💼 Management Samenvatting
Customer-Managed Keys (CMK) voor Azure Storage biedt organisaties volledige controle over de versleutelingssleutels die worden gebruikt om gegevens in Azure Storage Accounts te beschermen. In tegenstelling tot Microsoft-Managed Keys, waarbij Microsoft de volledige verantwoordelijkheid heeft voor het beheer, de rotatie en de back-up van versleutelingssleutels, stellen customer-managed keys organisaties in staat om deze sleutels zelf te beheren via Azure Key Vault. Deze aanpak is essentieel voor organisaties die moeten voldoen aan strikte compliance-vereisten, gegevenssoevereiniteitsvereisten, of organisatorische beleidsregels die volledige controle over cryptografische sleutels vereisen. Door gebruik te maken van customer-managed keys kunnen organisaties niet alleen bepalen wanneer en hoe sleutels worden geroteerd, maar ook wie toegang heeft tot deze sleutels, waar de sleutels fysiek worden opgeslagen, en hoe de sleutels worden beveiligd tegen ongeautoriseerde toegang.
Aanbeveling
Overweeg customer-managed keys voor organisaties met specifieke compliance- of gegevenssoevereiniteitsvereisten
Risico zonder
Medium
Risk Score
6/10
Implementatie
7u (tech: 4u)
Van toepassing op:
✓ Azure Storage
De implementatie van customer-managed keys voor Azure Storage is van cruciaal belang voor organisaties die werken met uiterst gevoelige gegevens of die moeten voldoen aan specifieke regelgevingsvereisten die volledige controle over cryptografische sleutels vereisen. Wanneer organisaties vertrouwen op Microsoft-Managed Keys, hebben zij geen directe controle over de versleutelingssleutels die worden gebruikt om hun gegevens te beschermen. Hoewel Microsoft robuuste beveiligingsmaatregelen heeft geïmplementeerd voor het beheer van deze sleutels, kunnen sommige organisaties, met name overheidsorganisaties, financiële instellingen, en organisaties die werken met medische gegevens, vereisten hebben die volledige controle over de sleutellevenscyclus vereisen. Deze vereisten kunnen voortkomen uit nationale wetgeving, sectorale regelgeving, of interne beveiligingsbeleidsregels die expliciet vereisen dat organisaties zelf verantwoordelijk zijn voor het beheer van cryptografische sleutels. Bovendien biedt het gebruik van customer-managed keys organisaties de mogelijkheid om te voldoen aan gegevenssoevereiniteitsvereisten, waarbij gegevens en de bijbehorende cryptografische sleutels binnen specifieke geografische grenzen moeten blijven. Dit is bijzonder relevant voor Nederlandse overheidsorganisaties die moeten voldoen aan de Baseline Informatiebeveiliging Overheid (BIO) en andere nationale beveiligingsstandaarden die gegevenssoevereiniteit vereisen. Customer-managed keys stellen organisaties ook in staat om te voldoen aan compliance-kaders zoals ISO 27001:2022 controle A.8.24 over cryptografie, die vereist dat organisaties passende maatregelen treffen voor het beheer van cryptografische sleutels, inclusief het genereren, opslaan, archiveren en verwijderen van sleutels. Door volledige controle te hebben over deze processen kunnen organisaties aantonen dat zij voldoen aan deze vereisten en kunnen zij tijdens audits gedetailleerde documentatie overleggen over hoe sleutels worden beheerd.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.Storage, Az.KeyVault
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.Storage, Az.KeyVault
Implementatie
Deze beveiligingsmaatregel verifieert en waarborgt dat Azure Storage Accounts zijn geconfigureerd met customer-managed keys via Azure Key Vault in plaats van Microsoft-Managed Keys. De verificatieprocedure controleert voor elk opslagaccount of de versleutelingssleutel afkomstig is uit een Azure Key Vault die wordt beheerd door de organisatie, of dat het account nog steeds gebruik maakt van Microsoft-Managed Keys. Wanneer een opslagaccount is geconfigureerd met customer-managed keys, wordt de versleutelingssleutel opgeslagen in een Azure Key Vault waarover de organisatie volledige controle heeft, inclusief toegangsbeperkingen, sleutelrotatieprocedures, en back-upstrategieën. De verificatieprocedure controleert niet alleen of customer-managed keys zijn geconfigureerd, maar ook of de Key Vault correct is geconfigureerd met de juiste beveiligingsinstellingen zoals soft delete en purge protection, of de beheerde identiteit van het opslagaccount de juiste machtigingen heeft om toegang te krijgen tot de sleutel, en of de sleutel zelf actief is en niet is verlopen of uitgeschakeld. Deze uitgebreide verificatie zorgt ervoor dat de implementatie van customer-managed keys niet alleen technisch correct is, maar ook voldoet aan alle beveiligings- en compliance-vereisten die van toepassing zijn op de organisatie.
