L1 BIO 10.01 ISO A.8.24 CIS 3.2

Versleuteling Bij Rust Voor Azure Data Protection

📅 2025-01-15
⏱️ 15 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Versleuteling bij rust vormt de fundamentele beveiligingslaag voor alle gegevens die worden opgeslagen in Azure-services. Deze kritieke beveiligingsmaatregel beschermt organisatiegegevens tegen ongeautoriseerde toegang wanneer gegevens in rust zijn opgeslagen in diverse Azure-services zoals Storage Accounts, SQL-databases, Key Vault, en andere data-opslagservices. Azure biedt automatische versleuteling bij rust voor de meeste services, waarbij organisaties kunnen kiezen tussen door Microsoft beheerde sleutels voor eenvoud en door klanten beheerde sleutels via Azure Key Vault voor volledige controle over de versleutelingssleutels. Deze maatregel is essentieel voor naleving van beveiligingskaders zoals CIS Azure Foundations Benchmark, BIO-normen en ISO 27001, en vormt een wettelijke vereiste voor organisaties die persoonsgegevens verwerken onder de AVG.

Aanbeveling
IMPLEMENT
Risico zonder
Critical
Risk Score
9/10
Implementatie
6u (tech: 4u)
Van toepassing op:
Azure

De noodzaak van versleuteling bij rust voor Azure Data Protection ontstaat uit meerdere kritieke beveiligingsrisico's waaraan onversleutelde gegevens blootstaan in moderne cloudomgevingen. Het primaire risico betreft diefstal van fysieke media, waarbij aanvallers fysieke toegang verkrijgen tot Azure-datacenters of opslagmedia. In dergelijke scenario's zouden onversleutelde gegevens direct leesbaar zijn zonder enige vorm van authenticatie of autorisatie, waardoor aanvallers volledige toegang krijgen tot alle opgeslagen gegevens inclusief persoonsgegevens, bedrijfsgeheimen, en vertrouwelijke overheidsinformatie. Dit risico is bijzonder relevant voor Nederlandse organisaties die werken met gevoelige gegevens, waarbij een dergelijk datalek catastrofale gevolgen kan hebben voor zowel de organisatie als de betrokken individuen. Het tweede risico betreft onbevoegde toegang op opslagniveau, waarbij aanvallers toegang verkrijgen tot opslagaccounts, databases, of andere data-services door middel van phishing, social engineering, of technische exploits. Zelfs wanneer applicaties op applicatieniveau beveiligingsmaatregelen hebben geïmplementeerd, zou compromittering van opslagaccountsleutels of database-credentials directe toegang geven tot alle gegevens zonder beveiliging op opslagniveau. Het derde risico betreft compliance-schendingen, omdat vrijwel alle moderne beveiligings- en privacykaders versleuteling van gegevens in rust verplicht stellen. De Algemene Verordening Gegevensbescherming (AVG) Artikel 32 eist expliciet passende technische maatregelen waaronder versleuteling van persoonsgegevens, waarbij niet-naleving kan leiden tot boetes tot twintig miljoen euro of vier procent van de wereldwijde jaaromzet. Voor Nederlandse overheidsorganisaties is naleving van de BIO (Baseline Informatiebeveiliging Overheid) norm 10.01 verplicht, die cryptografische maatregelen vereist voor de bescherming van informatie. Versleuteling bij rust lost al deze problemen op door automatische AES-256-versleuteling van alle gegevens voordat deze naar schijf worden geschreven, waarbij de AES-256-standaard wordt erkend als militaire encryptie die praktisch onbreekbaar is met huidige technologie.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Storage, Az.Sql, Az.KeyVault

