💼 Management Samenvatting
Deze beveiligingsregel waarborgt de correcte configuratie van customer-managed keys voor Azure Storage en beschermt tegen beveiligingsrisico's door volledige controle over versleutelingssleutels.
Aanbeveling
Overweeg customer-managed keys - Microsoft-managed keys zijn voldoende voor de meeste workloads
Risico zonder
Medium
Risk Score
6/10
Implementatie
5u (tech: 3u)
Van toepassing op:
✓ Azure opslag
Deze instelling is essentieel voor het handhaven van een veilige omgeving en voorkomt bekende aanvalsvectoren door het afdwingen van beveiligingsbest practices. Customer-managed keys bieden organisaties volledige controle over versleutelingssleutels, inclusief de mogelijkheid tot rotatie, intrekking en naleving van specifieke regelgevingsvereisten.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.opslag
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.opslag
Implementatie
Deze controle verifieert of Azure Storage accounts zijn geconfigureerd met customer-managed keys via Azure Key Vault. Dit biedt organisaties volledige controle over versleutelingssleutels in plaats van te vertrouwen op Microsoft-managed keys. Zie ook de versleuteling-cmk controle voor algemene informatie over customer-managed keys.
Vereisten
Voor de implementatie van customer-managed keys voor Azure Storage zijn verschillende technische en organisatorische vereisten van toepassing. Deze vereisten zorgen ervoor dat de versleutelingssleutels op een veilige en gecontroleerde manier worden beheerd, waarbij organisaties volledige controle behouden over hun cryptografische sleutels.
De primaire technische vereiste is de beschikbaarheid van een Azure Key Vault. Deze Key Vault moet worden geconfigureerd met de juiste toegangsbeleidsregels en moet zich in dezelfde Azure-regio bevinden als het Storage-account voor optimale prestaties en naleving van gegevensresidencievereisten. De Key Vault moet soft-delete en purge protection ingeschakeld hebben om te voorkomen dat sleutels per ongeluk worden verwijderd, wat kan leiden tot onherstelbare gegevensverlies.
Een tweede essentiële vereiste is de configuratie van een beheerde identiteit voor het Storage-account. Deze beheerde identiteit fungeert als de authenticatiemethode waarmee het Storage-account toegang krijgt tot de Key Vault om de versleutelingssleutels te gebruiken. Zonder een correct geconfigureerde beheerde identiteit kan het Storage-account niet authenticeren bij de Key Vault, waardoor de versleuteling met customer-managed keys niet kan worden geactiveerd.
Daarnaast moet de beheerde identiteit de juiste machtigingen hebben in de Key Vault. Specifiek moet de identiteit de machtigingen 'Get', 'Unwrap Key' en 'Wrap Key' hebben op de versleutelingssleutel. Deze machtigingen stellen het Storage-account in staat om de sleutel op te halen en te gebruiken voor het versleutelen en ontsleutelen van gegevens zonder dat de sleutel zelf ooit het Storage-account verlaat.
Organisatorisch gezien vereist de implementatie van customer-managed keys een duidelijk gedefinieerd sleutelbeheerbeleid. Dit beleid moet procedures bevatten voor sleutelrotatie, back-up van sleutels, toegangscontrole op Key Vault-niveau en responsprocedures voor noodsituaties waarbij sleutels mogelijk zijn gecompromitteerd. Het is essentieel dat er een duidelijke verantwoordelijkheidsverdeling is tussen de teams die verantwoordelijk zijn voor Key Vault-beheer, Storage-beheer en beveiligingsoperaties.
Voor Nederlandse overheidsorganisaties zijn er aanvullende vereisten met betrekking tot compliance. De implementatie moet voldoen aan de BIO-normen, met name controle 10.01 over sleutelbeheer, en moet kunnen worden geauditeerd volgens ISO 27001:2022 controle A.8.24 over cryptografie. Dit betekent dat alle sleuteloperaties moeten worden gelogd en dat er audit trails beschikbaar moeten zijn voor compliance-verificatie.
