor tags met toegestane waarden moeten Tag Value Validation policies worden ontwikkeld die controleren of tagwaarden overeenkomen met de gedefinieerde standaarden. Voor tags die automatisch moeten worden overgenomen van resourcegroepen moeten Modify policies worden ontwikkeld die deze automatisering mogelijk maken.

Bij het ontwikkelen van policy definities moet gebruik worden gemaakt van de Azure Policy definitie syntax die is gebaseerd op JSON en die gebruik maakt van de Azure Resource Manager (ARM) template taal. Elke policy definitie bestaat uit verschillende secties: metadata die de policy beschrijft, een policy rule die de logica bevat, en parameters die flexibiliteit bieden. De policy rule gebruikt een 'if' conditie om te bepalen wanneer de policy van toepassing is, en een 'then' effect om te bepalen wat er gebeurt wanneer de conditie waar is. Voor Require Tag policies controleert de 'if' conditie of een specifieke tag ontbreekt, en gebruikt de 'then' effect 'Deny' om de operatie te blokkeren.

Voordat policy definities worden geïmplementeerd in productieomgevingen, moeten ze grondig worden getest in een testomgeving om ervoor te zorgen dat ze correct functioneren en geen onbedoelde neveneffecten hebben. Testen moet verschillende scenario's omvatten: het proberen aanmaken van resources zonder verplichte tags (wat moet worden geblokkeerd), het aanmaken van resources met ongeldige tagwaarden (wat moet worden geblokkeerd), het aanmaken van resources met geldige tags (wat moet worden toegestaan), en het testen van Modify policies om te verifiëren dat tags correct worden toegevoegd of gewijzigd. Testen moet ook edge cases omvatten, zoals resources die al bestaan en worden bijgewerkt, resources in verschillende resourcegroepen, en resources van verschillende typen.

Na succesvolle tests moeten policy definities worden geïmplementeerd in een gefaseerde aanpak, waarbij eerst Audit policies worden geactiveerd om te monitoren hoe goed teams voldoen aan tagvereisten zonder directe blokkering. Deze fase geeft teams de tijd om hun workflows aan te passen en zorgt ervoor dat eventuele problemen worden geïdentificeerd voordat enforcement wordt geactiveerd. Na een overgangsperiode van bijvoorbeeld één tot drie maanden kunnen Audit policies worden vervangen door Deny policies die daadwerkelijk blokkeren wanneer tagvereisten niet worden nageleefd. Deze gefaseerde aanpak minimaliseert disruptie en geeft teams voldoende tijd om zich aan te passen aan nieuwe tagvereisten.

Policy definities moeten worden toegewezen op het juiste scope-niveau, meestal op beheergroep- of abonnementsniveau voor organisatiebrede toepassing. Toewijzing op beheergroepniveau heeft het voordeel dat policies automatisch worden geërfd door alle onderliggende abonnementen en resourcegroepen, wat zorgt voor consistente governance zonder herhaalde configuratie. Bij toewijzing moeten parameters worden geconfigureerd met de juiste waarden voor de betreffende omgeving, zoals toegestane Environment tagwaarden of standaard CostCenter codes. Het is belangrijk om toewijzingen te documenteren en te versiebeheren, zodat duidelijk is welke policies actief zijn en wanneer ze zijn geïmplementeerd.

Monitoring en Onderhoud van Policy Definities

Gebruik PowerShell-script resource-tagging-policies.ps1 (functie Invoke-Monitoring) – Monitort de aanwezigheid en effectiviteit van tagging policy definities.

Effectieve monitoring van Azure Policy definities voor resource tagging is essentieel om ervoor te zorgen dat policies daadwerkelijk werken en dat organisaties op de hoogte blijven van hun tag governance status. Monitoring moet verschillende aspecten omvatten: het bijhouden van welke policy definities actief zijn, het monitoren van compliance met tagvereisten over tijd, het identificeren van trends in policy-overtredingen, en het detecteren van afwijkingen die kunnen wijzen op problemen in policy configuraties of in de manier waarop teams tags gebruiken.

