💼 Management Samenvatting
Cryptografie vormt de fundament van moderne cloudbeveiliging en is essentieel voor het beschermen van gevoelige gegevens, het waarborgen van datasobereiniteit en het voldoen aan strikte compliance-vereisten. Voor Nederlandse overheidsorganisaties die Azure gebruiken, is een volwassen cryptografisch beheer-raamwerk niet alleen een best practice, maar een kritieke vereiste die direct bijdraagt aan compliance met de Baseline Informatiebeveiliging Overheid (BIO), de NIS2-richtlijn, de Algemene Verordening Gegevensbescherming (AVG) en internationale standaarden zoals ISO 27001. Dit index-artikel biedt een overzicht van alle cryptografische beveiligingsaspecten die relevant zijn voor Azure-omgevingen en helpt organisaties om een samenhangend, aantoonbaar cryptografisch beheer-raamwerk op te bouwen.
Aanbeveling
IMPLEMENT
Risico zonder
Critical
Risk Score
10/10
Implementatie
30u (tech: 20u)
Van toepassing op:
✓ Azure Key Vault
✓ Azure Storage
✓ Azure SQL Database
✓ Azure Cosmos DB
✓ Azure Managed Disks
✓ Alle Azure Services
✓ Azure Storage
✓ Azure SQL Database
✓ Azure Cosmos DB
✓ Azure Managed Disks
✓ Alle Azure Services
Zonder een volwassen cryptografisch beheer-raamwerk kunnen organisaties niet effectief controleren wie toegang heeft tot versleutelingssleutels, wanneer sleutels worden geroteerd, en of versleuteling correct is geïmplementeerd voor alle gevoelige gegevens. Dit creëert aanzienlijke beveiligingsrisico's waarbij gestolen sleutels kunnen worden misbruikt, verouderde versleutelingsalgoritmen kwetsbaarheden introduceren, en kwaadwillende actoren toegang kunnen krijgen tot versleutelde data. Traditionele versleutelingsmethoden die uitsluitend afhankelijk zijn van Microsoft-beheerde sleutels bieden onvoldoende controle voor organisaties met strikte compliance-vereisten zoals datasobereiniteit, geografische beperkingen, en auditlogboekregistratie. Een volwassen cryptografisch beheer-raamwerk lost deze fundamentele problemen op door organisaties in staat te stellen volledige controle te hebben over versleutelingssleutels, sleutellevenscycli te beheren, en continue monitoring en governance te implementeren. Voor Nederlandse overheidsorganisaties is dit niet alleen een beveiligingsvereiste, maar ook een compliance-vereiste die direct bijdraagt aan het aantoonbaar voldoen aan BIO, NIS2, AVG en andere relevante wet- en regelgeving.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.KeyVault, Az.Storage, Az.Sql, Az.CosmosDB
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.KeyVault, Az.Storage, Az.Sql, Az.CosmosDB
Implementatie
Dit index-artikel fungeert als centrale verzamelplaats voor alle cryptografische beveiligings-gerelateerde artikelen binnen de Azure-domein van de 'Nederlandse Baseline voor Veilige Cloud'. We behandelen de belangrijkste cryptografische componenten die relevant zijn voor Nederlandse overheidsorganisaties, beschrijven hoe deze worden vertaald naar concrete Azure Key Vault- en versleutelingsconfiguraties, en laten zien hoe organisaties een volwassen cryptografisch beheer-proces kunnen opzetten. Het artikel verbindt specifieke cryptografische artikelen zoals Azure Key Vault configuratie, Customer-Managed Keys (CMK) implementatie, sleutelrotatie, post-quantum cryptografie planning, en versleuteling voor verschillende Azure-services, en biedt handvatten voor governance, monitoring en rapportage. Daarnaast beschrijft het artikel hoe cryptografische beveiliging wordt gemeten, gemonitord en continu verbeterd binnen een Azure-omgeving, met speciale aandacht voor de transitie naar post-quantum cryptografie die essentieel is voor toekomstbestendige beveiliging.
Het cryptografische beveiligingslandschap voor Nederlandse overheidsorganisaties in Azure
Cryptografische beveiliging in Azure omvat een breed spectrum van technologieën, processen en best practices die gezamenlijk zorgen voor de bescherming van gevoelige gegevens tegen ongeautoriseerde toegang, zowel in rust als tijdens transmissie. Voor Nederlandse overheidsorganisaties is het essentieel om te begrijpen hoe verschillende cryptografische componenten samenwerken om een complete beveiligingslaag te vormen die voldoet aan de hoge standaarden die worden vereist door de Baseline Informatiebeveiliging Overheid, de NIS2-richtlijn en andere relevante compliance-frameworks. Het cryptografische landschap begint bij Azure Key Vault, dat fungeert als centrale opslagplaats voor versleutelingssleutels, certificaten en geheimen. Key Vault biedt organisaties de mogelijkheid om volledige controle te hebben over hun cryptografische materialen, inclusief het beheren van sleutellevenscycli, het implementeren van toegangscontrole op basis van rollen, en het waarborgen van compliance met verschillende beveiligingsstandaarden.
