💼 Management Samenvatting
Deze beveiligingsregel waarborgt de correcte configuratie van netwerkbeleidsregels en beschermt tegen beveiligingsrisico's door middel van volledige en actuele documentatie.
Aanbeveling
IMPLEMENTEER NETWERKBELEIDSDOCUMENTATIE
Risico zonder
Low
Risk Score
4/10
Implementatie
10u (tech: 6u)
Van toepassing op:
✓ Azure
Deze instelling is essentieel voor het handhaven van een veilige omgeving en voorkomt bekende aanvalsvectoren door het afdwingen van beveiligingsbest practices. Zonder adequate documentatie ontstaan er weesregels, onduidelijke eigendomsrechten en auditfouten die de beveiligingspostuur van de organisatie kunnen ondermijnen. Bovendien is gedocumenteerde netwerkbeleidsregels een fundamentele vereiste voor compliance met frameworks zoals BIO en ISO 27001.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts
Connection:
Connect-AzAccountRequired Modules: Az.Accounts
Implementatie
Documenteer alle Network Security Group regels, firewallregels en routing policies met duidelijke beschrijvingen van het doel, de eigenaar en de zakelijke rechtvaardiging. Zorg ervoor dat deze documentatie regelmatig wordt bijgewerkt en gecontroleerd op volledigheid en accuraatheid.
Vereisten
Het effectief documenteren van netwerkbeleidsregels in Azure vereist een gestructureerde aanpak die voldoet aan de eisen van compliance frameworks zoals de Baseline Informatiebeveiliging Overheid (BIO) en ISO 27001. Deze documentatie vormt de basis voor transparante netwerkgovernance en is essentieel voor het handhaven van een veilige en gecontroleerde cloudomgeving. Organisaties dienen te beschikken over een gestandaardiseerd documentatietemplate dat alle relevante informatie systematisch vastlegt voor elke netwerkregel, ongeacht of het gaat om Network Security Group regels, Azure Firewall regels of routeringsbeleid. Een goed documentatietemplate bevat minimaal een unieke identificatie van de regel, een duidelijke beschrijving van het doel en de functionaliteit, de eigenaar of verantwoordelijke persoon of afdeling, de zakelijke rechtvaardiging die uitlegt waarom deze regel noodzakelijk is, de bron- en doeladressen of netwerkbereiken, de gebruikte protocollen en poorten, de prioriteit of volgorde van uitvoering, en de datum van implementatie en laatste wijziging. Deze elementen zorgen ervoor dat beheerders, auditors en compliance officers snel kunnen begrijpen wat een regel doet, waarom deze bestaat en wie verantwoordelijk is voor het beheer ervan. Naast het template zelf is het van cruciaal belang dat organisaties een duidelijk gedefinieerd proces hebben voor het beheer en onderhoud van deze documentatie. Dit proces moet duidelijke procedures bevatten voor het toevoegen van nieuwe regels, het wijzigen van bestaande regels, en het verwijderen van verouderde regels. Het proces moet ook voorzien in regelmatige controles om te waarborgen dat de documentatie actueel blijft en overeenkomt met de werkelijke configuratie in Azure. Deze controles moeten minimaal per kwartaal plaatsvinden, maar kunnen vaker nodig zijn in omgevingen waar netwerkconfiguraties regelmatig wijzigen. Voor grotere organisaties is het aan te raden om een centrale repository of documentatieplatform te gebruiken waar alle netwerkbeleidsdocumentatie wordt opgeslagen en beheerd. Dit vergemakkelijkt niet alleen het onderhoud en de toegankelijkheid, maar maakt het ook eenvoudiger voor auditors en compliance officers om de benodigde informatie te vinden tijdens audits en assessments. Een centrale repository biedt bovendien de mogelijkheid om versiebeheer toe te passen, waardoor wijzigingsgeschiedenis wordt bijgehouden en terugdraaimogelijkheden beschikbaar zijn. Het documentatietemplate moet rekening houden met de specifieke eigenschappen