BIO 12.03 ISO A.8.13

Onveranderlijke Opslag Ingeschakeld

📅 2025-01-15
⏱️ 6 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Onveranderlijke opslag (immutable storage) is een kritieke beveiligingsfunctie voor Azure Storage die bescherming biedt tegen onbevoegde wijzigingen, verwijderingen en ransomware-aanvallen door het implementeren van het WORM-principe (Write Once Read Many). Deze beveiligingscontrole waarborgt dat de onveranderlijke opslagfunctionaliteit daadwerkelijk is ingeschakeld en beschikbaar is op Azure Storage-accounts, wat essentieel is voor het beschermen van kritieke gegevens zoals backups, audit logs, compliance-documenten en financiële records tegen zowel externe aanvallen als onbevoegde interne wijzigingen.

Aanbeveling
IMPLEMENTEER VOOR KRITIEKE GEGEVENS
Risico zonder
High
Risk Score
8/10
Implementatie
3u (tech: 2u)
Van toepassing op:
Azure opslag

In een tijdperk waarin ransomware-aanvallen, datalekken en onbevoegde gegevenswijzigingen steeds vaker voorkomen, is het inschakelen van onveranderlijke opslag van levensbelang voor organisaties die kritieke gegevens beheren. Zonder ingeschakelde onveranderlijke opslagfunctionaliteit kunnen organisaties geen onveranderlijke opslagbeleidsregels configureren, waardoor backups, audit logs en andere kritieke gegevens kwetsbaar zijn voor verwijdering, wijziging of versleuteling door aanvallers. Deze instelling is essentieel voor het handhaven van een veilige omgeving en voorkomt bekende aanvalsvectoren door het afdwingen van beveiligingsbest practices. Onveranderlijke opslag is met name cruciaal voor compliance met regelgeving zoals SEC 17a-4 en FINRA voor financiële instellingen, die vereisen dat bepaalde records onveranderlijk worden bewaard. Voor Nederlandse overheidsorganisaties is onveranderlijke opslag essentieel voor het voldoen aan BIO-normen en archiveringsvereisten die eisen dat kritieke documenten niet kunnen worden gewijzigd of verwijderd.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Storage

Implementatie

Onveranderlijke opslag is een Azure Storage-functie die moet worden ingeschakeld op storage-accountniveau voordat onveranderlijke opslagbeleidsregels kunnen worden geconfigureerd op containers. Deze functionaliteit maakt gebruik van blob versioning als onderliggende technologie en biedt de mogelijkheid om tijdgebaseerde bewaarbeleidsregels en juridische bewaarbeleidsregels te configureren die garanderen dat blobs niet kunnen worden gewijzigd of verwijderd gedurende een vooraf bepaalde periode, zelfs niet door beheerders met de hoogste rechten. Het inschakelen van onveranderlijke opslag vereist dat blob versioning is ingeschakeld op het storage-account, omdat versioning de technische basis vormt voor het bijhouden van versies en het afdwingen van onveranderlijkheid. Zodra onveranderlijke opslag is ingeschakeld, kunnen organisaties onveranderlijke opslagbeleidsregels configureren op containers die kritieke gegevens bevatten, waardoor deze gegevens volledig beschermd zijn tegen ransomware, onbevoegde wijzigingen en accidentele verwijdering.

