L1 BIO 12.03.01 ISO A.8.13 CIS 7.3

Azure Backup Geconfigureerd Voor Virtuele Machines

📅 2025-10-30
⏱️ 9 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Azure Backup voor virtuele machines is de ruggengraat van een veerkrachtige cloudomgeving doordat iedere productie- en testworkload op vaste intervallen een versleutelde momentopname krijgt die veilig in een Recovery Services-kluis wordt opgeslagen. De dienst combineert automatische orkestratie, beleidsgestuurde retentie en integratie met beheertools zoals Azure Policy en Microsoft Defender for Cloud, zodat mensen niet langer afhankelijk zijn van handmatige scripts of ad-hoc exports. Door herstelpunten te verdelen over meerdere Azure-regio's en optioneel immutabele opslag te benutten ontstaat een betrouwbaar vangnet dat ransomware, menselijke fouten en hardwarestoringen kan opvangen zonder de bedrijfsvoering tot stilstand te brengen. Dankzij ingebouwde rapportages, API-toegang en role-based access control kan het beheerteam bovendien aantonen dat iedere wijziging traceerbaar is en dat gevoelige data nooit ongeautoriseerd wordt benaderd. De oplossing sluit naadloos aan op bestaande lifecycleprocessen, waardoor onboarding van nieuwe workloads, decommissioning van legacy-systemen en periodieke audits aanzienlijk eenvoudiger verlopen. Azure Backup vormt daarmee een integraal onderdeel van de Nederlandse Baseline voor Veilige Cloud en biedt een solide fundament waarop andere beveiligingsmaatregelen kunnen voortbouwen.

Aanbeveling
Implementeer en test Azure Backup voor iedere productie- en test-VM zodat herstelpunten aantoonbaar beschikbaar zijn en voldoen aan de afgesproken retentie en encryptie-eisen.
Risico zonder
Critical
Risk Score
10/10
Implementatie
6u (tech: 4u)
Van toepassing op:
Azure Virtuele machines

Een virtuele machine zonder recente, geteste back-ups vormt een enkel storingspunt dat bij een calamiteit onmiddellijk resulteert in het verlies van applicaties, configuraties en data. Ransomware versleutelt zonder onderscheid volledige schijven, logbestanden en gedeelde volumes; zonder externe kopie resteert enkel een kostbare en onzekere onderhandelingen met criminelen. Hardwarefouten, stroomonderbrekingen of zelfs een onbedoelde verwijderactie in het Azure-portaal komen vaker voor dan teams durven toe te geven en veroorzaken uren tot weken productiestilstand. Bovendien verlangen wettelijke kaders zoals de BIO-paragraaf 12.03, ISO 27001 control A.8.13, AVG artikel 32 en de aankomende NIS2 dat organisaties aantoonbaar in staat zijn om beschikbaarheid en integriteit snel te herstellen. Azure Backup voorkomt dus niet alleen financieel verlies, maar beschermt ook reputatie, publieke dienstverlening en bestuursrechtelijke compliance. Denk aan scenario's waarbij een kritische mGBA-omgeving of een zaaksysteem van een gemeente wordt getroffen door een zero-day exploit: zonder back-ups moet de dienstverlening mogelijk worden stilgelegd en ontstaat een kettingreactie richting burgerzaken, vergunningverlening en toezicht. Door geautomatiseerde back-ups en hersteltests op te nemen in de reguliere releasekalender bouwt men een cultuur op waarin veerkracht net zo belangrijk is als functionaliteit.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Compute, Az.RecoveryServices