van verschillende soorten netwerkregels. Network Security Group regels hebben bijvoorbeeld specifieke eigenschappen zoals richting (inkomend of uitgaand), prioriteit, en toegestane of geweigerde verbindingen. Azure Firewall regels daarentegen hebben eigenschappen zoals regelcollecties, regelgroepen, en applicatieregels versus netwerkregels. Routeringsbeleid heeft weer andere eigenschappen zoals routetabellen, volgende hop types, en BGP-instellingen. Door een gestandaardiseerd template te gebruiken dat rekening houdt met deze verschillen, kan een organisatie ervoor zorgen dat alle relevante informatie wordt vastgelegd, ongeacht het type regel. Het template moet ook voorzien in ruimte voor aanvullende contextuele informatie, zoals risicoanalyses, mitigatiestrategieën, en relaties met andere regels of beleidsregels. Deze contextuele informatie helpt beveiligingsteams om niet alleen te begrijpen wat een regel doet, maar ook waarom deze regel bestaat en hoe deze past binnen de bredere beveiligingsarchitectuur van de organisatie. Dit is met name belangrijk bij complexe netwerkconfiguraties waar regels onderling afhankelijk zijn of waar wijzigingen in de ene regel gevolgen kunnen hebben voor andere regels. Het implementeren van een robuust documentatieproces vereist ook aandacht voor de menselijke factor. Beheerders en netwerkengineers moeten worden getraind in het belang van documentatie en hoe zij effectieve documentatie kunnen maken die voldoet aan de organisatorische standaarden. Deze training moet niet alleen de technische aspecten behandelen, maar ook het belang uitleggen voor compliance, beveiliging en operationele efficiëntie. Organisaties moeten ook een cultuur creëren waarin documentatie wordt gezien als een integraal onderdeel van het werk, niet als een administratieve last. Dit kan worden bereikt door documentatie te integreren in de workflow, door gebruik te maken van tools die het maken van documentatie vergemakkelijken, en door regelmatig feedback te geven over de kwaliteit van de documentatie. Daarnaast is het belangrijk om te zorgen voor voldoende tijd en middelen voor het maken en onderhouden van documentatie, zodat beheerders niet het gevoel hebben dat zij moeten kiezen tussen het uitvoeren van hun primaire taken en het bijhouden van documentatie.
Monitoring
Gebruik PowerShell-script network-policies-documented.ps1 (functie Invoke-Monitoring) – Controleren.
Het monitoren van de volledigheid en kwaliteit van netwerkbeleidsdocumentatie vormt een continu proces dat essentieel is voor het handhaven van een goede beveiligingspostuur en het waarborgen van compliance met relevante frameworks. Organisaties moeten systematisch controleren of alle actieve netwerkregels in Azure adequaat zijn gedocumenteerd en of de documentatie nog steeds accuraat en actueel is. Dit vereist een gestructureerde aanpak waarbij periodiek wordt gecontroleerd of er nieuwe regels zijn toegevoegd zonder bijbehorende documentatie, of bestaande regels zijn gewijzigd zonder dat de documentatie is bijgewerkt. Het monitoringproces moet ook identificeren of er regels zijn verwijderd uit Azure maar nog steeds in de documentatie staan, wat kan leiden tot verwarring, onjuiste verwachtingen en potentiële beveiligingsrisico's wanneer beheerders handelen op basis van verouderde informatie. Naast de volledigheid is het belangrijk om de kwaliteit van de documentatie te monitoren door te controleren of alle vereiste velden zijn ingevuld, of de beschrijvingen duidelijk en begrijpelijk zijn voor zowel technische als niet-technische stakeholders, en of de zakelijke rechtvaardigingen nog steeds geldig zijn en overeenkomen met de huidige bedrijfsdoelstellingen. Voor effectieve monitoring kunnen organisaties gebruik maken van geautomatiseerde