Vereisten

Het inschakelen van onveranderlijke opslag op Azure Storage-accounts vereist een zorgvuldige voorbereiding en het vervullen van specifieke technische en organisatorische vereisten die essentieel zijn voor de succesvolle implementatie en het effectieve beheer van deze kritieke beveiligingsfunctie. Deze vereisten vormen de fundering waarop de onveranderlijke opslagfunctionaliteit kan worden gebouwd en waarborgen dat de geconfigureerde beleidsregels daadwerkelijk de beoogde bescherming bieden tegen onbevoegde wijzigingen, verwijderingen en ransomware-aanvallen. De eerste en meest fundamentele vereiste betreft het Azure Storage-account zelf. Organisaties moeten beschikken over een geldig Azure Storage-account dat is geconfigureerd met de juiste toegangsrechten en beveiligingsinstellingen. Het opslagaccount dient te zijn ingesteld als General Purpose v2 of BlobStorage-account, omdat deze accounttypen volledige ondersteuning bieden voor onveranderlijke opslagfunctionaliteit. Een kritiek aandachtspunt vormt de geografische locatie van het opslagaccount, aangezien niet alle Azure-regio's onveranderlijke opslagfunctionaliteit ondersteunen. Organisaties moeten daarom vooraf verifiëren of hun gekozen regio deze functionaliteit ondersteunt, of overwegen om het opslagaccount te migreren naar een ondersteunde regio indien dit nog niet het geval is. Een absolute voorwaarde voor het inschakelen van onveranderlijke opslag is het inschakelen van blob versioning op het opslagaccount. Blob versioning vormt een essentiële technische component die automatisch eerdere versies van blobs behoudt wanneer deze worden gewijzigd of overschreven. Deze functionaliteit is onmisbaar omdat het systeem in staat moet zijn om versies te beheren, te beschermen en te controleren om onveranderlijkheid af te dwingen. Zonder blob versioning kunnen onveranderlijke opslagbeleidsregels simpelweg niet worden toegepast, omdat het onderliggende systeem geen mechanisme heeft om wijzigingen te detecteren, te voorkomen of te registreren. Het inschakelen van versioning heeft echter ook implicaties voor de opslagkosten, aangezien meerdere versies van blobs worden bewaard. Organisaties moeten daarom een grondige kostenanalyse uitvoeren voordat versioning wordt geactiveerd, met name op opslagaccounts die grote hoeveelheden gegevens bevatten. De toegangscontrole en autorisatie vormen een ander cruciaal aspect van de vereisten. De gebruiker of service principal die verantwoordelijk is voor het inschakelen van onveranderlijke opslag moet beschikken over de juiste Azure Role-Based Access Control (RBAC) rollen. Voor het inschakelen van blob versioning en het configureren van onveranderlijke opslag zijn minimaal de rollen Storage Account Contributor of Storage Blob Data Owner vereist. Voor het beheren van accountniveau-instellingen zoals het inschakelen van blob versioning is de rol Storage Account Contributor nodig. Organisaties moeten ervoor zorgen dat deze rollen zijn toegewezen volgens het principe van least privilege, waarbij gebruikers alleen de minimale rechten krijgen die nodig zijn voor het uitvoeren van hun taken. Een belangrijk technisch aspect dat organisaties moeten begrijpen, betreft de manier waarop onveranderlijke opslag werkt met bestaande gegevens. Onveranderlijke opslagbeleidsregels kunnen alleen worden toegepast op nieuwe blobs of op bestaande blobs die nog geen actieve onveranderlijke beleidsregel hebben geconfigureerd. Dit betekent dat bestaande blobs die al een actieve onveranderlijke beleidsregel hebben, niet kunnen worden gewijzigd of verwijderd totdat de beleidsregel verloopt of expliciet wordt verwijderd, indien dit is toegestaan door de configuratie. Voor organisaties die containers hebben met bestaande gegevens die bescherming nodig heeft, kan dit betekenen dat gegevens moeten worden gemigreerd naar nieuwe containers waarop onveranderlijke beleidsregels kunnen worden toegepast vanaf het moment van creatie. Naast de technische vereisten zijn er ook organisatorische overwegingen die aandacht verdienen. Organisaties moeten een duidelijk beleid ontwikkelen over welke storage-accounts onveranderlijke opslag nodig hebben, welke containers bescherming vereisen, welke bewaartermijnen van toepassing zijn, en hoe deze beleidsregels worden beheerd gedurende hun levenscyclus. Dit beleid moet worden afgestemd op compliance-vereisten, organisatorisch archiveringsbeleid, en de specifieke aard van de gegevens die worden bewaard. Daarnaast is het essentieel om procedures te ontwikkelen voor het beheren van onveranderlijke opslag, inclusief het monitoren van wanneer beleidsregels verlopen, het beslissen over het behouden of verwijderen van gegevens na het verlopen van de bewaartermijn, en het beheren van juridische bewaarbeleidsregels. Tot slot vormt testen een onmisbaar onderdeel van het implementatieproces. Voordat onveranderlijke opslag wordt geïmplementeerd in productieomgevingen, is het sterk aanbevolen om deze eerst uitvoerig te testen in een gecontroleerde testomgeving. Dit stelt organisaties in staat om te begrijpen hoe de functionaliteit werkt in de praktijk, welke impact ze hebben op bestaande workflows en applicaties, en hoe ze kunnen worden beheerd en gemonitord gedurende de bewaartermijn. Testen helpt ook om eventuele configuratiefouten of onverwachte gedragingen te identificeren voordat de functionaliteit wordt toegepast op kritieke productiegegevens.

Monitoring en controle

Gebruik PowerShell-script immutable-storage-enabled.ps1 (functie Invoke-Monitoring) – Controleren.