Implementatie

Een solide Azure Backup-configuratie start met het ontwerpen van een Recovery Services-kluis die past bij de dataklasse en regio waarin de virtuele machines draaien. Vervolgens definieert het team een beleid waarin duidelijk staat hoe vaak er een herstelpunt wordt gemaakt, hoe lang dat punt beschikbaar blijft voor dagelijkse, maandelijkse en jaarlijkse audits, en welke encryptie- en geografische redundantie-eisen worden toegepast. Daarna wordt voor elke virtuele machine de extensie geactiveerd, wordt de eerste back-up onder toezicht uitgevoerd en worden waarschuwingen voor mislukte jobs gekoppeld aan het SOC. Tot slot wordt via terugkerende hersteltests en rapportages gecontroleerd dat de theoretische RPO en RTO ook daadwerkelijk haalbaar blijven. Organisaties die volwassen willen werken, leggen deze stappen vast in hun changeproces, automatiseren controles met PowerShell of Azure Automation en publiceren rapportages in hun service management-portaal, zodat bestuurders realtime inzicht hebben in de staat van hun digitale reddingsboei. Hierdoor ontstaat een sluitende keten van preventie, detectie en herstel die naadloos aansluit op de Nederlandse Baseline voor Veilige Cloud.

Vereisten

  1. Een actief Azure-abonnement waarin de virtuele machines worden beheerd, inclusief toegang tot de standaard resource providers, is noodzakelijk zodat de backup-extensie automatisch kan worden uitgerold, herstelpunten in een Recovery Services-kluis kunnen worden geregistreerd en kostenverrekeningen correct op de factuur verschijnen. Leg in het abonnement een beheerder van dienst vast en zorg dat change- en incidentprocessen bekend zijn met het bestaan van de centrale kluis. Documenteer bovendien welke resourcegroepen onderdeel zijn van het back-upbereik, zodat audits eenvoudig kunnen controleren of de juiste scope wordt beschermd, en stem dit overzicht af met het assetregister.
  2. Een Recovery Services-kluis in dezelfde regio of een gekoppelde failoverregio moet vooraf worden ingericht met de juiste opslagredundantie, versleuteling en identity- en accessmanagement-instellingen zodat alle toekomstige back-upjobs kunnen worden geaccepteerd zonder aanvullende configuratiewijzigingen. Beschrijf in het dataclassificatie-register waarom voor LRS, ZRS of GRS is gekozen en laat security officers meekijken naar de gebruikte encryptiesleutels. Koppel de kluis aan log analytics zodat beheerders real-time zicht houden op eventlogs en policy-afwijkingen.
  3. Functionele en technische beheerders hebben Contributor- of hoger rechten nodig op zowel de virtuele machines als de kluis, aangevuld met Reader-rollen voor auditors, zodat configuraties kunnen worden gewijzigd terwijl scheiding van functies behouden blijft. Richt privileged access workstations in voor deze handelingen en log alle beheeracties via Azure Activity Logs en Defender for Cloud. Maak gebruik van just-in-time toegangsverlening zodat langdurige permanente rechten worden voorkomen.
  4. Er moet een formeel goedgekeurd back-upbeleid bestaan waarin frequentie, retentie, onderhoudsvensters, versleutelingsstandaarden en testverplichtingen zijn beschreven en gekoppeld aan de risicoklasse van de betreffende applicaties. Het beleid hoort onderdeel uit te maken van het informatiebeveiligingsplan en moet minimaal jaarlijks worden herzien of direct na een incident. Gebruik een beslisboom voor uitzonderingen zodat afwijkingen altijd schriftelijk worden goedgekeurd.
  5. Financiële dekking is nodig voor opslag en beschermde instantie kosten; reken op circa €0,15 per gigabyte per maand aan kluisopslag, aangevuld met vier tot acht euro per virtuele machine, zodat budgethouders niet verrast worden door groei in herstelpunten. Neem deze bedragen op in meerjarenramingen en koppel ze aan cloudkostenbeheer zodat afdelingen tijdig bijsturen.
  6. Het architectuurteam moet per workload vastleggen hoeveel gegevensverlies acceptabel is (Recovery Point Objective) en hoe snel een systeem terug online moet zijn (Recovery Time Objective), zodat beleid en uitvoer aansluiten op bedrijfscontinuïteitsdoelstellingen. Laat deze waarden bevestigen door de proceseigenaar en leg ze vast in het Business Continuity Plan zodat er geen discussie ontstaat tijdens een incident.
  7. Organisaties hebben een gedocumenteerd testplan nodig waarin minimaal per kwartaal een representatieve herstelactie wordt gepland, inclusief rollen, testdata en evaluatiecriteria, zodat management bewijs krijgt dat back-ups werkelijk werken. Gebruik een lessons-learned-sjabloon en koppel verbetermaatregelen aan werkorders of user stories. Neem ook ketentesten op waarin afhankelijkheden zoals key vaults, DNS en netwerkbeveiliging worden gecontroleerd.
  8. Monitoring- en meldingsmechanismen moeten vooraf worden gekoppeld aan het SOC of de 24/7-operators; elke mislukte job of overschrijding van retentie moet automatisch een waarschuwing genereren die opgevolgd wordt binnen de afgesproken service levels. Definieer duidelijke escalatieroutes en meet de reactietijd zodat bestuurders kunnen vertrouwen op snelle interventies. Documenteer daarnaast welke meldingen direct rapportageplichtig zijn richting toezichthouders.