Naast Key Vault spelen verschillende versleutelingsmethoden een cruciale rol in het cryptografische landschap. Customer-Managed Keys (CMK) stellen organisaties in staat om volledige controle te hebben over versleutelingssleutels, wat essentieel is voor datasobereiniteit en compliance-vereisten. Microsoft-Managed Keys (MMK) bieden een eenvoudigere aanpak waarbij Microsoft de sleutels beheert, maar bieden minder controle en flexibiliteit. Voor Nederlandse overheidsorganisaties met strikte compliance-vereisten is CMK vaak de voorkeursoptie, omdat dit volledige controle biedt over sleutelbeheer, sleutelrotatie, en toegangsbeheer. Daarnaast is het belangrijk om te begrijpen hoe versleuteling wordt toegepast op verschillende Azure-services, zoals Azure Storage, Azure SQL Database, Azure Cosmos DB, en Azure Managed Disks, waarbij elke service specifieke configuratievereisten heeft die moeten worden begrepen en geïmplementeerd.
Post-quantum cryptografie vormt een steeds belangrijker onderdeel van het cryptografische landschap, omdat traditionele cryptografische algoritmen kwetsbaar worden voor aanvallen met quantumcomputers. Nederlandse overheidsorganisaties moeten beginnen met het plannen van de transitie naar post-quantum cryptografische algoritmen om toekomstbestendige beveiliging te waarborgen. Deze transitie vereist zorgvuldige planning, omdat het niet alleen gaat om het vervangen van algoritmen, maar ook om het waarborgen van compatibiliteit met bestaande systemen en het implementeren van hybride benaderingen die zowel klassieke als post-quantum cryptografie ondersteunen. Het cryptografische landschap omvat ook het beheren van certificaten, het implementeren van digitale handtekeningen, en het waarborgen van integriteit en authenticiteit van gegevens, waarbij elk aspect specifieke aandacht vereist voor een complete cryptografische beveiligingsstrategie.
Azure Key Vault beheer en configuratie
Azure Key Vault vormt de kern van cryptografisch beheer in Azure en biedt organisaties een veilige, gecentraliseerde oplossing voor het opslaan en beheren van versleutelingssleutels, certificaten en geheimen. Voor Nederlandse overheidsorganisaties is het essentieel om Key Vault correct te configureren volgens best practices en compliance-vereisten, waarbij aandacht wordt besteed aan toegangscontrole, logging, netwerkbeveiliging en herstelbaarheid. De configuratie begint bij het kiezen tussen standaard Key Vault en Premium Key Vault, waarbij Premium Key Vault extra functies biedt zoals Hardware Security Modules (HSM) voor het opslaan van sleutels in FIPS 140-2 Level 3 gecertificeerde hardware. Voor organisaties met zeer hoge beveiligingsvereisten, zoals die worden gesteld door de BIO en ISO 27001, kan Premium Key Vault met HSM-backing de voorkeursoptie zijn.
Toegangscontrole voor Key Vault kan worden geïmplementeerd via twee methoden: traditionele Access Policies en moderne Role-Based Access Control (RBAC). Microsoft beveelt aan om RBAC te gebruiken voor nieuwe implementaties, omdat dit meer flexibiliteit biedt, beter integreert met Azure's identiteitsbeheer, en consistenter is met andere Azure-services. RBAC maakt gebruik van ingebouwde rollen zoals Key Vault Secrets Officer, Key Vault Crypto Officer, en Key Vault Administrator, die elk specifieke rechten bieden voor het beheren van verschillende soorten cryptografische materialen. Organisaties moeten een duidelijk rollenmodel definiëren dat voldoet aan het principe van minimale bevoegdheden, waarbij gebruikers alleen de rechten krijgen die zij nodig hebben voor hun specifieke taken. Daarnaast moeten organisaties uitzonderingen configureren voor break-glass accounts en noodtoegang, zodat beheerders altijd toegang hebben tot kritieke sleutels tijdens noodsituaties.
