💼 Management Samenvatting
Abonnementsoverdrachten tussen tenants moeten worden beperkt om onbevoegde resource-overdrachten te voorkomen.
Aanbeveling
OVERWEEG OVERDRACHTSBEPERKINGEN
Risico zonder
Medium
Risk Score
5/10
Implementatie
3u (tech: 1u)
Van toepassing op:
✓ Azure
Zonder deze beveiligingsmaatregel kunnen er aanzienlijke beveiligingsrisico's ontstaan die leiden tot gegevenscompromittering, nalevingsschendingen en reputatieschade voor de organisatie.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts
Connection:
Connect-AzAccountRequired Modules: Az.Accounts
Implementatie
Deze maatregel implementeert beveiligingsbest practices via Azure Policy, ARM-sjablonen of Microsoft Intune om cloudresources en eindpunten te beschermen volgens actuele nalevingskaders.
Vereisten
Voor het implementeren van beperkingen op abonnementsoverdrachten tussen tenants zijn specifieke Azure-omgevingen en beheermogelijkheden vereist. Organisaties moeten beschikken over een goed gestructureerde Azure-hiërarchie met managementgroepen om effectieve governance te kunnen toepassen. Managementgroepen vormen de basis voor het organiseren van abonnementen en het toepassen van beleid op schaal. Zonder een juiste hiërarchie van managementgroepen is het niet mogelijk om consistente beveiligingsmaatregelen toe te passen op alle abonnementen binnen de organisatie. Azure Policy is het primaire mechanisme voor het implementeren van overdrachtsbeperkingen. Deze service stelt organisaties in staat om beleidsregels te definiëren die automatisch worden toegepast op alle abonnementen binnen het bereik van een managementgroep. Voor het configureren van overdrachtsbeperkingen is minimaal Contributor-rechten vereist op het niveau van de managementgroep waar het beleid wordt toegepast. Daarnaast is het essentieel dat organisaties beschikken over een duidelijk gedefinieerd goedkeuringsproces voor uitzonderingen, aangezien legitieme bedrijfsgevallen kunnen ontstaan waarbij een overdracht tussen tenants noodzakelijk is. Technische vereisten omvatten ook toegang tot de Azure Portal of Azure CLI voor het configureren van beleidsregels, evenals de mogelijkheid om aangepaste beleidsdefinities te maken wanneer standaardbeleid niet voldoet aan de specifieke behoeften van de organisatie. Organisaties moeten bovendien beschikken over monitoring- en auditmogelijkheden om overdrachtspogingen te kunnen volgen en te rapporteren voor compliance-doeleinden.
Monitoring
Gebruik PowerShell-script subscription-tenant-transfer-restricted.ps1 (functie Invoke-Monitoring) – Controleren.
Effectieve monitoring van abonnementsoverdrachtsbeperkingen vereist een gestructureerde aanpak waarbij regelmatig wordt gecontroleerd of de geconfigureerde Azure Policy-regels daadwerkelijk actief zijn en correct functioneren. Het monitoringproces moet meerdere aspecten omvatten, waaronder de verificatie van beleidstoewijzingen, het controleren van beleidsnaleving per abonnement, en het analyseren van auditlogboeken voor overdrachtspogingen. De eerste stap in het monitoringproces is het verifiëren dat de Azure Policy-regels die abonnementsoverdrachten beperken daadwerkelijk zijn toegewezen aan de juiste managementgroepen of abonnementen. Dit kan worden gecontroleerd via de Azure Portal door te navigeren naar het Policy-gedeelte en de actieve toewijzingen te bekijken. Het is belangrijk om te verifiëren dat het beleid de status 'Ingeschakeld' heeft en dat het bereik correct is ingesteld. Daarnaast moeten organisaties controleren of er geen conflicterende beleidsregels zijn die de overdrachtsbeperkingen kunnen omzeilen. Nalevingscontroles moeten regelmatig worden uitgevoerd om te bevestigen dat alle abonnementen binnen het bereik van de managementgroep daadwerkelijk voldoen aan het beleid. Azure Policy biedt nalevingsrapporten die aangeven welke abonnementen voldoen aan het beleid en welke niet. Deze rapporten moeten maandelijks worden gecontroleerd door de security- of governance-teams. Eventuele niet-nalevende abonnementen moeten worden onderzocht om te bepalen of dit het gevolg is van een configuratiefout of een poging tot omzeiling van het beleid. Auditlogboekanalyse vormt een cruciaal onderdeel van de monitoringstrategie. Alle pogingen tot abonnementsoverdracht worden geregistreerd in Azure Activity Logs, en deze moeten regelmatig worden geanalyseerd op verdachte activiteiten. Organisaties moeten alert zijn op herhaalde overdrachtspogingen, vooral wanneer deze afkomstig zijn van accounts met beheerdersrechten. Automatische waarschuwingen kunnen worden geconfigureerd om security-teams te informeren wanneer er overdrachtspogingen worden gedetecteerd, waardoor snelle respons mogelijk is. Voor Nederlandse overheidsorganisaties is het belangrijk om monitoringgegevens te documenteren voor compliance-doeleinden, met name voor BIO- en ISO 27001-audits. Alle monitoringactiviteiten, inclusief de resultaten van nalevingscontroles en analyses van auditlogboeken, moeten worden vastgelegd in een gestructureerd format dat geschikt is voor externe audits. Dit omvat het bijhouden van wanneer controles zijn uitgevoerd, wie deze heeft uitgevoerd, en welke bevindingen zijn gedaan.