Het monitoren en controleren van de onveranderlijke opslagfunctionaliteit vormt een essentieel onderdeel van een effectieve en robuuste beveiligingsstrategie voor Azure Storage-omgevingen binnen Nederlandse overheidsorganisaties. Zonder adequate monitoring kunnen organisaties niet garanderen dat onveranderlijke opslag daadwerkelijk is ingeschakeld en beschikbaar is op alle relevante storage-accounts, wat kan leiden tot significante beveiligingsrisico's wanneer kritieke gegevens niet kunnen worden beschermd tegen onbevoegde wijzigingen, verwijderingen of ransomware-aanvallen. Regelmatige en systematische controles zorgen ervoor dat de functionaliteit correct is geconfigureerd, actief blijft gedurende de gehele levenscyclus van storage-accounts, en dat er geen onbevoegde of verdachte pogingen zijn gedaan om de functionaliteit uit te schakelen. De monitoring van onveranderlijke opslag omvat een breed spectrum van aspecten die allemaal aandacht verdienen. Het eerste en meest fundamentele aspect betreft de verificatie dat blob versioning is ingeschakeld op alle storage-accounts die onveranderlijke opslag nodig hebben. Blob versioning is een absolute voorwaarde voor onveranderlijke opslag, omdat het de technische basis vormt voor het bijhouden van versies en het afdwingen van onveranderlijkheid. Het PowerShell-script dat bij deze beveiligingscontrole hoort, kan worden gebruikt om systematisch alle storage-accounts binnen een organisatie te scannen en te identificeren welke accounts blob versioning hebben ingeschakeld en welke niet. Deze scan moet regelmatig worden uitgevoerd, bij voorkeur wekelijks of maandelijks, om ervoor te zorgen dat nieuwe storage-accounts die kritieke gegevens bevatten ook de juiste configuratie hebben. Een tweede kritiek monitoring-aspect betreft de verificatie dat onveranderlijke opslagfunctionaliteit daadwerkelijk beschikbaar is en kan worden gebruikt op storage-accounts. Dit omvat het controleren of het storage-account zich in een ondersteunde Azure-regio bevindt, of het accounttype onveranderlijke opslag ondersteunt, en of er geen technische beperkingen zijn die het gebruik van onveranderlijke opslag verhinderen. Azure biedt uitgebreide audit logs die alle wijzigingen aan storage-accountconfiguraties registreren, inclusief gedetailleerde informatie over wie de wijziging heeft doorgevoerd, wanneer deze wijziging heeft plaatsgevonden, en wat precies is gewijzigd. Deze audit logs moeten regelmatig worden gecontroleerd op verdachte of onbevoegde activiteiten, zoals pogingen om blob versioning uit te schakelen, wat de onveranderlijke opslagfunctionaliteit zou compromitteren. Het bijhouden en monitoren van de status van onveranderlijke opslagfunctionaliteit vormt een derde belangrijk aspect van de monitoringstrategie. Organisaties moeten op elk moment weten welke storage-accounts onveranderlijke opslag ondersteunen, welke accounts blob versioning hebben ingeschakeld, en welke accounts mogelijk aanvullende configuratie nodig hebben om onveranderlijke opslag volledig te kunnen gebruiken. Voor storage-accounts die kritieke gegevens bevatten zoals backups, audit logs, compliance-documenten, of financiële records, is het cruciaal om te monitoren of onveranderlijke opslag beschikbaar is en of deze daadwerkelijk wordt gebruikt door het configureren van onveranderlijke opslagbeleidsregels op relevante containers. Het monitoren van compliance met onveranderlijke opslagvereisten is van bijzonder belang voor organisaties die moeten voldoen aan specifieke regelgeving zoals SEC 17a-4 of FINRA voor financiële instellingen, of de Baseline Informatiebeveiliging Overheid (BIO) voor Nederlandse overheidsorganisaties. Deze regelgeving vereist vaak dat bepaalde gegevens voor een specifieke periode onveranderlijk worden bewaard, en het is essentieel om te kunnen aantonen dat de onderliggende functionaliteit beschikbaar is en correct is geconfigureerd tijdens audits en compliance-controles. Het PowerShell-script kan worden uitgebreid om gedetailleerde compliance-rapporten te genereren die aantonen welke storage-accounts onveranderlijke opslag ondersteunen, welke accounts blob versioning hebben ingeschakeld, en of deze configuratie voldoet aan de specifieke compliance-vereisten. Deze rapporten kunnen worden gebruikt tijdens interne en externe audits om aan te tonen dat de organisatie voldoet aan de vereiste beveiligingsstandaarden. Azure Monitor en Azure Log Analytics bieden krachtige tools voor het implementeren van geavanceerde monitoring en alerting voor onveranderlijke opslagfunctionaliteit. Organisaties kunnen geautomatiseerde waarschuwingen configureren die worden geactiveerd wanneer blob versioning wordt uitgeschakeld, wanneer een storage-account wordt gemaakt zonder blob versioning, of wanneer er wijzigingen worden gedetecteerd aan storage-accountconfiguraties die de beschikbaarheid van onveranderlijke opslag kunnen beïnvloeden. Deze waarschuwingen kunnen worden geconfigureerd met verschillende prioriteitsniveaus, waarbij kritieke waarschuwingen zoals het uitschakelen van blob versioning onmiddellijk worden gemeld aan security teams, terwijl minder urgente waarschuwingen zoals het detecteren van een nieuw storage-account zonder blob versioning kunnen worden geaggregeerd in dagelijkse of wekelijkse rapporten. Een laatste maar niet minder belangrijk aspect van monitoring betreft de verificatie dat geconfigureerde onveranderlijke opslagfunctionaliteit daadwerkelijk werkt zoals bedoeld. Dit kan worden getest door periodiek te verifiëren dat blob versioning actief is en dat onveranderlijke opslagbeleidsregels kunnen worden geconfigureerd op containers. Als deze functionaliteit niet beschikbaar is of niet werkt, duidt dit op een configuratiefout of een probleem met de implementatie die onmiddellijk moet worden opgelost. Deze verificatietests moeten worden uitgevoerd na de initiële configuratie van onveranderlijke opslag, en periodiek daarna om ervoor te zorgen dat de functionaliteit blijft werken zoals bedoeld. Het is ook belangrijk om te monitoren op nieuwe storage-accounts die mogelijk ook onveranderlijke opslag nodig hebben, en op wijzigingen aan bestaande accounts die mogelijk wijzen op onbevoegde toegang of configuratiefouten.