scripts die de Azure-configuratie continu vergelijken met de beschikbare documentatie en automatisch rapporten genereren over ontbrekende of verouderde documentatie. Deze scripts kunnen worden geconfigureerd om wekelijks, maandelijks of per kwartaal te draaien, afhankelijk van de frequentie waarmee netwerkconfiguraties worden gewijzigd en de grootte van de organisatie. Het is aan te raden om minimaal per kwartaal een volledige review uit te voeren waarbij niet alleen de technische aspecten worden gecontroleerd, maar ook de zakelijke rechtvaardigingen worden geëvalueerd om te bepalen of regels nog steeds nodig zijn of kunnen worden verwijderd. Tijdens deze reviews moeten ook de compliance-aspecten worden gecontroleerd om te waarborgen dat de documentatie voldoet aan de eisen van relevante frameworks zoals BIO en ISO 27001. Een effectief monitoringproces omvat meerdere lagen van controle die verschillende niveaus van de organisatie betrekken. Op operationeel niveau moeten beheerders direct worden gewaarschuwd wanneer nieuwe regels worden toegevoegd aan Azure zonder bijbehorende documentatie. Dit kan worden bereikt door geautomatiseerde waarschuwingen die worden gegenereerd wanneer er een discrepantie wordt gedetecteerd tussen de Azure-configuratie en de documentatie. Deze waarschuwingen moeten worden geconfigureerd om te escaleren wanneer er geen actie wordt ondernomen binnen een bepaalde tijdsperiode. Op tactisch niveau moeten teamleiders regelmatig rapporteren over de status van de documentatie, inclusief statistieken over het percentage regels dat adequaat is gedocumenteerd, het aantal ontbrekende documentatie-items, en trends over tijd die kunnen wijzen op verbetering of verslechtering van de documentatiekwaliteit. Op strategisch niveau moeten beveiligings- en complianceofficers kwartaalrapporten ontvangen die een overzicht geven van de documentatiekwaliteit en eventuele compliance-risico's, zodat zij proactief kunnen ingrijpen wanneer nodig. Het monitoringproces moet ook voorzien in het bijhouden van wijzigingsgeschiedenis, zodat organisaties kunnen traceren wanneer documentatie is aangemaakt, gewijzigd of gecontroleerd, en door wie deze acties zijn uitgevoerd. Deze audit trail is niet alleen belangrijk voor auditdoeleinden en compliance, maar helpt ook bij het identificeren van patronen en trends die kunnen wijzen op systematische problemen in het documentatieproces. Bovendien moeten organisaties regelmatig de effectiviteit van hun documentatie evalueren door te meten hoe vaak documentatie wordt geraadpleegd door beheerders, hoeveel tijd wordt besteed aan het vinden van relevante informatie, en of de documentatie daadwerkelijk helpt bij het begrijpen en onderhouden van netwerkregels. Deze metingen kunnen worden gebruikt om het documentatieproces continu te verbeteren en te optimaliseren voor de gebruikers. Het monitoren van documentatiekwaliteit vereist ook aandacht voor de gebruikerservaring. Organisaties moeten regelmatig feedback verzamelen van beheerders en andere gebruikers van de documentatie om te begrijpen welke aspecten goed werken en welke verbetering behoeven. Deze feedback kan worden gebruikt om het documentatietemplate en de documentatieprocessen te verbeteren, zodat de documentatie beter aansluit bij de behoeften van de gebruikers. Daarnaast is het belangrijk om te monitoren of de documentatie daadwerkelijk wordt gebruikt en of deze helpt bij het oplossen van problemen en het nemen van beslissingen. Als documentatie niet wordt gebruikt, kan dit wijzen op problemen met de toegankelijkheid, de kwaliteit of de relevantie van de documentatie. In dergelijke gevallen moet worden onderzocht waarom de documentatie niet wordt gebruikt en wat er kan worden gedaan om dit te verbeteren.
