L1 BIO 12.01.01 ISO A.15.1.1 CIS Multiple

Azure Policy Voor Supply Chain Beveiliging

📅 2025-01-27
⏱️ 16 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Azure Policy voor supply chain beveiliging is essentieel voor het beschermen van organisaties tegen kwetsbaarheden en bedreigingen die afkomstig zijn uit externe software-afhankelijkheden, container images, open source bibliotheken en andere componenten in de software supply chain. Effectieve supply chain policies zorgen ervoor dat alleen vertrouwde en gescande componenten worden gebruikt, dat kwetsbaarheden worden gedetecteerd voordat ze in productie komen, en dat organisaties voldoen aan compliance-vereisten voor software supply chain beveiliging.

Aanbeveling
IMPLEMENTEER VOOR SUPPLY CHAIN BEVEILIGING
Risico zonder
High
Risk Score
8/10
Implementatie
23u (tech: 15u)
Van toepassing op:
Azure Subscriptions
Management Groups
Container Registries
Container Instances

Zonder supply chain beveiligingspolicies zijn organisaties kwetsbaar voor een breed scala aan bedreigingen die afkomstig zijn uit externe software-afhankelijkheden en componenten. Moderne applicaties zijn gebouwd op honderden of zelfs duizenden externe bibliotheken, frameworks en container images, elk met hun eigen beveiligingsrisico's. Zonder geautomatiseerde controles kunnen kwetsbare of zelfs kwaadaardige componenten ongemerkt in productieomgevingen terechtkomen, wat kan leiden tot ernstige beveiligingsincidenten. Supply chain aanvallen, waarbij aanvallers legitieme software-componenten compromitteren voordat ze worden gedistribueerd, zijn een groeiende bedreiging die traditionele beveiligingsmaatregelen omzeilt. Het ontbreken van supply chain policies betekent dat organisaties geen zicht hebben op welke externe componenten worden gebruikt in hun applicaties en of deze componenten bekende kwetsbaarheden bevatten. Dit gebrek aan zichtbaarheid maakt het onmogelijk om proactief te reageren op nieuwe kwetsbaarheden die worden ontdekt in gebruikte bibliotheken of frameworks. Wanneer een kritieke kwetsbaarheid wordt ontdekt in een veelgebruikte bibliotheek, zoals Log4j of Spring Framework, moeten organisaties snel kunnen identificeren waar deze bibliotheek wordt gebruikt en deze kunnen bijwerken of vervangen. Zonder supply chain policies is dit proces tijdrovend, foutgevoelig en vaak onvolledig. Voor Nederlandse organisaties, met name in de publieke sector, is supply chain beveiliging niet alleen een best practice maar vaak een expliciete vereiste van verschillende frameworks en regelgeving. De NIS2-richtlijn vereist bijvoorbeeld dat organisaties maatregelen implementeren om supply chain risico's te beheren, terwijl de BIO-normen vereisten bevatten voor het beheren van software-afhankelijkheden en het monitoren van kwetsbaarheden. ISO 27001 bevat controles voor het beheren van externe leveranciers en software-componenten. Zonder effectieve supply chain policies kunnen organisaties niet voldoen aan deze vereisten, wat kan leiden tot boetes, reputatieschade en het verlies van certificeringen. Het ontbreken van geautomatiseerde supply chain controles betekent dat organisaties afhankelijk zijn van handmatige processen voor het identificeren en beheren van externe componenten. In moderne cloud-omgevingen waar dagelijks nieuwe applicaties worden geïmplementeerd en bestaande applicaties worden bijgewerkt, is handmatige controle praktisch onmogelijk. Geautomatiseerde policies kunnen continu alle container images, software-afhankelijkheden en externe componenten scannen op bekende kwetsbaarheden en automatisch actie ondernemen wanneer problemen worden gedetecteerd. Dit maakt het mogelijk om supply chain risico's proactief te beheren in plaats van reactief te reageren op incidenten. Zonder proactieve supply chain beveiliging blijven organisaties kwetsbaar voor aanvallen die gebruik maken van gecompromitteerde software-componenten. Supply chain aanvallen zijn bijzonder gevaarlijk omdat ze kunnen worden uitgevoerd zonder directe toegang tot de doelorganisatie. Een aanvaller kan bijvoorbeeld een populaire open source bibliotheek compromitteren, waardoor alle organisaties die deze bibliotheek gebruiken automatisch worden blootgesteld aan het risico. Azure Policy voor supply chain beveiliging maakt het mogelijk om dergelijke bedreigingen te detecteren en te voorkomen voordat ze kunnen worden uitgebuit.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.PolicyInsights, Az.Resources, Az.ContainerRegistry, Az.Security