Vereisten
Voor de succesvolle implementatie van customer-managed keys voor Azure Storage zijn verschillende technische, organisatorische en compliance-vereisten van toepassing die organisaties moeten begrijpen en voorbereiden voordat zij deze beveiligingsmaatregel kunnen implementeren. Deze vereisten vormen de fundamentele basis voor een robuuste en veilige implementatie die niet alleen technisch correct is, maar ook voldoet aan alle beveiligings- en compliance-vereisten die van toepassing zijn op Nederlandse organisaties, met name overheidsorganisaties die moeten voldoen aan strikte beveiligingsstandaarden zoals de Baseline Informatiebeveiliging Overheid (BIO) en ISO 27001:2022. De eerste en meest kritieke technische vereiste is de beschikbaarheid van een Azure Key Vault die specifiek is geconfigureerd voor het beheer van versleutelingssleutels voor Azure Storage. Deze Key Vault moet worden geconfigureerd met de juiste beveiligingsinstellingen, waarvan soft delete en purge protection de belangrijkste zijn. Soft delete zorgt ervoor dat verwijderde sleutels gedurende een configurable periode behouden blijven, wat essentieel is voor herstel na ongelukken en voor het voldoen aan compliance-vereisten die vereisen dat verwijderde sleutels kunnen worden hersteld. Purge protection voorkomt dat sleutels permanent worden verwijderd, zelfs door gebruikers met de hoogste machtigingen, wat een extra beveiligingslaag biedt tegen zowel ongelukken als kwaadwillende acties. De Key Vault moet zich idealiter in dezelfde Azure-regio bevinden als het Storage-account om optimale prestaties te garanderen en om te voldoen aan gegevensresidencievereisten die kunnen vereisen dat gegevens en sleutels binnen dezelfde geografische regio blijven.
Een tweede essentiële technische vereiste is de configuratie van een beheerde identiteit voor het Azure Storage-account. Deze beheerde identiteit fungeert als de authenticatiemethode waarmee het Storage-account zich authenticeert bij de Azure Key Vault om toegang te krijgen tot de versleutelingssleutel. Zonder een correct geconfigureerde beheerde identiteit kan het Storage-account niet authenticeren bij de Key Vault, waardoor de versleuteling met customer-managed keys niet kan worden geactiveerd. De beheerde identiteit kan een door het systeem toegewezen identiteit zijn, die automatisch wordt gemaakt wanneer deze wordt ingeschakeld op het Storage-account, of een door de gebruiker toegewezen identiteit, die expliciet wordt gemaakt en toegewezen aan het Storage-account. De keuze tussen deze twee opties hangt af van de specifieke vereisten van de organisatie, waarbij door het systeem toegewezen identiteiten eenvoudiger zijn maar minder flexibiliteit bieden, en door de gebruiker toegewezen identiteiten meer controle bieden maar meer configuratie vereisen. Ongeacht het type beheerde identiteit dat wordt gebruikt, moet deze identiteit de juiste machtigingen hebben in de Azure Key Vault om toegang te krijgen tot de versleutelingssleutel.
De beheerde identiteit moet specifieke machtigingen hebben op de versleutelingssleutel in de Key Vault om de versleuteling te kunnen gebruiken. Deze machtigingen omvatten Get, Unwrap Key en Wrap Key, die het Storage-account in staat stellen om de sleutel op te halen en te gebruiken voor het versleutelen en ontsleutelen van gegevens zonder dat de sleutel zelf ooit het Storage-account verlaat. De Get-machtiging stelt het Storage-account in staat om metadata over de sleutel op te halen, zoals de sleutelversie en de status van de sleutel. De Unwrap Key-machtiging is nodig voor het ontsleutelen van gegevens, terwijl de Wrap Key-machtiging nodig is voor het versleutelen van nieuwe gegevens. Deze machtigingen moeten worden verleend via het toegangsbeleid van de Key Vault, waarbij het belangrijk is om het principe van minimale privileges toe te passen door alleen de noodzakelijke machtigingen te verlenen en geen aanvullende machtigingen te verlenen die niet nodig zijn voor de versleutelingsoperaties. Bovendien moet de versleutelingssleutel zelf worden gemaakt in de Key Vault met de juiste configuratie, waarbij organisaties kunnen kiezen tussen RSA-sleutels en EC-sleutels, afhankelijk van hun specifieke vereisten en compliance-vereisten.
Organisatorisch gezien vereist de implementatie van customer-managed keys een duidelijk gedefinieerd sleutelbeheerbeleid dat procedures bevat voor alle aspecten van de sleutellevenscyclus. Dit beleid moet gedetailleerde procedures bevatten voor sleutelrotatie, waarbij wordt bepaald hoe vaak sleutels moeten worden geroteerd, wie verantwoordelijk is voor het initiëren van rotatie, en hoe rotatie wordt geverifieerd en gedocumenteerd. Het beleid moet ook procedures bevatten voor back-up van sleutels, waarbij wordt bepaald hoe sleutels worden geback-upt, waar back-ups worden opgeslagen, en hoe back-ups worden beveiligd tegen ongeautoriseerde toegang. Toegangscontrole op Key Vault-niveau is een ander kritiek aspect van het sleutelbeheerbeleid, waarbij moet worden bepaald wie toegang heeft tot de Key Vault, welke rollen en verantwoordelijkheden van toepassing zijn, en hoe toegang wordt gecontroleerd en geauditeerd. Het beleid moet ook responsprocedures bevatten voor noodsituaties waarbij sleutels mogelijk zijn gecompromitteerd, waarbij wordt bepaald hoe een compromittering wordt gedetecteerd, wie wordt geïnformeerd, en welke stappen worden ondernomen om de impact te mitigeren. Het is essentieel dat er een duidelijke verantwoordelijkheidsverdeling is tussen de teams die verantwoordelijk zijn voor Key Vault-beheer, Storage-beheer en beveiligingsoperaties, waarbij elk team duidelijk begrijpt wat hun verantwoordelijkheden zijn en hoe zij samenwerken om de beveiliging te waarborgen.
