L2 BIO 13.01 ISO A.8.20 CIS 5.1.2

Key Vault Privé Endpoints (privé Eindpunten)

📅 2025-10-29
⏱️ 5 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Privé endpoints (privé eindpunten) voor Azure Key Vault vormen een essentiële beveiligingsmaatregel die directe toegang via het publieke internet blokkeert en alle communicatie met de Key Vault service beperkt tot verbindingen binnen het virtuele netwerk van de organisatie.

Aanbeveling
IMPLEMENTEER VOOR PRODUCTIE KEY VAULTS
Risico zonder
Medium
Risk Score
6/10
Implementatie
3u (tech: 2u)
Van toepassing op:
Azure Key Vault

Zonder deze beveiligingsmaatregel kunnen er significante beveiligingsrisico's ontstaan die leiden tot gegevenscompromittering, compliance-overtredingen en reputatieschade voor de organisatie. Publieke Key Vault endpoints zijn zichtbaar en bereikbaar vanaf elke locatie op het internet, wat het risico op brute force-aanvallen, credential theft en ongeautoriseerde toegangspogingen aanzienlijk verhoogt. Voor productieomgevingen met kritieke geheimen, certificaten en sleutels is dit onacceptabel volgens moderne beveiligingsstandaarden zoals CIS, NIS2 en Zero Trust-principes.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.KeyVault

Implementatie

Deze maatregel implementeert beveiligingsbest practices via Azure Policy, ARM templates of directe configuratie om Key Vault resources te beschermen volgens actuele compliance frameworks. Privé endpoints zorgen ervoor dat alle netwerkverkeer naar en van Key Vault plaatsvindt via Azure Private Link, waardoor het verkeer nooit het publieke internet verlaat en volledig binnen het Microsoft Azure backbone-netwerk blijft.

Vereisten

Voor de implementatie van privé endpoints voor Azure Key Vault zijn specifieke infrastructuurcomponenten en configuraties vereist. Deze vereisten vormen de basis voor een veilige en functionele implementatie die voldoet aan de beveiligingsstandaarden van de Nederlandse Baseline voor Veilige Cloud. Ten eerste is een virtueel netwerk (VNet) in Azure essentieel. Dit VNet moet de resources bevatten die toegang nodig hebben tot de Key Vault, zoals virtuele machines, Azure Functions, App Services of andere workloads. Het VNet fungeert als de geïsoleerde netwerkomgeving waarin alle communicatie met de Key Vault plaatsvindt. Zonder een adequaat geconfigureerd VNet kunnen privé endpoints niet functioneren, omdat er geen netwerksegment is waarop de privé verbinding kan worden geëstabeleerd. Ten tweede is Private DNS-integratie cruciaal voor de werking van privé endpoints. Wanneer een privé endpoint wordt geconfigureerd, krijgt deze een privé IP-adres binnen het VNet-adresbereik. Zonder Private DNS-integratie zouden applicaties en services nog steeds proberen verbinding te maken met het publieke DNS-adres van de Key Vault, wat zou resulteren in verbindingsfouten. Azure Private DNS Zones zorgen ervoor dat DNS-query's voor de Key Vault automatisch worden omgezet naar het privé IP-adres van het endpoint, waardoor naadloze connectiviteit wordt gegarandeerd zonder dat applicaties aangepast hoeven te worden. Daarnaast zijn er specifieke netwerkvereisten waaraan moet worden voldaan. Het VNet moet voldoende IP-adresruimte hebben voor het privé endpoint, wat doorgaans minimaal één beschikbaar IP-adres betekent binnen het subnet waar het endpoint wordt geplaatst. Bovendien moeten netwerkbeveiligingsgroepen (NSG's) en route tabellen correct zijn geconfigureerd om verkeer naar en van het privé endpoint toe te staan, zonder dat dit de beveiligingspostuur van het netwerk compromitteert. Voor organisaties die werken met hybride omgevingen, waarbij on-premises systemen toegang nodig hebben tot de Key Vault, is een VPN- of ExpressRoute-verbinding tussen de on-premises infrastructuur en het Azure VNet vereist. Deze verbindingen moeten worden geconfigureerd met de juiste routes en firewallregels om verkeer naar de privé endpoints mogelijk te maken, terwijl tegelijkertijd de beveiligingscontroles worden gehandhaafd. Tot slot vereist de implementatie van privé endpoints voldoende Azure-machtigingen. De service principal of gebruiker die de implementatie uitvoert, moet beschikken over machtigingen voor het beheren van privé endpoints, het configureren van VNet-instellingen en het beheren van Private DNS Zones. Deze machtigingen zijn doorgaans beschikbaar via rollen zoals Network Contributor en Private DNS Zone Contributor, of via aangepaste rollen met specifieke machtigingen voor Key Vault en netwerkresources.