Implementatie

Azure Policy voor supply chain beveiliging omvat verschillende kritieke componenten die samen een complete bescherming bieden tegen supply chain bedreiligingen. Het scannen van container images op kwetsbaarheden vormt de basis van effectieve supply chain beveiliging. Container images bevatten vaak honderden software-componenten, waarvan vele bekende kwetsbaarheden kunnen bevatten. Policies kunnen worden geconfigureerd om automatisch alle container images te scannen voordat ze worden gebruikt, en om te voorkomen dat images met kritieke kwetsbaarheden worden geïmplementeerd. Dit omvat niet alleen het scannen op bekende Common Vulnerabilities and Exposures (CVE's), maar ook het controleren op malware, verdachte bestanden en andere beveiligingsindicatoren. Het afdwingen van image signing en verificatie is essentieel voor het garanderen van de integriteit van container images. Policies kunnen worden geconfigureerd om alleen container images toe te staan die zijn ondertekend door vertrouwde partijen en waarvan de handtekening kan worden geverifieerd. Dit voorkomt dat kwaadaardige of gemanipuleerde images worden gebruikt, zelfs als ze afkomstig zijn uit vertrouwde bronnen. Image signing maakt gebruik van cryptografische handtekeningen om te verifiëren dat een image niet is gewijzigd sinds het werd ondertekend, wat essentieel is voor het beschermen tegen supply chain aanvallen waarbij legitieme images worden gecompromitteerd. Het implementeren van dependency scanning voor applicaties is belangrijk voor het identificeren van kwetsbaarheden in software-afhankelijkheden. Policies kunnen worden geconfigureerd om automatisch software-afhankelijkheden te scannen wanneer applicaties worden gebouwd of geïmplementeerd, en om te voorkomen dat applicaties met bekende kwetsbaarheden worden geïmplementeerd. Dit omvat het scannen van package managers zoals npm, Maven, NuGet en PyPI, en het controleren van alle gedownloade packages op bekende kwetsbaarheden. Dependency scanning moet worden geïntegreerd in de CI/CD-pipeline om ervoor te zorgen dat kwetsbaarheden worden gedetecteerd voordat applicaties in productie komen. Het configureren van policies voor toegestane container registries en repositories is essentieel voor het beperken van waar container images vandaan mogen komen. Policies kunnen worden geconfigureerd om alleen images toe te staan uit specifieke, goedgekeurde container registries, zoals Azure Container Registry of andere vertrouwde bronnen. Dit voorkomt dat images worden gebruikt uit onbetrouwbare of onbekende bronnen, wat het risico op kwaadaardige images aanzienlijk vermindert. Voor organisaties die moeten voldoen aan strikte compliance-vereisten, kan het noodzakelijk zijn om alleen images toe te staan uit interne container registries waar volledige controle en auditing mogelijk is. Het implementeren van policies voor software bill of materials (SBOM) generatie en verificatie is belangrijk voor transparantie en traceerbaarheid. SBOM's bieden een complete lijst van alle software-componenten die worden gebruikt in een applicatie of container image, inclusief versienummers en licentie-informatie. Policies kunnen worden geconfigureerd om te vereisen dat alle container images en applicaties een SBOM bevatten, en om deze SBOM's te verifiëren op volledigheid en nauwkeurigheid. Dit maakt het mogelijk om snel te identificeren welke componenten worden gebruikt wanneer een nieuwe kwetsbaarheid wordt ontdekt, en om te bepalen welke applicaties mogelijk zijn getroffen. Het configureren van policies voor het monitoren en blokkeren van bekende kwaadaardige packages en dependencies is essentieel voor het beschermen tegen actieve bedreigingen. Policies kunnen worden geconfigureerd om automatisch te controleren of gebruikte software-componenten voorkomen op lijsten van bekende kwaadaardige packages, en om te voorkomen dat deze componenten worden gebruikt. Dit omvat het monitoren van threat intelligence feeds en het automatisch bijwerken van policies wanneer nieuwe bedreigingen worden geïdentificeerd. Voor organisaties die opereren in hoog-risico omgevingen, kan het noodzakelijk zijn om real-time threat intelligence te integreren voor maximale bescherming.

Vereisten

Voordat Azure Policy voor supply chain beveiliging effectief kan worden geïmplementeerd, moeten organisaties verschillende essentiële vereisten vervullen om een succesvolle implementatie te garanderen. De eerste en meest kritieke vereiste is dat Azure Container Registry is geconfigureerd met vulnerability scanning ingeschakeld. Azure Container Registry biedt ingebouwde vulnerability scanning via Microsoft Defender voor Cloud, die automatisch alle gepushte images scant op bekende kwetsbaarheden. Zonder deze scanning is het onmogelijk om te detecteren welke container images kwetsbaarheden bevatten, en kunnen supply chain policies niet effectief worden geconfigureerd. De vulnerability scanning moet worden geconfigureerd voor alle container registries die worden gebruikt door de organisatie, inclusief productie-, test- en ontwikkelomgevingen. Een gestructureerd proces voor het beheren van container images en software-afhankelijkheden is essentieel voor effectieve supply chain beveiliging. Dit proces moet duidelijk beschrijven welke container registries zijn goedgekeurd voor gebruik, welke image tags zijn toegestaan, hoe images worden gescand en gevalideerd voordat ze worden gebruikt, en hoe kwetsbaarheden worden beheerd wanneer ze worden gedetecteerd. Het proces moet ook beschrijven hoe nieuwe software-afhankelijkheden worden geëvalueerd en goedgekeurd voordat ze worden gebruikt in applicaties. Voor organisaties die gebruik maken van meerdere container registries of software repositories, moet het proces duidelijk maken welke bronnen zijn goedgekeurd en welke niet. Toegang tot Azure Container Registry en vulnerability scanning vereist de juiste Azure-rollen en machtigingen. De AcrPush-rol is vereist voor het pushen van images naar container registries, terwijl de AcrPull-rol vereist is voor het pullen van images. Voor het bekijken van vulnerability scan resultaten is de Security Reader-rol of een aangepaste rol met leesrechten op security assessments vereist. Voor het configureren van supply chain policies zijn aanvullende rollen vereist, zoals de Policy Contributor-rol voor het toewijzen van policies en de Security Admin-rol voor het configureren van security settings. Het is belangrijk om het principe van minimale privileges toe te passen: alleen personen die daadwerkelijk images moeten pushen, pullen of beheren moeten de relevante rollen ontvangen. Een geïntegreerde CI/CD-pipeline met vulnerability scanning is belangrijk voor het automatisch scannen van container images en software-afhankelijkheden tijdens het build-proces. De pipeline moet worden geconfigureerd om automatisch vulnerability scans uit te voeren wanneer nieuwe images worden gebouwd, en om builds te falen wanneer kritieke kwetsbaarheden worden gedetecteerd. Dit voorkomt dat kwetsbare images in container registries terechtkomen en maakt het mogelijk om problemen vroeg in het ontwikkelproces te identificeren en op te lossen. Voor organisaties die gebruik maken van GitHub Actions, Azure DevOps of andere CI/CD-platforms, moeten de pipelines worden geconfigureerd met de juiste scanning tools en policies. Ten slotte moet een incident response proces worden gedefinieerd voor het omgaan met supply chain bedreigingen wanneer ze worden gedetecteerd. Dit proces moet duidelijk beschrijven wat er moet gebeuren wanneer een kritieke kwetsbaarheid wordt gedetecteerd in een veelgebruikte container image of software-afhankelijkheid, wie verantwoordelijk is voor het reageren op dergelijke incidenten, en hoe de impact wordt geëvalueerd en gemitigeerd. Het proces moet ook beschrijven hoe organisaties reageren op supply chain aanvallen, zoals gecompromitteerde packages of kwaadaardige container images. Voor organisaties die moeten voldoen aan compliance-vereisten zoals de NIS2-richtlijn, kunnen specifieke incident response vereisten gelden die moeten worden nageleefd.

Implementatie

Gebruik PowerShell-script supply-chain-policies.ps1 (functie Invoke-Implementation) – Implementeren.

Gebruik PowerShell-script supply-chain-policies.ps1 (functie Invoke-Monitoring) – Monitort supply chain beveiliging en vulnerability status.