Voor Nederlandse overheidsorganisaties zijn er aanvullende compliance-vereisten die van toepassing zijn op de implementatie van customer-managed keys. De implementatie moet voldoen aan de Baseline Informatiebeveiliging Overheid (BIO) norm 10.01 over cryptografische maatregelen, die vereist dat organisaties passende maatregelen treffen voor het beheer van cryptografische sleutels. Deze norm benadrukt het belang van adequaat sleutelbeheer, inclusief het genereren, opslaan, archiveren en verwijderen van cryptografische sleutels, en vereist dat organisaties kunnen aantonen dat zij beschikken over robuuste processen voor sleutelbeheer. De implementatie moet ook kunnen worden geauditeerd volgens ISO 27001:2022 controle A.8.24 over cryptografie, die vergelijkbare vereisten stelt aan het beheer van cryptografische sleutels. Dit betekent dat alle sleuteloperaties moeten worden gelogd en dat er audit trails beschikbaar moeten zijn voor compliance-verificatie, waarbij auditlogboeken moeten worden bewaard voor een periode van minimaal zeven jaar in overeenstemming met Nederlandse archiefwetgeving. Bovendien moeten organisaties kunnen aantonen dat zij beschikken over gedocumenteerde procedures voor het beheer van customer-managed keys, dat deze procedures daadwerkelijk worden gevolgd, en dat er regelmatige controles worden uitgevoerd om te verzekeren dat de configuratie correct blijft.
Monitoring en Verificatie
Gebruik PowerShell-script customer-managed-keys.ps1 (functie Invoke-Monitoring) – Automatische verificatie uitvoeren.
Het monitoren van de configuratie van customer-managed keys voor Azure Storage is een kritieke activiteit die regelmatig moet worden uitgevoerd om te verzekeren dat de beveiligingsinstellingen correct zijn geconfigureerd en blijven voldoen aan de organisatorische en regelgevingsvereisten. Monitoring omvat zowel technische verificatie als compliance-controle, waarbij organisaties niet alleen moeten controleren of customer-managed keys technisch correct zijn geconfigureerd, maar ook moeten verifiëren dat de configuratie voldoet aan alle beveiligings- en compliance-vereisten die van toepassing zijn. Deze monitoringactiviteiten zijn essentieel voor het behouden van een sterke beveiligingspostuur en voor het kunnen aantonen van compliance tijdens externe audits en toetsingen. De monitoringprocedure moet worden uitgevoerd op regelmatige basis, bij voorkeur maandelijks of bij elke wijziging in de configuratie van opslagaccounts of Key Vaults, om ervoor te zorgen dat eventuele afwijkingen snel worden gedetecteerd en opgelost voordat zij kunnen leiden tot beveiligingsincidenten of compliance-schendingen.
De primaire monitoringactiviteit is het controleren van de bron van de versleutelingssleutel voor elk Azure Storage-account binnen de organisatie. Dit betekent dat moet worden geverifieerd of het Storage-account gebruik maakt van een customer-managed key uit Azure Key Vault in plaats van een Microsoft-Managed Key. Storage-accounts die nog steeds Microsoft-Managed Keys gebruiken, bieden organisaties niet de volledige controle over hun versleutelingssleutels en kunnen mogelijk niet voldoen aan specifieke compliance-vereisten die volledige controle over cryptografische sleutels vereisen. De verificatieprocedure controleert de Encryption.KeySource-eigenschap van elk opslagaccount, waarbij een waarde van Microsoft.Keyvault aangeeft dat het account gebruik maakt van customer-managed keys, terwijl een waarde van Microsoft.Storage aangeeft dat het account nog steeds gebruik maakt van Microsoft-Managed Keys. Deze verificatie moet worden uitgevoerd voor alle opslagaccounts binnen de organisatie, ongeacht het type opslagaccount of de workload die het account ondersteunt, om ervoor te zorgen dat er geen opslagaccounts zijn die niet voldoen aan de organisatorische vereisten voor sleutelbeheer.
Naast het controleren van de sleutelbron moet ook worden geverifieerd dat de Azure Key Vault correct is geconfigureerd en toegankelijk is voor het Storage-account. Dit omvat het controleren van de beschikbaarheid van de Key Vault, waarbij moet worden geverifieerd dat de Key Vault actief is en niet is uitgeschakeld of verwijderd. Een Key Vault die niet beschikbaar is kan leiden tot onbereikbare gegevens, omdat het Storage-account niet langer toegang heeft tot de versleutelingssleutel die nodig is om gegevens te ontsleutelen. De verificatieprocedure controleert ook de status van de versleutelingssleutel binnen de Key Vault, waarbij moet worden geverifieerd dat de sleutel actief is en niet is verlopen, uitgeschakeld of verwijderd. Een verlopen of uitgeschakelde sleutel kan betekenen dat nieuwe gegevens niet meer kunnen worden versleuteld, wat kan leiden tot operationele problemen en potentiële beveiligingsrisico's. Bovendien moet worden geverifieerd dat de beheerde identiteit van het Storage-account nog steeds de juiste machtigingen heeft om toegang te krijgen tot de sleutel in de Key Vault, waarbij moet worden gecontroleerd of de toegangsbeleidsregels van de Key Vault correct zijn geconfigureerd en niet zijn gewijzigd op een manier die de toegang van het Storage-account zou kunnen blokkeren.