Implementatie

Deze maatregel vormt een systematische verificatie- en implementatieprocedure om te bevestigen dat versleuteling bij rust daadwerkelijk actief is op alle relevante Azure-services binnen de omgeving van een organisatie. De procedure begint met een inventarisatie van alle Azure-services die gegevens opslaan, waaronder Storage Accounts voor ongestructureerde gegevens zoals documenten, afbeeldingen en video's, Azure SQL-databases voor relationele gegevens, Azure Cosmos DB voor NoSQL-gegevens, Azure Key Vault voor geheimen en certificaten, en andere data-opslagservices zoals Azure Files, Azure Tables, en Azure Queues. Voor elk type service wordt de versleutelingsstatus gecontroleerd via specifieke PowerShell-cmdlets of Azure Portal-configuraties, waarbij wordt geverifieerd of versleuteling actief is en welk type versleutelingssleutel wordt gebruikt. Azure biedt standaard versleuteling bij rust voor de meeste services met door Microsoft beheerde sleutels, waarbij Microsoft automatisch versleutelingssleutels beheert, roteert, en back-upt zonder enige interventie van de organisatie. Voor organisaties die volledige controle over de sleutellevenscyclus vereisen, biedt Azure de mogelijkheid om door klanten beheerde sleutels te gebruiken via Azure Key Vault, waarbij organisaties volledige controle hebben over sleutelrotatie, toegangsbeperkingen, en sleutelbeleid. De verificatie kost doorgaans enkele uren voor een gemiddelde Azure-omgeving en is verplicht voor CIS Azure Benchmark controle 3.2 Niveau 1, BIO 10.01 cryptografische maatregelen, en AVG Artikel 32 versleutelingsvereisten.

Vereisten

Voor de implementatie en verificatie van versleuteling bij rust voor Azure Data Protection zijn specifieke vereisten noodzakelijk die organisaties moeten begrijpen en voorbereiden voordat zij beginnen met de verificatieprocedure. De primaire vereiste betreft de aanwezigheid van Azure-services die gegevens opslaan binnen de Azure-omgeving. Deze services kunnen verschillende typen bevatten die elk hun eigen specifieke gebruiksscenario's en beveiligingsoverwegingen hebben. Azure Storage Accounts worden gebruikt voor ongestructureerde gegevens zoals documenten, afbeeldingen, video's en back-ups, waarbij organisaties kunnen kiezen tussen verschillende toegangsniveaus zoals hot, cool of archive storage tiers. Azure SQL-databases bieden relationele databaseopslag voor gestructureerde gegevens die transactionele consistentie vereisen, terwijl Azure Cosmos DB NoSQL-gegevensopslag biedt voor wereldwijd gedistribueerde applicaties. Azure Key Vault biedt veilige opslag voor geheimen, certificaten, en versleutelingssleutels, terwijl andere services zoals Azure Files, Azure Tables, en Azure Queues gespecialiseerde opslag bieden voor specifieke use cases. Ongeacht het type service dat een organisatie gebruikt, versleuteling bij rust is vaak standaard ingeschakeld voor nieuwe resources, maar organisaties moeten verifiëren dat versleuteling daadwerkelijk actief is en dat de configuratie voldoet aan hun compliance-vereisten.

Voor de verificatie van de versleutelingsstatus is toegang tot de Azure-omgeving vereist via een account met voldoende machtigingen. De minimale vereiste rol is Lezer voor het ophalen van resource-eigenschappen, wat betekent dat een gebruiker met deze rol de versleutelingsstatus kan controleren maar geen wijzigingen kan aanbrengen. Voor volledige verificatie en eventuele remediatie is de rol Inzender of specifieke service-specifieke rollen zoals Storage Account Inzender of SQL DB Inzender aanbevolen, omdat deze rollen de mogelijkheid bieden om niet alleen de status te controleren maar ook eventuele configuratiewijzigingen door te voeren indien nodig. Daarnaast is PowerShell met de benodigde Az-modules vereist voor het uitvoeren van de verificatiescripts. De primaire modules omvatten Az.Accounts voor authenticatie, Az.Storage voor Storage Account-checks, Az.Sql voor SQL-database-checks, en Az.KeyVault voor Key Vault-checks. Deze modules kunnen worden geïnstalleerd via Install-Module -Name Az.Accounts,Az.Storage,Az.Sql,Az.KeyVault -Force en vereisen een actieve verbinding met Azure via Connect-AzAccount. Het is belangrijk te benadrukken dat deze modules deel uitmaken van de bredere Az-module suite, wat betekent dat organisaties die al gebruik maken van andere Azure PowerShell-modules mogelijk al over de benodigde modules beschikken.