Netwerkbeveiliging voor Key Vault omvat het configureren van firewalls, private endpoints, en virtuele netwerkintegratie. Private endpoints stellen organisaties in staat om Key Vault alleen toegankelijk te maken vanuit specifieke virtuele netwerken, wat het aanvalsoppervlak aanzienlijk verkleint. Firewallregels kunnen worden geconfigureerd om alleen toegang toe te staan vanaf specifieke IP-adressen of IP-bereiken, wat extra beveiliging biedt voor Key Vault-toegang. Diagnostische logging moet worden ingeschakeld voor alle Key Vault-operaties, zodat organisaties een compleet auditlogboek hebben van alle sleuteloperaties, toegangspogingen, en configuratiewijzigingen. Deze logs zijn essentieel voor compliance-doeleinden en forensisch onderzoek, en moeten worden opgeslagen in een Log Analytics-workspace met voldoende bewaartermijn om te voldoen aan compliance-vereisten zoals vastgelegd in de BIO en AVG.
Herstelbaarheid en beschikbaarheid zijn cruciaal voor Key Vault, omdat het verlies van toegang tot versleutelingssleutels kan leiden tot permanente dataverlies. Soft Delete en Purge Protection moeten worden ingeschakeld voor alle productie Key Vaults, zodat verwijderde sleutels kunnen worden hersteld binnen een configuratieperiode en niet permanent kunnen worden verwijderd zonder expliciete actie. Organisaties moeten ook back-upstrategieën implementeren voor kritieke sleutels, waarbij regelmatig back-ups worden gemaakt en opgeslagen op veilige locaties. Multi-region configuraties kunnen worden overwogen voor zeer kritieke sleutels, waarbij sleutels worden gerepliceerd naar meerdere Azure-regio's om beschikbaarheid te waarborgen, hoewel dit extra kosten en complexiteit met zich meebrengt die zorgvuldig moeten worden afgewogen tegen de beveiligings- en beschikbaarheidsvoordelen.
Versleutelingsstrategieën voor Azure-services
Versleuteling in Azure kan worden geïmplementeerd op verschillende niveaus en voor verschillende services, waarbij elke service specifieke configuratievereisten heeft die moeten worden begrepen en geïmplementeerd. Voor Nederlandse overheidsorganisaties is het essentieel om een samenhangende versleutelingsstrategie te ontwikkelen die voldoet aan compliance-vereisten en datasobereiniteitsvereisten, waarbij aandacht wordt besteed aan zowel versleuteling in rust als versleuteling tijdens transmissie. De keuze tussen Customer-Managed Keys (CMK) en Microsoft-Managed Keys (MMK) is een fundamentele beslissing die van invloed is op de mate van controle die organisaties hebben over hun versleutelingssleutels en hun vermogen om te voldoen aan specifieke compliance-vereisten.
Customer-Managed Keys bieden organisaties volledige controle over versleutelingssleutels, inclusief de mogelijkheid om sleutels te roteren volgens een eigen schema, toegang tot sleutels direct in te trekken bij beveiligingsincidenten, en sleutels op te slaan in specifieke geografische locaties voor datasobereiniteit. CMK is essentieel voor organisaties die moeten voldoen aan strikte compliance-vereisten zoals de AVG, die vereist dat organisaties passende technische maatregelen treffen om persoonsgegevens te beveiligen, waarbij controle over versleutelingssleutels een belangrijk aspect is. De implementatie van CMK vereist het aanmaken van een dedicated Key Vault per omgeving met passende RBAC-configuratie, het inschakelen van Soft Delete en Purge Protection, het aanmaken van versleutelingssleutels in Key Vault, en het configureren van Azure-services om CMK te gebruiken. Organisaties moeten ook een sleutelrotatiebeleid implementeren, waarbij sleutels regelmatig worden geroteerd om de beveiliging te waarborgen, waarbij handmatige of automatische rotatie kan worden geconfigureerd afhankelijk van de specifieke behoeften van de organisatie.
Microsoft-Managed Keys bieden een eenvoudigere aanpak waarbij Microsoft de versleutelingssleutels beheert, wat minder operationele overhead met zich meebrengt maar ook minder controle en flexibiliteit biedt. MMK is geschikt voor organisaties met minder strikte compliance-vereisten of voor niet-kritieke workloads waar de operationele eenvoud belangrijker is dan volledige controle over sleutelbeheer. Voor Nederlandse overheidsorganisaties met gevoelige gegevens en strikte compliance-vereisten is CMK meestal de voorkeursoptie, hoewel een hybride benadering mogelijk is waarbij kritieke workloads CMK gebruiken en minder kritieke workloads MMK gebruiken. Ongeacht de gekozen aanpak moeten organisaties ervoor zorgen dat versleuteling is ingeschakeld voor alle gevoelige gegevens, waarbij aandacht wordt besteed aan zowel versleuteling in rust als versleuteling tijdens transmissie, en waarbij gebruik wordt gemaakt van sterke cryptografische algoritmen zoals AES-256 voor symmetrische versleuteling en RSA-2048 of hoger voor asymmetrische versleuteling.