Implementatie
Gebruik PowerShell-script subscription-tenant-transfer-restricted.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van beperkingen op abonnementsoverdrachten tussen tenants begint met het definiëren van een Azure Policy-regel die overdrachten expliciet weigert. Dit beleid moet worden geconfigureerd om alle pogingen tot het wijzigen van de tenantdirectory van een abonnement te blokkeren, tenzij er een expliciete uitzondering is goedgekeurd via een gestructureerd goedkeuringsproces. De implementatie moet worden uitgevoerd op het niveau van de root managementgroep om ervoor te zorgen dat alle abonnementen binnen de organisatie worden beschermd, ongeacht hun positie in de hiërarchie. De eerste implementatiestap is het creëren van een aangepaste beleidsdefinitie die specifiek gericht is op het voorkomen van abonnementsoverdrachten. Deze definitie maakt gebruik van het deny-effect van Azure Policy om alle acties te blokkeren die gericht zijn op het wijzigen van de tenantdirectory van een abonnement. De beleidsdefinitie moet worden geschreven in JSON-formaat en moet gebruikmaken van de juiste resourceproviders en acties die betrekking hebben op abonnementsoverdrachten. Organisaties kunnen kiezen voor een standaard Microsoft-beleidsdefinitie indien beschikbaar, of een aangepaste definitie ontwikkelen die beter aansluit bij hun specifieke governancevereisten. Na het creëren van de beleidsdefinitie moet deze worden toegewezen aan de root managementgroep. Deze toewijzing zorgt ervoor dat het beleid automatisch wordt toegepast op alle onderliggende managementgroepen en abonnementen. Het is belangrijk om tijdens de toewijzing de juiste parameters in te stellen, waaronder de scope van het beleid en eventuele uitzonderingen die moeten worden toegepast. Organisaties moeten ook overwegen om het beleid eerst in auditmodus te plaatsen om te observeren welke impact het zou hebben voordat het daadwerkelijk wordt geactiveerd met een deny-effect. Een cruciaal aspect van de implementatie is het opzetten van een gestructureerd goedkeuringsproces voor uitzonderingen. Er zullen legitieme bedrijfsgevallen zijn waarbij een abonnementsoverdracht tussen tenants noodzakelijk is, bijvoorbeeld bij organisatorische herstructureringen of bij het overnemen van andere organisaties. Het goedkeuringsproces moet duidelijk definiëren wie bevoegd is om uitzonderingen goed te keuren, welke documentatie vereist is, en hoe uitzonderingen worden geregistreerd en gecontroleerd. Dit proces moet worden geïntegreerd met bestaande wijzigingsbeheer- en governanceprocessen binnen de organisatie. Voor Nederlandse overheidsorganisaties is het belangrijk om tijdens de implementatie rekening te houden met compliancevereisten vanuit het BIO-kader en ISO 27001. De implementatie moet worden gedocumenteerd in overeenstemming met deze standaarden, inclusief risicoanalyses, impactbeoordelingen en goedkeuringen van relevante stakeholders. Daarnaast moeten organisaties ervoor zorgen dat de implementatie niet conflicteert met bestaande governanceprocessen of andere beveiligingsmaatregelen die al zijn geïmplementeerd.