Compliance en Audit

Onveranderlijke opslag speelt een cruciale en onmisbare rol bij het voldoen aan verschillende compliance-vereisten en auditstandaarden die van toepassing zijn op Nederlandse overheidsorganisaties, bedrijven en instellingen in verschillende sectoren. De implementatie van onveranderlijke opslagfunctionaliteit helpt organisaties niet alleen te voldoen aan zowel nationale als internationale regelgeving en standaarden, maar biedt ook de technische en administratieve basis om deze compliance aan te tonen tijdens audits en regelgevingscontroles. Voor Nederlandse overheidsorganisaties vormt de Baseline Informatiebeveiliging Overheid (BIO) het primaire normenkader voor informatiebeveiliging. BIO controle 12.03 richt zich specifiek op gegevensbescherming en vereist dat organisaties passende maatregelen treffen om te voorkomen dat gegevens verloren gaan, vernietigd worden of onrechtmatig worden gewijzigd. Onveranderlijke opslag biedt een concrete en verifieerbare implementatie van deze vereiste door technisch te garanderen dat kritieke gegevens niet kunnen worden gewijzigd of verwijderd gedurende de bewaartermijn, zelfs niet door beheerders met de hoogste rechten. Dit is met name relevant voor overheidsorganisaties die verplicht zijn om bepaalde documenten en gegevens voor langere perioden te bewaren voor archiverings- en auditdoeleinden, zoals financiële administraties, juridische documenten, en besluitvormingsprocessen. De onveranderlijke opslagfunctionaliteit zorgt ervoor dat deze gegevens niet alleen worden bewaard, maar ook dat de integriteit van de gegevens wordt gegarandeerd, wat essentieel is voor de betrouwbaarheid van archieven en de rechtsgeldigheid van documenten. De ISO 27001:2022 standaard, met name controle A.8.13 (Information backup), vereist dat organisaties regelmatig backups maken van informatie en software, en dat deze backups regelmatig worden getest om te verifiëren dat ze kunnen worden gebruikt voor hersteldoeleinden. Onveranderlijke opslag is essentieel voor het beschermen van deze backups tegen ransomware-aanvallen, onbevoegde wijzigingen, en accidentele of opzettelijke verwijdering. Zonder onveranderlijke opslagfunctionaliteit kunnen backups worden versleuteld of verwijderd door aanvallers, waardoor de hele backup-strategie waardeloos wordt en organisaties hun laatste verdedigingslinie tegen gegevensverlies verliezen. Door backups te beschermen met onveranderlijke opslag, kunnen organisaties aantonen dat ze voldoen aan de ISO 27001 vereisten voor betrouwbare, beschermde en verifieerbare backups. Dit is met name belangrijk voor organisaties die ISO 27001 certificering nastreven of behouden, omdat auditors zullen controleren of backups daadwerkelijk beschermd zijn tegen de meest relevante bedreigingen. Voor financiële instellingen en organisaties die opereren in de Verenigde Staten of die moeten voldoen aan Amerikaanse regelgeving, zijn SEC 17a-4 en FINRA vereisten van cruciaal belang en vaak zelfs verplicht. SEC 17a-4 vereist dat financiële instellingen bepaalde records voor een periode van minimaal drie tot zes jaar onveranderlijk bewaren, waarbij onveranderlijk betekent dat de gegevens niet kunnen worden gewijzigd, verwijderd of overschreven gedurende deze periode. Deze vereiste kan alleen worden nageleefd met onveranderlijke opslagfunctionaliteit die technisch garandeert dat gegevens niet kunnen worden gewijzigd of verwijderd gedurende de vereiste bewaartermijn. FINRA (Financial Industry Regulatory Authority) heeft vergelijkbare vereisten voor de bewaring van financiële records, en beide regelgevingsinstanties vereisen dat organisaties kunnen aantonen dat hun opslagsystemen voldoen aan deze onveranderlijkheidsvereisten. Onveranderlijke opslag biedt deze garantie en maakt het mogelijk voor organisaties om te voldoen aan deze strikte regelgevingsvereisten. Bij audits en compliance-controles moeten organisaties kunnen aantonen dat ze voldoen aan deze compliance-vereisten door middel van concrete bewijsstukken en audit trails. Onveranderlijke opslag biedt uitgebreide audit trails en logs die aantonen wanneer de functionaliteit is ingeschakeld, wie deze heeft ingeschakeld, welke storage-accounts de functionaliteit ondersteunen, en of er pogingen zijn gedaan om de functionaliteit uit te schakelen. Deze audit trails zijn essentieel voor het succesvol doorstaan van externe audits en compliance-controles, omdat auditors kunnen verifiëren dat de organisatie daadwerkelijk voldoet aan de vereiste beveiligingsstandaarden. De logs bieden ook bescherming voor de organisatie zelf, omdat ze kunnen aantonen dat eventuele problemen niet het gevolg zijn van nalatigheid of onvoldoende beveiligingsmaatregelen. Organisaties moeten ook zorgvuldig rekening houden met de Algemene Verordening Gegevensbescherming (AVG) wanneer ze onveranderlijke opslag implementeren. Hoewel onveranderlijke opslag gegevens beschermt tegen wijziging en verwijdering, wat belangrijk is voor gegevensintegriteit en beveiliging, moeten organisaties ook kunnen voldoen aan AVG-vereisten zoals het recht op verwijdering, ook wel bekend als het recht om vergeten te worden. Dit betekent dat organisaties een zorgvuldige balans moeten vinden tussen het beschermen van gegevens met onveranderlijke opslag en het kunnen voldoen aan AVG-verzoeken van betrokkenen. In sommige gevallen kan dit betekenen dat onveranderlijke opslag alleen wordt toegepast op gegevens die niet onder de AVG vallen, zoals geanonimiseerde gegevens of gegevens die zijn verzameld voor specifieke wettelijke doeleinden. In andere gevallen kan het betekenen dat er uitzonderingen worden gemaakt voor AVG-verzoeken, waarbij de onveranderlijke opslagbeleidsregel wordt verwijderd of aangepast om te voldoen aan het verzoek van de betrokkene. Het is belangrijk om deze afwegingen te documenteren en te integreren in het privacybeleid van de organisatie. Het documenteren en koppelen van compliance-vereisten aan geconfigureerde onveranderlijke opslagfunctionaliteit vormt een essentieel onderdeel van effectief compliance management. Deze documentatie helpt niet alleen bij audits door duidelijk te maken waarom bepaalde functionaliteit is ingeschakeld, welke storage-accounts de functionaliteit ondersteunen, en welke compliance-vereisten ze adresseren, maar het helpt ook bij het beheren van de functionaliteit gedurende haar levenscyclus. Organisaties moeten regelmatig hun compliance-status controleren en verifiëren dat alle vereiste storage-accounts onveranderlijke opslag ondersteunen en dat deze functionaliteit correct is geconfigureerd, en dat deze configuratie voldoet aan de actuele compliance-vereisten. Dit omvat ook het monitoren van wijzigingen in regelgeving en het aanpassen van configuraties wanneer nieuwe vereisten worden geïntroduceerd of bestaande vereisten worden gewijzigd.

