Opslag Versleuteling Bij Rest

Bescherming van gevoelige organisatiegegevens tegen ongeautoriseerde toegang door middel van versleuteling van gegevens die opgeslagen zijn in Azure Storage.

Implementatie

Deze maatregel past de benodigde beveiligingsinstellingen toe via Azure Policy en Azure Portal om opslagaccounts te beschermen volgens actuele beveiligingskaders zoals CIS Benchmarks, BIO en ISO 27001.

Vereisten

Voor het implementeren en controleren van versleuteling bij rust voor Azure Storage zijn specifieke vereisten van toepassing die organisaties moeten begrijpen en voorbereiden voordat zij deze beveiligingsmaatregel kunnen implementeren. Deze vereisten vormen de fundamentele basis voor een succesvolle implementatie en naleving van beveiligingsstandaarden die essentieel zijn voor Nederlandse organisaties, met name voor overheidsorganisaties die moeten voldoen aan strikte compliance-eisen. Organisaties moeten beschikken over een actief Azure-abonnement met de juiste toegangsrechten om opslagaccounts te kunnen beheren en configureren. Deze toegangsrechten omvatten typisch de rol van Storage Account Contributor of hoger, wat nodig is om versleutelingsinstellingen te kunnen wijzigen. Daarnaast is het essentieel dat beheerders beschikken over voldoende kennis van Azure Storage services en de beveiligingsmogelijkheden die Microsoft biedt voor gegevensbescherming. Deze kennis moet zowel technisch als organisatorisch zijn, waarbij beheerders begrijpen hoe versleuteling werkt, welke opties beschikbaar zijn, en hoe versleuteling past binnen het bredere beveiligingskader van de organisatie.

De primaire technische vereiste betreft het bestaan van een of meerdere Azure Storage accounts binnen de organisatie. Deze opslagaccounts kunnen verschillende typen bevatten, elk met specifieke gebruiksscenario's en beveiligingsoverwegingen. Blob Storage wordt gebruikt voor ongestructureerde gegevens zoals documenten, afbeeldingen en video's, en vormt vaak de basis voor moderne applicaties en data lakes. File Storage biedt volledig beheerde bestandsshares in de cloud die compatibel zijn met het Server Message Block-protocol, wat essentieel is voor legacy-applicaties die bestandsshares vereisen. Table Storage biedt NoSQL-gegevensopslag voor gestructureerde datasets zonder schema, terwijl Queue Storage wordt gebruikt voor berichten tussen applicatiecomponenten. Ongeacht het type opslagaccount, versleuteling bij rust is standaard ingeschakeld voor alle nieuwe opslagaccounts die na juni 2017 zijn aangemaakt. Deze standaardactivering betekent dat organisaties geen aanvullende configuratie hoeven uit te voeren voor nieuwe accounts, maar wel moeten verifiëren dat versleuteling daadwerkelijk actief is. Voor bestaande opslagaccounts die vóór deze datum zijn aangemaakt, dient de versleutelingsstatus te worden geverifieerd, omdat deze accounts mogelijk zijn aangemaakt voordat versleuteling standaard werd ingeschakeld.

Vanuit een beveiligingsperspectief vereist deze maatregel dat organisaties beschikken over een duidelijk gedefinieerd gegevensclassificatiebeleid dat aangeeft welke gegevens als gevoelig worden beschouwd en daarom extra bescherming vereisen. Dit beleid moet niet alleen beschrijven welke gegevens versleuteling vereisen, maar ook waarom bepaalde gegevens als gevoelig worden beschouwd en wat de gevolgen zijn van ongeautoriseerde toegang tot deze gegevens. Voor Nederlandse overheidsorganisaties betekent dit vaak dat alle persoonsgegevens, bedrijfsgevoelige informatie en operationele gegevens als kritiek worden beschouwd en daarom versleuteling vereisen. Persoonsgegevens omvatten alle informatie die direct of indirect kan worden gebruikt om een natuurlijk persoon te identificeren, zoals namen, adressen, burgerservicenummers en e-mailadressen. Bedrijfsgevoelige informatie omvat strategische plannen, financiële gegevens, contracten en intellectueel eigendom, terwijl operationele gegevens kritieke systemconfiguraties en logbestanden kunnen bevatten. Het is belangrijk dat dit beleid wordt gedocumenteerd en regelmatig wordt geëvalueerd om te voldoen aan veranderende regelgeving en bedrijfsvereisten. Regelmatige evaluatie zorgt ervoor dat het beleid actueel blijft en dat nieuwe typen gegevens of veranderende risico's worden meegenomen in de classificatie.

