💼 Management Samenvatting
Vertrouwde locaties vormen een essentieel onderdeel van een robuust voorwaardelijk toegangsbeleid binnen Microsoft Entra ID. Deze controle verifieert of organisaties vertrouwde locaties hebben gedefinieerd op basis van IP-adresbereiken, waardoor beveiligingsbeleid kan worden afgestemd op de geografische en netwerkcontext van gebruikers. Door vertrouwde locaties te configureren, kunnen organisaties de balans vinden tussen beveiliging en gebruikerservaring, waarbij authenticatievereisten worden aangepast op basis van de betrouwbaarheid van de netwerkomgeving.
Aanbeveling
IMPLEMENTEER - Vertrouwde locaties zijn essentieel voor een effectief voorwaardelijk toegangsbeleid
Risico zonder
Low
Risk Score
4/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Azure
✓ Azure AD
✓ Azure AD
Vertrouwde locaties bieden organisaties de mogelijkheid om hun beveiligingsstrategie te verfijnen door rekening te houden met de context van waar gebruikers zich bevinden. Wanneer gebruikers zich aanmelden vanaf bekende en beveiligde netwerklocaties, zoals het kantoor, kunnen organisaties de authenticatievereisten versoepelen zonder de algehele beveiliging te compromitteren. Dit vermindert de wrijving voor gebruikers die werken vanaf vertrouwde locaties, terwijl toegang vanaf onbekende of risicovolle locaties strengere controles kan vereisen. Bovendien stelt deze functionaliteit organisaties in staat om geografische toegangscontroles te implementeren, waarbij toegang kan worden geblokkeerd of beperkt op basis van landcodes. Voor Nederlandse overheidsorganisaties is dit met name relevant voor het naleven van gegevensbeschermingsvereisten en het beperken van toegang tot gevoelige systemen vanaf locaties buiten de Europese Economische Ruimte.
PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection:
Required Modules: Microsoft.Graph.Identity.SignIns
Connection:
Connect-MgGraphRequired Modules: Microsoft.Graph.Identity.SignIns
Implementatie
Deze controle omvat de definitie en configuratie van vertrouwde locaties binnen Microsoft Entra ID. Dit houdt in dat organisaties IP-adresbereiken moeten identificeren die als vertrouwd worden beschouwd, zoals de IP-adressen van kantoren, datacenters of andere beveiligde netwerklocaties. Deze IP-bereiken worden geconfigureerd als benoemde locaties en gemarkeerd als vertrouwd, waardoor ze kunnen worden gebruikt in voorwaardelijk toegangsbeleid. Daarnaast kunnen organisaties landcodes configureren voor het toestaan of blokkeren van toegang op basis van geografische locatie. Deze vertrouwde locaties worden vervolgens gebruikt als voorwaarden in voorwaardelijk toegangsbeleid, waardoor organisaties verschillende authenticatievereisten kunnen toepassen afhankelijk van of gebruikers zich bevinden op een vertrouwde locatie of niet.
Vereisten
Het succesvol implementeren van vertrouwde locaties binnen Microsoft Entra ID vereist een grondige voorbereiding en het voldoen aan verschillende technische en organisatorische vereisten. Deze vereisten vormen de fundamentele basis voor een effectieve configuratie die zowel de beveiliging waarborgt als een optimale gebruikerservaring biedt. Zonder adequate voorbereiding en planning kan de implementatie van vertrouwde locaties leiden tot beveiligingslekken, gebruikersproblemen of compliance-afwijkingen. Vanuit technisch perspectief vormt toegang tot de Microsoft Entra ID-omgeving met de juiste beheerdersrechten de eerste en meest kritische vereiste. Organisaties hebben minimaal de rol van Global Administrator of Conditional Access Administrator nodig om benoemde locaties te kunnen configureren en te markeren als vertrouwd. Deze beheerdersrechten zijn essentieel omdat het configureren van vertrouwde locaties directe invloed heeft op de toegangsbeslissingen die worden genomen voor alle gebruikers binnen de organisatie. Onjuiste configuratie kan leiden tot onbevoegde toegang of tot het blokkeren van legitieme gebruikers, wat beide significante beveiligings- en operationele risico's met zich meebrengt. Naast de beheerdersrechten is het essentieel dat organisaties beschikken over een volledig en accuraat overzicht van hun netwerkinfrastructuur. Dit omvat alle IP-adresbereiken die worden gebruikt door kantoren, datacenters, VPN-gateways, remote access servers en andere beveiligde netwerklocaties. Het verkrijgen van dit overzicht vereist vaak nauwe samenwerking met verschillende afdelingen binnen de organisatie, waaronder netwerkbeheer, IT-infrastructuur en facility management. Zonder een compleet overzicht bestaat het risico dat belangrijke netwerklocaties worden overgeslagen, wat kan leiden tot inconsistente toegangsbeslissingen en gebruikersfrustratie. Een van de meest kritische technische vereisten is het hebben van statische of ten minste voorspelbare IP-adresbereiken voor alle locaties die als vertrouwd