Compliance Audit Checklist voor VMware Virtualisatieomgeving (ISO 27001 & GDPR) **Algemene Inleiding** - [ ] Documenteer de volledige infrastructuur, inclusief versie van VMware en onderliggende hardware. - [ ] Verifieer dat alle virtualisatiecomponenten up-to-date zijn met de nieuwste beveiligingspatches. - [ ] Beoordeel het beheerproces en documentatie van de virtualisatie-omgeving. **Toegangscontrole** 1. Gebruikers- en toegangsbeheer - [ ] Controleer dat er een formeel beleid voor toegangsbeheer is volgens ISO 27001. - [ ] Verifieer dat alle gebruikersaccounts uniek zijn en dat er geen gedeelde accounts bestaan. - [ ] Beoordeel of multi-factor authenticatie (MFA) is geïmplementeerd voor beheerders- en kritieke gebruikers. - [ ] Controleer dat toegang tot VMware vSphere en andere beheertools wordt beperkt op basis van het principe van minste privilege. 2. Gebruikersrechten en rollen - [ ] Verifieer dat rollen en rechten correct zijn toegewezen volgens het least privilege principe. - [ ] Controleer of er periodieke reviews van gebruikersrechten plaatsvinden. - [ ] Documenteer en beoordeel procedures voor het toewijzen, wijzigen en intrekken van toegangsrechten. 3. Toegangslogboeken en monitoring - [ ] Zorg dat alle toegangsactiviteiten worden gelogd en dat logs veilig worden opgeslagen. - [ ] Controleer of er een mechanismen zijn voor het periodiek analyseren van toegangslogs. - [ ] Beoordeel de integriteit en bewaringstermijn van logs volgens ISO 27001 en GDPR. **Data Encryptie** 1. Data-in-transit - [ ] Verifieer dat alle netwerkverbindingen die data versturen tussen beheerstations en hosts versleuteld zijn (bijv. via TLS). - [ ] Controleer of VPN-verbindingen worden gebruikt voor externe toegang. 2. Data-at-rest - [ ] Controleer of virtuele harde schijven (VMDK) en andere opslagmedia worden versleuteld. - [ ] Beoordeel de gebruikte encryptiemethoden en sleutelbeheer (bijvoorbeeld VMware VM Encryption). - [ ] Verifieer dat encryptiesleutels veilig worden beheerd volgens best practices. 3. Back-ups en herstel - [ ] Controleer dat back-ups versleuteld worden. - [ ] Beoordeel de beveiliging en bewaring van back-upgegevens. - [ ] Test het herstelproces om de integriteit en beveiliging van data te waarborgen. **Beveiligingsmaatregelen en Best Practices** - [ ] Verifieer dat er een formeel beveiligingsbeleid is dat alle relevante standaarden adresseert. - [ ] Controleer dat er antivirus- en anti-malware-oplossingen actief zijn op alle hosts. - [ ] Beoordeel het patchmanagementproces voor VMware en onderliggende hardware. - [ ] Controleer dat er netwerksegmentatie en firewalls zijn ingesteld ter bescherming van kritieke systemen. - [ ] Verifieer dat er een incidentmanagementproces bestaat en dat alle medewerkers hiervan op de hoogte zijn. **Voldoen aan ISO 27001 & GDPR** - [ ] Documenteer alle geïmplementeerde beveiligingsmaatregelen en controles. - [ ] Controleer dat er een Data Protection Impact Assessment (DPIA) is uitgevoerd voor data-verwerkende activiteiten. - [ ] Verifieer dat persoonsgegevens worden verwerkt in overeenstemming met GDPR (rechtmatigheid, transparantie, minimale gegevensverwerking). - [ ] Beoordeel de procedures voor datalekken en meldingen aan toezichthouders. - [ ] Controleer dat alle medewerkers getraind zijn in privacy- en beveiligingsbeleid. **Rapportage en Verbetering** - [ ] Documenteer alle gevonden afwijkingen en tekortkomingen. - [ ] Stel een plan op voor het aanpakken van geconstateerde problemen. - [ ] Plan periodieke herzieningen en audits van de virtualisatie-omgeving. **Aanbevelingen** - Implementeer een centrale logbeheer- en SIEM-oplossing voor continue monitoring. - Voer regelmatige wachtwoord- en toegangsrechtenreviews uit. - Zorg voor encryptie van alle data volgens de nieuwste standaarden. - Documenteer alle processen en controleer deze op naleving. - Blijf up-to-date met nieuwe beveiligingsmaatregelen en regelgeving. --- Door deze checklist te volgen, krijgt u een gedetailleerd overzicht van de compliance-status van uw VMware-omgeving en kunt u gerichte verbeteringen doorvoeren om aan ISO 27001 en GDPR te voldoen.

