BIO 12.03 ISO A.8.13

Onveranderlijke Blob-opslag

📅 2025-01-15
⏱️ 8 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Onveranderlijke blob-opslag is een kritieke beveiligingsmaatregel die Azure Storage blobs beschermt tegen wijziging, verwijdering en ransomware-aanvallen door het implementeren van het WORM-principe (Write Once Read Many). Deze functionaliteit waarborgt dat kritieke gegevens zoals backups, audit logs en compliance-documenten volledig beschermd zijn tegen onbevoegde wijzigingen, zelfs door beheerders met de hoogste rechten. Voor Nederlandse overheidsorganisaties die werken met gevoelige informatie en strikte compliance-eisen, biedt onveranderlijke blob-opslag een essentiële laag van gegevensbescherming die voldoet aan regelgevingsvereisten zoals SEC 17a-4, FINRA en BIO-normen.

Aanbeveling
IMPLEMENTEER VOOR KRITIEKE BLOBS
Risico zonder
High
Risk Score
9/10
Implementatie
7u (tech: 4u)
Van toepassing op:
Azure opslag

Het implementeren van onveranderlijke blob-opslag is van levensbelang voor het handhaven van een veilige en betrouwbare opslagomgeving in een tijdperk waarin ransomware-aanvallen en datalekken steeds vaker voorkomen. Zonder onveranderlijke opslag kunnen kritieke gegevens zoals backups worden versleuteld of verwijderd door aanvallers, waardoor organisaties hun laatste verdedigingslinie tegen gegevensverlies verliezen. Deze instelling is essentieel voor het voorkomen van bekende aanvalsvectoren en het afdwingen van beveiligingsbest practices. Onveranderlijke blob-opslag implementeert technisch het WORM-principe, wat betekent dat gegevens eenmaal geschreven niet meer kunnen worden gewijzigd of verwijderd gedurende een vooraf bepaalde periode, zelfs niet door beheerders met de hoogste rechten. Dit biedt niet alleen bescherming tegen externe aanvallen, maar ook tegen onbevoegde interne wijzigingen, wat cruciaal is voor compliance met regelgeving en het handhaven van gegevensintegriteit voor audit- en juridische doeleinden.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Storage

Implementatie

Onveranderlijke blob-opslag kan worden geconfigureerd op Azure Storage containers in twee varianten: tijdgebaseerde bewaarbeleidsregels en juridische bewaarbeleidsregels. Tijdgebaseerde bewaarbeleidsregels leggen een vaste bewaartermijn op waarbij blobs gedurende de opgegeven periode niet kunnen worden gewijzigd of verwijderd, zelfs niet door beheerders met de hoogste rechten. Deze beleidsregels bieden voorspelbaarheid en duidelijkheid over wanneer gegevens kunnen worden verwijderd, wat belangrijk is voor kostenbeheer en compliance-planning. Juridische bewaarbeleidsregels bieden flexibele bescherming voor juridische doeleinden en blijven actief totdat ze expliciet worden verwijderd door bevoegde personen. Beide varianten zorgen ervoor dat gegevens volledig beschermd zijn tegen ransomware, onbevoegde wijzigingen en accidentele verwijdering, wat essentieel is voor backup-strategieën en compliance-vereisten. De functionaliteit vereist blob versioning om te kunnen werken, wat betekent dat organisaties eerst versioning moeten inschakelen voordat onveranderlijke beleidsregels kunnen worden geconfigureerd.