Remediatie

Gebruik PowerShell-script immutable-storage-enabled.ps1 (functie Invoke-Remediation) – Herstellen.

Wanneer monitoring en controles uitwijzen dat onveranderlijke opslagfunctionaliteit niet is ingeschakeld op Azure Storage-accounts, of dat blob versioning ontbreekt wat een absolute voorwaarde is voor onveranderlijke opslag, moet onmiddellijk en doortastend actie worden ondernomen om deze beveiligingskloof te herstellen. Remediatie van ontbrekende onveranderlijke opslagfunctionaliteit is een kritieke beveiligingsmaatregel die moet worden uitgevoerd volgens een gestructureerd en gedocumenteerd proces om ervoor te zorgen dat alle stappen correct worden uitgevoerd en dat de beveiligingsstatus van de organisatie wordt hersteld. Het remediatieproces begint met een grondige inventarisatie en identificatie van alle storage-accounts die onveranderlijke opslagfunctionaliteit nodig hebben maar deze nog niet hebben ingeschakeld. Dit omvat storage-accounts die kritieke gegevens bevatten zoals backups, audit logs, compliance-documenten, financiële records, en andere gevoelige informatie die bescherming vereist tegen onbevoegde wijzigingen, verwijderingen of ransomware-aanvallen. Het PowerShell-script dat bij deze beveiligingscontrole hoort, kan worden gebruikt om automatisch alle dergelijke storage-accounts te identificeren en te categoriseren op basis van hun inhoud, beveiligingsvereisten, en de aard van de gegevens die ze bevatten. Deze categorisatie helpt bij het prioriteren van de remediatie-activiteiten, waarbij storage-accounts met de meest kritieke gegevens de hoogste prioriteit krijgen. Voor elk storage-account dat onveranderlijke opslagfunctionaliteit nodig heeft, moet eerst blob versioning worden ingeschakeld, omdat dit een absolute voorwaarde is voor onveranderlijke opslag. Blob versioning kan worden ingeschakeld via de Azure Portal, Azure PowerShell, Azure CLI, of via Infrastructure as Code-tools zoals ARM-sjablonen of Terraform. De keuze van methode hangt af van de organisatorische voorkeuren, automatisering-vereisten, en beveiligingsbeleid. Het is belangrijk om te begrijpen dat het inschakelen van blob versioning automatisch versiebeheer activeert voor alle blob-objecten in het storage-account, wat betekent dat elke wijziging aan een blob-object onmiddellijk een historische versie genereert. Dit heeft implicaties voor opslagkosten, omdat meerdere versies van blobs worden bewaard, en organisaties moeten daarom een grondige kostenanalyse uitvoeren voordat versioning wordt geactiveerd. Na het inschakelen van blob versioning moet worden geverifieerd dat onveranderlijke opslagfunctionaliteit daadwerkelijk beschikbaar is en kan worden gebruikt. Dit omvat het controleren of het storage-account zich in een ondersteunde Azure-regio bevindt, of het accounttype onveranderlijke opslag ondersteunt, en of er geen technische beperkingen zijn die het gebruik van onveranderlijke opslag verhinderen. Als het storage-account zich in een niet-ondersteunde regio bevindt, moet worden overwogen om het account te migreren naar een ondersteunde regio, of om een nieuw storage-account te creëren in een ondersteunde regio en gegevens te migreren. Deze migratie moet zorgvuldig worden gepland en uitgevoerd om service-uitval en gegevensverlies te voorkomen. Voor storage-accounts die al gegevens bevatten, is het belangrijk om te begrijpen dat het inschakelen van blob versioning alleen van invloed is op toekomstige wijzigingen aan blob-objecten. Bestaande blobs krijgen geen historische versies, tenzij ze worden gewijzigd na het inschakelen van versioning. Dit betekent dat organisaties mogelijk een gap hebben in hun gegevensbescherming voor bestaande gegevens, en dat aanvullende maatregelen nodig kunnen zijn, zoals het configureren van onveranderlijke opslagbeleidsregels op containers zodra versioning is ingeschakeld. Het remediatieproces moet volledig worden gedocumenteerd en geaudit om ervoor te zorgen dat alle wijzigingen kunnen worden getraceerd en geverifieerd. Dit betekent dat alle wijzigingen moeten worden geregistreerd in audit logs, inclusief wie blob versioning heeft ingeschakeld, wanneer dit is gebeurd, welke storage-accounts zijn geconfigureerd, en de reden voor de configuratie. Deze