💼 Management Samenvatting
Periodieke toegangsbeoordelingen van bevoorrechte roltoewijzingen zorgen ervoor dat alleen gebruikers die beheerdersrechten daadwerkelijk nodig hebben deze behouden, wat het opkruipen van bevoegdheden voorkomt en het principe van minimale bevoegdheden afdwingt.
Aanbeveling
IMPLEMENTEER DRIEMAANDELIJKSE BEVOORRECHTE ROLBEOORDELINGEN
Risico zonder
Medium
Risk Score
5/10
Implementatie
8u (tech: 4u)
Van toepassing op:
✓ Azure
✓ Azure AD
✓ Azure AD
In de loop van de tijd verzamelen gebruikers bevoorrechte rollen zonder actieve verwijdering: externe medewerkers behouden beheerdersrechten na projecteinde, werknemers behouden beheerdersrechten na functiewijziging, tijdelijk verhoogde toegang wordt nooit ingetrokken, gebruikers krijgen beheerdersrechten voor een specifiek project maar blijven onbeperkt beheerder. Het resultaat: een overmatig aantal bevoorrechte accounts vormt een groter aanvalsoppervlak. Toegangsbeoordelingen dwingen periodieke verificatie af: is beheerders toegang nog steeds vereist? Gebruikers zonder geldige rechtvaardiging verliezen bevoorrechte toegang.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.Identity.Governance
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.Identity.Governance
Implementatie
Deze controle implementeert driemaandelijkse toegangsbeoordelingen voor bevoorrechte Azure AD- en Azure RBAC-rollen via Azure AD Access Reviews, een Premium P2-functie, of via handmatige processen wanneer deze licentie niet beschikbaar is. De reikwijdte van de beoordeling omvat alle kritieke bevoorrechte rollen binnen de organisatie, waaronder Azure AD-directoryrollen zoals Globale beheerder, Bevoorrechte rolbeheerder, Gebruikersbeheerder en Beveiligingsbeheerder, evenals Azure RBAC-rollen zoals Eigenaar en Inzender op abonnementen, resourcegroepen en individuele resources. Het beoordelingsproces wordt uitgevoerd door een combinatie van beoordelaars, bestaande uit directe managers van gebruikers en leden van het beveiligingsteam. Deze beoordelaars verifiëren voor elke gebruiker met bevoorrechte toegang of de beheerdersrechten nog steeds vereist zijn voor hun huidige functie, of er een geldige zakelijke rechtvaardiging bestaat voor het behoud van de toegang, en of de gebruiker daadwerkelijk beheerdertaken heeft uitgevoerd in de afgelopen negentig dagen. Gebruikers die niet worden goedgekeurd door de beoordelaars worden automatisch verwijderd uit de bevoorrechte rollen wanneer het geautomatiseerde systeem wordt gebruikt, of handmatig verwijderd wanneer handmatige processen worden gevolgd.
Vereisten
Voor het succesvol implementeren van periodieke toegangsbeoordelingen voor bevoorrechte rollen zijn verschillende technische en organisatorische vereisten noodzakelijk die zorgvuldig moeten worden overwogen voordat het proces wordt gestart. De belangrijkste technische vereiste is het beschikken over een Azure AD Premium P2-licentie, die toegang biedt tot de geautomatiseerde Access Reviews-functionaliteit binnen Microsoft Entra ID. Deze licentie is essentieel voor het opzetten van gestructureerde, herhaalbare beoordelingsprocessen die volledig kunnen worden geautomatiseerd en gecontroleerd. Zonder deze licentie zijn organisaties volledig aangewezen op handmatige processen, wat niet alleen tijdrovend is maar ook aanzienlijk foutgevoeliger kan zijn. Handmatige processen vereisen dat beveiligingsteams regelmatig lijsten van bevoorrechte gebruikers genereren, deze distribueren naar beoordelaars, en vervolgens handmatig actie ondernemen op basis van de feedback. Dit proces is niet alleen arbeidsintensief maar ook onderhevig aan menselijke fouten, vergetelheid en inconsistenties tussen verschillende beoordelingsrondes.
Een tweede kritieke vereiste die niet mag worden onderschat is het beschikken over een volledige en actuele inventarisatie van alle bevoorrechte rollen binnen de organisatie. Deze inventarisatie moet niet alleen alle Azure AD-directoryrollen omvatten, zoals Globale beheerder, Bevoorrechte rolbeheerder, Gebruikersbeheerder en Beveiligingsbeheerder, maar ook alle Azure RBAC-rollen zoals Eigenaar en Inzender op abonnementen, resourcegroepen en individuele resources. Bovendien moeten ook aangepaste rollen en rollen op applicatieniveau worden meegenomen in deze inventarisatie. Zonder een complete en nauwkeurige inventarisatie bestaat het reële risico dat bepaalde bevoorrechte rollen over het hoofd worden gezien tijdens de beoordeling, waardoor het beoogde beveiligingsniveau niet wordt bereikt en potentiële beveiligingsrisico's blijven bestaan. Het opstellen van een dergelijke inventarisatie vereist vaak een grondige audit van de gehele Azure-omgeving, waarbij gebruik wordt gemaakt van verschillende Microsoft Graph API-query's en Azure Resource Manager-opdrachten om alle roltoewijzingen te identificeren en te documenteren.