Het is belangrijk om regelmatig te controleren of de versleutelingssleutel nog actief is en niet is verlopen of uitgeschakeld, omdat een verlopen of uitgeschakelde sleutel kan betekenen dat nieuwe gegevens niet meer kunnen worden versleuteld. Deze controle moet worden uitgevoerd als onderdeel van de regelmatige monitoringactiviteiten, waarbij moet worden geverifieerd dat de sleutel een geldige vervaldatum heeft die niet binnenkort verloopt, en dat de sleutel niet is uitgeschakeld door een beheerder. Daarnaast moet worden gemonitord of er wijzigingen zijn aangebracht aan de Key Vault-toegangsbeleidsregels die mogelijk de toegang van het Storage-account tot de sleutel kunnen beïnvloeden. Deze wijzigingen kunnen per ongeluk zijn aangebracht door een beheerder of kunnen het resultaat zijn van kwaadwillende activiteiten, en moeten daarom snel worden gedetecteerd en opgelost om te voorkomen dat het Storage-account geen toegang meer heeft tot de versleutelingssleutel. De monitoringprocedure moet ook controleren of de Key Vault correct is geconfigureerd met soft delete en purge protection, omdat deze instellingen essentieel zijn voor het voorkomen van onherstelbaar gegevensverlies en voor het voldoen aan compliance-vereisten.
Voor compliance-doeleinden moeten alle monitoringactiviteiten worden gelogd en gedocumenteerd in overeenstemming met de organisatorische en regelgevingsvereisten. Dit omvat het vastleggen van wanneer controles zijn uitgevoerd, welke Storage-accounts zijn gecontroleerd, wat de resultaten waren van elke controle, en welke acties zijn ondernomen als er afwijkingen werden gevonden. Deze audit trails zijn essentieel voor het aantonen van naleving tijdens externe audits en voor het voldoen aan BIO- en ISO 27001-vereisten die vereisen dat organisaties regelmatige controles uitvoeren en deze controles documenteren. De documentatie moet gedetailleerd genoeg zijn om auditors in staat te stellen te begrijpen wat er is gecontroleerd, hoe de controles zijn uitgevoerd, en wat de resultaten waren, waarbij het belangrijk is om zowel technische details als organisatorische context te documenteren. Geautomatiseerde monitoring via PowerShell-scripts, zoals het bijbehorende monitoring script, stelt organisaties in staat om deze controles regelmatig en consistent uit te voeren zonder handmatige tussenkomst, waardoor de werklast voor beheerders wordt verminderd en consistentie en volledigheid in de monitoringactiviteiten worden gewaarborgd. Het script controleert automatisch alle Storage-accounts in een abonnement of resourcegroep en rapporteert welke accounts nog Microsoft-Managed Keys gebruiken of andere configuratieproblemen hebben, waardoor beheerders snel kunnen reageren op eventuele afwijkingen.
Compliance en Toetsing
De implementatie van customer-managed keys voor Azure Storage heeft directe en significante gevolgen voor de naleving van verschillende beveiligings- en privacystandaarden die van toepassing zijn op Nederlandse organisaties, met name overheidsorganisaties die moeten voldoen aan strikte beveiligingsstandaarden en regelgevingsvereisten. Het is essentieel om te begrijpen hoe deze controle bijdraagt aan het voldoen aan specifieke compliance-vereisten en welke auditactiviteiten nodig zijn om deze naleving te kunnen aantonen tijdens externe audits en toetsingen. Customer-managed keys stellen organisaties in staat om volledige controle te behouden over hun versleutelingssleutels, wat direct bijdraagt aan het voldoen aan compliance-vereisten die volledige controle over cryptografische sleutels vereisen, zoals de Baseline Informatiebeveiliging Overheid (BIO) norm 10.01 over cryptografische maatregelen en ISO 27001:2022 controle A.8.24 over cryptografie. Deze controlevereisten benadrukken het belang van adequaat sleutelbeheer, inclusief het genereren, opslaan, archiveren en verwijderen van cryptografische sleutels, en vereisen dat organisaties kunnen aantonen dat zij beschikken over robuuste processen voor sleutelbeheer die voldoen aan de vereisten van deze standaarden.
Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid (BIO) de primaire beveiligingsstandaard die van toepassing is op alle overheidsorganisaties die gebruik maken van informatie- en communicatietechnologie. Binnen de BIO is controle 10.01 gericht op cryptografische maatregelen en vereist dat organisaties passende maatregelen treffen voor het beheer van cryptografische sleutels. Deze controle benadrukt het belang van adequaat sleutelbeheer, waarbij organisaties moeten kunnen aantonen dat zij beschikken over robuuste processen voor het genereren, opslaan, archiveren en verwijderen van cryptografische sleutels. Customer-managed keys stellen organisaties in staat om volledige controle te behouden over hun versleutelingssleutels, inclusief de mogelijkheid tot rotatie, back-up en intrekking, wat direct bijdraagt aan het voldoen aan deze BIO-vereiste. Tijdens BIO-audits moeten organisaties kunnen aantonen dat zij beschikken over gedocumenteerde procedures voor het beheer van customer-managed keys, dat deze procedures daadwerkelijk worden gevolgd, en dat er regelmatige controles worden uitgevoerd om te verzekeren dat de configuratie correct blijft. Deze documentatie moet zowel technische details als organisatorische context bevatten, waarbij moet worden aangetoond dat alle teams die betrokken zijn bij het beheer van customer-managed keys duidelijk begrijpen wat hun verantwoordelijkheden zijn en hoe zij samenwerken om de beveiliging te waarborgen.