Monitoring en verificatie
Gebruik PowerShell-script customer-managed-keys-storage.ps1 (functie Invoke-Monitoring) – Automatische controle uitvoeren.
Het monitoren van de configuratie van customer-managed keys voor Azure Storage is een kritieke activiteit die regelmatig moet worden uitgevoerd om te verzekeren dat de beveiligingsinstellingen correct zijn geconfigureerd en blijven voldoen aan de organisatorische en regelgevingsvereisten. Monitoring omvat zowel technische verificatie als compliance-controle.
De primaire monitoringactiviteit is het controleren van de bron van de versleutelingssleutel voor elk Storage-account. Dit betekent dat moet worden geverifieerd of het Storage-account gebruik maakt van een customer-managed key uit Azure Key Vault in plaats van een Microsoft-managed key. Storage-accounts die nog steeds Microsoft-managed keys gebruiken, bieden organisaties niet de volledige controle over hun versleutelingssleutels en kunnen mogelijk niet voldoen aan specifieke compliance-vereisten.
Naast het controleren van de sleutelbron moet ook worden geverifieerd dat de Key Vault correct is geconfigureerd en toegankelijk is. Dit omvat het controleren van de beschikbaarheid van de Key Vault, de status van de versleutelingssleutel binnen de Key Vault, en of de beheerde identiteit van het Storage-account nog steeds de juiste machtigingen heeft. Een Key Vault die niet beschikbaar is of een sleutel die is uitgeschakeld of verwijderd, kan leiden tot onbereikbare gegevens.
Het is belangrijk om regelmatig te controleren of de versleutelingssleutel nog actief is en niet is verlopen of uitgeschakeld. Een verlopen of uitgeschakelde sleutel kan betekenen dat nieuwe gegevens niet meer kunnen worden versleuteld, wat kan leiden tot operationele problemen. Daarnaast moet worden gemonitord of er wijzigingen zijn aangebracht aan de Key Vault-toegangsbeleidsregels die mogelijk de toegang van het Storage-account tot de sleutel kunnen beïnvloeden.
Voor compliance-doeleinden moeten alle monitoringactiviteiten worden gelogd en gedocumenteerd. Dit omvat het vastleggen van wanneer controles zijn uitgevoerd, welke Storage-accounts zijn gecontroleerd, wat de resultaten waren, en welke acties zijn ondernomen als er afwijkingen werden gevonden. Deze audit trails zijn essentieel voor het aantonen van naleving tijdens externe audits en voor het voldoen aan BIO- en ISO 27001-vereisten.
Geautomatiseerde monitoring via PowerShell-scripts, zoals het bijbehorende monitoring script, stelt organisaties in staat om deze controles regelmatig en consistent uit te voeren zonder handmatige tussenkomst. Het script controleert automatisch alle Storage-accounts in een abonnement of resourcegroep en rapporteert welke accounts nog Microsoft-managed keys gebruiken of andere configuratieproblemen hebben. Deze geautomatiseerde aanpak vermindert niet alleen de werklast voor beheerders, maar zorgt ook voor consistentie en volledigheid in de monitoringactiviteiten.
Compliance en auditing
De implementatie van customer-managed keys voor Azure Storage heeft directe gevolgen voor de naleving van verschillende beveiligings- en privacystandaarden die van toepassing zijn op Nederlandse overheidsorganisaties. Het is essentieel om te begrijpen hoe deze controle bijdraagt aan het voldoen aan specifieke compliance-vereisten en welke auditactiviteiten nodig zijn om deze naleving te kunnen aantonen.
Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid (BIO) de primaire beveiligingsstandaard. Binnen de BIO is controle 10.01 gericht op sleutelbeheer en vereist dat organisaties passende maatregelen treffen voor het beheer van cryptografische sleutels. Customer-managed keys stellen organisaties in staat om volledige controle te behouden over hun versleutelingssleutels, inclusief de mogelijkheid tot rotatie, back-up en intrekking, wat direct bijdraagt aan het voldoen aan deze BIO-vereiste.
