L1 BIO 12.01 ISO A.9.1 CIS 1.1, 1.2, 1.3

Identity-Centric Security Architectuur In Azure

📅 2025-01-27
⏱️ 30 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Identity-centric security vertegenwoordigt een fundamentele verschuiving in beveiligingsarchitectuur waarbij identiteit centraal staat in alle beveiligingsbeslissingen en toegangscontroles. In plaats van te vertrouwen op traditionele perimeter-gebaseerde beveiliging waarbij netwerksegmentatie en firewalls de primaire verdedigingslinie vormen, positioneert identity-centric security de identiteit van gebruikers, applicaties en services als het primaire controlemechanisme voor toegang tot resources en data. Voor Nederlandse overheidsorganisaties die werken met gevoelige gegevens en die moeten voldoen aan strikte compliance-vereisten, biedt identity-centric security een krachtig raamwerk voor het implementeren van Zero Trust principes, waarbij elke toegangspoging wordt geverifieerd en geautoriseerd op basis van identiteit, context en risico, ongeacht de locatie of het netwerk van waaruit de toegang wordt aangevraagd.

Aanbeveling
IMPLEMENTEER IDENTITY-CENTRIC SECURITY
Risico zonder
High
Risk Score
9/10
Implementatie
200u (tech: 80u)
Van toepassing op:
Azure Active Directory
Entra ID
Azure RBAC
Azure Managed Identities
Conditional Access
Privileged Identity Management
Alle Azure-services met identiteitsbeheer

Traditionele beveiligingsmodellen die vertrouwen op netwerkperimeters en statische toegangscontroles zijn onvoldoende in moderne cloudomgevingen waar gebruikers, applicaties en data verspreid zijn over meerdere locaties, netwerken en cloudservices. Zonder een identity-centric security aanpak lopen organisaties aanzienlijke risico's op ongeautoriseerde toegang wanneer netwerkperimeters worden omzeild, wanneer gebruikersaccounts worden gecompromitteerd, of wanneer insider threats misbruik maken van te ruime toegangsrechten. Een concreet voorbeeld is de situatie waarbij een organisatie vertrouwt op VPN-verbindingen en netwerksegmentatie voor beveiliging: wanneer een aanvaller toegang krijgt tot het interne netwerk, of wanneer een gecompromitteerd gebruikersaccount wordt gebruikt, kunnen zij vaak ongehinderd toegang krijgen tot gevoelige resources omdat de beveiliging primair is gebaseerd op netwerklocatie in plaats van op identiteit en context. Identity-centric security lost dit op door elke toegangspoging te evalueren op basis van wie de gebruiker is, welke applicatie of service toegang vraagt, welke context van toepassing is (zoals locatie, tijd, apparaat en risicoscore), en welke specifieke actie wordt uitgevoerd. Deze aanpak maakt het mogelijk om toegang te verlenen of te weigeren op basis van identiteit en context, zelfs wanneer gebruikers zich buiten het traditionele netwerk bevinden of wanneer netwerkperimeters worden omzeild. Voor Nederlandse overheidsorganisaties die moeten voldoen aan BIO-normen, ISO 27001-vereisten en NIS2-verplichtingen is identity-centric security essentieel: deze frameworks vereisen dat organisaties beschikken over adequate toegangscontroles, dat zij kunnen aantonen wie toegang heeft tot welke resources, en dat zij proactief kunnen reageren op beveiligingsbedreigingen. Identity-centric security levert het bewijs dat organisaties deze vereisten kunnen naleven door te demonstreren dat toegangsbeslissingen worden genomen op basis van identiteit en context, en dat alle toegangspogingen worden geverifieerd, geautoriseerd en gelogd.

PowerShell Modules Vereist
Primary API: Azure AD Graph API, Microsoft Graph API
Connection: Connect-AzAccount, Connect-MgGraph
Required Modules: Az.Accounts, Az.Resources, Microsoft.Graph.Identity.DirectoryManagement, Microsoft.Graph.Identity.SignIns, Microsoft.Graph.Identity.Governance

Implementatie

Dit artikel beschrijft een concrete implementatie van identity-centric security voor Azure-omgevingen, specifiek toegespitst op de context van Nederlandse overheidsorganisaties. Het raamwerk is gebaseerd op vijf fundamentele pijlers: sterke identiteitsverificatie, contextuele toegangscontrole, least privilege toegang, continue monitoring en adaptieve beveiliging. De eerste pijler betreft sterke identiteitsverificatie waarbij gebruikers, applicaties en services worden geverifieerd met meervoudige authenticatie, passwordless authenticatie en phishing-resistant methoden. De tweede pijler richt zich op contextuele toegangscontrole via Conditional Access policies die toegangsbeslissingen nemen op basis van identiteit, locatie, apparaat, applicatie, risicoscore en andere contextuele factoren. De derde pijler adresseert least privilege toegang waarbij gebruikers en services alleen de minimale rechten krijgen die nodig zijn voor hun functie, met just-in-time en just-enough-access principes. De vierde pijler betreft continue monitoring waarbij alle toegangspogingen, authenticatiegebeurtenissen en autorisatiebeslissingen worden gelogd en geanalyseerd voor detectie van afwijkingen en bedreigingen. De vijfde pijler richt zich op adaptieve beveiliging waarbij toegangsbeslissingen dynamisch worden aangepast op basis van veranderende risico's en context. Het artikel beschrijft voor elke pijler concrete implementatiestappen, best practices, Azure-native services die kunnen worden ingezet, en hoe de pijlers onderling samenwerken om een robuuste identity-centric security architectuur te creëren. Daarnaast wordt uitgelegd hoe dit raamwerk aansluit bij Zero Trust principes, BIO-normen en Microsoft's identity best practices.

Vereisten en Voorkennis

Voordat organisaties identity-centric security kunnen implementeren in Azure-omgevingen, dienen zij te beschikken over een grondig begrip van identiteits- en toegangsbeheer concepten, Azure Active Directory (Entra ID) functionaliteit, en de manier waarop toegangscontroles werken binnen cloudomgevingen. De implementatie vereist specifieke Azure-resources, toegangsrechten en technische kennis om de juiste configuratie te kunnen waarborgen. Identity-centric security is een complex onderwerp dat kennis vereist van verschillende authenticatiemethoden, autorisatiemodellen, risicobeoordeling en de manier waarop deze componenten kunnen worden geïntegreerd binnen Azure-services. Het begrijpen van de fundamentele concepten achter identity-centric security, zoals Zero Trust principes, least privilege toegang, contextuele toegangscontrole en adaptieve beveiliging, vormt de basis voor een succesvolle implementatie die voldoet aan beveiligings- en compliance-vereisten.

