L1 BIO 10.01 ISO A.8.24 CIS 8.1

Hybride Cryptografie In Azure: Cloud En On-Premises Integratie

📅 2025-01-27

•

⏱️ 28 minuten lezen

•

🔴 Must-Have

💼 Management Samenvatting

Hybride cryptografie vertegenwoordigt een geavanceerde beveiligingsstrategie waarbij organisaties cryptografische systemen combineren uit zowel cloud- als on-premises omgevingen om optimale beveiliging, controle en compliance te bereiken. Voor Nederlandse overheidsorganisaties die werken met gevoelige of geclassificeerde gegevens, biedt hybride cryptografie de mogelijkheid om kritieke cryptografische sleutels te beheren via on-premises Hardware Security Modules (HSM's) terwijl tegelijkertijd gebruik wordt gemaakt van de schaalbaarheid en flexibiliteit van Azure Key Vault en andere cloud-gebaseerde cryptografische services. Deze aanpak is bijzonder relevant voor organisaties die moeten voldoen aan strikte data residency-vereisten, organisaties die cryptografische sleutels volledig onder eigen controle willen houden, of organisaties die een geleidelijke migratie naar de cloud doormaken terwijl bestaande on-premises cryptografische infrastructuur behouden blijft.

Aanbeveling

IMPLEMENTEER HYBRIDE CRYPTOGRAFIE

Risico zonder

High

Risk Score

9/10

Implementatie

200u (tech: 120u)

Van toepassing op:

✓ Azure Key Vault
✓ Azure Key Vault Managed HSM
✓ On-Premises Hardware Security Modules
✓ Azure Storage
✓ Azure SQL Database
✓ Azure Virtual Machines
✓ Hybride cloudomgevingen

Organisaties die uitsluitend vertrouwen op cloud-gebaseerde cryptografische services kunnen zich blootgesteld zien aan risico's die verband houden met vendor lock-in, beperkte controle over cryptografische materialen, en compliance-uitdagingen bij het werken met geclassificeerde gegevens. Zonder hybride cryptografie kunnen organisaties moeilijk voldoen aan specifieke regelgevende vereisten die eisen dat bepaalde cryptografische sleutels binnen de landsgrenzen blijven of onder volledige fysieke controle van de organisatie staan. Bovendien kunnen organisaties met bestaande investeringen in on-premises HSM-infrastructuur deze niet optimaal benutten wanneer zij volledig overstappen naar cloud-gebaseerde cryptografische services. Hybride cryptografie lost deze uitdagingen op door organisaties in staat te stellen om het beste uit beide werelden te combineren: de hoge beveiligingsstandaarden en controle van on-premises HSM's voor kritieke sleutels, gecombineerd met de schaalbaarheid en geavanceerde functionaliteit van Azure Key Vault en Azure Key Vault Managed HSM voor andere workloads. Voor Nederlandse overheidsorganisaties die moeten voldoen aan BIO-normen, ISO 27001-vereisten en NIS2-verplichtingen, is hybride cryptografie essentieel omdat deze framework vereisten stellen aan key management en controle over cryptografische materialen die niet altijd volledig kunnen worden vervuld door alleen cloud-gebaseerde oplossingen. Daarnaast biedt hybride cryptografie organisaties de flexibiliteit om hun cryptografische strategie geleidelijk aan te passen naarmate nieuwe technologieën en compliance-vereisten zich ontwikkelen, zonder dat zij worden gedwongen om een volledige migratie uit te voeren die hun bestaande investeringen in on-premises infrastructuur zou kunnen ondermijnen.

PowerShell Modules Vereist

Primary API: Azure API, Azure Key Vault Managed HSM
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.KeyVault, Az.Resources, Az.Storage, Az.Sql, Az.Compute

Implementatie

Dit artikel beschrijft een concrete implementatie van hybride cryptografie voor Azure-omgevingen, specifiek toegespitst op de context van Nederlandse overheidsorganisaties die behoefte hebben aan een combinatie van cloud- en on-premises cryptografische beveiliging. Het raamwerk is gebaseerd op vijf fundamentele pijlers: integratie tussen Azure Key Vault en on-premises HSM's, strategische sleutelverdeling tussen cloud en on-premises, geüniformeerd key lifecycle management, geautomatiseerde synchronisatie en back-up procedures, en geïntegreerde monitoring en auditing. De eerste pijler betreft de technische integratie tussen Azure Key Vault Managed HSM en on-premises HSM's via standaardprotocollen zoals PKCS#11 of Microsoft's HSM Gateway, waardoor organisaties cryptografische sleutels kunnen beheren vanuit een gecombineerde omgeving. De tweede pijler richt zich op het strategisch verdelen van cryptografische sleutels tussen cloud- en on-premises omgevingen op basis van classificatie, kritiekheid en compliance-vereisten, waarbij kritieke of geclassificeerde sleutels in on-premises HSM's worden bewaard en minder gevoelige sleutels kunnen profiteren van de flexibiliteit van cloud-services. De derde pijler adresseert geüniformeerd key lifecycle management waarbij organisaties consistente procedures toepassen voor key generation, key rotation, key backup en key destruction ongeacht of sleutels worden beheerd in cloud of on-premises omgevingen. De vierde pijler betreft geautomatiseerde synchronisatie en back-up procedures die zorgen voor consistentie tussen cloud- en on-premises cryptografische configuraties, waarbij wijzigingen in de ene omgeving automatisch worden gereflecteerd in de andere omgeving. De vijfde pijler omvat geïntegreerde monitoring en auditing waarbij organisaties centraal zicht hebben op alle cryptografische activiteiten, ongeacht of deze plaatsvinden in cloud of on-premises omgevingen. Het artikel beschrijft voor elke pijler concrete implementatiestappen, best practices, Azure-native services en on-premises technologieën die kunnen worden ingezet, en hoe de pijlers onderling samenwerken om een robuuste hybride cryptografische omgeving te creëren. Daarnaast wordt uitgelegd hoe dit raamwerk aansluit bij BIO-normen, ISO 27001-vereisten, NIS2-verplichtingen en andere relevante compliance-kaders die van toepassing zijn op Nederlandse overheidsorganisaties.

Vereisten en Voorkennis

Voordat organisaties hybride cryptografie kunnen implementeren in Azure-omgevingen, dienen zij te beschikken over een grondig begrip van zowel cloud-gebaseerde als on-premises cryptografische systemen, key management procedures en de manier waarop deze systemen kunnen worden geïntegreerd. De implementatie vereist specifieke Azure-resources, on-premises HSM-infrastructuur, netwerkconnectiviteit en technische kennis om de juiste configuratie te kunnen waarborgen. Hybride cryptografie is een complex onderwerp dat kennis vereist van verschillende cryptografische systemen, hun architectuur en beheer, en de manier waarop deze systemen kunnen worden gecombineerd om een geïntegreerde cryptografische omgeving te creëren. Het begrijpen van de fundamentele concepten achter hybride cryptografie, zoals HSM-integratie, key distribution strategies, en cryptografische synchronisatieprocedures, vormt de basis voor een succesvolle implementatie die voldoet aan beveiligings- en compliance-vereisten.

De primaire vereiste voor deze beveiligingsmaatregel is de aanwezigheid van zowel Azure-abonnementen met toegang tot Azure Key Vault en Azure Key Vault Managed HSM, als on-premises Hardware Security Module infrastructuur. Organisaties moeten beschikken over Azure-abonnementen met de juiste service tiers en toegangsrechten voor het configureren en beheren van cloud-gebaseerde cryptografische services. Daarnaast moeten organisaties beschikken over on-premises HSM's die compatibel zijn met Azure-integratie, waarbij ondersteuning voor standaardprotocollen zoals PKCS#11, Microsoft's HSM Gateway, of andere integration mechanismen essentieel is. Het is belangrijk om te begrijpen dat niet alle HSM's en Azure-services dezelfde integratiemogelijkheden bieden: sommige HSM-fabrikanten bieden native integratie met Azure Key Vault, terwijl andere HSM's aanvullende gateway software of middleware vereisen. Organisaties moeten daarom eerst inventariseren welke on-premises HSM-infrastructuur zij hebben, welke Azure cryptografische services zij willen gebruiken, en welke integratie-opties beschikbaar zijn voordat zij een hybride cryptografiestrategie opstellen.

