💼 Management Samenvatting
Deze beveiligingsregel is essentieel voor het waarborgen van een veilige cloudomgeving en beschermt tegen ongeautoriseerde toegang en datalekken.
Aanbeveling
OPTIONEEL - AES-128 VOLDOENDE
Risico zonder
Low
Risk Score
4/10
Implementatie
0.5u (tech: 0.5u)
Van toepassing op:
✓ Azure
Zonder deze beveiligingsmaatregel kunnen er significante beveiligingsrisico's ontstaan die leiden tot gegevenscompromittering, nalevingsovertredingen en reputatieschade voor de organisatie.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.opslag
Connection:
Connect-AzAccountRequired Modules: Az.opslag
Implementatie
Deze regel implementeert beveiligingsbest practices via Azure Policy, ARM-templates of Microsoft Intune om cloudresources en eindpunten te beschermen volgens actuele nalevingskaders.
Vereisten
De implementatie van SMB Channel-versleuteling met AES-256 vereist een grondige voorbereiding en begrip van de technische en organisatorische vereisten die nodig zijn om deze beveiligingsmaatregel succesvol te implementeren. Organisaties die overwegen om AES-256-versleuteling te activeren voor hun Azure Files-implementaties moeten beginnen met het evalueren van hun huidige infrastructuur en het identificeren van eventuele beperkingen of aanpassingen die nodig zijn voordat de implementatie kan worden gestart. De primaire technische vereiste betreft het gebruik van Azure Files, de volledig beheerde bestandsservice van Microsoft Azure die naadloos integreert met de bredere Azure-cloudomgeving en organisaties in staat stelt om bestandsshares te creëren die toegankelijk zijn via het Server Message Block-protocol. Het SMB-protocol heeft een lange geschiedenis als de standaard voor bestandsdeling in Windows-omgevingen en heeft zich ontwikkeld tot een robuuste oplossing voor cloudgebaseerde bestandsdeling die ondersteuning biedt voor geavanceerde beveiligingsfuncties zoals end-to-end versleuteling. Organisaties moeten beschikken over een actief Azure-abonnement met de juiste toegangsrechten en machtigingen om opslagaccounts te beheren, te configureren en te wijzigen. Deze toegangsrechten omvatten typisch de rol van Storage Account Contributor of een vergelijkbare rol die voldoende machtigingen verleent om beveiligingsinstellingen te wijzigen. Naast de basisvereisten voor Azure-abonnementen en toegangsrechten, moeten organisaties beschikken over de benodigde technische expertise binnen hun IT-afdeling om versleutelingsinstellingen te begrijpen, te configureren en te onderhouden. Deze expertise moet omvatten een grondig begrip van cryptografische concepten, de verschillen tussen verschillende versleutelingsalgoritmen zoals AES-128-GCM en AES-256-GCM, en de praktische implicaties van het kiezen voor een specifiek versleutelingsniveau. De implementatie zelf vereist toegang tot de Azure Portal voor beheerders die de voorkeur geven aan een grafische gebruikersinterface, of de mogelijkheid om Azure Resource Manager-templates te gebruiken of PowerShell-scripts uit te voeren voor organisaties die geautomatiseerde configuratie prefereren. Het is cruciaal voor organisaties om te begrijpen dat niet alle Azure Files-implementaties automatisch ondersteuning bieden voor AES-256-versleuteling, en dat sommige bestaande opslagaccounts mogelijk moeten worden geüpgraded of dat nieuwe accounts moeten worden aangemaakt met de juiste configuratie vanaf het begin. Deze situatie doet zich vaak voor bij organisaties die Azure Files hebben geïmplementeerd voordat AES-256-versleuteling beschikbaar was, of bij accounts die zijn geconfigureerd met standaardinstellingen die niet de hoogste versleutelingsniveaus activeren. De compatibiliteit van clienttoepassingen vormt een andere kritieke overweging die organisaties moeten evalueren voordat zij AES-256-versleuteling activeren. Niet alle SMB-clients bieden automatisch ondersteuning voor de nieuwste versleutelingsstandaarden, wat betekent dat organisaties moeten verifiëren of hun Windows-clients, Linux-systemen, macOS-apparaten of andere platforms die toegang hebben tot Azure Files, compatibel zijn met AES-256-versleuteling. Deze verificatie is essentieel om te voorkomen dat gebruikers onverwacht geen toegang meer hebben tot hun bestandsshares na het activeren van de