Recently, Microsoft published some tooling to check the BIO Compliancy of your M365 tenant. As BIO is a Dutch thing, this blogpost will be in Dutch :)
BIO voor de overheid
De Baseline Informatiebeveiiging Overheid (kortweg BIO) is het ‘basisnormenkader’ voor informatiebeveiliging binnen alle overheidslagen. Voorheen had elke overheidslaag (Rijksoverheid, uitvoeringsinstanties, gemeentes, etc.) zijn of haar eigen baseline, inmiddels is er dus één BIO voor alle overheden. Deze BIO is in December 2018 vastgesteld door de ministerraad. Vanaf 1 janauri 2019 is er daadwerkelijk gestart met de implementatie. Hoewel er dus één baseline is, zorgen alle overheidslagen zelf voor de eigen implementatie.
Pas toe of leg uit
De BIO is gebaseerd op de NEN-ISO/IEC 27001:2017 en de NEN-ISO/IEC 27002:2017. Op de ‘Pas-toe-of-leg-uit’-lijst van het Forum Standaardisatie zijn informatiebeveiligingsstandaarden ISO27001 en ISO27002 geplaatst. Die lijst geeft de verhoudingen tussen deze standaarden en de BIO weer. Op specifieke standaarden geeft de BIO een nader invulling in de vorm van ‘overheidsmaatregelen’. Inmiddels is, sinds 17 juni 2020, versie 1.4 van de BIO van kracht. Ook wordt er gewerkt aan een versie 2. Deze zal worden gekoppeld aan de invoering van NIS2, en wordt dus pas eind 2024 van kracht. Tot die tijd is er een opmaat naar versie 2.0 gepubliceerd.
Check de compliancy met de BIO
Voor veel techneuten die in de overheidssector werken zal de BIO geen onbekende zijn. Zeker in de architectuur worden designs getoetst aan deze standaard, worden controls in place gebracht om compliant te zijn en zal vaak met een fit/gap analyse worden vastgelegd hoe een specifieke implementatie zich verhoudt tot de BIO. Het is echter vaak lastig om ná de implementatie, als een product of dienst in regulier beheer gebruikt wordt, de compliancy met de BIO te blijven moonitoren. Voor Azure was er al een [BIO compliancy oplossing](https://github.com/Azure/Bio-Compliancy}, maar nu is er ook een manier om je Microsoft 365-services te checken!
Toepassing
Het BIO-Compliancy project wat door Microsoft is uitgebracht op Github maakt gebruik van Microsoft 365 DSC. Een template kan worden vergeleken met de ingerichte omgeving en met het meegeleverde Power BI dashboard kan worden geaudit of resources in de M365 omgeving voldoen aan de BIO. Het template is vooral een startpunt om compliant te worden in een M365-omgeving. Het omvat uiteraard alleen de technische ‘controls’. Procesmatige- en monitoring-controls kunnen niet technisch worden gecontroleerd, maar zullen uiteraard wel moeten geïmplementeerd in een organisatie om volledig compliant te zijn.
Note: Op dit moment dekt de blueprint de core services in Microsoft 365 af, inclusief Entra ID (Azure AD), Exchange Online, SharePoint Online, OneDrive for Business, Teams, Purview and Defender for Office 365. Ondersteuning voor Intune wordt aan gewerkt.
Requirements
De toolset maakt zoals gezegd van Microsoft 365 DSC voor het analyseren van de configuratie. Er zijn dan ook een aantal zaken nodig:
- Een machine om de toolset op te installeren. Dit kan elke supported client- of server-versie van Windows zijn.
- Een service principal met de juiste rechten. Deze is nodig om de configuratie, via de Graph API, uit te kunnen lezen. Deze principal wordt aangemaakt tijdens de installatieprocedure.
- Een account met ‘global admin’ rechten. Deze wordt uitsluitend gebruikt om, tijdens installatie, het genoemde service principal aan te maken.
- De scripts uit de GitHub repo.
- Power BI Desktop, geïnstalleerd op de tools-machine
Installatie
Installatie van de toolset is eenvoudig. Zorg dat de scripts uit de Github repository op de toolsmachine staan en open daar een elevated PowerShell-venster. Zorg dat gedownload scripts kunnen worden uitgevoerd: Get-Childitem | Unblock-File vanuit de directory met de scripts doet dit. Check ook even met Get-ExecutionPolicy wat de huidige policy is en pas deze waar nodig aan.
Vervolgens kun je de omgeving gereed maken met het commando .\PrepEnvironment.ps1. Dit zorgt ervoor dat alle benodigde tools (zoals bijvoorbeeld M365DSC) worden geïnstalleerd.
Na installatie zal de service principal die nodig is om in te loggen in de M365 omgeving aangemaakt moeten worden.
[!NOTE]
Het volgende commmando maakt een service principal aan met de naam BIOAssesment, incombinatie met een self-signed certificate. met de parameters -ServicePrincipalName en -CertificatePathkan dit standaard gedrag worden aangepast.
Met het volgende command wordt het aanmaken en configureren van het Service Princpal gestart:
|
|
Wanneer het gebruikte account MFA gebruikt, kan het zijn dat je nogmaals een authenticatie-prompt krijgt. Let goed op de output. Het kan zijn dat de ‘admin consent’ voor de rechten niet correct gezet kunnen worden; dit zul je dan handmatig moeten doen. Sla ook de details van de aangemaakte service principal (zoals de application ID) op. Deze zul je later nog nodig hebben.
Assesment starten
Het uitvoeren van een assessment bestaat uit een aantal stappen.
Ten eerste zal een export van de omgeving gemaakt moeten worden. Vanuit de folder waar de scripts zijn geplaatst start je dit proces via .\RunBIOExport.ps1 -ApplicationId <Application Id> -TenantId <tenantname>.onmicrosoft.com -CertificateThumbprint <Certificate Thumbprint>.
Na het maken van de export, kan de huidge configuratie worden vergeleken met de baseline. Deze analyse start je met het commando .\RunBIOAssessment.ps1. Dit levert een output folder op, met daarin een folder met de huidige datum. In die folder zijn een aantal files terug te vinden die samen de assessment vormen.
Vervolgens willen we de uitkomsten natuurlijk zien in een dashboard. In de scripts-folder is een M365-Bio Compliance.pbit file te vinden. Deze file openen, opent de Power BI Desktop client, waar wordt gevraagd naar de locatie van de analyse-files. Vul hier het volledige pad in van de van de ‘datum folder’ uit de vorige stap.
Je kunt doorklikken op de verschillende categoriën om de details te bekijken.
Wrap-up
Met deze tool biedt Microsoft je nu de mogelijkheid om ook binnen M365 de BIO-compliancy te checken. De tool is beschikbaar op Github en daar kunnen ook pull requests gedaan worden of issues worden gemeld om de hele toolset te verbeteren. Zeker voor IT-pros die werken in de (semi)-overheid en met Microsoft 365 kan deze tool veel meerwaarde bieden!