Het toewijzen van geschikte en gekwalificeerde beoordelaars vormt een derde essentiële vereiste die cruciaal is voor de effectiviteit van het beoordelingsproces. Beoordelaars moeten bestaan uit een zorgvuldig samengestelde combinatie van directe managers van gebruikers en leden van het beveiligingsteam, waarbij elk type beoordelaar een unieke en waardevolle bijdrage levert aan het proces. Managers beschikken over de contextuele kennis en inzicht in de dagelijkse werkzaamheden van hun medewerkers om te beoordelen of een gebruiker nog steeds beheerdersrechten nodig heeft voor hun huidige functie en verantwoordelijkheden. Zij kunnen inschatten of de beheerdersrechten daadwerkelijk worden gebruikt en of deze noodzakelijk zijn voor het uitvoeren van de werkzaamheden. Daarentegen beschikt het beveiligingsteam over de expertise om beveiligingsrisico's en compliance-vereisten te beoordelen, waarbij zij kunnen identificeren wanneer bevoorrechte toegang een onacceptabel beveiligingsrisico vormt, zelfs wanneer deze technisch gezien nog wordt gebruikt. Deze duale benadering zorgt voor een evenwichtige en grondige beoordeling die zowel zakelijke behoeften als beveiligingsvereisten in overweging neemt, waardoor een holistische evaluatie van elke bevoorrechte roltoewijzing wordt gegarandeerd.
Een vastgesteld en duidelijk gecommuniceerd beoordelingsschema is eveneens cruciaal voor het succes van het proces en moet zorgvuldig worden afgestemd op de specifieke behoeften en risicoprofiel van de organisatie. Driemaandelijkse beoordelingen worden algemeen aanbevolen als een optimale balans tussen beveiligingsniveau en administratieve belasting, waarbij deze frequentie voldoende is om opkruipen van bevoegdheden te voorkomen zonder dat het proces te belastend wordt voor beoordelaars en beveiligingsteams. Meer frequente beoordelingen, zoals maandelijks, kunnen leiden tot beoordelaarsmoeheid en verminderde aandacht voor detail, waarbij beoordelaars mogelijk minder zorgvuldig te werk gaan omdat zij weten dat er binnenkort weer een nieuwe beoordeling komt. Aan de andere kant kunnen minder frequente beoordelingen, zoals halfjaarlijks of jaarlijks, het risico aanzienlijk vergroten dat onnodige bevoorrechte toegang te lang blijft bestaan, waardoor het beveiligingsrisico toeneemt en het principe van minimale bevoegdheden wordt geschonden. Het schema moet duidelijk worden gecommuniceerd naar alle betrokken partijen, inclusief beoordelaars, gebruikers met bevoorrechte toegang, en management, en moet worden vastgelegd in het formele beveiligingsbeleid van de organisatie om consistentie en naleving te waarborgen.
Ten slotte moet een duidelijk gedefinieerd en gedocumenteerd remediatieproces worden opgesteld voor het afhandelen van gebruikers wier toegang wordt geweigerd tijdens de beoordeling. Dit proces moet in detail specificeren hoe toegang wordt ingetrokken, welke stappen worden gevolgd om te verifiëren dat toegang daadwerkelijk is verwijderd, hoe gebruikers worden geïnformeerd over de beslissing en de onderliggende redenen, welke alternatieve toegangsmethoden beschikbaar zijn indien de gebruiker nog steeds beperkte toegang nodig heeft voor specifieke taken, en hoe bezwaar kan worden aangetekend tegen de beslissing indien de gebruiker van mening is dat de weigering onterecht is. Het proces moet ook voorzien in uitzonderingen voor legitieme zakelijke gevallen, waarbij een formele goedkeuringsprocedure wordt gevolgd die documentatie vereist van de zakelijke rechtvaardiging, een vastgestelde vervaldatum voor de uitzondering, en een plan voor regelmatige herbeoordeling. Deze uitzonderingen moeten worden behandeld als tijdelijke maatregelen en niet als permanente oplossingen, waarbij regelmatige evaluatie wordt uitgevoerd om te bepalen of de uitzondering nog steeds gerechtvaardigd is of kan worden ingetrokken.
Implementatie
Gebruik PowerShell-script privileged-roles-reviewed.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van periodieke toegangsbeoordelingen voor bevoorrechte rollen begint met het navigeren naar de Microsoft Entra ID-portal, voorheen bekend als Azure AD, en het selecteren van de Identity Governance-sectie, gevolgd door de Access Reviews-functionaliteit. Vanuit dit menu wordt een nieuwe beoordeling aangemaakt door te klikken op de optie voor het aanmaken van een nieuwe beoordeling, wat een uitgebreide configuratiewizard opent die gebruikers stap voor stap door het volledige opzetten van het beoordelingsproces leidt. De wizard is zorgvuldig ontworpen om gebruikers door elk aspect van de configuratie te leiden met duidelijke instructies en contextuele hulp, waardoor het risico op configuratiefouten aanzienlijk wordt geminimaliseerd en ervoor wordt gezorgd dat alle benodigde instellingen correct en volledig worden geconfigureerd. De wizard biedt ook vooraf geconfigureerde templates voor veelvoorkomende scenario's, wat het opzetten van nieuwe beoordelingen verder vereenvoudigt en versnelt.
De eerste en meest fundamentele configuratiestap betreft het bepalen van de reikwijdte en scope van de beoordeling, waarbij organisaties moeten kiezen welke type rollen en toegang worden beoordeeld. Hierbij wordt gekozen voor Azure AD-rollen als beoordelingsscope, waarna specifiek de bevoorrechte rollen worden geselecteerd die in de beoordeling moeten worden meegenomen. Dit omvat typisch kritieke rollen zoals Globale beheerder, Bevoorrechte rolbeheerder, Gebruikersbeheerder, Beveiligingsbeheerder, Exchange-beheerder, SharePoint-beheerder en andere rollen met uitgebreide beheerdersrechten die significante beveiligingsrisico's kunnen vormen wanneer ze onjuist worden beheerd. Het is van cruciaal belang om alle relevante bevoorrechte rollen te selecteren om een complete en effectieve beoordeling te waarborgen, waarbij organisaties moeten zorgen dat geen enkele kritieke rol wordt overgeslagen. Voor organisaties met aangepaste rollen of complexe rolhiërarchieën kan het nodig zijn om aanvullende configuratie uit te voeren om ervoor te zorgen dat alle relevante rollen worden meegenomen in het beoordelingsproces.