Voor het uitvoeren van configuratie- en beheertaken is toegang vereist tot zowel de Azure Portal of Azure CLI, als de beheerinterfaces van on-premises HSM's, in combinatie met de juiste rolgebaseerde toegangscontrole machtigingen. Minimale vereiste rollen omvatten Key Vault Contributor of Key Vault Crypto Officer voor het beheren van cryptografische sleutels in Azure, en gelijkwaardige beheerrechten voor on-premises HSM's. Daarnaast is het essentieel dat beheerders beschikken over kennis van Infrastructure as Code (IaC) tools zoals Azure Resource Manager templates, Bicep of Terraform voor geautomatiseerde configuratie van Azure-resources, waarbij de Az.KeyVault, Az.Resources en andere relevante modules voor PowerShell of de bijbehorende Azure CLI extensies noodzakelijk zijn. Voor on-premises HSM-beheer is kennis vereist van HSM-specifieke tools en interfaces, die per fabrikant kunnen verschillen. De Azure Portal en HSM-beheerinterfaces bieden gebruiksvriendelijke grafische interfaces voor het configureren van cryptografische instellingen, maar voor grootschalige omgevingen met meerdere HSM's en Azure-services, of voor organisaties die Infrastructure as Code gebruiken voor consistentie en herhaalbaarheid, is geautomatiseerde configuratie via templates en scripts essentieel voor efficiënt beheer.

Organisaties dienen te beschikken over een duidelijk overzicht van alle applicaties en services binnen hun omgeving die gebruik maken van cryptografie, inclusief welke cryptografische algoritmen momenteel worden gebruikt, welke sleutels worden gebruikt, waar deze sleutels worden opgeslagen, en welke applicaties of services afhankelijk zijn van specifieke cryptografische configuraties. Deze inventarisatie is cruciaal omdat de migratie naar hybride cryptografie impact kan hebben op bestaande workloads en mogelijk wijzigingen vereist in applicatiecode, configuratiebestanden, of de manier waarop applicaties toegang krijgen tot cryptografische sleutels. Bovendien moeten beheerders rekening houden met de compatibiliteit tussen verschillende cryptografische systemen en de manier waarop applicaties en services met elkaar communiceren wanneer zij gebruik maken van sleutels uit verschillende omgevingen. Organisaties moeten begrijpen welke cryptografische algoritmen worden ondersteund door zowel hun on-premises HSM's als Azure-services, en hoe deze algoritmen kunnen worden geconfigureerd en beheerd in een geïntegreerde omgeving. Het bijhouden van een accurate inventarisatie vereist regelmatige audits van alle applicaties en services, waarbij organisaties gebruik kunnen maken van Azure Resource Graph queries, HSM audit logs, en geautomatiseerde inventarisatiescripts om alle services te identificeren die cryptografie gebruiken en die kunnen profiteren van hybride cryptografie.

Naast technische vereisten moeten organisaties ook beschikken over duidelijke procedures en documentatie voor het beheren van hybride cryptografie. Dit omvat het definiëren van verantwoordelijkheden voor verschillende rollen binnen de organisatie, het opstellen van procedures voor het verdelen van sleutels tussen cloud- en on-premises omgevingen, het ontwikkelen van synchronisatie- en back-up procedures, het opstellen van test- en validatieprocedures voor cryptografische wijzigingen, en het implementeren van rollback-procedures voor het geval cryptografische wijzigingen problemen veroorzaken. Organisaties moeten ook rekening houden met de integratie van hybride cryptografie in hun bestaande security governance frameworks, waarbij cryptografische configuraties worden opgenomen als onderdeel van standaard security baselines en compliance verificatieprocessen. Het is aanbevolen om hybride cryptografie zoveel mogelijk te automatiseren via Infrastructure as Code oplossingen en scripting, waardoor nieuwe services automatisch worden geconfigureerd met de juiste cryptografische instellingen, ongeacht of deze gebruik maken van cloud of on-premises cryptografische systemen. Daarnaast moeten organisaties procedures ontwikkelen voor het reageren op incidenten die betrekking hebben op cryptografische systemen, waarbij duidelijk moet zijn hoe problemen worden geïdentificeerd, geëscaleerd en opgelost wanneer deze zich voordoen in zowel cloud als on-premises omgevingen.

Voor organisaties die werken met gevoelige gegevens en strikte compliance-vereisten, zoals Nederlandse overheidsorganisaties die moeten voldoen aan BIO-normen, is het essentieel om te beschikken over gedetailleerde kennis van cryptografische best practices, key management procedures en de specifieke compliance-vereisten die van toepassing zijn op hybride cryptografische omgevingen. Hybride cryptografie vormt een kritieke component van deze procedures, maar moet worden geïntegreerd in een breder encryption framework dat ook aandacht besteedt aan data classification, encryption at rest en in transit, key recovery scenario's, en de manier waarop verschillende cryptografische systemen samenwerken om een complete beveiligingsstrategie te vormen. Organisaties moeten begrijpen hoe hybride cryptografie zich verhoudt tot andere Azure beveiligingsfuncties, zoals Azure Key Vault voor key management, Azure Policy voor governance en compliance, Azure Monitor voor logging en monitoring, en Azure Private Link voor veilige connectiviteit tussen cloud en on-premises systemen. Daarnaast moeten organisaties rekening houden met netwerkvereisten voor hybride cryptografie, waarbij beveiligde connectiviteit tussen Azure en on-premises omgevingen essentieel is, en waarbij organisaties mogelijk gebruik moeten maken van Azure ExpressRoute, VPN-gateways, of andere private connectivity-oplossingen om cryptografisch verkeer veilig te kunnen transporteren tussen cloud en on-premises systemen.

Architectuur en Integratiepatronen

De architectuur van een hybride cryptografische omgeving moet zorgvuldig worden ontworpen om optimale beveiliging, prestaties en beheerbaarheid te garanderen. Een goed ontworpen hybride cryptografie-architectuur bestaat uit verschillende lagen en componenten die naadloos samenwerken om cryptografische functionaliteit te leveren vanuit zowel cloud- als on-premises omgevingen. De architectuur moet rekening houden met factoren zoals netwerkconnectiviteit, latentie, beschikbaarheid, failover-scenario's en compliance-vereisten die specifiek zijn voor hybride omgevingen. Organisaties moeten een architectuur kiezen die past bij hun specifieke vereisten, waarbij rekening wordt gehouden met factoren zoals de hoeveelheid cryptografische verkeer, de kritiekheid van workloads, de geografische spreiding van systemen, en de beschikbare budgetten voor infrastructuur en beheer.

Het eerste architectuurpatroon betreft directe integratie tussen Azure Key Vault Managed HSM en on-premises HSM's via standaardprotocollen. Azure Key Vault Managed HSM ondersteunt PKCS#11 en andere standaard HSM-protocollen, waardoor organisaties directe integratie kunnen realiseren tussen cloud-gebaseerde en on-premises cryptografische systemen. In dit patroon worden cryptografische sleutels beheerd via een gecentraliseerd systeem dat communiceert met zowel Azure Key Vault Managed HSM als on-premises HSM's, waarbij applicaties cryptografische operaties kunnen uitvoeren via een uniforme interface zonder te weten of de onderliggende sleutels worden beheerd in cloud of on-premises omgevingen. Dit patroon is bijzonder geschikt voor organisaties die reeds beschikken over on-premises HSM-infrastructuur en deze willen behouden terwijl zij tegelijkertijd gebruik maken van de schaalbaarheid en geavanceerde functionaliteit van Azure cryptografische services. De implementatie vereist configuratie van netwerkconnectiviteit tussen Azure en on-premises omgevingen, waarbij beveiligde verbindingen via Azure ExpressRoute of site-to-site VPN-gateways worden gebruikt om cryptografisch verkeer veilig te transporteren.

Het tweede architectuurpatroon betreft het gebruik van een cryptografische gateway of proxy die fungeert als tussenlaag tussen applicaties en de onderliggende cryptografische systemen. In dit patroon communiceren applicaties met een centraal gateway-systeem dat beslissingen maakt over welke cryptografische systemen moeten worden gebruikt voor specifieke operaties, waarbij kritieke sleutels kunnen worden beheerd via on-premises HSM's en minder kritieke sleutels kunnen worden beheerd via Azure Key Vault. De gateway kan intelligente routing-logica bevatten die rekening houdt met factoren zoals sleutelclassificatie, compliance-vereisten, beschikbaarheid van systemen, en prestaties, waardoor organisaties optimaal gebruik kunnen maken van zowel cloud- als on-premises cryptografische capaciteit. Dit patroon biedt organisaties flexibiliteit om hun cryptografische strategie aan te passen zonder dat applicaties hoeven te worden gewijzigd, omdat alle wijzigingen worden geïmplementeerd in de gateway-laag. De gateway kan worden geïmplementeerd als een on-premises service, als een Azure-service, of als een gecombineerde oplossing waarbij gateway-componenten zowel in cloud als on-premises worden uitgevoerd voor optimale beschikbaarheid en prestaties.