documentatie is essentieel voor compliance-audits en helpt bij het begrijpen van de beveiligingsstatus van de organisatie. Het helpt ook bij het identificeren van patronen of problemen die kunnen wijzen op systematische problemen die moeten worden aangepakt. Na het inschakelen van blob versioning en het verifiëren dat onveranderlijke opslagfunctionaliteit beschikbaar is, moeten organisaties overwegen om onveranderlijke opslagbeleidsregels te configureren op containers die kritieke gegevens bevatten. Deze beleidsregels bieden de daadwerkelijke bescherming tegen onbevoegde wijzigingen en verwijderingen, en zijn essentieel voor het realiseren van de beveiligingsvoordelen van onveranderlijke opslag. Het configureren van deze beleidsregels moet worden uitgevoerd volgens een gestructureerd proces dat rekening houdt met compliance-vereisten, organisatorisch archiveringsbeleid, en de specifieke aard van de gegevens die worden bewaard. Organisaties moeten ook een duidelijk en gedocumenteerd proces hebben voor het beheren van onveranderlijke opslagfunctionaliteit gedurende haar gehele levenscyclus. Dit omvat het monitoren van wanneer blob versioning actief is, het evalueren of storage-accounts de juiste configuratie hebben, en het beheren van wijzigingen aan storage-accountconfiguraties die de beschikbaarheid van onveranderlijke opslag kunnen beïnvloeden. Dit proces moet worden geïntegreerd in het algemene gegevenslevenscyclusbeheerbeleid van de organisatie en moet duidelijke richtlijnen bevatten over wie verantwoordelijk is voor het beheren van onveranderlijke opslagfunctionaliteit, en welke criteria worden gebruikt om te bepalen welke storage-accounts deze functionaliteit nodig hebben. Tot slot is het belangrijk om te zorgen voor continue en proactieve monitoring na remediatie. Zelfs nadat alle vereiste storage-accounts blob versioning hebben ingeschakeld en onveranderlijke opslagfunctionaliteit beschikbaar is, moeten organisaties blijven monitoren op nieuwe storage-accounts die mogelijk ook onveranderlijke opslag nodig hebben, op wijzigingen aan bestaande accounts die mogelijk wijzen op onbevoegde toegang of configuratiefouten, en op storage-accounts waarvan de inhoud of classificatie is gewijzigd waardoor ze nu onveranderlijke opslag nodig hebben. Deze continue monitoring zorgt ervoor dat de beveiligingsstatus van de organisatie op peil blijft en dat nieuwe risico's tijdig worden geïdentificeerd en aangepakt.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Immutable Storage Enabled .DESCRIPTION Controleert of immutable storage functionaliteit is ingeschakeld door blob versioning te verifiëren op Azure Storage accounts. Blob versioning is een absolute voorwaarde voor immutable storage functionaliteit. .NOTES Filename: immutable-storage-enabled.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 3.12 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Storage [CmdletBinding()] param([Parameter()][switch]$Monitoring) $ErrorActionPreference = 'Stop' $PolicyName = "Immutable Storage Enabled" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } function Test-ImmutableStorageEnabled { <# .SYNOPSIS Controleert of blob versioning is ingeschakeld op storage accounts #> param( [Parameter(Mandatory=$true)] [Microsoft.Azure.Commands.Management.Storage.Models.PSStorageAccount]$StorageAccount ) try { $ctx = New-AzStorageContext -StorageAccountName $StorageAccount.StorageAccountName -ResourceGroupName $StorageAccount.ResourceGroupName -UseConnectedAccount $blobService = Get-AzStorageBlobServiceProperty -Context $ctx -ErrorAction SilentlyContinue if ($blobService -and $blobService.IsVersioningEnabled) { return $true } return $false } catch { Write-Warning "Kan blob versioning status niet controleren voor $($StorageAccount.StorageAccountName): $_" return $null } } function Get-StorageAccountCompliance { <# .SYNOPSIS Haalt compliance status op voor alle storage accounts #> $storageAccounts = Get-AzStorageAccount -ErrorAction SilentlyContinue $results = @() foreach ($account in $storageAccounts) { $versioningEnabled = Test-ImmutableStorageEnabled -StorageAccount $account $results += [PSCustomObject]@{ StorageAccountName = $account.StorageAccountName ResourceGroupName = $account.ResourceGroupName