De toewijzing van geschikte en gekwalificeerde beoordelaars vormt een kritieke configuratiestap die directe invloed heeft op de kwaliteit en effectiviteit van de beoordeling. Het systeem ondersteunt de toewijzing van meerdere beoordelaars per beoordeling, waarbij wordt sterk aanbevolen om zowel de directe manager van de gebruiker als leden van het beveiligingsteam aan te wijzen om een evenwichtige en grondige evaluatie te garanderen. De manager beschikt over de contextuele kennis en inzicht in de dagelijkse werkzaamheden van de gebruiker om te beoordelen of de gebruiker nog steeds beheerdersrechten nodig heeft voor hun huidige functie en verantwoordelijkheden, terwijl het beveiligingsteam de beveiligingsrisico's, compliance-aspecten en algemene beveiligingspostuur kan evalueren vanuit een meer objectief en risicogebaseerd perspectief. Deze combinatie zorgt voor een evenwichtige en holistische beoordeling die zowel zakelijke behoeften als beveiligingsvereisten in overweging neemt. Het systeem ondersteunt ook de mogelijkheid om beoordelaars toe te wijzen op basis van rollen of groepen, wat handig is voor grotere organisaties waar individuele toewijzingen onpraktisch zouden zijn.
Het instellen van de herhaling en frequentie van de beoordeling is essentieel voor het waarborgen van continue beveiliging en het voorkomen van opkruipen van bevoegdheden over tijd. Driemaandelijkse herhaling wordt algemeen aanbevolen als optimale balans tussen beveiligingsniveau en administratieve belasting, waarbij deze frequentie voldoende is om beveiligingsrisico's effectief te mitigeren zonder dat het proces te belastend wordt voor beoordelaars en beveiligingsteams. Het systeem kan automatisch nieuwe beoordelingsrondes starten op basis van het ingestelde schema, waardoor het proces volledig geautomatiseerd en voorspelbaar wordt zonder dat handmatige interventie vereist is. Deze automatisering vermindert niet alleen de kans dat beoordelingen worden vergeten of uitgesteld, maar zorgt ook voor consistentie tussen verschillende beoordelingscycli en maakt het mogelijk om het proces te schalen naar grote aantallen gebruikers en rollen. Organisaties kunnen ook kiezen voor eenmalige beoordelingen voor specifieke scenario's, zoals na een grote organisatorische herstructurering of bij het implementeren van een nieuw toegangsbeheerbeleid.
De automatische toepassing van beoordelingsresultaten is een belangrijke beveiligingsfunctie die ervoor zorgt dat toegangsbeslissingen direct en zonder vertraging worden geïmplementeerd zodra beoordelaars hun beslissingen hebben genomen. Door de optie voor automatische toepassing te activeren met de instelling om toegang te verwijderen bij weigering, worden gebruikers wier toegang wordt geweigerd automatisch verwijderd uit de bevoorrechte rollen zodra de beoordeling is voltooid en alle beoordelaars hun beslissingen hebben genomen. Dit elimineert volledig de noodzaak voor handmatige interventie en zorgt ervoor dat geweigerde toegang onmiddellijk wordt ingetrokken, wat het beveiligingsrisico aanzienlijk minimaliseert en voorkomt dat gebruikers met onnodige bevoorrechte toegang langer dan nodig toegang behouden. De automatische toepassing voorkomt ook dat geweigerde toegang per ongeluk blijft bestaan door menselijke fouten, vergetelheid of administratieve vertragingen, wat een kritiek beveiligingsrisico zou kunnen vormen. Voor organisaties die meer controle willen behouden, kan ook worden gekozen voor handmatige toepassing, waarbij beveiligingsteams de beslissingen van beoordelaars eerst kunnen controleren voordat toegang wordt ingetrokken.
Het configureren van herinneringsberichten en notificaties is belangrijk om ervoor te zorgen dat beoordelaars hun taken tijdig voltooien en dat het beoordelingsproces binnen de gestelde termijnen wordt afgerond. Het systeem kan automatisch e-mailherinneringen versturen naar beoordelaars, waarbij wordt sterk aanbevolen om deze één week voor de vervaldatum te verzenden om beoordelaars voldoende tijd te geven om de beoordeling zorgvuldig uit te voeren zonder dat het proces wordt uitgesteld. Aanvullende herinneringen kunnen worden geconfigureerd voor beoordelaars die nog niet hebben gereageerd, waarbij organisaties kunnen kiezen voor dagelijkse of wekelijkse herinneringen totdat de beoordeling is voltooid. Deze herinneringen kunnen worden aangepast met organisatiespecifieke instructies en context, wat helpt om beoordelaars te informeren over het belang van tijdige voltooiing en de impact van vertragingen op de beveiligingspostuur van de organisatie. Het systeem biedt ook de mogelijkheid om escalatiepaden te configureren, waarbij beveiligingsteams of management worden geïnformeerd wanneer beoordelingen dreigen te verlopen zonder voltooiing.