Het derde architectuurpatroon betreft strategische sleutelverdeling waarbij organisaties expliciet bepalen welke cryptografische sleutels worden beheerd in cloud-omgevingen en welke worden beheerd in on-premises omgevingen, op basis van classificatie, kritiekheid en compliance-vereisten. In dit patroon worden kritieke of geclassificeerde sleutels, sleutels die betrekking hebben op gevoelige processen, of sleutels die moeten voldoen aan specifieke data residency-vereisten, beheerd via on-premises HSM's. Minder kritieke sleutels, ontwikkel- en test-sleutels, of sleutels voor workloads die volledig in de cloud worden uitgevoerd, kunnen worden beheerd via Azure Key Vault of Azure Key Vault Managed HSM. Deze verdeling moet worden gedocumenteerd in een cryptografische sleutel-classificatiematrix die duidelijk maakt welke sleutels waar worden beheerd en waarom, waarbij deze matrix regelmatig wordt herzien om rekening te houden met veranderende vereisten en nieuwe workloads. Organisaties moeten procedures ontwikkelen voor het migreren van sleutels tussen cloud- en on-premises omgevingen wanneer classificaties of vereisten veranderen, waarbij zorgvuldig moet worden gecontroleerd dat migraties worden uitgevoerd zonder impact op bestaande workloads of zonder beveiligingsrisico's te introduceren.

Ongeacht welk architectuurpatroon wordt gekozen, moeten organisaties aandacht besteden aan netwerkarchitectuur en connectiviteit tussen cloud- en on-premises omgevingen. Cryptografisch verkeer tussen Azure en on-premises systemen moet worden beschermd via versleutelde verbindingen, waarbij organisaties gebruik kunnen maken van Azure ExpressRoute voor dedicated private connectivity, site-to-site VPN-gateways voor versleutelde tunnelverbindingen, of Azure Private Link voor privéconnectiviteit naar specifieke Azure-services. De netwerkarchitectuur moet rekening houden met latentie-vereisten, waarbij cryptografische operaties die lage latentie vereisen mogelijk gebruik moeten maken van lokale HSM's of Azure-regio's die zich dicht bij on-premises datacenters bevinden. Daarnaast moeten organisaties redundantie en failover-mechanismen implementeren om ervoor te zorgen dat cryptografische functionaliteit beschikbaar blijft wanneer één van de onderliggende systemen uitvalt, waarbij procedures moeten worden ontwikkeld voor het automatisch overnemen van cryptografische operaties door alternatieve systemen wanneer primaire systemen niet beschikbaar zijn.

Implementatiestrategie en Best Practices

Gebruik PowerShell-script hybrid-cryptography.ps1 (functie Invoke-Implementation) – Valideert en implementeert hybride cryptografie controles en integraties.

De implementatie van hybride cryptografie in Azure begint met het opstellen van een gedetailleerd implementatieplan dat alle vijf beveiligingspijlers omvat en prioriteert op basis van risico en kritiekheid van workloads. Het plan moet per pijler beschrijven welke Azure-services en on-premises systemen worden ingezet, welke configuraties worden toegepast, welke resources worden beschermd, welke integratiepatronen worden gebruikt, en in welke volgorde de implementatie plaatsvindt. In de praktijk wordt vaak begonnen met de fundamenten – het opzetten van netwerkconnectiviteit en basisintegratie tussen Azure en on-premises systemen – omdat deze de basis vormen voor alle andere hybride cryptografie-controles. Vervolgens worden sleutelverdelingstrategieën geïmplementeerd, gevolgd door geüniformeerd key lifecycle management, geautomatiseerde synchronisatieprocedures, en ten slotte geïntegreerde monitoring en auditing om alle pijlers te kunnen bewaken.

De eerste stap in de implementatie betreft het opzetten van beveiligde netwerkconnectiviteit tussen Azure en on-premises omgevingen. Organisaties moeten Azure ExpressRoute configureren voor dedicated private connectivity, of site-to-site VPN-gateways voor versleutelde tunnelverbindingen, waarbij de netwerkconfiguratie moet worden geoptimaliseerd voor lage latentie en hoge beschikbaarheid. Azure ExpressRoute biedt dedicated connectivity via een connectiviteitsprovider, waardoor organisaties cryptografisch verkeer kunnen transporteren zonder dat dit via het publieke internet gaat, wat resulteert in betere beveiliging, lagere latentie en voorspelbaardere prestaties. Site-to-site VPN-gateways bieden een kosteneffectievere alternatief voor organisaties die geen dedicated connectivity nodig hebben, waarbij versleutelde tunnels worden gebruikt om cryptografisch verkeer veilig te transporteren tussen Azure en on-premises omgevingen. Ongeacht welke connectiviteitsoplossing wordt gekozen, moeten organisaties redundante verbindingen configureren om ervoor te zorgen dat cryptografische functionaliteit beschikbaar blijft wanneer één verbinding uitvalt, waarbij automatische failover-mechanismen moeten worden geïmplementeerd om zonder handmatige interventie over te schakelen naar alternatieve verbindingen.

De tweede stap betreft de configuratie van Azure Key Vault Managed HSM en de integratie met on-premises HSM's. Azure Key Vault Managed HSM moet worden geconfigureerd met de juiste netwerkinstellingen, waarbij private endpoints worden gebruikt voor beveiligde connectiviteit vanuit on-premises omgevingen, en waarbij firewallregels worden geconfigureerd om alleen geautoriseerde systemen toegang te verlenen. Organisaties moeten vervolgens de integratie configureren tussen Azure Key Vault Managed HSM en on-premises HSM's, waarbij gebruik wordt gemaakt van standaardprotocollen zoals PKCS#11, Microsoft's HSM Gateway, of fabrikant-specifieke integratie-oplossingen. De integratieconfiguratie moet worden getest in een testomgeving voordat deze in productie wordt geïmplementeerd, waarbij organisaties moeten verifiëren dat cryptografische operaties correct worden uitgevoerd via beide systemen, dat sleutels correct kunnen worden gesynchroniseerd tussen cloud en on-premises omgevingen, en dat failover-mechanismen correct functioneren wanneer één systeem niet beschikbaar is. Na succesvolle testen kan de integratie worden geïmplementeerd in productie, waarbij organisaties zorgvuldig moeten monitoren op problemen en snel moeten kunnen terugdraaien indien zich onverwachte issues voordoen.

De derde stap betreft de implementatie van sleutelverdelingstrategieën waarbij organisaties expliciet bepalen welke cryptografische sleutels worden beheerd in welke omgevingen. Organisaties moeten een cryptografische sleutel-classificatiematrix ontwikkelen die beschrijft welke sleutels worden beheerd in on-premises HSM's en welke worden beheerd in Azure Key Vault of Azure Key Vault Managed HSM, waarbij deze verdeling is gebaseerd op classificatie, kritiekheid, compliance-vereisten en technische overwegingen. De matrix moet worden gedocumenteerd en regelmatig worden herzien om rekening te houden met nieuwe workloads, veranderende classificaties, en nieuwe compliance-vereisten. Organisaties moeten procedures ontwikkelen voor het migreren van sleutels tussen cloud- en on-premises omgevingen wanneer dit nodig is, waarbij zorgvuldig moet worden gecontroleerd dat migraties worden uitgevoerd zonder impact op bestaande workloads, zonder beveiligingsrisico's te introduceren, en zonder dat cryptografische functionaliteit wordt onderbroken. Deze procedures moeten worden getest in een testomgeving voordat zij in productie worden gebruikt, waarbij organisaties moeten verifiëren dat sleutels correct kunnen worden geëxporteerd, geïmporteerd en gevalideerd in beide omgevingen.

De vierde stap betreft de implementatie van geüniformeerd key lifecycle management waarbij organisaties consistente procedures toepassen voor key generation, key rotation, key backup en key destruction ongeacht of sleutels worden beheerd in cloud of on-premises omgevingen. Organisaties moeten key lifecycle management procedures documenteren die duidelijk beschrijven hoe verschillende levenscyclusoperaties worden uitgevoerd in beide omgevingen, waarbij deze procedures moeten worden geautomatiseerd waar mogelijk om consistentie en efficiëntie te garanderen. Key generation procedures moeten specificeren welke algoritmen en key lengths worden gebruikt in verschillende omgevingen, waarbij organisaties moeten zorgen dat dezelfde cryptografische standaarden worden toegepast ongeacht waar sleutels worden gegenereerd. Key rotation procedures moeten beschrijven hoe sleutels periodiek worden vervangen, waarbij organisaties moeten zorgen dat rotatieprocedures worden uitgevoerd op consistente intervallen en dat oude sleutels correct worden gearchiveerd of vernietigd na rotatie. Key backup procedures moeten beschrijven hoe sleutels worden geback-upt en waar back-ups worden opgeslagen, waarbij organisaties moeten zorgen dat back-ups worden opgeslagen op veilige locaties en dat back-ups kunnen worden gebruikt voor disaster recovery wanneer dit nodig is. Key destruction procedures moeten beschrijven hoe sleutels veilig worden vernietigd wanneer zij niet langer nodig zijn, waarbij organisaties moeten zorgen dat vernietigingsprocedures voldoen aan compliance-vereisten en dat er geen sporen van vernietigde sleutels achterblijven in systemen of logs.

Monitoring en Verificatie

Gebruik PowerShell-script hybrid-cryptography.ps1 (functie Invoke-Monitoring) – Monitort de status van alle hybride cryptografie controles en integraties.