Zeker, hier is een gedetailleerde compliance audit checklist voor uw VMware virtualisatieomgeving, afgestemd op ISO 27001, GDPR, met focus op toegangscontrole en data-encryptie. --- ### **VMware Compliance Audit Checklist: Toegangscontrole & Data-encryptie** **Doel:** Controleren of de virtualisatieomgeving voldoet aan ISO 27001 en GDPR vereisten, specifiek op het gebied van toegangsbeheer en gegevensbescherming, ter voorbereiding op een succesvolle audit. --- #### **A. Toegangscontrole (ISO 27001: A.9, GDPR: Integriteit en vertrouwelijkheid)** **1. vCenter Server Toegangsbeheer** - [ ] **Authenticatie:** Controleer of LDAP/Active Directory-integratie is geconfigureerd voor gecentraliseerde authenticatie. - [ ] **Rollen-Based Access Control (RBAC):** Verifieer dat gebruikers en service-accounts zijn toegewezen aan passende rollen (bijv. *Read-Only*, *Virtual Machine User*) met het *minimale privilegedeel*. - [ ] **Revisie van gebruikersrollen:** Review alle toegewezen rechten in vCenter; verwijder ongebruikte of overbodige accounts. - [ ] **Sterke wachtwoorden:** Bevestig dat beleid voor complexe wachtwoorden wordt afgedwongen voor lokale vCenter-accounts. - [ ] **Multi-Factor Authenticatie (MFA):** Evalueer of MFA is geïmplementeerd voor vCenter-toegang (indien beschikbaar en haalbaar). **2. ESXi Host Toegangsbeheer** - [ ] **Lockdown Mode:** Controleer of Lockdown Mode is ingeschakeld voor alle ESXi hosts om directe root-toegang te blokkeren. - [ ] **Toegang via API’s:** Beperk toegang tot management API’s tot vertrouwde IP-adressen of beheernetwerken. - [ ] **Lokale gebruikers:** Minimaliseer het aantal lokale gebruikersaccounts op ESXi hosts; gebruik vCenter voor gecentraliseerd beheer. **3. Netwerkbeveiliging en Toegang** - [ ] **VLAN-segmentatie:** Verifieer dat management-, vMotion-, en VM-netwerken gescheiden zijn via VLAN’s. - [ ] **Firewall-regels:** Controleer ESXi firewall-configuraties om onnodige poorten te sluiten. - [ ] **Toegang tot VM-konsoles:** Beperk toegang tot VM-konsoles via vSphere Client tot geautoriseerd personeel. **4. Logging en Monitoring** - [ ] **Auditlogging:** Zorg dat vCenter auditlogging is ingeschakeld en logbestanden worden bewaard volgens het bewaarbeleid (minimaal 1 jaar voor GDPR). - [ ] **Loganalyse:** Controleer of logs worden gemonitord op verdachte activiteiten (bijv. mislukte loginpogingen, rechtenwijzigingen). - [ ] **Syslog-export:** Verifieer dat logs worden geëxporteerd naar een gecentraliseerde, beveiligde syslog-server om wijzigingen te beschermen. --- #### **B. Data-encryptie (ISO 27001: A.10, GDPR: Art. 32)** **1. Encryptie van Data-at-Rest** - [ ] **VM-encryptie:** Controleer of gevoelige VM’s zijn versleuteld met **vSphere VM Encryption**. - [ ] Verifieer dat VM’s zijn gekoppeld aan een **Key Management Server (KMS)** die voldoet aan