💼 Management Samenvatting
Deze beveiligingsmaatregel waarborgt de correcte configuratie van Azure Key Vault soft-delete functionaliteit en beschermt organisaties tegen onherstelbare verlies van cryptografische sleutels en geheimen.
Aanbeveling
VERIFIEER SOFT-DELETE ACTIEF
Risico zonder
High
Risk Score
8/10
Implementatie
0u
Van toepassing op:
✓ Azure Key Vault
Deze instelling is essentieel voor het handhaven van een veilige cloud omgeving en voorkomt permanent gegevensverlies bij onopzettelijke verwijdering van Key Vault objecten. Het afdwingen van deze beveiligingsbest practices zorgt ervoor dat organisaties altijd beschikken over een herstelmechanisme voor kritieke cryptografische materialen.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.KeyVault
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.KeyVault
Implementatie
Deze maatregel controleert en configureert de soft-delete functionaliteit voor Azure Key Vault via Azure Policy om ervoor te zorgen dat verwijderde sleutels, certificaten en geheimen beschikbaar blijven voor herstel gedurende een configuratieperiode van negentig dagen, conform actuele beveiligingskaders zoals CIS Benchmarks, BIO normen en ISO 27001 richtlijnen.
Vereisten en Voorkennis
Voordat organisaties de soft-delete functionaliteit voor Azure Key Vault kunnen implementeren en monitoren, dienen zij te beschikken over een goed begrip van de Azure Key Vault architectuur en de manier waarop cryptografische materialen worden beheerd binnen de cloud omgeving. De implementatie vereist specifieke Azure-resources en toegangsrechten om de juiste configuratie te kunnen waarborgen. Azure Key Vault fungeert als een gecentraliseerde service voor het veilig opslaan en beheren van cryptografische sleutels, certificaten en geheimen die essentieel zijn voor moderne cloud applicaties en diensten. Het begrijpen van de fundamentele concepten achter Key Vault, zoals toegangsbeleid, netwerkisolatie en integratie met andere Azure services, vormt de basis voor een succesvolle implementatie van soft-delete functionaliteit.
De primaire vereiste voor deze beveiligingsmaatregel is de aanwezigheid van een of meerdere Azure Key Vault instanties binnen het abonnement of de resourcegroep die beheerd wordt. Deze Key Vaults kunnen zowel standaard Key Vaults zijn als Managed HSM exemplaren, waarbij elk type specifieke aandacht vereist voor de soft-delete configuratie. Organisaties moeten beschikken over Azure-abonnementen met de juiste service tier, omdat soft-delete functionaliteit beschikbaar is voor alle Azure Key Vault varianten die na september 2020 zijn aangemaakt. Het onderscheid tussen standaard Key Vaults en Managed HSM instanties is belangrijk omdat beide varianten verschillende management interfaces en configuratieopties bieden, hoewel de onderliggende soft-delete functionaliteit vergelijkbaar is. Standaard Key Vaults zijn geschikt voor de meeste organisaties en bieden een kosteneffectieve oplossing voor het beheren van cryptografische materialen, terwijl Managed HSM instanties zijn ontworpen voor organisaties met strikte compliance vereisten die volledige controle over de hardware security modules nodig hebben.
Voor het uitvoeren van verificatie- en configuratietaken is toegang vereist tot de Azure Portal of Azure CLI, in combinatie met de juiste rolgebaseerde toegangscontrole machtigingen. Minimale vereiste rollen omvatten Key Vault Reader voor monitoring doeleinden en Key Vault Contributor of Key Vault Administrator voor het aanpassen van configuratie-instellingen. Daarnaast is het essentieel dat beheerders beschikken over kennis van PowerShell of Azure CLI voor geautomatiseerde verificatiescripts, waarbij de Az.KeyVault module voor PowerShell of de az keyvault extensie voor Azure CLI noodzakelijk zijn. De Azure Portal biedt een gebruiksvriendelijke grafische interface voor het beheren van Key Vault configuraties, maar voor grootschalige omgevingen met tientallen of honderden Key Vault instanties is geautomatiseerde verificatie via scripts essentieel voor efficiënt beheer. Beheerders moeten vertrouwd zijn met Azure Resource Manager templates en Azure Policy voor het implementeren van consistente configuraties voor alle Key Vault instanties binnen een organisatie.