Het monitoren van hybride cryptografie in Azure en on-premises omgevingen vormt een essentieel onderdeel van een robuust cryptografisch beveiligingsbeleid. Organisaties moeten regelmatig verificatie uitvoeren om te waarborgen dat alle cryptografische configuraties correct zijn geconfigureerd volgens beveiligingsbest practices, dat integraties tussen cloud en on-premises systemen correct functioneren, en dat cryptografische operaties worden uitgevoerd zoals verwacht in beide omgevingen. Effectieve monitoring van hybride cryptografie vereist een proactieve aanpak waarbij organisaties niet alleen reageren op geïdentificeerde problemen, maar ook preventief controleren of nieuwe cryptografische configuraties voldoen aan de beveiligingsvereisten voordat zij in productie worden genomen. Dit betekent dat monitoring procedures moeten worden geïntegreerd in de volledige levenscyclus van cryptografisch beheer, van initiële configuratie tot continue operationele verificatie, waarbij organisaties gebruik maken van zowel Azure-native monitoring tools als on-premises monitoring oplossingen om volledig zicht te hebben op alle cryptografische activiteiten.

De verificatieprocedure begint met het inventariseren van alle cryptografische systemen binnen de organisatie, waarbij beheerders zowel Azure Key Vault instanties en Azure Key Vault Managed HSM instanties als on-premises HSM's moeten identificeren. Voor elke cryptografische service dient de configuratie te worden gecontroleerd via Azure Portal, Azure CLI of PowerShell voor cloud-systemen, en via HSM-specifieke beheerinterfaces voor on-premises systemen, waarbij expliciet moet worden geverifieerd of essentiële cryptografische instellingen correct zijn geconfigureerd, zoals het gebruik van customer-managed keys, ondersteuning voor key versioning, integratieconfiguraties tussen cloud en on-premises systemen, en netwerkconnectiviteit tussen verschillende omgevingen. Het inventarisatieproces moet systematisch worden uitgevoerd voor alle Azure-abonnementen en resourcegroepen waar de organisatie toegang toe heeft, en voor alle on-premises HSM's binnen de organisatie, waarbij gebruik wordt gemaakt van Azure Resource Graph queries, HSM audit logs, en geautomatiseerde inventarisatiescripts om een compleet overzicht te verkrijgen van alle cryptografische configuraties. Deze inventarisatie moet regelmatig worden herhaald, bij voorkeur wekelijks voor productieomgevingen, om ervoor te zorgen dat nieuwe cryptografische configuraties die zijn geconfigureerd tussen verificatiecycli ook worden gecontroleerd.

Geautomatiseerde monitoring scripts gebruiken de Azure Resource Manager API, Azure Key Vault management APIs en HSM management APIs om programmatisch de cryptografische configuratiestatus te controleren voor alle cryptografische systemen binnen de organisatie. Deze scripts kunnen worden geïntegreerd in bestaande monitoring frameworks en compliance tooling, waardoor organisaties continu zicht hebben op de naleving van hybride cryptografie-vereisten in zowel cloud als on-premises omgevingen. Het is aanbevolen om wekelijkse verificaties uit te voeren voor productieomgevingen, waarbij eventuele afwijkingen direct worden geëscaleerd naar beveiligingsteams voor remediatie. Geavanceerde monitoring oplossingen kunnen ook gebruik maken van Azure Policy compliance evaluaties voor cloud-resources, die automatisch de cryptografische configuratiestatus van alle Azure-services controleren en rapporten genereren die aangeven welke services niet voldoen aan de hybride cryptografie-vereisten. Voor on-premises HSM's kunnen organisaties gebruik maken van HSM-specifieke monitoring tools en SIEM-integraties om cryptografische activiteiten te monitoren en te analyseren, waarbij deze tools kunnen worden geïntegreerd met Azure Monitor of andere centrale monitoring oplossingen om een uniform beeld te krijgen van alle cryptografische activiteiten ongeacht waar deze plaatsvinden.

Naast het monitoren van de cryptografische configuratie zelf, moeten organisaties ook aandacht besteden aan de beschikbaarheid en prestaties van cryptografische services in zowel cloud als on-premises omgevingen. Monitoring omvat tevens het bijhouden van cryptografische operaties, waarbij organisaties inzicht moeten hebben in wanneer en door wie cryptografische sleutels worden gebruikt, welke operaties worden uitgevoerd, en of er verdachte of ongebruikelijke patronen worden gedetecteerd in zowel cloud als on-premises systemen. Het monitoren van cryptografische operaties is belangrijk omdat ongebruikelijke access patterns kunnen wijzen op beveiligingsproblemen zoals gecompromitteerde accounts, insider threats of onjuiste configuraties. Organisaties moeten regelmatig evalueren of cryptografische services correct functioneren en of er geen toegangsproblemen optreden die kunnen leiden tot uitval van applicaties en services die afhankelijk zijn van cryptografische functionaliteit. Deze evaluatie moet worden uitgevoerd in overleg met de eigenaren van de cryptografische services en de toepassingen die gebruik maken van cryptografische functionaliteit, waarbij organisaties moeten zorgen dat monitoring procedures rekening houden met de specifieke vereisten en gebruikspatronen van verschillende workloads.

Voor verschillende cryptografische systemen gelden enigszins afwijkende verificatieprocedures, omdat verschillende systemen verschillende cryptografische opties bieden en verschillende management APIs gebruiken. Beheerders moeten specifieke PowerShell cmdlets of Azure CLI commando's gebruiken die zijn ontworpen voor Azure Key Vault en Azure Key Vault Managed HSM, en HSM-specifieke tools en commando's voor on-premises HSM's, waarbij de cryptografische configuratie wordt gecontroleerd via de dedicated management endpoints. Het is essentieel dat monitoring procedures alle relevante cryptografische systemen adequaat afdekken om volledige dekking te waarborgen binnen de organisatie, waarbij organisaties moeten zorgen dat monitoring scripts en procedures correct zijn geconfigureerd om zowel cloud- als on-premises systemen te ondersteunen. Azure Key Vault en Azure Key Vault Managed HSM bieden uitgebreide cryptografische functionaliteit met ondersteuning voor meerdere algoritmen en key types, maar vereisen ook specifieke kennis en tools voor effectief beheer. Organisaties die gebruik maken van on-premises HSM's moeten ervoor zorgen dat hun monitoring scripts en procedures correct zijn geconfigureerd om deze specifieke systemen te ondersteunen, waarbij gebruik wordt gemaakt van de juiste management endpoints en authenticatiemethoden.

Het implementeren van effectieve monitoring voor hybride cryptografie vereist ook aandacht voor logging en audit trails in zowel cloud als on-premises omgevingen. Alle verificatieactiviteiten moeten worden vastgelegd in Azure Monitor logs voor cloud-systemen en in centrale SIEM-systemen voor on-premises systemen, waarbij informatie wordt bijgehouden over wanneer verificaties zijn uitgevoerd, welke cryptografische configuraties zijn gecontroleerd, en welke afwijkingen zijn geïdentificeerd. Deze audit logs zijn niet alleen belangrijk voor compliance doeleinden, maar bieden ook waardevolle informatie voor het analyseren van trends en het identificeren van patronen in configuratiefouten of beveiligingsproblemen. Organisaties moeten alerting mechanismen implementeren die beheerders waarschuwen wanneer nieuwe cryptografische configuraties worden geconfigureerd zonder de juiste hybride cryptografie-instellingen, wanneer bestaande cryptografische configuraties worden gewijzigd op een manier die de hybride cryptografie beïnvloedt, wanneer integraties tussen cloud en on-premises systemen falen, of wanneer er verdachte cryptografische activiteiten worden gedetecteerd. Deze proactieve alerting zorgt ervoor dat cryptografische afwijkingen snel worden geïdentificeerd en gecorrigeerd, voordat zij kunnen leiden tot beveiligingsincidenten of compliance-problemen.

Compliance en Auditing

De implementatie van hybride cryptografie vormt een kritieke component van compliance met meerdere beveiligingskaders die van toepassing zijn op Nederlandse overheidsorganisaties en publieke sector instellingen. Deze beveiligingsmaatregel adresseert specifieke vereisten uit diverse internationale en nationale standaarden die gericht zijn op het beschermen van cryptografische materialen, het waarborgen van veilige key management procedures, en het garanderen van controle over cryptografische systemen in zowel cloud als on-premises omgevingen.

Binnen het CIS Microsoft Azure Foundations Benchmark framework worden hybride cryptografie-practices expliciet aanbevolen via meerdere controles, waarbij de nadruk ligt op het implementeren van gecentraliseerd key management, ondersteuning voor key versioning, en het vermogen om cryptografische algoritmen te upgraden. CIS Benchmarks benadrukken het belang van defense-in-depth strategieën en het voorkomen van onbevoegde toegang tot cryptografische materialen door het implementeren van meerdere beveiligingslagen, waarbij hybride cryptografie organisaties in staat stelt om optimale beveiliging te bereiken door gebruik te maken van zowel cloud- als on-premises cryptografische systemen. Deze controles behoren tot Level 1 vereisten voor services die gevoelige of geclassificeerde gegevens bevatten, wat betekent dat deze als basisbeveiligingsmaatregel worden beschouwd voor productieomgevingen met hoge beveiligingsvereisten, waarbij hybride cryptografie organisaties helpt om te voldoen aan deze vereisten door optimale controle en beveiliging te bieden over cryptografische materialen.