Implementatie

Gebruik PowerShell-script vm-backup-configured.ps1 (functie Invoke-Implementation) – Gebruik dit PowerShell-script om op schaal Recovery Services-kluizen, back-upbeleid en VM-koppelingen uit te rollen binnen meerdere abonnementen met uniforme logging en foutafhandeling..

STAP 1 beschrijft het zorgvuldig inrichten van een Recovery Services-kluis die als centrale opslaglocatie fungeert voor alle herstelpunten. Kies een duidelijke naamgevingsconventie, bepaal of lokale redundantie volstaat of dat geo-redundante opslag noodzakelijk is, en documenteer de gekozen regio zodat iedere beheerder direct ziet voor welke workloads de kluis bedoeld is.

  1. Open het Azure-portaal, navigeer naar het gedeelte Resource maken en kies Recovery Services-kluis zodat de dienst automatisch de juiste resource providers registreert voor back-up- en Site Recovery-functionaliteit.
  2. Gebruik een consistente naam zoals BackupVault-WestEurope-prod zodat dashboards, scripts en auditrapporten de resource onmiddellijk kunnen herkennen.
  3. Selecteer dezelfde regio als de productie-VM of kies de gekoppelde regio wanneer de organisatie GRS verplicht stelt; dit minimaliseert latency en voorkomt dat herstel naar een niet-ondersteunde locatie moet plaatsvinden.
  4. Kies voor geo-redundante opslag wanneer kritieke workloads worden beschermd, zodat elke herstelpunt synchroon wordt gerepliceerd naar de paired region en regionale calamiteiten kunnen worden opgevangen zonder extra configuratie.
  5. Voltooi het aanmaken van de kluis en wacht totdat de deployment-succesmelding verschijnt; documenteer aansluitend de resource-id en beheerderstoewijzingen in het change record.

STAP 2 bestaat uit het opstellen van een beleid dat de frequentie, retentie en onderhoudsvensters van de back-ups bepaalt. Dit beleid vormt de contractuele afspraak tussen beveiliging, operations en de applicatie-eigenaar en moet aantoonbaar aansluiten bij de afgesproken RPO en RTO.

  1. Open binnen de kluis het onderdeel Back-upbeleid en kies Toevoegen zodat de wizard de juiste parameters voor virtuele machines beschikbaar maakt.
  2. Selecteer Azure Virtual Machine als beleidstype zodat de VSS-snapshots en application-consistent opties automatisch worden geconfigureerd.
  3. Geef het beleid een duidelijke naam, bijvoorbeeld Daily-30DayRetention-prod, zodat het direct duidelijk is welk retentieprofiel wordt toegepast en voor welke omgeving het bedoeld is.
  4. Plan de dagelijkse back-up buiten kantooruren, bijvoorbeeld 22:00 uur lokale tijd, zodat productieprocessen niet worden belast en beheerders binnen de volgende werkdag de resultaten kunnen controleren.
  5. Definieer retentie voor dagelijkse, wekelijkse, maandelijkse en jaarlijkse punten zodat compliance-eisen voor onder meer BIO en AVG aantoonbaar zijn geborgd.
  6. Sla het beleid op en documenteer de versie en goedkeuringsdatum zodat audits kunnen verifiëren dat de instelling intentioneel is gekozen.