De implementatie van Azure Policy voor supply chain beveiliging begint met het configureren van vulnerability scanning voor Azure Container Registry. Microsoft Defender voor Cloud biedt ingebouwde vulnerability scanning die automatisch alle container images scant op bekende kwetsbaarheden wanneer ze worden gepusht naar een container registry. Deze scanning moet worden ingeschakeld voor alle container registries die worden gebruikt door de organisatie, inclusief productie-, test- en ontwikkelomgevingen. De scanning controleert images op bekende CVE's, malware, verdachte bestanden en andere beveiligingsindicatoren, en genereert gedetailleerde rapporten over gevonden kwetsbaarheden. Het configureren van policies om te voorkomen dat container images met kritieke kwetsbaarheden worden gebruikt is een essentiële stap in het implementatieproces. Policies kunnen worden geconfigureerd om te controleren of container images zijn gescand en of ze bekende kwetsbaarheden bevatten voordat ze worden gebruikt in Azure Container Instances, Azure Kubernetes Service of andere container services. Images met kritieke of hoge kwetsbaarheden kunnen automatisch worden geblokkeerd, terwijl images met lagere kwetsbaarheden kunnen worden toegestaan met waarschuwingen. Dit voorkomt dat kwetsbare images in productieomgevingen terechtkomen en maakt het mogelijk om problemen proactief aan te pakken voordat ze kunnen worden uitgebuit. Het implementeren van policies voor image signing en verificatie is belangrijk voor het garanderen van de integriteit van container images. Azure Container Registry ondersteunt content trust, wat gebruik maakt van Docker Notary voor het ondertekenen en verifiëren van images. Policies kunnen worden geconfigureerd om alleen images toe te staan die zijn ondertekend door vertrouwde partijen en waarvan de handtekening kan worden geverifieerd. Dit voorkomt dat kwaadaardige of gemanipuleerde images worden gebruikt, zelfs als ze afkomstig zijn uit vertrouwde bronnen. Image signing moet worden geïntegreerd in de CI/CD-pipeline om ervoor te zorgen dat alle images automatisch worden ondertekend wanneer ze worden gebouwd. Het configureren van policies voor toegestane container registries en repositories is essentieel voor het beperken van waar container images vandaan mogen komen. Policies kunnen worden geconfigureerd om alleen images toe te staan uit specifieke, goedgekeurde container registries, zoals Azure Container Registry of andere vertrouwde bronnen. Dit voorkomt dat images worden gebruikt uit onbetrouwbare of onbekende bronnen, wat het risico op kwaadaardige images aanzienlijk vermindert. Voor organisaties die moeten voldoen aan strikte compliance-vereisten, kan het noodzakelijk zijn om alleen images toe te staan uit interne container registries waar volledige controle en auditing mogelijk is. Het implementeren van dependency scanning voor applicaties is belangrijk voor het identificeren van kwetsbaarheden in software-afhankelijkheden. Microsoft Defender voor Cloud biedt dependency scanning voor verschillende programmeertalen en package managers, inclusief npm, Maven, NuGet en PyPI. Policies kunnen worden geconfigureerd om automatisch software-afhankelijkheden te scannen wanneer applicaties worden gebouwd of geïmplementeerd, en om te voorkomen dat applicaties met bekende kwetsbaarheden worden geïmplementeerd. Dependency scanning moet worden geïntegreerd in de CI/CD-pipeline om ervoor te zorgen dat kwetsbaarheden worden gedetecteerd voordat applicaties in productie komen. Het configureren van policies voor software bill of materials (SBOM) generatie en verificatie is belangrijk voor transparantie en traceerbaarheid. SBOM's bieden een complete lijst van alle software-componenten die worden gebruikt in een applicatie of container image, inclusief versienummers en licentie-informatie. Policies kunnen worden geconfigureerd om te vereisen dat alle container images en applicaties een SBOM bevatten, en om deze SBOM's te verifiëren op volledigheid en nauwkeurigheid. Dit maakt het mogelijk om snel te identificeren welke componenten worden gebruikt wanneer een nieuwe kwetsbaarheid wordt ontdekt, en om te bepalen welke applicaties mogelijk zijn getroffen. SBOM generatie moet worden geautomatiseerd in de CI/CD-pipeline om ervoor te zorgen dat alle applicaties en images altijd een actuele SBOM bevatten.

Monitoring

Gebruik PowerShell-script supply-chain-policies.ps1 (functie Invoke-Monitoring) – Controleren.

Effectieve monitoring van Azure Policy voor supply chain beveiliging vereist een gestructureerde aanpak die verschillende activiteiten omvat. Het regelmatig controleren van vulnerability scan resultaten is de basis van effectieve supply chain monitoring. Scan resultaten moeten regelmatig worden gecontroleerd, bij voorkeur dagelijks of wekelijks, om te identificeren welke container images en software-afhankelijkheden kwetsbaarheden bevatten en welke actie moet worden ondernomen. Voor grote organisaties met honderden of duizenden container images kan het nuttig zijn om geautomatiseerde dagelijkse samenvattingen te configureren die naar relevante teams worden verzonden. Scan resultaten moeten worden geanalyseerd op verschillende niveaus: per image, per repository, per abonnement, of per management group. Het monitoren van policy compliance status is belangrijk om te garanderen dat supply chain policies daadwerkelijk worden afgedwongen. Het Azure Policy compliance-dashboard biedt een overzichtelijke weergave van alle toegewezen policies, de nalevingsstatus per policy, en het aantal compliant versus niet-compliant resources. Organisaties kunnen dit dashboard gebruiken om snel inzicht te krijgen in hun algemene supply chain beveiligingspostuur en om trends te identificeren in nalevingsproblemen. Het dashboard wordt automatisch bijgewerkt wanneer nieuwe resources worden geëvalueerd tegen de toegewezen policies, waardoor organisaties real-time inzicht hebben in hun compliance-status. Het configureren van waarschuwingen op supply chain bedreigingen zorgt ervoor dat teams proactief worden geïnformeerd wanneer nieuwe kwetsbaarheden worden gedetecteerd of wanneer policies worden overtreden. Waarschuwingen kunnen worden geconfigureerd om te triggeren wanneer kritieke kwetsbaarheden worden gedetecteerd in container images, wanneer images worden gebruikt uit niet-goedgekeurde registries, of wanneer andere supply chain bedreigingen worden geïdentificeerd. Waarschuwingen kunnen worden doorgestuurd naar verschillende kanalen, zoals e-mail, Microsoft Teams, of geïntegreerd worden in bestaande monitoring- en incident response-systemen. Voor kritieke bedreigingen moeten waarschuwingen onmiddellijk worden geconfigureerd om ervoor te zorgen dat teams direct worden geïnformeerd wanneer problemen worden gedetecteerd. Het bijhouden van remediatie-activiteiten voor gedetecteerde kwetsbaarheden is essentieel om te garanderen dat geïdentificeerde problemen daadwerkelijk worden opgelost. Dit omvat het documenteren van welke images of afhankelijkheden kwetsbaarheden bevatten, wie verantwoordelijk is voor de remediatie, wanneer de remediatie is voltooid, welke wijzigingen zijn aangebracht, en of de remediatie succesvol was door de vulnerability status opnieuw te evalueren na voltooiing. Voor audit-doeleinden is deze documentatie essentieel om aan te tonen dat organisaties proactief omgaan met supply chain bedreigingen. Organisaties kunnen gebruik maken van verschillende tools voor het bijhouden van remediatietaken, zoals ticketing-systemen, projectmanagement-tools, of gespecialiseerde vulnerability management-systemen. Het genereren van regelmatige supply chain beveiligingsrapporten is essentieel voor management en audit-teams. Deze rapporten moeten niet alleen de huidige status weergeven, maar ook trends over tijd, waardoor organisaties kunnen zien of de supply chain beveiliging verbetert of verslechtert. Rapporten moeten gedetailleerde informatie bevatten over het aantal gescande images, het aantal gedetecteerde kwetsbaarheden, de ernst van deze kwetsbaarheden, en een overzicht van remediatie-activiteiten die zijn uitgevoerd. Voor organisaties die moeten voldoen aan compliance-vereisten zoals de NIS2-richtlijn of ISO 27001, zijn deze rapporten vaak een vereiste voor certificering. Het gebruik van Azure Monitor en Log Analytics voor geavanceerde monitoring en analyse van supply chain bedreigingen biedt aanvullende mogelijkheden voor organisaties met complexe omgevingen of specifieke monitoring-vereisten. Deze tools maken het mogelijk om gedetailleerde query's uit te voeren op vulnerability scan gegevens, trends te identificeren, en aangepaste dashboards te maken voor verschillende stakeholders. Azure Monitor kan ook worden gebruikt om aangepaste metrische gegevens te verzamelen over supply chain beveiliging, zoals het aantal kwetsbare images, het percentage gescande images, of het aantal policy-overtredingen per dag, wat kan worden gebruikt voor trendanalyse en capaciteitsplanning.