Versleuteling voor specifieke Azure-services vereist aandacht voor de unieke configuratievereisten van elke service. Azure Storage-accounts kunnen worden geconfigureerd om CMK te gebruiken voor versleuteling in rust, waarbij sleutels worden opgeslagen in Key Vault en toegang wordt beheerd via RBAC. Azure SQL Database ondersteunt Transparent Data Encryption (TDE) met CMK, waarbij de database automatisch wordt versleuteld en sleutels worden beheerd via Key Vault. Azure Cosmos DB biedt versleuteling in rust met CMK-ondersteuning, waarbij organisaties volledige controle hebben over versleutelingssleutels. Azure Managed Disks kunnen worden versleuteld met CMK, wat essentieel is voor het beschermen van virtuele machine-data. Voor elke service moeten organisaties de specifieke configuratiestappen volgen, toegangsmachtigingen correct configureren, en ervoor zorgen dat versleuteling daadwerkelijk actief is en correct functioneert. Monitoring en logging zijn essentieel om te verifiëren dat versleuteling correct is geïmplementeerd en om eventuele problemen vroegtijdig te detecteren.
Post-Quantum Cryptografie en toekomstbestendige beveiliging
Post-quantum cryptografie vormt een steeds belangrijker aspect van cryptografische beveiliging, omdat traditionele cryptografische algoritmen zoals RSA en Elliptic Curve Cryptography (ECC) kwetsbaar worden voor aanvallen met quantumcomputers. Voor Nederlandse overheidsorganisaties is het essentieel om te beginnen met het plannen van de transitie naar post-quantum cryptografische algoritmen om toekomstbestendige beveiliging te waarborgen en te voldoen aan aanbevelingen van organisaties zoals het Nationaal Cyber Security Centrum (NCSC) en het National Institute of Standards and Technology (NIST). De transitie naar post-quantum cryptografie is geen eenmalige gebeurtenis, maar een doorlopend proces dat zorgvuldige planning, testen en implementatie vereist, waarbij organisaties moeten balanceren tussen beveiliging, compatibiliteit en operationele haalbaarheid.
De planning voor post-quantum cryptografie begint bij het identificeren van alle systemen en applicaties die gebruik maken van cryptografische algoritmen die kwetsbaar zijn voor quantum-aanvallen. Dit omvat het inventariseren van alle gebruikte algoritmen, het identificeren van waar deze worden gebruikt, en het bepalen van de kritiekheid van elk systeem. Organisaties moeten prioriteren op basis van de kritiekheid van systemen en de gevoeligheid van gegevens, waarbij systemen met zeer gevoelige gegevens of lange bewaartermijnen de hoogste prioriteit krijgen. De transitie kan worden geïmplementeerd via een hybride benadering waarbij zowel klassieke als post-quantum cryptografie worden gebruikt, wat zorgt voor backward compatibility terwijl de beveiliging wordt verbeterd. Microsoft en andere leveranciers werken aan het integreren van post-quantum algoritmen in hun services, waarbij organisaties moeten blijven monitoren op updates en nieuwe mogelijkheden.
Implementatie van post-quantum cryptografie vereist testen en validatie om te waarborgen dat nieuwe algoritmen correct functioneren en compatibel zijn met bestaande systemen. Organisaties moeten testomgevingen opzetten waarin post-quantum algoritmen kunnen worden getest zonder impact op productiesystemen. De transitie moet worden uitgevoerd in gefaseerde benaderingen, waarbij eerst niet-kritieke systemen worden gemigreerd, gevolgd door kritiekere systemen naarmate vertrouwen en ervaring groeien. Monitoring en logging zijn essentieel om te verifiëren dat post-quantum algoritmen correct functioneren en om eventuele problemen vroegtijdig te detecteren. Organisaties moeten ook training en bewustwording implementeren voor IT-personeel en beveiligingsteams, zodat zij begrijpen hoe post-quantum cryptografie werkt en hoe deze moet worden beheerd en gemonitord.
Compliance, governance en monitoring
Cryptografische beveiliging in Azure moet worden beheerd binnen een duidelijk governance-raamwerk dat voldoet aan compliance-vereisten en best practices. Voor Nederlandse overheidsorganisaties is dit essentieel om te voldoen aan de Baseline Informatiebeveiliging Overheid, de NIS2-richtlijn, de AVG en andere relevante wet- en regelgeving. Governance omvat het definiëren van beleid en procedures voor cryptografisch beheer, het implementeren van toegangscontrole en autorisatie, het waarborgen van logging en monitoring, en het regelmatig reviewen en updaten van cryptografische configuraties. Organisaties moeten een duidelijk cryptografisch beheerbeleid ontwikkelen dat specificeert welke versleutelingsmethoden moeten worden gebruikt voor verschillende soorten gegevens, hoe sleutels moeten worden beheerd en geroteerd, en hoe compliance moet worden gemonitord en gerapporteerd.