STAP 3 richt zich op het daadwerkelijk koppelen van iedere virtuele machine aan het gekozen beleid. Dit omvat zowel portaalhandelingen als automatische controles via scripts, zodat geen enkele productie- of testmachine per ongeluk buiten de back-upstrategie valt.

Gebruik PowerShell-script vm-backup-configured.ps1 (functie Invoke-Monitoring) – Het script biedt een geautomatiseerde controle op beleidstoewijzing, laatste geslaagde job en retentie-achterstanden per virtuele machine en publiceert de resultaten naar het monitoringdashboard..

  1. Open de gewenste virtuele machine in het Azure-portaal of via Azure CLI en navigeer naar het onderdeel Beheer > Back-up zodat de status in één oogopslag zichtbaar is.
  2. Activeer de back-upfunctie, selecteer de eerder ingerichte kluis en controleer dat de juiste regio en abonnement worden weergegeven zodat er geen kruissubscriptie wordt gebruikt.
  3. Koppel het Daily-30DayRetention-beleid of het equivalente beleid van de organisatie en verifieer de geplande tijdstippen, encryptie-instellingen en retentie-informatie voordat je bevestigt.
  4. Start de initiële back-up en monitor deze taak totdat er een geslaagde status verschijnt; noteer eventuele waarschuwingen over ontbrekende agents of tijdelijke netwerkissues.
  5. Controleer in het overzicht Back-upitems of de machine expliciet wordt vermeld, inclusief het gekoppelde beleid en de laatst voltooide job, en herhaal dit voor elke productie-VM.
  6. Gebruik het PowerShell-script of Azure Policy-rapportages om wekelijks te bevestigen dat nieuwe virtuele machines automatisch in het beleid zijn opgenomen en dat verwijderde workloads netjes uit de kluis zijn opgeruimd.

STAP 4 valideert dat herstelpunten niet alleen bestaan, maar ook daadwerkelijk bruikbaar zijn. Zonder periodieke hersteltesten blijft een back-up een papieren zekerheid en worden fouten in netwerkconfiguraties, OS-drivers of applicatiedata vaak pas ontdekt tijdens een crisis.

  1. Kies een herstelpunt met de juiste consistentieklasse en controleer de tijdstempel zodat zeker is dat de data aansluit bij het testscenario.
  2. Bepaal of de organisatie een volledige VM wil herstellen, schijven wil terugzetten of een bestaande machine wil overschrijven; leg de risico's van iedere optie vooraf vast.
  3. Herstel bij voorkeur naar een tijdelijke resourcegroep en netwerksegment, voer vervolgens functionele tests uit samen met applicatie-eigenaren en verwijder de testmachine zodra alle resultaten zijn gedocumenteerd.
  4. Leg iedere stap vast in een runbook inclusief schermopnamen, PowerShell-commando's en verwachte doorlooptijden zodat het crisisteam dit kan volgen zonder extra uitleg.
  5. Plan minimaal per kwartaal een scenario-gestuurde test waarbij ook afhankelijkheden zoals sleutelkluizen, service principals en netwerkbeveiliging worden meegenomen; rapporteer bevindingen aan het CISO-office.

monitoring

Gebruik PowerShell-script vm-backup-configured.ps1 (functie Invoke-Monitoring) – Automatiseer dagelijkse controles en integreer de resultaten met SIEM- of ITSM-workflows zodat afwijkingen in backupstatussen altijd een opvolgtaak genereren..