Vereisten

De implementatie van onveranderlijke blob-opslag op Azure Storage containers vereist een zorgvuldige voorbereiding en het vervullen van specifieke technische en organisatorische vereisten die essentieel zijn voor een succesvolle en veilige implementatie. Deze vereisten vormen de fundering waarop de onveranderlijke opslagfunctionaliteit kan worden gebouwd en waarborgen dat de geconfigureerde beleidsregels daadwerkelijk de beoogde bescherming bieden tegen onbevoegde wijzigingen, verwijderingen en ransomware-aanvallen. De eerste en meest fundamentele vereiste betreft het Azure Storage account zelf. Organisaties moeten beschikken over een geldig Azure Storage account dat is geconfigureerd met de juiste toegangsrechten en beveiligingsinstellingen. Het opslagaccount dient te zijn ingesteld met de standaard of premium performance tier, waarbij de keuze afhankelijk is van de specifieke prestatie-eisen en budgettaire overwegingen van de organisatie. Een kritiek aandachtspunt vormt de geografische locatie van het opslagaccount, aangezien niet alle Azure-regio's onveranderlijke blob-opslag ondersteunen. Organisaties moeten daarom vooraf verifiëren of hun gekozen regio deze functionaliteit ondersteunt, of overwegen om het opslagaccount te migreren naar een ondersteunde regio indien dit nog niet het geval is. Deze verificatie is essentieel omdat het configureren van onveranderlijke beleidsregels op niet-ondersteunde regio's zal falen, wat kan leiden tot beveiligingsgaten en compliance-problemen. Een absolute voorwaarde voor het activeren van onveranderlijke blob-opslag is het inschakelen van blob versioning op het opslagaccount. Blob versioning vormt een essentiële technische component die automatisch eerdere versies van blobs behoudt wanneer deze worden gewijzigd of overschreven. Deze functionaliteit is onmisbaar omdat het systeem in staat moet zijn om versies te beheren, te beschermen en te controleren. Zonder blob versioning kunnen onveranderlijke opslagbeleidsregels simpelweg niet worden toegepast, omdat het onderliggende systeem geen mechanisme heeft om wijzigingen te detecteren, te voorkomen of te registreren. Het inschakelen van versioning heeft echter ook implicaties voor de opslagkosten, aangezien meerdere versies van blobs worden bewaard. Organisaties moeten daarom een grondige kostenanalyse uitvoeren voordat versioning wordt geactiveerd, met name op opslagaccounts die grote hoeveelheden gegevens bevatten. Deze kostenanalyse moet rekening houden met de frequentie van wijzigingen, het aantal blob-objecten, en de verwachte retentieperiode voor onveranderlijke beleidsregels. De toegangscontrole en autorisatie vormen een ander cruciaal aspect van de vereisten. De gebruiker of service principal die verantwoordelijk is voor het configureren van onveranderlijke blob-opslag moet beschikken over de juiste Azure Role-Based Access Control (RBAC) rollen. Voor het daadwerkelijk configureren van beleidsregels op containers zijn minimaal de rollen Storage Blob Data Contributor of Storage Blob Data Owner vereist. Voor het beheren van accountniveau-instellingen zoals het inschakelen van blob versioning is de rol Storage Account Contributor nodig. Organisaties moeten ervoor zorgen dat deze rollen zijn toegewezen volgens het principe van least privilege, waarbij gebruikers alleen de minimale rechten krijgen die nodig zijn voor het uitvoeren van hun taken. Dit is met name belangrijk voor onveranderlijke opslag omdat het configureren of verwijderen van beleidsregels significante beveiligingsimplicaties heeft en alleen door bevoegde personen mag worden uitgevoerd. Een belangrijk technisch aspect dat organisaties moeten begrijpen, betreft de manier waarop onveranderlijke beleidsregels werken met bestaande gegevens. Onveranderlijke blob-opslag kan alleen worden toegepast op nieuwe blobs of op bestaande blobs die nog geen actieve onveranderlijke beleidsregel hebben geconfigureerd. Dit betekent dat bestaande blobs die al een actieve onveranderlijke beleidsregel hebben, niet kunnen worden gewijzigd of verwijderd totdat de beleidsregel verloopt of expliciet wordt verwijderd, indien dit is toegestaan door de configuratie. Voor organisaties die containers hebben met bestaande gegevens die bescherming nodig heeft, kan dit betekenen dat gegevens moeten worden gemigreerd naar nieuwe containers waarop onveranderlijke beleidsregels kunnen worden toegepast vanaf het moment van creatie. Deze migratie moet zorgvuldig worden gepland om ervoor te zorgen dat er geen gegevensverlies optreedt en dat de migratie voldoet aan alle beveiligings- en compliance-vereisten. Naast de technische vereisten zijn er ook organisatorische overwegingen die aandacht verdienen. Organisaties moeten een duidelijk beleid ontwikkelen over welke containers onveranderlijke blob-opslag nodig hebben, welke bewaartermijnen van toepassing zijn, en hoe deze beleidsregels worden beheerd gedurende hun levenscyclus. Dit beleid moet worden afgestemd op compliance-vereisten, organisatorisch archiveringsbeleid, en de specifieke aard van de gegevens die worden bewaard. Daarnaast is het essentieel om procedures te ontwikkelen voor het beheren van onveranderlijke beleidsregels, inclusief het monitoren van wanneer beleidsregels verlopen, het beslissen over het behouden of verwijderen van gegevens na het verlopen van de bewaartermijn, en het beheren van juridische bewaarbeleidsregels. Deze procedures moeten worden gedocumenteerd en regelmatig worden geaudit om ervoor te zorgen dat ze effectief zijn en voldoen aan alle relevante compliance-vereisten. Tot slot vormt testen een onmisbaar onderdeel van het implementatieproces. Voordat onveranderlijke blob-opslag wordt geïmplementeerd in productieomgevingen, is het sterk aanbevolen om deze eerst uitvoerig te testen in een gecontroleerde testomgeving. Dit stelt organisaties in staat om te begrijpen hoe de beleidsregels werken in de praktijk, welke impact ze hebben op bestaande workflows en applicaties, en hoe ze kunnen worden beheerd en gemonitord gedurende de bewaartermijn. Testen helpt ook om eventuele configuratiefouten of onverwachte gedragingen te identificeren voordat de beleidsregels worden toegepast op kritieke productiegegevens. Deze testen moeten verschillende scenario's omvatten, zoals het configureren van beleidsregels, het proberen te wijzigen of verwijderen van beschermde blobs, en het testen van het verlopen en verwijderen van beleidsregels.

Monitoring en controle

Gebruik PowerShell-script immutable-blob-storage.ps1 (functie Invoke-Monitoring) – Controleren.