De primaire vereiste voor deze beveiligingsmaatregel is de aanwezigheid van een Azure Active Directory (Entra ID) tenant met de juiste licenties voor geavanceerde identity- en toegangsbeheer functionaliteit. Organisaties moeten beschikken over Azure AD Premium P1 of P2 licenties voor Conditional Access, Azure AD Identity Protection, Privileged Identity Management en andere geavanceerde identity features. Het is belangrijk om te begrijpen dat niet alle identity-centric security functies beschikbaar zijn in de basisversie van Azure AD: sommige functies zoals risk-based Conditional Access, Privileged Identity Management en Identity Protection vereisen specifieke licenties. Organisaties moeten daarom eerst inventariseren welke identity-centric security functies zij nodig hebben en welke licenties vereist zijn voordat zij een implementatiestrategie opstellen.

Voor het uitvoeren van configuratie- en beheertaken is toegang vereist tot de Azure Portal of Microsoft Graph API, in combinatie met de juiste rolgebaseerde toegangscontrole machtigingen. Minimale vereiste rollen omvatten Global Administrator of Security Administrator voor het configureren van Conditional Access policies, Identity Protection instellingen en Privileged Identity Management, en User Administrator voor het beheren van gebruikersaccounts en groepen. Daarnaast is het essentieel dat beheerders beschikken over kennis van Microsoft Graph API voor geautomatiseerde configuratie en monitoring, waarbij de Microsoft.Graph PowerShell modules noodzakelijk zijn. De Azure Portal biedt een gebruiksvriendelijke grafische interface voor het configureren van identity-centric security instellingen, maar voor grootschalige omgevingen met meerdere tenants of voor organisaties die Infrastructure as Code gebruiken voor consistentie en herhaalbaarheid, is geautomatiseerde configuratie via Microsoft Graph API essentieel voor efficiënt beheer.

Organisaties dienen te beschikken over een duidelijk overzicht van alle gebruikers, applicaties en services binnen hun omgeving die toegang nodig hebben tot Azure-resources, inclusief welke toegangsrechten momenteel zijn toegekend, welke authenticatiemethoden worden gebruikt, en waar identiteitsgegevens worden opgeslagen. Deze inventarisatie is cruciaal omdat de migratie naar identity-centric security impact kan hebben op bestaande workloads en mogelijk wijzigingen vereist in applicatieconfiguraties, gebruikersprocessen en toegangsrechten. Bovendien moeten beheerders rekening houden met de compatibiliteit tussen verschillende authenticatiemethoden en de manier waarop applicaties en services met elkaar communiceren. Organisaties moeten begrijpen welke authenticatiemethoden worden ondersteund door hun applicaties en services, en hoe deze methoden kunnen worden geconfigureerd en beheerd. Het bijhouden van een accurate inventarisatie vereist regelmatige audits van alle gebruikersaccounts, applicatieregistraties en service principals, waarbij organisaties gebruik kunnen maken van Azure AD reporting, Microsoft Graph API queries of geautomatiseerde inventarisatiescripts om alle identity-gerelateerde resources te identificeren die kunnen profiteren van identity-centric security.

Naast technische vereisten moeten organisaties ook beschikken over duidelijke procedures en documentatie voor het beheren van identity-centric security. Dit omvat het definiëren van verantwoordelijkheden voor verschillende rollen binnen de organisatie, het opstellen van procedures voor het beheren van gebruikersaccounts en toegangsrechten, het ontwikkelen van incident response procedures voor identity-gerelateerde beveiligingsincidenten, en het implementeren van rollback-procedures voor het geval identity-configuratiewijzigingen problemen veroorzaken. Organisaties moeten ook rekening houden met de integratie van identity-centric security in hun bestaande security governance frameworks, waarbij identity-configuraties worden opgenomen als onderdeel van standaard security baselines en compliance verificatieprocessen. Het is aanbevolen om identity-centric security te automatiseren via Infrastructure as Code oplossingen en Microsoft Graph API, waardoor nieuwe gebruikers, applicaties en services automatisch worden geconfigureerd met de juiste identity-instellingen, ongeacht wie de resource aanmaakt binnen de organisatie.

Voor organisaties die werken met gevoelige gegevens en strikte compliance vereisten, zoals Nederlandse overheidsorganisaties die moeten voldoen aan BIO normen, is het essentieel om te beschikken over gedetailleerde kennis van identity best practices en toegangsbeheer procedures. Identity-centric security vormt een kritieke component van deze procedures, maar moet worden geïntegreerd in een breder Zero Trust framework dat ook aandacht besteedt aan netwerksegmentatie, data protection, threat detection en incident response. Organisaties moeten begrijpen hoe identity-centric security zich verhoudt tot andere Azure beveiligingsfuncties, zoals Azure RBAC voor resource-level toegangscontrole, Azure Policy voor governance en compliance, en Azure Sentinel voor security monitoring, om een complete beveiligingsstrategie te ontwikkelen die alle aspecten van identity- en toegangsbeheer afdekt.

Implementatiestrategie en Best Practices

Gebruik PowerShell-script identity-centric-security.ps1 (functie Invoke-Implementation) – Valideert en implementeert identity-centric security controles.

De implementatie van identity-centric security in Azure begint met het opstellen van een gedetailleerd implementatieplan dat alle vijf beveiligingspijlers omvat en prioriteert op basis van risico en kritiekheid van workloads. Het plan moet per pijler beschrijven welke Azure-services worden ingezet, welke configuraties worden toegepast, welke resources worden beschermd en in welke volgorde de implementatie plaatsvindt. In de praktijk wordt vaak begonnen met de fundamenten – sterke identiteitsverificatie en contextuele toegangscontrole – omdat deze pijlers de basis vormen voor alle andere identity-centric security controles. Vervolgens worden least privilege toegang, continue monitoring en adaptieve beveiliging geïmplementeerd, gevolgd door verificatie en optimalisatie om alle pijlers te kunnen bewaken en verbeteren.