compliance-vereisten (bijv. KMIP 1.1+). - [ ] Bevestig dat encryptiesleutels veilig worden beheerd en dat KMS-toegang is gelimiteerd tot bevoegd personeel. - [ ] **Virtuele schijven:** Controleer of individuele VMDK-bestanden zijn versleuteld voor VM’s met uiteenlopende gevoeligheidsniveaus. - [ ] **Encryptiebeleid:** Documenteer het encryptiebeleid: welke VM’s worden versleuteld (bijv. alle VM’s met persoonsgegevens onder GDPR). **2. Encryptie van Data-in-Transit** - [ ] **vMotion-encryptie:** Controleer of **vMotion-netwerken** zijn geconfigureerd met encryptie (bijv. via AES-GCM) om gegevens tijdens migratie te beschermen. - [ ] **Management-verkeer:** Verifieer dat toegang tot vCenter en ESXi hosts via versleutelde kanalen verloopt (HTTPS/TLS 1.2+). - [ ] **Back-upverkeer:** Controleer of back-upoplossingen encryptie gebruiken tijdens gegevensoverdracht. **3. Storage-encryptie (Optioneel, afhankelijk van opslagtype)** - [ ] **Datastore-encryptie:** Evalueer of storage-encryptie op array-niveau is geïmplementeerd voor datastores die VM’s hosten. --- #### **C. Algemene Compliance- en Auditvoorbereiding** **1. Documentatie en Beleid** - [ ] **Beveiligingsbeleid:** Zorg dat er een up-to-date beveiligingsbeleid is voor de virtualisatieomgeving, inclusief toegangscontrole en encryptierichtlijnen. - [ ] **Risico-assessments:** Documenteer risico-evaluaties voor virtualisatie-specifieke bedreigingen (bijv. onbevoegde vMotion, ongecodeerde data). - [ ] **Verwerkingsregister (GDPR):** Controleer of alle VM’s die persoonsgegevens verwerken, zijn gedocumenteerd in het verwerkingsregister. **2. Fysieke Beveiliging** - [ ] **Toegang tot hardware:** Verifieer dat fysieke servers (ESXi hosts) en KMS-apparaten zich in een beveiligde ruimte bevinden. **3. Training en Bewustwording** - [ ] **Teamtraining:** Zorg dat beheerders training hebben gevolgd over VMware-beveiliging en compliance-vereisten. --- #### **Aanbevelingen voor een Effectieve Audit** 1. **Voer een interne audit uit:** Test deze checklist minimaal 2 weken voor de externe audit om lacunes te identificeren. 2. **Automatiseer controles:** Gebruik tools zoals **vRealize Operations Manager** of PowerCLI-scripts om configuraties te monitoren en te rapporteren. 3. **Encryptie consistent toepassen:** Overweeg alle 50 VM’s te versleutelen als ze persoonsgegevens bevatten, of in ieder geval VM’s in scope van GDPR. 4. **Herzie rechten regelmatig:** Plan een maandelijkse review van gebruikersrechten in vCenter om *privilege creep* te voorkomen. 5. **Documenteer beslissingen:** Bewust vastleggen waarom bepaalde VM’s niet zijn versleuteld (bijv. vanwege prestatie-overwegingen) om aan te tonen dat risico’s zijn beoordeeld. Met deze checklist kunt u gericht de compliance van uw VMware-omgeving verbeteren en aantonen dat u voldoet aan ISO 27001 en GDPR. Succes met de audit!