Organisatorische vereisten omvatten de aanwezigheid van een duidelijk gedefinieerd proces voor het beheren van versleutelingssleutels, wat een kritiek onderdeel is van een effectieve versleutelingsstrategie. Azure Storage biedt twee opties voor versleuteling: door Microsoft beheerde sleutels en door de klant beheerde sleutels. Door Microsoft beheerde sleutels worden automatisch beheerd door Azure en vereisen geen aanvullende configuratie of beheer van de organisatie. Deze optie is geschikt voor de meeste organisaties en biedt voldoende beveiliging voor de meeste gebruiksscenario's. Door de klant beheerde sleutels bieden organisaties volledige controle over de versleutelingssleutels, inclusief de mogelijkheid om sleutels te roteren, te verwijderen of te wijzigen volgens organisatiespecifieke vereisten. Voor organisaties met strikte compliance-eisen, zoals overheidsorganisaties die voldoen aan BIO-normen, kan het gebruik van door de klant beheerde sleutels via Azure Key Vault een vereiste zijn. Deze aanpak vereist echter aanvullende configuratie en beheer van Key Vault resources, wat betekent dat organisaties moeten beschikken over expertise in Azure Key Vault en de processen voor sleutelbeheer. Organisaties moeten ook overwegen hoe zij back-ups van sleutels zullen beheren en hoe zij toegang tot sleutels zullen controleren en monitoren.

Ten slotte is het belangrijk dat organisaties beschikken over monitoring- en auditmogelijkheden om de versleutelingsstatus te kunnen verifiëren en te rapporteren aan interne en externe stakeholders. Dit vereist toegang tot Azure Monitor, Azure Policy of andere monitoringtools die inzicht geven in de beveiligingsconfiguratie van opslagaccounts. Azure Monitor biedt gedetailleerde metrische gegevens en logboeken die kunnen worden gebruikt om de versleutelingsstatus te controleren en trends te identificeren. Azure Policy biedt geautomatiseerde compliance-controles die kunnen worden gebruikt om te verifiëren dat alle opslagaccounts versleuteling hebben ingeschakeld en om automatische remediatie uit te voeren wanneer nodig. Regelmatige verificatie en rapportage zijn essentieel voor compliance-doeleinden en voor het aantonen van naleving tijdens audits. Organisaties moeten een proces hebben voor het genereren van regelmatige rapporten die de versleutelingsstatus documenteren en die kunnen worden gebruikt tijdens interne en externe audits. Deze rapporten moeten duidelijk aangeven welke accounts versleuteling hebben ingeschakeld, welke accounts mogelijk aandacht vereisen, en welke acties zijn ondernomen om eventuele problemen op te lossen.

Monitoring en verificatie

Gebruik PowerShell-script storage-encryption-at-rest.ps1 (functie Invoke-Monitoring) – Controleren.

Monitoring van versleuteling bij rust voor Azure Storage is een kritieke activiteit die regelmatig moet worden uitgevoerd om te waarborgen dat alle opslagaccounts correct zijn geconfigureerd en blijven voldoen aan beveiligings- en compliance-vereisten. Azure Storage versleuteling bij rust is standaard ingeschakeld voor alle nieuwe opslagaccounts die na juni 2017 zijn aangemaakt, wat betekent dat nieuwe accounts automatisch de juiste beveiligingsconfiguratie hebben. Echter, voor bestaande accounts en voor compliance-doeleinden is continue verificatie essentieel om te garanderen dat versleuteling actief blijft en dat er geen onbevoegde wijzigingen zijn aangebracht aan de configuratie. Organisaties moeten een gestructureerde aanpak hanteren voor het monitoren van de versleutelingsstatus, waarbij zowel automatische als handmatige verificatiemethoden worden gebruikt om een volledig beeld te krijgen van de beveiligingspostuur van hun opslagomgeving. Deze aanpak moet worden gedocumenteerd in het beveiligingsbeleid van de organisatie en moet regelmatig worden geëvalueerd om te zorgen dat deze effectief blijft.