De Baseline Informatiebeveiliging Overheid, beter bekend als BIO, eist via controle 10.01 dat organisaties beschikken over adequate mechanismen voor cryptografische sleutelbeheer en volledige controle over cryptografische materialen. BIO 10.01 legt de nadruk op het waarborgen van controle en beheerbaarheid van beveiligingscomponenten, waarbij hybride cryptografie een directe bijdrage levert aan deze doelstellingen door organisaties in staat te stellen om kritieke cryptografische sleutels te beheren via on-premises HSM's terwijl tegelijkertijd gebruik wordt gemaakt van de flexibiliteit en schaalbaarheid van cloud-gebaseerde cryptografische services. Nederlandse overheidsorganisaties moeten aantonen dat zij beschikken over procedures en technische maatregelen die het mogelijk maken om cryptografische sleutels volledig te beheren in zowel cloud als on-premises omgevingen, inclusief key generation, key rotation en key recovery procedures. Hybride cryptografie voldoet aan deze vereisten door organisaties volledige controle te geven over de cryptografische sleutels die worden gebruikt voor versleuteling, terwijl tegelijkertijd wordt voldaan aan beveiligings- en compliance-vereisten door optimaal gebruik te maken van zowel cloud- als on-premises cryptografische capaciteit.

ISO 27001:2022 controle A.8.24 behandelt cryptografie en eist dat organisaties passende cryptografische controles implementeren voor de bescherming van informatie, inclusief mechanismen voor het beheren van cryptografische sleutels gedurende hun volledige levenscyclus. Hybride cryptografie draagt bij aan deze vereiste door te waarborgen dat organisaties volledige controle hebben over cryptografische sleutels in zowel cloud als on-premises omgevingen en kunnen voldoen aan de ISO 27001 eis voor adequaat key lifecycle management. De controle vereist tevens dat organisaties beschikken over procedures voor key generation, key distribution, key storage, key rotation en key destruction, waarbij een goed geconfigureerde hybride cryptografie-implementatie de technische basis vormt voor dergelijke procedures door organisaties in staat te stellen om deze procedures consistent toe te passen ongeacht of sleutels worden beheerd in cloud of on-premises omgevingen.

Voor audit doeleinden moeten organisaties documentatie bijhouden die aantoont dat alle cryptografische configuraties correct zijn geconfigureerd met de juiste hybride cryptografie-instellingen in zowel cloud als on-premises omgevingen, inclusief verificatieresultaten, integratieconfiguraties tussen cloud en on-premises systemen, en eventuele afwijkingen die zijn geïdentificeerd en gecorrigeerd. Deze audit evidence dient minimaal zeven jaar te worden bewaard conform algemene archiveringsvereisten voor beveiligingsconfiguraties, waarbij organisaties kunnen gebruik maken van Azure Policy compliance rapporten, Azure Monitor logs, HSM audit logs, of externe compliance tooling om deze documentatie te genereren en te onderhouden. Daarnaast moeten organisaties documentatie bijhouden over hybride cryptografie-procedures, inclusief sleutelverdelingstrategieën, integratieconfiguraties, Infrastructure as Code templates, configuratiescripts en migratieprocedures, om aan te tonen dat cryptografische configuraties op een gecontroleerde en gedocumenteerde manier worden beheerd in zowel cloud als on-premises omgevingen.

Remediatie en Herstel

Gebruik PowerShell-script hybrid-cryptography.ps1 (functie Invoke-Remediation) – Herstelt de hybride cryptografie configuratie naar de gewenste staat.

Wanneer monitoring activiteiten aantonen dat cryptografische configuraties niet correct zijn geconfigureerd of niet voldoen aan hybride cryptografie-vereisten, dienen organisaties onmiddellijk remediatiestappen te ondernemen om deze beveiligingsafwijking te corrigeren. De remediatieprocedure varieert afhankelijk van het type configuratiefout, of de configuratiefout zich voordoet in cloud of on-premises omgevingen, en de huidige cryptografische configuratie, waarbij beheerders rekening moeten houden met mogelijke impact op bestaande workloads en toegankelijkheid van cryptografische functionaliteit tijdens het configuratieproces. Het is belangrijk om te begrijpen dat remediatie niet alleen bestaat uit het technisch corrigeren van configuratiefouten, maar ook uit het waarborgen dat de wijziging correct wordt geïmplementeerd zonder negatieve gevolgen voor bestaande systemen en applicaties die afhankelijk zijn van cryptografische functionaliteit, en dat integraties tussen cloud en on-premises systemen correct blijven functioneren na remediatie.

Voor nieuwe cryptografische configuraties die nog niet in gebruik zijn, is de remediatie relatief eenvoudig: beheerders kunnen de cryptografische instellingen direct aanpassen via Azure Portal of HSM-beheerinterfaces door naar de betreffende service-eigenschappen te navigeren en de cryptografische configuraties te wijzigen. Voor Azure Key Vault en Azure Key Vault Managed HSM kunnen nieuwe sleutels worden aangemaakt met de gewenste algoritmen en key types, integraties kunnen worden geconfigureerd met on-premises HSM's, en netwerkconnectiviteit kan worden aangepast om beveiligde verbindingen te garanderen. Voor on-premises HSM's kunnen cryptografische configuraties worden aangepast via HSM-specifieke beheerinterfaces, integraties kunnen worden geconfigureerd met Azure-services, en netwerkinstellingen kunnen worden aangepast om connectiviteit met cloud-omgevingen te waarborgen. PowerShell gebruikers kunnen service-specifieke cmdlets gebruiken voor Azure-systemen, terwijl Azure CLI gebruikers de bijbehorende opdrachten kunnen uitvoeren, en HSM-specifieke tools kunnen worden gebruikt voor on-premises systemen. Deze eenvoudige remediatieprocedure is ideaal voor development of test omgevingen waar cryptografische configuraties nog niet in productie gebruik zijn, of voor nieuwe services die net zijn geconfigureerd maar nog geen cryptografische functionaliteit gebruiken.

Bestaande cryptografische configuraties die reeds in gebruik zijn met productie workloads, vereisen een meer zorgvuldige aanpak voor remediatie, vooral wanneer deze configuraties deel uitmaken van hybride cryptografie-integraties tussen cloud en on-premises systemen. In deze gevallen moeten beheerders eerst verifiëren dat geen kritieke operaties afhankelijk zijn van de huidige cryptografische configuratie, dat integraties tussen cloud en on-premises systemen correct blijven functioneren na remediatie, en dat alternatieve cryptografische systemen beschikbaar zijn wanneer primaire systemen tijdelijk niet beschikbaar zijn tijdens het remediatieproces. Het is belangrijk om te begrijpen dat sommige cryptografische configuratiewijzigingen, zoals het upgraden van encryptie-algoritmen, het roteren van sleutels, of het wijzigen van integratieconfiguraties, impact kunnen hebben op de toegankelijkheid van services voor applicaties en gebruikers, en dat deze impactanalyse alle applicaties en services moet identificeren die gebruik maken van de cryptografische functionaliteit, de kritiekheid van deze afhankelijkheden moet beoordelen, en een plan moet opstellen voor het testen van de gewijzigde configuratie voordat deze in productie wordt geactiveerd.

De remediatieprocedure begint met het identificeren van de specifieke configuratiefouten die moeten worden gecorrigeerd, waarbij gebruik wordt gemaakt van monitoring scripts, Azure Policy compliance evaluaties, of HSM audit logs om een compleet overzicht te verkrijgen van alle afwijkingen in zowel cloud als on-premises omgevingen. Vervolgens moeten beheerders prioriteit toekennen aan de verschillende remediatieacties op basis van de ernst van de beveiligingsrisico's, de impact op bestaande workloads, en de complexiteit van de remediatie, waarbij rekening wordt gehouden met de vraag of remediatie moet plaatsvinden in cloud of on-premises omgevingen en of integraties tussen beide omgevingen moeten worden aangepast. Kritieke beveiligingsafwijkingen, zoals het ontbreken van customer-managed keys, onjuiste cryptografische configuraties, of falende integraties tussen cloud en on-premises systemen, moeten onmiddellijk worden aangepakt, terwijl minder kritieke afwijkingen kunnen worden gepland voor reguliere onderhoudsvensters. Na het prioriteren van remediatieacties moeten beheerders gedetailleerde remediatieplannen opstellen die alle benodigde configuratiewijzigingen beschrijven, de verwachte impact op bestaande workloads, de impact op integraties tussen cloud en on-premises systemen, en de verificatieprocedures die zullen worden gebruikt om te bevestigen dat de remediatie succesvol is.