Monitoring

Gebruik PowerShell-script key-vault-private-endpoints-configured.ps1 (functie Invoke-Monitoring) – Controleren.

Effectieve monitoring van privé endpoint-verbindingen voor Azure Key Vault is essentieel om te garanderen dat de beveiligingsmaatregel correct functioneert en dat er geen onbevoegde toegang plaatsvindt via publieke endpoints. Monitoring moet zowel proactief als reactief zijn, waarbij regelmatige controles worden uitgevoerd en waarschuwingen worden geconfigureerd voor afwijkingen van de verwachte configuratie. De primaire monitoringtaak bestaat uit het verifiëren dat alle Key Vaults in de omgeving zijn geconfigureerd met privé endpoints en dat publieke netwerktoegang is uitgeschakeld. Dit kan worden geautomatiseerd via Azure Policy of via PowerShell-scripts die regelmatig worden uitgevoerd. Het monitoringproces moet controleren of het 'publicNetworkAccess' attribuut van de Key Vault is ingesteld op 'Disabled' en of er actieve privé endpoints zijn gekoppeld aan de Key Vault resource. Daarnaast is het belangrijk om de status van de privé endpoint-verbindingen te monitoren. Privé endpoints kunnen verschillende statussen hebben, waaronder 'Approved', 'Pending', 'Rejected' of 'Disconnected'. Alleen endpoints met de status 'Approved' bieden daadwerkelijke connectiviteit. Monitoring moet waarschuwingen genereren wanneer endpoints in een andere status verkeren, omdat dit kan wijzen op configuratiefouten of beveiligingsproblemen. Netwerkconnectiviteitstests vormen een cruciaal onderdeel van de monitoringstrategie. Deze tests moeten worden uitgevoerd vanaf resources binnen het VNet om te verifiëren dat verbindingen met de Key Vault daadwerkelijk via het privé endpoint verlopen en niet via publieke routes. Tools zoals Azure Network Watcher kunnen worden gebruikt om netwerkverbindingen te traceren en te verifiëren dat verkeer binnen het privé netwerk blijft. Logging en auditing zijn eveneens essentieel voor compliance en forensische doeleinden. Azure Key Vault diagnostische logboeken moeten worden ingeschakeld en geconfigureerd om alle toegangspogingen, zowel succesvolle als mislukte, vast te leggen. Deze logboeken moeten worden verzonden naar een centraal logbeheersysteem zoals Azure Log Analytics, waar ze kunnen worden geanalyseerd op verdachte patronen of ongeautoriseerde toegangspogingen. Voor organisaties die werken met meerdere Azure-abonnementen of beheergroepen, is gecentraliseerde monitoring via Azure Policy aanbevolen. Deze policies kunnen automatisch controleren of nieuwe Key Vaults worden geconfigureerd met privé endpoints en kunnen automatische herstelacties uitvoeren of waarschuwingen genereren wanneer niet-compliant resources worden gedetecteerd. Dit zorgt ervoor dat de beveiligingsstandaard consistent wordt toegepast binnen de gehele organisatie, ongeacht wie de resources aanmaakt of beheert.