De primaire verificatiemethode betreft het controleren van de versleutelingsinstellingen voor elk opslagaccount binnen de organisatie, wat kan worden uitgevoerd via verschillende methoden afhankelijk van de omvang en complexiteit van de omgeving. Voor kleinere omgevingen met een beperkt aantal opslagaccounts kan handmatige verificatie via de Azure Portal een praktische aanpak zijn. Beheerders kunnen naar de sectie Versleuteling navigeren binnen elk opslagaccount om de versleutelingsstatus te controleren. De status moet duidelijk aangeven dat versleuteling is ingeschakeld en welke versleutelingsmethode wordt gebruikt. Standaard gebruikt Azure Storage 256-bit AES-versleuteling, wat voldoet aan de strengste beveiligingsstandaarden en wordt aanbevolen door beveiligingskaders zoals CIS Benchmarks en ISO 27001. Deze versleutelingsmethode wordt algemeen beschouwd als veilig voor de bescherming van gevoelige gegevens en wordt gebruikt door organisaties wereldwijd voor het beveiligen van kritieke informatie. Beheerders moeten ook controleren of er gebruik wordt gemaakt van door Microsoft beheerde sleutels of door de klant beheerde sleutels, en of de gekozen optie voldoet aan de compliance-vereisten van de organisatie.

Voor grootschalige omgevingen met tientallen of honderden opslagaccounts is handmatige verificatie via de portal niet praktisch en kan dit leiden tot menselijke fouten en inconsistente verificatie. In dergelijke scenario's moeten organisaties gebruik maken van geautomatiseerde monitoring via Azure Policy of PowerShell-scripts die kunnen worden uitgevoerd volgens een vastgesteld schema. Azure Policy biedt ingebouwde beleidsregels die automatisch kunnen controleren of versleuteling is ingeschakeld voor alle opslagaccounts binnen een abonnement of resourcegroep. Deze beleidsregels kunnen worden toegepast op abonnements- of resourcegroepniveau en bieden continue compliance-monitoring zonder handmatige interventie. Wanneer een beleidsregel detecteert dat versleuteling niet is ingeschakeld voor een opslagaccount, kan deze automatisch een waarschuwing genereren of zelfs automatische remediatie uitvoeren om versleuteling in te schakelen. PowerShell-scripts bieden meer flexibiliteit en kunnen worden aangepast aan specifieke organisatievereisten, maar vereisen meer onderhoud en expertise om effectief te implementeren en te onderhouden.

Naast het verifiëren van de versleutelingsstatus zelf, moeten organisaties ook monitoren of er wijzigingen zijn aangebracht aan de versleutelingsconfiguratie, wat kan wijzen op onbevoegde toegang of onbedoelde configuratiewijzigingen. Azure Activity Log biedt gedetailleerd inzicht in alle configuratiewijzigingen die zijn aangebracht aan opslagaccounts, inclusief wijzigingen aan versleutelingsinstellingen, wijzigingen aan toegangsrechten, en andere beveiligingsgerelateerde configuratiewijzigingen. Deze logboeken bevatten informatie over wie de wijziging heeft aangebracht, wanneer deze heeft plaatsgevonden, en wat de exacte wijziging was. Deze logboeken moeten regelmatig worden gecontroleerd om te detecteren of er onbevoegde of onbedoelde wijzigingen zijn aangebracht die de beveiliging van opslagaccounts kunnen compromitteren. Voor organisaties met strikte compliance-eisen kan het nodig zijn om deze logboeken te archiveren voor audit-doeleinden, vaak voor een periode van zeven jaar zoals vereist door verschillende regelgevingskaders zoals de AVG en BIO-normen. Organisaties moeten ook overwegen om geautomatiseerde waarschuwingen in te stellen die worden geactiveerd wanneer er wijzigingen worden aangebracht aan versleutelingsinstellingen, zodat beveiligingsteams onmiddellijk kunnen reageren op potentiële beveiligingsincidenten.

Voor organisaties die gebruik maken van door de klant beheerde sleutels via Azure Key Vault, is aanvullende monitoring vereist omdat de beschikbaarheid en toegankelijkheid van de Key Vault resources direct van invloed zijn op de functionaliteit van de versleuteling. Deze organisaties moeten niet alleen de versleutelingsstatus van opslagaccounts monitoren, maar ook de beschikbaarheid en toegankelijkheid van de Key Vault resources die de versleutelingssleutels bevatten. Verlies van toegang tot deze sleutels kan resulteren in onherstelbaar gegevensverlies, omdat opgeslagen gegevens niet kunnen worden gedecodeerd zonder toegang tot de versleutelingssleutels. Daarom is monitoring van Key Vault-toegang en back-upstrategieën voor sleutels kritiek voor organisaties die gebruik maken van door de klant beheerde sleutels. Organisaties moeten regelmatig controleren of Key Vault resources beschikbaar zijn, of toegangsrechten correct zijn geconfigureerd, en of back-ups van sleutels beschikbaar zijn voor disaster recovery doeleinden. Daarnaast moeten organisaties processen hebben voor het roteren van sleutels volgens een vastgesteld schema en voor het beheren van sleutelversies om te zorgen dat oude sleutels veilig kunnen worden verwijderd zonder de toegang tot versleutelde gegevens te verliezen.