Het monitoren en controleren van onveranderlijke blob-opslag vormt een essentieel onderdeel van een effectieve en robuuste beveiligingsstrategie voor Azure Storage-omgevingen binnen Nederlandse overheidsorganisaties. Zonder adequate monitoring kunnen organisaties niet garanderen dat hun kritieke gegevens daadwerkelijk worden beschermd tegen onbevoegde wijzigingen, verwijderingen of ransomware-aanvallen. Regelmatige en systematische controles zorgen ervoor dat beleidsregels correct zijn geconfigureerd, actief blijven gedurende hun gehele levenscyclus, en dat er geen onbevoegde of verdachte pogingen zijn gedaan om de beleidsregels te wijzigen, te verwijderen of te omzeilen. De monitoring van onveranderlijke blob-opslag omvat een breed spectrum van aspecten die allemaal aandacht verdienen. Het eerste en meest fundamentele aspect betreft de verificatie dat alle containers die kritieke gegevens bevatten daadwerkelijk zijn beschermd met onveranderlijke opslagbeleidsregels. Dit is met name cruciaal voor containers die backups, audit logs, compliance-documenten, financiële records, of andere gevoelige en kritieke informatie bevatten. Het PowerShell-script dat bij deze beveiligingscontrole hoort, kan worden gebruikt om systematisch alle opslagaccounts en containers binnen een organisatie te scannen en te identificeren welke containers wel en welke geen onveranderlijke beleidsregels hebben geconfigureerd. Deze scan moet regelmatig worden uitgevoerd, bij voorkeur wekelijks of maandelijks, om ervoor te zorgen dat nieuwe containers die kritieke gegevens bevatten ook worden beschermd. Voor containers met zeer kritieke gegevens, zoals backups van productiesystemen of financiële records, wordt dagelijkse monitoring sterk aanbevolen om snel te kunnen reageren op eventuele configuratiewijzigingen. Een tweede kritiek monitoring-aspect betreft de verificatie dat geconfigureerde beleidsregels nog steeds actief zijn en niet onverwacht zijn verwijderd of gewijzigd. Azure biedt uitgebreide audit logs die alle wijzigingen aan onveranderlijke opslagbeleidsregels registreren, inclusief gedetailleerde informatie over wie de wijziging heeft doorgevoerd, wanneer deze wijziging heeft plaatsgevonden, en wat precies is gewijzigd. Deze audit logs moeten regelmatig worden gecontroleerd op verdachte of onbevoegde activiteiten, zoals pogingen om beleidsregels te verwijderen, de bewaartermijn te verkorten, of andere configuratiewijzigingen die de beveiliging kunnen compromitteren. Organisaties moeten alert zijn op patronen die kunnen wijzen op insider threats of gecompromitteerde accounts. Deze monitoring moet worden geautomatiseerd waar mogelijk, met behulp van Azure Monitor en Azure Log Analytics om waarschuwingen te genereren wanneer verdachte activiteiten worden gedetecteerd. Het bijhouden en monitoren van de bewaartermijnen van actieve beleidsregels vormt een derde belangrijk aspect van de monitoringstrategie. Organisaties moeten op elk moment weten wanneer beleidsregels verlopen en of er actie moet worden ondernomen voordat de bewaartermijn eindigt. Voor tijdgebaseerde bewaarbeleidsregels is het cruciaal om te monitoren wanneer de bewaartermijn verloopt, zodat organisaties tijdig kunnen beslissen of de gegevens moeten worden behouden door een nieuwe beleidsregel te configureren, of kunnen worden verwijderd in overeenstemming met het gegevensbewaarbeleid. Het niet tijdig verlengen van beleidsregels kan ertoe leiden dat kritieke gegevens onbedoeld kunnen worden verwijderd, terwijl het automatisch verlengen van beleidsregels zonder evaluatie kan leiden tot onnodige opslagkosten