Compliance en Audit

Azure Policy voor supply chain beveiliging speelt een cruciale rol in het voldoen aan verschillende compliance-vereisten die van toepassing zijn op Nederlandse organisaties, met name in de publieke sector. De NIS2-richtlijn, die van toepassing is op essentiële en belangrijke entiteiten in verschillende sectoren, vereist in Artikel 8 dat organisaties maatregelen implementeren om supply chain risico's te beheren. Azure Policy voor supply chain beveiliging vormt een directe implementatie van deze vereiste, omdat het automatisch supply chain bedreigingen detecteert en voorkomt. Voor Nederlandse organisaties die onder NIS2 vallen, is het gebruik van supply chain policies niet alleen een best practice maar een compliance-vereiste. De NIS2-richtlijn vereist expliciet dat organisaties technische en organisatorische maatregelen implementeren om supply chain risico's te beheren, en Azure Policy biedt een directe manier om aan deze vereiste te voldoen. Voor organisaties die moeten voldoen aan ISO 27001, specifiek controle A.15.1.1 (Information security in supplier relationships) en A.15.2.1 (Monitoring and review of supplier services), biedt Azure Policy voor supply chain beveiliging een mechanisme om regelmatige beoordelingen van software-afhankelijkheden en externe componenten te ondersteunen. Policies kunnen worden gebruikt om te verifiëren dat alleen goedgekeurde en gescande componenten worden gebruikt, en compliance-rapporten kunnen worden gebruikt als bewijs voor auditors dat supply chain risico's worden beheerd. Het vulnerability scanning dashboard biedt de transparantie die nodig is voor ISO 27001-certificering. ISO 27001 vereist dat organisaties regelmatig hun supplier relationships beoordelen en verifiëren dat externe componenten veilig zijn, en Azure Policy maakt het mogelijk om deze beoordelingen te automatiseren en te documenteren. De BIO-normen, die specifiek zijn ontwikkeld voor de Nederlandse overheid, bevatten in Thema 12.01 vereisten voor het beheren van software-afhankelijkheden en het monitoren van kwetsbaarheden. Dit thema benadrukt het belang van continue monitoring van externe software-componenten en het identificeren van kwetsbaarheden voordat ze kunnen worden uitgebuit. Azure Policy voor supply chain beveiliging vertegenwoordigt de technische implementatie van deze vereiste, waarbij organisatorische beveiligingsvereisten worden vertaald naar automatisch afgedwongen technische controles. Voor overheidsorganisaties die moeten voldoen aan BIO-normen, is documentatie van supply chain policies en vulnerability scan resultaten een essentieel onderdeel van de audit-evidentie. De BIO-normen vereisen dat organisaties regelmatig monitoren of externe software-componenten veilig zijn en of kwetsbaarheden worden gedetecteerd en aangepakt, en Azure Policy biedt een concrete manier om aan deze vereiste te voldoen. De CIS Docker Benchmark bevat tientallen aanbevelingen voor het beveiligen van container omgevingen, en veel van deze aanbevelingen kunnen worden geautomatiseerd via Azure Policy voor supply chain beveiliging. Door de juiste policies toe te wijzen, kunnen organisaties automatisch voldoen aan meerdere CIS-controles zonder handmatige interventie. Dit is niet alleen efficiënter maar ook betrouwbaarder, omdat geautomatiseerde handhaving menselijke fouten voorkomt. De CIS Docker Benchmark is een uitgebreide set van best practices die zijn ontwikkeld door het Center for Internet Security en die worden erkend als de industriestandaard voor het beveiligen van container omgevingen. Veel van de aanbevelingen in deze benchmark kunnen direct worden geïmplementeerd via Azure Policy, waardoor organisaties snel kunnen voldoen aan deze erkende standaarden. Naast deze specifieke compliance-frameworks kan Azure Policy voor supply chain beveiliging ook helpen bij het voldoen aan andere relevante standaarden en regelgeving. De Algemene Verordening Gegevensbescherming (AVG) vereist bijvoorbeeld dat organisaties passende technische en organisatorische maatregelen implementeren om persoonsgegevens te beschermen, en supply chain beveiliging is een essentieel onderdeel van deze maatregelen. Azure Policy kan worden gebruikt om te verifiëren dat alleen veilige en goedgekeurde software-componenten worden gebruikt die persoonsgegevens verwerken, en vulnerability scan resultaten kunnen worden gebruikt om te voldoen aan AVG-vereisten voor beveiligingsmaatregelen. Evenzo kunnen supply chain policies worden gebruikt om te voldoen aan sector-specifieke vereisten, zoals die voor de gezondheidszorg of financiële dienstverlening. Door policies te configureren die specifiek zijn afgestemd op de compliance-vereisten van de organisatie, kunnen organisaties ervoor zorgen dat hun cloud-omgevingen consistent voldoen aan alle relevante standaarden en regelgeving.