Na het voltooien van de configuratie wordt de beoordeling gestart en begint de actieve beoordelingsperiode, waarin beoordelaars worden uitgenodigd om hun evaluaties uit te voeren. Gedurende deze periode is het van cruciaal belang om de voortgang actief te monitoren en ervoor te zorgen dat alle beoordelaars hun taken tijdig voltooien, waarbij proactieve interventie kan worden toegepast wanneer beoordelaars niet reageren of wanneer vertragingen worden geïdentificeerd. Het systeem biedt uitgebreide dashboards en rapporten die real-time inzicht geven in de voortgang van de beoordeling, inclusief welke gebruikers nog moeten worden beoordeeld, welke beoordelingen zijn voltooid, welke beoordelaars nog moeten reageren, en hoeveel tijd er nog rest tot de vervaldatum. Deze dashboards kunnen worden gebruikt om trends te identificeren, zoals of bepaalde beoordelaars consistent vertragingen hebben of of bepaalde rollen vaker worden geweigerd dan andere. Actieve monitoring helpt om vertragingen te voorkomen en zorgt ervoor dat het proces binnen de gestelde termijnen wordt afgerond, wat essentieel is voor het handhaven van een effectief toegangsbeheerbeleid en het voldoen aan compliance-vereisten.
Na voltooiing van de beoordeling is grondige follow-up essentieel voor gebruikers wier toegang is geweigerd, waarbij organisaties moeten onderzoeken en documenteren waarom toegang niet langer nodig is. Dit omvat het analyseren van de redenen voor de weigering, zoals of de gebruiker wordt uitgefaseerd of met pensioen gaat, een functiewijziging heeft ondergaan waarbij beheerdersrechten niet langer nodig zijn, of dat er andere organisatorische veranderingen zijn die de weigering rechtvaardigen. Deze follow-up helpt organisaties om te begrijpen waarom toegang niet langer nodig is en kan waardevolle inzichten opleveren voor toekomstige beoordelingen en toegangsbeheerprocessen, waarbij patronen kunnen worden geïdentificeerd die helpen om het beoordelingsproces te verbeteren. Bovendien moet follow-up worden uitgevoerd voor gebruikers wier toegang is goedgekeurd om te verifiëren dat zij daadwerkelijk gebruik maken van hun bevoorrechte toegang en dat deze toegang nog steeds gerechtvaardigd is. Deze informatie kan worden gebruikt om toekomstige beoordelingen te informeren en om te identificeren wanneer gebruikers mogelijk toegang hebben die zij niet gebruiken, wat kan wijzen op onnodige bevoorrechte toegang die kan worden ingetrokken.
Compliance en Auditing
Periodieke toegangsbeoordelingen voor bevoorrechte rollen vormen een fundamentele en onmisbare vereiste binnen meerdere belangrijke beveiligings- en compliance-frameworks die wereldwijd worden erkend en toegepast. De CIS Azure Benchmark versie 3.0.0 specificeert in controle 1.22 expliciet dat bevoorrechte rollen regelmatig en systematisch moeten worden beoordeeld om te waarborgen dat alleen geautoriseerde gebruikers toegang behouden tot kritieke systemen en gegevens. Deze controle valt onder het niveau L1, wat betekent dat deze als basisbeveiligingsmaatregel wordt beschouwd en door alle organisaties moet worden geïmplementeerd, ongeacht hun grootte, complexiteit of industrie. De CIS Benchmark biedt uitgebreide en specifieke richtlijnen voor de frequentie, methodologie en documentatie van deze beoordelingen, waarbij wordt benadrukt dat het proces gestructureerd, volledig gedocumenteerd en herhaalbaar moet zijn om effectief te zijn. Organisaties die voldoen aan de CIS Azure Benchmark-vereisten kunnen aantonen dat zij passende maatregelen hebben genomen om bevoorrechte toegang te beheren en te controleren, wat essentieel is voor het handhaven van een sterke beveiligingspostuur en het voldoen aan industrie-standaarden.
Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid (BIO) van bijzonder en kritiek belang, aangezien deze baseline specifiek is ontwikkeld voor de Nederlandse publieke sector en verplicht is voor alle overheidsorganisaties. BIO-controle 09.02 vereist expliciet en zonder uitzondering dat toegangsrechten periodiek en systematisch worden beoordeeld om te waarborgen dat gebruikers alleen toegang hebben tot systemen en gegevens die zij daadwerkelijk nodig hebben voor het uitvoeren van hun werkzaamheden. Deze controle maakt een integraal onderdeel uit van het toegangsbeheerproces en is gericht op het voorkomen van opkruipen van bevoegdheden, het handhaven van het principe van minimale bevoegdheden, en het waarborgen dat toegangsrechten actueel en gerechtvaardigd blijven. De BIO benadrukt sterk het belang van volledig gedocumenteerde beoordelingsprocessen waarbij alle beslissingen, rechtvaardigingen en acties worden vastgelegd voor audit- en compliance-doeleinden. Organisaties die niet voldoen aan BIO-vereisten kunnen worden geconfronteerd met kritiek tijdens audits en kunnen moeite hebben om te demonstreren dat zij passende maatregelen hebben genomen om hun systemen en gegevens te beschermen, wat kan leiden tot reputatieschade en mogelijke gevolgen voor de continuïteit van dienstverlening.