  1. Controleer dagelijks in het dashboard van de Recovery Services-kluis of alle geplande back-upjobs succesvol zijn afgerond en onderzoek afwijkingen direct zodat herstelpunten nooit ouder zijn dan de afgesproken RPO. Registreer elke bevinding in het ITSM-systeem en sluit deze pas wanneer de volgende run bewezen succesvol is uitgevoerd. Documenteer de oorzaak-analyse en deel deze met ontwikkelteams zodat structurele fouten al tijdens de releaseplanning worden opgelost. Gebruik tagging om kritieke systemen prioriteit te geven wanneer meerdere incidenten tegelijk optreden en leg per incident vast welke lessons learned zijn toegepast.
  2. Stel waarschuwingen in via Azure Monitor, e-mail en Microsoft Teams zodat de piketdienst onmiddellijk een melding ontvangt bij mislukte back-ups, uitgeschakelde agents of overschreden retenties en verbind opvolgacties aan duidelijke runbooks. Test de meldingen maandelijks door een gecontroleerde fout te simuleren en verifieer dat alle communicatiestromen werken. Verbreed de alerting met webhook-integraties richting SIEM of SOAR zodat automatisering direct herstelacties kan starten. Evalueer per kwartaal de drempelwaarden en zorg dat deze aansluiten bij veranderende workloads.
  3. Gebruik wekelijks het overzicht Back-upitems of een geautomatiseerd PowerShell-rapport om te bevestigen dat iedere productie-VM daadwerkelijk aan een beleid is gekoppeld en corrigeer afwijkingen voordat nieuwe releases live gaan. Combineer dit met Azure Resource Graph zodat ook shadow-IT resources zichtbaar worden. Publiceer de resultaten in een gedeeld dashboard zodat productowners inzicht hebben in de naleving van hun applicaties. Neem afwijkingen op in het risicoregister totdat aantoonbaar herstel is uitgevoerd.
  4. Controleer maandelijks of retentie-instellingen overeenkomen met wettelijke en contractuele verplichtingen en of snapshots volgens planning worden verwijderd zodat datahygiëne en kostenbeheersing aantoonbaar geborgd blijven. Documenteer eventuele afwijkingen inclusief compensatiemaatregelen en zorg dat de CISO deze aftekent. Houd een overzicht bij van alle uitzonderingen inclusief einddatum en verantwoordelijke zodat tijdelijke maatregelen niet permanent blijven bestaan. Werk dit overzicht bij in het ISMS zodat auditors een directe referentie hebben.
  5. Monitor het opslagverbruik van de kluis en vergelijk dit met begrotingen; significante groei kan wijzen op foutieve policies of ongewenste dataretentie en moet daarom direct worden besproken met finance en capacity management. Visualiseer trends in Power BI zodat besluitvorming over lifecyclemanagement wordt ondersteund. Stel drempelwaarden in die automatisch een kostendossier openen wanneer het verbruik een afgesproken percentage overschrijdt. Neem hier ook voorspellingen in op zodat toekomstige investeringen tijdig kunnen worden aangevraagd.
  6. Plan ieder kwartaal een integraal herstelscenario waarbij techniek, documentatie en communicatie worden getest; leg bevindingen vast en voer verbeteringen direct door in beleid en scripts. Betrek naast IT ook proceseigenaren, communicatieadviseurs en crisiscoördinatoren om de volledige keten te oefenen. Wissel scenario's af, bijvoorbeeld ransomware, crypto-locking of regionale uitval, zodat teams flexibel blijven. Rapporteer doorlooptijden en herstelpercentages aan het directieteam.
  7. Gebruik Azure Policy en Microsoft Defender for Cloud-aanbevelingen om realtime te meten of nieuwe of gewijzigde resources voldoen aan de verplichte back-upstandaard en lever rapportages aan het auditteam. Koppel deze inzichten aan het risicoregister en bespreek structurele afwijkingen in het beveiligingsoverleg. Vertaal de bevindingen naar concrete verbeteracties met eigenaar, deadline en meetmethode. Zorg dat audittrail-gegevens minimaal zeven jaar beschikbaar blijven voor forensisch onderzoek en controleer jaarlijks of de rapportage-indeling nog aansluit bij auditwensen.