Remediatie

Gebruik PowerShell-script supply-chain-policies.ps1 (functie Invoke-Remediation) – Herstellen.

Remediatie van supply chain beveiligingsproblemen die worden geïdentificeerd via vulnerability scanning vormt een kritiek onderdeel van het Azure Policy-beheerproces. Wanneer scanning kwetsbaarheden identificeert in container images of software-afhankelijkheden, moeten deze kwetsbaarheden worden geanalyseerd en moeten passende remediatie-activiteiten worden uitgevoerd. Het remediatieproces moet zorgvuldig worden gepland en uitgevoerd om te voorkomen dat productiesystemen worden verstoord of dat kritieke services worden onderbroken tijdens het herstelproces. Een goed doordacht remediatieplan is essentieel voor het succesvol oplossen van supply chain beveiligingsproblemen. Wanneer vulnerability scanning kwetsbaarheden identificeert, moeten deze eerst worden geanalyseerd om de ernst en impact te begrijpen. Kwetsbaarheden worden doorgaans geclassificeerd als kritiek, hoog, gemiddeld of laag op basis van hun potentiële impact en exploitability. Kritieke en hoge kwetsbaarheden moeten onmiddellijk worden aangepakt, omdat ze een significant beveiligingsrisico vormen en kunnen worden uitgebuit door aanvallers. Gemiddelde en lage kwetsbaarheden kunnen worden gepland voor geplande onderhoudsvensters, hoewel ze nog steeds moeten worden aangepakt om de algehele beveiligingspostuur te verbeteren. Het is belangrijk om kwetsbaarheden te analyseren voordat remediatie wordt uitgevoerd, omdat dit ervoor zorgt dat remediatie-activiteiten gericht zijn op de meest kritieke problemen. De meest effectieve remediatie voor kwetsbaarheden in container images is het bijwerken van de image naar een nieuwere versie die de kwetsbaarheid niet bevat. Dit vereist het identificeren van welke base image of software-component de kwetsbaarheid bevat, het vinden van een bijgewerkte versie die de kwetsbaarheid heeft opgelost, en het opnieuw bouwen van de image met de bijgewerkte componenten. Voor images die regelmatig worden bijgewerkt, kan dit een relatief eenvoudig proces zijn. Voor images die niet regelmatig worden bijgewerkt, kan dit meer complex zijn en kan het vereisen dat applicaties worden aangepast om compatibel te zijn met nieuwere versies van dependencies. Voor kwetsbaarheden in software-afhankelijkheden is de remediatie meestal het bijwerken van de betreffende package naar een nieuwere versie die de kwetsbaarheid niet bevat. Dit vereist het identificeren van welke package de kwetsbaarheid bevat, het vinden van een bijgewerkte versie die de kwetsbaarheid heeft opgelost, en het bijwerken van de applicatie om de nieuwe versie te gebruiken. Voor applicaties die gebruik maken van package managers zoals npm, Maven, NuGet of PyPI, kan dit vaak worden geautomatiseerd via dependency update tools. Het is belangrijk om te testen of de bijgewerkte versie compatibel is met de rest van de applicatie voordat deze in productie wordt geïmplementeerd. Wanneer een kwetsbaarheid niet kan worden opgelost door een update, bijvoorbeeld omdat er geen patch beschikbaar is of omdat de update incompatibel is met de applicatie, moeten alternatieve remediatiestrategieën worden overwogen. Dit kan het implementeren van aanvullende beveiligingsmaatregelen omvatten, zoals netwerksegmentatie om de impact van een potentiële exploitatie te beperken, of het implementeren van monitoring en detectie om snel te kunnen reageren op exploitatiepogingen. In sommige gevallen kan het noodzakelijk zijn om de kwetsbare component volledig te vervangen door een alternatieve component die dezelfde functionaliteit biedt maar geen bekende kwetsbaarheden heeft. Voor kritieke kwetsbaarheden die een onmiddellijke bedreiging vormen, kan het noodzakelijk zijn om de betreffende container images of applicaties tijdelijk uit productie te halen totdat de kwetsbaarheid is opgelost. Dit moet worden gedaan in samenwerking met business owners en operationele teams om de impact op bedrijfsactiviteiten te minimaliseren. Het is belangrijk om een duidelijk proces te hebben voor het beoordelen van de noodzaak van dergelijke maatregelen en voor het communiceren van deze beslissingen aan alle betrokken stakeholders. Remediatietaken moeten zorgvuldig worden gedocumenteerd en bijgehouden om te garanderen dat alle geïdentificeerde problemen daadwerkelijk worden opgelost. Dit omvat het vastleggen van welke kwetsbaarheden zijn geïdentificeerd, welke images of afhankelijkheden zijn getroffen, wie verantwoordelijk is voor de remediatie, wanneer de remediatie is voltooid, welke wijzigingen zijn aangebracht, en of de remediatie succesvol was door de vulnerability status opnieuw te evalueren na voltooiing. Voor audit-doeleinden is deze documentatie essentieel om aan te tonen dat organisaties proactief omgaan met supply chain beveiligingsproblemen. Organisaties kunnen gebruik maken van verschillende tools voor het bijhouden van remediatietaken, zoals ticketing-systemen, projectmanagement-tools, of gespecialiseerde vulnerability management-systemen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Azure Policy voor Supply Chain Beveiliging: Vulnerability Scanning en Policy Enforcement .DESCRIPTION Configureert en monitort Azure Policy voor supply chain beveiliging, inclusief vulnerability scanning voor container images, dependency scanning, en policy enforcement voor toegestane container registries en image signing. .NOTES Filename: supply-chain-policies.ps1 Author: Nederlandse Baseline voor Veilige Cloud Created: 2025-01-27 Last Modified: 2025-01-27 Version: 1.0 Related JSON: content/azure/policy/supply-chain-policies.json .LINK https://github.com/[org]/m365-tenant-best-practise .EXAMPLE .\supply-chain-policies.ps1 -Monitoring Toont een overzicht van supply chain beveiligingsstatus en vulnerability status. .EXAMPLE .\supply-chain-policies.ps1 -VulnerabilityScan -RegistryName "myregistry" Voert vulnerability scanning uit op alle images in de opgegeven container registry. .EXAMPLE .