De eerste pijler – sterke identiteitsverificatie – wordt geïmplementeerd door gebruikers, applicaties en services te verifiëren met meervoudige authenticatie (MFA), passwordless authenticatie en phishing-resistant methoden. Voor gebruikers wordt Azure AD Multi-Factor Authentication geconfigureerd met vereiste MFA voor alle toegangspogingen, waarbij organisaties kunnen kiezen tussen verschillende authenticatiemethoden zoals Microsoft Authenticator app, FIDO2 security keys, of SMS/telefoonoproepen. Voor applicaties en services worden Azure AD Managed Identities gebruikt waarbij services zich authenticeren zonder wachtwoorden of geheimen, waardoor het risico op credential theft wordt verminderd. Daarnaast worden passwordless authenticatie methoden geïmplementeerd zoals Windows Hello for Business, Microsoft Authenticator app of FIDO2 security keys, waardoor gebruikers kunnen inloggen zonder wachtwoorden. Deze sterke authenticatie maakt het mogelijk om identiteiten met hoge zekerheid te verifiëren, wat de basis vormt voor alle andere identity-centric security controles.

De tweede pijler – contextuele toegangscontrole via Conditional Access – wordt geïmplementeerd door Conditional Access policies te configureren die toegangsbeslissingen nemen op basis van identiteit, locatie, apparaat, applicatie, risicoscore en andere contextuele factoren. Conditional Access policies worden geconfigureerd met access controls zoals require MFA, require compliant device, require approved client app, of block access, waarbij deze controls worden toegepast op basis van conditions zoals user risk, sign-in risk, location, device platform of application. Voor Nederlandse overheidsorganisaties worden vaak policies geconfigureerd die MFA vereisen voor alle toegangspogingen, die toegang blokkeren vanuit niet-vertrouwde locaties, die alleen toegang toestaan vanaf beheerde en compliant devices, en die extra verificatie vereisen voor toegang tot gevoelige applicaties of data. Deze contextuele toegangscontrole maakt het mogelijk om toegang te verlenen of te weigeren op basis van identiteit en context, zelfs wanneer gebruikers zich buiten het traditionele netwerk bevinden of wanneer netwerkperimeters worden omzeild.

De derde pijler – least privilege toegang – wordt geïmplementeerd door gebruikers en services alleen de minimale rechten te geven die nodig zijn voor hun functie, met just-in-time en just-enough-access principes. Voor gebruikers worden Azure AD roles en Azure RBAC roles geconfigureerd met de minimale rechten die nodig zijn voor hun functie, waarbij organisaties gebruik maken van role-based access control (RBAC) om toegang te beperken tot specifieke resources en acties. Voor privileged access wordt Azure AD Privileged Identity Management (PIM) gebruikt waarbij gebruikers just-in-time toegang krijgen tot privileged roles, waarbij toegang tijdelijk is en automatisch wordt ingetrokken na een bepaalde periode. Daarnaast worden access reviews geconfigureerd waarbij regelmatig wordt gecontroleerd of gebruikers nog steeds de toegekende rechten nodig hebben, en waarbij onnodige rechten worden ingetrokken. Deze least privilege aanpak maakt het mogelijk om het risico op ongeautoriseerde toegang te verminderen door ervoor te zorgen dat gebruikers en services alleen toegang hebben tot resources die zij daadwerkelijk nodig hebben.

De vierde pijler – continue monitoring – wordt geïmplementeerd door alle toegangspogingen, authenticatiegebeurtenissen en autorisatiebeslissingen te loggen en te analyseren voor detectie van afwijkingen en bedreigingen. Azure AD Identity Protection wordt geconfigureerd om automatisch gebruikersrisico's en aanmeldingsrisico's te detecteren op basis van machine learning en threat intelligence, waarbij risk-based Conditional Access policies worden gebruikt om automatisch extra verificatie te vereisen of toegang te blokkeren wanneer risico's worden gedetecteerd. Daarnaast worden Azure AD audit logs en sign-in logs geconfigureerd om alle identity-gerelateerde gebeurtenissen te loggen, waarbij deze logs worden geëxporteerd naar Azure Sentinel of een SIEM voor geavanceerde threat detection en incident response. Deze continue monitoring maakt het mogelijk om proactief te reageren op beveiligingsbedreigingen door afwijkingen en verdachte activiteiten te detecteren voordat deze kunnen leiden tot beveiligingsincidenten.

De vijfde pijler – adaptieve beveiliging – wordt geïmplementeerd door toegangsbeslissingen dynamisch aan te passen op basis van veranderende risico's en context. Azure AD Identity Protection wordt gebruikt om automatisch gebruikersrisico's en aanmeldingsrisico's te beoordelen op basis van machine learning en threat intelligence, waarbij risk-based Conditional Access policies worden gebruikt om automatisch extra verificatie te vereisen of toegang te blokkeren wanneer risico's worden gedetecteerd. Daarnaast worden adaptive policies geconfigureerd die toegangsbeslissingen aanpassen op basis van veranderende context, zoals locatie, tijd, apparaat of applicatie, waarbij organisaties gebruik kunnen maken van Azure AD Conditional Access risk-based policies om automatisch te reageren op veranderende beveiligingsomstandigheden. Deze adaptieve aanpak maakt het mogelijk om beveiliging proactief aan te passen aan veranderende bedreigingen en context, waardoor organisaties beter beschermd zijn tegen nieuwe en opkomende beveiligingsrisico's.

Monitoring en Verificatie

Gebruik PowerShell-script identity-centric-security.ps1 (functie Invoke-Monitoring) – Monitort de status van alle identity-centric security controles.

Het monitoren van identity-centric security in Azure vormt een essentieel onderdeel van een robuust identity- en toegangsbeheer beleid. Organisaties moeten regelmatig verificatie uitvoeren om te waarborgen dat alle identity-configuraties correct zijn geconfigureerd volgens beveiligingsbest practices, waarbij de focus ligt op zowel nieuw geconfigureerde als bestaande identity-instellingen die mogelijk configuratie-aanpassingen vereisen. Effectieve monitoring van identity-centric security vereist een proactieve aanpak waarbij organisaties niet alleen reageren op geïdentificeerde problemen, maar ook preventief controleren of nieuwe identity-configuraties voldoen aan de beveiligingsvereisten voordat ze in productie worden genomen. Dit betekent dat monitoring procedures moeten worden geïntegreerd in de volledige levenscyclus van identity-beheer, van initiële configuratie tot continue operationele verificatie.