Rapportage vormt een belangrijk onderdeel van het monitoringproces en is essentieel voor het aantonen van naleving aan interne en externe stakeholders, inclusief auditors, compliance-officers en management. Organisaties moeten regelmatig rapporten genereren die de versleutelingsstatus van alle opslagaccounts documenteren, inclusief wanneer accounts zijn gecontroleerd, welke bevindingen zijn gedaan, en welke acties zijn ondernomen om eventuele problemen op te lossen. Deze rapporten zijn essentieel voor compliance-audits en moeten voldoen aan de documentatievereisten van toepasselijke beveiligingskaders zoals CIS Benchmarks, BIO-normen en ISO 27001. De rapportage moet duidelijk aangeven welke accounts versleuteling hebben ingeschakeld, welke accounts mogelijk aandacht vereisen, en welke acties zijn ondernomen om eventuele problemen op te lossen. Rapportages moeten ook trends en patronen identificeren, zoals accounts die regelmatig aandacht vereisen of configuratiewijzigingen die mogelijk wijzen op beveiligingsproblemen. Voor Nederlandse overheidsorganisaties die voldoen aan BIO-normen, is dergelijke documentatie vaak een vereiste voor certificering en hercertificering, wat betekent dat organisaties moeten kunnen aantonen dat zij regelmatig monitoren en rapporteren over de versleutelingsstatus van hun opslagaccounts.

Compliance en naleving

Versleuteling bij rust voor Azure Storage is een fundamentele vereiste binnen meerdere beveiligingskaders en compliance-standaarden die relevant zijn voor Nederlandse organisaties, met name voor overheidsorganisaties die moeten voldoen aan strikte regelgevingsvereisten. Het implementeren en onderhouden van versleuteling bij rust is niet alleen een technische best practice die wordt aanbevolen door beveiligingsexperts, maar ook een wettelijke en regelgevende verplichting die moet worden nageleefd om te voldoen aan verschillende beveiligingsstandaarden en privacywetgeving. Voor Nederlandse organisaties betekent dit dat versleuteling bij rust vaak een vereiste is voor het verkrijgen en behouden van certificeringen en voor het aantonen van naleving tijdens audits. Het niet implementeren van versleuteling bij rust kan leiden tot aanzienlijke risico's, inclusief mogelijke boetes voor niet-naleving, verlies van vertrouwen van stakeholders, en potentiële beveiligingsincidenten die kunnen resulteren in datalekken en reputatieschade.

Binnen het CIS Microsoft Azure Foundations Benchmark framework wordt versleuteling bij rust behandeld in controle 3.2, die vereist dat alle Azure Storage accounts versleuteling bij rust hebben ingeschakeld zonder uitzonderingen. Deze controle is geclassificeerd als Level 1, wat betekent dat het een fundamentele beveiligingsmaatregel is die door alle organisaties moet worden geïmplementeerd, ongeacht hun grootte of complexiteit. Level 1 controles worden beschouwd als essentiële beveiligingsmaatregelen die minimale impact hebben op de functionaliteit van systemen maar aanzienlijke beveiligingsvoordelen bieden. Het CIS Benchmark framework wordt wereldwijd erkend als een autoriteit op het gebied van cloudbeveiliging en wordt vaak gebruikt als basis voor security assessments en audits door onafhankelijke auditors en compliance-officers. Organisaties die voldoen aan CIS Benchmarks kunnen aantonen dat zij best practices volgen voor cloudbeveiliging, wat kan helpen bij het verkrijgen van verzekeringen, het aantrekken van klanten, en het voldoen aan contractuele vereisten. Het framework wordt regelmatig bijgewerkt om nieuwe bedreigingen en best practices te reflecteren, wat betekent dat organisaties hun implementaties moeten blijven evalueren en bijwerken om te blijven voldoen aan de nieuwste versies van het framework.

Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid (BIO) van bijzonder belang omdat dit het primaire beveiligingskader is dat wordt gebruikt door Nederlandse overheidsorganisaties voor het beveiligen van hun informatievoorziening. Binnen het BIO-kader wordt versleuteling behandeld in norm 10.01, die specifiek ingaat op de vereisten voor cryptografische beveiliging van gegevens. Deze norm vereist dat organisaties passende cryptografische maatregelen implementeren om gegevens te beschermen tegen ongeautoriseerde toegang, zowel tijdens transmissie als tijdens opslag. De norm benadrukt dat cryptografische maatregelen moeten worden gekozen op basis van de gevoeligheid van de gegevens en de bedreigingen waaraan deze worden blootgesteld. Voor Azure Storage betekent dit dat versleuteling bij rust niet alleen moet zijn ingeschakeld, maar ook dat organisaties moeten kunnen aantonen dat de implementatie voldoet aan de vereisten van de norm en dat de gebruikte cryptografische methoden geschikt zijn voor het beschermen van de gevoeligheid van de opgeslagen gegevens. Organisaties moeten ook kunnen aantonen dat zij processen hebben voor het beheren van versleutelingssleutels en voor het monitoren en auditen van de versleutelingsconfiguratie. Voor overheidsorganisaties die moeten voldoen aan BIO-normen, is het niet voldoen aan deze vereisten vaak een belemmering voor het verkrijgen van certificering en kan dit leiden tot het niet kunnen gebruiken van bepaalde systemen of services voor het verwerken van gevoelige overheidsgegevens.

De ISO 27001:2022 standaard behandelt versleuteling in controle A.8.24, die betrekking heeft op het gebruik van cryptografie voor het beschermen van informatie. Deze controle vereist dat organisaties een cryptografiebeleid ontwikkelen en implementeren dat geschikt is voor hun informatiebeveiligingsbehoeften en dat beschrijft wanneer en hoe cryptografie moet worden gebruikt. Het beleid moet aangeven welke cryptografische methoden geschikt zijn voor verschillende typen gegevens en scenario's, hoe versleutelingssleutels moeten worden beheerd, en hoe de effectiviteit van cryptografische maatregelen moet worden geëvalueerd. Binnen de context van Azure Storage betekent dit dat organisaties moeten kunnen aantonen dat zij versleuteling gebruiken die voldoet aan geaccepteerde cryptografische standaarden, zoals de 256-bit AES-versleuteling die standaard wordt gebruikt door Azure Storage. AES-256 wordt algemeen beschouwd als een veilige versleutelingsmethode die geschikt is voor het beschermen van gevoelige gegevens en wordt aanbevolen door beveiligingsexperts en regelgevingsinstanties wereldwijd. Organisaties die ISO 27001-certificering nastreven of behouden, moeten kunnen aantonen dat hun versleutelingsimplementatie voldoet aan deze controle en dat zij processen hebben voor het beheren, monitoren en auditen van cryptografische maatregelen. Dit vereist vaak uitgebreide documentatie en regelmatige audits om te verifiëren dat cryptografische maatregelen correct zijn geïmplementeerd en effectief blijven.

Naast deze specifieke beveiligingskaders is versleuteling bij rust ook relevant voor naleving van de Algemene Verordening Gegevensbescherming (AVG), die van toepassing is op alle organisaties die persoonsgegevens verwerken van personen in de Europese Unie. Hoewel de AVG niet expliciet versleuteling vereist voor alle scenario's, beschouwt artikel 32 van de AVG versleuteling als een passende technische maatregel voor het beschermen van persoonsgegevens tegen ongeautoriseerde toegang, verlies of vernietiging. Artikel 32 vereist dat organisaties passende technische en organisatorische maatregelen implementeren om persoonsgegevens te beschermen, waarbij versleuteling wordt genoemd als een voorbeeld van een dergelijke maatregel. Voor organisaties die persoonsgegevens verwerken in Azure Storage, kan het implementeren van versleuteling bij rust helpen bij het aantonen van naleving van de AVG-vereisten voor gegevensbescherming en kan dit helpen bij het verminderen van de risico's van datalekken en de daaruit voortvloeiende verplichtingen voor het melden van datalekken. Dit is met name relevant voor Nederlandse organisaties die persoonsgegevens verwerken van Europese burgers, omdat het niet implementeren van passende beveiligingsmaatregelen kan leiden tot aanzienlijke boetes van de Autoriteit Persoonsgegevens, die kan oplopen tot twintig miljoen euro of vier procent van de wereldwijde jaaromzet, afhankelijk van welke waarde hoger is.