Organisaties dienen te beschikken over een duidelijk overzicht van alle Key Vault instanties binnen hun Azure omgeving, inclusief legacy Key Vaults die mogelijk zijn aangemaakt vóór de standaard activering van soft-delete. Deze inventarisatie is cruciaal omdat Key Vaults die vóór september 2020 zijn aangemaakt mogelijk nog geen soft-delete hebben ingeschakeld, wat vereist dat organisaties expliciet verificatieprocedures uitvoeren voor deze specifieke instanties. Bovendien moeten beheerders rekening houden met de kostenimplicaties, hoewel soft-delete zelf geen extra kosten met zich meebrengt, kunnen verwijderde objecten die in de soft-delete status verblijven wel opslagruimte verbruiken gedurende de retentieperiode. Het bijhouden van een accurate inventarisatie vereist regelmatige audits van alle Azure-abonnementen en resourcegroepen, waarbij organisaties gebruik kunnen maken van Azure Resource Graph queries of geautomatiseerde inventarisatiescripts om alle Key Vault instanties te identificeren. Deze inventarisatie moet ook informatie bevatten over de eigenaar van elke Key Vault, de toepassingen die gebruik maken van de opgeslagen cryptografische materialen, en de compliance vereisten die van toepassing zijn op de specifieke Key Vault instantie.
Naast technische vereisten moeten organisaties ook beschikken over duidelijke procedures en documentatie voor het beheren van soft-delete configuraties. Dit omvat het definiëren van verantwoordelijkheden voor verschillende rollen binnen de organisatie, het opstellen van change management procedures voor het wijzigen van Key Vault configuraties, en het implementeren van monitoring en alerting mechanismen die beheerders waarschuwen wanneer Key Vaults worden aangemaakt zonder soft-delete functionaliteit. Organisaties moeten ook rekening houden met de integratie van soft-delete configuratie in hun bestaande security governance frameworks, waarbij soft-delete wordt opgenomen als onderdeel van standaard security baselines en compliance verificatieprocessen. Het is aanbevolen om soft-delete configuratie te automatiseren via Azure Policy, waardoor nieuwe Key Vault instanties automatisch worden geconfigureerd met soft-delete functionaliteit, ongeacht wie de Key Vault aanmaakt binnen de organisatie.
Voor organisaties die werken met gevoelige gegevens en strikte compliance vereisten, zoals Nederlandse overheidsorganisaties die moeten voldoen aan BIO normen, is het essentieel om te beschikken over gedetailleerde kennis van de cryptografische levenscyclus en key recovery procedures. Soft-delete functionaliteit vormt een kritieke component van deze procedures, maar moet worden geïntegreerd in een breder key management framework dat ook aandacht besteedt aan key rotation, key backup, en disaster recovery scenario's. Organisaties moeten begrijpen hoe soft-delete zich verhoudt tot andere Azure Key Vault beveiligingsfuncties, zoals purge protection, wat een extra beveiligingslaag biedt door te voorkomen dat verwijderde objecten permanent worden gewist, zelfs door beheerders met de hoogste machtigingen. Deze combinatie van soft-delete en purge protection biedt de hoogste mate van bescherming tegen onopzettelijk of kwaadwillig verlies van cryptografische materialen.
Monitoring en Verificatie
Gebruik PowerShell-script key-vault-recoverable.ps1 (functie Invoke-Monitoring) – Controleren.
Het monitoren van de soft-delete status voor Azure Key Vault instanties vormt een essentieel onderdeel van een robuust cryptografisch beveiligingsbeleid. Organisaties moeten regelmatig verificatie uitvoeren om te waarborgen dat alle Key Vaults correct zijn geconfigureerd met soft-delete functionaliteit, waarbij de focus ligt op zowel nieuw aangemaakte als bestaande Key Vault instanties die mogelijk configuratie-aanpassingen vereisen. Effectieve monitoring van soft-delete configuraties vereist een proactieve aanpak waarbij organisaties niet alleen reageren op geïdentificeerde problemen, maar ook preventief controleren of nieuwe Key Vault instanties voldoen aan de beveiligingsvereisten voordat ze in productie worden genomen. Dit betekent dat monitoring procedures moeten worden geïntegreerd in de volledige levenscyclus van Key Vault beheer, van initiële creatie tot continue operationele verificatie.