moeten worden beschouwd. Dynamische IP-adressen die regelmatig of onvoorspelbaar wijzigen, zijn fundamenteel ongeschikt voor gebruik als vertrouwde locaties omdat dit de beveiliging ondermijnt en tot onverwachte toegangsproblemen kan leiden. Wanneer IP-adressen regelmatig wijzigen, moeten organisaties hun configuratie constant bijwerken, wat niet alleen operationeel onpraktisch is, maar ook het risico op menselijke fouten verhoogt. Bovendien kunnen wijzigende IP-adressen ertoe leiden dat gebruikers onverwacht worden geconfronteerd met strengere authenticatievereisten of zelfs worden geblokkeerd, wat de gebruikerservaring aanzienlijk verslechtert. Organisaties moeten daarom proactief werken met hun netwerkbeheerders en internet service providers om ervoor te zorgen dat kantoren en andere belangrijke locaties beschikken over statische IP-adresbereiken. In gevallen waar statische IP-adressen niet haalbaar of kosteneffectief zijn, moeten organisaties ten minste werken met voorspelbare IP-bereiken die kunnen worden geconfigureerd en gemonitord. Dit vereist vaak contractuele afspraken met service providers en kan aanvullende kosten met zich meebrengen, maar deze investering is essentieel voor een effectieve en veilige implementatie van vertrouwde locaties. Vanuit organisatorisch perspectief moeten organisaties een duidelijk en gedocumenteerd beleid ontwikkelen dat definieert welke locaties als vertrouwd worden beschouwd en onder welke specifieke omstandigheden. Dit beleid moet rekening houden met de verschillende risicoprofielen van verschillende locaties binnen de organisatie. Een hoofdkantoor met uitgebreide fysieke beveiligingsmaatregelen, beveiligde netwerkinfrastructuur en gecontroleerde toegang kan bijvoorbeeld als meer vertrouwd worden beschouwd dan een kleinere vestiging met beperkte beveiligingsmaatregelen. Evenzo kunnen datacenters met strikte toegangscontroles en monitoring als zeer vertrouwd worden beschouwd, terwijl remote offices of thuiswerkplekken mogelijk een lager vertrouwensniveau hebben. Het ontwikkelen van dit beleid vereist input van verschillende stakeholders binnen de organisatie, waaronder security teams, netwerkbeheer, compliance officers en business units. Het beleid moet niet alleen technische criteria bevatten, maar ook zakelijke en beveiligingsoverwegingen. Bovendien moet het beleid worden gedocumenteerd in een formaat dat toegankelijk is voor alle relevante partijen en regelmatig worden herzien om ervoor te zorgen dat het aansluit bij de huidige bedrijfsvoering, beveiligingsvereisten en veranderende omstandigheden zoals nieuwe vestigingen, netwerkuitbreidingen of wijzigingen in de bedrijfsstrategie. Bovendien moeten organisaties robuuste procedures ontwikkelen voor het beheren en onderhouden van vertrouwde locaties gedurende de volledige levenscyclus. Dit omvat het regelmatig controleren of geconfigureerde IP-adresbereiken nog steeds accuraat zijn en overeenkomen met de werkelijke netwerkinfrastructuur. Het omvat ook het tijdig bijwerken van configuraties wanneer netwerkinfrastructuur wijzigt, zoals bij het openen van nieuwe kantoren, het sluiten van vestigingen, of het wijzigen van netwerkconfiguraties. Daarnaast moeten procedures worden ontwikkeld voor het verwijderen van locaties die niet langer als vertrouwd worden beschouwd, bijvoorbeeld wanneer een vestiging wordt gesloten of wanneer beveiligingsincidenten hebben aangetoond dat een locatie niet langer betrouwbaar is. Deze procedures moeten worden geïntegreerd in de algemene wijzigingsbeheerprocessen van de organisatie om ervoor te zorgen dat wijzigingen in netwerkinfrastructuur automatisch en tijdig worden doorgevoerd in de voorwaardelijk toegangsconfiguratie. Dit vereist vaak de ontwikkeling van workflows en goedkeuringsprocessen die ervoor zorgen dat wijzigingen worden gereviewd en goedgekeurd door de juiste autoriteiten voordat ze worden geïmplementeerd. Bovendien moeten deze procedures worden gedocumenteerd en getraind bij relevante medewerkers om ervoor te zorgen dat ze consistent worden gevolgd. Voor Nederlandse overheidsorganisaties komen daar nog specifieke compliance-vereisten bij die extra aandacht vereisen. Organisaties moeten ervoor zorgen dat hun configuratie van vertrouwde locaties volledig voldoet aan de BIO-normen en andere relevante beveiligingsstandaarden die van toepassing zijn op de publieke sector. Dit kan betekenen dat aanvullende controles en uitgebreide documentatie vereist zijn, en dat de configuratie moet worden geaudit en expliciet goedgekeurd door de juiste autoriteiten binnen de organisatie, zoals de CISO of de functionaris gegevensbescherming. Bovendien kunnen er specifieke eisen zijn met betrekking tot het documenteren van beslissingen, het bewaren van audit trails, en het rapporteren over de configuratie aan toezichthouders of andere relevante instanties.