De verificatieprocedure begint met het inventariseren van alle gebruikers, applicaties en services binnen de organisatie die toegang hebben tot Azure-resources, waarbij beheerders zowel Azure AD gebruikersaccounts als applicatieregistraties en service principals moeten identificeren. Voor elke identity-resource dient de configuratie te worden gecontroleerd via Azure Portal, Microsoft Graph API of PowerShell, waarbij expliciet moet worden geverifieerd of essentiële identity-instellingen correct zijn geconfigureerd, zoals het gebruik van MFA, Conditional Access policies, privileged access management en identity protection. Het inventarisatieproces moet systematisch worden uitgevoerd voor alle Azure AD tenants waar de organisatie toegang toe heeft, waarbij gebruik wordt gemaakt van Microsoft Graph API queries of geautomatiseerde inventarisatiescripts om een compleet overzicht te verkrijgen van alle identity-configuraties. Deze inventarisatie moet regelmatig worden herhaald, bij voorkeur wekelijks voor productieomgevingen, om ervoor te zorgen dat nieuwe identity-configuraties die zijn geconfigureerd tussen verificatiecycli ook worden gecontroleerd.

Geautomatiseerde monitoring scripts gebruiken de Microsoft Graph API of Azure AD management APIs om programmatisch de identity-configuratiestatus te controleren voor alle gebruikers, applicaties en services binnen een tenant. Deze scripts kunnen worden geïntegreerd in bestaande monitoring frameworks en compliance tooling, waardoor organisaties continu zicht hebben op de naleving van identity-centric security vereisten. Het is aanbevolen om wekelijkse verificaties uit te voeren voor productieomgevingen, waarbij eventuele afwijkingen direct worden geëscaleerd naar beveiligingsteams voor remediatie. Geavanceerde monitoring oplossingen kunnen ook gebruik maken van Azure AD Identity Protection en Azure Sentinel, die automatisch de identity-configuratiestatus van alle resources controleren en rapporten genereren die aangeven welke resources niet voldoen aan de identity-centric security vereisten. Deze geautomatiseerde aanpak vermindert niet alleen de werklast voor beheerders, maar zorgt ook voor consistente en betrouwbare verificatieprocedures die niet afhankelijk zijn van handmatige interventie.

Naast het monitoren van de identity-configuratie zelf, moeten organisaties ook aandacht besteden aan de detectie van afwijkingen en bedreigingen. Monitoring omvat tevens het analyseren van toegangspogingen, authenticatiegebeurtenissen en autorisatiebeslissingen, zodat beheerders inzicht hebben in wanneer en door wie toegang wordt aangevraagd, welke authenticatiemethoden worden gebruikt en of er verdachte of ongebruikelijke patronen worden gedetecteerd. Het monitoren van identity-activiteiten is belangrijk omdat ongebruikelijke access patterns kunnen wijzen op beveiligingsproblemen zoals gecompromitteerde accounts, insider threats of onjuiste configuraties. Organisaties moeten regelmatig evalueren of identity-services correct functioneren en of er geen toegangsproblemen optreden die kunnen leiden tot uitval van applicaties en services die afhankelijk zijn van identity-functionaliteit. Deze evaluatie moet worden uitgevoerd in overleg met de eigenaren van de identity-services en de toepassingen die gebruik maken van identity-functionaliteit.

Voor verschillende identity-services gelden enigszins afwijkende verificatieprocedures, omdat verschillende services verschillende identity-opties bieden en verschillende management APIs gebruiken. Beheerders moeten specifieke PowerShell cmdlets of Microsoft Graph API queries gebruiken die zijn ontworpen voor elke identity-service, waarbij de identity-configuratie wordt gecontroleerd via de dedicated management endpoints. Het is essentieel dat monitoring procedures alle relevante identity-services adequaat afdekken om volledige dekking te waarborgen binnen de organisatie. Azure AD biedt uitgebreide identity-centric security functionaliteit met ondersteuning voor MFA, Conditional Access, Privileged Identity Management en Identity Protection, maar vereist ook specifieke kennis en tools voor effectief beheer. Organisaties die gebruik maken van Azure AD moeten ervoor zorgen dat hun monitoring scripts en procedures correct zijn geconfigureerd om deze specifieke services te ondersteunen, waarbij gebruik wordt gemaakt van de juiste management endpoints en authenticatiemethoden.

Het implementeren van effectieve monitoring voor identity-centric security vereist ook aandacht voor logging en audit trails. Alle verificatieactiviteiten moeten worden vastgelegd in Azure AD audit logs en sign-in logs, waarbij informatie wordt bijgehouden over wanneer verificaties zijn uitgevoerd, welke identity-configuraties zijn gecontroleerd, en welke afwijkingen zijn geïdentificeerd. Deze audit logs zijn niet alleen belangrijk voor compliance doeleinden, maar bieden ook waardevolle informatie voor het analyseren van trends en het identificeren van patronen in configuratiefouten. Organisaties moeten alerting mechanismen implementeren die beheerders waarschuwen wanneer nieuwe identity-configuraties worden geconfigureerd zonder de juiste security-instellingen, of wanneer bestaande identity-configuraties worden gewijzigd op een manier die de beveiliging beïnvloedt. Deze proactieve alerting zorgt ervoor dat identity-afwijkingen snel worden geïdentificeerd en gecorrigeerd, voordat ze kunnen leiden tot beveiligingsincidenten of compliance-problemen.

Compliance en Auditing

De implementatie van identity-centric security vormt een kritieke component van compliance met meerdere beveiligingskaders die van toepassing zijn op Nederlandse overheidsorganisaties en publieke sector instellingen. Deze beveiligingsmaatregel adresseert specifieke vereisten uit diverse internationale en nationale standaarden die gericht zijn op het beschermen van identiteiten en het waarborgen van veilige toegangscontroles.