De verificatieprocedure begint met het inventariseren van alle Azure Key Vault instanties binnen de organisatie, waarbij beheerders zowel standaard Key Vaults als Managed HSM exemplaren moeten identificeren. Voor elke Key Vault dient de soft-delete status te worden gecontroleerd via Azure Portal, Azure CLI of PowerShell, waarbij de EnableSoftDelete eigenschap expliciet moet worden geverifieerd. Nieuwe Key Vaults die zijn aangemaakt na september 2020 hebben soft-delete standaard ingeschakeld, maar voor legacy Key Vaults kan deze functionaliteit mogelijk nog handmatig moeten worden geactiveerd. Het inventarisatieproces moet systematisch worden uitgevoerd voor alle Azure-abonnementen en resourcegroepen waar de organisatie toegang toe heeft, waarbij gebruik wordt gemaakt van Azure Resource Graph queries om een compleet overzicht te verkrijgen van alle Key Vault instanties. Deze inventarisatie moet regelmatig worden herhaald, bij voorkeur wekelijks voor productieomgevingen, om ervoor te zorgen dat nieuwe Key Vaults die zijn aangemaakt tussen verificatiecycli ook worden gecontroleerd.
Geautomatiseerde monitoring scripts gebruiken de Azure Resource Manager API of Azure Key Vault management APIs om programmatisch de configuratiestatus te controleren voor alle Key Vault instanties binnen een abonnement of resourcegroep. Deze scripts kunnen worden geïntegreerd in bestaande monitoring frameworks en compliance tooling, waardoor organisaties continu zicht hebben op de naleving van deze beveiligingsvereiste. Het is aanbevolen om wekelijkse verificaties uit te voeren voor productieomgevingen, waarbij eventuele afwijkingen direct worden geëscaleerd naar beveiligingsteams voor remediatie. Geavanceerde monitoring oplossingen kunnen ook gebruik maken van Azure Policy compliance evaluaties, die automatisch de configuratiestatus van alle Key Vault instanties controleren en rapporten genereren die aangeven welke instanties niet voldoen aan de soft-delete vereisten. Deze geautomatiseerde aanpak vermindert niet alleen de werklast voor beheerders, maar zorgt ook voor consistente en betrouwbare verificatieprocedures die niet afhankelijk zijn van handmatige interventie.
Naast het monitoren van de soft-delete status zelf, moeten organisaties ook aandacht besteden aan de retentieperiode van verwijderde objecten, die standaard negentig dagen bedraagt. Deze periode kan indien nodig worden aangepast, maar organisaties dienen te evalueren of een langere retentieperiode noodzakelijk is voor hun specifieke compliance vereisten. Monitoring omvat tevens het bijhouden van verwijderde objecten die zich in de soft-delete status bevinden, zodat beheerders inzicht hebben in potentiële herstelacties die mogelijk nodig zijn. Het monitoren van verwijderde objecten is belangrijk omdat deze objecten nog steeds opslagruimte verbruiken en mogelijk kosten met zich meebrengen, hoewel de soft-delete functionaliteit zelf geen extra kosten genereert. Organisaties moeten regelmatig evalueren of verwijderde objecten die de retentieperiode hebben overschreden permanent kunnen worden gewist, of dat deze objecten moeten worden hersteld voordat ze definitief verloren gaan. Deze evaluatie moet worden uitgevoerd in overleg met de eigenaren van de Key Vaults en de toepassingen die gebruik maken van de cryptografische materialen.
Voor Managed HSM instanties gelden enigszins afwijkende verificatieprocedures, omdat deze een andere management API gebruiken dan standaard Key Vaults. Beheerders moeten specifieke PowerShell cmdlets of Azure CLI commando's gebruiken die zijn ontworpen voor Managed HSM configuratie, waarbij de soft-delete status wordt gecontroleerd via de dedicated management endpoints. Het is essentieel dat monitoring procedures beide Key Vault types adequaat afdekken om volledige dekking te waarborgen binnen de organisatie. Managed HSM instanties bieden aanvullende beveiligingsfuncties zoals FIPS 140-2 Level 3 certificering en volledige controle over de hardware security modules, maar vereisen ook specifieke kennis en tools voor effectief beheer. Organisaties die gebruik maken van Managed HSM instanties moeten ervoor zorgen dat hun monitoring scripts en procedures correct zijn geconfigureerd om deze specifieke Key Vault variant te ondersteunen, waarbij gebruik wordt gemaakt van de juiste management endpoints en authenticatiemethoden.