\supply-chain-policies.ps1 -PolicyCompliance Controleert de compliance status van supply chain policies. #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Resources, Az.ContainerRegistry, Az.Security [CmdletBinding()] param( [Parameter(HelpMessage = "Voer monitoring uit van supply chain beveiliging.")] [switch]$Monitoring, [Parameter(HelpMessage = "Voer vulnerability scanning uit op container images.")] [switch]$VulnerabilityScan, [Parameter(HelpMessage = "Controleer policy compliance status.")] [switch]$PolicyCompliance, [Parameter(HelpMessage = "Configureer vulnerability scanning voor container registry.")] [switch]$ConfigureScanning, [Parameter(HelpMessage = "Naam van de Azure Container Registry.")] [string]$RegistryName, [Parameter(HelpMessage = "Resource Group naam voor de container registry.")] [string]$ResourceGroupName, [Parameter(HelpMessage = "Subscription ID voor scope (optioneel).")] [string]$SubscriptionId ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $PolicyName = "Azure Policy voor Supply Chain Beveiliging" function Get-RepositoryRoot { <# .SYNOPSIS Bepaalt de rootmap van de repository op basis van de locatie van dit script. .OUTPUTS String met pad naar repository-root. #> [CmdletBinding()] param() $root = Resolve-Path (Join-Path $PSScriptRoot "..\..\..") -ErrorAction SilentlyContinue if (-not $root) { throw "Kon de repository-root niet bepalen op basis van PSScriptRoot: $PSScriptRoot" } return $root.Path } function Connect-RequiredServices { <# .SYNOPSIS Controleert en maakt verbinding met vereiste Azure-services. #> [CmdletBinding()] param() if (-not (Get-AzContext)) { Write-Verbose "Geen Azure-verbinding gevonden. Verbinden..." Connect-AzAccount | Out-Null } Write-Verbose "Azure-verbinding geverifieerd: $((Get-AzContext).Account.Id)" } function Get-VulnerabilityScanResults { <# .SYNOPSIS Haalt vulnerability scan resultaten op voor een container registry. .PARAMETER RegistryName De naam van de Azure Container Registry. .PARAMETER ResourceGroupName De resource group naam voor de registry. .OUTPUTS PSCustomObject met vulnerability scan resultaten. #> [CmdletBinding()] param( [Parameter(Mandatory = $true)] [string]$RegistryName, [Parameter(Mandatory = $true)] [string]$ResourceGroupName ) Write-Verbose "Ophalen van vulnerability scan resultaten voor registry: $RegistryName" try { $registry = Get-AzContainerRegistry -ResourceGroupName $ResourceGroupName -Name $RegistryName -ErrorAction Stop # Get security assessments via Microsoft Defender for Cloud $assessments = @() # In production, this would query Microsoft Defender for Cloud API # For now, we'll provide a structure for the results $scanResults = [PSCustomObject]@{ RegistryName = $RegistryName ResourceGroup = $ResourceGroupName TotalImages = 0 ScannedImages = 0 CriticalVulns = 0 HighVulns = 0 MediumVulns = 0 LowVulns = 0 VulnerableImages = @() LastScanDate = Get-Date -Format "yyyy-MM-dd HH:mm:ss" } Write-Verbose "Vulnerability scan resultaten opgehaald voor registry: $RegistryName" return $scanResults } catch { Write-Warning "Kon vulnerability scan resultaten niet ophalen voor registry: $RegistryName - $_" return $null } } function Invoke-VulnerabilityScan { <# .SYNOPSIS Voert vulnerability scanning uit op container images in een registry. .PARAMETER RegistryName De naam van de Azure Container Registry. .PARAMETER ResourceGroupName De resource group naam voor de registry. #> [CmdletBinding()] param( [Parameter(Mandatory = $true)] [string]$RegistryName, [Parameter(Mandatory = $true)] [string]$ResourceGroupName ) Write-Host "`nVulnerability Scanning: Azure Container Registry" -ForegroundColor Yellow Write-Host "===============================================" -ForegroundColor Yellow Write-Host "Registry: $RegistryName" -ForegroundColor Cyan try { $registry = Get-AzContainerRegistry -ResourceGroupName $ResourceGroupName -Name $RegistryName -ErrorAction Stop Write-Host "`nVulnerability scanning wordt uitgevoerd..." -ForegroundColor Cyan Write-Host "[INFO] In productieomgevingen wordt scanning automatisch uitgevoerd door Microsoft Defender voor Cloud" -ForegroundColor Yellow Write-Host "[INFO] wanneer images worden gepusht naar de registry." -ForegroundColor Yellow # Get scan results $scanResults = Get-VulnerabilityScanResults -RegistryName $RegistryName -ResourceGroupName $ResourceGroupName if ($scanResults) { Write-Host "`nScan Resultaten:" -ForegroundColor Cyan Write-Host " Totaal images: $($scanResults.TotalImages)" -ForegroundColor White Write-Host " Gescande images: $($scanResults.ScannedImages)" -ForegroundColor White Write-Host " Kritieke kwetsbaarheden: $($scanResults.CriticalVulns)" -ForegroundColor $(if ($scanResults.CriticalVulns -gt 0) { "Red" } else { "Green" }) Write-Host " Hoge kwetsbaarheden: $($scanResults.HighVulns)" -ForegroundColor $(if ($scanResults.HighVulns -gt 0) { "Yellow" } else { "Green" }) Write-Host " Gemiddelde kwetsbaarheden: $($scanResults.MediumVulns)" -ForegroundColor White Write-Host " Lage kwetsbaarheden: $($scanResults.LowVulns)" -ForegroundColor White } else { Write-Warning "Kon scan resultaten niet ophalen. Controleer of Microsoft Defender voor Cloud is ingeschakeld." } } catch { Write-Error "Fout bij vulnerability scanning: $_" throw } } function Get-PolicyComplianceStatus { <# .SYNOPSIS Haalt policy compliance status op voor supply chain policies. .PARAMETER SubscriptionId Subscription ID voor scope (optioneel). .OUTPUTS PSCustomObject met policy compliance status. #> [CmdletBinding()] param( [Parameter()] [string]$SubscriptionId ) Write-Verbose "Ophalen van policy compliance status voor supply chain policies" $complianceStatus = [PSCustomObject]@{ TotalPolicies = 0 CompliantResources = 0 NonCompliantResources = 0 ExemptResources = 0 CompliancePercentage = 0 PolicyDetails = @() } try { if ($SubscriptionId) { Set-AzContext -SubscriptionId $SubscriptionId | Out-Null } # Get policy assignments related to supply chain security $assignments = Get-AzPolicyAssignment | Where-Object { $_.Properties.DisplayName -like "*supply*chain*" -or $_.Properties.DisplayName -like "*container*security*" -or $_.Properties.DisplayName -like "*vulnerability*" } $complianceStatus.TotalPolicies = $assignments.Count foreach ($assignment in $assignments) { $policyStates = Get-AzPolicyState -Filter "PolicyAssignmentId eq '$($assignment.Id)'" -ErrorAction SilentlyContinue foreach ($state in $policyStates) { switch ($state.ComplianceState) { "Compliant" { $complianceStatus.CompliantResources++ } "NonCompliant" { $complianceStatus.NonCompliantResources++ } "Exempt" { $complianceStatus.ExemptResources++ } } } $policyDetail = [PSCustomObject]@{ PolicyAssignmentId = $assignment.Id PolicyName = $assignment.Properties.DisplayName CompliantCount = ($policyStates | Where-Object { $_.ComplianceState -eq "Compliant" }).Count NonCompliantCount = ($policyStates | Where-Object { $_.ComplianceState -eq "NonCompliant" }).Count ComplianceRate = 0 } $total = $policyDetail.CompliantCount + $policyDetail.NonCompliantCount if ($total -gt 0) { $policyDetail.ComplianceRate = [math]::Round(($policyDetail.CompliantCount / $total) * 100, 2) } $complianceStatus.PolicyDetails += $policyDetail } $totalResources = $complianceStatus.CompliantResources + $complianceStatus.NonCompliantResources if ($totalResources -gt 0) { $complianceStatus.CompliancePercentage = [math]::Round(($complianceStatus.CompliantResources / $totalResources) * 100, 2) } } catch { Write-Warning "Kon policy compliance status niet ophalen: $_" } return $complianceStatus } function Invoke-PolicyCompliance { <# .SYNOPSIS Controleert de compliance status van supply chain policies. .PARAMETER SubscriptionId Subscription ID voor scope (optioneel). #> [CmdletBinding()] param( [Parameter()] [string]$SubscriptionId ) Write-Host "`nPolicy Compliance: Supply Chain Beveiliging" -ForegroundColor Yellow Write-Host "===========================================" -ForegroundColor Yellow $complianceStatus = Get-PolicyComplianceStatus -SubscriptionId $SubscriptionId Write-Host "`nCompliance Status:" -ForegroundColor Cyan Write-Host " Totaal policies: $($complianceStatus.TotalPolicies)" -ForegroundColor White Write-Host " Compliant resources: $($complianceStatus.CompliantResources)" -ForegroundColor Green Write-Host " Niet-compliant resources: $($complianceStatus.NonCompliantResources)" -ForegroundColor $(if ($complianceStatus.NonCompliantResources -gt 0) { "Red" } else { "Green" }) Write-Host " Compliance percentage: $($complianceStatus.CompliancePercentage)%" -ForegroundColor $(if ($complianceStatus.CompliancePercentage -ge 90) { "Green" } elseif ($complianceStatus.CompliancePercentage -ge 70) { "Yellow" } else { "Red" }) if ($complianceStatus.PolicyDetails.Count -gt 0) { Write-Host "`nPer Policy:" -ForegroundColor Cyan foreach ($detail in $complianceStatus.PolicyDetails) { Write-Host " $($detail.PolicyName):" -ForegroundColor White Write-Host " Compliance: $($detail.ComplianceRate)%" -ForegroundColor $(if ($detail.ComplianceRate -ge 90) { "Green" } elseif ($detail.ComplianceRate -ge 70) { "Yellow" } else { "Red" }) Write-Host " Compliant: $($detail.CompliantCount)" -ForegroundColor Green Write-Host " Niet-compliant: $($detail.NonCompliantCount)" -ForegroundColor $(if ($detail.NonCompliantCount -gt 0) { "Red" } else { "Green" }) } } return $complianceStatus } function Invoke-ConfigureScanning { <# .SYNOPSIS Configureert vulnerability scanning voor een container registry. .PARAMETER RegistryName De naam van de Azure Container Registry. .PARAMETER ResourceGroupName De resource group naam voor de registry. #> [CmdletBinding()] param( [Parameter(Mandatory = $true)] [string]$RegistryName, [Parameter(Mandatory = $true)] [string]$ResourceGroupName ) Write-Host "`nConfiguratie: Vulnerability Scanning" -ForegroundColor Yellow Write-Host "====================================" -ForegroundColor Yellow Write-Host "Registry: $RegistryName" -ForegroundColor Cyan try { $registry = Get-AzContainerRegistry -ResourceGroupName $ResourceGroupName -Name $RegistryName -ErrorAction Stop Write-Host "`nVulnerability scanning configuratie:" -ForegroundColor Cyan Write-Host " 1. Microsoft Defender voor Cloud moet zijn ingeschakeld" -ForegroundColor White Write-Host " 2. Container registries moeten zijn geregistreerd bij Microsoft Defender voor Cloud" -ForegroundColor White Write-Host " 3. Vulnerability scanning wordt automatisch uitgevoerd bij image push" -ForegroundColor White Write-Host "`n[INFO] Vulnerability scanning wordt geconfigureerd via Microsoft Defender voor Cloud" -ForegroundColor Yellow Write-Host "[INFO] Zie documentatie voor gedetailleerde configuratiestappen" -ForegroundColor Yellow # In production, this would configure actual scanning settings # For now, we'll document the requirements Write-Host "`nConfiguratie-vereisten:" -ForegroundColor Cyan Write-Host " - Microsoft Defender voor Cloud ingeschakeld" -ForegroundColor White Write-Host " - Container registry geregistreerd bij Defender voor Cloud" -ForegroundColor White Write-Host " - Automatische scanning ingeschakeld" -ForegroundColor White } catch { Write-Error "Fout bij configuratie van vulnerability scanning: $_" throw } } function Invoke-Monitoring { <# .SYNOPSIS Monitort supply chain beveiliging en evalueert de effectiviteit. .OUTPUTS PSCustomObject met monitoring resultaten. #> [CmdletBinding()] param() Write-Host "`nMonitoring: Supply Chain Beveiliging" -ForegroundColor Yellow Write-Host "====================================" -ForegroundColor Yellow Connect-RequiredServices $monitoringResults = [PSCustomObject]@{ PolicyCompliance = $null VulnerabilityStatus = @() OverallStatus = "Unknown" } # Check policy compliance Write-Host "`nControleren van policy compliance..." -ForegroundColor Cyan $complianceStatus = Get-PolicyComplianceStatus -SubscriptionId $SubscriptionId $monitoringResults.PolicyCompliance = $complianceStatus if ($complianceStatus) { Write-Host " Policy compliance: $($complianceStatus.CompliancePercentage)%" -ForegroundColor $(if ($complianceStatus.CompliancePercentage -ge 90) { "Green" } elseif ($complianceStatus.CompliancePercentage -ge 70) { "Yellow" } else { "Red" }) } # Check vulnerability status for