Het Azure Policy compliance dashboard vormt het primaire hulpmiddel voor het monitoren van tag compliance, waarbij real-time inzicht wordt geboden in hoeveel resources voldoen aan tagvereisten en hoeveel resources niet-compliant zijn. Het dashboard biedt uitsplitsingen per policy, abonnement, resourcegroep en resourcetype, waardoor het mogelijk is om patronen te identificeren zoals bepaalde teams of projecten die systematisch moeite hebben met het naleven van tagvereisten. Regelmatige reviews van het dashboard, minimaal wekelijks, helpen bij het vroegtijdig detecteren van compliance-problemen voordat ze uitgroeien tot grotere governance-hiaten.

Automatische waarschuwingen moeten worden geconfigureerd om teams en governance officers te informeren wanneer resources worden geblokkeerd vanwege ontbrekende of ongeldige tags. Deze waarschuwingen helpen bij het vroegtijdig detecteren van problemen en zorgen ervoor dat teams snel feedback ontvangen wanneer ze per ongeluk tagvereisten vergeten. Waarschuwingen kunnen worden geconfigureerd via Azure Monitor of via Logic Apps workflows die e-mails of Teams berichten verzenden bij policy violations. Het is belangrijk om waarschuwingen niet te agressief te maken om alertvermoeidheid te voorkomen; aggregatie van waarschuwingen per team of per dag kan helpen om relevante informatie te leveren zonder overbelasting.

Maandelijkse compliance-rapporten moeten worden gegenereerd die een overzicht bieden van de tag compliance status over alle abonnementen en resources. Deze rapporten moeten niet alleen de huidige status weergeven, maar ook trends over tijd, waardoor organisaties kunnen zien of tag governance verbetert of verslechtert. Rapporten moeten worden geëxporteerd in verschillende formaten voor distributie aan stakeholders en voor archivering voor audit-doeleinden. Voor organisaties die moeten voldoen aan compliance-vereisten zoals ISO 27001 of BIO zijn deze rapporten vaak een vereiste voor certificering.

Policy definities moeten regelmatig worden gereviewd en bijgewerkt om ervoor te zorgen dat ze actueel blijven en dat nieuwe tagvereisten worden afgedekt. Reviews moeten minimaal elk kwartaal plaatsvinden en moeten kijken naar nieuwe tagvereisten die zijn geïntroduceerd, wijzigingen in toegestane tagwaarden, en feedback van teams over policy effectiviteit. Wanneer wijzigingen nodig zijn, moeten policy definities worden bijgewerkt volgens een gecontroleerd proces waarbij wijzigingen worden gereviewed en getest voordat ze worden geïmplementeerd. Versiebeheer moet worden gebruikt om wijzigingen bij te houden en om terug te kunnen gaan naar eerdere versies indien nodig.

Best Practices voor Tagging Policy Definities

Het ontwikkelen en beheren van effectieve Azure Policy definities voor resource tagging vereist het volgen van best practices die zijn gebaseerd op ervaringen uit de praktijk en lessen geleerd van organisaties die succesvol tag governance hebben geïmplementeerd. Een eerste best practice is om te beginnen met een beperkte set van essentiële tagvereisten en deze geleidelijk uit te breiden naarmate teams gewend raken aan tag governance. Het implementeren van te veel tagvereisten tegelijk kan overweldigend zijn voor teams en kan leiden tot weerstand tegen tag governance. Door te beginnen met de meest kritieke tags zoals Environment en CostCenter, en deze later uit te breiden met aanvullende tags zoals Application en DataClassification, kunnen organisaties een geleidelijke adoptie bereiken die meer acceptatie krijgt van teams.