en problemen bij het voldoen aan privacy-vereisten zoals de AVG. Organisaties moeten daarom een geautomatiseerd proces implementeren dat waarschuwingen genereert wanneer beleidsregels binnen een bepaalde periode zullen verlopen, bijvoorbeeld 30 dagen voor het verlopen, zodat er voldoende tijd is om een weloverwogen beslissing te nemen. Het monitoren van compliance met onveranderlijke blob-opslag is van bijzonder belang voor organisaties die moeten voldoen aan specifieke regelgeving zoals SEC 17a-4 of FINRA voor financiële instellingen, of de Baseline Informatiebeveiliging Overheid (BIO) voor Nederlandse overheidsorganisaties. Deze regelgeving vereist vaak dat bepaalde gegevens voor een specifieke periode onveranderlijk worden bewaard, en het is essentieel om te kunnen aantonen dat deze vereisten worden nageleefd tijdens audits en compliance-controles. Het PowerShell-script kan worden uitgebreid om gedetailleerde compliance-rapporten te genereren die aantonen welke containers zijn beschermd, voor hoe lang, en of deze bescherming voldoet aan de specifieke compliance-vereisten. Deze rapporten kunnen worden gebruikt tijdens interne en externe audits om aan te tonen dat de organisatie voldoet aan de vereiste beveiligingsstandaarden. Deze rapporten moeten regelmatig worden gegenereerd en bewaard voor audit-doeleinden, bij voorkeur in een onveranderlijke opslaglocatie zelf om te voorkomen dat ze kunnen worden gewijzigd of verwijderd. Azure Monitor en Azure Log Analytics bieden krachtige tools voor het implementeren van geavanceerde monitoring en alerting voor onveranderlijke blob-opslag. Organisaties kunnen geautomatiseerde waarschuwingen configureren die worden geactiveerd wanneer een beleidsregel wordt verwijderd, gewijzigd, of wanneer een container zonder beleidsregel wordt gedetecteerd. Deze waarschuwingen kunnen worden geconfigureerd met verschillende prioriteitsniveaus, waarbij kritieke waarschuwingen zoals het verwijderen van een beleidsregel onmiddellijk worden gemeld aan security teams, terwijl minder urgente waarschuwingen zoals het detecteren van een nieuwe container zonder beleidsregel kunnen worden geaggregeerd in dagelijkse of wekelijkse rapporten. Deze waarschuwingen kunnen worden geïntegreerd met bestaande security information and event management (SIEM) systemen voor centrale monitoring en correlatie met andere beveiligingsgebeurtenissen. Deze integratie is essentieel voor het creëren van een holistische beveiligingsmonitoring-omgeving waarin alle beveiligingsgebeurtenissen worden gecorreleerd en geanalyseerd. Een laatste maar niet minder belangrijk aspect van monitoring betreft de verificatie dat geconfigureerde beleidsregels daadwerkelijk werken zoals bedoeld. Dit kan worden getest door periodiek te proberen een blob te wijzigen of te verwijderen in een container met een actieve onveranderlijke beleidsregel. Als de wijziging of verwijdering wordt toegestaan, duidt dit op een configuratiefout of een probleem met de implementatie die onmiddellijk moet worden opgelost. Deze verificatietests moeten worden uitgevoerd na de initiële configuratie van beleidsregels, en periodiek daarna om ervoor te zorgen dat de beleidsregels blijven functioneren zoals bedoeld. Het is ook belangrijk om te monitoren op nieuwe containers die mogelijk ook bescherming nodig hebben, en op wijzigingen aan bestaande beleidsregels die mogelijk wijzen op onbevoegde toegang of configuratiefouten. Deze continue monitoring zorgt ervoor dat de beveiligingsstatus van de organisatie op peil blijft en dat nieuwe risico's tijdig worden geïdentificeerd en aangepakt.