versleuteling. Moderne Windows-versies, zoals Windows 10 versie 1709 en later en Windows Server 2016 en later, bieden native ondersteuning voor SMB 3.0 en hoger met versleuteling, maar oudere versies kunnen mogelijk niet verbinden met versleutelde shares. Linux-systemen die gebruikmaken van de SMB-client moeten beschikken over recente versies van de SMB-protocolimplementatie die ondersteuning bieden voor de vereiste versleutelingsstandaarden. De netwerkinfrastructuur moet ook geschikt zijn voor het verwerken van versleutelde SMB-verbindingen zonder prestatieproblemen of blokkeringen. Dit betekent dat firewalls, netwerkapparaten, load balancers en andere netwerkcomponenten de versleutelde verkeersstromen moeten kunnen verwerken en doorlaten zonder deze te blokkeren, te degraderen of te inspecteren op een manier die de versleuteling compromitteert. Organisaties moeten hun netwerkconfiguraties controleren om te verzekeren dat poorten en protocollen die worden gebruikt voor versleutelde SMB-verbindingen correct zijn geconfigureerd en niet worden geblokkeerd door beveiligingsbeleid of netwerkregels. Monitoring- en auditingtools vormen een essentieel onderdeel van de vereisten voor een succesvolle implementatie, omdat organisaties moeten kunnen verifiëren dat de versleuteling daadwerkelijk actief is en correct functioneert na de implementatie. Deze tools zijn niet alleen belangrijk voor technische verificatie, maar ook voor nalevingsdoeleinden en beveiligingsaudits waarbij organisaties moeten kunnen aantonen dat zij adequate beveiligingsmaatregelen hebben geïmplementeerd. Azure Monitor, Azure Security Center en andere monitoringoplossingen kunnen worden gebruikt om de status van versleutelingsinstellingen te volgen en waarschuwingen te genereren wanneer configuratiewijzigingen worden gedetecteerd die mogelijk de beveiliging compromitteren.
Monitoring
Gebruik PowerShell-script smb-channel-encryption-aes256.ps1 (functie Invoke-Monitoring) – Controleren.
Het monitoren van SMB Channel-versleuteling vormt een fundamenteel onderdeel van een effectief beveiligingsprogramma voor organisaties die Azure Files gebruiken voor hun bestandsopslagbehoeften. Monitoring is niet alleen een technische controle, maar een continue activiteit die organisaties in staat stelt om te verzekeren dat hun cloudinfrastructuur voldoet aan beveiligingsstandaarden, compliance-vereisten en interne beveiligingsbeleidsregels. Het belang van monitoring wordt nog versterkt door het feit dat beveiligingsconfiguraties kunnen veranderen door menselijke fouten, geautomatiseerde processen, of externe factoren, waardoor continue bewaking essentieel is om de beveiligingsintegriteit te waarborgen. Een effectief monitoringprogramma voor SMB Channel-versleuteling omvat meerdere lagen van verificatie en controle, beginnend met het regelmatig controleren van de versleutelingsinstellingen voor alle opslagaccounts binnen de organisatie. Deze controle moet specifiek gericht zijn op de configuratie van SMB-beveiligingsinstellingen, het actieve versleutelingsniveau dat wordt gebruikt, en de consistentie van deze instellingen over verschillende opslagaccounts en Azure-abonnementen. Organisaties moeten een gestructureerde en systematische aanpak hanteren waarbij zij periodiek, bijvoorbeeld maandelijks of kwartaal, alle Azure Files-implementaties auditen om te verifiëren dat de versleuteling correct is geconfigureerd en actief blijft. Deze periodieke audits moeten worden aangevuld met continue monitoring die real-time inzicht biedt in de beveiligingsstatus en onmiddellijk waarschuwt wanneer afwijkingen worden gedetecteerd. Het monitoringproces begint met het volledig inventariseren van alle opslagaccounts die Azure Files gebruiken binnen de organisatie, wat een uitdaging kan zijn voor grote organisaties met meerdere Azure-abonnementen, resourcegroepen en geografische locaties. Deze inventarisatie kan worden uitgevoerd via verschillende methoden, waaronder de Azure Portal voor kleine omgevingen, Azure Resource Graph-queries voor complexere omgevingen met meerdere abonnementen, of geautomatiseerde PowerShell-scripts die kunnen worden geïntegreerd in bestaande monitoring- en configuratiebeheerprocessen. Azure Resource Graph biedt krachtige querymogelijkheden