Binnen het CIS Microsoft Azure Foundations Benchmark framework worden identity-centric security practices expliciet aanbevolen via meerdere controles, waarbij de nadruk ligt op het implementeren van sterke authenticatie, least privilege toegang, en het monitoren van identity-activiteiten. CIS Benchmarks benadrukken het belang van defense-in-depth strategieën en het voorkomen van ongeautoriseerde toegang door het implementeren van meerdere beveiligingslagen. Deze controles behoren tot Level 1 vereisten voor services die gevoelige of geclassificeerde gegevens bevatten, wat betekent dat deze als basisbeveiligingsmaatregel worden beschouwd voor productieomgevingen met hoge beveiligingsvereisten.

De Baseline Informatiebeveiliging Overheid, beter bekend als BIO, eist via controle 12.01 dat organisaties beschikken over adequate mechanismen voor toegangsbeheer en dat toegang wordt verleend op basis van de principes van need-to-know en least privilege. BIO 12.01 legt de nadruk op het waarborgen van controle en beheerbaarheid van toegangsrechten, waarbij identity-centric security een directe bijdrage levert aan deze doelstellingen. Nederlandse overheidsorganisaties moeten aantonen dat zij beschikken over procedures en technische maatregelen die het mogelijk maken om toegang volledig te beheren, inclusief authenticatie, autorisatie en toegangsreviews. Identity-centric security voldoet aan deze vereisten door organisaties volledige controle te geven over wie toegang heeft tot welke resources, terwijl tegelijkertijd wordt voldaan aan beveiligings- en compliance-vereisten.

ISO 27001:2022 controle A.9 behandelt toegangsbeheer en eist dat organisaties passende toegangscontroles implementeren voor de bescherming van informatie, inclusief mechanismen voor het beheren van gebruikersaccounts en toegangsrechten gedurende hun volledige levenscyclus. Identity-centric security draagt bij aan deze vereiste door te waarborgen dat organisaties volledige controle hebben over toegangsrechten en kunnen voldoen aan de ISO 27001 eis voor adequaat toegangsbeheer. De controle vereist tevens dat organisaties beschikken over procedures voor gebruikersaccountbeheer, toegangsrechtenbeheer, toegangsreviews en toegangsintrekking, waarbij een goed geconfigureerde identity-centric security implementatie de technische basis vormt voor dergelijke procedures.

Voor audit doeleinden moeten organisaties documentatie bijhouden die aantoont dat alle identity-configuraties correct zijn geconfigureerd met de juiste security-instellingen, inclusief verificatieresultaten en eventuele afwijkingen die zijn geïdentificeerd en gecorrigeerd. Deze audit evidence dient minimaal zeven jaar te worden bewaard conform algemene archiveringsvereisten voor beveiligingsconfiguraties, waarbij organisaties kunnen gebruik maken van Azure AD audit logs, Azure AD Identity Protection rapporten of externe compliance tooling om deze documentatie te genereren en te onderhouden. Daarnaast moeten organisaties documentatie bijhouden over identity-centric security procedures, inclusief Conditional Access policies, Privileged Identity Management configuraties en Identity Protection instellingen, om aan te tonen dat identity-configuraties op een gecontroleerde en gedocumenteerde manier worden beheerd.

Remediatie en Herstel

Gebruik PowerShell-script identity-centric-security.ps1 (functie Invoke-Remediation) – Herstelt de identity-centric security configuratie naar de gewenste staat.

Wanneer monitoring activiteiten aantonen dat identity-configuraties niet correct zijn geconfigureerd of niet voldoen aan identity-centric security vereisten, dienen organisaties onmiddellijk remediatiestappen te ondernemen om deze beveiligingsafwijking te corrigeren. De remediatieprocedure varieert afhankelijk van het type configuratiefout en de huidige identity-configuratie, waarbij beheerders rekening moeten houden met mogelijke impact op bestaande workloads en toegankelijkheid van identity-functionaliteit tijdens het configuratieproces. Het is belangrijk om te begrijpen dat remediatie niet alleen bestaat uit het technisch corrigeren van configuratiefouten, maar ook uit het waarborgen dat de wijziging correct wordt geïmplementeerd zonder negatieve gevolgen voor bestaande systemen en applicaties die afhankelijk zijn van identity-functionaliteit.

Voor nieuwe identity-configuraties die nog niet in gebruik zijn, is de remediatie relatief eenvoudig: beheerders kunnen de identity-instellingen direct aanpassen via Azure Portal door naar de betreffende identity-resource eigenschappen te navigeren en de identity-configuraties te wijzigen. Voor gebruikersaccounts kunnen MFA-instellingen worden geconfigureerd, voor applicaties kunnen Conditional Access policies worden toegepast, en voor privileged roles kunnen Privileged Identity Management instellingen worden aangepast. PowerShell gebruikers kunnen Microsoft Graph API cmdlets gebruiken, terwijl Azure Portal gebruikers de bijbehorende interface kunnen gebruiken. Deze eenvoudige remediatieprocedure is ideaal voor development of test omgevingen waar identity-configuraties nog niet in productie gebruik zijn, of voor nieuwe resources die net zijn geconfigureerd maar nog geen identity-functionaliteit gebruiken.

Bestaande identity-configuraties die reeds in gebruik zijn met productie workloads, vereisen een meer zorgvuldige aanpak voor remediatie. In deze gevallen moeten beheerders eerst verifiëren dat geen kritieke operaties afhankelijk zijn van de huidige identity-configuratie, waarna identity-instellingen kunnen worden aangepast zonder onderbreking van services. Het is belangrijk om te begrijpen dat sommige identity-configuratiewijzigingen, zoals het vereisen van MFA of het wijzigen van Conditional Access policies, impact kunnen hebben op de toegankelijkheid van services voor gebruikers en applicaties. Deze impactanalyse moet alle gebruikers, applicaties en services identificeren die gebruik maken van de identity-functionaliteit, de kritiekheid van deze afhankelijkheden beoordelen, en een plan opstellen voor het testen van de gewijzigde configuratie voordat deze in productie wordt geactiveerd.