Compliance en Auditing

Back-upvoorzieningen voor virtuele machines zijn geen optionele luxe maar een harde compliance-eis binnen vrijwel alle relevante normenkaders. De CIS Azure Foundations Benchmark schrijft in control 7.3 voor dat iedere virtuele machine moet zijn gekoppeld aan Azure Backup, inclusief aantoonbaar herstelvermogen. De Baseline Informatiebeveiliging Overheid (BIO) concretiseert dit in hoofdstuk 12.03 door te eisen dat reservekopieën periodiek, gecontroleerd en beveiligd worden opgeslagen buiten de primaire productieomgeving. ISO 27001:2022 control A.8.13 benadrukt bovendien dat organisaties niet alleen back-ups moeten maken, maar ook de procedures, verantwoordelijkheden en testresultaten moeten documenteren. De aankomende NIS2-richtlijn, artikel 21, verplicht aanbieders van essentiële en belangrijke diensten om maatregelen te treffen die de continuïteit garanderen, waarbij herstelvermogen na cyberincidenten expliciet wordt genoemd. Ook de AVG (artikel 32) eist dat verwerkingsverantwoordelijken technische en organisatorische maatregelen treffen om de beschikbaarheid en veerkracht van systemen te borgen; zonder recente back-up is herstel van persoonsgegevens onmogelijk en voldoet men niet aan deze bepaling. Betaalkaartomgevingen vallen onder PCI-DSS eis 9.5, waarin bescherming en replicatie van back-upmedia centraal staan. Daarnaast verwijzen sectorale normen zoals ENSIA, DigiD-beveiligingseisen en Norea IT-auditstandaarden expliciet naar gedocumenteerde back-up- en herstelprocedures. In audits vragen toezichthouders standaard naar runbooks, testverslagen, logboeken van back-upjobs en overzichten van beleidstoewijzingen. Een organisatie die deze bewijslast niet paraat heeft, loopt risico op aanwijzingen, dwangsommen of zelfs intrekking van vergunningen en subsidies. Aangezien de Nederlandse publieke sector steeds meer afhankelijk is van digitale dienstverlening, kan het niet aantonen van functionerende VM-back-ups leiden tot bestuurlijke maatregelen, politieke verantwoordelijkheid en verlies van vertrouwen bij burgers. Het inrichten, testen en monitoren van Azure Backup is daarmee een onmisbare bouwsteen om naleving van wet- en regelgeving te waarborgen. Zorg daarom dat ieder back-upbeleid wordt goedgekeurd door het informatiebeveiligingsberaad, dat uitzonderingen schriftelijk worden vastgelegd en dat evidence minimaal zeven jaar wordt bewaard. Combineer technische logging met verklaringen van proceseigenaren, zodat auditors zowel harde cijfers als managementcommitment zien. Leg per hersteltest vast welke scenario's zijn geoefend, welke KPI's zijn gehaald en welke verbeteracties zijn geformuleerd, zodat trendanalyse over meerdere jaren mogelijk wordt. Maak gebruik van Azure Policy compliance-rapporten en exporteer deze naar het ISMS, zodat auditteams real-time inzicht hebben in de status van workloads. Beschrijf in de auditkalender welke datasets wanneer worden aangeleverd en wijs een eigenaar per rapport aan zodat deadlines nooit worden gemist. Houd daarnaast een mapping bij tussen iedere control en de specifieke Azure-resources waarop deze van toepassing is, zodat nieuwe collega’s snel begrijpen waar bewijs te vinden is. Plan halfjaarlijkse gesprekken met de interne auditdienst en externe toezichthouders om verwachtingen af te stemmen en te laten zien welke verbeteringen zijn doorgevoerd. Werk tenslotte met control dashboards waarin per eis een status, risiconiveau en verantwoordelijke wordt getoond, zodat bestuurders continu inzicht houden. Voeg indien nodig aanvullende contractuele clausules toe in leveranciersovereenkomsten zodat ook ketenpartners aantoonbaar dezelfde normen volgen en leg deze afspraken vast in het inkoopbeleid. Leg dit geheel vast in het jaarverslag zodat bestuurders publiekelijk verantwoording afleggen. Alleen zo kan men aantonen dat de Nederlandse Baseline voor Veilige Cloud daadwerkelijk in de praktijk wordt gebracht en dat continuïteit en rechtszekerheid aantoonbaar zijn geborgd.