die organisaties in staat stellen om snel alle relevante resources te identificeren en te filteren op basis van specifieke criteria, zoals resourcegroep, locatie, of tags. Na het inventariseren van alle relevante opslagaccounts moeten organisaties voor elk account verifiëren welke SMB-versleutelingsinstellingen actief zijn, waarbij zij specifiek controleren of AES-256-GCM is geactiveerd voor accounts die dit vereisen volgens hun beveiligingsbeleid en compliance-vereisten. Deze verificatie moet niet alleen de huidige configuratie controleren, maar ook de historische configuratie analyseren om trends te identificeren en te begrijpen of er patronen zijn in configuratiewijzigingen die mogelijk wijzen op systematische problemen of beveiligingsrisico's. Het is belangrijk te begrijpen dat monitoring niet alleen gaat om het controleren van de statische configuratie, maar ook om het verifiëren dat de versleuteling daadwerkelijk wordt toegepast tijdens actieve SMB-sessies en dat alle verbindingen naar de bestandsshares gebruikmaken van de vereiste versleutelingsstandaarden. Dit betekent dat organisaties moeten beschikken over logging- en monitoringtools die inzicht geven in het versleutelde verkeer, kunnen detecteren wanneer verbindingen worden gemaakt zonder de vereiste versleuteling, en kunnen identificeren welke clients of applicaties mogelijk niet compatibel zijn met de versleutelingsvereisten. Azure Monitor biedt uitgebreide loggingmogelijkheden die organisaties in staat stellen om SMB-verbindingen te volgen en te analyseren, terwijl Azure Security Center geavanceerde beveiligingsanalyses kan uitvoeren om afwijkingen en potentiële beveiligingsproblemen te detecteren. Deze tools kunnen worden geconfigureerd om automatisch waarschuwingen te genereren wanneer opslagaccounts worden gedetecteerd die niet voldoen aan de versleutelingsvereisten, wat organisaties in staat stelt om proactief te reageren op configuratiewijzigingen, nieuwe implementaties, of andere gebeurtenissen die mogelijk de beveiliging compromitteren. De waarschuwingsconfiguratie moet worden afgestemd op de specifieke behoeften en risicotolerantie van de organisatie, waarbij kritieke accounts mogelijk real-time monitoring vereisen terwijl minder kritieke accounts kunnen worden gecontroleerd met een lagere frequentie. Naast het monitoren van de huidige configuratie moeten organisaties ook regelmatig controleren of er wijzigingen zijn aangebracht in de versleutelingsinstellingen, wat kan worden gedaan door Azure Activity Logs te analyseren op wijzigingen aan opslagaccountconfiguraties. Deze loganalyse helpt organisaties om te begrijpen wie wijzigingen heeft aangebracht, wanneer deze wijzigingen hebben plaatsgevonden, en wat de reden was voor de wijziging, wat essentieel is voor beveiligingsaudits en compliance-verificatie. Activity Logs kunnen ook worden gebruikt om patronen te identificeren die mogelijk wijzen op onbevoegde toegang, configuratiefouten, of andere beveiligingsproblemen die verder onderzoek vereisen. Het is essentieel dat monitoringresultaten worden gedocumenteerd in een gestructureerd formaat dat geschikt is voor rapportage en analyse, en dat deze resultaten regelmatig worden gerapporteerd aan relevante stakeholders, waaronder beveiligingsteams, compliance officers, IT-beheerders, en bestuurders die verantwoordelijk zijn voor het beveiligingsprogramma van de organisatie. Deze rapportage moet niet alleen de huidige status weergeven, maar ook trends, afwijkingen, en aanbevelingen voor verbetering bevatten die kunnen helpen bij het continu verbeteren van de beveiligingspostuur. Organisaties moeten ook beschikken over een duidelijk gedefinieerd proces voor het escaleren van bevindingen wanneer opslagaccounts worden gedetecteerd die niet voldoen aan de vereisten, met duidelijke procedures voor het herstellen van de juiste configuratie binnen een acceptabele tijdsperiode die is afgestemd op de risicoclassificatie van het betrokken account. Dit escalatieproces moet worden geïntegreerd met bestaande incident response procedures en moet duidelijk definiëren wie verantwoordelijk is voor het uitvoeren van remediatie, welke goedkeuringen nodig zijn voor wijzigingen, en hoe de effectiviteit van de remediatie wordt geverifieerd.
