Storage
Toegangssleutels Periodiek Geregenereerd
Deze beveiligingscontrole waarborgt de correcte configuratie van toegangssleutels voor Azure Storage-accounts en beschermt tegen beveiligingsrisico's door periodieke rotatie van authenticatie-referenties.
Azure Files Soft Delete
Azure Files Soft Delete vormt een kritieke beveiligingsmaatregel die organisaties beschermt tegen permanent gegevensverlies bij onbedoelde verwijdering van bestandsshares. Deze beveiligingsregeling waarborgt de correcte configuratie van soft delete functionaliteit en beschermt tegen beveiligingsrisico's die voortvloeien uit het permanent verlies van belangrijke bestanden en documenten.
Azure Storage: Anonieme Toegang Tot Blob Containers Uitschakelen
Het uitschakelen van anonieme toegang tot Azure Blob Storage-containers voorkomt dat gevoelige gegevens publiek toegankelijk worden via internet zonder authenticatie. Deze maatregel is essentieel voor het voorkomen van datalekken door verkeerd geconfigureerde publieke containers die een veelvoorkomende oorzaak zijn van grote datalekken.
Blob Soft Delete Ingeschakeld
Deze beveiligingsregel waarborgt de correcte configuratie van blob soft delete en beschermt tegen permanente gegevensverliesrisico's.
Blob Versioning Ingeschakeld
Blob versioning is een essentiële beveiligingsmaatregel die automatisch historische versies van alle blob-objecten in Azure Storage bewaart. Deze functionaliteit waarborgt dat organisaties altijd toegang hebben tot eerdere versies van hun gegevens, zelfs nadat deze zijn overschreven, gewijzigd of per ongeluk verwijderd. Voor Nederlandse overheidsorganisaties die werken met gevoelige informatie en strikte compliance-eisen, biedt blob versioning een kritieke laag van gegevensbescherming en herstelbaarheid.
Container Soft Delete
Deze beveiligingsregel waarborgt de correcte configuratie van container soft delete en beschermt tegen onherstelbaar gegevensverlies bij accidentele verwijdering.
Cross-Tenant Replicatie Uitgeschakeld
Deze beveiligingscontrole waarborgt de correcte configuratie van Azure Storage-accounts en beschermt tegen ongeautoriseerde gegevensreplicatie tussen verschillende Azure AD-tenants. Het vormt een fundamentele verdedigingslaag in de beveiligingsarchitectuur van cloudgebaseerde opslagoplossingen en is essentieel voor het handhaven van gegevenssoevereiniteit en compliance met Nederlandse en internationale beveiligingsnormen.
Opslag Customer-Managed Keys
Deze beveiligingsregel waarborgt de correcte configuratie van customer-managed keys voor Azure Storage en beschermt tegen beveiligingsrisico's door volledige controle over versleutelingssleutels.
Azure Storage: Customer-Managed Keys Voor Versleuteling
Customer-Managed Keys (CMK) voor Azure Storage biedt organisaties volledige controle over de versleutelingssleutels die worden gebruikt om gegevens in Azure Storage Accounts te beschermen. In tegenstelling tot Microsoft-Managed Keys, waarbij Microsoft de volledige verantwoordelijkheid heeft voor het beheer, de rotatie en de back-up van versleutelingssleutels, stellen customer-managed keys organisaties in staat om deze sleutels zelf te beheren via Azure Key Vault. Deze aanpak is essentieel voor organisaties die moeten voldoen aan strikte compliance-vereisten, gegevenssoevereiniteitsvereisten, of organisatorische beleidsregels die volledige controle over cryptografische sleutels vereisen. Door gebruik te maken van customer-managed keys kunnen organisaties niet alleen bepalen wanneer en hoe sleutels worden geroteerd, maar ook wie toegang heeft tot deze sleutels, waar de sleutels fysiek worden opgeslagen, en hoe de sleutels worden beveiligd tegen ongeautoriseerde toegang.
Opslag Standaard Netwerkregel Weigeren
Deze beveiligingsregel waarborgt de correcte configuratie van Azure Storage-netwerkbeveiliging en beschermt tegen onbevoegde toegang door het standaard weigeren van alle netwerkverkeer, tenzij expliciet toegestaan.
Verwijderingsvergrendelingen Op Opslagaccounts
Verwijderingsvergrendelingen op Azure opslagaccounts vormen een essentiële beveiligingsmaatregel om onbedoelde verwijdering van kritieke opslagresources te voorkomen.