De ISO 27001:2022 standaard bevat controle A.8.24 over cryptografie, die vereist dat organisaties cryptografische controles implementeren en beheren in overeenstemming met informatiebeveiligingsbeleid. Deze controle benadrukt het belang van adequaat sleutelbeheer, inclusief het genereren, opslaan, archiveren en verwijderen van cryptografische sleutels. Door gebruik te maken van customer-managed keys via Azure Key Vault kunnen organisaties aantonen dat zij beschikken over robuuste processen voor sleutelbeheer die voldoen aan de ISO 27001-vereisten.
Voor organisaties die werken met persoonsgegevens is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Hoewel de AVG niet expliciet vereist dat organisaties customer-managed keys gebruiken, vereist artikel 32 van de AVG wel dat organisaties passende technische en organisatorische maatregelen treffen om persoonsgegevens te beveiligen. Het gebruik van customer-managed keys kan worden beschouwd als een dergelijke maatregel, vooral wanneer dit wordt gecombineerd met andere beveiligingscontroles zoals toegangsbeheer en logging.
Auditing van de customer-managed keys configuratie moet regelmatig worden uitgevoerd om te verzekeren dat de implementatie blijft voldoen aan de compliance-vereisten. Dit omvat het controleren van de configuratie van Storage-accounts, het verifiëren van Key Vault-toegangsbeleidsregels, het controleren van sleutelrotatieprocedures, en het beoordelen van logging en monitoringactiviteiten. Audit trails moeten worden bewaard voor een periode van minimaal zeven jaar, zoals vereist door verschillende compliance-standaarden en Nederlandse archiefwetgeving.
Tijdens externe audits moeten organisaties kunnen aantonen dat zij beschikken over gedocumenteerde procedures voor het beheer van customer-managed keys, dat deze procedures daadwerkelijk worden gevolgd, en dat er regelmatige controles worden uitgevoerd om te verzekeren dat de configuratie correct blijft. Dit vereist niet alleen technische documentatie, maar ook organisatorische documentatie zoals rollen en verantwoordelijkheden, escalatieprocedures, en incident response plannen voor situaties waarbij sleutels mogelijk zijn gecompromitteerd.
Remediatie
Gebruik PowerShell-script customer-managed-keys-storage.ps1 (functie Invoke-Remediation) – Automatische remediatie uitvoeren.
Wanneer monitoringactiviteiten aantonen dat een Storage-account niet is geconfigureerd met customer-managed keys, of wanneer er andere configuratieproblemen worden geïdentificeerd, moet er een gestructureerde remediatieaanpak worden gevolgd. Deze aanpak moet ervoor zorgen dat de configuratie op een veilige en gecontroleerde manier wordt aangepast zonder de beschikbaarheid of integriteit van de opgeslagen gegevens in gevaar te brengen.
De eerste stap in het remediatieproces is het beoordelen van de huidige situatie en het identificeren van de specifieke configuratieproblemen. Dit omvat het controleren of er al een Key Vault beschikbaar is die kan worden gebruikt, of er een beheerde identiteit is geconfigureerd voor het Storage-account, en of de benodigde machtigingen aanwezig zijn. Als deze componenten ontbreken, moeten deze eerst worden geconfigureerd voordat customer-managed keys kunnen worden geactiveerd.
Voor Storage-accounts die momenteel gebruik maken van Microsoft-managed keys is het belangrijk om te begrijpen dat het overschakelen naar customer-managed keys een cryptografische herversleuteling van alle bestaande gegevens kan vereisen. Dit proces kan tijd in beslag nemen, afhankelijk van de hoeveelheid opgeslagen gegevens, en kan tijdens de herversleuteling een impact hebben op de prestaties. Het is daarom aan te raden om deze migratie te plannen tijdens perioden met lage werkbelasting en om stakeholders te informeren over mogelijke prestatie-impact.
Het geautomatiseerde remediatiescript kan worden gebruikt om de configuratie automatisch aan te passen wanneer dit mogelijk is. Het script controleert eerst of alle vereisten aanwezig zijn, zoals een beschikbare Key Vault en een correct geconfigureerde beheerde identiteit, en voert vervolgens de benodigde configuratiewijzigingen uit. Het is echter belangrijk om te benadrukken dat automatische remediatie alleen moet worden gebruikt wanneer de organisatie vertrouwen heeft in de geautomatiseerde processen en wanneer er voldoende testen zijn uitgevoerd in een niet-productieomgeving.