De internationale standaard ISO 27001:2022, die wereldwijd wordt erkend als de leidende standaard voor informatiebeveiligingsmanagementsystemen, bevat in controle A.5.18 specifieke en gedetailleerde vereisten voor de beoordeling van gebruikers toegangsrechten. Deze controle vereist dat organisaties regelmatig en systematisch de toegangsrechten van alle gebruikers beoordelen en onnodige of ongebruikte toegang onmiddellijk intrekken om te voorkomen dat deze toegang wordt misbruikt of onopgemerkt blijft bestaan. De standaard benadrukt sterk het belang van een volledig gestructureerd en gedocumenteerd proces waarbij toegangsrechten worden geëvalueerd op basis van de huidige functie, verantwoordelijkheden en werkzaamheden van de gebruiker, en waarbij alle wijzigingen worden gedocumenteerd, geautoriseerd en gecontroleerd. Implementatie van periodieke toegangsbeoordelingen helpt organisaties niet alleen te voldoen aan deze ISO-vereisten, maar draagt ook aanzienlijk bij aan het behalen en behouden van ISO 27001-certificering, wat essentieel is voor organisaties die willen aantonen dat zij een volwassen en effectief informatiebeveiligingsmanagementsysteem hebben geïmplementeerd. Tijdens ISO 27001-audits zullen auditors specifiek controleren of organisaties periodieke toegangsbeoordelingen uitvoeren en of deze beoordelingen effectief zijn in het identificeren en intrekken van onnodige toegang.
De Europese NIS2-richtlijn, die is geïmplementeerd in Nederlandse wetgeving en van kracht is geworden voor essentiële en belangrijke entiteiten, bevat in Artikel 21 specifieke en bindende vereisten voor toegangsbeheer en toegangsbeoordeling. Deze richtlijn is van toepassing op een breed scala aan organisaties die als essentieel of belangrijk worden beschouwd, inclusief organisaties in sectoren zoals energie, transport, bankwezen, gezondheidszorg, en digitale infrastructuur. De richtlijn vereist expliciet dat deze organisaties passende en effectieve maatregelen treffen voor toegangsbeheer, inclusief regelmatige en systematische beoordeling van toegangsrechten om te waarborgen dat alleen geautoriseerde personen toegang hebben tot kritieke systemen en gegevens. Voor Nederlandse organisaties die onder de reikwijdte van NIS2 vallen, is het implementeren van periodieke toegangsbeoordelingen niet alleen een best practice of aanbeveling, maar een wettelijke verplichting die moet worden nageleefd. Niet-naleving van NIS2-vereisten kan leiden tot aanzienlijke financiële boetes, die kunnen oplopen tot miljoenen euro's, evenals ernstige reputatieschade en mogelijke gevolgen voor de continuïteit van bedrijfsvoering. Nederlandse toezichthouders, zoals de Autoriteit Persoonsgegevens en sectorale toezichthouders, hebben de bevoegdheid om organisaties te controleren op naleving van NIS2-vereisten en kunnen boetes opleggen wanneer organisaties niet voldoen aan de vereisten.
Voor organisaties die onder de Sarbanes-Oxley Act (SOX) vallen, met name beursgenoteerde bedrijven en organisaties die financiële rapportage uitvoeren, zijn periodieke toegangsbeoordelingen eveneens een kritieke en verplichte vereiste die niet mag worden genegeerd. SOX vereist dat organisaties uitgebreide interne controles implementeren voor financiële rapportage, waarbij toegangsbeheer een essentieel en onmisbaar onderdeel vormt van deze controles. Regelmatige en grondige beoordeling van bevoorrechte toegang, met name voor rollen die toegang hebben tot financiële systemen, gegevens en processen, is absoluut noodzakelijk om te voldoen aan SOX-vereisten en om te demonstreren dat organisaties passende maatregelen hebben genomen om financiële gegevens te beschermen tegen onbevoegde toegang of wijziging. Deze beoordelingen moeten volledig worden gedocumenteerd met gedetailleerde records van alle beslissingen, acties en rechtvaardigingen, en moeten een integraal onderdeel uitmaken van de jaarlijkse SOX-auditprocessen, waarbij externe auditors de effectiviteit en adequaatheid van de toegangsbeheercontroles grondig evalueren. Organisaties die niet kunnen aantonen dat zij effectieve toegangsbeoordelingen uitvoeren kunnen worden geconfronteerd met kritiek tijdens SOX-audits en kunnen moeite hebben om te demonstreren dat zij voldoen aan de vereisten voor interne controles, wat kan leiden tot reputatieschade en mogelijke gevolgen voor de beursnotering.
Naast deze specifieke framework-vereisten dragen periodieke toegangsbeoordelingen aanzienlijk bij aan algemene governance-, risicobeheer- en compliance-doelstellingen die essentieel zijn voor moderne organisaties. Door regelmatig en systematisch te controleren wie toegang heeft tot kritieke systemen en gegevens, kunnen organisaties proactief beveiligingsrisico's identificeren en mitigeren voordat deze escaleren tot daadwerkelijke beveiligingsincidenten die kunnen leiden tot datalekken, systeemcompromittering of andere ernstige gevolgen. Dit proces vormt een essentieel en onmisbaar onderdeel van een volwassen en effectief beveiligingsprogramma en helpt organisaties te demonstreren aan stakeholders, auditors, en regelgevers dat zij passende en effectieve maatregelen treffen om hun systemen en gegevens te beschermen tegen onbevoegde toegang en misbruik. Bovendien helpen periodieke toegangsbeoordelingen organisaties om te voldoen aan algemene governance-principes zoals transparantie, verantwoordelijkheid en controle, wat essentieel is voor het handhaven van vertrouwen van stakeholders en het waarborgen van de integriteit van organisatorische processen en systemen.
Monitoring
Gebruik PowerShell-script privileged-roles-reviewed.ps1 (functie Invoke-Monitoring) – Controleren.