Auditing en verificatie vormen een kritiek onderdeel van compliance omdat organisaties regelmatig moeten kunnen aantonen dat zij voldoen aan de vereisten van toepasselijke beveiligingskaders en regelgeving. Organisaties moeten regelmatig kunnen aantonen dat versleuteling bij rust correct is geïmplementeerd en actief is voor alle relevante opslagaccounts, wat vereist dat zij gedetailleerde documentatie bijhouden over de versleutelingsconfiguratie. Deze documentatie moet informatie bevatten over wanneer accounts zijn gecontroleerd, welke bevindingen zijn gedaan, welke acties zijn ondernomen om eventuele problemen op te lossen, en wie verantwoordelijk was voor de uitvoering van controles en remediaties. Voor compliance-audits moeten organisaties vaak bewijs kunnen leveren van continue monitoring en verificatie, wat betekent dat regelmatige controles moeten worden uitgevoerd en gedocumenteerd volgens een vastgesteld schema. Deze controles moeten worden uitgevoerd door bevoegde personen die beschikken over de nodige kennis en expertise om versleutelingsconfiguraties te evalueren en te verifiëren. Organisaties moeten ook processen hebben voor het escaleren van bevindingen en voor het implementeren van remediaties wanneer niet-naleving wordt gedetecteerd. Voor externe audits moeten organisaties vaak toegang verlenen tot hun documentatie en systemen, wat betekent dat documentatie duidelijk, compleet en actueel moet zijn om auditors in staat te stellen om snel en efficiënt te kunnen verifiëren dat organisaties voldoen aan compliance-vereisten.

Voor organisaties die moeten voldoen aan meerdere compliance-kaders tegelijk, wat vaak het geval is voor Nederlandse overheidsorganisaties die moeten voldoen aan zowel BIO-normen als ISO 27001 en AVG-vereisten, is het belangrijk om een geïntegreerde aanpak te hanteren waarbij versleuteling bij rust wordt geïmplementeerd op een manier die voldoet aan alle relevante vereisten. Dit betekent vaak dat organisaties moeten kiezen voor de strengste vereisten uit alle toepasselijke kaders en deze moeten implementeren als basisconfiguratie, wat ervoor zorgt dat zij automatisch voldoen aan alle minder strenge vereisten. Door versleuteling bij rust standaard in te schakelen voor alle opslagaccounts en regelmatig te verifiëren dat dit het geval is, kunnen organisaties efficiënt voldoen aan meerdere compliance-vereisten zonder dat voor elk kader aparte configuraties nodig zijn. Deze geïntegreerde aanpak vermindert de complexiteit van compliance-management en zorgt ervoor dat organisaties consistent voldoen aan alle toepasselijke vereisten. Organisaties moeten echter wel zorgvuldig documenteren hoe hun implementatie voldoet aan de specifieke vereisten van elk kader, omdat auditors vaak specifieke bewijzen vereisen voor elk kader waaraan organisaties moeten voldoen.

Remediatie

Gebruik PowerShell-script storage-encryption-at-rest.ps1 (functie Invoke-Remediation) – Herstellen.

Remediatie voor versleuteling bij rust in Azure Storage is in de meeste gevallen een relatief eenvoudig proces, omdat versleuteling standaard is ingeschakeld voor alle nieuwe opslagaccounts die na juni 2017 zijn aangemaakt. Dit betekent dat organisaties die nieuwe opslagaccounts aanmaken automatisch de juiste beveiligingsconfiguratie krijgen zonder dat aanvullende configuratie nodig is. Echter, voor bestaande opslagaccounts die mogelijk zijn aangemaakt vóór de standaardactivering van versleuteling, of voor accounts waar versleuteling om welke reden dan ook niet actief is, zijn specifieke remediatiestappen vereist om te zorgen dat deze accounts ook versleuteling hebben ingeschakeld. Het is belangrijk om te begrijpen dat het inschakelen van versleuteling bij rust voor bestaande accounts geen impact heeft op de beschikbaarheid of prestaties van de opslagservice, wat betekent dat organisaties versleuteling kunnen inschakelen zonder dat dit leidt tot downtime of prestatieverlies. Versleuteling wordt toegepast op alle gegevens die al zijn opgeslagen en op alle nieuwe gegevens die worden geschreven, wat zorgt voor verbeterde beveiliging van opgeslagen gegevens zonder dat bestaande gegevens hoeven te worden gemigreerd of opnieuw moeten worden geschreven.