Na het opstellen van remediatieplannen kunnen beheerders de configuratiewijzigingen implementeren via Azure Portal, PowerShell of Azure CLI voor cloud-systemen, en via HSM-beheerinterfaces voor on-premises systemen, afhankelijk van de voorkeur en expertise van de organisatie. Voor grootschalige omgevingen met meerdere cryptografische systemen is het aanbevolen om geautomatiseerde remediatie scripts te gebruiken die de configuratiewijzigingen consistent toepassen op alle relevante systemen, waarbij organisaties moeten zorgen dat deze scripts zowel cloud- als on-premises systemen kunnen beheren en dat integraties tussen beide omgevingen correct worden gehandhaafd na remediatie. Na succesvolle implementatie moeten organisaties verificatieprocedures uitvoeren om te bevestigen dat de cryptografische configuraties correct zijn geïmplementeerd, dat integraties tussen cloud en on-premises systemen correct functioneren, dat customer-managed keys correct werken, dat key versioning correct functioneert, en dat cryptografische algoritmen kunnen worden gebruikt zoals verwacht. Deze verificatieprocedure is essentieel om te waarborgen dat de remediatie daadwerkelijk werkt zoals verwacht, dat hybride cryptografie-integraties correct blijven functioneren, en om eventuele problemen te identificeren voordat kritieke workloads worden beïnvloed.

Compliance & Frameworks

CIS M365: Control 8.1 (L1) - Hybrid cryptography and key management best practices
BIO: 10.01 - Cryptografische sleutelbeheer en controle in hybride omgevingen
ISO 27001:2022: A.8.24 - Cryptography and key management in hybrid cloud environments
NIS2: Artikel - Risicogebaseerde technische en organisatorische maatregelen voor cryptografische beveiliging in hybride omgevingen

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell

<#

================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================

.SYNOPSIS
    Hybride Cryptografie: Integratie tussen Azure Key Vault en On-Premises HSM's

.DESCRIPTION
    Controleert en implementeert hybride cryptografie in Azure-omgevingen
    door te valideren dat cryptografische configuraties geïntegreerd zijn tussen
    cloud-gebaseerde en on-premises cryptografische systemen voor optimale controle
    en beveiliging over cryptografische materialen.

.NOTES
    Filename:       hybrid-cryptography.ps1
    Author:         Nederlandse Baseline voor Veilige Cloud
    Version:        1.0
    Related JSON:   content/azure/security/hybrid-cryptography.json
    CIS Control:    8.1
    BIO Controls:   10.01
    ISO 27001:      A.8.24
    NIS2 Article:   21
#>


#Requires -Version 5.1

#Requires -Modules Az.Accounts, Az.KeyVault, Az.Resources, Az.Network


[CmdletBinding()]
param(
    [Parameter()][switch]$WhatIf,
    [Parameter()][switch]$Monitoring,
    [Parameter()][switch]$Remediation,
    [Parameter()][switch]$Revert
)

$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
$PolicyName = "Hybride Cryptografie"

function Connect-RequiredServices {
    try {
        if (-not (Get-AzContext)) { 
            Connect-AzAccount -ErrorAction Stop | Out-Null 
        }
        Write-Verbose "Verbonden met Azure"
    }
    catch { 
        throw "Failed to connect to Azure: $_" 
    }
}

function Test-Compliance {
    Write-Verbose "Testing compliance for: $PolicyName..."
    
    $result = [PSCustomObject]@{
        ScriptName = "hybrid-cryptography"
        PolicyName = $PolicyName
        IsCompliant = $false
        TotalKeyVaults = 0
        KeyVaultsManagedHSM = 0
        KeyVaultsWithPrivateEndpoint = 0
        TotalKeys = 0
        KeysInManagedHSM = 0
        KeysWithHSMBackend = 0
        HybridIntegrationConfigured = $false
        NetworkConnectivityConfigured = $false
        Details = @()
        Recommendations = @()
        HybridCryptographyInventory = @{
            KeyVaults = 0
            ManagedHSMs = 0
            PrivateEndpoints = 0
            ExpressRouteConnections = 0
            VPNGateways = 0
        }
        OnPremisesIntegration = @{
            HSMGatewayConfigured = $false
            PKCS11Support = $false
            HSMConnectivityTested = $false
        }
    }
    
    try {
        # Check Azure Key Vault Managed HSM instances

        $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' }
        foreach ($sub in $subscriptions) {
            Set-AzContext -SubscriptionId $sub.Id -ErrorAction SilentlyContinue | Out-Null
            
            try {
                # Check for Azure Key Vault Managed HSM

                $managedHSMs = Get-AzKeyVaultManagedHsm -ErrorAction SilentlyContinue
                $result.HybridCryptographyInventory.ManagedHSMs += $managedHSMs.Count
                $result.KeyVaultsManagedHSM += $managedHSMs.Count
                
                foreach ($hsm in $managedHSMs) {
                    $result.TotalKeyVaults++
                    
                    # Check for private endpoints

                    $privateEndpoints = Get-AzPrivateEndpoint -ErrorAction SilentlyContinue | Where-Object {
                        $_.PrivateLinkServiceConnections.ManagedHSMResourceId -eq $hsm.Id -or
                        $_.Name -like "*$($hsm.Name)*"
                    }
                    
                    if ($privateEndpoints.Count -gt 0) {
                        $result.KeyVaultsWithPrivateEndpoint++
                        $result.HybridCryptographyInventory.PrivateEndpoints += $privateEndpoints.Count
                        $result.NetworkConnectivityConfigured = $true
                        $result.Details += "✓ Managed HSM '$($hsm.Name)': Private endpoint geconfigureerd"
                    }
                    else {
                        $result.Details += "⚠ Managed HSM '$($hsm.Name)': Geen private endpoint - Aanbevolen voor hybride integratie"
                        $result.Recommendations += "Configureer private endpoint voor Managed HSM '$($hsm.Name)' voor beveiligde on-premises connectiviteit"
                    }
                    
                    # Check for keys in Managed HSM

                    try {
                        # Try different possible cmdlet names for Managed HSM keys

                        $keys = $null
                        if (Get-Command Get-AzKeyVaultManagedHsmKey -ErrorAction SilentlyContinue) {
                            $keys = Get-AzKeyVaultManagedHsmKey -HsmName $hsm.Name -ErrorAction SilentlyContinue
                        }
                        elseif (Get-Command Get-AzKeyVaultKey -ErrorAction SilentlyContinue) {
                            $keys = Get-AzKeyVaultKey -VaultName $hsm.Name -HsmName $hsm.Name -ErrorAction SilentlyContinue
                        }
                        
                        if ($keys) {
                            $result.TotalKeys += $keys.Count
                            $result.KeysInManagedHSM += $keys.Count
                            
                            foreach ($key in $keys) {
                                if ($key.KeyType -like '*HSM*' -or ($key.PSObject.Properties.Name -contains 'Attributes' -and $key.Attributes.HsmPlatform)) {
                                    $result.KeysWithHSMBackend++
                                }
                            }
                            
                            if ($keys.Count -gt 0) {
                                $result.Details += "✓ Managed HSM '$($hsm.Name)': $($keys.Count) sleutel(s) met HSM-backend"
                            }
                        }
                    }
                    catch {
                        Write-Verbose "Kon sleutels niet ophalen voor Managed HSM '$($hsm.Name)': $_"
                    }
                }
                
                # Check for ExpressRoute connections (indicator of hybrid connectivity)

                $expressRouteCircuits = Get-AzExpressRouteCircuit -ErrorAction SilentlyContinue
                $result.HybridCryptographyInventory.ExpressRouteConnections = $expressRouteCircuits.Count
                
                if ($expressRouteCircuits.Count -gt 0) {
                    $result.NetworkConnectivityConfigured = $true
                    $result.Details += "✓ ExpressRoute verbindingen geconfigureerd: $($expressRouteCircuits.Count) circuit(s)"
                }
                else {
                    $result.Details += "⚠ Geen ExpressRoute verbindingen gevonden - Overweeg voor dedicated hybrid connectivity"
                }
                
                # Check for VPN gateways (alternative hybrid connectivity)

                $vpnGateways = Get-AzVirtualNetworkGateway -ErrorAction SilentlyContinue | Where-Object {
                    $_.GatewayType -eq 'Vpn'
                }
                $result.HybridCryptographyInventory.VPNGateways = $vpnGateways.Count
                
                if ($vpnGateways.Count -gt 0) {
                    $result.NetworkConnectivityConfigured = $true
                    $result.Details += "✓ VPN Gateway(s) geconfigureerd: $($vpnGateways.Count) gateway(s)"
                }
                
                # Check for Azure Key Vault standard vaults (potential candidates for hybrid setup)

                $keyVaults = Get-AzKeyVault -ErrorAction SilentlyContinue
                $result.HybridCryptographyInventory.KeyVaults += $keyVaults.Count
                $result.TotalKeyVaults += $keyVaults.Count
                
                foreach ($vault in $keyVaults) {
                    # Check for private endpoints on standard Key Vaults