Compliance en Audit
Het beperken van abonnementsoverdrachten tussen tenants draagt direct bij aan het voldoen aan verschillende compliancevereisten die van toepassing zijn op Nederlandse overheidsorganisaties. Binnen het Baseline Informatiebeveiliging Overheid (BIO) kader valt deze maatregel onder controle 05.01, die betrekking heeft op governance en beheer van informatiebeveiliging. Deze controle vereist dat organisaties passende maatregelen treffen om te waarborgen dat informatiebeveiliging wordt beheerd volgens vastgestelde beleidskaders en procedures. De implementatie van overdrachtsbeperkingen helpt organisaties te voldoen aan BIO 05.01 door ervoor te zorgen dat er duidelijke governanceprocessen zijn voor het beheer van cloudresources. Door abonnementsoverdrachten te beperken en te vereisen dat deze via een gestructureerd goedkeuringsproces verlopen, kunnen organisaties aantonen dat zij effectieve controlemechanismen hebben geïmplementeerd voor het beheer van hun Azure-omgeving. Dit is met name belangrijk voor organisaties die gevoelige informatie verwerken, aangezien ongecontroleerde overdrachten kunnen leiden tot verlies van controle over gegevens en systemen. Binnen het ISO 27001-kader valt deze maatregel onder controle A.5.1, die betrekking heeft op beleidsgovernance voor informatiebeveiliging. Deze controle vereist dat organisaties informatiebeveiligingsbeleid vaststellen, implementeren, onderhouden en periodiek beoordelen. De implementatie van overdrachtsbeperkingen via Azure Policy vormt een concrete uitwerking van dergelijk beleid, waarbij technische controles worden gebruikt om te waarborgen dat het beleid daadwerkelijk wordt nageleefd. Voor auditdoeleinden moeten organisaties kunnen aantonen dat de overdrachtsbeperkingen daadwerkelijk actief zijn en effectief functioneren. Dit vereist het bijhouden van documentatie over de geconfigureerde Azure Policy-regels, inclusief wanneer deze zijn geïmplementeerd, wie deze heeft goedgekeurd, en hoe deze worden gemonitord. Auditlogboeken moeten worden bewaard voor de vereiste bewaartermijn, die voor Nederlandse overheidsorganisaties doorgaans zeven jaar bedraagt. Deze logboeken moeten alle overdrachtspogingen bevatten, inclusief geslaagde en geblokkeerde pogingen, evenals alle goedgekeurde uitzonderingen. Organisaties moeten regelmatig compliance-assessments uitvoeren om te verifiëren dat de geïmplementeerde maatregelen nog steeds effectief zijn en voldoen aan de actuele vereisten. Deze assessments moeten worden uitgevoerd door onafhankelijke auditors of interne auditafdelingen en moeten worden gedocumenteerd voor externe certificeringsdoeleinden. Eventuele bevindingen moeten worden geadresseerd via een gestructureerd verbeterproces dat ervoor zorgt dat de organisatie continu voldoet aan de relevante compliancevereisten.