De remediatieprocedure begint met het identificeren van de specifieke configuratiefouten die moeten worden gecorrigeerd, waarbij gebruik wordt gemaakt van monitoring scripts of Azure AD Identity Protection evaluaties om een compleet overzicht te verkrijgen van alle afwijkingen. Vervolgens moeten beheerders prioriteit toekennen aan de verschillende remediatieacties op basis van de ernst van de beveiligingsrisico's en de impact op bestaande workloads. Kritieke beveiligingsafwijkingen, zoals het ontbreken van MFA of onjuiste Conditional Access policies, moeten onmiddellijk worden aangepakt, terwijl minder kritieke afwijkingen kunnen worden gepland voor reguliere onderhoudsvensters. Na het prioriteren van remediatieacties moeten beheerders gedetailleerde remediatieplannen opstellen die alle benodigde configuratiewijzigingen beschrijven, de verwachte impact op bestaande workloads, en de verificatieprocedures die zullen worden gebruikt om te bevestigen dat de remediatie succesvol is.

Na het opstellen van remediatieplannen kunnen beheerders de configuratiewijzigingen implementeren via Azure Portal, PowerShell of Microsoft Graph API, afhankelijk van de voorkeur en expertise van de organisatie. Voor grootschalige omgevingen met meerdere tenants is het aanbevolen om geautomatiseerde remediatie scripts te gebruiken die de configuratiewijzigingen consistent toepassen op alle relevante identity-resources. Na succesvolle implementatie moeten organisaties verificatieprocedures uitvoeren om te bevestigen dat de identity-configuraties correct zijn geïmplementeerd, bijvoorbeeld door te verifiëren dat MFA correct werkt, dat Conditional Access policies correct functioneren, en dat privileged access management correct is geconfigureerd zonder impact op bestaande workloads. Deze verificatieprocedure is essentieel om te waarborgen dat de remediatie daadwerkelijk werkt zoals verwacht, en om eventuele problemen te identificeren voordat kritieke workloads worden beïnvloed.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Identity-Centric Security Architectuur in Azure .DESCRIPTION CIS Azure Foundations Benchmark - Controls 1.1, 1.2, 1.3 Controleert of Azure AD en identity-services identity-centric security ondersteunen en correct zijn geconfigureerd. .NOTES Filename: identity-centric-security.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 1.1, 1.2, 1.3 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Resources, Microsoft.Graph.Identity.DirectoryManagement, Microsoft.Graph.Identity.SignIns, Microsoft.Graph.Identity.Governance [CmdletBinding()] param( [Parameter(HelpMessage = "Voer een samenvattende monitoring uit van identity-centric security configuraties.")] [switch]$Monitoring, [Parameter(HelpMessage = "Ondersteun het opstellen van remediatie- en verbeteracties.")] [switch]$Remediation, [Parameter(HelpMessage = "Voer geen live Azure-calls uit maar gebruik voorbeelddata (voor lokale debug).")] [switch]$LocalDebug, [Parameter(HelpMessage = "Toon welke acties zouden worden uitgevoerd zonder daadwerkelijk te wijzigen.")] [switch]$WhatIf ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' function Connect-RequiredServices { <# .SYNOPSIS Maakt verbinding met Azure en Microsoft Graph services. #> [CmdletBinding()] param() if (-not (Get-AzContext -ErrorAction SilentlyContinue)) { Write-Verbose "Geen actieve Az-context gevonden; probeer Connect-AzAccount uit te voeren." Connect-AzAccount -ErrorAction Stop | Out-Null } try { $mgContext = Get-MgContext -ErrorAction SilentlyContinue if (-not $mgContext) { Write-Verbose "Geen actieve Microsoft Graph context gevonden; probeer Connect-MgGraph uit te voeren." Connect-MgGraph -Scopes "Directory.Read.All", "Policy.Read.All", "IdentityRiskEvent.Read.All", "AuditLog.Read.All" -ErrorAction Stop | Out-Null } } catch { Write-Warning "Microsoft Graph verbinding vereist voor volledige functionaliteit. Sommige controles kunnen beperkt zijn." } } function Get-IdentitySecurityInventory { <# .SYNOPSIS Haalt een overzicht op van identity-centric security configuraties en enkele kenmerken. .OUTPUTS PSCustomObject met identity-security informatie. #> [CmdletBinding()] param( [switch]$UseDebugData ) if ($UseDebugData) { Write-Verbose "Gebruik van lokale debugdata; er wordt geen verbinding met Azure gemaakt." $sample = @{ TotalUsers = 150 UsersWithMFA = 120 UsersWithoutMFA = 30 ConditionalAccessPolicies = 8 PIMEnabled = $true IdentityProtectionEnabled = $true RiskBasedPolicies = 3 PrivilegedRoles = 12 PrivilegedUsers = 8 AccessReviewsConfigured = 5 CompliantDevices = 95 NonCompliantDevices = 15 } return [pscustomobject]$sample } $result = @{ TotalUsers = 0 UsersWithMFA = 0 UsersWithoutMFA = 0 ConditionalAccessPolicies = 0 PIMEnabled = $false IdentityProtectionEnabled = $false RiskBasedPolicies = 0 PrivilegedRoles = 0 PrivilegedUsers = 0 AccessReviewsConfigured = 0 CompliantDevices = 0 NonCompliantDevices = 0 } try { Connect-RequiredServices # Haal gebruikers op via Microsoft Graph try { $users = Get-MgUser -All -ErrorAction SilentlyContinue $result.TotalUsers = $users.Count # Controleer MFA-status (vereist aanvullende API-calls) foreach ($user in $users) { try { $authMethods = Get-MgUserAuthenticationMethod -UserId $user.Id -ErrorAction SilentlyContinue if ($authMethods -and $authMethods.Count -gt 0) { $result.UsersWithMFA++ } else { $result.UsersWithoutMFA++ } } catch { $result.UsersWithoutMFA++ } } } catch { Write-Verbose "Kon gebruikersinformatie niet ophalen: $_" } # Haal Conditional Access policies op try { $caPolicies = Get-MgIdentityConditionalAccessPolicy -ErrorAction SilentlyContinue $result.ConditionalAccessPolicies = $caPolicies.Count # Tel risk-based policies