Compliance en Auditing
Het implementeren van vertrouwde locaties binnen Microsoft Entra ID vertegenwoordigt veel meer dan alleen een technische best practice vanuit beveiligingsperspectief. Het vormt een fundamentele vereiste vanuit verschillende compliance-frameworks en beveiligingsstandaarden die van toepassing zijn op moderne organisaties, en met name op Nederlandse overheidsorganisaties. Deze organisaties moeten ervoor zorgen dat hun configuratie volledig voldoet aan de relevante normen en regelgeving, waarbij met name de CIS Azure Benchmark, de BIO-normen en ISO 27001 van cruciaal belang zijn voor het waarborgen van een adequate beveiligingspostuur en het voldoen aan wettelijke en regelgevende verplichtingen. De CIS Azure v3.0.0 Benchmark bevat specifiek regel 1.30, die expliciet vereist dat organisaties vertrouwde locaties definiëren voor gebruik in voorwaardelijk toegangsbeleid. Deze regel is geclassificeerd als Level 2, wat betekent dat deze wordt aanbevolen voor organisaties met verhoogde beveiligingsvereisten en wordt beschouwd als een belangrijke maatregel voor het versterken van de algehele beveiligingspostuur. De regel benadrukt het fundamentele belang van het gebruik van geografische en netwerkcontext bij het nemen van toegangsbeslissingen, waarbij organisaties moeten kunnen onderscheiden tussen vertrouwde en niet-vertrouwde netwerklocaties. Door deze regel te implementeren, kunnen organisaties niet alleen aantonen dat zij proactief werken aan het versterken van hun beveiligingspostuur, maar ook dat zij contextbewuste toegangscontroles hebben geïmplementeerd die rekening houden met de omgeving waarin gebruikers zich bevinden. Het niet implementeren van CIS regel 1.30 kan leiden tot significante compliance-afwijkingen, met name voor organisaties die onderworpen zijn aan strikte beveiligingsvereisten. Tijdens audits en compliance-evaluaties zullen auditors specifiek controleren of organisaties vertrouwde locaties hebben geconfigureerd en of deze effectief worden gebruikt in voorwaardelijk toegangsbeleid. Het ontbreken van deze configuratie kan worden geïnterpreteerd als een tekortkoming in de beveiligingsmaatregelen en kan leiden tot negatieve auditbevindingen, mogelijke boetes, of het verlies van certificeringen die essentieel zijn voor het kunnen uitvoeren van bepaalde activiteiten of het werken met specifieke soorten gegevens. Voor Nederlandse overheidsorganisaties is de BIO-norm 11.02 van bijzonder belang en vormt deze een centrale pijler in de beveiligingsarchitectuur. Deze norm richt zich specifiek op netwerktoegangscontrole en authenticatie, en vereist dat organisaties passende en proportionele maatregelen treffen om toegang tot systemen en gegevens te controleren op basis van de context van de gebruiker. Het definiëren van vertrouwde locaties sluit direct en fundamenteel aan bij deze norm, omdat het organisaties in staat stelt om toegangsbeslissingen te nemen op basis van de netwerklocatie van de gebruiker, wat een essentieel onderdeel vormt van contextbewuste toegangscontrole. De BIO-norm stelt bovendien specifieke eisen aan de documentatie en auditing van toegangscontroles, wat betekent dat organisaties uitgebreid moeten kunnen aantonen hoe vertrouwde locaties zijn geconfigureerd, waarom specifieke locaties als vertrouwd worden beschouwd, en hoe deze locaties worden gebruikt in voorwaardelijk toegangsbeleid. Deze documentatie moet niet alleen technisch accuraat zijn, maar ook toegankelijk voor auditors en andere stakeholders die moeten kunnen begrijpen hoe de beveiligingsmaatregelen zijn geïmplementeerd en waarom bepaalde keuzes zijn gemaakt. Bovendien moeten organisaties kunnen aantonen dat de configuratie regelmatig wordt gereviewd en bijgewerkt om ervoor te zorgen dat deze blijft voldoen aan de beveiligingsvereisten en aansluit bij de huidige netwerkinfrastructuur. ISO 27001 controle A.8.20 behandelt netwerkbeveiliging en vereist dat organisaties passende en effectieve beveiligingsmaatregelen implementeren om netwerkdiensten te beschermen tegen onbevoegde toegang en andere beveiligingsbedreigingen. Het gebruik van vertrouwde