Location = $account.Location VersioningEnabled = $versioningEnabled Status = if ($versioningEnabled -eq $true) { "Compliant" } elseif ($versioningEnabled -eq $false) { "Non-Compliant" } else { "Unknown" } } } return $results } try { Connect-RequiredServices $results = Get-StorageAccountCompliance $totalAccounts = $results.Count $compliantAccounts = ($results | Where-Object { $_.Status -eq "Compliant" }).Count $nonCompliantAccounts = ($results | Where-Object { $_.Status -eq "Non-Compliant" }).Count $unknownAccounts = ($results | Where-Object { $_.Status -eq "Unknown" }).Count if ($Monitoring) { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Total Storage Accounts: $totalAccounts" -ForegroundColor White Write-Host "Compliant (Versioning Enabled): $compliantAccounts" -ForegroundColor $(if ($compliantAccounts -eq $totalAccounts) { 'Green' } else { 'Yellow' }) Write-Host "Non-Compliant (Versioning Disabled): $nonCompliantAccounts" -ForegroundColor $(if ($nonCompliantAccounts -eq 0) { 'Green' } else { 'Red' }) if ($unknownAccounts -gt 0) { Write-Host "Unknown Status: $unknownAccounts" -ForegroundColor Yellow } if ($nonCompliantAccounts -gt 0) { Write-Host "`nNon-Compliant Storage Accounts:" -ForegroundColor Red $results | Where-Object { $_.Status -eq "Non-Compliant" } | ForEach-Object { Write-Host " - $($_.StorageAccountName) (RG: $($_.ResourceGroupName), Location: $($_.Location))" -ForegroundColor Gray } } if ($unknownAccounts -gt 0) { Write-Host "`nStorage Accounts with Unknown Status:" -ForegroundColor Yellow $results | Where-Object { $_.Status -eq "Unknown" } | ForEach-Object { Write-Host " - $($_.StorageAccountName) (RG: $($_.ResourceGroupName))" -ForegroundColor Gray } } } else { Write-Host "`nImmutable Storage Enabled: $compliantAccounts/$totalAccounts accounts" if ($nonCompliantAccounts -gt 0) { Write-Host "⚠️ $nonCompliantAccounts storage account(s) hebben blob versioning niet ingeschakeld" -ForegroundColor Yellow } } } catch { Write-Error $_ exit 1 } # ================================================================================ # Standaard Invoke-* Functions (Auto-generated) # ================================================================================ function Invoke-Implementation { <# .SYNOPSIS Implementeert de configuratie #> [CmdletBinding()] param() Invoke-Remediation } function Invoke-Monitoring { <# .SYNOPSIS Controleert de huidige configuratie status #> [CmdletBinding()] param() $Monitoring = $true try { Connect-RequiredServices $results = Get-StorageAccountCompliance $totalAccounts = $results.Count $compliantAccounts = ($results | Where-Object { $_.Status -eq "Compliant" }).Count $nonCompliantAccounts = ($results | Where-Object { $_.Status -eq "Non-Compliant" }).Count $unknownAccounts = ($results | Where-Object { $_.Status -eq "Unknown" }).Count if ($Monitoring) { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Total Storage Accounts: $totalAccounts" -ForegroundColor White Write-Host "Compliant (Versioning Enabled): $compliantAccounts" -ForegroundColor $(if ($compliantAccounts -eq $totalAccounts) { 'Green' } else { 'Yellow' }) Write-Host "Non-Compliant (Versioning Disabled): $nonCompliantAccounts" -ForegroundColor $(if ($nonCompliantAccounts -eq 0) { 'Green' } else { 'Red' }) if ($unknownAccounts -gt 0) { Write-Host "Unknown Status: $unknownAccounts" -ForegroundColor Yellow } if ($nonCompliantAccounts -gt 0) { Write-Host "`nNon-Compliant Storage Accounts:" -ForegroundColor Red $results | Where-Object { $_.Status -eq "Non-Compliant" } | ForEach-Object { Write-Host " - $($_.StorageAccountName) (RG: $($_.ResourceGroupName), Location: $($_.Location))" -ForegroundColor Gray } } if ($unknownAccounts -gt 0) { Write-Host "`nStorage Accounts with Unknown Status:" -ForegroundColor Yellow $results | Where-Object { $_.Status -eq "Unknown" } | ForEach-Object { Write-Host " - $($_.StorageAccountName) (RG: $($_.ResourceGroupName))" -ForegroundColor Gray } } } else { Write-Host "`nImmutable Storage Enabled: $compliantAccounts/$totalAccounts accounts" if ($nonCompliantAccounts -gt 0) { Write-Host "⚠️ $nonCompliantAccounts storage account(s) hebben blob versioning niet ingeschakeld" -ForegroundColor Yellow } } } catch { Write-Error $_ exit 1 } } function Invoke-Remediation { <# .SYNOPSIS Herstelt de configuratie naar de gewenste staat .DESCRIPTION Schakelt blob versioning in op storage accounts waar dit nog niet is ingeschakeld. Let op: Dit vereist Storage Account Contributor rechten. #> [CmdletBinding()] param( [Parameter(Mandatory=$false)] [string[]]$StorageAccountNames, [Parameter(Mandatory=$false)] [switch]$WhatIf ) try { Connect-RequiredServices $results = Get-StorageAccountCompliance $nonCompliantAccounts = $results | Where-Object { $_.Status -eq "Non-Compliant" } if ($StorageAccountNames) { $nonCompliantAccounts = $nonCompliantAccounts | Where-Object { $_.StorageAccountName -in $StorageAccountNames } } if ($nonCompliantAccounts.Count -eq 0) { Write-Host "`n✅ Alle storage accounts hebben blob versioning ingeschakeld" -ForegroundColor Green return } Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Remediatie: Blob Versioning Inschakelen" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Gevonden $($nonCompliantAccounts.Count) storage account(s) zonder blob versioning" -ForegroundColor Yellow foreach ($account in $nonCompliantAccounts) { Write-Host "`nStorage Account: $($account.StorageAccountName)" -ForegroundColor White Write-Host "Resource Group: $($account.ResourceGroupName)" -ForegroundColor Gray Write-Host "Location: $($account.Location)" -ForegroundColor Gray if ($WhatIf) { Write-Host "[WHATIF] Zou blob versioning inschakelen voor $($account.StorageAccountName)" -ForegroundColor Cyan } else { try { $ctx = New-AzStorageContext -StorageAccountName $account.StorageAccountName -ResourceGroupName $account.ResourceGroupName -UseConnectedAccount Update-AzStorageBlobServiceProperty -Context $ctx -EnableVersioning $true -ErrorAction Stop Write-Host "✅ Blob versioning succesvol ingeschakeld" -ForegroundColor Green } catch { Write-Host "❌ Fout bij inschakelen blob versioning: $_" -ForegroundColor Red } } } if (-not $WhatIf) { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Verificatie na remediatie" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Start-Sleep -Seconds 2 Invoke-Monitoring } } catch { Write-Error "Fout tijdens remediatie: $_" exit 1 } }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder ingeschakelde onveranderlijke opslagfunctionaliteit kunnen organisaties geen onveranderlijke opslagbeleidsregels configureren, waardoor backups, audit logs en andere kritieke gegevens kwetsbaar zijn voor verwijdering, wijziging of versleuteling door aanvallers. Dit vormt een kritiek beveiligingsrisico omdat ransomware-aanvallen backups kunnen verwijderen of versleutelen, waardoor organisaties hun laatste verdedigingslinie verliezen. Zonder onveranderlijke opslag kunnen zelfs beheerders met de hoogste rechten kritieke gegevens per ongeluk of opzettelijk verwijderen, wat kan leiden tot onherstelbaar gegevensverlies. Voor financiële instellingen is onveranderlijke opslag verplicht voor compliance met SEC 17a-4 en FINRA regelgeving. Het risico is HOOG voor kritieke gegevens omdat zonder onveranderlijke opslagfunctionaliteit organisaties kwetsbaar zijn voor ransomware-aanvallen die alle herstelopties kunnen elimineren.

Management Samenvatting

Onveranderlijke opslagfunctionaliteit moet worden ingeschakeld door blob versioning te activeren op Azure Storage-accounts. Deze functionaliteit vormt de technische basis voor het configureren van onveranderlijke opslagbeleidsregels die garanderen dat blobs niet kunnen worden verwijderd of gewijzigd gedurende de bewaartermijn, zelfs niet door beheerders met de hoogste rechten. Dit creëert ransomware-bestendige opslag die essentieel is voor het beschermen van kritieke gegevens zoals backups, audit logs en compliance-documenten. Activatie gebeurt via de Azure Portal of PowerShell door blob versioning in te schakelen op het storage-account. De functionaliteit zelf is gratis, hoewel blob versioning kan leiden tot extra opslagkosten voor historische versies. Voor financiële instellingen is onveranderlijke opslag verplicht voor compliance met SEC 17a-4 en FINRA regelgeving. Implementatie duurt typisch 2-3 uur, inclusief planning, configuratie en verificatie. Deze maatregel is KRITISCH voor backup bescherming en moet worden geïmplementeerd voor alle storage-accounts die kritieke gegevens bevatten.