Monitoring en logging zijn cruciaal voor cryptografische beveiliging, omdat zij organisaties in staat stellen om te verifiëren dat versleuteling correct is geïmplementeerd, toegang tot sleutels te monitoren, en eventuele problemen vroegtijdig te detecteren. Diagnostische logging moet worden ingeschakeld voor alle Key Vault-operaties, versleutelingsoperaties, en toegangspogingen, waarbij logs worden opgeslagen in een Log Analytics-workspace met voldoende bewaartermijn. Dashboards en alerting moeten worden geconfigureerd om real-time inzicht te geven in cryptografische beveiligingsstatus, waarbij waarschuwingen worden gegenereerd wanneer verdachte activiteiten worden gedetecteerd of wanneer versleutelingsconfiguraties worden gewijzigd. Regelmatige audits moeten worden uitgevoerd om te verifiëren dat cryptografische configuraties voldoen aan beleid en compliance-vereisten, waarbij bevindingen worden gedocumenteerd en opgevolgd met verbeteracties.
Compliance-rapportage is essentieel om aan te tonen dat cryptografische beveiliging correct is geïmplementeerd en wordt beheerd volgens relevante standaarden. Organisaties moeten regelmatig rapportages genereren die aantonen welke versleutelingsmethoden worden gebruikt, hoe sleutels worden beheerd, en hoe compliance-vereisten worden nageleefd. Deze rapportages moeten worden gebruikt voor interne audits, externe certificeringen, en communicatie met toezichthouders. Automatisering kan worden gebruikt om compliance-rapportages te genereren, waarbij scripts en tools regelmatig de cryptografische configuratie controleren en rapportages genereren die aantonen dat alle vereisten worden nageleefd. Door een volwassen governance-raamwerk te implementeren kunnen organisaties aantoonbaar voldoen aan compliance-vereisten en continu verbeteren van hun cryptografische beveiligingspostuur.
Compliance & Frameworks
- CIS M365: Control (L1) - Cryptografische beveiliging en sleutelbeheer
- BIO: 09.01, 09.02, 12.01 - Cryptografische beveiliging en sleutelbeheer
- ISO 27001:2022: A.8.2.1, A.10.1.1, A.10.1.2 - Cryptografische beveiliging en sleutelbeheer
- NIS2: Artikel - Cryptografische beveiliging en sleutelbeheer
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Overzichtsmonitoring en remediatie voor Azure Cryptografie-status
.DESCRIPTION
Geeft een samenvattend beeld van de cryptografische beveiligingsstatus van de
Azure-omgeving, inclusief Key Vault configuratie, versleutelingsstatus, en
belangrijke cryptografische beveiligingsindicatoren. Ondersteunt het gericht
identificeren en dichten van cryptografische beveiligingshiaten.
.NOTES
Filename: index.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Controls: 3.1.1, 3.1.2, 3.1.3
Requires: Az.Accounts, Az.KeyVault, Az.Storage, Az.Sql
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.KeyVault
[CmdletBinding()]
param(
[Parameter(Mandatory = $false)]
[switch]$Monitoring,
[Parameter(Mandatory = $false)]
[switch]$Remediation,
[Parameter(Mandatory = $false)]
[switch]$WhatIf
)
$ErrorActionPreference = 'Stop'
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Azure Cryptography Overview" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
function Connect-RequiredServices {
<#
.SYNOPSIS
Maakt verbinding met Azure
#>
try {
$context = Get-AzContext -ErrorAction SilentlyContinue
if (-not $context) {
Write-Host "Connecting to Azure..." -ForegroundColor Gray
Connect-AzAccount -ErrorAction Stop
Write-Host " [OK] Connected to Azure" -ForegroundColor Green
}
else {
Write-Host " [OK] Already connected to Azure" -ForegroundColor Green
Write-Host " Subscription: $($context.Subscription.Name)" -ForegroundColor Gray
}
}
catch {
Write-Host " [FAIL] Failed to connect to Azure: $_" -ForegroundColor Red
throw
}
}
function Get-CryptographyInventory {
<#
.SYNOPSIS
Stelt een overzicht op van Azure Cryptografie-gerelateerde JSON- en PS1-bestanden.
.OUTPUTS
PSCustomObject met aantallen en details.