Compliance en Auditing
Het documenteren van netwerkbeleidsregels vormt een fundamentele vereiste voor compliance met verschillende beveiligings- en governance frameworks die van toepassing zijn op Nederlandse overheidsorganisaties. Deze documentatie is niet alleen een technische verplichting, maar ook een essentieel onderdeel van de governance structuur die transparantie, verantwoordingsplicht en controleerbaarheid waarborgt. De Baseline Informatiebeveiliging Overheid (BIO) vereist in controle 05.01 dat organisaties hun beveiligingsbeleid documenteren en onderhouden. Dit betekent dat alle netwerkbeleidsregels moeten worden vastgelegd met duidelijke beschrijvingen van het doel, de scope en de verantwoordelijkheden. De BIO-controle 05.01 specificeert dat organisaties moeten beschikken over gedocumenteerd beleid voor informatiebeveiliging dat duidelijk beschrijft hoe de organisatie omgaat met verschillende beveiligingsaspecten, waaronder netwerkbeveiliging. Dit beleid moet regelmatig worden gecontroleerd en bijgewerkt om te waarborgen dat het actueel blijft en overeenkomt met de werkelijke praktijk. De BIO vereist ook dat organisaties kunnen aantonen dat hun beveiligingsbeleid daadwerkelijk wordt geïmplementeerd en dat er mechanismen zijn voor het monitoren en verbeteren van dit beleid. Voor ISO 27001:2022 is controle A.5.1 van toepassing, die stelt dat organisaties informatiebeveiligingsbeleid moeten vaststellen, implementeren, onderhouden en continu verbeteren. Dit beleid moet worden gedocumenteerd en regelmatig worden gecontroleerd om te waarborgen dat het actueel en effectief blijft. ISO 27001 vereist ook dat organisaties kunnen aantonen dat hun beveiligingsbeleid daadwerkelijk wordt geïmplementeerd en dat er mechanismen zijn voor het monitoren en verbeteren van dit beleid. Tijdens audits en compliance-assessments zullen auditors specifiek controleren of alle netwerkregels adequaat zijn gedocumenteerd en of deze documentatie overeenkomt met de werkelijke configuratie in Azure. Auditors zullen ook verifiëren of de documentatie voldoet aan de kwaliteitseisen en of er een proces is voor het onderhouden van deze documentatie. Ontbrekende of onjuiste documentatie kan leiden tot auditbevindingen en mogelijke niet-naleving, wat kan resulteren in reputatieschade en in sommige gevallen zelfs financiële gevolgen. Daarnaast kunnen organisaties te maken krijgen met boetes of sancties als gevolg van niet-naleving van relevante wet- en regelgeving, zoals de Algemene Verordening Gegevensbescherming (AVG). De AVG vereist dat organisaties kunnen aantonen dat zij passende technische en organisatorische maatregelen hebben genomen om persoonsgegevens te beschermen, en gedocumenteerde netwerkbeleidsregels vormen een belangrijk onderdeel van deze maatregelen. Daarom is het van cruciaal belang dat organisaties een robuust proces hebben voor het onderhouden van deze documentatie en dat ze kunnen aantonen dat dit proces regelmatig wordt uitgevoerd. Dit betekent dat er audit trails moeten zijn die laten zien wanneer documentatie is aangemaakt, gewijzigd of gecontroleerd, en door wie deze acties zijn uitgevoerd. Deze audit trails moeten worden bewaard voor de periode die is vastgesteld in het bewaarbeleid van de organisatie, meestal minimaal zeven jaar voor overheidsorganisaties. Organisaties moeten ook kunnen aantonen dat de documentatie regelmatig wordt gecontroleerd op volledigheid en accuraatheid, en dat er actie wordt ondernomen wanneer er discrepanties worden geconstateerd tussen de documentatie en de werkelijke configuratie. Tijdens compliance-audits zullen auditors ook controleren of organisaties kunnen aantonen dat hun documentatieproces effectief is en dat er maatregelen zijn genomen om eventuele geconstateerde problemen aan te pakken. Dit kan betekenen dat organisaties moeten beschikken over documentatie over het documentatieproces zelf, inclusief procedures voor het maken, wijzigen en controleren van netwerkbeleidsdocumentatie, en rapporten die laten zien hoe vaak dit proces wordt uitgevoerd en wat de resultaten zijn. Deze meta-documentatie helpt auditors om te begrijpen hoe de organisatie omgaat met documentatie en of het proces effectief is. Naast de formele compliance-eisen is gedocumenteerde netwerkbeleidsregels ook belangrijk voor het waarborgen van continuïteit en kennisbehoud binnen de organisatie. Wanneer beheerders vertrekken of van functie wisselen, is het essentieel dat hun kennis over netwerkconfiguraties niet verloren gaat. Goede documentatie zorgt ervoor dat nieuwe beheerders snel kunnen begrijpen waarom bepaalde regels bestaan en hoe deze zijn geconfigureerd, wat de leercurve aanzienlijk verkort en het risico op fouten vermindert. Dit is met name belangrijk in omgevingen waar netwerkconfiguraties complex zijn en waar wijzigingen gevolgen kunnen hebben voor de beschikbaarheid en beveiliging van kritieke systemen. Bovendien helpt gedocumenteerde netwerkbeleidsregels bij het maken van weloverwogen beslissingen over wijzigingen aan de netwerkinfrastructuur, omdat beheerders kunnen begrijpen welke regels bestaan, waarom deze bestaan, en wat de mogelijke gevolgen zijn van wijzigingen. Dit vermindert het risico op onbedoelde gevolgen en helpt bij het waarborgen van de stabiliteit en beveiliging van de netwerkinfrastructuur.