Compliance en Audit

Onveranderlijke blob-opslag speelt een cruciale en onmisbare rol bij het voldoen aan verschillende compliance-vereisten en auditstandaarden die van toepassing zijn op Nederlandse overheidsorganisaties, bedrijven en instellingen in verschillende sectoren. De implementatie van onveranderlijke blob-opslag helpt organisaties niet alleen te voldoen aan zowel nationale als internationale regelgeving en standaarden, maar biedt ook de technische en administratieve basis om deze compliance aan te tonen tijdens audits en regelgevingscontroles. Voor Nederlandse overheidsorganisaties vormt de Baseline Informatiebeveiliging Overheid (BIO) het primaire normenkader voor informatiebeveiliging. BIO controle 12.03 richt zich specifiek op gegevensbescherming en vereist dat organisaties passende maatregelen treffen om te voorkomen dat gegevens verloren gaan, vernietigd worden of onrechtmatig worden gewijzigd. Onveranderlijke blob-opslag biedt een concrete en verifieerbare implementatie van deze vereiste door technisch te garanderen dat kritieke gegevens niet kunnen worden gewijzigd of verwijderd gedurende de bewaartermijn, zelfs niet door beheerders met de hoogste rechten. Dit is met name relevant voor overheidsorganisaties die verplicht zijn om bepaalde documenten en gegevens voor langere perioden te bewaren voor archiverings- en auditdoeleinden, zoals financiële administraties, juridische documenten, en besluitvormingsprocessen. De onveranderlijke blob-opslag zorgt ervoor dat deze gegevens niet alleen worden bewaard, maar ook dat de integriteit van de gegevens wordt gegarandeerd, wat essentieel is voor de betrouwbaarheid van archieven en de rechtsgeldigheid van documenten. De ISO 27001:2022 standaard, met name controle A.8.13 (Information backup), vereist dat organisaties regelmatig backups maken van informatie en software, en dat deze backups regelmatig worden getest om te verifiëren dat ze kunnen worden gebruikt voor hersteldoeleinden. Onveranderlijke blob-opslag is essentieel voor het beschermen van deze backups tegen ransomware-aanvallen, onbevoegde wijzigingen, en accidentele of opzettelijke verwijdering. Zonder onveranderlijke opslag kunnen backups worden versleuteld of verwijderd door aanvallers, waardoor de hele backup-strategie waardeloos wordt en organisaties hun laatste verdedigingslinie tegen gegevensverlies verliezen. Door backups te beschermen met onveranderlijke blob-opslag, kunnen organisaties aantonen dat ze voldoen aan de ISO 27001 vereisten voor betrouwbare, beschermde en verifieerbare backups. Dit is met name belangrijk voor organisaties die ISO 27001 certificering nastreven of behouden, omdat auditors zullen controleren of backups daadwerkelijk beschermd zijn tegen de meest relevante bedreigingen. Voor financiële instellingen en organisaties die opereren in de Verenigde Staten of die moeten voldoen aan Amerikaanse regelgeving, zijn SEC 17a-4 en FINRA vereisten van cruciaal belang en vaak zelfs verplicht. SEC 17a-4 vereist dat financiële instellingen bepaalde records voor een periode van minimaal drie tot zes jaar onveranderlijk bewaren, waarbij onveranderlijk betekent dat de gegevens niet kunnen worden gewijzigd, verwijderd of overschreven gedurende deze periode. Deze vereiste kan alleen worden nageleefd met onveranderlijke blob-opslag die technisch garandeert dat gegevens niet kunnen worden gewijzigd of verwijderd gedurende de vereiste bewaartermijn. FINRA (Financial Industry Regulatory Authority) heeft vergelijkbare vereisten voor de bewaring van financiële records, en beide regelgevingsinstanties vereisen dat organisaties kunnen aantonen dat hun opslagsystemen voldoen aan deze onveranderlijkheidsvereisten. Onveranderlijke blob-opslag biedt deze garantie en maakt het mogelijk voor organisaties om te voldoen aan deze strikte regelgevingsvereisten. Bij audits en compliance-controles moeten organisaties kunnen aantonen dat ze voldoen aan deze compliance-vereisten door middel van concrete bewijsstukken en audit trails. Onveranderlijke blob-opslag biedt uitgebreide audit trails en logs die aantonen wanneer beleidsregels zijn geconfigureerd, wie ze heeft geconfigureerd, welke bewaartermijnen zijn ingesteld, en of er pogingen zijn gedaan om ze te wijzigen of te verwijderen. Deze audit trails zijn essentieel voor het succesvol doorstaan van externe audits en compliance-controles, omdat auditors kunnen verifiëren dat de organisatie daadwerkelijk voldoet aan de vereiste beveiligingsstandaarden. De logs bieden ook bescherming voor de organisatie zelf, omdat ze kunnen aantonen dat eventuele problemen niet het gevolg zijn van nalatigheid of onvoldoende beveiligingsmaatregelen. Organisaties moeten ook zorgvuldig rekening houden met de Algemene Verordening Gegevensbescherming (AVG) wanneer ze onveranderlijke blob-opslag implementeren. Hoewel onveranderlijke beleidsregels gegevens beschermen tegen wijziging en verwijdering, wat belangrijk is voor gegevensintegriteit en beveiliging, moeten organisaties ook kunnen voldoen aan AVG-vereisten zoals het recht op verwijdering, ook wel bekend als het recht om vergeten te worden. Dit betekent dat organisaties een zorgvuldige balans moeten vinden tussen het beschermen van gegevens met onveranderlijke beleidsregels en het kunnen voldoen aan AVG-verzoeken van betrokkenen. In sommige gevallen kan dit betekenen dat onveranderlijke beleidsregels alleen worden toegepast op gegevens die niet onder de AVG vallen, zoals geanonimiseerde gegevens of gegevens die zijn verzameld voor specifieke wettelijke doeleinden. In andere gevallen kan het betekenen dat er uitzonderingen worden gemaakt voor AVG-verzoeken, waarbij de onveranderlijke beleidsregel wordt verwijderd of aangepast om te voldoen aan het verzoek van de betrokkene. Het is belangrijk om deze afwegingen te documenteren en te integreren in het privacybeleid van de organisatie. Het documenteren en koppelen van compliance-vereisten aan geconfigureerde onveranderlijke blob-opslag vormt een essentieel onderdeel van effectief compliance management. Deze documentatie helpt niet alleen bij audits door duidelijk te maken waarom bepaalde beleidsregels zijn geconfigureerd, voor hoe lang, en welke compliance-vereisten ze adresseren, maar het helpt ook bij het beheren van de beleidsregels gedurende hun levenscyclus. Organisaties moeten regelmatig hun compliance-status controleren en verifiëren dat alle vereiste containers zijn beschermd met onveranderlijke beleidsregels, en dat deze beleidsregels voldoen aan de actuele compliance-vereisten. Dit omvat ook het monitoren van wijzigingen in regelgeving en het aanpassen van beleidsregels wanneer nieuwe vereisten worden geïntroduceerd of bestaande vereisten worden gewijzigd.

Remediatie

Gebruik PowerShell-script immutable-blob-storage.ps1 (functie Invoke-Remediation) – Herstellen.