De primaire remediatiemethode voor het inschakelen van versleuteling bij rust is via de Azure Portal, wat een gebruiksvriendelijke interface biedt voor beheerders om versleutelingsinstellingen te configureren. Beheerders kunnen naar het specifieke opslagaccount navigeren, de sectie Versleuteling selecteren in het menu aan de linkerkant, en vervolgens de optie voor versleuteling bij rust activeren door de juiste instellingen te selecteren. Azure biedt standaard 256-bit AES-versleuteling, die wordt beheerd door Microsoft en die voldoet aan de strengste beveiligingsstandaarden. Deze versleutelingsmethode wordt automatisch toegepast op alle gegevens die worden opgeslagen in het opslagaccount, inclusief blobs, bestanden, tabellen en wachtrijen. Voor de meeste organisaties is deze standaardconfiguratie voldoende om te voldoen aan compliance-vereisten van beveiligingskaders zoals CIS Benchmarks, BIO-normen en ISO 27001. Het is belangrijk op te merken dat versleuteling bij rust niet kan worden uitgeschakeld voor opslagaccounts zodra het is ingeschakeld, wat betekent dat zodra versleuteling actief is, het permanent actief blijft voor de levensduur van het opslagaccount. Dit is een goede beveiligingspraktijk omdat het voorkomt dat versleuteling per ongeluk wordt uitgeschakeld, wat de beveiliging van opgeslagen gegevens zou kunnen compromitteren.

Voor organisaties met specifieke compliance-vereisten die meer controle over versleutelingssleutels vereisen, zoals overheidsorganisaties die moeten voldoen aan strikte regelgevingsvereisten, biedt Azure de mogelijkheid om door de klant beheerde sleutels te gebruiken via Azure Key Vault. Deze aanpak vereist aanvullende configuratie en planning, waarbij eerst een Key Vault moet worden aangemaakt en geconfigureerd met de juiste toegangsrechten en beveiligingsinstellingen. De Key Vault moet worden geconfigureerd om versleutelingssleutels op te slaan en te beheren, en moet toegankelijk zijn voor het opslagaccount dat de sleutels zal gebruiken. Vervolgens moet het opslagaccount worden geconfigureerd om deze Key Vault te gebruiken voor versleutelingssleutels, wat vereist dat het opslagaccount de juiste beheerde identiteit heeft en dat deze identiteit toegang heeft tot de Key Vault. Deze aanpak is complexer dan de standaard Microsoft-beheerde sleutels en vereist meer expertise en onderhoud, maar biedt organisaties volledige controle over de versleutelingssleutels, inclusief de mogelijkheid om sleutels te roteren, te verwijderen of te wijzigen volgens organisatiespecifieke vereisten. Dit kan helpen bij het voldoen aan specifieke regelgevingsvereisten die vereisen dat organisaties controle hebben over versleutelingssleutels, zoals vereisten voor het kunnen verwijderen van sleutels voor gegevensvernietiging of voor het roteren van sleutels volgens een vastgesteld schema.

Na het inschakelen van versleuteling bij rust, is het essentieel om te verifiëren dat de configuratie correct is toegepast en dat versleuteling daadwerkelijk actief is voor het opslagaccount. Dit kan worden gedaan door de versleutelingsstatus te controleren via de Azure Portal, waar beheerders kunnen zien of versleuteling is ingeschakeld en welke versleutelingsmethode wordt gebruikt. Alternatief kunnen organisaties gebruik maken van PowerShell-scripts die automatisch de versleutelingsstatus kunnen controleren voor meerdere opslagaccounts tegelijk, wat effectiever is voor grote omgevingen. Organisaties moeten ook controleren of er geen fouten zijn opgetreden tijdens het activeringsproces door de Azure Activity Log te controleren op eventuele foutmeldingen of waarschuwingen die verband houden met de versleutelingsconfiguratie. Daarnaast moeten organisaties verifiëren dat alle verwachte opslagaccounts nu versleuteling hebben ingeschakeld, wat kan worden gedaan door een inventarisatie uit te voeren van alle opslagaccounts en te controleren of elk account versleuteling heeft ingeschakeld. Voor grote omgevingen met veel opslagaccounts kan geautomatiseerde verificatie via scripts of Azure Policy effectiever zijn dan handmatige verificatie, omdat dit sneller is en minder gevoelig voor menselijke fouten. Geautomatiseerde verificatie kan ook worden geconfigureerd om regelmatig te worden uitgevoerd, wat zorgt voor continue monitoring van de versleutelingsstatus.