Het implementeren van effectieve monitoring voor soft-delete configuraties vereist ook aandacht voor logging en audit trails. Alle verificatieactiviteiten moeten worden vastgelegd in Azure Monitor logs of externe SIEM systemen, waarbij informatie wordt bijgehouden over wanneer verificaties zijn uitgevoerd, welke Key Vault instanties zijn gecontroleerd, en welke afwijkingen zijn geïdentificeerd. Deze audit logs zijn niet alleen belangrijk voor compliance doeleinden, maar bieden ook waardevolle informatie voor het analyseren van trends en het identificeren van patronen in configuratiefouten. Organisaties moeten alerting mechanismen implementeren die beheerders waarschuwen wanneer nieuwe Key Vault instanties worden aangemaakt zonder soft-delete functionaliteit, of wanneer bestaande Key Vaults worden gewijzigd op een manier die de soft-delete configuratie beïnvloedt. Deze proactieve alerting zorgt ervoor dat beveiligingsafwijkingen snel worden geïdentificeerd en gecorrigeerd, voordat ze kunnen leiden tot onherstelbaar verlies van cryptografische materialen.
Compliance en Auditing
De implementatie van soft-delete functionaliteit voor Azure Key Vault vormt een kritieke component van compliance met meerdere beveiligingskaders die van toepassing zijn op Nederlandse overheidsorganisaties en publieke sector instellingen. Deze beveiligingsmaatregel adresseert specifieke vereisten uit diverse internationale en nationale standaarden die gericht zijn op het beschermen van cryptografische materialen en het waarborgen van beschikbaarheid van kritieke gegevensbeschermingsmechanismen.
Binnen het CIS Microsoft Azure Foundations Benchmark framework wordt soft-delete expliciet vereist door controle 5.1.1, die stelt dat alle Azure Key Vault instanties soft-delete functionaliteit moeten hebben ingeschakeld. Deze controle behoort tot Level 1 vereisten, wat betekent dat deze als basisbeveiligingsmaatregel wordt beschouwd en zonder uitzondering moet worden geïmplementeerd voor alle productieomgevingen. CIS 5.1.1 benadrukt het belang van key recovery mechanismen en het voorkomen van permanent verlies van cryptografische sleutels door onopzettelijke verwijdering, wat kan resulteren in onherstelbaar gegevensverlies voor organisaties die afhankelijk zijn van versleutelde gegevensopslag.
De Baseline Informatiebeveiliging Overheid, beter bekend als BIO, eist via controle 10.01 dat organisaties beschikken over adequate mechanismen voor key recovery en het herstellen van verwijderde cryptografische materialen. BIO 10.01 legt de nadruk op het waarborgen van beschikbaarheid en herstelbaarheid van beveiligingscomponenten, waarbij soft-delete functionaliteit een directe bijdrage levert aan deze doelstellingen. Nederlandse overheidsorganisaties moeten aantonen dat zij beschikken over procedures en technische maatregelen die het mogelijk maken om verwijderde sleutels te herstellen binnen een redelijke tijdspanne, waarbij de negentig dagen retentieperiode van Azure Key Vault soft-delete voldoet aan deze vereisten.
ISO 27001:2022 controle A.8.24 behandelt cryptografie en eist dat organisaties passende cryptografische controles implementeren voor de bescherming van informatie, inclusief mechanismen voor het beheren van cryptografische sleutels gedurende hun volledige levenscyclus. Soft-delete functionaliteit draagt bij aan deze vereiste door te waarborgen dat cryptografische sleutels niet permanent verloren gaan bij fouten in het beheerproces, waardoor organisaties kunnen voldoen aan de ISO 27001 eis voor adequaat key lifecycle management. De controle vereist tevens dat organisaties beschikken over herstelprocedures voor het geval cryptografische materialen onbedoeld worden verwijderd, waarbij soft-delete de technische basis vormt voor dergelijke procedures.
Voor audit doeleinden moeten organisaties documentatie bijhouden die aantoont dat alle Key Vault instanties zijn geconfigureerd met soft-delete, inclusief verificatieresultaten en eventuele afwijkingen die zijn geïdentificeerd en gecorrigeerd. Deze audit evidence dient minimaal zeven jaar te worden bewaard conform algemene archiveringsvereisten voor beveiligingsconfiguraties, waarbij organisaties kunnen gebruik maken van Azure Policy compliance rapporten, Azure Monitor logs of externe compliance tooling om deze documentatie te genereren en te onderhouden.