Wanneer monitoring en controles uitwijzen dat containers niet zijn beschermd met onveranderlijke blob-opslag, of dat bestaande beleidsregels onjuist zijn geconfigureerd, moet onmiddellijk en doortastend actie worden ondernomen om deze beveiligingskloof te herstellen. Remediatie van ontbrekende of onjuist geconfigureerde onveranderlijke blob-opslag is een kritieke beveiligingsmaatregel die moet worden uitgevoerd volgens een gestructureerd en gedocumenteerd proces om ervoor te zorgen dat alle stappen correct worden uitgevoerd en dat de beveiligingsstatus van de organisatie wordt hersteld. Het remediatieproces begint met een grondige inventarisatie en identificatie van alle containers die onveranderlijke blob-opslag nodig hebben maar deze nog niet hebben geconfigureerd. Dit omvat containers die kritieke gegevens bevatten zoals backups, audit logs, compliance-documenten, financiële records, en andere gevoelige informatie die bescherming vereist tegen onbevoegde wijzigingen, verwijderingen of ransomware-aanvallen. Het PowerShell-script dat bij deze beveiligingscontrole hoort, kan worden gebruikt om automatisch alle dergelijke containers te identificeren en te categoriseren op basis van hun inhoud, beveiligingsvereisten, en de aard van de gegevens die ze bevatten. Deze categorisatie helpt bij het prioriteren van de remediatie-activiteiten, waarbij containers met de meest kritieke gegevens de hoogste prioriteit krijgen. Voor containers met backups van productiesystemen of financiële records moet onmiddellijk actie worden ondernomen, terwijl containers met minder kritieke gegevens kunnen worden gepland voor remediatie binnen een redelijke termijn. Voor elke container die een onveranderlijke beleidsregel nodig heeft, moet zorgvuldig worden bepaald welk type beleidsregel het meest geschikt is voor het specifieke gebruiksscenario en de compliance-vereisten. Tijdgebaseerde bewaarbeleidsregels zijn bij uitstek geschikt voor gegevens die voor een vaste en bekende periode moeten worden bewaard, zoals backups die zeven jaar moeten worden bewaard voor compliance-doeleinden, of audit logs die moeten worden bewaard volgens specifieke archiveringsvereisten. Deze beleidsregels bieden voorspelbaarheid en duidelijkheid over wanneer gegevens kunnen worden verwijderd, wat belangrijk is voor kostenbeheer en compliance-planning. Juridische bewaarbeleidsregels daarentegen zijn geschikt voor gegevens die moeten worden bewaard voor juridische procedures, onderzoeken, of rechtszaken, waarbij de exacte bewaartermijn nog niet bekend is en kan variëren afhankelijk van de voortgang van de juridische procedures. Deze beleidsregels bieden de flexibiliteit die nodig is voor juridische doeleinden, terwijl ze toch de vereiste bescherming bieden. Bij het configureren van tijdgebaseerde bewaarbeleidsregels moet de juiste bewaartermijn worden gekozen op basis van een zorgvuldige afweging van compliance-vereisten, organisatorisch beleid, de aard van de gegevens, en de kostenimplicaties. Het is belangrijk om niet te kort te kiezen, omdat de bewaartermijn niet kan worden verkort zodra de beleidsregel actief is, wat betekent dat organisaties vastzitten aan de gekozen periode totdat deze verloopt. Als de bewaartermijn te kort is gekozen, kan dit leiden tot problemen bij het voldoen aan compliance-vereisten of het verliezen van gegevens die nog nodig zijn. Aan de andere kant kan het kiezen van een bewaartermijn die te lang is leiden tot onnodige opslagkosten, vooral wanneer blob versioning is ingeschakeld, en kan het problemen veroorzaken bij het voldoen aan AVG-vereisten zoals het recht op verwijdering. Organisaties moeten daarom een grondige analyse uitvoeren voordat ze de bewaartermijn vaststellen, waarbij ze rekening houden met alle relevante factoren en compliance-vereisten. Voor containers die al gegevens bevatten, is het belangrijk om te begrijpen dat onveranderlijke beleidsregels alleen van toepassing zijn op nieuwe blobs of op bestaande blobs die nog geen onveranderlijke beleidsregel hebben geconfigureerd. Bestaande blobs kunnen niet retroactief worden beschermd met een onveranderlijke beleidsregel, tenzij ze worden gekopieerd naar een nieuwe blob of gemigreerd naar een nieuwe container. In sommige gevallen kan het nodig zijn om bestaande gegevens te migreren naar nieuwe containers met onveranderlijke beleidsregels, wat een zorgvuldige planning vereist om ervoor te zorgen dat de migratie correct wordt uitgevoerd zonder gegevensverlies of serviceonderbrekingen. Deze migratie moet worden uitgevoerd tijdens geplande onderhoudsvensters en moet worden getest voordat deze wordt toegepast op productiegegevens. Het is ook belangrijk om te verifiëren dat de migratie voldoet aan alle beveiligings- en compliance-vereisten, en dat alle audit trails correct worden bijgehouden. Het remediatieproces moet volledig worden gedocumenteerd en geaudit om ervoor te zorgen dat alle wijzigingen kunnen worden getraceerd en geverifieerd. Dit betekent dat alle wijzigingen moeten worden geregistreerd in audit logs, inclusief wie de beleidsregels heeft geconfigureerd, wanneer dit is gebeurd, welke containers zijn beschermd, welke bewaartermijnen zijn ingesteld, en de reden voor de configuratie. Deze documentatie is essentieel voor compliance-audits en helpt bij het begrijpen van de beveiligingsstatus van de organisatie. Het