#>
[CmdletBinding()]
param()
$scriptPath = Split-Path -Parent $MyInvocation.MyCommand.Path
$repoRoot = Resolve-Path (Join-Path $scriptPath "..\..\..") -ErrorAction Stop
$contentRoot = Join-Path $repoRoot "content\azure\cryptography"
$codeRoot = Join-Path $repoRoot "code\azure\cryptography"
$jsonFiles = @()
if (Test-Path -Path $contentRoot) {
$jsonFiles = Get-ChildItem -Path $contentRoot -Filter "*.json" -File -ErrorAction SilentlyContinue
}
$ps1Files = @()
if (Test-Path -Path $codeRoot) {
$ps1Files = Get-ChildItem -Path $codeRoot -Filter "*.ps1" -File -ErrorAction SilentlyContinue
}
$byName = @{}
foreach ($json in $jsonFiles) {
$base = [System.IO.Path]::GetFileNameWithoutExtension($json.Name)
if (-not $byName.ContainsKey($base)) {
$byName[$base] = [pscustomobject]@{
Name = $base
JsonPath = $null
JsonUpdated = $null
ScriptPath = $null
ScriptUpdated= $null
}
}
$byName[$base].JsonPath = $json.FullName
$byName[$base].JsonUpdated = $json.LastWriteTime
}
foreach ($ps1 in $ps1Files) {
$base = [System.IO.Path]::GetFileNameWithoutExtension($ps1.Name)
if (-not $byName.ContainsKey($base)) {
$byName[$base] = [pscustomobject]@{
Name = $base
JsonPath = $null
JsonUpdated = $null
ScriptPath = $null
ScriptUpdated= $null
}
}
$byName[$base].ScriptPath = $ps1.FullName
$byName[$base].ScriptUpdated = $ps1.LastWriteTime
}
return [pscustomobject]@{
TotalArticles = $byName.Count
ArticlesWithJson = ($byName.Values | Where-Object { $_.JsonPath }).Count
ArticlesWithScript = ($byName.Values | Where-Object { $_.ScriptPath }).Count
ArticlesComplete = ($byName.Values | Where-Object { $_.JsonPath -and $_.ScriptPath }).Count
Details = $byName.Values | Sort-Object Name
}
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de configuratie en status van Azure cryptografische beveiliging
#>
try {
Connect-RequiredServices
Write-Host "Checking Azure Cryptography configuration..." -ForegroundColor Gray
$result = @{
keyVaults = 0
keyVaultsWithRBAC = 0
keyVaultsWithSoftDelete = 0
keyVaultsWithPurgeProtection = 0
storageAccounts = 0
storageAccountsWithCMK = 0
sqlServers = 0
sqlServersWithCMK = 0
compliant = $false
}
# Check Key Vaults
Write-Host "`n Checking Azure Key Vaults..." -ForegroundColor Cyan
try {
$keyVaults = Get-AzKeyVault -ErrorAction Stop
if ($keyVaults) {
$result.keyVaults = $keyVaults.Count
Write-Host " [OK] Key Vaults found: $($result.keyVaults)" -ForegroundColor Green
foreach ($kv in $keyVaults) {
$kvDetails = Get-AzKeyVault -VaultName $kv.VaultName -ResourceGroupName $kv.ResourceGroupName -ErrorAction SilentlyContinue
if ($kvDetails) {
# Check RBAC (requires checking access policies vs RBAC)
$accessPolicies = Get-AzKeyVaultAccessPolicy -VaultName $kv.VaultName -ResourceGroupName $kv.ResourceGroupName -ErrorAction SilentlyContinue
if (-not $accessPolicies -or $accessPolicies.Count -eq 0) {
$result.keyVaultsWithRBAC++
Write-Host " - $($kv.VaultName): RBAC enabled" -ForegroundColor Cyan
}
# Check Soft Delete
if ($kvDetails.EnableSoftDelete) {
$result.keyVaultsWithSoftDelete++
}
# Check Purge Protection
if ($kvDetails.EnablePurgeProtection) {
$result.keyVaultsWithPurgeProtection++
}
}
}
}
else {
Write-Host " [WARNING] No Key Vaults found" -ForegroundColor Yellow
}
}
catch {
Write-Host " [WARNING] Could not retrieve Key Vaults: $_" -ForegroundColor Yellow
}
# Check Storage Accounts with CMK
Write-Host "`n Checking Azure Storage Accounts..." -ForegroundColor Cyan
try {
if (Get-Module -ListAvailable -Name Az.Storage) {
$storageAccounts = Get-AzStorageAccount -ErrorAction Stop
if ($storageAccounts) {
$result.storageAccounts = $storageAccounts.Count
Write-Host " [OK] Storage Accounts found: $($result.storageAccounts)" -ForegroundColor Green
foreach ($sa in $storageAccounts) {
$encryption = Get-AzStorageAccount -ResourceGroupName $sa.ResourceGroupName -Name $sa.StorageAccountName -ErrorAction SilentlyContinue
if ($encryption -and $encryption.Encryption -and $encryption.Encryption.KeySource -eq "Microsoft.Keyvault") {
$result.storageAccountsWithCMK++