Remediatie en Herstel
Gebruik PowerShell-script key-vault-recoverable.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer monitoring activiteiten aantonen dat een Azure Key Vault instantie geen soft-delete functionaliteit heeft ingeschakeld, dienen organisaties onmiddellijk remediatiestappen te ondernemen om deze beveiligingsafwijking te corrigeren. De remediatieprocedure varieert afhankelijk van het type Key Vault en de huidige configuratiestatus, waarbij beheerders rekening moeten houden met mogelijke impact op bestaande workloads en toegankelijkheid van cryptografische materialen tijdens het configuratieproces. Het is belangrijk om te begrijpen dat remediatie niet alleen bestaat uit het technisch inschakelen van soft-delete, maar ook uit het waarborgen dat de wijziging correct wordt geïmplementeerd zonder negatieve gevolgen voor bestaande systemen en applicaties die afhankelijk zijn van de Key Vault. Organisaties moeten een gestructureerde aanpak hanteren voor remediatie, waarbij eerst een risicoanalyse wordt uitgevoerd, vervolgens een gedetailleerd remediatieplan wordt opgesteld, en ten slotte de wijziging wordt geïmplementeerd met adequate verificatie en documentatie.
Voor nieuwe Azure Key Vault instanties die nog geen objecten bevatten, is de remediatie eenvoudig: beheerders kunnen soft-delete direct activeren via Azure Portal door naar de Key Vault eigenschappen te navigeren en de soft-delete optie in te schakelen. Voor standaard Key Vaults kan deze instelling worden gewijzigd via de Azure Portal interface onder de Backup sectie, waarbij de wijziging direct van kracht wordt zonder dat bestaande sleutels of geheimen worden beïnvloed. PowerShell gebruikers kunnen de Update-AzKeyVault cmdlet gebruiken met de EnableSoftDelete parameter, terwijl Azure CLI gebruikers de az keyvault update opdracht kunnen uitvoeren met de --enable-soft-delete flag. Deze eenvoudige remediatieprocedure is ideaal voor development of test omgevingen waar Key Vaults nog niet in productie gebruik zijn, of voor nieuwe Key Vaults die net zijn aangemaakt maar nog geen cryptografische materialen bevatten. Het is aanbevolen om soft-delete direct in te schakelen bij het aanmaken van nieuwe Key Vault instanties, zodat deze beveiligingsmaatregel vanaf het begin actief is en geen latere remediatie vereist.
Legacy Key Vaults die vóór september 2020 zijn aangemaakt en reeds in gebruik zijn met bestaande cryptografische materialen, vereisen een meer zorgvuldige aanpak voor remediatie. In deze gevallen moeten beheerders eerst verifiëren dat geen kritieke operaties afhankelijk zijn van de huidige configuratie, waarna soft-delete kan worden ingeschakeld zonder onderbreking van services. Het is belangrijk om te begrijpen dat het inschakelen van soft-delete op een bestaande Key Vault een irreversibele actie is: zodra soft-delete is geactiveerd, kan deze niet meer worden uitgeschakeld zonder de Key Vault te verwijderen en opnieuw aan te maken, wat vereist dat organisaties een grondige impactanalyse uitvoeren voordat deze stap wordt genomen. Deze impactanalyse moet alle applicaties en services identificeren die gebruik maken van de Key Vault, de kritiekheid van deze afhankelijkheden beoordelen, en een plan opstellen voor het testen van de soft-delete configuratie voordat deze in productie wordt geactiveerd. Organisaties moeten ook rekening houden met mogelijke wijzigingen in het gedrag van applicaties na het inschakelen van soft-delete, hoewel in de praktijk de meeste applicaties geen wijzigingen vereisen omdat soft-delete transparant werkt voor normale Key Vault operaties.
Voor Managed HSM instanties zijn de remediatieprocedures enigszins verschillend, omdat deze een andere management API gebruiken en aanvullende configuratiestappen kunnen vereisen. Beheerders moeten de Azure Portal gebruiken om naar de Managed HSM eigenschappen te navigeren, of gebruik maken van specifieke PowerShell cmdlets zoals Update-AzKeyVaultManagedHsm met de juiste parameters. Het is essentieel dat organisaties documentatie bijhouden van alle remediatieacties, inclusief tijdstempels, uitvoerende beheerders en de configuratie-aanpassingen die zijn doorgevoerd, voor toekomstige audit doeleinden en compliance verificatie. Managed HSM instanties worden vaak gebruikt in omgevingen met zeer strikte compliance vereisten, zoals financiële instellingen of organisaties die moeten voldoen aan FIPS 140-2 Level 3 certificering. In deze omgevingen is het extra belangrijk om zorgvuldig te documenteren welke wijzigingen zijn doorgevoerd en waarom, omdat auditors mogelijk vragen zullen stellen over de remediatieprocedures en de impact op de compliance status van de organisatie.