Compliance en Auditing

De implementatie van privé endpoints voor Azure Key Vault draagt direct bij aan naleving van verschillende belangrijke beveiligings- en compliance frameworks die relevant zijn voor Nederlandse overheidsorganisaties en organisaties die werken met gevoelige gegevens. Deze compliance-vereisten vormen de basis voor een robuuste beveiligingspostuur en zijn essentieel voor het verkrijgen en behouden van certificeringen en audits. De CIS Microsoft Azure Foundations Benchmark versie 2.0 bevat specifieke aanbeveling 5.1.2, die stelt dat Key Vaults moeten worden geconfigureerd met privé endpoints om publieke netwerktoegang te beperken. Deze aanbeveling valt onder het niveau 2 (L2) van de benchmark, wat betekent dat deze wordt aanbevolen voor omgevingen met verhoogde beveiligingsvereisten. Naleving van deze aanbeveling is essentieel voor organisaties die streven naar volledige CIS-compliance en die hun beveiligingspostuur willen verbeteren ten opzichte van basisniveau configuraties. Het Baseline Informatiebeveiliging Overheid (BIO) framework, dat de standaard vormt voor informatiebeveiliging binnen de Nederlandse overheid, bevat controle 13.01 die betrekking heeft op private connectivity en netwerkisolatie. Privé endpoints voor Key Vault voldoen direct aan deze controle door ervoor te zorgen dat kritieke beveiligingsservices zoals Key Vault niet rechtstreeks toegankelijk zijn vanaf het publieke internet. Dit draagt bij aan het principe van netwerksegmentatie en minimalisering van de aanvalsoppervlakte, wat kernwaarden zijn binnen het BIO-framework. De ISO 27001:2022 standaard bevat controle A.8.20, die betrekking heeft op netwerkbeveiliging en het beheer van netwerkdiensten. Deze controle vereist dat organisaties passende beveiligingsmaatregelen implementeren voor netwerkdiensten, inclusief het beperken van toegang tot kritieke services. Privé endpoints voor Key Vault voldoen aan deze vereiste door netwerkisolatie te bieden en ervoor te zorgen dat alleen geautoriseerde resources binnen het virtuele netwerk toegang hebben tot de Key Vault service. Dit draagt bij aan de algemene netwerkbeveiligingsdoelstellingen van de ISO 27001 standaard. Daarnaast zijn privé endpoints relevant voor naleving van de NIS2-richtlijn, die van toepassing is op essentiële en belangrijke entiteiten binnen de Europese Unie. NIS2 vereist dat organisaties passende technische en organisatorische maatregelen implementeren om de beveiliging van netwerk- en informatiesystemen te waarborgen. Het gebruik van privé endpoints voor kritieke services zoals Key Vault vormt een concrete technische maatregel die bijdraagt aan deze vereisten. Voor auditing doeleinden is het belangrijk dat organisaties kunnen aantonen dat privé endpoints correct zijn geconfigureerd en dat publieke toegang daadwerkelijk is uitgeschakeld. Dit vereist gedocumenteerde configuraties, regelmatige compliance-scans en audit trails die aantonen dat de maatregel consistent wordt toegepast. Azure Policy kan worden gebruikt om automatische compliance-rapportages te genereren die aantonen dat alle Key Vaults voldoen aan de vereisten voor privé endpoints, wat het auditproces aanzienlijk vereenvoudigt en de betrouwbaarheid van de compliance-verklaringen verhoogt.

Remediatie

Gebruik PowerShell-script key-vault-private-endpoints-configured.ps1 (functie Invoke-Remediation) – Herstellen.