Een tweede best practice is om altijd gebruik te maken van parameters voor flexibiliteit en herbruikbaarheid. Parameters maken het mogelijk om policy definities aan te passen aan verschillende omgevingen of organisatie-eenheden zonder de policy definitie zelf te hoeven wijzigen. Bijvoorbeeld, een Tag Value Validation policy kan een parameter gebruiken om toegestane Environment tagwaarden te definiëren, waardoor dezelfde policy definitie kan worden gebruikt voor verschillende omgevingen met verschillende toegestane waarden. Het gebruik van parameters maakt policies ook onderhoudbaarder omdat wijzigingen in toegestane waarden alleen de parameterwaarden hoeven te wijzigen, niet de policy definitie zelf.

Een derde best practice is om altijd uitgebreide documentatie op te nemen in policy definities. Deze documentatie moet duidelijk uitleggen wat de policy doet, waarom deze nodig is, welke tags worden beïnvloed, en hoe teams kunnen voldoen aan de policy vereisten. Goede documentatie helpt teams om te begrijpen waarom bepaalde tagvereisten bestaan en hoe ze kunnen voldoen aan deze vereisten, wat de acceptatie van tag governance verhoogt. Documentatie moet ook praktische voorbeelden bevatten van geldige tagwaarden en van hoe resources moeten worden getagd om aan policy vereisten te voldoen.

Een vierde best practice is om een gefaseerde implementatie aanpak te volgen waarbij eerst Audit policies worden geactiveerd voordat Deny policies worden geïmplementeerd. Deze aanpak geeft teams de tijd om hun workflows aan te passen en zorgt ervoor dat eventuele problemen worden geïdentificeerd voordat enforcement wordt geactiveerd. Tijdens de Audit fase moeten compliance-rapporten worden gegenereerd en gedeeld met teams om hen te helpen begrijpen hoe goed ze voldoen aan tagvereisten en waar verbetering nodig is. Na een overgangsperiode kunnen Audit policies worden vervangen door Deny policies die daadwerkelijk blokkeren wanneer tagvereisten niet worden nageleefd.

Een vijfde best practice is om regelmatig policy definities te reviewen en bij te werken om ervoor te zorgen dat ze actueel blijven. Tagvereisten kunnen veranderen naarmate organisaties groeien en nieuwe behoeften ontstaan, en policy definities moeten worden bijgewerkt om deze nieuwe vereisten af te dekken. Reviews moeten minimaal elk kwartaal plaatsvinden en moeten kijken naar nieuwe tagvereisten, wijzigingen in toegestane tagwaarden, en feedback van teams over policy effectiviteit. Wanneer wijzigingen nodig zijn, moeten policy definities worden bijgewerkt volgens een gecontroleerd proces waarbij wijzigingen worden gereviewed en getest voordat ze worden geïmplementeerd.

Remediatie en Verbetering

Gebruik PowerShell-script resource-tagging-policies.ps1 (functie Invoke-Remediation) – Herstelt ontbrekende of incorrect geconfigureerde tagging policy definities.

Wanneer monitoring aangeeft dat policy definities ontbreken of incorrect zijn geconfigureerd, moet een duidelijk gedefinieerd remediatieproces worden gevolgd om ervoor te zorgen dat tag governance snel en correct wordt hersteld. Het remediatieproces begint met het prioriteren van problemen op basis van risico en bedrijfskritiek, waarbij ontbrekende Must-Have policies zoals Require Tag policies voor Environment en CostCenter tags de hoogste prioriteit krijgen. Deze policies vormen de basis voor tag governance en moeten aanwezig zijn zonder uitzondering.

Voor ontbrekende policy definities moet remediatie worden uitgevoerd door de betreffende policies te ontwikkelen en te implementeren volgens de processen die zijn gedefinieerd in het tag governance framework. Dit omvat het ontwikkelen van policy definities volgens de gestandaardiseerde structuur en naamgevingsconventies, het testen van policies in een testomgeving, en het implementeren van policies in productieomgevingen via een gefaseerde aanpak. Voordat policies worden geïmplementeerd, moet een impactanalyse worden uitgevoerd om te bepalen welke effecten de implementatie zal hebben op bestaande resources en of er aanpassingen nodig zijn aan bestaande workflows.