De ISO 27001:2022 standaard bevat controle A.8.24 over cryptografie, die vereist dat organisaties cryptografische controles implementeren en beheren in overeenstemming met informatiebeveiligingsbeleid. Deze controle benadrukt het belang van adequaat sleutelbeheer, inclusief het genereren, opslaan, archiveren en verwijderen van cryptografische sleutels, en vereist dat organisaties kunnen aantonen dat zij beschikken over robuuste processen voor sleutelbeheer die voldoen aan de ISO 27001-vereisten. Door gebruik te maken van customer-managed keys via Azure Key Vault kunnen organisaties aantonen dat zij beschikken over gecontroleerde processen voor het beheer van versleutelingssleutels, waarbij alle sleuteloperaties worden gelogd en geauditeerd in overeenstemming met de ISO 27001-vereisten. Tijdens ISO 27001-audits moeten organisaties kunnen aantonen dat zij beschikken over gedocumenteerde procedures voor het beheer van customer-managed keys, dat deze procedures daadwerkelijk worden gevolgd, en dat er regelmatige controles worden uitgevoerd om te verzekeren dat de configuratie correct blijft. Bovendien moeten organisaties kunnen aantonen dat alle sleuteloperaties worden gelogd en dat er audit trails beschikbaar zijn voor compliance-verificatie, waarbij auditlogboeken moeten worden bewaard voor een periode van minimaal zeven jaar in overeenstemming met de ISO 27001-vereisten en Nederlandse archiefwetgeving.
Voor organisaties die werken met persoonsgegevens is de Algemene Verordening Gegevensbescherming (AVG) van toepassing, waarbij artikel 32 van de AVG vereist dat organisaties passende technische en organisatorische maatregelen treffen om persoonsgegevens te beveiligen. Hoewel de AVG niet expliciet vereist dat organisaties customer-managed keys gebruiken, kan het gebruik van customer-managed keys worden beschouwd als een dergelijke maatregel, vooral wanneer dit wordt gecombineerd met andere beveiligingscontroles zoals toegangsbeheer en logging. Het gebruik van customer-managed keys stelt organisaties in staat om aan te tonen dat zij proactieve maatregelen hebben genomen om persoonsgegevens te beschermen tegen ongeautoriseerde toegang, wat kan bijdragen aan het voldoen aan de AVG-vereisten en het verminderen van het risico op boetes en reputatieschade bij datalekken. Tijdens AVG-audits moeten organisaties kunnen aantonen dat zij beschikken over passende technische maatregelen om persoonsgegevens te beveiligen, waarbij customer-managed keys kunnen worden gebruikt als bewijs van deze maatregelen, vooral wanneer dit wordt gecombineerd met andere beveiligingscontroles zoals versleuteling, toegangsbeheer en logging.
Auditing van de customer-managed keys configuratie moet regelmatig worden uitgevoerd om te verzekeren dat de implementatie blijft voldoen aan de compliance-vereisten en om eventuele afwijkingen snel te detecteren en op te lossen. Deze auditactiviteiten moeten worden uitgevoerd door gekwalificeerd personeel met voldoende kennis van zowel de technische aspecten van customer-managed keys als de compliance-vereisten die van toepassing zijn op de organisatie. De audit moet het controleren van de configuratie van Storage-accounts omvatten, waarbij moet worden geverifieerd dat alle opslagaccounts die customer-managed keys moeten gebruiken daadwerkelijk zijn geconfigureerd met customer-managed keys. De audit moet ook het verifiëren van Key Vault-toegangsbeleidsregels omvatten, waarbij moet worden gecontroleerd dat de beheerde identiteit van het Storage-account de juiste machtigingen heeft om toegang te krijgen tot de versleutelingssleutel. Bovendien moet de audit het controleren van sleutelrotatieprocedures omvatten, waarbij moet worden geverifieerd dat sleutels regelmatig worden geroteerd in overeenstemming met het organisatorische beleid, en het beoordelen van logging en monitoringactiviteiten, waarbij moet worden gecontroleerd dat alle sleuteloperaties worden gelogd en dat er regelmatige controles worden uitgevoerd. Audit trails moeten worden bewaard voor een periode van minimaal zeven jaar, zoals vereist door verschillende compliance-standaarden en Nederlandse archiefwetgeving, waarbij deze audit trails essentieel zijn voor het kunnen aantonen van compliance tijdens externe audits en voor het onderzoeken van eventuele beveiligingsincidenten.
Remediatie
Gebruik PowerShell-script customer-managed-keys.ps1 (functie Invoke-Remediation) – Automatische remediatie uitvoeren.
Wanneer monitoringactiviteiten aantonen dat een Azure Storage-account niet is geconfigureerd met customer-managed keys, of wanneer er andere configuratieproblemen worden geïdentificeerd die de beveiliging of compliance kunnen beïnvloeden, moet er een gestructureerde remediatieaanpak worden gevolgd om ervoor te zorgen dat de configuratie op een veilige en gecontroleerde manier wordt aangepast zonder de beschikbaarheid of integriteit van de opgeslagen gegevens in gevaar te brengen. Deze remediatieaanpak moet worden uitgevoerd door gekwalificeerd personeel met voldoende kennis van zowel de technische aspecten van customer-managed keys als de beveiligings- en compliance-vereisten die van toepassing zijn op de organisatie. Het is essentieel dat alle remediatie-activiteiten worden gedocumenteerd voor auditdoeleinden, inclusief wanneer de remediatie is uitgevoerd, wie de remediatie heeft geautoriseerd, wat de reden was voor de remediatie, en wat de resultaten waren van de remediatie. Deze documentatie vormt een essentieel onderdeel van de audit trail en is nodig om aan te tonen dat de organisatie proactief heeft gehandeld om beveiligingsrisico's te mitigeren en te voldoen aan compliance-vereisten.