Vanuit een beveiligingsperspectief vereist deze maatregel dat organisaties beschikken over een duidelijk gedefinieerd gegevensclassificatiebeleid dat aangeeft welke gegevens als gevoelig worden beschouwd en daarom extra bescherming vereisen. Dit beleid moet niet alleen beschrijven welke gegevens versleuteling vereisen, maar ook waarom bepaalde gegevens als gevoelig worden beschouwd en wat de gevolgen zijn van ongeautoriseerde toegang tot deze gegevens. Voor Nederlandse overheidsorganisaties betekent dit vaak dat alle persoonsgegevens, bedrijfsgevoelige informatie en operationele gegevens als kritiek worden beschouwd en daarom versleuteling vereisen. Persoonsgegevens omvatten alle informatie die direct of indirect kan worden gebruikt om een natuurlijk persoon te identificeren, zoals namen, adressen, burgerservicenummers en e-mailadressen. Bedrijfsgevoelige informatie omvat strategische plannen, financiële gegevens, contracten en intellectueel eigendom, terwijl operationele gegevens kritieke systemconfiguraties en logbestanden kunnen bevatten. Het is belangrijk dat dit beleid wordt gedocumenteerd en regelmatig wordt geëvalueerd om te voldoen aan veranderende regelgeving en bedrijfsvereisten. Regelmatige evaluatie zorgt ervoor dat het beleid actueel blijft en dat nieuwe typen gegevens of veranderende risico's worden meegenomen in de classificatie.

Organisatorische vereisten omvatten de aanwezigheid van een duidelijk gedefinieerd proces voor het beheren van versleutelingssleutels, wat een kritiek onderdeel is van een effectieve versleutelingsstrategie. Azure biedt twee primaire opties voor versleuteling: door Microsoft beheerde sleutels en door de klant beheerde sleutels. Door Microsoft beheerde sleutels worden automatisch beheerd door Azure en vereisen geen aanvullende configuratie of beheer van de organisatie. Deze optie is geschikt voor de meeste organisaties en biedt voldoende beveiliging voor de meeste gebruiksscenario's zonder de complexiteit van sleutelbeheer. Door de klant beheerde sleutels bieden organisaties volledige controle over de versleutelingssleutels, inclusief de mogelijkheid om sleutels te roteren, te verwijderen of te wijzigen volgens organisatiespecifieke vereisten. Voor organisaties met strikte compliance-eisen, zoals overheidsorganisaties die voldoen aan BIO-normen, kan het gebruik van door de klant beheerde sleutels via Azure Key Vault een vereiste zijn. Deze aanpak vereist echter aanvullende configuratie en beheer van Key Vault resources, wat betekent dat organisaties moeten beschikken over expertise in Azure Key Vault en de processen voor sleutelbeheer. Organisaties moeten ook overwegen hoe zij back-ups van sleutels zullen beheren en hoe zij toegang tot sleutels zullen controleren en monitoren, omdat verlies van toegang tot versleutelingssleutels kan resulteren in onherstelbaar gegevensverlies.

Monitoring en Verificatie

Gebruik PowerShell-script encryption-at-rest-enabled.ps1 (functie Invoke-Monitoring) – Controleren.

Monitoring van versleuteling bij rust voor Azure Data Protection is een kritieke activiteit die regelmatig moet worden uitgevoerd om te waarborgen dat alle relevante Azure-services correct zijn geconfigureerd en blijven voldoen aan beveiligings- en compliance-vereisten. De monitoringprocedure moet systematisch alle Azure-services controleren die gegevens opslaan, waarbij wordt geverifieerd dat versleuteling actief is en dat de configuratie voldoet aan organisatorische en regelgevingsvereisten. Deze monitoring moet worden uitgevoerd op regelmatige basis, bij voorkeur maandelijks of bij elke wijziging in de Azure-infrastructuur, om te garanderen dat versleuteling actief blijft en dat er geen onbevoegde wijzigingen zijn aangebracht aan de configuratie. Organisaties moeten een gestructureerde aanpak hanteren voor het monitoren van de versleutelingsstatus, waarbij zowel automatische als handmatige verificatiemethoden worden gebruikt om een volledig beeld te krijgen van de beveiligingspostuur van hun Azure-omgeving. Deze aanpak moet worden gedocumenteerd in het beveiligingsbeleid van de organisatie en moet regelmatig worden geëvalueerd om te zorgen dat deze effectief blijft.