Effectieve en continue monitoring van periodieke toegangsbeoordelingen vereist een gestructureerde en uitgebreide aanpak die zowel technische als organisatorische aspecten omvat om te waarborgen dat het beoordelingsproces optimaal functioneert en zijn beoogde doelen bereikt. Technische monitoring richt zich primair op het real-time volgen van de status en voortgang van beoordelingsprocessen, het identificeren van onvoltooide of vertraagde beoordelingen, en het waarborgen dat alle beoordelaars hun taken tijdig en volledig voltooien. Dit omvat het continu monitoren van uitgebreide beoordelingsstatistieken zoals het percentage voltooide beoordelingen, het aantal gebruikers dat is goedgekeurd of geweigerd, de gemiddelde tijd die nodig is om een beoordeling te voltooien, en het aantal beoordelaars dat nog moet reageren. Daarnaast omvat technische monitoring het volgen van systeemgebeurtenissen zoals automatische toepassing van beoordelingsresultaten, het verzenden van herinneringsberichten, en het genereren van rapporten, waarbij eventuele fouten of problemen onmiddellijk worden geïdentificeerd en aangepakt.
Organisatorische monitoring richt zich op het evalueren en analyseren van de effectiviteit en kwaliteit van het beoordelingsproces zelf, waarbij wordt gekeken naar trends, patronen en resultaten over meerdere beoordelingscycli om te begrijpen of het proces zijn beoogde doelstellingen bereikt. Dit omvat het grondig analyseren van trends in toegangsbeoordelingen, zoals of bepaalde rollen consistent vaker worden geweigerd dan andere rollen, wat kan wijzen op problemen met roldefinities of onnodig brede roltoewijzingen. Het omvat ook het identificeren van patronen in de redenen voor weigering, zoals of gebruikers vaak worden geweigerd vanwege functiewijzigingen, projecteinde, of andere organisatorische veranderingen, wat kan helpen om het beoordelingsproces te verbeteren en proactief te reageren op organisatorische veranderingen. Bovendien omvat organisatorische monitoring het evalueren of het beoordelingsproces daadwerkelijk leidt tot een vermindering van het aantal bevoorrechte accounts over tijd, wat het primaire doel is van het proces. Deze analyses helpen organisaties te begrijpen of het beoordelingsproces effectief is en waar specifieke verbeteringen mogelijk zijn om de effectiviteit verder te verhogen.
Uitgebreide en regelmatige rapportage vormt een essentieel en onmisbaar onderdeel van de monitoringactiviteiten en biedt waardevol inzicht in de effectiviteit, gezondheid en prestaties van het toegangsbeoordelingsproces voor verschillende belanghebbenden binnen de organisatie. Regelmatige en gestructureerde rapporten moeten worden gegenereerd voor verschillende belanghebbenden, waaronder beveiligingsteams die verantwoordelijk zijn voor de dagelijkse uitvoering van het proces, compliance-officers die moeten aantonen dat de organisatie voldoet aan regelgevingsvereisten, en het management dat strategische beslissingen moet nemen over het beveiligingsprogramma. Deze rapporten moeten uitgebreide en gedetailleerde informatie bevatten over de status van lopende beoordelingen, inclusief welke beoordelingen momenteel actief zijn, welke beoordelaars nog moeten reageren en waarom, hoeveel tijd er nog rest tot de vervaldatum, en welke beoordelingen dreigen te verlopen zonder voltooiing. Daarnaast moeten rapporten uitgebreide resultaten van voltooide beoordelingen bevatten, zoals het exacte aantal gebruikers dat is goedgekeurd of geweigerd, gedetailleerde trends in toegangsbeheer over meerdere beoordelingscycli, en eventuele afwijkingen, zorgen of risico's die aandacht vereisen van beveiligingsteams of management. De rapportage moet zorgvuldig worden aangepast aan de specifieke behoeften en informatievereisten van elke belanghebbende groep, waarbij technische details en operationele informatie worden gebalanceerd met bestuurlijke samenvattingen en executive summaries die de belangrijkste bevindingen, trends en aanbevelingen duidelijk en beknopt presenteren.
Automatische waarschuwingen en proactieve meldingen kunnen en moeten worden geconfigureerd om tijdig en effectief te reageren op problemen en afwijkingen in het beoordelingsproces voordat deze escaleren tot serieuze beveiligings- of compliance-problemen die kunnen leiden tot datalekken, systeemcompromittering of regelgevingsovertredingen. Dit omvat uitgebreide waarschuwingen voor beoordelingen die dreigen te verlopen zonder voltooiing, wat kan gebeuren wanneer beoordelaars niet tijdig reageren op uitnodigingen, wanneer er onvoldoende beoordelaars zijn toegewezen aan een beoordeling, of wanneer beoordelaars niet beschikbaar zijn vanwege vakantie of ziekte. Meldingen moeten ook worden geconfigureerd voor situaties waarin een ongebruikelijk hoog aantal gebruikers wordt geweigerd tijdens een beoordeling, wat kan wijzen op een probleem met het beoordelingsproces zelf, zoals onduidelijke criteria of onvoldoende training van beoordelaars, of op een bredere organisatorische verandering zoals een grote herstructurering die aandacht vereist. Daarnaast moeten waarschuwingen worden ingesteld voor beoordelingen die niet binnen de gestelde termijnen worden voltooid, wat kan leiden tot verlengde beveiligingsrisico's wanneer gebruikers met onnodige toegang langer dan bedoeld toegang behouden, wat het beveiligingsrisico aanzienlijk verhoogt. Deze automatisering helpt om problemen vroegtijdig te identificeren en corrigerende maatregelen te nemen voordat deze escaleren tot beveiligingsincidenten of compliance-overtredingen. Het configureren van duidelijke en gestructureerde escalatiepaden voor waarschuwingen zorgt ervoor dat kritieke problemen de juiste en tijdige aandacht krijgen van beveiligingsteams en management, waarbij wordt gedefinieerd wie wordt geïnformeerd bij verschillende niveaus van urgentie en welke acties moeten worden ondernomen.