Remediatie
Gebruik PowerShell-script smb-channel-encryption-aes256.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer monitoring en auditingprocessen aangeven dat een opslagaccount niet is geconfigureerd met de vereiste SMB Channel-versleuteling, moeten organisaties onmiddellijk een gestructureerd en gedocumenteerd remediatieproces in gang zetten om de beveiligingsconfiguratie te herstellen en te verzekeren dat alle bestandsshares voldoen aan de beveiligingsstandaarden en compliance-vereisten. Remediatie is niet alleen een technische activiteit, maar een proces dat zorgvuldige planning, uitvoering en verificatie vereist om te garanderen dat de beveiligingsconfiguratie correct wordt hersteld zonder onbedoelde gevolgen voor de beschikbaarheid of functionaliteit van de bestandsshares. Het remediatieproces begint met het nauwkeurig identificeren van het specifieke opslagaccount dat niet voldoet aan de vereisten, waarbij organisaties moeten verifiëren dat zij het juiste account hebben geïdentificeerd en dat alle relevante informatie over het account is verzameld, zoals de resourcegroep, het abonnement, de geografische locatie, en eventuele tags of labels die kunnen helpen bij het categoriseren en prioriteren van de remediatie. Na de identificatie volgt een grondige beoordeling van de huidige configuratie om te begrijpen waarom de versleuteling niet actief is en welke factoren hebben bijgedragen aan deze situatie. Deze beoordeling is essentieel omdat het helpt om te begrijpen of de remediatie een eenmalige correctie is of dat er onderliggende problemen zijn die moeten worden aangepakt om te voorkomen dat de situatie zich opnieuw voordoet. De oorzaken van ontbrekende versleuteling kunnen variëren van eenvoudige configuratiefouten tijdens de initiële setup tot complexere scenario's waarbij wijzigingen onbedoeld de versleuteling hebben uitgeschakeld, of waarbij verouderde implementaties nog niet zijn bijgewerkt naar de nieuwste beveiligingsstandaarden. In sommige gevallen kan de ontbrekende versleuteling het gevolg zijn van geautomatiseerde processen, scripts, of configuratiebeheer tools die de versleutelingsinstellingen hebben overschreven zonder dat dit werd opgemerkt. Het identificeren van de oorzaak helpt organisaties niet alleen bij het uitvoeren van de huidige remediatie, maar ook bij het verbeteren van hun processen en procedures om toekomstige problemen te voorkomen. De daadwerkelijke remediatie kan worden uitgevoerd via verschillende methoden, waarbij de keuze afhankelijk is van de voorkeuren van de organisatie, de schaal van de remediatie, en de beschikbare tools en expertise. De Azure Portal biedt de meest gebruiksvriendelijke optie voor beheerders die de voorkeur geven aan een grafische interface en die een beperkt aantal accounts moeten bijwerken. In de Azure Portal navigeren beheerders naar het specifieke opslagaccount, selecteren de sectie voor bestandsshares, en openen de SMB-beveiligingsinstellingen waar zij de versleutelingsoptie kunnen activeren en het gewenste versleutelingsniveau kunnen selecteren, waarbij AES-256-GCM de sterkste optie is voor organisaties die de hoogste beveiligingsstandaarden vereisen. Voor organisaties die de voorkeur geven aan geautomatiseerde configuratie, die