De verificatieprocedure begint met het ophalen van een inventarisatie van alle relevante Azure-resources binnen het abonnement of specifieke resourcegroepen. Voor Storage Accounts wordt de versleutelingsstatus gecontroleerd via Get-AzStorageAccount, waarbij wordt gecontroleerd of de Encryption.Services.Blob.Enabled en Encryption.Services.File.Enabled properties true zijn. Voor Azure SQL-databases wordt de versleutelingsstatus gecontroleerd via Get-AzSqlDatabaseTransparentDataEncryption, waarbij wordt gecontroleerd of Transparent Data Encryption (TDE) actief is. Voor Azure Cosmos DB wordt de versleutelingsstatus gecontroleerd via Get-AzCosmosDBAccount, waarbij wordt gecontroleerd of de EnableAutomaticFailover en EnableMultipleWriteLocations properties correct zijn geconfigureerd voor versleuteling. Voor Azure Key Vault wordt de versleutelingsstatus gecontroleerd via Get-AzKeyVault, waarbij wordt gecontroleerd of soft delete en purge protection zijn ingeschakeld voor beveiligde sleutelopslag. Elke service heeft specifieke verificatiemethoden die moeten worden gevolgd om accuraat de versleutelingsstatus te bepalen, waarbij organisaties moeten zorgen dat alle relevante services worden gecontroleerd zonder uitzonderingen.

Voor grootschalige omgevingen met honderden of duizenden resources is handmatige verificatie via de portal niet praktisch en kan dit leiden tot menselijke fouten en inconsistente verificatie. In dergelijke scenario's moeten organisaties gebruik maken van geautomatiseerde monitoring via Azure Policy of PowerShell-scripts die kunnen worden uitgevoerd volgens een vastgesteld schema. Azure Policy biedt ingebouwde beleidsregels die automatisch kunnen controleren of versleuteling is ingeschakeld voor alle relevante resources binnen een abonnement of resourcegroep. Deze beleidsregels kunnen worden toegepast op abonnements- of resourcegroepniveau en bieden continue compliance-monitoring zonder handmatige interventie. Wanneer een beleidsregel detecteert dat versleuteling niet is ingeschakeld voor een resource, kan deze automatisch een waarschuwing genereren of zelfs automatische remediatie uitvoeren om versleuteling in te schakelen. PowerShell-scripts bieden meer flexibiliteit en kunnen worden aangepast aan specifieke organisatievereisten, maar vereisen meer onderhoud en expertise om effectief te implementeren en te onderhouden. Deze scripts kunnen worden geïntegreerd in bestaande CI/CD-pipelines of worden uitgevoerd als geplande taken via Azure Automation of andere orchestratie-tools.

Naast het verifiëren van de versleutelingsstatus zelf, moeten organisaties ook monitoren of er wijzigingen zijn aangebracht aan de versleutelingsconfiguratie, wat kan wijzen op onbevoegde toegang of onbedoelde configuratiewijzigingen. Azure Activity Log biedt gedetailleerd inzicht in alle configuratiewijzigingen die zijn aangebracht aan Azure-resources, inclusief wijzigingen aan versleutelingsinstellingen, wijzigingen aan toegangsrechten, en andere beveiligingsgerelateerde configuratiewijzigingen. Deze logboeken bevatten informatie over wie de wijziging heeft aangebracht, wanneer deze heeft plaatsgevonden, en wat de exacte wijziging was. Deze logboeken moeten regelmatig worden gecontroleerd om te detecteren of er onbevoegde of onbedoelde wijzigingen zijn aangebracht die de beveiliging van resources kunnen compromitteren. Voor organisaties met strikte compliance-eisen kan het nodig zijn om deze logboeken te archiveren voor audit-doeleinden, vaak voor een periode van zeven jaar zoals vereist door verschillende regelgevingskaders zoals de AVG en BIO-normen. Organisaties moeten ook overwegen om geautomatiseerde waarschuwingen in te stellen die worden geactiveerd wanneer er wijzigingen worden aangebracht aan versleutelingsinstellingen, zodat beveiligingsteams onmiddellijk kunnen reageren op potentiële beveiligingsincidenten.