foreach ($policy in $caPolicies) { if ($policy.Conditions.UserRiskLevels -or $policy.Conditions.SignInRiskLevels) { $result.RiskBasedPolicies++ } } } catch { Write-Verbose "Kon Conditional Access policies niet ophalen: $_" } # Controleer Privileged Identity Management try { $pimRoles = Get-MgRoleManagementDirectoryRoleDefinition -ErrorAction SilentlyContinue $result.PrivilegedRoles = $pimRoles.Count $result.PIMEnabled = ($pimRoles.Count -gt 0) } catch { Write-Verbose "Kon PIM-informatie niet ophalen: $_" } # Controleer Identity Protection try { $riskPolicies = Get-MgIdentityConditionalAccessPolicy -ErrorAction SilentlyContinue | Where-Object { $_.Conditions.UserRiskLevels -or $_.Conditions.SignInRiskLevels } $result.IdentityProtectionEnabled = ($riskPolicies.Count -gt 0) } catch { Write-Verbose "Kon Identity Protection informatie niet ophalen: $_" } # Controleer Access Reviews (vereist aanvullende API-calls) try { $accessReviews = Get-MgIdentityGovernanceAccessReviewDefinition -ErrorAction SilentlyContinue $result.AccessReviewsConfigured = $accessReviews.Count } catch { Write-Verbose "Kon Access Reviews informatie niet ophalen: $_" } return [pscustomobject]$result } catch { Write-Warning "Error tijdens identity inventory: $_" return [pscustomobject]$result } } function Invoke-Monitoring { <# .SYNOPSIS Voert een samenvattende monitoring uit van identity-centric security configuraties. #> [CmdletBinding()] param() Write-Host "`nMonitoring: Identity-Centric Security Overzicht" -ForegroundColor Yellow Write-Host "=================================================" -ForegroundColor Yellow $inventory = Get-IdentitySecurityInventory -UseDebugData:$LocalDebug Write-Host ("Totaal aantal gebruikers: {0}" -f $inventory.TotalUsers) -ForegroundColor Cyan Write-Host ("Gebruikers met MFA: {0}" -f $inventory.UsersWithMFA) -ForegroundColor $(if ($inventory.UsersWithMFA -eq $inventory.TotalUsers) { 'Green' } else { 'Yellow' }) Write-Host ("Gebruikers zonder MFA: {0}" -f $inventory.UsersWithoutMFA) -ForegroundColor $(if ($inventory.UsersWithoutMFA -eq 0) { 'Green' } else { 'Red' }) if ($inventory.TotalUsers -eq 0) { Write-Host "Er zijn geen gebruikers gevonden in de huidige tenant." -ForegroundColor Yellow return } $mfaPercentage = if ($inventory.TotalUsers -gt 0) { [math]::Round(($inventory.UsersWithMFA / $inventory.TotalUsers) * 100, 2) } else { 0 } Write-Host ("`nMFA-dekking: {0}%" -f $mfaPercentage) -ForegroundColor $(if ($mfaPercentage -ge 95) { 'Green' } elseif ($mfaPercentage -ge 70) { 'Yellow' } else { 'Red' }) Write-Host "`nConditional Access:" -ForegroundColor Cyan Write-Host (" Policies geconfigureerd: {0}" -f $inventory.ConditionalAccessPolicies) -ForegroundColor White Write-Host (" Risk-based policies: {0}" -f $inventory.RiskBasedPolicies) -ForegroundColor $(if ($inventory.RiskBasedPolicies -gt 0) { 'Green' } else { 'Yellow' }) Write-Host "`nPrivileged Identity Management:" -ForegroundColor Cyan Write-Host (" PIM ingeschakeld: {0}" -f $(if ($inventory.PIMEnabled) { 'Ja' } else { 'Nee' })) -ForegroundColor $(if ($inventory.PIMEnabled) { 'Green' } else { 'Red' }) Write-Host (" Privileged roles: {0}" -f $inventory.PrivilegedRoles) -ForegroundColor White Write-Host (" Privileged gebruikers: {0}" -f $inventory.PrivilegedUsers) -ForegroundColor White Write-Host "`nIdentity Protection:" -ForegroundColor Cyan Write-Host (" Identity Protection ingeschakeld: {0}" -f $(if ($inventory.IdentityProtectionEnabled) { 'Ja' } else { 'Nee' })) -ForegroundColor $(if ($inventory.IdentityProtectionEnabled) { 'Green' } else { 'Red' }) Write-Host "`nAccess Reviews:" -ForegroundColor Cyan Write-Host (" Access Reviews geconfigureerd: {0}" -f $inventory.AccessReviewsConfigured) -ForegroundColor $(if ($inventory.AccessReviewsConfigured -gt 0) { 'Green' } else { 'Yellow' }) # Samenvatting mogelijke risico's $risks = @() if ($inventory.UsersWithoutMFA -gt 0) { $risks += "Gebruikers zonder MFA: $($inventory.UsersWithoutMFA)" } if (-not $inventory.PIMEnabled) { $risks += "Privileged Identity Management niet ingeschakeld" } if (-not $inventory.IdentityProtectionEnabled) { $risks += "Identity Protection niet ingeschakeld" } if ($inventory.RiskBasedPolicies -eq 0) { $risks += "Geen risk-based Conditional Access policies geconfigureerd" } if ($inventory.AccessReviewsConfigured -eq 0) { $risks += "Geen Access Reviews geconfigureerd" } if ($risks.Count -gt 0) { Write-Host "`nSamenvatting mogelijke risico's:" -ForegroundColor Yellow foreach ($risk in $risks) { Write-Host (" - {0}" -f $risk) -ForegroundColor Yellow } } else { Write-Host "`nAlle gevonden identity-centric security controles zijn correct geconfigureerd." -ForegroundColor Green } } function Invoke-Remediation { <# .SYNOPSIS Ondersteunt het structureren van remediatieacties voor identity-centric security. .DESCRIPTION Dit script voert geen automatische configuratiewijzigingen uit, maar helpt om de output van de monitoring te vertalen naar concrete verbeteracties. #> [CmdletBinding()] param() Write-Host "`nRemediatie-ondersteuning: Identity-Centric Security" -ForegroundColor Yellow Write-Host "=====================================================" -ForegroundColor Yellow $inventory = Get-IdentitySecurityInventory -UseDebugData:$LocalDebug if ($inventory.TotalUsers -eq 0) { Write-Host "Geen gebruikers gevonden. Controleer of de juiste tenant/context is geselecteerd." -ForegroundColor Yellow return } $remediationActions = @() if ($inventory.UsersWithoutMFA -gt 0) { $remediationActions += @{ Priority = "High" Action = "Configureer MFA voor alle gebruikers zonder MFA" Details = "Er zijn $($inventory.UsersWithoutMFA) gebruikers zonder MFA. Configureer Azure AD