Remediatie

Gebruik PowerShell-script vm-backup-configured.ps1 (functie Invoke-Remediation) – Dit script heractiveert ontbrekende agents, koppelt virtuele machines opnieuw aan het juiste beleid en initieert direct een eerste herstelpunt zodat naleving snel wordt hersteld. Het remediation-proces voert in één run een volledige ketencontrole uit: detectie van niet-beschermde virtuele machines op basis van tag- of resourcegroepselectie, validatie van rolrechten, herconfiguratie van Recovery Services-kluizen en het opnieuw toewijzen van het juiste retentieprofiel. Vervolgens wordt de Azure Backup-extensie geïnstalleerd of herstart, worden pending jobs opgeschoond en wordt een on-demand back-up gestart zodat er direct een vers herstelpunt beschikbaar is voor audits. Het script schrijft uitgebreide logging weg naar zowel het scherm als een Log Analytics-werkruimte, inclusief tijdstempels, betrokken resources, toegepaste policies en eventuele fouten, waardoor forensische traceerbaarheid gewaarborgd blijft. Voor productieomgevingen kan een dry-run vlag worden gebruikt die alleen rapportages genereert; hiermee kunnen beheerders de impact vooraf beoordelen en noodzakelijke onderhoudsvensters plannen. Indien er afhankelijkheden zijn, zoals Key Vault-referenties of privé-eindpunten, controleert de logica automatisch of deze bereikbaar zijn voordat er wijzigingen worden doorgevoerd. Na afloop ontvangt het SOC een samenvattende melding via webhook of e-mail zodat opvolgacties en ticketregistratie direct kunnen plaatsvinden. Het script voorziet bovendien in ingebouwde validatie van RPO- en RTO-parameters, zodat alleen beleid wordt toegepast dat voldoet aan de afgesproken eisen uit de Nederlandse Baseline voor Veilige Cloud. Herstelacties worden standaard voorzien van een change-identificatie die kan worden teruggeleid naar het CAB-dossier, waardoor governance geborgd blijft. Daarnaast worden alle aangebrachte wijzigingen gespiegeld naar een configuration management database zodat asset-, eigenaar- en impactinformatie automatisch wordt bijgewerkt. Bij fouten kan het script per resource een rollback uitvoeren waarbij de vorige configuratie wordt teruggezet en een incidentmelding wordt aangemaakt voor nadere analyse. Met parameterbestanden kunnen organisaties verschillende omgevingen (bijvoorbeeld OT, ontwikkel of productie) met één scriptversie herstellen terwijl specifieke policies, vaults en netwerkrestricties behouden blijven. Dankzij ingebouwde integratie met Azure Monitor kunnen herstelacties metrics publiceren zoals duur van de initiële back-up, aantal herstelde virtuele machines en resterende afwijkingen, wat helpt bij managementrapportages. Het script ondersteunt tevens staged deployments waarbij eerst een subset van virtuele machines wordt hersteld en pas na succesvolle validatie de volledige scope wordt geactiveerd. Authenticatie verloopt via beheerde identiteiten of workloadidentiteiten, waardoor geheimen niet lokaal hoeven te worden opgeslagen en het script voldoet aan zero-trustprincipes. Daarnaast bevat het playbook een self-test modus die de belangrijkste functies doorloopt en de resultaten tegen de schema.json-validatieset houdt, zodat updates van het script eenvoudig gecontroleerd kunnen worden voordat het in productie gebruikt wordt. Voor kritieke workloads biedt het een optionele integratie met het change management-portaal waarbij automatisch een reviewtaak voor de applicatie-eigenaar wordt aangemaakt, inclusief bewijs van de uitgevoerde herstelpunten. Tot slot kan het script een overzichtsrapport genereren met alle aangepaste resources, gekoppelde policies en nieuwe herstelpunten, zodat auditors in één document de volledige remedial scope kunnen beoordelen. Desgewenst kan het rapport automatisch aan het ISMS of het ENSIA-portaal worden toegevoegd zodat bewijs direct beschikbaar is voor inspecties. In combinatie met de documentatie bij het script vormt dit een volledig draaiboek voor herstel van niet-conforme back-upsituaties binnen de context van de Nederlandse Baseline voor Veilige Cloud..