locaties draagt direct bij aan deze controle door organisaties in staat te stellen om verschillende beveiligingsniveaus toe te passen afhankelijk van de netwerkcontext waarin gebruikers zich bevinden. Dit sluit perfect aan bij het fundamentele principe van defense in depth, waarbij meerdere beveiligingslagen worden geïmplementeerd om de algehele beveiliging te versterken en het risico te verminderen dat een enkele beveiligingsmaatregel faalt. Vanuit auditperspectief moeten organisaties uitgebreid kunnen aantonen dat vertrouwde locaties correct zijn geconfigureerd, actief worden gebruikt in voorwaardelijk toegangsbeleid, en effectief bijdragen aan de beveiligingsdoelstellingen van de organisatie. Dit vereist niet alleen uitgebreide documentatie van welke IP-adresbereiken als vertrouwd worden beschouwd en waarom deze locaties als vertrouwd worden beschouwd, maar ook gedetailleerde informatie over hoe deze locaties worden gebruikt in beveiligingsbeleid en wat de impact is op de toegangsbeslissingen die worden genomen. Auditors zullen specifiek controleren of de configuratie overeenkomt met de gedocumenteerde procedures en of de implementatie daadwerkelijk bijdraagt aan het bereiken van de beveiligingsdoelstellingen. Daarnaast moeten organisaties regelmatig en systematisch controleren of de geconfigureerde vertrouwde locaties nog steeds accuraat zijn, of ze nog steeds overeenkomen met de werkelijke netwerkinfrastructuur, en of ze nog steeds voldoen aan de beveiligingsvereisten van de organisatie. Deze controles moeten worden gedocumenteerd en moeten kunnen worden gepresenteerd aan auditors om aan te tonen dat de organisatie proactief werkt aan het handhaven van een adequate beveiligingsconfiguratie. Het ontbreken van dergelijke controles kan worden geïnterpreteerd als een tekortkoming in de beveiligingsgovernance en kan leiden tot negatieve auditbevindingen. Voor Nederlandse overheidsorganisaties komt daar nog de Algemene Verordening Gegevensbescherming (AVG) bij, die vereist dat organisaties passende technische en organisatorische maatregelen treffen om persoonsgegevens te beschermen tegen onbevoegde toegang, verlies, vernietiging of wijziging. Het gebruik van vertrouwde locaties kan direct bijdragen aan deze verplichting door ervoor te zorgen dat toegang tot systemen met persoonsgegevens alleen wordt verleend vanaf beveiligde en gecontroleerde netwerklocaties waarvan de beveiligingsniveaus bekend zijn en kunnen worden geverifieerd. Dit is met name relevant wanneer organisaties werken met gevoelige persoonsgegevens, zoals gezondheidsgegevens, financiële informatie, of andere categorieën van bijzondere persoonsgegevens die extra bescherming vereisen. Bovendien is het gebruik van vertrouwde locaties van cruciaal belang wanneer toegang wordt verleend vanaf locaties buiten de Europese Economische Ruimte, omdat dit kan leiden tot aanvullende risico's met betrekking tot gegevensbescherming en compliance. Door vertrouwde locaties te configureren en te gebruiken in voorwaardelijk toegangsbeleid, kunnen organisaties ervoor zorgen dat toegang vanaf dergelijke locaties wordt geblokkeerd of onderworpen aan strengere authenticatievereisten, wat bijdraagt aan het waarborgen van de bescherming van persoonsgegevens en het voldoen aan AVG-vereisten. Het is van fundamenteel belang dat organisaties hun compliance-positie regelmatig, systematisch en proactief evalueren en bijwerken. Dit betekent dat configuraties van vertrouwde locaties moeten worden gereviewd in het licht van wijzigingen in compliance-vereisten, nieuwe beveiligingsstandaarden die worden geïntroduceerd, wijzigingen in de netwerkinfrastructuur van de organisatie, of nieuwe bedreigingen die kunnen invloed hebben op de effectiviteit van de huidige configuratie. Door een proactieve en gestructureerde aanpak te hanteren, kunnen organisaties ervoor zorgen dat hun beveiligingsconfiguratie altijd voldoet aan de relevante compliance-vereisten en best practices, en dat zij kunnen aantonen aan auditors en andere stakeholders dat zij hun beveiligingsverantwoordelijkheden serieus nemen en adequaat uitvoeren.