Compliance en Toetsing

Versleuteling bij rust voor Azure Data Protection speelt een centrale rol in het voldoen aan diverse compliance-vereisten die van toepassing zijn op Nederlandse organisaties, met name voor overheidsorganisaties en organisaties die werken met gevoelige gegevens. De versleuteling van gegevens in rust is een fundamentele beveiligingsmaatregel die wordt vereist door vrijwel alle moderne beveiligings- en privacykaders, waardoor het een essentieel onderdeel vormt van elke serieuze beveiligingsstrategie. Deze versleuteling biedt niet alleen technische bescherming tegen onbevoegde toegang maar dient ook als bewijs van noodzakelijke zorgvuldigheid bij gegevensbescherming, wat cruciaal is voor het kunnen aantonen van compliance tijdens externe audits en toetsingen. De CIS Azure Foundations Benchmark controle 3.2 op Niveau 1 vereist expliciet dat versleuteling is ingeschakeld voor alle opslagaccounts, waarbij verificatie van de versleutelingsstatus een verplicht onderdeel vormt van de compliance-audit. Deze controle is geclassificeerd als Level 1, wat betekent dat het een basisbeveiligingsmaatregel betreft die zonder uitzondering moet worden geïmplementeerd en die niet kan worden overgeslagen of genegeerd zonder significante beveiligingsrisico's te accepteren. De CIS Azure Benchmark wordt wereldwijd erkend als een autoritatieve bron voor cloudbeveiligingsbest practices, waardoor naleving van deze controles essentieel is voor organisaties die serieus omgaan met cloudbeveiliging.

Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid (BIO) van bijzonder belang omdat dit het primaire beveiligingskader is dat wordt gebruikt door Nederlandse overheidsorganisaties voor het beveiligen van hun informatievoorziening. Binnen het BIO-kader wordt versleuteling behandeld in norm 10.01, die specifiek ingaat op de vereisten voor cryptografische beveiliging van gegevens. Deze norm vereist dat organisaties passende cryptografische maatregelen implementeren om gegevens te beschermen tegen ongeautoriseerde toegang, zowel tijdens transmissie als tijdens opslag. De norm benadrukt dat cryptografische maatregelen moeten worden gekozen op basis van de gevoeligheid van de gegevens en de bedreigingen waaraan deze worden blootgesteld. Voor Azure-resources betekent dit dat versleuteling bij rust niet alleen moet zijn ingeschakeld, maar ook dat organisaties moeten kunnen aantonen dat de implementatie voldoet aan de vereisten van de norm en dat de gebruikte cryptografische methoden geschikt zijn voor het beschermen van de gevoeligheid van de opgeslagen gegevens. Organisaties moeten ook kunnen aantonen dat zij processen hebben voor het beheren van versleutelingssleutels en voor het monitoren en auditen van de versleutelingsconfiguratie. Voor overheidsorganisaties die moeten voldoen aan BIO-normen, is het niet voldoen aan deze vereisten vaak een belemmering voor het verkrijgen van certificering en kan dit leiden tot het niet kunnen gebruiken van bepaalde systemen of services voor het verwerken van gevoelige overheidsgegevens.