Voor policy definities die incorrect zijn geconfigureerd, zoals policies met verkeerde parameters of policies die niet correct functioneren, moet remediatie worden uitgevoerd om de configuraties te corrigeren. Dit kan betekenen dat policy definities moeten worden bijgewerkt met correcte parameters, dat policy rules moeten worden aangepast om correct te functioneren, of dat policy toewijzingen moeten worden herzien om ervoor te zorgen dat policies correct worden toegepast. Voordat wijzigingen worden doorgevoerd, moeten ze worden gereviewed en getest om te garanderen dat ze correct functioneren en geen onbedoelde neveneffecten hebben.

Na het uitvoeren van remediatie moet verificatie opnieuw worden uitgevoerd om te bevestigen dat problemen daadwerkelijk zijn opgelost. Deze verificatie moet worden uitgevoerd binnen 24 uur na remediatie om te garanderen dat het probleem is opgelost en dat tag governance correct functioneert. Als verificatie nog steeds problemen detecteert, moet het remediatieproces opnieuw worden uitgevoerd en moeten eventuele onderliggende oorzaken worden geïdentificeerd en opgelost. Het is belangrijk om te documenteren welke policy definities zijn gecorrigeerd, wanneer de remediatie is voltooid, en wie verantwoordelijk was voor de remediatie, voor audit-doeleinden.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Azure Policy Definities voor Resource Tagging - Monitoring en Implementatie .DESCRIPTION Monitort en verifieert de aanwezigheid en effectiviteit van Azure Policy definities voor resource tagging. Controleert of vereiste tagging policies aanwezig zijn en correct zijn geconfigureerd. .NOTES Filename: resource-tagging-policies.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/azure/governance/resource-tagging-policies.json #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Resources, Az.PolicyInsights [CmdletBinding()] param( [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Implementation ) $ErrorActionPreference = 'Stop' function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } function Test-TaggingPolicyDefinitions { <# .SYNOPSIS Test of vereiste tagging policy definities aanwezig zijn .OUTPUTS PSCustomObject met policy definitie resultaten #> [CmdletBinding()] param() $results = @{ HasRequireTagPolicies = $false HasValidateTagPolicies = $false HasModifyTagPolicies = $false TotalTagPolicies = 0 RequiredPolicies = @() MissingPolicies = @() Details = @() } try { # Ophalen alle policy definities $allPolicies = Get-AzPolicyDefinition -ErrorAction SilentlyContinue if ($allPolicies) { # Filteren op tagging-gerelateerde policies $tagPolicies = $allPolicies | Where-Object { $_.Properties.DisplayName -like "*tag*" -or $_.Properties.DisplayName -like "*Tag*" -or $_.Properties.Description -like "*tag*" -or $_.Properties.Description -like "*Tag*" } $results.TotalTagPolicies = $tagPolicies.Count # Controleren op Require Tag policies $requireTagPolicies = $tagPolicies | Where-Object { $_.Properties.DisplayName -like "*Require*Tag*" -or $_.Properties.DisplayName -like "*require*tag*" } if ($requireTagPolicies -and $requireTagPolicies.Count -gt 0) { $results.HasRequireTagPolicies = $true $results.RequiredPolicies += "Require Tag Policies" } else { $results.MissingPolicies += "Require Tag Policies" } # Controleren op Validate Tag policies $validateTagPolicies = $tagPolicies | Where-Object { $_.Properties.DisplayName -like "*Validate*Tag*" -or $_.Properties.DisplayName -like "*validate*tag*" -or $_.Properties.DisplayName -like "*Tag*Value*" } if ($validateTagPolicies -and $validateTagPolicies.Count -gt 0) { $results.HasValidateTagPolicies = $true $results.RequiredPolicies += "Validate Tag Policies" } else { $results.MissingPolicies += "Validate Tag Policies" } # Controleren op Modify Tag policies $modifyTagPolicies = $tagPolicies | Where-Object { $_.Properties.DisplayName -like "*Modify*Tag*" -or $_.Properties.DisplayName -like "*modify*tag*" -or $_.Properties.DisplayName -like "*Inherit*Tag*" } if ($modifyTagPolicies -and $modifyTagPolicies.Count -gt 0) { $results.HasModifyTagPolicies = $true $results.RequiredPolicies += "Modify Tag Policies" } else { $results.MissingPolicies += "Modify Tag Policies" } # Details verzamelen foreach ($policy in $tagPolicies) { $results.Details += [PSCustomObject]@{ PolicyName = $policy.Name DisplayName = $policy.Properties.DisplayName PolicyType = $policy.Properties.PolicyType Description = $policy.Properties.Description } } } } catch { Write-Warning "Fout bij controleren tagging policy definities: $_" } return $results } function Test-TaggingPolicyAssignments { <# .SYNOPSIS Test of tagging policies zijn toegewezen aan abonnementen .OUTPUTS PSCustomObject met toewijzingsresultaten #> [CmdletBinding()] param() $results = @{ TotalAssignments = 0 TagPolicyAssignments = 0 SubscriptionsWithTagPolicies = 0 SubscriptionsWithoutTagPolicies = 0 Details = @() } try { $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id -ErrorAction SilentlyContinue | Out-Null $assignments = Get-AzPolicyAssignment -ErrorAction SilentlyContinue if ($assignments) { $results.TotalAssignments += $assignments.Count # Filteren op tagging-gerelateerde assignments $tagAssignments = $assignments | Where-Object { $_.Properties.DisplayName -like "*tag*" -or $_.Properties.DisplayName -like "*Tag*" -or $_.Properties.Description -like "*tag*" -or $_.Properties.Description -like "*Tag*" } if ($tagAssignments -and $tagAssignments.Count -gt 0) { $results.TagPolicyAssignments += $tagAssignments.Count $results.SubscriptionsWithTagPolicies++ $results.Details += [PSCustomObject]@{ SubscriptionName = $sub.Name SubscriptionId = $sub.Id TagPolicyCount = $tagAssignments.Count HasTagPolicies = $true } } else { $results.SubscriptionsWithoutTagPolicies++ $results.Details += [PSCustomObject]@{ SubscriptionName = $sub.Name SubscriptionId = $sub.Id TagPolicyCount = 0 HasTagPolicies = $false } } } } } catch { Write-Warning "Fout bij controleren tagging policy toewijzingen: $_" } return $results } function Test-TaggingPolicyCompliance { <# .SYNOPSIS Test compliance status van tagging policies .OUTPUTS PSCustomObject met compliance resultaten #> [CmdletBinding()] param() $results = @{ TotalResources = 0 CompliantResources = 0 NonCompliantResources = 0 CompliancePercentage = 0 Details = @() } try { $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id -ErrorAction SilentlyContinue | Out-Null # Ophalen compliance states voor tagging policies $complianceStates = Get-AzPolicyState -Filter "PolicyDefinitionId ne ''" -Top 100 -ErrorAction SilentlyContinue if ($complianceStates) { # Filteren op tagging-gerelateerde policies $tagComplianceStates = $complianceStates | Where-Object { $_.PolicyDefinitionName -like "*tag*" -or $_.PolicyDefinitionName -like "*Tag*" } if ($tagComplianceStates) { $compliant = ($tagComplianceStates | Where-Object { $_.ComplianceState -eq 'Compliant' }).Count $nonCompliant = ($tagComplianceStates | Where-Object { $_.ComplianceState -eq 'NonCompliant' }).Count $total = $tagComplianceStates.Count $results.TotalResources += $total $results.CompliantResources += $compliant $results.NonCompliantResources += $nonCompliant if ($total -gt 0) { $compliancePct = [math]::Round(($compliant / $total) * 100, 2) $results.Details += [PSCustomObject]@{ SubscriptionName = $sub.Name SubscriptionId = $sub.Id CompliancePercentage = $compliancePct Compliant = $compliant NonCompliant = $nonCompliant } } } } } if ($results.TotalResources -gt 0) { $results.CompliancePercentage = [math]::Round(($results.CompliantResources / $results.TotalResources) * 100, 2) } } catch { Write-Warning "Fout bij controleren tagging policy compliance: $_" } return $results } function Invoke-Implementation { <# .SYNOPSIS Implementeert Azure Policy definities voor resource tagging volgens best practices #> [CmdletBinding()] param() Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "TAGGING POLICY DEFINITIES IMPLEMENTATIE" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "" try { Connect-RequiredServices Write-Host "[INFO] Tagging policy definities implementatie vereist handmatige configuratie" -ForegroundColor Yellow Write-Host "" Write-Host "De volgende stappen zijn vereist voor volledige implementatie:" -ForegroundColor Cyan Write-Host "" Write-Host "1. REQUIRE TAG POLICIES" -ForegroundColor Yellow Write-Host " - Ontwikkel Require Tag policies voor verplichte tags (Environment, CostCenter)" -ForegroundColor Gray Write-Host " - Configureer Deny effect om resources zonder tags te blokkeren" -ForegroundColor Gray Write-Host " - Test policies in testomgeving voordat productie-implementatie" -ForegroundColor Gray Write-Host "" Write-Host "2. VALIDATE TAG POLICIES" -ForegroundColor Yellow Write-Host " - Ontwikkel Tag Value Validation policies voor toegestane waarden" -ForegroundColor Gray Write-Host " - Configureer parameters voor flexibele waarde-definitie" -ForegroundColor Gray Write-Host " - Valideer tagwaarden tegen organisatiebrede standaarden" -ForegroundColor Gray Write-Host "" Write-Host "3. MODIFY TAG POLICIES" -ForegroundColor Yellow Write-Host " - Ontwikkel Modify policies voor automatische tag-overname" -ForegroundColor Gray Write-Host " - Configureer automatische tag-overname van resourcegroepen" -ForegroundColor Gray Write-Host " - Test Modify policies om te verifiëren correcte werking" -ForegroundColor Gray Write-Host "" Write-Host "4. POLICY TOEWIJZINGEN" -ForegroundColor Yellow Write-Host " - Wijs policies toe op Management Group of Subscription niveau" -ForegroundColor Gray Write-Host " - Configureer parameters met juiste waarden per omgeving" -ForegroundColor Gray Write-Host " - Documenteer alle policy toewijzingen" -ForegroundColor Gray Write-Host "" Write-Host "5. GEFASEERDE IMPLEMENTATIE" -ForegroundColor Yellow Write-Host " - Start met Audit policies voor monitoring" -ForegroundColor Gray Write-Host " - Vervang na overgangsperiode door Deny policies" -ForegroundColor Gray Write-Host " - Monitor compliance en pas aan waar nodig" -ForegroundColor Gray Write-Host "" Write-Host "Zie het artikel voor gedetailleerde implementatie-instructies." -ForegroundColor Cyan } catch { Write-Error "Fout bij implementatie: $_" exit 1 } } function Invoke-Monitoring { <# .SYNOPSIS Monitort de aanwezigheid en effectiviteit van tagging policy definities #> [CmdletBinding()] param() try { Connect-RequiredServices Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "TAGGING POLICY DEFINITIES MONITORING" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "" $policyResults = Test-TaggingPolicyDefinitions $assignmentResults = Test-TaggingPolicyAssignments $complianceResults = Test-TaggingPolicyCompliance Write-Host "POLICY DEFINITIES:" -ForegroundColor Yellow Write-Host "" Write-Host " Totaal Tag Policies: $($policyResults.TotalTagPolicies)" -ForegroundColor $(if ($policyResults.TotalTagPolicies -gt 0) { "Green" } else { "Red" }) Write-Host " Require Tag Policies: $(if ($policyResults.HasRequireTagPolicies) { 'Aanwezig' } else { 'Ontbrekend' })" -ForegroundColor $(if ($policyResults.HasRequireTagPolicies) { "Green" } else { "Red" }) Write-Host " Validate Tag Policies: $(if ($policyResults.HasValidateTagPolicies) { 'Aanwezig' } else { 'Ontbrekend' })" -ForegroundColor $(if ($policyResults.HasValidateTagPolicies) { "Green" } else { "Yellow" }) Write-Host " Modify Tag Policies: $(if ($policyResults.HasModifyTagPolicies) { 'Aanwezig' } else { 'Ontbrekend' })" -ForegroundColor $(if ($policyResults.HasModifyTagPolicies) { "Green" } else { "Yellow" }) if ($policyResults.MissingPolicies.Count -gt 0) { Write-Host "" Write-Host " Ontbrekende Policy Types:" -ForegroundColor Red foreach ($missing in $policyResults.MissingPolicies) { Write-Host " - $missing" -ForegroundColor Red } } Write-Host "" Write-Host "POLICY TOEWIJZINGEN:" -ForegroundColor Yellow Write-Host "" Write-Host " Totaal Policy Assignments: $($assignmentResults.TotalAssignments)" -ForegroundColor White Write-Host " Tag Policy Assignments: $($assignmentResults.TagPolicyAssignments)" -ForegroundColor $(if ($assignmentResults.TagPolicyAssignments -gt 0) { "Green" } else { "Red" }) Write-Host " Abonnementen met Tag Policies: $($assignmentResults.SubscriptionsWithTagPolicies)" -ForegroundColor $(if ($assignmentResults.SubscriptionsWithTagPolicies -gt 0) { "Green" } else { "Red" }) Write-Host " Abonnementen zonder Tag Policies: $($assignmentResults.SubscriptionsWithoutTagPolicies)" -ForegroundColor $(if ($assignmentResults.SubscriptionsWithoutTagPolicies -eq 0) { "Green" } else { "Yellow" }) if ($assignmentResults.SubscriptionsWithoutTagPolicies -gt 0) { Write-Host "" Write-Host " Abonnementen zonder Tag Policies:" -ForegroundColor Yellow $missing = $assignmentResults.Details | Where-Object { -not $_.HasTagPolicies } foreach ($sub in $missing) { Write-Host " - $($sub.SubscriptionName) ($($sub.SubscriptionId))" -ForegroundColor Red } } Write-Host "" Write-Host "COMPLIANCE STATUS:" -ForegroundColor Yellow if ($complianceResults.TotalResources -gt 0) { Write-Host " Totaal Resources: $($complianceResults.TotalResources)" -ForegroundColor White Write-Host " Compliant: $($complianceResults.CompliantResources)" -ForegroundColor Green Write-Host " Non-Compliant: $($complianceResults.NonCompliantResources)" -ForegroundColor $(if ($complianceResults.NonCompliantResources -gt 0) { "Red" } else { "Green" }) Write-Host " Compliance Percentage: $($complianceResults.CompliancePercentage)%" -ForegroundColor $(if ($complianceResults.CompliancePercentage -ge 95) { "Green" } elseif ($complianceResults.CompliancePercentage -ge 80) { "Yellow" } else { "Red" }) } else { Write-Host " Geen compliance data beschikbaar" -ForegroundColor Gray } Write-Host "" Write-Host "========================================" -ForegroundColor Cyan # Bepalen overall status $isCompliant = $policyResults.HasRequireTagPolicies -and $assignmentResults.TagPolicyAssignments -gt 0 -and ($complianceResults.CompliancePercentage -ge 80 -or $complianceResults.TotalResources -eq 0) if ($isCompliant) { Write-Host "STATUS: OK - Tagging policy definities zijn correct geïmplementeerd" -ForegroundColor Green exit 0 } else { Write-Host "STATUS: WAARSCHUWING - Tagging policy definities vereisen aandacht" -ForegroundColor Yellow exit 1 } } catch { Write-Error "Fout bij monitoring: $_" exit 1 } } function Invoke-Remediation { <# .SYNOPSIS Herstelt ontbrekende of incorrect geconfigureerde tagging policy definities #> [CmdletBinding()] param() Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "TAGGING POLICY DEFINITIES