Monitoring
Effectieve en continue monitoring van vertrouwde locaties vormt een essentieel onderdeel van een robuuste beveiligingsstrategie en is cruciaal om ervoor te zorgen dat de geconfigureerde IP-adresbereiken accuraat blijven, dat de beveiligingsconfiguratie effectief functioneert, en dat eventuele problemen of afwijkingen snel worden gedetecteerd en aangepakt. Zonder adequate monitoring kunnen organisaties niet garanderen dat hun vertrouwde locaties correct zijn geconfigureerd, actief worden gebruikt, of blijven voldoen aan de beveiligingsvereisten. Organisaties moeten daarom een proactieve en gestructureerde monitoringstrategie implementeren die regelmatig en systematisch controleert of vertrouwde locaties correct zijn geconfigureerd, of ze nog steeds worden gebruikt in voorwaardelijk toegangsbeleid, en of er wijzigingen zijn die aandacht vereisen. De monitoring van vertrouwde locaties begint fundamenteel met het regelmatig en systematisch controleren van de configuratie zelf. Organisaties moeten uitgebreid verifiëren dat alle verwachte vertrouwde locaties daadwerkelijk zijn geconfigureerd binnen Microsoft Entra ID, dat de IP-adresbereiken correct en volledig zijn ingevoerd zonder typefouten of onjuiste bereiken, en dat de locaties correct zijn gemarkeerd als vertrouwd volgens de gedocumenteerde procedures. Deze verificatie kan worden uitgevoerd door gebruik te maken van de Microsoft Graph API voor geautomatiseerde controles, of door de Azure Portal te gebruiken voor handmatige verificatie en visuele inspectie van de benoemde locaties. Het is van cruciaal belang dat deze controle regelmatig en consistent wordt uitgevoerd, bijvoorbeeld maandelijks of wanneer er wijzigingen zijn in de netwerkinfrastructuur, om ervoor te zorgen dat de configuratie altijd accuraat en up-to-date is. Naast het controleren van de configuratie zelf, moeten organisaties uitgebreid monitoren of vertrouwde locaties daadwerkelijk en effectief worden gebruikt in voorwaardelijk toegangsbeleid. Het heeft immers weinig tot geen zin om vertrouwde locaties te configureren als ze niet actief worden gebruikt om toegangsbeslissingen te nemen, omdat dit betekent dat de beveiligingsvoordelen niet worden gerealiseerd en dat de configuratie mogelijk overbodig is. Monitoring moet daarom ook systematisch controleren of voorwaardelijk toegangsbeleid correct verwijst naar vertrouwde locaties, of deze beleidsregels actief zijn en daadwerkelijk worden toegepast, en of ze worden toegepast op de juiste gebruikers, groepen en applicaties volgens de gedocumenteerde beveiligingsstrategie. Een van de meest kritische aspecten van monitoring is het detecteren en analyseren van wijzigingen in de configuratie, met name ongeautoriseerde of onverwachte wijzigingen die een significant beveiligingsrisico kunnen vormen. Ongeautoriseerde wijzigingen aan vertrouwde locaties kunnen leiden tot onjuiste toegangsbeslissingen, waarbij bijvoorbeeld onbevoegde locaties als vertrouwd worden gemarkeerd of legitieme vertrouwde locaties worden verwijderd, wat beide kan resulteren in ernstige beveiligingsincidenten. Organisaties moeten daarom uitgebreid gebruik maken van audit logging om alle wijzigingen aan benoemde locaties te volgen en te documenteren, inclusief wie de wijziging heeft gemaakt, wanneer deze is gemaakt, wat er precies is gewijzigd, en wat de reden was voor de wijziging. Deze audit logs moeten regelmatig, systematisch en grondig worden beoordeeld door bevoegde security professionals om te detecteren of er onverwachte of ongeautoriseerde wijzigingen zijn, of er patronen zijn die kunnen wijzen op beveiligingsincidenten, en of wijzigingen overeenkomen met de goedgekeurde change management processen. Bovendien moeten organisaties alerting configureren die automatisch waarschuwingen genereert wanneer wijzigingen worden gedetecteerd, zodat security teams onmiddellijk kunnen reageren op potentiële beveiligingsincidenten of compliance-afwijkingen. Monitoring moet ook uitgebreid rekening houden met de effectiviteit en efficiëntie van de configuratie, waarbij organisaties moeten analyseren of het gebruik van vertrouwde locaties daadwerkelijk bijdraagt aan de beveiligingsdoelstellingen en of het de gebruikerservaring verbetert zoals bedoeld. Dit kan