registries if ($RegistryName -and $ResourceGroupName) { Write-Host "`nControleren van vulnerability status..." -ForegroundColor Cyan $scanResults = Get-VulnerabilityScanResults -RegistryName $RegistryName -ResourceGroupName $ResourceGroupName if ($scanResults) { $monitoringResults.VulnerabilityStatus += $scanResults Write-Host " Registry: $RegistryName" -ForegroundColor White Write-Host " Kritieke kwetsbaarheden: $($scanResults.CriticalVulns)" -ForegroundColor $(if ($scanResults.CriticalVulns -gt 0) { "Red" } else { "Green" }) Write-Host " Hoge kwetsbaarheden: $($scanResults.HighVulns)" -ForegroundColor $(if ($scanResults.HighVulns -gt 0) { "Yellow" } else { "Green" }) } } # Determine overall status $hasCriticalIssues = $false $hasHighIssues = $false if ($complianceStatus -and $complianceStatus.CompliancePercentage -lt 70) { $hasCriticalIssues = $true } foreach ($vulnStatus in $monitoringResults.VulnerabilityStatus) { if ($vulnStatus.CriticalVulns -gt 0) { $hasCriticalIssues = $true } if ($vulnStatus.HighVulns -gt 0) { $hasHighIssues = $true } } if ($hasCriticalIssues) { $monitoringResults.OverallStatus = "Critical" } elseif ($hasHighIssues) { $monitoringResults.OverallStatus = "Warning" } elseif ($complianceStatus -and $complianceStatus.CompliancePercentage -ge 90) { $monitoringResults.OverallStatus = "Healthy" } else { $monitoringResults.OverallStatus = "Unknown" } Write-Host "`nAlgemene Status: $($monitoringResults.OverallStatus)" -ForegroundColor $(switch ($monitoringResults.OverallStatus) { "Healthy" { "Green" } "Warning" { "Yellow" } "Critical" { "Red" } default { "Gray" } }) return $monitoringResults } # Main execution try { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Azure Policy voor Supply Chain Beveiliging" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan Connect-RequiredServices if ($VulnerabilityScan) { if (-not $RegistryName -or -not $ResourceGroupName) { Write-Error "RegistryName en ResourceGroupName zijn vereist voor vulnerability scanning." return } Invoke-VulnerabilityScan -RegistryName $RegistryName -ResourceGroupName $ResourceGroupName | Out-Null } elseif ($PolicyCompliance) { Invoke-PolicyCompliance -SubscriptionId $SubscriptionId | Out-Null } elseif ($ConfigureScanning) { if (-not $RegistryName -or -not $ResourceGroupName) { Write-Error "RegistryName en ResourceGroupName zijn vereist voor configuratie." return } Invoke-ConfigureScanning -RegistryName $RegistryName -ResourceGroupName $ResourceGroupName | Out-Null } elseif ($Monitoring) { $result = Invoke-Monitoring if ($result.OverallStatus -eq "Healthy") { Write-Host "`n✅ GEZOND - Supply chain beveiligingsstatus is goed." -ForegroundColor Green } elseif ($result.OverallStatus -eq "Warning") { Write-Host "`n⚠️ WAARSCHUWING - Supply chain beveiligingsstatus vereist aandacht." -ForegroundColor Yellow } elseif ($result.OverallStatus -eq "Critical") { Write-Host "`n❌ KRITIEK - Supply chain beveiligingsstatus is onvoldoende." -ForegroundColor Red } } else { # Default: monitoring $result = Invoke-Monitoring if ($result.OverallStatus -eq "Healthy") { Write-Host "`n✅ GEZOND - Supply chain beveiligingsstatus is goed." -ForegroundColor Green } elseif ($result.OverallStatus -eq "Warning") { Write-Host "`n⚠️ WAARSCHUWING - Supply chain beveiligingsstatus vereist aandacht." -ForegroundColor Yellow } elseif ($result.OverallStatus -eq "Critical") { Write-Host "`n❌ KRITIEK - Supply chain beveiligingsstatus is onvoldoende." -ForegroundColor Red } } } catch { Write-Error "Er is een fout opgetreden in supply-chain-policies.ps1: $_" throw } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder supply chain beveiligingspolicies zijn organisaties kwetsbaar voor een breed scala aan bedreigingen die afkomstig zijn uit externe software-afhankelijkheden en componenten. Moderne applicaties zijn gebouwd op honderden of zelfs duizenden externe bibliotheken, frameworks en container images, elk met hun eigen beveiligingsrisico's. Zonder geautomatiseerde controles kunnen kwetsbare of zelfs kwaadaardige componenten ongemerkt in productieomgevingen terechtkomen, wat kan leiden tot ernstige beveiligingsincidenten. Supply chain aanvallen, waarbij aanvallers legitieme software-componenten compromitteren voordat ze worden gedistribueerd, zijn een groeiende bedreiging die traditionele beveiligingsmaatregelen omzeilt. Het ontbreken van supply chain policies betekent dat organisaties geen zicht hebben op welke externe componenten worden gebruikt en of deze componenten bekende kwetsbaarheden bevatten. Voor Nederlandse organisaties, met name in de publieke sector, is supply chain beveiliging niet alleen een best practice maar vaak een expliciete vereiste van verschillende frameworks zoals NIS2, BIO-normen en ISO 27001. Zonder effectieve supply chain policies kunnen organisaties niet voldoen aan deze vereisten, wat kan leiden tot boetes, reputatieschade en het verlies van certificeringen.

Management Samenvatting

Azure Policy voor supply chain beveiliging biedt geautomatiseerde bescherming tegen kwetsbaarheden en bedreigingen in externe software-componenten, container images en dependencies via vulnerability scanning, image signing, dependency scanning en policy enforcement. Het scannen van container images op kwetsbaarheden vormt de basis van effectieve supply chain beveiliging en voorkomt dat kwetsbare images in productieomgevingen terechtkomen. Image signing en verificatie garanderen de integriteit van container images, terwijl dependency scanning kwetsbaarheden identificeert in software-afhankelijkheden voordat applicaties worden geïmplementeerd. Policies voor toegestane container registries beperken waar images vandaan mogen komen, wat het risico op kwaadaardige images aanzienlijk vermindert. De implementatie vereist ongeveer vijftien tot drieëntwintig uur voor configuratie van vulnerability scanning, policies en CI/CD-integratie. Azure Policy voor supply chain beveiliging is essentieel voor proactieve bescherming tegen supply chain bedreigingen en vormt de basis voor een veilige en compliant cloud-omgeving.