Het meten en evalueren van de effectiviteit en prestaties van het beoordelingsproces is een belangrijk en continu aspect van procesverbetering en kwaliteitsmanagement dat essentieel is voor het waarborgen dat het proces optimaal functioneert en zijn beoogde doelstellingen bereikt. Organisaties moeten regelmatig en systematisch evalueren of het beoordelingsproces zijn beoogde doelstellingen bereikt, zoals het verminderen van het aantal onnodige bevoorrechte accounts, het verbeteren van de algehele beveiligingspostuur van de organisatie, het voldoen aan compliance-vereisten van verschillende frameworks, en het handhaven van het principe van minimale bevoegdheden. Dit omvat het grondig analyseren van historische gegevens en trends om patronen te identificeren, het vergelijken van resultaten tussen verschillende beoordelingscycli om te begrijpen of het proces verbetert of verslechtert, en het verzamelen van uitgebreide feedback van beoordelaars, gebruikers en andere belanghebbenden om te begrijpen hoe het proces wordt ervaren en waar verbeteringen mogelijk zijn. Op basis van deze evaluaties en analyses kunnen organisaties het proces verfijnen en optimaliseren, bijvoorbeeld door de frequentie van beoordelingen aan te passen op basis van risicoprofiel en organisatorische behoeften, de selectie en training van beoordelaars te optimaliseren om de kwaliteit van beoordelingen te verbeteren, of de configuratie-instellingen en criteria te verbeteren om betere en meer consistente resultaten te behalen die beter aansluiten bij de beveiligings- en compliance-doelstellingen van de organisatie.
Remediatie
Gebruik PowerShell-script privileged-roles-reviewed.ps1 (functie Invoke-Remediation) – Herstellen.
Remediatie van toegangsbeoordelingsresultaten omvat het daadwerkelijk en volledig intrekken van toegang voor gebruikers wier toegang is geweigerd tijdens de beoordeling, waarbij dit proces zorgvuldig moet worden uitgevoerd om te waarborgen dat toegang volledig en permanent wordt verwijderd zonder dat resterende toegang blijft bestaan via andere mechanismen of rollen. In geautomatiseerde systemen die gebruik maken van Azure AD Access Reviews kan dit proces volledig geautomatiseerd worden, waarbij toegang automatisch en onmiddellijk wordt ingetrokken zodra een beoordeling is voltooid en alle beoordelaars hebben besloten dat de toegang moet worden geweigerd. Dit elimineert volledig de noodzaak voor handmatige interventie en zorgt ervoor dat geweigerde toegang onmiddellijk en zonder vertraging wordt ingetrokken, wat het beveiligingsrisico aanzienlijk minimaliseert en voorkomt dat gebruikers met onnodige bevoorrechte toegang langer dan nodig toegang behouden. De automatisering zorgt ook voor consistentie en reproduceerbaarheid, waarbij elke geweigerde toegang op dezelfde manier wordt afgehandeld zonder dat menselijke fouten of vergetelheid kunnen leiden tot situaties waarin toegang per ongeluk blijft bestaan.
Voor organisaties die handmatige processen gebruiken omdat zij geen toegang hebben tot Azure AD Premium P2-licenties of omdat zij meer controle willen behouden over het remediatieproces, moet een duidelijk gedefinieerd, gedocumenteerd en gestructureerd remediatieproces worden gevolgd dat alle aspecten van het intrekken van toegang omvat. Dit proces moet in detail specificeren wie verantwoordelijk is voor het intrekken van toegang, zoals beveiligingsteams of IT-beheerders, binnen welke termijn dit moet gebeuren, zoals binnen 24 of 48 uur na de beoordelingsbeslissing, en hoe dit wordt gedocumenteerd voor audit- en compliance-doeleinden. Het proces moet ook uitgebreide verificatiestappen omvatten om te bevestigen dat toegang daadwerkelijk en volledig is ingetrokken, dat er geen resterende toegang bestaat via andere rollen, groepen of mechanismen, en dat alle gerelateerde toegang ook is verwijderd, zoals toegang tot specifieke applicaties of resources die afhankelijk zijn van de bevoorrechte rol. Deze verificatiestappen moeten worden uitgevoerd door onafhankelijke personen die niet betrokken waren bij het intrekken van toegang om te waarborgen dat de verificatie objectief en grondig is.
Professionele en tijdige communicatie met betrokken gebruikers is een belangrijk en essentieel aspect van het remediatieproces dat niet mag worden onderschat, aangezien dit directe invloed heeft op de gebruikerservaring en de acceptatie van het beoordelingsproces binnen de organisatie. Gebruikers moeten tijdig en duidelijk worden geïnformeerd over beslissingen met betrekking tot hun toegang, inclusief de specifieke redenen voor weigering, zoals dat hun functie is veranderd, dat het project is afgerond, of dat de toegang niet langer nodig is voor hun werkzaamheden. De communicatie moet ook informatie bevatten over eventuele alternatieve toegangsmethoden die beschikbaar zijn indien de gebruiker nog steeds beperkte toegang nodig heeft voor specifieke taken, zoals tijdelijke toegang via Privileged Identity Management of via een goedkeuringsproces voor specifieke acties. Deze communicatie moet professioneel, respectvol en empathisch zijn, waarbij wordt erkend dat het intrekken van toegang impact kan hebben op de werkzaamheden van de gebruiker, en moet gebruikers de mogelijkheid bieden om vragen te stellen, opheldering te vragen, of bezwaar aan te tekenen indien zij van mening zijn dat de beslissing onjuist is of indien er nieuwe informatie beschikbaar is die de beslissing kan beïnvloeden.