worden gedaan door gedetailleerd te analyseren hoeveel authenticatiepogingen worden gedaan vanaf vertrouwde locaties versus niet-vertrouwde locaties, of er significante verschillen zijn in de authenticatievereisten die worden toegepast, en of gebruikers daadwerkelijk profiteren van de versoepelde authenticatievereisten wanneer ze werken vanaf vertrouwde locaties. Als blijkt dat vertrouwde locaties niet effectief worden gebruikt of niet de verwachte beveiligings- of gebruikersvoordelen opleveren, kan dit wijzen op problemen met de configuratie, onduidelijkheden in de beveiligingsstrategie, of de behoefte aan aanvullende training voor gebruikers en IT-personeel. Voor Nederlandse overheidsorganisaties is het van fundamenteel belang dat monitoring ook uitgebreid rekening houdt met compliance-vereisten en dat het kan aantonen dat vertrouwde locaties correct zijn geconfigureerd in volledige overeenstemming met de relevante normen en standaarden, zoals de BIO-normen, CIS Azure Benchmark, en ISO 27001. Dit betekent dat monitoring moet kunnen aantonen dat er adequate controles zijn om ervoor te zorgen dat de configuratie blijft voldoen aan deze vereisten, dat regelmatige reviews worden uitgevoerd, en dat eventuele afwijkingen worden gedetecteerd en aangepakt. Monitoring rapporten moeten daarom uitgebreide informatie bevatten over de compliance-status, eventuele afwijkingen die aandacht vereisen, en de acties die zijn ondernomen om deze afwijkingen te adresseren. Het gebruik van geautomatiseerde monitoring tools en scripts kan organisaties aanzienlijk helpen om deze monitoring taken efficiënt, consistent en schaalbaar uit te voeren, terwijl het risico op menselijke fouten wordt geminimaliseerd. Door gebruik te maken van scripts die regelmatig en automatisch de configuratie controleren, de status rapporteren, en waarschuwingen genereren wanneer problemen worden gedetecteerd, kunnen organisaties ervoor zorgen dat problemen snel worden gedetecteerd en aangepakt voordat ze kunnen leiden tot beveiligingsincidenten of compliance-problemen. Deze scripts kunnen worden geïntegreerd in bestaande monitoring en alerting systemen, zoals SIEM-oplossingen of IT-service management platforms, waardoor organisaties proactief kunnen reageren op wijzigingen of problemen met de configuratie van vertrouwde locaties en kunnen zorgen voor een naadloze integratie met de bestaande beveiligings- en operationele processen.
Gebruik PowerShell-script trusted-locations-defined.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Wanneer monitoring en evaluatie aangeven dat vertrouwde locaties niet correct zijn geconfigureerd, ontbreken, of niet meer voldoen aan de beveiligingsvereisten, moeten organisaties onmiddellijk en effectief actie ondernemen om de configuratie te herstellen, te corrigeren of te verbeteren. Remediatie van vertrouwde locaties vormt een kritiek onderdeel van de beveiligingsgovernance en omvat een gestructureerd proces van het identificeren van ontbrekende of onjuiste configuraties, het corrigeren van deze configuraties volgens goedgekeurde procedures, en het uitgebreid verifiëren dat de wijzigingen correct zijn doorgevoerd, effectief functioneren, en bijdragen aan de beveiligingsdoelstellingen van de organisatie. Het remediatieproces begint fundamenteel met het grondig identificeren en documenteren van welke vertrouwde locaties moeten worden geconfigureerd of opnieuw geconfigureerd. Organisaties moeten een volledig, accuraat en up-to-date overzicht hebben van alle netwerklocaties die als vertrouwd moeten worden beschouwd volgens de gedocumenteerde beveiligingsstrategie, inclusief kantoren, datacenters, VPN-gateways, remote access servers en andere beveiligde netwerklocaties. Dit vereist uitgebreide samenwerking met netwerkbeheerders, IT-infrastructuur teams, facility management, en andere relevante stakeholders om ervoor te zorgen dat alle benodigde informatie beschikbaar is, accuraat is, en volledig wordt begrepen. Het is van cruciaal belang dat organisaties ook proactief rekening houden met toekomstige uitbreidingen, wijzigingen in de netwerkinfrastructuur, of strategische ontwikkelingen, zodat het remediatieproces niet alleen de huidige situatie adresseert, maar ook voorbereid en flexibel is voor