Na het uitvoeren van de remediatie moet er verificatie plaatsvinden om te bevestigen dat de configuratie correct is aangepast. Dit omvat het controleren of het Storage-account nu gebruik maakt van de customer-managed key, of de beheerde identiteit correct is geconfigureerd, en of er geen toegangsproblemen zijn ontstaan. Daarnaast moeten alle wijzigingen worden gedocumenteerd voor auditdoeleinden, inclusief wanneer de wijziging is doorgevoerd, wie de wijziging heeft geautoriseerd, en wat de reden was voor de remediatie.
In situaties waarbij automatische remediatie niet mogelijk of niet wenselijk is, moet er een handmatig remediatieproces worden gevolgd. Dit proces moet worden gedocumenteerd in de organisatorische procedures en moet duidelijke stappen bevatten voor het configureren van Key Vault, het instellen van beheerde identiteiten, het toewijzen van machtigingen, en het activeren van customer-managed keys op het Storage-account. Het is essentieel dat dit proces wordt uitgevoerd door gekwalificeerd personeel met de juiste autorisaties en dat alle stappen worden gecontroleerd en geverifieerd.
Compliance & Frameworks
- BIO: 10.01 - Sleutelbeheer
- ISO 27001:2022: A.8.24 - Cryptografie
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Customer-Managed Keys Storage
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 3.8
Controleert gebruik van customer-managed keys voor storage encryption.
.NOTES
Filename: customer-managed-keys-storage.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 3.8
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Storage
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Customer-Managed Keys Storage"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$storageAccounts = Get-AzStorageAccount -ErrorAction SilentlyContinue
$result = @{ TotalAccounts = $storageAccounts.Count; WithCMK = 0 }
foreach ($account in $storageAccounts) {
if ($account.Encryption.KeySource -eq 'Microsoft.Keyvault') {
$result.WithCMK++
}
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Storage Accounts: $($r.TotalAccounts)" -ForegroundColor White
Write-Host "With CMK: $($r.WithCMK)" -ForegroundColor $(if ($r.WithCMK -gt 0) { 'Green' } else { 'Yellow' })
}
else {
$r = Test-Compliance
Write-Host "`nCMK Encryption: $($r.WithCMK)/$($r.TotalAccounts) accounts"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Storage Accounts: $($r.TotalAccounts)" -ForegroundColor White
Write-Host "With CMK: $($r.WithCMK)" -ForegroundColor $(if ($r.WithCMK -gt 0) { 'Green' } else { 'Yellow' })
}
else {
$r = Test-Compliance
Write-Host "`nCMK Encryption: $($r.WithCMK)/$($r.TotalAccounts) accounts"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Microsoft-managed keys zijn adequaat voor ongeveer 95 procent van alle workloads. Customer-managed keys zijn vooral belangrijk voor organisaties met specifieke vereisten op het gebied van gegevenssoevereiniteit of regelgevingsnaleving. Het risico van het niet gebruiken van customer-managed keys is laag wanneer Microsoft-managed keys voldoen aan de organisatorische vereisten.
Management Samenvatting
Customer-managed keys voor Azure Storage bieden volledige controle over versleutelingssleutels via Azure Key Vault, inclusief de mogelijkheid tot rotatie en intrekking. De implementatie vereist een Key Vault en een beheerde identiteit. De kosten bestaan voornamelijk uit Key Vault-operaties. Activatie gebeurt via Storage → Versleuteling → Customer-managed key. De implementatie duurt ongeveer 3 tot 5 uur. Deze controle is optioneel - Microsoft-managed keys zijn voldoende voor de meeste gevallen, customer-managed keys zijn vooral relevant voor regelgevings- en soevereiniteitsvereisten.
- Implementatietijd: 5 uur
- FTE required: 0.05 FTE