Azure Storage: Versleuteling Bij Rust Met Customer-Managed Keys
Versleuteling bij rust met customer-managed keys (CMK) biedt organisaties volledige controle over de versleutelingssleutels die worden gebruikt om gegevens in Azure Storage Accounts te beschermen. Deze geavanceerde beveiligingsmaatregel stelt organisaties in staat om versleutelingssleutels zelf te beheren via Azure Key Vault, wat essentieel is voor organisaties die moeten voldoen aan strikte compliance-vereisten, gegevenssoevereiniteitsvereisten, of organisatorische beleidsregels die volledige controle over cryptografische sleutels vereisen.
Entra ID-authenticatie Als Standaard
Deze beveiligingscontrole waarborgt de correcte configuratie van authenticatiemethoden voor Azure Storage en beschermt tegen beveiligingsrisico's die ontstaan door het gebruik van gedeelde toegangssleutels.
Azure Storage Account: Geo-Redundante Opslag Configuratie Verificatie
Deze beveiligingscontrole verifieert dat Azure Storage Accounts correct zijn geconfigureerd met geo-redundante opslag (GRS) of geo-zone-redundante opslag (GZRS) voor productieomgevingen. Deze verificatieprocedure waarborgt dat organisaties voldoen aan compliance-vereisten voor rampherstel en bedrijfscontinuïteit, en beschermt tegen volledig gegevensverlies bij regionale uitval, natuurrampen of grootschalige datacenterstoringen.
Azure Storage: Geo-Redundante Opslag Voor Bedrijfscontinuïteit
Geo-redundante opslag is een fundamentele beveiligingsmaatregel die Azure Storage-accounts beschermt tegen regionale uitval, natuurrampen en grootschalige storingen door gegevens automatisch te repliceren naar een secundaire regio op honderden kilometers afstand. Voor Nederlandse overheidsorganisaties is geo-redundantie niet alleen een technische best practice, maar ook een compliance-vereiste die essentieel is voor het waarborgen van bedrijfscontinuïteit en het voldoen aan normen zoals de Baseline Informatiebeveiliging Overheid (BIO) en ISO 27001:2022.
Onveranderlijke Blob-opslag
Onveranderlijke blob-opslag is een kritieke beveiligingsmaatregel die Azure Storage blobs beschermt tegen wijziging, verwijdering en ransomware-aanvallen door het implementeren van het WORM-principe (Write Once Read Many). Deze functionaliteit waarborgt dat kritieke gegevens zoals backups, audit logs en compliance-documenten volledig beschermd zijn tegen onbevoegde wijzigingen, zelfs door beheerders met de hoogste rechten. Voor Nederlandse overheidsorganisaties die werken met gevoelige informatie en strikte compliance-eisen, biedt onveranderlijke blob-opslag een essentiële laag van gegevensbescherming die voldoet aan regelgevingsvereisten zoals SEC 17a-4, FINRA en BIO-normen.
Onveranderlijke Opslagconfiguratie
Onveranderlijke opslagconfiguratie vormt de technische basis voor het implementeren van WORM-principes (Write Once Read Many) in Azure Storage omgevingen. Deze configuratie waarborgt dat kritieke gegevens zoals backups, audit logs en compliance-documenten volledig beschermd zijn tegen wijziging, verwijdering en ransomware-aanvallen gedurende een vooraf bepaalde periode. Voor Nederlandse overheidsorganisaties die moeten voldoen aan strikte compliance-vereisten zoals BIO-normen, ISO 27001 en sector-specifieke regelgeving, is een correcte configuratie van onveranderlijke opslag essentieel voor het handhaven van gegevensintegriteit en het voldoen aan archiveringsvereisten.
Onveranderlijke Opslag Ingeschakeld
Onveranderlijke opslag (immutable storage) is een kritieke beveiligingsfunctie voor Azure Storage die bescherming biedt tegen onbevoegde wijzigingen, verwijderingen en ransomware-aanvallen door het implementeren van het WORM-principe (Write Once Read Many). Deze beveiligingscontrole waarborgt dat de onveranderlijke opslagfunctionaliteit daadwerkelijk is ingeschakeld en beschikbaar is op Azure Storage-accounts, wat essentieel is voor het beschermen van kritieke gegevens zoals backups, audit logs, compliance-documenten en financiële records tegen zowel externe aanvallen als onbevoegde interne wijzigingen.
Onveranderlijke Opslagbeleidsregels
Onveranderlijke opslagbeleidsregels vormen een kritieke beveiligingsmaatregel voor Azure Storage containers die bescherming biedt tegen onbevoegde wijzigingen, verwijderingen en ransomware-aanvallen. Deze beveiligingscontrole waarborgt de correcte configuratie van onveranderlijke opslag en beschermt organisaties tegen ernstige beveiligingsrisico's die kunnen ontstaan wanneer kritieke gegevens zoals backups, audit logs en compliance-documenten kunnen worden gewijzigd of verwijderd.