De eerste stap in het remediatieproces is het beoordelen van de huidige situatie en het identificeren van de specifieke configuratieproblemen die moeten worden opgelost. Dit omvat het controleren of er al een Azure Key Vault beschikbaar is die kan worden gebruikt voor het beheer van versleutelingssleutels, of er een beheerde identiteit is geconfigureerd voor het Storage-account, en of de benodigde machtigingen aanwezig zijn om het Storage-account toegang te geven tot de versleutelingssleutel in de Key Vault. Als deze componenten ontbreken, moeten deze eerst worden geconfigureerd voordat customer-managed keys kunnen worden geactiveerd op het Storage-account. De beoordeling moet ook controleren of de Key Vault correct is geconfigureerd met de juiste beveiligingsinstellingen, zoals soft delete en purge protection, en of de versleutelingssleutel zelf correct is geconfigureerd met de juiste eigenschappen, zoals de sleutelversie en de status van de sleutel. Deze beoordeling moet worden uitgevoerd door gekwalificeerd personeel met voldoende kennis van zowel de technische aspecten van customer-managed keys als de beveiligings- en compliance-vereisten die van toepassing zijn op de organisatie.
Voor Storage-accounts die momenteel gebruik maken van Microsoft-Managed Keys is het belangrijk om te begrijpen dat het overschakelen naar customer-managed keys een cryptografische herversleuteling van alle bestaande gegevens kan vereinen, afhankelijk van de configuratie en de hoeveelheid opgeslagen gegevens. Dit proces kan tijd in beslag nemen, waarbij de duur afhankelijk is van de hoeveelheid opgeslagen gegevens, de prestaties van het Storage-account, en de configuratie van de versleutelingssleutel. Tijdens de herversleuteling kan er een impact zijn op de prestaties van het Storage-account, vooral wanneer grote hoeveelheden gegevens moeten worden herversleuteld. Het is daarom aan te raden om deze migratie te plannen tijdens perioden met lage werkbelasting en om stakeholders te informeren over mogelijke prestatie-impact, zodat zij kunnen anticiperen op eventuele vertragingen of prestatieproblemen. Bovendien moet worden gecontroleerd of de herversleuteling succesvol is voltooid voordat de remediatie als voltooid wordt beschouwd, waarbij moet worden geverifieerd dat alle gegevens correct zijn herversleuteld en dat er geen fouten zijn opgetreden tijdens het proces.
Het geautomatiseerde remediatiescript kan worden gebruikt om de configuratie automatisch aan te passen wanneer dit mogelijk is en wanneer de organisatie vertrouwen heeft in de geautomatiseerde processen. Het script controleert eerst of alle vereisten aanwezig zijn, zoals een beschikbare Key Vault met de juiste beveiligingsinstellingen, een correct geconfigureerde beheerde identiteit voor het Storage-account, en een actieve versleutelingssleutel in de Key Vault met de juiste eigenschappen. Vervolgens voert het script de benodigde configuratiewijzigingen uit, waarbij het Storage-account wordt geconfigureerd om gebruik te maken van de customer-managed key uit de Key Vault in plaats van Microsoft-Managed Keys. Het is echter belangrijk om te benadrukken dat automatische remediatie alleen moet worden gebruikt wanneer de organisatie vertrouwen heeft in de geautomatiseerde processen en wanneer er voldoende testen zijn uitgevoerd in een niet-productieomgeving om te verzekeren dat het script correct werkt en geen onbedoelde gevolgen heeft. Bovendien moet automatische remediatie alleen worden gebruikt voor niet-kritieke workloads, waarbij kritieke workloads altijd handmatige remediatie vereisen om ervoor te zorgen dat alle stappen correct worden uitgevoerd en dat er voldoende controle is over het proces.
Na het uitvoeren van de remediatie moet er uitgebreide verificatie plaatsvinden om te bevestigen dat de configuratie correct is aangepast en dat alle beveiligings- en compliance-vereisten worden nageleefd. Deze verificatie moet het controleren van de configuratie van het Storage-account omvatten, waarbij moet worden geverifieerd dat het Storage-account nu gebruik maakt van de customer-managed key uit de Key Vault in plaats van Microsoft-Managed Keys. De verificatie moet ook controleren of de beheerde identiteit correct is geconfigureerd en of deze de juiste machtigingen heeft om toegang te krijgen tot de versleutelingssleutel in de Key Vault. Bovendien moet worden gecontroleerd of er geen toegangsproblemen zijn ontstaan die de beschikbaarheid of functionaliteit van het Storage-account kunnen beïnvloeden, waarbij moet worden geverifieerd dat applicaties die gebruik maken van het Storage-account nog steeds correct functioneren en dat er geen fouten zijn opgetreden tijdens de remediatie. Alle wijzigingen moeten worden gedocumenteerd voor auditdoeleinden, inclusief wanneer de wijziging is doorgevoerd, wie de wijziging heeft geautoriseerd, wat de reden was voor de remediatie, en wat de resultaten waren van de verificatie. Deze documentatie vormt een essentieel onderdeel van de audit trail en is nodig om aan te tonen dat de organisatie proactief heeft gehandeld om beveiligingsrisico's te mitigeren en te voldoen aan compliance-vereisten.
Compliance & Frameworks
- CIS M365: Control 3.8 (L1) - Customer-managed keys voor storage encryption
- BIO: 10.01 - Cryptografische maatregelen en sleutelbeheer
- ISO 27001:2022: A.8.24 - Cryptografie en sleutelbeheer
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Customer-Managed Keys voor Azure Storage
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 3.8
Controleert of Azure Storage accounts zijn geconfigureerd met customer-managed keys
via Azure Key Vault in plaats van Microsoft-Managed Keys.