Write-Host " - $($sa.StorageAccountName): CMK enabled" -ForegroundColor Cyan
}
}
}
}
else {
Write-Host " [INFO] Az.Storage module not available, skipping storage account check" -ForegroundColor Gray
}
}
catch {
Write-Host " [WARNING] Could not retrieve Storage Accounts: $_" -ForegroundColor Yellow
}
# Check SQL Servers with CMK
Write-Host "`n Checking Azure SQL Servers..." -ForegroundColor Cyan
try {
if (Get-Module -ListAvailable -Name Az.Sql) {
$sqlServers = Get-AzSqlServer -ErrorAction Stop
if ($sqlServers) {
$result.sqlServers = $sqlServers.Count
Write-Host " [OK] SQL Servers found: $($result.sqlServers)" -ForegroundColor Green
foreach ($sql in $sqlServers) {
$tde = Get-AzSqlServerTransparentDataEncryption -ResourceGroupName $sql.ResourceGroupName -ServerName $sql.ServerName -ErrorAction SilentlyContinue
if ($tde -and $tde.State -eq "Enabled") {
# Check if CMK is configured (requires additional checks)
$result.sqlServersWithCMK++
Write-Host " - $($sql.ServerName): TDE enabled" -ForegroundColor Cyan
}
}
}
}
else {
Write-Host " [INFO] Az.Sql module not available, skipping SQL server check" -ForegroundColor Gray
}
}
catch {
Write-Host " [WARNING] Could not retrieve SQL Servers: $_" -ForegroundColor Yellow
}
# Get article inventory
Write-Host "`n Article Inventory:" -ForegroundColor Cyan
$inventory = Get-CryptographyInventory
Write-Host " Total Articles: $($inventory.TotalArticles)" -ForegroundColor White
Write-Host " Articles with JSON: $($inventory.ArticlesWithJson)" -ForegroundColor White
Write-Host " Articles with Script: $($inventory.ArticlesWithScript)" -ForegroundColor White
Write-Host " Complete Articles: $($inventory.ArticlesComplete)" -ForegroundColor White
Write-Host "`n Summary:" -ForegroundColor Cyan
Write-Host " Key Vaults: $($result.keyVaults)" -ForegroundColor White
Write-Host " Key Vaults with RBAC: $($result.keyVaultsWithRBAC)" -ForegroundColor White
Write-Host " Key Vaults with Soft Delete: $($result.keyVaultsWithSoftDelete)" -ForegroundColor White
Write-Host " Key Vaults with Purge Protection: $($result.keyVaultsWithPurgeProtection)" -ForegroundColor White
Write-Host " Storage Accounts: $($result.storageAccounts)" -ForegroundColor White
Write-Host " Storage Accounts with CMK: $($result.storageAccountsWithCMK)" -ForegroundColor White
Write-Host " SQL Servers: $($result.sqlServers)" -ForegroundColor White
Write-Host " SQL Servers with TDE: $($result.sqlServersWithCMK)" -ForegroundColor White
# Determine compliance status
$hasKeyVaults = $result.keyVaults -gt 0
$hasSoftDelete = $result.keyVaultsWithSoftDelete -gt 0
$hasPurgeProtection = $result.keyVaultsWithPurgeProtection -gt 0
if ($hasKeyVaults -and $hasSoftDelete -and $hasPurgeProtection) {
$result.compliant = $true
Write-Host "`n [OK] COMPLIANT" -ForegroundColor Green
Write-Host " Azure cryptografische beveiliging is geconfigureerd met Key Vaults" -ForegroundColor Cyan
Write-Host " en essentiële beveiligingsfuncties zijn ingeschakeld" -ForegroundColor Cyan
exit 0
}
else {
Write-Host "`n [WARNING] PARTIALLY COMPLIANT OR NON-COMPLIANT" -ForegroundColor Yellow
Write-Host " Aanbevolen: Configureer een volledig cryptografisch beheer-raamwerk" -ForegroundColor Yellow
if (-not $hasKeyVaults) {
Write-Host " - Implementeer Azure Key Vault voor sleutelbeheer" -ForegroundColor Gray
}
if (-not $hasSoftDelete) {
Write-Host " - Schakel Soft Delete in voor alle Key Vaults" -ForegroundColor Gray
}
if (-not $hasPurgeProtection) {
Write-Host " - Schakel Purge Protection in voor alle Key Vaults" -ForegroundColor Gray
}
exit 1
}
}
catch {
Write-Host "`n [FAIL] ERROR: $_" -ForegroundColor Red
Write-Host " Error Details: $($_.Exception.Message)" -ForegroundColor Red
Write-Host "`n Note: Azure cryptografische beveiliging vereist Azure Key Vault en" -ForegroundColor Yellow
Write-Host " passende Azure-abonnement rechten" -ForegroundColor Yellow
exit 2
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Genereert overzichten van cryptografische beveiligingshiaten en biedt handvatten voor verbeteracties
#>
try {