helpt ook bij het identificeren van patronen of problemen die kunnen wijzen op systematische problemen die moeten worden aangepakt. Deze documentatie moet worden bewaard in een onveranderlijke opslaglocatie zelf om te voorkomen dat deze kan worden gewijzigd of verwijderd. Na het configureren van onveranderlijke blob-opslag moet worden geverifieerd dat de beleidsregels correct werken en de beoogde bescherming bieden. Dit kan worden gedaan door te proberen een blob te wijzigen of te verwijderen in een container met een actieve onveranderlijke beleidsregel. Als de wijziging of verwijdering wordt toegestaan, duidt dit op een configuratiefout of een probleem met de implementatie die onmiddellijk moet worden opgelost. Deze verificatie moet worden uitgevoerd voor elke container waarop een beleidsregel is geconfigureerd, en de resultaten moeten worden gedocumenteerd. Het is ook belangrijk om periodiek deze verificatie te herhalen om ervoor te zorgen dat de beleidsregels blijven functioneren zoals bedoeld. Deze verificatie moet worden uitgevoerd door bevoegde personen en de resultaten moeten worden bewaard voor audit-doeleinden. Organisaties moeten ook een duidelijk en gedocumenteerd proces hebben voor het beheren van onveranderlijke beleidsregels gedurende hun gehele levenscyclus. Dit omvat het monitoren van wanneer beleidsregels verlopen, het evalueren of gegevens moeten worden behouden of verwijderd na het verlopen van de bewaartermijn, en het beheren van juridische bewaarbeleidsregels die moeten worden verwijderd wanneer juridische procedures zijn afgerond. Dit proces moet worden geïntegreerd in het algemene gegevenslevenscyclusbeheerbeleid van de organisatie en moet duidelijke richtlijnen bevatten over wie verantwoordelijk is voor het nemen van beslissingen over het behouden of verwijderen van gegevens, en welke criteria worden gebruikt om deze beslissingen te nemen. Dit proces moet regelmatig worden geaudit om ervoor te zorgen dat het effectief is en voldoet aan alle relevante compliance-vereisten. Tot slot is het belangrijk om te zorgen voor continue en proactieve monitoring na remediatie. Zelfs nadat alle vereiste containers zijn beschermd met onveranderlijke beleidsregels, moeten organisaties blijven monitoren op nieuwe containers die mogelijk ook bescherming nodig hebben, op wijzigingen aan bestaande beleidsregels die mogelijk wijzen op onbevoegde toegang of configuratiefouten, en op containers waarvan de inhoud of classificatie is gewijzigd waardoor ze nu bescherming nodig hebben. Deze continue monitoring zorgt ervoor dat de beveiligingsstatus van de organisatie op peil blijft en dat nieuwe risico's tijdig worden geïdentificeerd en aangepakt. Deze monitoring moet worden geautomatiseerd waar mogelijk, met behulp van Azure Monitor en Azure Log Analytics om waarschuwingen te genereren wanneer afwijkingen worden gedetecteerd.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Immutable Blob Storage .DESCRIPTION CIS Azure Foundations Benchmark - Control 3.12 Controleert immutable blob storage policies voor compliance. .NOTES Filename: immutable-blob-storage.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 3.12 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Storage [CmdletBinding()] param([Parameter()][switch]$Monitoring) $ErrorActionPreference = 'Stop' $PolicyName = "Immutable Blob Storage" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } function Test-Compliance { $storageAccounts = Get-AzStorageAccount -ErrorAction SilentlyContinue $result = @{ TotalAccounts = $storageAccounts.Count AccountsWithVersioning = 0 ContainersChecked = 0 ContainersWithImmutablePolicy = 0 ContainersWithoutPolicy = @() } foreach ($account in $storageAccounts) { try { $blobService = Get-AzStorageBlobServiceProperty ` -ResourceGroupName $account.ResourceGroupName ` -StorageAccountName $account.StorageAccountName ` -ErrorAction SilentlyContinue if ($blobService -and $blobService.IsVersioningEnabled) { $result.AccountsWithVersioning++ $ctx = New-AzStorageContext ` -StorageAccountName $account.StorageAccountName ` -ResourceGroupName $account.ResourceGroupName ` -ErrorAction SilentlyContinue if ($ctx) { $containers = Get-AzStorageContainer -Context $ctx -ErrorAction SilentlyContinue foreach ($container in $containers) { $result.ContainersChecked++ try { $immutablePolicy = Get-AzStorageContainerImmutabilityPolicy ` -Container $container.Name ` -Context $ctx ` -ErrorAction SilentlyContinue if ($immutablePolicy -and ($immutablePolicy.ImmutabilityPeriodSinceCreationInDays -gt 0 -or $immutablePolicy.ImmutabilityPolicyState -eq 'Locked')) { $result.ContainersWithImmutablePolicy++ } else { $result.ContainersWithoutPolicy += "$($account.StorageAccountName)/$($container.Name)" } } catch { $result.ContainersWithoutPolicy += "$($account.StorageAccountName)/$($container.Name)" } } } } } catch { Write-Warning "Kan storage account $($account.StorageAccountName) niet controleren: $_" } } return $result } try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Total Storage Accounts: $($r.TotalAccounts)" -ForegroundColor White Write-Host "Accounts with Versioning: $($r.AccountsWithVersioning)" -ForegroundColor $(if ($r.AccountsWithVersioning -gt 0) { 'Green' } else { 'Yellow' }) Write-Host "Containers Checked: $($r.ContainersChecked)" -ForegroundColor White Write-Host "Containers with