                    $vaultPrivateEndpoints = Get-AzPrivateEndpoint -ErrorAction SilentlyContinue | Where-Object {
                        $_.PrivateLinkServiceConnections.KeyVaultResourceId -eq $vault.ResourceId -or
                        $_.Name -like "*$($vault.VaultName)*"
                    }
                    
                    if ($vaultPrivateEndpoints.Count -gt 0) {
                        $result.KeyVaultsWithPrivateEndpoint++
                        $result.Details += "✓ Key Vault '$($vault.VaultName)': Private endpoint geconfigureerd"
                    }
                }
            }
            catch {
                Write-Verbose "Kon resources niet ophalen voor subscription '$($sub.Name)': $_"
            }
        }
        
        # Determine compliance

        $complianceScore = 0
        $maxScore = 5
        
        if ($result.KeyVaultsManagedHSM -gt 0) { $complianceScore++ }
        if ($result.KeyVaultsWithPrivateEndpoint -gt 0) { $complianceScore++ }
        if ($result.NetworkConnectivityConfigured) { $complianceScore++ }
        if ($result.KeysInManagedHSM -gt 0) { $complianceScore++ }
        if (($result.HybridCryptographyInventory.ExpressRouteConnections -gt 0) -or 
            ($result.HybridCryptographyInventory.VPNGateways -gt 0)) { $complianceScore++ }
        
        if ($complianceScore -ge 4 -and $result.KeyVaultsManagedHSM -gt 0) {
            $result.IsCompliant = $true
            $result.HybridIntegrationConfigured = $true
        }
        elseif ($result.KeyVaultsManagedHSM -eq 0) {
            $result.IsCompliant = $false
            $result.Recommendations += "Geen Azure Key Vault Managed HSM instanties gevonden - Implementeer Managed HSM voor hybride cryptografie"
        }
        else {
            $result.IsCompliant = $false
            $result.Recommendations += "Hybride cryptografie vereist verbetering - Configureer private endpoints en network connectivity"
        }
        
        # Add specific recommendations

        if ($result.KeyVaultsWithPrivateEndpoint -lt $result.KeyVaultsManagedHSM) {
            $result.Recommendations += "Configureer private endpoints voor alle Managed HSM instanties voor beveiligde on-premises connectiviteit"
        }
        if (-not $result.NetworkConnectivityConfigured) {
            $result.Recommendations += "Configureer ExpressRoute of VPN Gateway voor dedicated hybrid connectivity tussen Azure en on-premises"
        }
        if ($result.KeysInManagedHSM -eq 0 -and $result.KeyVaultsManagedHSM -gt 0) {
            $result.Recommendations += "Migreer cryptografische sleutels naar Managed HSM voor optimale beveiliging en hybride integratie"
        }
    }
    catch {
        $result.Details += "ERROR: $($_.Exception.Message)"
        $result.IsCompliant = $false
    }
    
    return $result
}

function Invoke-Monitoring {
    $result = Test-Compliance
    
    Write-Host "`n========================================" -ForegroundColor Cyan
    Write-Host "$PolicyName" -ForegroundColor Cyan
    Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
    Write-Host "========================================" -ForegroundColor Cyan
    
    Write-Host "`nHybride Cryptografie Inventarisatie:" -ForegroundColor Yellow
    Write-Host "  Key Vaults: $($result.HybridCryptographyInventory.KeyVaults)" -ForegroundColor White
    Write-Host "  Managed HSM instanties: $($result.HybridCryptographyInventory.ManagedHSMs)" -ForegroundColor $(if ($result.HybridCryptographyInventory.ManagedHSMs -gt 0) { 'Green' } else { 'Yellow' })
    Write-Host "  Private Endpoints: $($result.HybridCryptographyInventory.PrivateEndpoints)" -ForegroundColor $(if ($result.HybridCryptographyInventory.PrivateEndpoints -gt 0) { 'Green' } else { 'Yellow' })
    Write-Host "  ExpressRoute verbindingen: $($result.HybridCryptographyInventory.ExpressRouteConnections)" -ForegroundColor $(if ($result.HybridCryptographyInventory.ExpressRouteConnections -gt 0) { 'Green' } else { 'Yellow' })
    Write-Host "  VPN Gateways: $($result.HybridCryptographyInventory.VPNGateways)" -ForegroundColor $(if ($result.HybridCryptographyInventory.VPNGateways -gt 0) { 'Green' } else { 'Yellow' })
    
    Write-Host "`nManaged HSM Status:" -ForegroundColor Yellow
    Write-Host "  Totaal Managed HSM instanties: $($result.KeyVaultsManagedHSM)" -ForegroundColor White
    Write-Host "  Met private endpoints: $($result.KeyVaultsWithPrivateEndpoint)/$($result.KeyVaultsManagedHSM)" -ForegroundColor $(if ($result.KeyVaultsWithPrivateEndpoint -eq $result.KeyVaultsManagedHSM -and $result.KeyVaultsManagedHSM -gt 0) { 'Green' } else { 'Yellow' })
    Write-Host "  Totaal sleutels in Managed HSM: $($result.KeysInManagedHSM)" -ForegroundColor White
    Write-Host "  Sleutels met HSM-backend: $($result.KeysWithHSMBackend)" -ForegroundColor $(if ($result.KeysWithHSMBackend -gt 0) { 'Green' } else { 'Yellow' })
    
    Write-Host "`nNetwork Connectiviteit:" -ForegroundColor Yellow
    Write-Host "  Geconfigureerd: $(if ($result.NetworkConnectivityConfigured) { 'Ja' } else { 'Nee' })" -ForegroundColor $(if ($result.NetworkConnectivityConfigured) { 'Green' } else { 'Red' })
    
    Write-Host "`nHybride Integratie:" -ForegroundColor Yellow
    Write-Host "  Status: $(if ($result.HybridIntegrationConfigured) { 'Geconfigureerd' } else { 'Niet geconfigureerd' })" -ForegroundColor $(if ($result.HybridIntegrationConfigured) { 'Green' } else { 'Yellow' })
    
    Write-Host "`nDetails:" -ForegroundColor Yellow
    foreach ($detail in $result.Details) {
        if ($detail -like "✓*") {
            Write-Host "  $detail" -ForegroundColor Green
        }
        elseif ($detail -like "✗*") {
            Write-Host "  $detail" -ForegroundColor Red
        }
        elseif ($detail -like "⚠*") {
            Write-Host "  $detail" -ForegroundColor Yellow
        }
        else {
            Write-Host "  $detail" -ForegroundColor Gray
        }
    }
    
    if ($result.Recommendations.Count -gt 0) {
        Write-Host "`nAanbevelingen:" -ForegroundColor Yellow
        foreach ($rec in $result.Recommendations) {
            Write-Host "  • $rec" -ForegroundColor Cyan
        }
    }
    
    Write-Host "`nCompliance Status: " -NoNewline -ForegroundColor White
    if ($result.IsCompliant) {
        Write-Host "[OK] COMPLIANT" -ForegroundColor Green
        Write-Host "`nHybride cryptografie is correct geïmplementeerd." -ForegroundColor Green
    }
    else {
        Write-Host "[FAIL] NON-COMPLIANT" -ForegroundColor Red
        Write-Host "`nHybride cryptografie vereist verbetering." -ForegroundColor Red
    }
    
    Write-Host "`nBest Practices:" -ForegroundColor Cyan
    Write-Host "  • Gebruik Azure Key Vault Managed HSM voor kritieke cryptografische sleutels" -ForegroundColor Gray
    Write-Host "  • Configureer private endpoints voor alle Managed HSM instanties" -ForegroundColor Gray
    Write-Host "  • Implementeer ExpressRoute of VPN Gateway voor hybrid connectivity" -ForegroundColor Gray
    Write-Host "  • Integreer Managed HSM met on-premises HSM's via PKCS#11 of HSM Gateway" -ForegroundColor Gray

    Write-Host "  • Documenteer alle hybride cryptografie-configuraties en integraties" -ForegroundColor Gray
    Write-Host "  • Implementeer geüniformeerd key lifecycle management voor cloud en on-premises" -ForegroundColor Gray
    
    return $result
}

function Invoke-Remediation {
    Write-Host "`n========================================" -ForegroundColor Cyan
    Write-Host "Hybride Cryptografie - Remediatie" -ForegroundColor Cyan
    Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
    Write-Host "========================================" -ForegroundColor Cyan
    