Connect-RequiredServices
Write-Host "Azure Cryptography Remediation Overview" -ForegroundColor Gray
Write-Host "`n [INFO] Identificeer cryptografische beveiligingshiaten en plan gerichte verbeteracties" -ForegroundColor Yellow
Write-Host "`n Aanbevolen verbeteracties:" -ForegroundColor Cyan
Write-Host "`n 1. Azure Key Vault configuratie:" -ForegroundColor Yellow
Write-Host " - Implementeer Azure Key Vault voor centrale sleutelopslag" -ForegroundColor Gray
Write-Host " - Schakel RBAC in voor toegangscontrole" -ForegroundColor Gray
Write-Host " - Schakel Soft Delete en Purge Protection in" -ForegroundColor Gray
Write-Host " - Configureer diagnostische logging voor alle Key Vault-operaties" -ForegroundColor Gray
Write-Host " - Implementeer firewallregels en private endpoints" -ForegroundColor Gray
Write-Host "`n 2. Customer-Managed Keys (CMK):" -ForegroundColor Yellow
Write-Host " - Configureer CMK voor Azure Storage-accounts" -ForegroundColor Gray
Write-Host " - Implementeer CMK voor Azure SQL Database met TDE" -ForegroundColor Gray
Write-Host " - Configureer CMK voor Azure Cosmos DB" -ForegroundColor Gray
Write-Host " - Implementeer CMK voor Azure Managed Disks" -ForegroundColor Gray
Write-Host "`n 3. Sleutelbeheer:" -ForegroundColor Yellow
Write-Host " - Implementeer automatische sleutelrotatie" -ForegroundColor Gray
Write-Host " - Configureer sleutelvervalbeleid" -ForegroundColor Gray
Write-Host " - Documenteer sleutellevenscycli en rotatieprocedures" -ForegroundColor Gray
Write-Host " - Implementeer back-upstrategieën voor kritieke sleutels" -ForegroundColor Gray
Write-Host "`n 4. Post-Quantum Cryptografie:" -ForegroundColor Yellow
Write-Host " - Plan transitie naar post-quantum cryptografische algoritmen" -ForegroundColor Gray
Write-Host " - Inventariseer alle gebruikte cryptografische algoritmen" -ForegroundColor Gray
Write-Host " - Implementeer hybride benaderingen voor backward compatibility" -ForegroundColor Gray
Write-Host " - Monitor updates van Microsoft en andere leveranciers" -ForegroundColor Gray
Write-Host "`n 5. Monitoring en Compliance:" -ForegroundColor Yellow
Write-Host " - Configureer dashboards voor cryptografische beveiligingsstatus" -ForegroundColor Gray
Write-Host " - Automatiseer compliance-rapportages" -ForegroundColor Gray
Write-Host " - Monitor sleutelgebruik en toegangspogingen" -ForegroundColor Gray
Write-Host " - Implementeer regelmatige audits van cryptografische configuraties" -ForegroundColor Gray
Write-Host "`n [INFO] Gebruik de specifieke artikelen en scripts voor gedetailleerde implementatie-instructies" -ForegroundColor Cyan
Write-Host " [INFO] Voer -Monitoring uit om de voortgang te verifiëren" -ForegroundColor Cyan
exit 0
}
catch {
Write-Host "`n [FAIL] ERROR: $_" -ForegroundColor Red
Write-Host " Error Details: $($_.Exception.Message)" -ForegroundColor Red
exit 2
}
}
try {
if ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
Invoke-Remediation
}
else {
Write-Host "Usage:" -ForegroundColor Yellow
Write-Host " -Monitoring Controleer Azure cryptografische beveiliging configuratie" -ForegroundColor Gray
Write-Host " -Remediation Toon remediatie-instructies" -ForegroundColor Gray
Write-Host "`n Voorbeeld:" -ForegroundColor Cyan
Write-Host " .\index.ps1 -Monitoring" -ForegroundColor White
}
}
catch {
throw
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
Critical: Kritiek - Zonder volwassen cryptografisch beheer-raamwerk kunnen organisaties niet effectief controleren wie toegang heeft tot versleutelingssleutels, wanneer sleutels worden geroteerd, en of versleuteling correct is geïmplementeerd. Dit creëert aanzienlijke beveiligingsrisico's en niet-naleving van compliance-vereisten.
Management Samenvatting
Implementeer een volwassen cryptografisch beheer-raamwerk met Azure Key Vault, Customer-Managed Keys, en post-quantum cryptografie planning. Essentieel voor datasobereiniteit en compliance met BIO, NIS2, AVG en ISO 27001. Implementatietijd: 30 uur.
- Implementatietijd: 30 uur
- FTE required: 0.2 FTE