Immutable Policy: $($r.ContainersWithImmutablePolicy)" -ForegroundColor $(if ($r.ContainersWithImmutablePolicy -gt 0) { 'Green' } else { 'Yellow' }) if ($r.ContainersWithoutPolicy.Count -gt 0) { Write-Host "`n⚠️ Containers zonder immutable policy:" -ForegroundColor Yellow $r.ContainersWithoutPolicy | ForEach-Object { Write-Host " - $_" -ForegroundColor Gray } } } else { $r = Test-Compliance Write-Host "`nImmutable Blob Storage Status:" -ForegroundColor Cyan Write-Host "Accounts with Versioning: $($r.AccountsWithVersioning)/$($r.TotalAccounts)" Write-Host "Containers with Policy: $($r.ContainersWithImmutablePolicy)/$($r.ContainersChecked)" } } catch { Write-Error $_; exit 1 } # ================================================================================ # Standaard Invoke-* Functions (Auto-generated) # ================================================================================ function Invoke-Implementation { <# .SYNOPSIS Implementeert de configuratie #> [CmdletBinding()] param() Invoke-Remediation } function Invoke-Monitoring { <# .SYNOPSIS Controleert de huidige configuratie status #> [CmdletBinding()] param() $Monitoring = $true try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Total Storage Accounts: $($r.TotalAccounts)" -ForegroundColor White Write-Host "Accounts with Versioning: $($r.AccountsWithVersioning)" -ForegroundColor $(if ($r.AccountsWithVersioning -gt 0) { 'Green' } else { 'Yellow' }) Write-Host "Containers Checked: $($r.ContainersChecked)" -ForegroundColor White Write-Host "Containers with Immutable Policy: $($r.ContainersWithImmutablePolicy)" -ForegroundColor $(if ($r.ContainersWithImmutablePolicy -gt 0) { 'Green' } else { 'Yellow' }) if ($r.ContainersWithoutPolicy.Count -gt 0) { Write-Host "`n⚠️ Containers zonder immutable policy:" -ForegroundColor Yellow $r.ContainersWithoutPolicy | ForEach-Object { Write-Host " - $_" -ForegroundColor Gray } } } else { $r = Test-Compliance Write-Host "`nImmutable Blob Storage Status:" -ForegroundColor Cyan Write-Host "Accounts with Versioning: $($r.AccountsWithVersioning)/$($r.TotalAccounts)" Write-Host "Containers with Policy: $($r.ContainersWithImmutablePolicy)/$($r.ContainersChecked)" } } catch { Write-Error $_; exit 1 } } function Invoke-Remediation { <# .SYNOPSIS Herstelt de configuratie naar de gewenste staat .DESCRIPTION Dit script controleert de status van immutable blob storage policies. Voor daadwerkelijke configuratie van policies, gebruik de Azure Portal of specifieke PowerShell cmdlets met de juiste parameters. #> [CmdletBinding()] param() Write-Host "[INFO] Immutable blob storage policy configuratie vereist handmatige actie" -ForegroundColor Yellow Write-Host "[INFO] Running monitoring check om status te bepalen..." -ForegroundColor Cyan Invoke-Monitoring Write-Host "`n[INFO] Voor het configureren van immutable policies:" -ForegroundColor Cyan Write-Host " 1. Zorg dat blob versioning is ingeschakeld op het storage account" -ForegroundColor Gray Write-Host " 2. Gebruik Set-AzStorageContainerImmutabilityPolicy voor tijdgebaseerde policies" -ForegroundColor Gray Write-Host " 3. Gebruik Set-AzStorageContainerLegalHold voor juridische bewaarbeleidsregels" -ForegroundColor Gray Write-Host " 4. Verifieer de configuratie met Get-AzStorageContainerImmutabilityPolicy" -ForegroundColor Gray }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder onveranderlijke blob-opslag zijn kritieke gegevens zoals backups, audit logs en compliance-documenten kwetsbaar voor ransomware-aanvallen, onbevoegde wijzigingen en accidentele verwijdering. Aanvallers kunnen backups versleutelen of verwijderen, waardoor organisaties hun laatste verdedigingslinie tegen gegevensverlies verliezen. Zelfs beheerders met de hoogste rechten kunnen per ongeluk of opzettelijk kritieke gegevens verwijderen, wat kan leiden tot onherstelbaar gegevensverlies en significante compliance-overtredingen. Onveranderlijke blob-opslag implementeert het WORM-principe (Write Once Read Many), wat betekent dat gegevens volledig beschermd zijn tegen wijziging of verwijdering gedurende de bewaartermijn. Voor financiële instellingen is onveranderlijke blob-opslag verplicht voor compliance met SEC 17a-4 en FINRA regelgeving. Het risico is ZEER HOOG voor kritieke blobs omdat zonder onveranderlijke opslag organisaties kwetsbaar zijn voor ransomware-aanvallen die alle herstelopties kunnen elimineren.

Management Samenvatting

Onveranderlijke blob-opslag biedt tijdgebaseerde bewaarbeleidsregels (WORM) voor blob containers die garanderen dat blobs niet kunnen worden verwijderd of gewijzigd gedurende de bewaartermijn, zelfs niet door beheerders met de hoogste rechten. Dit creëert ransomware-bestendige opslag die essentieel is voor kritieke gegevens zoals backups, audit logs en compliance-documenten. De functionaliteit vereist blob versioning en kan worden geconfigureerd via de Azure Portal of PowerShell. De functionaliteit zelf is gratis, hoewel blob versioning (een vereiste) kan leiden tot extra opslagkosten. Voor financiële instellingen is onveranderlijke blob-opslag verplicht voor compliance met SEC 17a-4 en FINRA regelgeving. Implementatie duurt typisch 4-7 uur, inclusief planning, configuratie en verificatie. Deze maatregel is KRITISCH voor kritieke blob-opslag en moet worden geïmplementeerd voor alle containers die kritieke gegevens bevatten.