meerdere opslagaccounts tegelijk moeten bijwerken, of die remediatie willen integreren in bestaande configuratiebeheer- of DevOps-processen, bieden Azure Resource Manager-templates en PowerShell-scripts een efficiënte en schaalbare oplossing. Deze geautomatiseerde methoden maken het mogelijk om remediatie uit te voeren op schaal, wat essentieel is voor grote organisaties met tientallen of honderden opslagaccounts verspreid over meerdere abonnementen en resourcegroepen. Geautomatiseerde remediatie biedt ook het voordeel van consistentie, omdat alle accounts op dezelfde manier worden geconfigureerd, en reproduceerbaarheid, omdat de scripts en templates kunnen worden hergebruikt voor toekomstige implementaties of audits. Het is belangrijk te realiseren dat het activeren van SMB Channel-versleuteling geen impact heeft op bestaande bestanden of de beschikbaarheid van de bestandsshares, wat betekent dat remediatie kan worden uitgevoerd zonder serviceonderbrekingen of downtime voor gebruikers. Deze niet-invasieve aard van de remediatie maakt het mogelijk om versleuteling te activeren op productiesystemen zonder de operationele continuïteit te verstoren, wat een belangrijk voordeel is voor organisaties die hoge beschikbaarheidseisen hebben. Echter, organisaties moeten vooraf verifiëren dat alle clienttoepassingen, besturingssystemen en platforms die toegang hebben tot de bestandsshares compatibel zijn met de gekozen versleutelingsstandaard voordat zij de configuratie activeren, om te voorkomen dat gebruikers onverwacht geen toegang meer hebben tot hun bestanden of dat applicaties falen wanneer zij proberen verbinding te maken met de shares. Deze compatibiliteitsverificatie moet worden uitgevoerd voor alle relevante clients, inclusief Windows-werkstations en servers, Linux-systemen, macOS-apparaten, en eventuele applicaties of services die programmatisch toegang hebben tot de bestandsshares. Na het activeren van de versleuteling moeten organisaties onmiddellijk verifiëren dat de configuratie correct is toegepast door de monitoringtools opnieuw uit te voeren en te controleren of het opslagaccount nu voldoet aan de vereisten. Deze verificatie moet niet alleen de configuratie controleren, maar ook testen of de versleuteling daadwerkelijk actief is tijdens actieve SMB-sessies, wat kan worden gedaan door een testverbinding te maken naar de bestandsshares en te verifiëren dat de verbinding gebruikmaakt van de vereiste versleuteling. Netwerkmonitoringtools kunnen worden gebruikt om te verifiëren dat het verkeer daadwerkelijk versleuteld is, terwijl SMB-protocolanalyse kan worden gebruikt om te bevestigen dat de juiste versleutelingsalgoritmen worden gebruikt tijdens de sessies. Organisaties moeten ook hun documentatie bijwerken om te reflecteren dat het opslagaccount nu is geconfigureerd met de vereiste versleuteling, inclusief de datum waarop de remediatie is uitgevoerd, de persoon die de remediatie heeft uitgevoerd, en eventuele opmerkingen of bijzonderheden die relevant zijn voor toekomstige referentie. Eventuele compliance-rapporten moeten ook worden bijgewerkt om aan te tonen dat de beveiligingsvereisten zijn nageleefd en dat het opslagaccount nu voldoet aan alle relevante standaarden en regelgeving.