.NOTES
Filename: customer-managed-keys.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 3.8
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Storage, Az.KeyVault
[CmdletBinding()]
param(
[Parameter()][switch]$Monitoring,
[Parameter()][string]$ResourceGroupName,
[Parameter()][string]$SubscriptionId
)
$ErrorActionPreference = 'Stop'
$PolicyName = "Customer-Managed Keys voor Azure Storage"
function Connect-RequiredServices {
if (-not (Get-AzContext)) {
Connect-AzAccount | Out-Null
}
if ($SubscriptionId) {
Set-AzContext -SubscriptionId $SubscriptionId | Out-Null
}
}
function Test-Compliance {
[CmdletBinding()]
param()
$results = @{
TotalAccounts = 0
WithCMK = 0
WithMMK = 0
ConfigurationErrors = @()
NonCompliantAccounts = @()
}
try {
if ($ResourceGroupName) {
$storageAccounts = Get-AzStorageAccount -ResourceGroupName $ResourceGroupName -ErrorAction SilentlyContinue
} else {
$storageAccounts = Get-AzStorageAccount -ErrorAction SilentlyContinue
}
$results.TotalAccounts = $storageAccounts.Count
foreach ($account in $storageAccounts) {
$accountInfo = @{
Name = $account.StorageAccountName
ResourceGroup = $account.ResourceGroupName
KeySource = $account.Encryption.KeySource
EncryptionEnabled = $account.Encryption.Services.Blob.Enabled -or $account.Encryption.Services.File.Enabled
}
if ($account.Encryption.KeySource -eq 'Microsoft.Keyvault') {
$results.WithCMK++
# Verifieer Key Vault configuratie
try {
$keyVaultUri = $account.Encryption.KeyVaultProperties.KeyVaultUri
if ($keyVaultUri) {
$keyVaultName = ($keyVaultUri -split '/')[-1]
$keyVault = Get-AzKeyVault -VaultName $keyVaultName -ErrorAction SilentlyContinue
if (-not $keyVault) {
$results.ConfigurationErrors += "Key Vault '$keyVaultName' niet gevonden voor account '$($account.StorageAccountName)'"
$results.NonCompliantAccounts += $accountInfo
} else {
# Verifieer soft delete en purge protection
if (-not $keyVault.EnableSoftDelete) {
$results.ConfigurationErrors += "Key Vault '$keyVaultName' heeft soft delete niet ingeschakeld"
}
if (-not $keyVault.EnablePurgeProtection) {
$results.ConfigurationErrors += "Key Vault '$keyVaultName' heeft purge protection niet ingeschakeld"
}
}
}
} catch {
$results.ConfigurationErrors += "Fout bij verificatie Key Vault voor account '$($account.StorageAccountName)': $($_.Exception.Message)"
}
} elseif ($account.Encryption.KeySource -eq 'Microsoft.Storage') {
$results.WithMMK++
$results.NonCompliantAccounts += $accountInfo
} else {
$results.ConfigurationErrors += "Onbekende sleutelbron voor account '$($account.StorageAccountName)': $($account.Encryption.KeySource)"
$results.NonCompliantAccounts += $accountInfo
}
}
return $results
} catch {
Write-Error "Fout bij het ophalen van Storage Accounts: $($_.Exception.Message)"
throw
}
}
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert customer-managed keys configuratie
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Implementatie van customer-managed keys vereist handmatige configuratie" -ForegroundColor Yellow
Write-Host "[INFO] Zie de documentatie voor gedetailleerde implementatie-instructies" -ForegroundColor Yellow
Write-Host ""
Write-Host "Implementatiestappen:" -ForegroundColor Cyan
Write-Host "1. Maak een Azure Key Vault aan met soft delete en purge protection" -ForegroundColor White
Write-Host "2. Maak een versleutelingssleutel aan in de Key Vault" -ForegroundColor White
Write-Host "3. Configureer een beheerde identiteit voor het Storage-account" -ForegroundColor White
Write-Host "4. Verleen de beheerde identiteit de juiste machtigingen in de Key Vault" -ForegroundColor White
Write-Host "5. Configureer het Storage-account om gebruik te maken van de customer-managed key" -ForegroundColor White
Write-Host ""
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status van customer-managed keys
#>
[CmdletBinding()]
param()
try {
Connect-RequiredServices
$results = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host ""
Write-Host "Overzicht:" -ForegroundColor Yellow
Write-Host " Totaal Storage Accounts: $($results.TotalAccounts)" -ForegroundColor White
Write-Host " Met Customer-Managed Keys (CMK): $($results.WithCMK)" -ForegroundColor $(if ($results.WithCMK -gt 0) { 'Green' } else { 'Yellow' })
Write-Host " Met Microsoft-Managed Keys (MMK): $($results.WithMMK)" -ForegroundColor $(if ($results.WithMMK -eq 0) { 'Green' } else { 'Yellow' })
Write-Host ""
if ($results.NonCompliantAccounts.Count -gt 0) {
Write-Host "Niet-compliant accounts:" -ForegroundColor Red
foreach ($account in $results.NonCompliantAccounts) {
Write-Host " - $($account.Name) (RG: $($account.ResourceGroup), KeySource: $($account.KeySource))" -ForegroundColor Red
}
Write-Host ""
}
if ($results.ConfigurationErrors.Count -gt 0) {
Write-Host "Configuratiefouten:" -ForegroundColor Red
foreach ($error in $results.ConfigurationErrors) {
Write-Host " - $error" -ForegroundColor Red
}
Write-Host ""
}
if ($results.WithMMK -eq 0 -and $results.ConfigurationErrors.Count -eq 0) {
Write-Host "Status: COMPLIANT" -ForegroundColor Green
Write-Host "Alle Storage Accounts zijn geconfigureerd met customer-managed keys." -ForegroundColor Green
} elseif ($results.WithMMK -gt 0) {
Write-Host "Status: NON-COMPLIANT" -ForegroundColor Red
Write-Host "$($results.WithMMK) Storage Account(s) gebruiken nog Microsoft-Managed Keys." -ForegroundColor Red
} else {
Write-Host "Status: WAARSCHUWING" -ForegroundColor Yellow
Write-Host "Er zijn configuratieproblemen gedetecteerd." -ForegroundColor Yellow
}
return $results
} catch {
Write-Error "Fout bij monitoring: $($_.Exception.Message)"
exit 1
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Deze functie biedt richtlijnen voor het configureren van customer-managed keys.