    $result = Test-Compliance
    
    Write-Host "`nHuidige Status:" -ForegroundColor Yellow
    Write-Host "  Managed HSM instanties: $($result.KeyVaultsManagedHSM)" -ForegroundColor $(if ($result.KeyVaultsManagedHSM -gt 0) { 'Green' } else { 'Yellow' })
    Write-Host "  Met private endpoints: $($result.KeyVaultsWithPrivateEndpoint)/$($result.KeyVaultsManagedHSM)" -ForegroundColor $(if ($result.KeyVaultsWithPrivateEndpoint -eq $result.KeyVaultsManagedHSM -and $result.KeyVaultsManagedHSM -gt 0) { 'Green' } else { 'Yellow' })
    Write-Host "  Network connectiviteit: $(if ($result.NetworkConnectivityConfigured) { 'Geconfigureerd' } else { 'Niet geconfigureerd' })" -ForegroundColor $(if ($result.NetworkConnectivityConfigured) { 'Green' } else { 'Red' })
    
    if (-not $result.IsCompliant) {
        Write-Host "`nAanbevelingen voor implementatie:" -ForegroundColor Cyan
        Write-Host "  1. Implementeer Azure Key Vault Managed HSM voor kritieke cryptografische sleutels" -ForegroundColor Gray
        Write-Host "  2. Configureer private endpoints voor alle Managed HSM instanties" -ForegroundColor Gray
        Write-Host "  3. Implementeer ExpressRoute of VPN Gateway voor hybrid connectivity" -ForegroundColor Gray
        Write-Host "  4. Integreer Managed HSM met on-premises HSM's via PKCS#11 of Microsoft HSM Gateway" -ForegroundColor Gray

        Write-Host "  5. Migreer kritieke cryptografische sleutels naar Managed HSM" -ForegroundColor Gray
        Write-Host "  6. Configureer geüniformeerd key lifecycle management voor cloud en on-premises" -ForegroundColor Gray
        Write-Host "  7. Documenteer alle hybride cryptografie-configuraties en integraties" -ForegroundColor Gray
        Write-Host "  8. Implementeer monitoring en auditing voor hybride cryptografische activiteiten" -ForegroundColor Gray
        
        Write-Host "`nPowerShell commando's voor implementatie:" -ForegroundColor Cyan
        Write-Host "  # Maak Managed HSM aan" -ForegroundColor Gray

        Write-Host "  New-AzKeyVaultManagedHsm -Name '<HSMName>' -ResourceGroupName '<RGName>' -Location '<Location>'" -ForegroundColor White
        Write-Host "`n  # Configureer private endpoint" -ForegroundColor Gray

        Write-Host "  New-AzPrivateEndpoint -Name '<EndpointName>' -ResourceGroupName '<RGName>' -Location '<Location>' -SubnetId '<SubnetId>' -PrivateLinkServiceConnection @{Name='<ConnectionName>'; PrivateLinkServiceId='<HSMResourceId>'}" -ForegroundColor White
        Write-Host "`n  # Test connectiviteit met on-premises" -ForegroundColor Gray

        Write-Host "  Test-NetConnection -ComputerName '<HSMPrivateEndpointIP>' -Port 443" -ForegroundColor White
    }
    else {
        Write-Host "`n[OK] Hybride cryptografie is correct geïmplementeerd." -ForegroundColor Green
    }
    
    Write-Host "`nVoor continue monitoring:" -ForegroundColor Cyan
    Write-Host "  • Gebruik dit script in Azure Automation runbooks (maandelijks)" -ForegroundColor Gray
    Write-Host "  • Sla hybride cryptografie inventarisatiedata op in Azure Log Analytics" -ForegroundColor Gray
    Write-Host "  • Configureer Azure Monitor alerts bij hybride integratie problemen" -ForegroundColor Gray
    Write-Host "  • Monitor on-premises HSM connectiviteit en synchronisatie" -ForegroundColor Gray
    Write-Host "  • Genereer kwartaalrapportages voor bestuurders" -ForegroundColor Gray
    Write-Host "  • Review hybride cryptografie-configuraties regelmatig" -ForegroundColor Gray
    
    return $result
}

function Invoke-Revert {
    Write-Host "`n⚠️  Hybride cryptografie uitschakelen wordt NIET aanbevolen" -ForegroundColor Red
    Write-Host "Dit creëert aanzienlijke beveiligingsrisico's en compliance-problemen." -ForegroundColor Red
    Write-Host "`nAls u hybride cryptografie-configuraties moet wijzigen:" -ForegroundColor Yellow
    Write-Host "  • Raadpleeg eerst het cryptografisch beleid" -ForegroundColor Gray
    Write-Host "  • Test wijzigingen in testomgevingen" -ForegroundColor Gray
    Write-Host "  • Documenteer alle wijzigingen aan integraties" -ForegroundColor Gray
    Write-Host "  • Overweeg impact op compliance-vereisten" -ForegroundColor Gray
    Write-Host "  • Verifieer dat alternatieve cryptografische systemen beschikbaar zijn" -ForegroundColor Gray
    Write-Host "`nHet wordt sterk aanbevolen om hybride cryptografie actief te houden.`n" -ForegroundColor Red
}

try {
    Connect-RequiredServices
    
    if ($Monitoring) {
        Invoke-Monitoring
    }
    elseif ($Remediation) {
        if ($WhatIf) {
            Write-Host "`n=== WHATIF MODE ===" -ForegroundColor Yellow
            $result = Test-Compliance
            Write-Host "Zou hybride cryptografie status rapporteren voor $($result.KeyVaultsManagedHSM) Managed HSM instantie(s)" -ForegroundColor Yellow
            Write-Host "Huidige status: $($result.KeyVaultsWithPrivateEndpoint) Managed HSM instantie(s) met private endpoints" -ForegroundColor Yellow
            if ($result.KeyVaultsWithPrivateEndpoint -lt $result.KeyVaultsManagedHSM) {
                Write-Host "`nManaged HSM instanties zonder private endpoints:" -ForegroundColor Yellow
                $result.Details | Where-Object { $_ -like "⚠*Managed HSM*" } | ForEach-Object { 
                    Write-Host "  $_" -ForegroundColor Gray 
                }
            }
        }
        else {
            Invoke-Remediation
        }
    }
    elseif ($Revert) {
        Invoke-Revert
    }
    else {
        $result = Test-Compliance
        Write-Host "`n========================================" -ForegroundColor Cyan
        Write-Host "$PolicyName" -ForegroundColor Cyan
        Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
        Write-Host "========================================" -ForegroundColor Cyan
        
        Write-Host "`nStatus: " -NoNewline -ForegroundColor White
        if ($result.IsCompliant) {
            Write-Host "[OK] COMPLIANT" -ForegroundColor Green
        }
        else {
            Write-Host "[FAIL] NON-COMPLIANT" -ForegroundColor Red
        }
        
        Write-Host "Managed HSM instanties: $($result.KeyVaultsManagedHSM)" -ForegroundColor White
        Write-Host "Met private endpoints: $($result.KeyVaultsWithPrivateEndpoint)/$($result.KeyVaultsManagedHSM)" -ForegroundColor White
        Write-Host "Network connectiviteit: $(if ($result.NetworkConnectivityConfigured) { 'Ja' } else { 'Nee' })" -ForegroundColor White
        
        if ($result.Recommendations.Count -gt 0) {
            Write-Host "`nAanbevelingen:" -ForegroundColor Yellow
            $result.Recommendations | Select-Object -First 3 | ForEach-Object {
                Write-Host "  • $_" -ForegroundColor Cyan
            }
        }
        
        Write-Host "`nGebruik -Monitoring voor uitgebreide rapportage" -ForegroundColor Gray
        Write-Host "Gebruik -Remediation voor implementatie aanbevelingen`n" -ForegroundColor Gray
    }
}
catch {
    Write-Error $_
    exit 1
}
finally {
    Write-Host "`n========================================`n" -ForegroundColor Cyan
}

Risico zonder implementatie

High: Zonder hybride cryptografie kunnen organisaties moeilijk voldoen aan specifieke regelgevende vereisten die eisen dat bepaalde cryptografische sleutels binnen de landsgrenzen blijven of onder volledige fysieke controle van de organisatie staan. Compliance: CIS 8.1, BIO 10.01, ISO 27001 A.8.24, NIS2 Artikel 21. Het risico is hoog - beveiligings- en compliance-risico's, beperkte controle over cryptografische materialen.

Management Samenvatting

Hybride Cryptografie: Implementeer integratie tussen Azure Key Vault Managed HSM en on-premises HSM's voor optimale controle en beveiliging over cryptografische materialen. Combineer het beste uit cloud en on-premises cryptografische systemen. Configuratie: Portal, Infrastructure as Code, en HSM-beheerinterfaces. Verificatie: 6-8 uur. Verplicht voor organisaties met geclassificeerde gegevens of specifieke data residency-vereisten - CIS 8.1, BIO 10.01.

Implementatietijd: 200 uur
FTE required: 0.5 FTE

Hybride Cryptografie In Azure: Cloud En On-Premises Integratie

💼 Management Samenvatting

Implementatie

Vereisten en Voorkennis

Architectuur en Integratiepatronen

Implementatiestrategie en Best Practices

Monitoring en Verificatie

Compliance en Auditing

Remediatie en Herstel

Compliance & Frameworks

Automation

Risico zonder implementatie

Management Samenvatting

Share artikel