Remediatie
Gebruik PowerShell-script network-policies-documented.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer wordt geconstateerd dat netwerkbeleidsregels niet adequaat zijn gedocumenteerd, is het belangrijk om snel en systematisch actie te ondernemen om deze situatie te herstellen. Het remediatieproces begint met het identificeren van alle regels die ontbrekende of onvolledige documentatie hebben. Dit kan worden gedaan door gebruik te maken van geautomatiseerde scripts die de Azure-configuratie scannen en vergelijken met de beschikbare documentatie. Deze scripts kunnen verschillende soorten problemen identificeren, zoals volledig ontbrekende documentatie, documentatie die niet overeenkomt met de werkelijke configuratie, of documentatie die onvolledig is omdat bepaalde vereiste velden niet zijn ingevuld. Het gebruik van geautomatiseerde tools versnelt niet alleen het identificatieproces, maar zorgt ook voor consistentie en volledigheid in de detectie van problemen. Zodra de ontbrekende documentatie is geïdentificeerd, moet er een prioritering worden gemaakt op basis van de kritikaliteit van de regels. Regels die betrekking hebben op kritieke systemen of gevoelige data moeten prioriteit krijgen boven minder kritieke regels. Een effectieve prioritering kan worden gebaseerd op factoren zoals de impact van een regel op de beveiligingspostuur, het risico dat gepaard gaat met onjuiste of ontbrekende documentatie, en de mate waarin een regel wordt gebruikt in de dagelijkse operaties. Deze prioritering helpt organisaties om hun beperkte resources effectief in te zetten en eerst de meest kritieke problemen aan te pakken. Voor elke regel die documentatie mist, moet de verantwoordelijke persoon of afdeling worden geïdentificeerd en benaderd om de ontbrekende informatie aan te leveren. Dit kan een uitdaging zijn, vooral in grotere organisaties waar regels mogelijk door verschillende teams of personen zijn geïmplementeerd, en waar de oorspronkelijke implementeerder mogelijk niet meer beschikbaar is. In sommige gevallen kan het nodig zijn om technische documentatie te raadplegen of contact op te nemen met de oorspronkelijke implementeerder van de regel om de juiste informatie te verkrijgen. Als de oorspronkelijke implementeerder niet meer beschikbaar is, kan het nodig zijn om de regel opnieuw te analyseren door de configuratie te onderzoeken en de logica te reconstrueren op basis van de werkelijke instellingen. Deze reconstructie vereist technische expertise en een grondig begrip van de netwerkarchitectuur, maar is essentieel om te waarborgen dat de documentatie accuraat is. Zodra de documentatie is aangevuld, moet deze worden gecontroleerd door een tweede persoon om te waarborgen dat de kwaliteit voldoet aan de gestelde eisen. Deze controle moet niet alleen verifiëren of alle vereiste velden zijn ingevuld, maar ook of de beschrijvingen duidelijk en begrijpelijk zijn voor zowel technische als niet-technische stakeholders, of de zakelijke rechtvaardigingen logisch en overtuigend zijn, en of de documentatie technisch accuraat is. Het is ook belangrijk om te controleren of de nieuwe documentatie consistent is met de bestaande documentatiestandaarden en of alle vereiste velden zijn ingevuld volgens de organisatorische richtlijnen. Na voltooiing van de remediatie moet er een proces worden ingericht om te voorkomen dat dezelfde situatie zich opnieuw voordoet. Dit kan betekenen dat er strengere controles worden ingevoerd voordat nieuwe regels worden geïmplementeerd, of dat er automatische checks worden toegevoegd die voorkomen dat regels worden opgeslagen zonder bijbehorende documentatie. Deze preventieve maatregelen zijn essentieel om te waarborgen dat het probleem niet opnieuw ontstaat en dat de documentatiekwaliteit op peil blijft. Daarnaast