Infrastructure-versleuteling Voor Opslag
Infrastructure-versleuteling voor Azure Storage biedt een extra beveiligingslaag door gegevens te versleutelen op zowel het platformniveau als het infrastructuurniveau. Deze beveiligingsmaatregel is essentieel voor het waarborgen van een veilige cloudomgeving en beschermt tegen ongeautoriseerde toegang en datalekken, met name voor workloads die gevoelige of geclassificeerde informatie bevatten.
Opslag Sleutelrotatie Herinneringen
Sleutelrotatie vormt een fundamenteel onderdeel van cryptografische beveiliging in cloudomgevingen. Deze beveiligingsmaatregel waarborgt dat organisaties proactief worden herinnerd aan het periodiek verversen van opslagaccount sleutels, waardoor de beveiligingspostuur wordt versterkt en potentiële aanvalsvectoren worden gemitigeerd.
Azure Storage Lifecycle Management Policies
Azure Storage Lifecycle Management Policies bieden een geautomatiseerde manier om de kosten van opslag te optimaliseren en te voldoen aan compliance-vereisten door automatisch gegevens te verplaatsen tussen opslaglagen of te verwijderen op basis van vooraf gedefinieerde regels. Deze functionaliteit is essentieel voor Nederlandse overheidsorganisaties die grote hoeveelheden gegevens beheren en moeten voldoen aan strikte bewaartermijnen zoals de Archiefwet (7 jaar) en AVG-vereisten voor dataminimalisatie.
Minimum TLS Versie 1.2 Voor Azure Opslagaccounts
Het afdwingen van TLS 1.2 als minimum protocolversie voor Azure opslagaccounts blokkeert verouderde en kwetsbare TLS 1.0 en TLS 1.1-protocollen, waardoor versleuteling in transit wordt versterkt en bekende cryptografische kwetsbaarheden worden gemitigeerd.
Privé Eindpunten Voor Opslagaccounts
Privé eindpunten voor Azure opslagaccounts zorgen voor geïsoleerde netwerkconnectiviteit en elimineren blootstelling aan het publieke internet.
Public Blob Access Volledig Uitgeschakeld Op Opslagaccount Niveau
Het structureel uitschakelen van openbare blobtoegang op het niveau van het opslagaccount vormt een harde veiligheidsbarriere die menselijke fouten absorbeert voordat data zichtbaar wordt op internet. Wanneer de instelling AllowBlobPublicAccess permanent op false staat, kan geen enkele ontwikkelaar, beheerder of geautomatiseerd proces per ongeluk een container delen met anonieme gebruikers. De maatregel werkt onafhankelijk van containerinstellingen en forceert elke lees- of schrijfbewerking via geauthenticeerde kanalen zoals Azure AD, SAS of gedeelde sleutels. Dit voorkomt dat backups, logbestanden, broncode of persoonsdossiers die tijdelijk in een werkmap staan, uitgroeien tot een nieuw datalek. Voor organisaties in de publieke sector, waar gevoeligheid en wettelijke verplichtingen samenkomen, betekent dit dat elk opslagaccount standaard het principe "privaat tenzij expliciet gepubliceerd via een gecontroleerd platform" volgt. Naast het afschermen van gegevens creeert de instelling duidelijkheid: securityteams hoeven niet langer duizenden containers na te lopen op zoek naar uitzonderingen, maar bewaken slechts een eigenschap per account. Dat reduceert beheerkosten, verkleint de kans op menselijke vergissingen en legt een aantoonbaar bewijs vast richting auditors en toezichthouders.
Openbare Netwerktoegang Uitgeschakeld
Openbare netwerktoegang moet worden uitgeschakeld voor Azure Storage-accounts om de beveiliging te maximaliseren en te voldoen aan moderne beveiligingsstandaarden en compliance-vereisten. Toegang dient uitsluitend plaats te vinden via privé-eindpunten binnen een virtueel netwerk, wat een fundamentele component vormt van een effectieve Zero Trust-beveiligingsarchitectuur.
Azure Storage Account: ReadOnly Resource Locks Overwegen Voor Archival Storage
ReadOnly Resource Locks voor Azure Storage Accounts bieden extra bescherming tegen ongeautoriseerde of accidentele wijzigingen en verwijderingen van archiefopslag. Deze vergrendelingen zijn optioneel en alleen relevant voor statische opslagaccounts die uitsluitend worden gebruikt voor langetermijngegevensretentie zonder frequente wijzigingen.