Multi-Factor Authentication voor alle gebruikers via Azure Portal of Microsoft Graph API." Resources = "Azure AD Multi-Factor Authentication, Conditional Access policies" } } if (-not $inventory.PIMEnabled) { $remediationActions += @{ Priority = "High" Action = "Schakel Privileged Identity Management in" Details = "Privileged Identity Management is niet ingeschakeld. Schakel PIM in via Azure Portal om just-in-time toegang tot privileged roles te beheren." Resources = "Azure AD Privileged Identity Management" } } if (-not $inventory.IdentityProtectionEnabled) { $remediationActions += @{ Priority = "High" Action = "Schakel Identity Protection in" Details = "Identity Protection is niet ingeschakeld. Schakel Azure AD Identity Protection in via Azure Portal om gebruikersrisico's en aanmeldingsrisico's te detecteren." Resources = "Azure AD Identity Protection" } } if ($inventory.RiskBasedPolicies -eq 0) { $remediationActions += @{ Priority = "Medium" Action = "Configureer risk-based Conditional Access policies" Details = "Er zijn geen risk-based Conditional Access policies geconfigureerd. Configureer policies die automatisch extra verificatie vereisen of toegang blokkeren op basis van gebruikersrisico's en aanmeldingsrisico's." Resources = "Azure AD Conditional Access, Identity Protection" } } if ($inventory.AccessReviewsConfigured -eq 0) { $remediationActions += @{ Priority = "Medium" Action = "Configureer Access Reviews" Details = "Er zijn geen Access Reviews geconfigureerd. Configureer regelmatige access reviews om te controleren of gebruikers nog steeds de toegekende rechten nodig hebben." Resources = "Azure AD Access Reviews" } } if ($remediationActions.Count -eq 0) { Write-Host "Op basis van de gecontroleerde kenmerken zijn geen directe remediatiepunten gevonden." -ForegroundColor Green Write-Host "Gebruik aanvullende detailcontroles om identity-configuraties verder te toetsen, zoals privileged access reviews, device compliance en application access policies." -ForegroundColor Green return } Write-Host "`nAanbevolen remediatieacties:" -ForegroundColor Cyan $highPriorityActions = $remediationActions | Where-Object { $_.Priority -eq "High" } $mediumPriorityActions = $remediationActions | Where-Object { $_.Priority -eq "Medium" } if ($highPriorityActions.Count -gt 0) { Write-Host "`nHoge prioriteit:" -ForegroundColor Red foreach ($action in $highPriorityActions) { Write-Host (" * {0}" -f $action.Action) -ForegroundColor White Write-Host (" {0}" -f $action.Details) -ForegroundColor Gray Write-Host (" Resources: {0}" -f $action.Resources) -ForegroundColor Gray } } if ($mediumPriorityActions.Count -gt 0) { Write-Host "`nGemiddelde prioriteit:" -ForegroundColor Yellow foreach ($action in $mediumPriorityActions) { Write-Host (" * {0}" -f $action.Action) -ForegroundColor White Write-Host (" {0}" -f $action.Details) -ForegroundColor Gray Write-Host (" Resources: {0}" -f $action.Resources) -ForegroundColor Gray } } Write-Host "`nAanvullende aanbevelingen:" -ForegroundColor Cyan Write-Host " - Controleer of alle privileged roles zijn beveiligd met PIM" -ForegroundColor White Write-Host " - Verifieer of Conditional Access policies correct zijn geconfigureerd voor alle applicaties" -ForegroundColor White Write-Host " - Evalueer of device compliance policies correct zijn ingericht" -ForegroundColor White Write-Host " - Zorg dat Identity Protection risk policies zijn geconfigureerd" -ForegroundColor White Write-Host " - Implementeer regelmatige access reviews voor alle kritieke rollen en resources" -ForegroundColor White if ($WhatIf) { Write-Host "`n[WhatIf] Er zijn geen wijzigingen doorgevoerd; gebruik deze output om een remediatieplan op te stellen." -ForegroundColor Yellow } else { Write-Host "`nGebruik deze aanbevelingen om concrete tickets of werkpakketten te definiëren binnen het reguliere verbeterprogramma." -ForegroundColor Cyan } } function Invoke-Implementation { <# .SYNOPSIS Implementeert de identity-centric security configuratie #> [CmdletBinding()] param() Invoke-Remediation } # ============================================================================ # MAIN EXECUTION # ============================================================================ try { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Script: Identity-Centric Security" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan if ($Monitoring) { Invoke-Monitoring | Out-Null } elseif ($Remediation) { Invoke-Remediation } else { $inventory = Get-IdentitySecurityInventory -UseDebugData:$LocalDebug if ($inventory.TotalUsers -eq 0) { Write-Host "Geen gebruikers gevonden in de huidige tenant." -ForegroundColor Yellow } else { Write-Host ("Gevonden: {0} gebruiker(s) in tenant" -f $inventory.TotalUsers) -ForegroundColor Green Write-Host "Voer het script uit met -Monitoring voor een gedetailleerd overzicht of -Remediation voor aanbevelingen." -ForegroundColor Cyan } } } catch { Write-Error "Error: $_" throw } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Gebrek aan identity-centric security kan leiden tot ongeautoriseerde toegang, gecompromitteerde accounts, insider threats en niet-naleving van compliance-vereisten. Compliance: CIS 1.1-1.3, BIO 12.01-12.05, ISO 27001 A.9.1-A.9.4. Het risico is zeer hoog - beveiligings- en compliance-risico's.

Management Samenvatting

Identity-Centric Security: Implementeer best practices voor identity-centric security, inclusief sterke authenticatie, contextuele toegangscontrole, least privilege toegang, continue monitoring en adaptieve beveiliging. Configuratie: Azure Portal of Microsoft Graph API. Verificatie: 6-8 uur. Verplicht voor Zero Trust architectuur - CIS 1.1-1.3, BIO 12.01-12.05.