Compliance en Audit
SMB Channel-versleuteling met AES-256 vormt een kritieke component in het voldoen aan de uitgebreide compliance- en auditingvereisten die van toepassing zijn op Nederlandse overheidsorganisaties, semi-overheidsinstellingen, en private organisaties die werken met gevoelige, geclassificeerde of persoonsgegevens. De implementatie van sterke versleuteling is niet alleen een technische best practice, maar een wettelijke en regelgevende verplichting die organisaties moeten naleven om te voldoen aan verschillende compliance-frameworks, beveiligingsstandaarden en sectorale regelgeving. Het belang van compliance wordt nog versterkt door de toenemende focus op gegevensbescherming, privacy, en cybersecurity in de Nederlandse publieke sector, waarbij organisaties worden geconfronteerd met strengere eisen en meer frequente audits om te verifiëren dat adequate beveiligingsmaatregelen zijn geïmplementeerd en effectief blijven. De Baseline Informatiebeveiliging Overheid, beter bekend als BIO, vormt het primaire compliance-framework voor Nederlandse overheidsorganisaties en bevat specifieke controles die betrekking hebben op versleuteling en gegevensbescherming. Controle 10.01 van de BIO eist expliciet dat organisaties sterke versleuteling implementeren voor de bescherming van gegevens tijdens transport over netwerken en tijdens opslag op systemen, waarbij de controle specifiek vereist dat organisaties gebruikmaken van bewezen cryptografische algoritmen die voldoen aan actuele beveiligingsstandaarden en best practices. Deze controle vereist niet alleen dat versleuteling wordt geïmplementeerd, maar ook dat organisaties kunnen aantonen dat versleuteling correct is geconfigureerd, actief blijft voor alle relevante systemen en services, en regelmatig wordt geverifieerd en geaudit om te verzekeren dat de beveiligingsmaatregelen effectief blijven. Voor Azure Files-implementaties betekent dit dat organisaties moeten kunnen verifiëren dat SMB Channel-versleuteling is geactiveerd voor alle relevante bestandsshares, dat zij documentatie kunnen overleggen die aantoont dat de versleuteling voldoet aan de vereisten van BIO 10.01, en dat zij processen hebben geïmplementeerd voor continue monitoring en auditing om te verzekeren dat de versleuteling actief blijft en niet wordt uitgeschakeld door configuratiewijzigingen of andere gebeurtenissen. De documentatie moet duidelijk beschrijven welke versleutelingsalgoritmen worden gebruikt, hoe de versleuteling is geconfigureerd, wie verantwoordelijk is voor het onderhoud en de monitoring, en hoe de organisatie verifieert dat de versleuteling effectief is. Naast de BIO-vereisten moeten organisaties ook rekening houden met andere relevante compliance-frameworks en regelgeving die van toepassing zijn op hun specifieke sector of type organisatie. De Algemene Verordening Gegevensbescherming, die van toepassing is op alle organisaties die persoonsgegevens verwerken, eist dat organisaties passende technische en organisatorische maatregelen treffen om persoonsgegevens te beschermen tegen ongeautoriseerde toegang, verlies, of vernietiging. Versleuteling tijdens transport is een essentiële technische maatregel die helpt om te voldoen aan deze vereisten, vooral wanneer persoonsgegevens worden gedeeld via netwerkprotocollen zoals SMB, waarbij de gegevens potentieel kunnen worden onderschept of gecompromitteerd als zij niet adequaat worden beschermd. De AVG vereist niet alleen dat organisaties versleuteling implementeren, maar ook dat zij kunnen aantonen dat de versleuteling effectief is en dat zij processen hebben geïmplementeerd voor het beheren, monitoren en auditen van de beveiligingsmaatregelen. Organisaties die werken met geclassificeerde informatie, zoals informatie die is geclassificeerd als vertrouwelijk, geheim, of zeer geheim volgens de Nederlandse classificatiesystemen, moeten mogelijk ook voldoen aan aanvullende vereisten die specifiek zijn voor hun classificatieniveau. Hogere classificatieniveaus vereisen vaak dat de sterkste beschikbare versleuteling wordt gebruikt, wat AES-256-GCM kan rechtvaardigen boven de standaard AES-128-GCM, zelfs wanneer AES-128 technisch gezien voldoende zou zijn voor de meeste scenario's. Deze vereisten zijn gebaseerd op het principe dat geclassificeerde informatie extra bescherming vereist en dat organisaties alle redelijke maatregelen moeten treffen om de vertrouwelijkheid, integriteit en beschikbaarheid van deze informatie te waarborgen. Het is belangrijk te realiseren dat compliance niet alleen gaat om het implementeren van technische controles, maar ook om het kunnen