Opslag Geo-Redundancy
Deze beveiligingscontrole waarborgt de correcte configuratie van geo-redundante opslag en beschermt tegen beveiligingsrisico's en gegevensverlies bij regionale uitval.
SAS Tokens Beperkt
Deze beveiligingscontrole waarborgt de correcte configuratie van Shared Access Signature (SAS) tokens en beschermt Azure Storage accounts tegen onbevoegde toegang en gegevenslekken.
Veilige Overdracht Ingeschakeld
Deze beveiligingsmaatregel is essentieel voor het waarborgen van een veilige cloudomgeving en beschermt tegen ongeautoriseerde toegang en datalekken.
Veilige Overdracht Vereist Voor Azure Opslagaccounts
Veilige overdracht vereist dwingt HTTPS/TLS-versleuteling af voor alle communicatie met Azure opslagaccounts, waardoor gegevens tijdens transport worden beschermd tegen onderschepping en man-in-the-middle (MITM) aanvallen.
SMB Channel Versleuteling AES-256
Deze beveiligingsregel is essentieel voor het waarborgen van een veilige cloudomgeving en beschermt tegen ongeautoriseerde toegang en datalekken.
SMB Protocol Versie 3.1.1
Deze beveiligingscontrole waarborgt de correcte configuratie van het SMB-protocol en beschermt Azure Files-opslag tegen bekende beveiligingsrisico's door het afdwingen van de nieuwste protocolversie met verplichte versleuteling.
Opslagaccount Shared Key Access Uitgeschakeld
Schakel gedeelde sleutelauthenticatie uit en dwing Entra ID-authenticatie af voor alle toegang tot Azure Storage-accounts.
Opslag Versleuteling Bij Rest
Deze beveiligingsmaatregel waarborgt de correcte configuratie van versleuteling bij rust en beschermt tegen beveiligingsrisico's.
Azure Storage Account: Storage Service Encryption Verifiëren
Azure Storage Service Encryption vormt de fundamentele beveiligingslaag voor alle gegevens die worden opgeslagen in Azure Storage Accounts. Deze versleutelingstechnologie versleutelt automatisch alle gegevens in rust, ongeacht of het gaat om blob-opslag voor ongestructureerde gegevens, file storage voor gedeelde bestandssystemen, table storage voor NoSQL-gegevens, of queue storage voor berichtenwachtrijen. Sinds 2017 is deze versleuteling verplicht ingeschakeld op alle Azure Storage Accounts en kan niet worden uitgeschakeld, wat organisaties automatisch beschermt tegen diefstal van fysieke media en onbevoegde toegang op opslagniveau zonder dat er aanvullende configuratie-inspanning nodig is.
Opslagfirewall Geconfigureerd
Azure Storage-accounts moeten worden beveiligd met een firewall die standaard alle toegang weigert, tenzij deze expliciet is toegestaan via virtuele netwerken of specifieke IP-adresbereiken.
Opslag Logging Ingeschakeld
Deze beveiligingsmaatregel waarborgt de correcte configuratie van diagnostische logging voor Azure Storage en beschermt organisaties tegen beveiligingsrisico's door volledige audit trails te creëren.
Azure Storage Account: Private Endpoints Configureren Voor Netwerkisolatie
Private Endpoints voor Azure Storage Accounts brengen blob, file, table en queue storage volledig binnen een Azure Virtual Network met privé IP-adressen, waardoor publieke internet blootstelling wordt geëlimineerd. Deze netwerkisolatie is essentieel voor opslagaccounts met gevoelige gegevens en voldoet aan Zero Trust-principes en NIS2 netwerksegmentatie-vereisten.
Opslag TLS Minimum Versie 1.2
Transport Layer Security (TLS) versleuteling vormt de basis voor veilige communicatie tussen clients en Azure Storage accounts. Het afdwingen van een minimum TLS-versie waarborgt dat alleen moderne, veilige verbindingsprotocollen worden gebruikt en beschermt organisaties tegen bekende kwetsbaarheden in verouderde TLS-implementaties.
Azure Storage Account: Trusted Microsoft Services Toegang Toestaan
Het toestaan van Trusted Microsoft Services in Azure Storage Account firewall-exceptions zorgt ervoor dat essentiële Azure platform-services zoals Azure Backup, Azure Site Recovery, Log Analytics en Azure Monitor toegang behouden tot het storage account, zelfs wanneer network access is beperkt tot specifieke VNets of IP-adressen. Deze configuratie balanceert strikte netwerkbeveiliging met operationele noodzaak.