Wanneer monitoring detecteert dat een Key Vault niet is geconfigureerd met privé endpoints of dat publieke netwerktoegang nog steeds is ingeschakeld, moet onmiddellijk remediatie worden uitgevoerd om de beveiligingspostuur te herstellen. Het remediatieproces moet zorgvuldig worden gepland en uitgevoerd om te voorkomen dat bestaande applicaties en services worden verstoord tijdens de migratie naar privé endpoints. Het eerste stap in het remediatieproces is het identificeren van alle resources en applicaties die momenteel gebruik maken van de Key Vault via publieke endpoints. Dit omvat virtuele machines, Azure Functions, App Services, Logic Apps en andere workloads die mogelijk direct of indirect verbinding maken met de Key Vault. Het is essentieel om een volledige inventarisatie te maken van alle afhankelijkheden voordat wijzigingen worden doorgevoerd, omdat onvolledige migraties kunnen leiden tot service-onderbrekingen. Vervolgens moet een privé endpoint worden geconfigureerd voor de Key Vault. Dit proces begint met het selecteren van het juiste VNet en subnet waar het privé endpoint moet worden geplaatst. Het subnet moet voldoende IP-adresruimte hebben en moet toegankelijk zijn voor alle resources die toegang nodig hebben tot de Key Vault. Tijdens de configuratie moet een Private DNS Zone worden gekoppeld aan het privé endpoint om ervoor te zorgen dat DNS-query's correct worden omgezet naar het privé IP-adres. Na het aanmaken van het privé endpoint moet de verbinding worden goedgekeurd. In sommige configuraties vereist dit handmatige goedkeuring, terwijl in andere gevallen automatische goedkeuring kan worden geconfigureerd via Azure Policy of service principal-machtigingen. Het is belangrijk om te verifiëren dat de verbindingsstatus 'Approved' is voordat verder wordt gegaan met het uitschakelen van publieke toegang. Zodra het privé endpoint actief is en de connectiviteit is geverifieerd, kan publieke netwerktoegang worden uitgeschakeld. Dit wordt gedaan door de 'publicNetworkAccess' eigenschap van de Key Vault in te stellen op 'Disabled'. Het is cruciaal om deze stap pas uit te voeren nadat alle resources succesvol kunnen verbinden via het privé endpoint, omdat het uitschakelen van publieke toegang onmiddellijk alle verbindingen via publieke routes blokkeert. Na de implementatie moet uitgebreide testing worden uitgevoerd om te verifiëren dat alle applicaties en services nog steeds correct functioneren via het privé endpoint. Dit omvat functionele tests, performance tests en beveiligingstests om te garanderen dat de migratie succesvol is verlopen zonder negatieve impact op de operationele omgeving. Monitoring moet worden geïntensiveerd gedurende de eerste dagen na de migratie om eventuele problemen snel te kunnen identificeren en op te lossen. Voor organisaties met meerdere Key Vaults is het aanbevolen om een gefaseerde aanpak te volgen, waarbij eerst niet-kritieke Key Vaults worden gemigreerd om ervaring op te doen met het proces, gevolgd door productie-Key Vaults tijdens geplande onderhoudsvensters. Dit minimaliseert het risico op service-onderbrekingen en zorgt ervoor dat het team voldoende expertise opbouwt voordat kritieke resources worden aangepakt.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Key Vault Private Endpoints Configured .DESCRIPTION CIS Azure Foundations Benchmark - Control 8.6 Controleert of private endpoints zijn geconfigureerd voor Key Vaults. .NOTES Filename: key-vault-private-endpoints-configured.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 8.6 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.KeyVault, Az.Network [CmdletBinding()] param([Parameter()][switch]$Monitoring) $ErrorActionPreference = 'Stop' $PolicyName = "Key Vault Private Endpoints Configured" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } function Test-Compliance { $vaults = Get-AzKeyVault -ErrorAction SilentlyContinue $result = @{ TotalVaults = $vaults.Count; WithPrivateEndpoints = 0 } foreach ($vault in $vaults) { $privateEndpoints = Get-AzPrivateEndpointConnection -PrivateLinkResourceId $vault.ResourceId -ErrorAction SilentlyContinue if ($privateEndpoints) { $result.WithPrivateEndpoints++ } } return $result } try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Total Key Vaults: $($r.TotalVaults)" -ForegroundColor White Write-Host "With Private Endpoints: $($r.WithPrivateEndpoints)" -ForegroundColor $(if ($r.WithPrivateEndpoints -gt 0) { 'Green' } else { 'Yellow' }) } else { $r = Test-Compliance Write-Host "`nPrivate Endpoints: $($r.WithPrivateEndpoints)/$($r.TotalVaults) vaults" } } catch { Write-Error $_; exit 1 } # ================================================================================ # Standaard Invoke-* Functions (Auto-generated) # ================================================================================ function Invoke-Implementation { <# .SYNOPSIS Implementeert de configuratie #> [CmdletBinding()] param() Invoke-Remediation } function Invoke-Monitoring { <# .SYNOPSIS Controleert de huidige configuratie status #> [CmdletBinding()] param() $Monitoring = $true try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Total Key Vaults: $($r.TotalVaults)" -ForegroundColor White Write-Host "With Private Endpoints: $($r.WithPrivateEndpoints)" -ForegroundColor $(if ($r.WithPrivateEndpoints -gt 0) { 'Green' } else { 'Yellow' }) } else { $r = Test-Compliance Write-Host "`nPrivate Endpoints: $($r.WithPrivateEndpoints)/$($r.TotalVaults) vaults" } } catch { Write-Error $_; exit 1 } } function Invoke-Remediation { <# .SYNOPSIS Herstelt de configuratie naar de gewenste staat .DESCRIPTION Dit is een monitoring-only control, remediation delegeert naar monitoring #> [CmdletBinding()] param() Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan Invoke-Monitoring }

Risico zonder implementatie

Risico zonder implementatie
Medium: Publieke Key Vault endpoints resulteren in blootstelling aan het internet. Dit maakt brute force-aanvallen en credential theft-aanvallen mogelijk vanaf elke locatie ter wereld. Compliance-vereisten zoals CIS 5.1.2, NIS2 en Zero Trust-principes worden niet nageleefd. Het risico is hoog voor productie vaults die kritieke geheimen bevatten.

Management Samenvatting

Key Vault Privé Endpoints bieden uitsluitend toegang via het virtuele netwerk, waardoor blootstelling aan het publieke internet wordt geëlimineerd. Dit blokkeert onbevoegde toegang en voldoet aan beveiligingsstandaarden. Vereisten: VNet en Private Endpoint-implementatie. Activatie: Key Vault → Networking → Private endpoints. Kosten: ongeveer €6 per maand per endpoint. Verplicht voor CIS 5.1.2 en NIS2-compliance. Implementatietijd: 2-3 uur. Essentieel voor productie vaults met kritieke geheimen.