REMEDIATIE" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "" try { Connect-RequiredServices $policyResults = Test-TaggingPolicyDefinitions $assignmentResults = Test-TaggingPolicyAssignments Write-Host "[INFO] Remediatie vereist handmatige configuratie" -ForegroundColor Yellow Write-Host "" if (-not $policyResults.HasRequireTagPolicies) { Write-Host "ACTIE VEREIST: Require Tag Policies" -ForegroundColor Red Write-Host " - Ontwikkel Require Tag policies voor verplichte tags" -ForegroundColor Gray Write-Host " - Configureer Deny effect om resources zonder tags te blokkeren" -ForegroundColor Gray Write-Host " - Test policies in testomgeving voordat productie-implementatie" -ForegroundColor Gray } if (-not $policyResults.HasValidateTagPolicies) { Write-Host "ACTIE VEREIST: Validate Tag Policies" -ForegroundColor Red Write-Host " - Ontwikkel Tag Value Validation policies" -ForegroundColor Gray Write-Host " - Configureer parameters voor toegestane tagwaarden" -ForegroundColor Gray } if (-not $policyResults.HasModifyTagPolicies) { Write-Host "ACTIE VEREIST: Modify Tag Policies" -ForegroundColor Yellow Write-Host " - Overweeg Modify policies voor automatische tag-overname" -ForegroundColor Gray Write-Host " - Configureer automatische tag-overname van resourcegroepen" -ForegroundColor Gray } if ($assignmentResults.SubscriptionsWithoutTagPolicies -gt 0) { Write-Host "ACTIE VEREIST: Policy Toewijzingen" -ForegroundColor Red $missing = $assignmentResults.Details | Where-Object { -not $_.HasTagPolicies } foreach ($sub in $missing) { Write-Host " - Wijs tagging policies toe aan: $($sub.SubscriptionName) ($($sub.SubscriptionId))" -ForegroundColor Gray } } if ($policyResults.HasRequireTagPolicies -and $assignmentResults.TagPolicyAssignments -gt 0 -and $assignmentResults.SubscriptionsWithoutTagPolicies -eq 0) { Write-Host "Alle vereiste tagging policy componenten zijn aanwezig. Geen remediatie nodig." -ForegroundColor Green } else { Write-Host "" Write-Host "Zie het artikel voor gedetailleerde remediatie-instructies." -ForegroundColor Cyan } } catch { Write-Error "Fout bij remediatie: $_" exit 1 } } # ================================================================================ # MAIN EXECUTION # ================================================================================ try { if ($Implementation) { Invoke-Implementation } elseif ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { Invoke-Remediation } else { # Default: Monitoring Invoke-Monitoring } } catch { Write-Error $_ exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Medium: Zonder gestructureerde Azure Policy definities voor resource tagging ontstaat inconsistentie waarbij verschillende teams verschillende tagwaarden gebruiken, tags volledig vergeten worden, of tags worden toegepast met typefouten. Deze inconsistentie maakt het onmogelijk om geautomatiseerde processen te bouwen die afhankelijk zijn van tags, zoals kostentoewijzing of omgevingsdetectie. Bovendien kunnen organisaties niet aantonen tijdens audits dat zij een gestructureerd proces hebben voor het beheren van resource metadata, wat vereist is voor compliance met ISO 27001, BIO en NIS2.

Management Samenvatting

Azure Policy definities voor resource tagging vormen de technische basis voor consistente en geautomatiseerde tag governance. Ontwikkel een complete set van policy definities die tagvereisten afdwingen, tagwaarden valideren, en tags automatisch toevoegen of wijzigen. Organiseer policies logisch volgens functie en prioriteit, gebruik parameters voor flexibiliteit, en implementeer via een gefaseerde aanpak. Implementatie: 35 uur. Essentieel voor effectieve cloud governance en compliance.