In scenario's waarin objecten reeds zijn verwijderd vóór de activering van soft-delete, kunnen deze objecten helaas niet meer worden hersteld omdat soft-delete alleen bescherming biedt voor verwijderingen die plaatsvinden nadat de functionaliteit is ingeschakeld. Organisaties dienen daarom prioriteit te geven aan het verifiëren en activeren van soft-delete voor alle Key Vault instanties voordat kritieke cryptografische materialen worden opgeslagen, om permanent verlies te voorkomen. Na succesvolle remediatie moeten organisaties verificatieprocedures uitvoeren om te bevestigen dat soft-delete correct functioneert, bijvoorbeeld door een test object aan te maken, te verwijderen en te verifiëren dat het beschikbaar blijft voor herstel binnen de retentieperiode. Deze verificatieprocedure is essentieel om te waarborgen dat de soft-delete configuratie daadwerkelijk werkt zoals verwacht, en om eventuele problemen te identificeren voordat kritieke cryptografische materialen worden verwijderd. Organisaties moeten ook procedures opstellen voor het herstellen van verwijderde objecten, waarbij beheerders weten hoe ze toegang kunnen krijgen tot de soft-delete status en hoe ze objecten kunnen herstellen wanneer dit nodig is.
Het implementeren van effectieve remediatieprocedures vereist ook aandacht voor change management en communicatie met stakeholders. Wanneer soft-delete wordt ingeschakeld op bestaande Key Vault instanties die in productie gebruik zijn, moeten organisaties alle betrokken partijen informeren over de wijziging, inclusief applicatie-eigenaren, security teams, en compliance officers. Deze communicatie moet duidelijk maken wat de impact is van de wijziging, welke voordelen het biedt voor beveiliging en compliance, en wat de verwachte impact is op bestaande systemen. Organisaties moeten ook een rollback plan opstellen voor het geval de remediatie onverwachte problemen veroorzaakt, hoewel het belangrijk is om te begrijpen dat soft-delete niet kan worden uitgeschakeld zonder de Key Vault te verwijderen. In plaats daarvan moet het rollback plan zich richten op het herstellen van eventuele problemen die ontstaan door de wijziging, zoals het aanpassen van applicatieconfiguraties of het oplossen van integratieproblemen met monitoring systemen.
Compliance & Frameworks
- CIS M365: Control 5.1.1 (L1) - Soft delete
- BIO: 10.01 - Key recovery
- ISO 27001:2022: A.8.24 - Cryptography
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Key Vault Recoverable
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 8.9
Controleert of Key Vaults recoverable zijn (soft-delete + purge protection).
.NOTES
Filename: key-vault-recoverable.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 8.9
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.KeyVault
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Key Vault Recoverable"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$vaults = Get-AzKeyVault -ErrorAction SilentlyContinue
$result = @{ TotalVaults = $vaults.Count; Recoverable = 0 }
foreach ($vault in $vaults) {
$vaultDetail = Get-AzKeyVault -VaultName $vault.VaultName -ErrorAction SilentlyContinue
if ($vaultDetail.EnableSoftDelete -and $vaultDetail.EnablePurgeProtection) {
$result.Recoverable++
}
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Key Vaults: $($r.TotalVaults)" -ForegroundColor White
Write-Host "Recoverable: $($r.Recoverable)" -ForegroundColor $(if ($r.Recoverable -eq $r.TotalVaults) { 'Green' } else { 'Yellow' })
}
else {
$r = Test-Compliance
Write-Host "`nRecoverable: $($r.Recoverable)/$($r.TotalVaults) vaults"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Key Vaults: $($r.TotalVaults)" -ForegroundColor White
Write-Host "Recoverable: $($r.Recoverable)" -ForegroundColor $(if ($r.Recoverable -eq $r.TotalVaults) { 'Green' } else { 'Yellow' })
}
else {
$r = Test-Compliance
Write-Host "`nRecoverable: $($r.Recoverable)/$($r.TotalVaults) vaults"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
High: Permanent key loss bij accidental deletion - encrypted data onherstelbaar. Compliance: CIS 5.1.1, BIO 10.01. Het risico is hoog - data loss.
Management Samenvatting
Key Vault Recoverable (Soft-Delete): Verify soft-delete enabled (Azure default sinds 2020). 90-day recovery window. Activatie: Automatic op nieuwe vaults, verify legacy. Gratis. Verplicht CIS 5.1.1, BIO 10.01. Verificatie: 30 minuten. Standaard correct.
- Implementatietijd: 0 uur
- FTE required: 0.1 FTE