kan het nuttig zijn om training te geven aan beheerders over het belang van documentatie en hoe ze effectieve documentatie kunnen maken. Deze training moet niet alleen de technische aspecten van documentatie behandelen, maar ook het belang uitleggen voor compliance, beveiliging en operationele efficiëntie. Het remediatieproces moet ook zelf worden gedocumenteerd, zodat organisaties kunnen aantonen dat ze actie hebben ondernomen om geconstateerde problemen aan te pakken, wat belangrijk is voor compliance-doeleinden en voor het leren van ervaringen om het proces in de toekomst te verbeteren. Tijdens het remediatieproces is het belangrijk om realistische tijdlijnen te stellen en voldoende resources toe te wijzen aan de taak. Het documenteren van netwerkregels kan tijdrovend zijn, vooral wanneer er veel regels ontbreken of wanneer de oorspronkelijke context verloren is gegaan. Organisaties moeten ervoor zorgen dat beheerders voldoende tijd krijgen om kwalitatief goede documentatie te maken, zonder dat dit ten koste gaat van hun andere verantwoordelijkheden. In sommige gevallen kan het nodig zijn om extra resources toe te wijzen aan het remediatieproces, zoals het tijdelijk inhuren van externe expertise of het toewijzen van een specifiek team aan de taak. Het is ook belangrijk om regelmatig de voortgang van het remediatieproces te monitoren en bij te sturen waar nodig, zodat het proces effectief blijft en binnen de gestelde tijdlijnen wordt voltooid.
Compliance & Frameworks
- BIO: 05.01 - Beleidsdocumentatie
- ISO 27001:2022: A.5.1 - Beleidsregels
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Network Policies Documented
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 6.10
Controleert of network security policies zijn gedocumenteerd.
.NOTES
Filename: network-policies-documented.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 6.10
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Network
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Network Policies Documented"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$nsgs = Get-AzNetworkSecurityGroup -ErrorAction SilentlyContinue
$result = @{ TotalNSGs = $nsgs.Count; WithTags = 0 }
foreach ($nsg in $nsgs) {
if ($nsg.Tags.Count -gt 0) {
$result.WithTags++
}
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total NSGs: $($r.TotalNSGs)" -ForegroundColor White
Write-Host "With Tags (documentation): $($r.WithTags)" -ForegroundColor $(if ($r.WithTags -gt 0) { 'Green' } else { 'Yellow' })
Write-Host "`n⚠️ Manual verification: Controleer gedocumenteerde network policies" -ForegroundColor Yellow
}
else {
$r = Test-Compliance
Write-Host "`nNSG Documentation: $($r.WithTags)/$($r.TotalNSGs) with tags"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total NSGs: $($r.TotalNSGs)" -ForegroundColor White
Write-Host "With Tags (documentation): $($r.WithTags)" -ForegroundColor $(if ($r.WithTags -gt 0) { 'Green' } else { 'Yellow' })
Write-Host "`n⚠️ Manual verification: Controleer gedocumenteerde network policies" -ForegroundColor Yellow
}
else {
$r = Test-Compliance
Write-Host "`nNSG Documentation: $($r.WithTags)/$($r.TotalNSGs) with tags"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Low: Ongedocumenteerde netwerkbeleidsregels leiden tot weesregels, onduidelijke eigendomsrechten en auditfouten. Compliance: BIO, ISO 27001. Het risico is medium - governance.
Management Samenvatting
Netwerkbeleidsregels Gedocumenteerd: Documenteer ALLE Network Security Group regels, firewallregels en routeringsbeleid (doel, eigenaar, zakelijke rechtvaardiging). Kwartaalreviews. Activatie: Maak documentatie aan → Onderhoud. Gratis. Verplicht BIO, ISO 27001. Implementatie: 6-10 uur initieel + kwartaalupdates. Netwerkgovernance.
- Implementatietijd: 10 uur
- FTE required: 0.1 FTE