aantonen aan auditors, toezichthouders, en andere stakeholders dat de controles correct zijn geconfigureerd, effectief blijven, en regelmatig worden geverifieerd en bijgewerkt. Dit betekent dat organisaties moeten beschikken over uitgebreide en actuele documentatie die duidelijk beschrijft hoe SMB Channel-versleuteling is geconfigureerd, welke versleutelingsstandaarden worden gebruikt, waarom deze standaarden zijn gekozen, en hoe de organisatie verifieert dat de versleuteling actief blijft en effectief is. Deze documentatie moet toegankelijk zijn voor auditors en moet regelmatig worden bijgewerkt om te reflecteren wijzigingen in de configuratie, nieuwe implementaties, of updates aan de compliance-vereisten. Auditing speelt een cruciale rol in het compliance-programma, waarbij organisaties regelmatig moeten controleren of hun Azure Files-implementaties nog steeds voldoen aan de compliance-vereisten en of er geen configuratiewijzigingen zijn die de beveiliging kunnen compromitteren. Deze audits moeten worden uitgevoerd door onafhankelijke partijen of interne auditafdelingen die beschikken over de benodigde expertise om de technische configuraties te beoordelen en te verifiëren dat alle vereisten zijn nageleefd. De auditresultaten moeten worden gedocumenteerd en gerapporteerd aan relevante stakeholders, en eventuele bevindingen moeten worden geadresseerd binnen een acceptabele tijdsperiode. Organisaties moeten ook beschikken over gestructureerde processen voor het rapporteren van compliance-status aan relevante stakeholders, waaronder bestuurders, compliance officers, security officers, en externe auditors, waarbij zij duidelijk kunnen aantonen dat alle vereisten zijn nageleefd, dat er adequate controles zijn geïmplementeerd om de beveiliging te waarborgen, en dat de organisatie beschikt over de capaciteit en processen om de compliance-status te handhaven en te verbeteren. Deze rapportage moet regelmatig plaatsvinden, bijvoorbeeld kwartaal- of jaarlijks, en moet zowel de huidige status als trends en ontwikkelingen bevatten die relevant zijn voor het begrijpen van de compliance-postuur van de organisatie.
Compliance & Frameworks
- BIO: 10.01 - Sterke versleuteling
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
SMB Channel Encryption AES-256
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 3.23
Controleert SMB channel encryption met AES-256.
.NOTES
Filename: smb-channel-encryption-aes256.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 3.23
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Storage
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "SMB Channel Encryption AES-256"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$storageAccounts = Get-AzStorageAccount -ErrorAction SilentlyContinue
$result = @{ TotalAccounts = $storageAccounts.Count; WithAES256 = 0 }
foreach ($account in $storageAccounts) {
$fileService = Get-AzStorageFileServiceProperty -ResourceGroupName $account.ResourceGroupName -StorageAccountName $account.StorageAccountName -ErrorAction SilentlyContinue
if ($fileService.ProtocolSettings.Smb.ChannelEncryption -eq 'AES-256-GCM') {
$result.WithAES256++
}
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Storage Accounts: $($r.TotalAccounts)" -ForegroundColor White
Write-Host "With AES-256-GCM: $($r.WithAES256)" -ForegroundColor $(if ($r.WithAES256 -gt 0) { 'Green' } else { 'Yellow' })
}
else {
$r = Test-Compliance
Write-Host "`nAES-256 Encryption: $($r.WithAES256)/$($r.TotalAccounts) accounts"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Storage Accounts: $($r.TotalAccounts)" -ForegroundColor White
Write-Host "With AES-256-GCM: $($r.WithAES256)" -ForegroundColor $(if ($r.WithAES256 -gt 0) { 'Green' } else { 'Yellow' })
}
else {
$r = Test-Compliance
Write-Host "`nAES-256 Encryption: $($r.WithAES256)/$($r.TotalAccounts) accounts"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Low: AES-128-GCM is adequaat voor 99 procent van de scenario's. AES-256-GCM biedt marginaal sterkere versleuteling (theoretisch). Naleving: BIO 10.01 vereist AES-256 voor geclassificeerde gegevens. Het risico is laag - AES-128 is adequaat voor de meeste gevallen.
Management Samenvatting
SMB Channel-versleuteling AES-256: Upgrade van AES-128-GCM naar AES-256-GCM voor Azure Files SMB-verkeer. Marginaal sterkere versleuteling. Activatie: Opslagaccount → Bestandsshares → SMB-beveiliging → AES-256-GCM. Gratis. Implementatie: 30 minuten. Optioneel - AES-128 is adequaat voor de meeste gevallen, AES-256 voor geclassificeerde gegevens of aanvullende beveiligingsvereisten.
- Implementatietijd: 0.5 uur
- FTE required: 0.01 FTE