Automatische remediatie is niet mogelijk vanwege de complexiteit en risico's.
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Automatische remediatie is niet beschikbaar voor customer-managed keys" -ForegroundColor Yellow
Write-Host "[INFO] Configuratie vereist handmatige stappen en zorgvuldige planning" -ForegroundColor Yellow
Write-Host ""
Write-Host "Remediatiestappen:" -ForegroundColor Cyan
Write-Host ""
Write-Host "1. Voorbereiding:" -ForegroundColor Yellow
Write-Host " - Identificeer Storage Accounts die moeten worden gemigreerd" -ForegroundColor White
Write-Host " - Plan migratie tijdens perioden met lage werkbelasting" -ForegroundColor White
Write-Host " - Informeer stakeholders over mogelijke prestatie-impact" -ForegroundColor White
Write-Host ""
Write-Host "2. Key Vault configuratie:" -ForegroundColor Yellow
Write-Host " - Maak een Azure Key Vault aan (of gebruik bestaande)" -ForegroundColor White
Write-Host " - Schakel soft delete in: Set-AzKeyVault -VaultName <name> -EnableSoftDelete" -ForegroundColor White
Write-Host " - Schakel purge protection in: Set-AzKeyVault -VaultName <name> -EnablePurgeProtection" -ForegroundColor White
Write-Host " - Maak een versleutelingssleutel aan: Add-AzKeyVaultKey" -ForegroundColor White
Write-Host ""
Write-Host "3. Storage Account configuratie:" -ForegroundColor Yellow
Write-Host " - Configureer beheerde identiteit: Set-AzStorageAccount -AssignIdentity" -ForegroundColor White
Write-Host " - Verleen machtigingen aan beheerde identiteit in Key Vault" -ForegroundColor White
Write-Host " - Configureer customer-managed key: Set-AzStorageAccount -KeyvaultEncryption" -ForegroundColor White
Write-Host ""
Write-Host "4. Verificatie:" -ForegroundColor Yellow
Write-Host " - Voer monitoring uit om te verifiëren dat configuratie correct is" -ForegroundColor White
Write-Host " - Controleer of alle gegevens correct zijn herversleuteld" -ForegroundColor White
Write-Host ""
Write-Host "[INFO] Zie de documentatie voor gedetailleerde PowerShell-voorbeelden" -ForegroundColor Cyan
Write-Host ""
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
# Main execution
try {
Connect-RequiredServices
if ($Monitoring) {
Invoke-Monitoring
} else {
$results = Test-Compliance
Write-Host "`nCustomer-Managed Keys Status:" -ForegroundColor Cyan
Write-Host " CMK: $($results.WithCMK)/$($results.TotalAccounts) accounts" -ForegroundColor $(if ($results.WithCMK -eq $results.TotalAccounts) { 'Green' } else { 'Yellow' })
Write-Host " MMK: $($results.WithMMK)/$($results.TotalAccounts) accounts" -ForegroundColor $(if ($results.WithMMK -eq 0) { 'Green' } else { 'Yellow' })
if ($results.NonCompliantAccounts.Count -gt 0) {
Write-Host "`nNiet-compliant accounts gevonden. Gebruik -Monitoring voor details." -ForegroundColor Yellow
}
}
} catch {
Write-Error "Fout: $($_.Exception.Message)"
exit 1
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Microsoft-Managed Keys zijn adequaat voor de meeste workloads en bieden voldoende beveiliging voor de overgrote meerderheid van organisaties. Customer-managed keys zijn vooral belangrijk voor organisaties met specifieke vereisten op het gebied van gegevenssoevereiniteit, regelgevingsnaleving, of interne beveiligingsbeleidsregels die volledige controle over cryptografische sleutels vereisen. Het risico van het niet gebruiken van customer-managed keys is laag wanneer Microsoft-Managed Keys voldoen aan de organisatorische vereisten, maar kan significant zijn voor organisaties die moeten voldoen aan strikte compliance-vereisten die volledige controle over cryptografische sleutels vereisen.
Management Samenvatting
Customer-managed keys voor Azure Storage bieden organisaties volledige controle over versleutelingssleutels via Azure Key Vault, inclusief de mogelijkheid tot rotatie, back-up en intrekking. De implementatie vereist een Azure Key Vault met soft delete en purge protection, een beheerde identiteit voor het Storage-account, en de juiste machtigingen voor toegang tot de versleutelingssleutel. De implementatie duurt ongeveer 4 tot 7 uur en vereist zowel technische als organisatorische voorbereiding. Deze controle is optioneel - Microsoft-Managed Keys zijn voldoende voor de meeste workloads, maar customer-managed keys zijn essentieel voor organisaties met specifieke compliance- of gegevenssoevereiniteitsvereisten.
- Implementatietijd: 7 uur
- FTE required: 0.1 FTE