toekomstige ontwikkelingen en kan meegroeien met de organisatie. Eenmaal grondig geïdentificeerd welke locaties moeten worden geconfigureerd of opnieuw geconfigureerd, moeten organisaties de daadwerkelijke configuratie zorgvuldig en volgens goedgekeurde procedures uitvoeren. Dit omvat het nauwkeurig invoeren van IP-adresbereiken voor elke vertrouwde locatie zonder typefouten of onjuiste bereiken, het correct markeren van deze locaties als vertrouwd volgens de gedocumenteerde criteria, en het configureren van eventuele landcodes voor geografische toegangscontroles wanneer dit relevant is voor de beveiligingsstrategie. Het is van fundamenteel belang dat deze configuratie uiterst zorgvuldig wordt uitgevoerd, omdat zelfs kleine fouten kunnen leiden tot onjuiste toegangsbeslissingen, beveiligingslekken, of tot significante problemen voor gebruikers die proberen toegang te krijgen vanaf vertrouwde locaties, wat kan resulteren in gebruikersfrustratie, verhoogde helpdesk belasting, of zelfs het verlies van productiviteit. Na het configureren van vertrouwde locaties moeten organisaties uitgebreid ervoor zorgen dat deze locaties daadwerkelijk en effectief worden gebruikt in voorwaardelijk toegangsbeleid, omdat het configureren van vertrouwde locaties zonder ze te gebruiken in beleid weinig tot geen beveiligingswaarde heeft. Organisaties moeten daarom systematisch controleren of bestaand voorwaardelijk toegangsbeleid correct verwijst naar vertrouwde locaties, of deze verwijzingen accuraat en actueel zijn, en of de beleidsregels daadwerkelijk worden toegepast. Indien nodig moeten organisaties nieuwe beleidsregels creëren of bestaande beleidsregels aanpassen om effectief gebruik te maken van vertrouwde locaties volgens de gedocumenteerde beveiligingsstrategie. Dit vereist een grondig begrip van de huidige voorwaardelijk toegangsconfiguratie, van hoe vertrouwde locaties kunnen worden geïntegreerd in bestaande beveiligingsstrategieën, en van de impact die wijzigingen kunnen hebben op gebruikers en beveiligingsprocessen. Het is van cruciaal belang dat remediatie niet alleen de technische configuratie omvat, maar ook uitgebreid de organisatorische en governance aspecten adresseert. Dit betekent dat organisaties moeten zorgen voor adequate, toegankelijke en actuele documentatie van welke locaties als vertrouwd worden beschouwd, waarom deze specifieke locaties als vertrouwd worden beschouwd, en hoe deze locaties worden gebruikt in beveiligingsbeleid. Bovendien moeten robuuste procedures worden ontwikkeld, gedocumenteerd en geïmplementeerd voor het beheren, onderhouden en monitoren van vertrouwde locaties gedurende de volledige levenscyclus. Organisaties moeten er ook voor zorgen dat alle relevante stakeholders, zoals security teams, helpdesk medewerkers, netwerkbeheerders en IT-ondersteuning, volledig op de hoogte zijn van de configuratie, begrijpen hoe vertrouwde locaties werken, en volledig begrijpen wat de impact is op gebruikers en beveiligingsprocessen. Na het uitvoeren van remediatie moeten organisaties uitgebreid en systematisch verifiëren dat de configuratie correct is, volledig functioneert zoals bedoeld, en effectief bijdraagt aan de beveiligingsdoelstellingen. Dit omvat het grondig testen van toegang vanaf vertrouwde locaties om te verifiëren dat de verwachte authenticatievereisten correct worden toegepast, het controleren of voorwaardelijk toegangsbeleid correct verwijst naar vertrouwde locaties en of deze verwijzingen accuraat zijn, en het monitoren of de configuratie daadwerkelijk de beoogde beveiligings- en gebruikersvoordelen oplevert. Het is ook essentieel om proactief te monitoren of er problemen zijn voor gebruikers, zoals onverwachte authenticatievereisten, toegangsproblemen, of gebruikersfrustratie, die kunnen wijzen op problemen met de configuratie die aanvullende aandacht vereisen. Voor Nederlandse overheidsorganisaties is het van fundamenteel belang dat remediatie uitgebreid rekening houdt met compliance-vereisten en dat organisaties kunnen aantonen dat vertrouwde locaties correct zijn geconfigureerd in volledige overeenstemming met de relevante normen en standaarden, zoals de BIO-normen, CIS Azure Benchmark, en ISO 27001. Dit betekent dat er adequate, toegankelijke en actuele documentatie