In sommige gevallen kan het nodig en gerechtvaardigd zijn om uitzonderingen te maken voor legitieme zakelijke gevallen waarbij gebruikers tijdelijk bevoorrechte toegang nodig hebben voor specifieke projecten, overgangsperioden, of andere zakelijke behoeften. Dit kan bijvoorbeeld het geval zijn wanneer een gebruiker tijdelijk beheerdersrechten nodig heeft voor een specifiek project met een duidelijke einddatum, wanneer er een overgangsperiode is tussen functiewijzigingen waarbij de gebruiker tijdelijk beide rollen moet kunnen uitvoeren, of wanneer er een kritieke zakelijke behoefte is die niet kan worden opgelost met alternatieve toegangsmethoden. In dergelijke gevallen moet een formele en gestructureerde goedkeuringsprocedure worden gevolgd, waarbij de uitzondering volledig wordt gedocumenteerd met een duidelijke zakelijke rechtvaardiging, een specifieke en bindende vervaldatum wordt vastgesteld waarop de uitzondering automatisch verloopt, en regelmatige herbeoordeling wordt gepland om te evalueren of de uitzondering nog steeds gerechtvaardigd is. Deze uitzonderingen moeten worden beheerd als tijdelijke en uitzonderlijke maatregelen en niet als permanente oplossingen, waarbij regelmatige evaluatie wordt uitgevoerd om te bepalen of de uitzondering kan worden ingetrokken of moet worden verlengd met een nieuwe goedkeuring. Het aantal uitzonderingen moet worden gemonitord en beperkt om te voorkomen dat uitzonderingen de regel worden en het beoordelingsproces ondermijnen.
Grondige verificatie en validatie van remediatieacties zijn essentieel en onmisbaar om te waarborgen dat het proces effectief is en dat toegang daadwerkelijk en volledig is ingetrokken zonder dat resterende toegang blijft bestaan. Dit omvat uitgebreide controles om te verifiëren dat toegang daadwerkelijk is ingetrokken uit de beoordeelde rollen, dat er geen resterende toegang bestaat via andere rollen, groepen, of mechanismen zoals directe roltoewijzingen of geneste groepen, en dat alle gerelateerde toegang ook is verwijderd, zoals toegang tot specifieke applicaties, resources, of systemen die afhankelijk zijn van de bevoorrechte rol. Bovendien moet de remediatie volledig worden gedocumenteerd voor audit- en compliance-doeleinden, waarbij alle acties, beslissingen, en verificaties worden vastgelegd in een auditlogboek dat kan worden gebruikt om aan te tonen dat organisaties passende maatregelen hebben genomen om toegangsrisico's te mitigeren. Regelmatige en systematische audits van remediatieacties helpen om te identificeren waar het proces kan worden verbeterd, zoals door het identificeren van patronen waarin toegang niet volledig wordt ingetrokken of waarin resterende toegang blijft bestaan, en zorgen ervoor dat organisaties kunnen aantonen aan auditors, regelgevers, en stakeholders dat zij effectieve en grondige remediatieprocessen hebben geïmplementeerd die daadwerkelijk toegangsrisico's verminderen en de beveiligingspostuur van de organisatie verbeteren.
Compliance & Frameworks
- CIS M365: Control 1.22 (L1) - Zorg ervoor dat bevoorrechte rollen regelmatig worden beoordeeld
- BIO: 09.02 - BIO: Periodieke beoordeling van toegangsrechten
- ISO 27001:2022: A.5.18 - Beoordeling van gebruikers toegangsrechten
- NIS2: Artikel - Vereisten voor toegangsbeoordeling
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Privileged Roles Reviewed
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 1.43
Controleert dat privileged roles regelmatig worden gereviewed.
.NOTES
Filename: privileged-roles-reviewed.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 1.43
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Privileged Roles Reviewed"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer Access Reviews:" -ForegroundColor Gray
Write-Host " - Recurring access reviews voor admin roles" -ForegroundColor Gray
Write-Host " - Review frequency: quarterly" -ForegroundColor Gray
Write-Host " - Self-review niet toegestaan" -ForegroundColor Gray
Write-Host " - Auto-remove inactive assignments" -ForegroundColor Gray
Write-Host " - Vereist Azure AD P2 licentie" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Privileged role reviews" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer Access Reviews:" -ForegroundColor Gray
Write-Host " - Recurring access reviews voor admin roles" -ForegroundColor Gray
Write-Host " - Review frequency: quarterly" -ForegroundColor Gray
Write-Host " - Self-review niet toegestaan" -ForegroundColor Gray
Write-Host " - Auto-remove inactive assignments" -ForegroundColor Gray
Write-Host " - Vereist Azure AD P2 licentie" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Privileged role reviews" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Opkruipen van bevoegdheden: gebruikers verzamelen beheerdersrollen zonder verwijdering. Overmatig aantal bevoorrechte accounts betekent een groter aanvalsoppervlak. Voormalige werknemers behouden beheerders toegang. Compliance: CIS 1.22, BIO 9.02, ISO 27001 A.5.18, SOX. Het risico is medium - toegangsbeheer.
Management Samenvatting
Bevoorrechte Rolbeoordelingen: Driemaandelijkse toegangsbeoordelingen voor directoryrollen (Globale beheerder, Beveiligingsbeheerder, enz.), Beoordelaars verifiëren voortdurende zakelijke behoefte, Automatisch verwijderen van geweigerde toegang. Vereist: Azure AD P2 (Access Reviews). Activatie: Access Reviews → Bevoorrechte rollen beoordeling. Verplicht CIS 1.22, BIO 9.02, ISO 27001, SOX. Implementatie: 3-4 uur setup + driemaandelijks 2 uur beoordeling.
- Implementatietijd: 8 uur
- FTE required: 0.05 FTE