De ISO 27001:2022 standaard behandelt versleuteling in controle A.8.24, die betrekking heeft op het gebruik van cryptografie voor het beschermen van informatie. Deze controle vereist dat organisaties een cryptografiebeleid ontwikkelen en implementeren dat geschikt is voor hun informatiebeveiligingsbehoeften en dat beschrijft wanneer en hoe cryptografie moet worden gebruikt. Het beleid moet aangeven welke cryptografische methoden geschikt zijn voor verschillende typen gegevens en scenario's, hoe versleutelingssleutels moeten worden beheerd, en hoe de effectiviteit van cryptografische maatregelen moet worden geëvalueerd. Binnen de context van Azure-resources betekent dit dat organisaties moeten kunnen aantonen dat zij versleuteling gebruiken die voldoet aan geaccepteerde cryptografische standaarden, zoals de 256-bit AES-versleuteling die standaard wordt gebruikt door de meeste Azure-services. AES-256 wordt algemeen beschouwd als een veilige versleutelingsmethode die geschikt is voor het beschermen van gevoelige gegevens en wordt aanbevolen door beveiligingsexperts en regelgevingsinstanties wereldwijd. Organisaties die ISO 27001-certificering nastreven of behouden, moeten kunnen aantonen dat hun versleutelingsimplementatie voldoet aan deze controle en dat zij processen hebben voor het beheren, monitoren en auditen van cryptografische maatregelen. Dit vereist vaak uitgebreide documentatie en regelmatige audits om te verifiëren dat cryptografische maatregelen correct zijn geïmplementeerd en effectief blijven.

Naast deze specifieke beveiligingskaders is versleuteling bij rust ook relevant voor naleving van de Algemene Verordening Gegevensbescherming (AVG), die van toepassing is op alle organisaties die persoonsgegevens verwerken van personen in de Europese Unie. Hoewel de AVG niet expliciet versleuteling vereist voor alle scenario's, beschouwt artikel 32 van de AVG versleuteling als een passende technische maatregel voor het beschermen van persoonsgegevens tegen ongeautoriseerde toegang, verlies of vernietiging. Artikel 32 vereist dat organisaties passende technische en organisatorische maatregelen implementeren om persoonsgegevens te beschermen, waarbij versleuteling wordt genoemd als een voorbeeld van een dergelijke maatregel. Voor organisaties die persoonsgegevens verwerken in Azure-services, kan het implementeren van versleuteling bij rust helpen bij het aantonen van naleving van de AVG-vereisten voor gegevensbescherming en kan dit helpen bij het verminderen van de risico's van datalekken en de daaruit voortvloeiende verplichtingen voor het melden van datalekken. Dit is met name relevant voor Nederlandse organisaties die persoonsgegevens verwerken van Europese burgers, omdat het niet implementeren van passende beveiligingsmaatregelen kan leiden tot aanzienlijke boetes van de Autoriteit Persoonsgegevens, die kan oplopen tot twintig miljoen euro of vier procent van de wereldwijde jaaromzet, afhankelijk van welke waarde hoger is.

Remediatie

Gebruik PowerShell-script encryption-at-rest-enabled.ps1 (functie Invoke-Remediation) – Herstellen.

Remediatie voor versleuteling bij rust in Azure Data Protection omvat het inschakelen van versleuteling voor alle relevante Azure-services die momenteel geen versleuteling hebben ingeschakeld, of het corrigeren van configuratiefouten die voorkomen dat versleuteling correct functioneert. De remediatieprocedure verschilt per service type, waarbij elk type service specifieke configuratiestappen vereist om versleuteling correct in te schakelen. Het is belangrijk om te begrijpen dat het inschakelen van versleuteling bij rust voor bestaande resources geen impact heeft op de beschikbaarheid of prestaties van de services, wat betekent dat organisaties versleuteling kunnen inschakelen zonder dat dit leidt tot downtime of prestatieverlies. Versleuteling wordt toegepast op alle gegevens die al zijn opgeslagen en op alle nieuwe gegevens die worden geschreven, wat zorgt voor verbeterde beveiliging van opgeslagen gegevens zonder dat bestaande gegevens hoeven te worden gemigreerd of opnieuw moeten worden geschreven. Deze naadloze implementatie maakt het voor organisaties mogelijk om versleuteling in te schakelen zonder operationele impact, wat essentieel is voor productieomgevingen waar beschikbaarheid van essentieel belang is.