Remediatie
Gebruik PowerShell-script subscription-tenant-transfer-restricted.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer monitoringactiviteiten aangeven dat abonnementsoverdrachtsbeperkingen niet correct zijn geconfigureerd of niet actief zijn, moeten organisaties onmiddellijk corrigerende maatregelen treffen om de beveiligingspostuur te herstellen. Het remediatieproces moet worden uitgevoerd volgens een gestructureerde aanpak die ervoor zorgt dat alle aspecten van de beveiligingsmaatregel correct worden geïmplementeerd en geconfigureerd. De eerste stap in het remediatieproces is het identificeren van de oorzaak van de niet-nalevende status. Dit kan verschillende oorzaken hebben, waaronder ontbrekende of onjuist geconfigureerde Azure Policy-toewijzingen, conflicterende beleidsregels die de overdrachtsbeperkingen omzeilen, of abonnementen die buiten het bereik van de managementgroep vallen waar het beleid is toegepast. Een grondige analyse van de Azure Policy-nalevingsrapporten en de configuratie van managementgroepen is essentieel om de exacte oorzaak te identificeren. Zodra de oorzaak is geïdentificeerd, moeten de benodigde corrigerende acties worden uitgevoerd. Als het beleid ontbreekt, moet deze worden gecreëerd en toegewezen aan de juiste managementgroepen. Als het beleid bestaat maar niet correct is geconfigureerd, moeten de parameters worden aangepast om ervoor te zorgen dat alle relevante abonnementen worden beschermd. In gevallen waarin conflicterende beleidsregels de overdrachtsbeperkingen omzeilen, moeten deze conflicten worden opgelost door de prioriteiten van beleidsregels aan te passen of door de conflicterende regels te verwijderen of te wijzigen. Na het uitvoeren van de corrigerende acties moet worden geverifieerd dat de remediatie succesvol is geweest. Dit vereist het opnieuw uitvoeren van nalevingscontroles om te bevestigen dat alle abonnementen nu voldoen aan het overdrachtsbeperkingsbeleid. Daarnaast moeten auditlogboeken worden gecontroleerd om te verifiëren dat er geen ongeautoriseerde overdrachten hebben plaatsgevonden tijdens de periode waarin de beveiligingsmaatregel niet actief was. Als er verdachte activiteiten worden gedetecteerd, moeten deze worden onderzocht en moeten aanvullende beveiligingsmaatregelen worden overwogen. Voor organisaties die al te maken hebben gehad met een succesvolle abonnementsoverdracht voordat de beperkingen waren geïmplementeerd, moet worden beoordeeld of deze overdracht legitiem was en of er aanvullende maatregelen nodig zijn. In sommige gevallen kan het nodig zijn om het overgedragen abonnement terug te halen naar de oorspronkelijke tenant, vooral als de overdracht niet via het juiste goedkeuringsproces is verlopen. Dit vereist coördinatie met Microsoft Support en kan complexe technische en organisatorische uitdagingen met zich meebrengen. Het is belangrijk om alle remediatieactiviteiten te documenteren voor audit- en compliance-doeleinden. Deze documentatie moet de geïdentificeerde problemen, de uitgevoerde corrigerende acties, en de verificatie van de succesvolle remediatie omvatten. Deze informatie is essentieel voor het aantonen aan auditors dat de organisatie proactief omgaat met beveiligingsrisico's en dat eventuele problemen snel en effectief worden opgelost.
Compliance & Frameworks
- BIO: 05.01 - Governance
- ISO 27001:2022: A.5.1 - Policy governance
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Subscription Tenant Transfer Restricted
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 1.54
Controleert dat subscription tenant transfers zijn beperkt.
.NOTES
Filename: subscription-tenant-transfer-restricted.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 1.54
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Subscription Tenant Transfer Restricted"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer subscription policies:" -ForegroundColor Gray
Write-Host " - Subscription transfer policy" -ForegroundColor Gray
Write-Host " - Alleen authorized users kunnen transfers doen" -ForegroundColor Gray
Write-Host " - Approval process voor subscription transfers" -ForegroundColor Gray
Write-Host " - Monitoring van transfer activiteiten" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Subscription transfer restrictions" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer subscription policies:" -ForegroundColor Gray
Write-Host " - Subscription transfer policy" -ForegroundColor Gray
Write-Host " - Alleen authorized users kunnen transfers doen" -ForegroundColor Gray
Write-Host " - Approval process voor subscription transfers" -ForegroundColor Gray
Write-Host " - Monitoring van transfer activiteiten" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Subscription transfer restrictions" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Onbevoegde abonnementsoverdrachten naar andere tenants zijn mogelijk, wat kan leiden tot gegevensexfiltratie. Kwaadwillende beheerders kunnen abonnementen overdragen zonder toestemming. Compliance: governance. Het risico is gemiddeld - misbruik van overdrachten.
Management Samenvatting
Abonnementsoverdrachten tussen tenants beperken: Azure Policy blokkeert abonnementsoverdrachten tussen tenants zonder goedkeuring. Voorkomt onbevoegde migraties. Activatie: Azure Policy → Weiger abonnementsdirectorywijzigingen. Gratis. Implementatie: 1-3 uur beleidsontwerp. Optionele governancecontrole voor enterprise.
- Implementatietijd: 3 uur
- FTE required: 0.02 FTE