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS VM Backup Configured .DESCRIPTION CIS Azure Foundations Benchmark - Control 7.3 Controleert of Azure Backup is geconfigureerd voor VMs. .NOTES Filename: vm-backup-configured.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 7.3 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Compute, Az.RecoveryServices [CmdletBinding()] param([Parameter()][switch]$Monitoring) $ErrorActionPreference = 'Stop' $PolicyName = "VM Backup Configured" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } function Test-Compliance { $vms = Get-AzVM -ErrorAction SilentlyContinue $result = @{ TotalVMs = $vms.Count; WithBackup = 0 } $vaults = Get-AzRecoveryServicesVault -ErrorAction SilentlyContinue foreach ($vm in $vms) { foreach ($vault in $vaults) { Set-AzRecoveryServicesVaultContext -Vault $vault -ErrorAction SilentlyContinue $container = Get-AzRecoveryServicesBackupContainer -ContainerType AzureVM -ErrorAction SilentlyContinue | Where-Object { $_.FriendlyName -eq $vm.Name } if ($container) { $result.WithBackup++ break } } } return $result } try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Total VMs: $($r.TotalVMs)" -ForegroundColor White Write-Host "With Backup: $($r.WithBackup)" -ForegroundColor $(if ($r.WithBackup -eq $r.TotalVMs) { 'Green' } else { 'Yellow' }) } else { $r = Test-Compliance Write-Host "`nVM Backup: $($r.WithBackup)/$($r.TotalVMs) configured" } } catch { Write-Error $_; exit 1 } # ================================================================================ # Standaard Invoke-* Functions (Auto-generated) # ================================================================================ function Invoke-Implementation { <# .SYNOPSIS Implementeert de configuratie #> [CmdletBinding()] param() Invoke-Remediation } function Invoke-Monitoring { <# .SYNOPSIS Controleert de huidige configuratie status #> [CmdletBinding()] param() $Monitoring = $true try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Total VMs: $($r.TotalVMs)" -ForegroundColor White Write-Host "With Backup: $($r.WithBackup)" -ForegroundColor $(if ($r.WithBackup -eq $r.TotalVMs) { 'Green' } else { 'Yellow' }) } else { $r = Test-Compliance Write-Host "`nVM Backup: $($r.WithBackup)/$($r.TotalVMs) configured" } } catch { Write-Error $_; exit 1 } } function Invoke-Remediation { <# .SYNOPSIS Herstelt de configuratie naar de gewenste staat .DESCRIPTION Dit is een monitoring-only control, remediation delegeert naar monitoring #> [CmdletBinding()] param() Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan Invoke-Monitoring }

Risico zonder implementatie

Risico zonder implementatie
Critical: Wanneer virtuele machines zonder back-up draaien, leidt een enkele ransomwarebesmetting, schijfstoring of menselijke fout onmiddellijk tot permanent verlies van applicaties en data. De organisatie kan weken uit de lucht zijn en loopt contractuele boetes, AVG-meldplichten en reputatieschade op. Financiële verliezen kunnen oplopen tot miljoenen euro's door herstelkosten, noodinvesteringen in hardware en uitgestelde dienstverlening. Daarnaast mislukt iedere audit op BIO, ISO 27001 en NIS2-onderdelen zodra blijkt dat er geen aantoonbaar herstelvermogen aanwezig is.

Management Samenvatting

Azure Backup levert geautomatiseerde, versleutelde momentopnamen met beleidsgestuurde retentie, geo-redundantie en integratie in beheerprocessen. Met een investering van enkele euro's per VM per maand wordt voldaan aan CIS 7.3, BIO 12.03, ISO 27001 A.8.13, AVG artikel 32 en NIS2. Plan dagelijkse back-ups, voer kwartaalgewijze hersteltests uit en koppel monitoring aan het SOC om continuïteit te garanderen.