In scenario's waar versleuteling niet kan worden ingeschakeld of waar er problemen optreden tijdens het activeringsproces, moeten organisaties de onderliggende oorzaak onderzoeken om te begrijpen waarom de remediatie niet succesvol was. Mogelijke oorzaken kunnen zijn onvoldoende toegangsrechten voor het account dat probeert versleuteling in te schakelen, wat betekent dat het account niet over de juiste rol beschikt om versleutelingsinstellingen te wijzigen. Andere mogelijke oorzaken kunnen zijn problemen met de Azure-service zelf, zoals tijdelijke service-onderbrekingen of technische problemen die voorkomen dat configuratiewijzigingen worden toegepast. Configuratieconflicten kunnen ook voorkomen, zoals wanneer er meerdere beleidsregels of configuraties zijn die met elkaar conflicteren. In dergelijke gevallen moeten organisaties contact opnemen met Azure-ondersteuning of hun cloudbeheerder om het probleem op te lossen, wat kan vereisen dat zij gedetailleerde informatie verstrekken over het probleem, inclusief foutmeldingen, tijdstippen waarop het probleem optrad, en welke acties zijn ondernomen om het probleem op te lossen. Het is belangrijk dat organisaties een proces hebben voor het escaleren van dergelijke problemen om te waarborgen dat versleuteling zo snel mogelijk kan worden geactiveerd en dat problemen niet onopgelost blijven, wat de beveiliging van opgeslagen gegevens zou kunnen compromitteren.

Na succesvolle remediatie moeten organisaties ervoor zorgen dat versleuteling bij rust wordt opgenomen in hun standaard configuratieprocessen voor nieuwe opslagaccounts, wat voorkomt dat er in de toekomst accounts worden aangemaakt zonder versleuteling. Dit betekent dat wanneer nieuwe opslagaccounts worden aangemaakt, versleuteling automatisch moet worden ingeschakeld als onderdeel van het provisioning-proces, zonder dat aanvullende configuratie nodig is. Dit kan worden bereikt door gebruik te maken van Azure Policy, die automatisch kan controleren en afdwingen dat versleuteling is ingeschakeld voor alle nieuwe accounts. Azure Policy kan worden geconfigureerd om automatisch versleuteling in te schakelen wanneer een nieuw opslagaccount wordt aangemaakt, of om waarschuwingen te genereren wanneer een account wordt aangemaakt zonder versleuteling. Door versleuteling op te nemen in de standaardconfiguratie, kunnen organisaties voorkomen dat er in de toekomst accounts worden aangemaakt zonder versleuteling, wat helpt bij het handhaven van continue compliance en bij het voorkomen van beveiligingsproblemen. Organisaties moeten ook zorgen dat hun documentatie en procedures worden bijgewerkt om te reflecteren dat versleuteling standaard is ingeschakeld, zodat nieuwe beheerders en teamleden begrijpen dat versleuteling een standaardvereiste is en niet optioneel.

Documentatie van remediatie-acties is belangrijk voor compliance- en audit-doeleinden omdat het organisaties in staat stelt om aan te tonen dat zij proactief werken aan het handhaven van beveiligingsstandaarden en dat zij processen hebben voor het identificeren en oplossen van beveiligingsproblemen. Organisaties moeten bijhouden welke accounts zijn gerepareerd, wanneer de remediatie heeft plaatsgevonden, welke methoden zijn gebruikt om versleuteling in te schakelen, en wie verantwoordelijk was voor de uitvoering van de remediatie. Deze documentatie moet ook informatie bevatten over eventuele problemen die zijn opgetreden tijdens de remediatie en hoe deze zijn opgelost, wat kan helpen bij het oplossen van vergelijkbare problemen in de toekomst. Deze documentatie kan worden gebruikt om aan te tonen dat organisaties proactief werken aan het handhaven van beveiligingsstandaarden en kan helpen bij het beantwoorden van vragen tijdens audits over hoe organisaties omgaan met beveiligingsproblemen en hoe zij zorgen dat alle systemen voldoen aan beveiligingsvereisten. Voor Nederlandse overheidsorganisaties die moeten voldoen aan BIO-normen, is dergelijke documentatie vaak een vereiste voor certificering en moet het worden bijgehouden volgens vastgestelde procedures en moet het beschikbaar zijn voor auditors tijdens compliance-audits.

Compliance & Frameworks

• CIS M365: Control 3.2 (L1) - versleuteling bij rest
• BIO: 10.01 - versleuteling
• ISO 27001:2022: A.8.24 - Cryptografie

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

Risico zonder implementatie

Management Samenvatting

Versleuteling bij rust voor opslag: Verifieer dat versleuteling is ingeschakeld voor alle opslagaccounts (Azure standaard - 256-bit AES-versleuteling). Kan niet worden uitgeschakeld. Activatie: Opslagaccount → Versleuteling → Verifieer ingeschakeld. Gratis (inbegrepen). Verplicht voor CIS 3.2, BIO 10.01. Verificatie: 30 minuten. Standaard correct - verifieer alleen naleving.

• Implementatietijd: 0 uur
• FTE required: 0.1 FTE