moet zijn voor audit doeleinden, dat alle wijzigingen moeten worden gedocumenteerd en goedgekeurd volgens de goedgekeurde change management processen, en dat alle wijzigingen moeten worden gereviewd en goedgekeurd door de juiste autoriteiten binnen de organisatie, zoals de CISO of de functionaris gegevensbescherming. Bovendien moeten organisaties ervoor zorgen dat remediatie wordt uitgevoerd in volledige overeenstemming met change management processen, dat alle wijzigingen worden gedocumenteerd in een formaat dat geschikt is voor audit doeleinden, en dat er adequate audit trails zijn die kunnen worden gepresenteerd aan auditors en andere stakeholders. Het is van cruciaal belang dat organisaties een proactieve, gestructureerde en gedocumenteerde aanpak hanteren voor remediatie, waarbij problemen snel worden gedetecteerd, geanalyseerd en aangepakt voordat ze kunnen leiden tot beveiligingsincidenten, compliance-problemen, of operationele verstoringen. Dit vereist regelmatige, systematische monitoring en evaluatie van de configuratie van vertrouwde locaties, het snel en effectief reageren op wijzigingen in de netwerkinfrastructuur of in beveiligingsvereisten, en het proactief identificeren en adresseren van potentiële problemen voordat ze escaleren tot echte incidenten. Door een gestructureerd, gedocumenteerd en goedgekeurd remediatieproces te volgen dat is geïntegreerd in de algemene beveiligings- en change management processen, kunnen organisaties ervoor zorgen dat vertrouwde locaties effectief worden gebruikt om de beveiliging te versterken, de gebruikerservaring te verbeteren, en te voldoen aan alle relevante compliance-vereisten en best practices.
Gebruik PowerShell-script trusted-locations-defined.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance & Frameworks
- CIS M365: Control 1.30 (L2) - Zorg ervoor dat vertrouwde locaties zijn gedefinieerd
- BIO: 11.02 - Netwerktoegangscontrole en authenticatie
- ISO 27001:2022: A.8.20 - Netwerkbeveiliging
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Trusted Locations Defined
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 1.55
Controleert dat trusted locations zijn gedefinieerd.
.NOTES
Filename: trusted-locations-defined.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 1.55
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Trusted Locations Defined"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray
Write-Host " - Azure AD > Security > Named locations" -ForegroundColor Gray
Write-Host " - Trusted IP ranges configured" -ForegroundColor Gray
Write-Host " - Countries/regions defined" -ForegroundColor Gray
Write-Host " - Mark as trusted location" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Trusted locations" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "⚠️ Manual verification required" -ForegroundColor Yellow
Write-Host "Controleer in Entra ID portal:" -ForegroundColor Gray
Write-Host " - Azure AD > Security > Named locations" -ForegroundColor Gray
Write-Host " - Trusted IP ranges configured" -ForegroundColor Gray
Write-Host " - Countries/regions defined" -ForegroundColor Gray
Write-Host " - Mark as trusted location" -ForegroundColor Gray
}
else {
Write-Host "`n⚠️ Manual verification: Trusted locations" -ForegroundColor Yellow
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Low: Zonder vertrouwde locaties kunnen organisaties geen geografische toegangscontroles implementeren en kunnen ze niet profiteren van contextbewuste authenticatie. Dit leidt tot een verhoogd beveiligingsrisico en kan leiden tot compliance-problemen, met name met betrekking tot CIS regel 1.30. Het risico is gemiddeld, maar kan toenemen wanneer organisaties werken met gevoelige gegevens of wanneer toegang wordt verleend vanaf locaties buiten de Europese Economische Ruimte.
Management Samenvatting
Vertrouwde locaties stellen organisaties in staat om toegangsbeslissingen te nemen op basis van de netwerkcontext van gebruikers. Dit omvat het configureren van vertrouwde IP-adresbereiken en het gebruik van landcodes voor geografische toegangscontroles. De implementatie is verplicht volgens CIS regel 1.30 en draagt bij aan compliance met BIO-norm 11.02 en ISO 27001 controle A.8.20.
- Implementatietijd: 2 uur
- FTE required: 0.02 FTE