Voor Azure Storage Accounts kan versleuteling worden ingeschakeld via de Azure Portal door te navigeren naar het Storage Account, de sectie Versleuteling te selecteren, en de optie voor versleuteling bij rust te activeren. Alternatief kan versleuteling worden ingeschakeld via PowerShell met behulp van de Set-AzStorageAccount cmdlet, waarbij de -EnableEncryptionService parameters worden gebruikt om versleuteling in te schakelen voor blob en file services. Voor Azure SQL-databases kan Transparent Data Encryption (TDE) worden ingeschakeld via de Azure Portal door te navigeren naar de database, de sectie Transparent data encryption te selecteren, en TDE te activeren. Alternatief kan TDE worden ingeschakeld via PowerShell met behulp van de Set-AzSqlDatabaseTransparentDataEncryption cmdlet. Voor Azure Cosmos DB is versleuteling bij rust standaard ingeschakeld voor alle accounts en kan niet worden uitgeschakeld, wat betekent dat organisaties alleen hoeven te verifiëren dat versleuteling actief is. Voor Azure Key Vault is versleuteling inherent aan de service omdat alle opgeslagen geheimen en sleutels automatisch worden versleuteld, maar organisaties moeten verifiëren dat soft delete en purge protection zijn ingeschakeld voor beveiligde sleutelopslag.

Na het inschakelen van versleuteling bij rust, is het essentieel om te verifiëren dat de configuratie correct is toegepast en dat versleuteling daadwerkelijk actief is voor alle relevante resources. Dit kan worden gedaan door de versleutelingsstatus te controleren via de Azure Portal of via PowerShell-scripts die automatisch de versleutelingsstatus kunnen controleren voor meerdere resources tegelijk. Organisaties moeten ook controleren of er geen fouten zijn opgetreden tijdens het activeringsproces door de Azure Activity Log te controleren op eventuele foutmeldingen of waarschuwingen die verband houden met de versleutelingsconfiguratie. Daarnaast moeten organisaties verifiëren dat alle verwachte resources nu versleuteling hebben ingeschakeld, wat kan worden gedaan door een inventarisatie uit te voeren van alle resources en te controleren of elke resource versleuteling heeft ingeschakeld. Voor grote omgevingen met veel resources kan geautomatiseerde verificatie via scripts of Azure Policy effectiever zijn dan handmatige verificatie, omdat dit sneller is en minder gevoelig voor menselijke fouten. Geautomatiseerde verificatie kan ook worden geconfigureerd om regelmatig te worden uitgevoerd, wat zorgt voor continue monitoring van de versleutelingsstatus zonder handmatige interventie.

In scenario's waar versleuteling niet kan worden ingeschakeld of waar er problemen optreden tijdens het activeringsproces, moeten organisaties de onderliggende oorzaak onderzoeken om te begrijpen waarom de remediatie niet succesvol was. Mogelijke oorzaken kunnen zijn onvoldoende toegangsrechten voor het account dat probeert versleuteling in te schakelen, wat betekent dat het account niet over de juiste rol beschikt om versleutelingsinstellingen te wijzigen. Andere mogelijke oorzaken kunnen zijn problemen met de Azure-service zelf, zoals tijdelijke service-onderbrekingen of technische problemen die voorkomen dat configuratiewijzigingen worden toegepast. Configuratieconflicten kunnen ook voorkomen, zoals wanneer er meerdere beleidsregels of configuraties zijn die met elkaar conflicteren. In dergelijke gevallen moeten organisaties contact opnemen met Azure-ondersteuning of hun cloudbeheerder om het probleem op te lossen, wat kan vereisen dat zij gedetailleerde informatie verstrekken over het probleem, inclusief foutmeldingen, tijdstippen waarop het probleem optrad, en welke acties zijn ondernomen om het probleem op te lossen. Het is belangrijk dat organisaties een proces hebben voor het escaleren van dergelijke problemen om te waarborgen dat versleuteling zo snel mogelijk kan worden geactiveerd en dat problemen niet onopgelost blijven, wat de beveiliging van opgeslagen gegevens zou kunnen compromitteren.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Versleuteling bij Rust voor Azure Data Protection - Monitoring en Remediatie .DESCRIPTION CIS Azure Foundations Benchmark - Control 3.2 Controleert of versleuteling bij rust is ingeschakeld voor alle relevante Azure-services inclusief Storage Accounts, SQL-databases, Cosmos DB, en Key Vault. .NOTES Filename: encryption-at-rest-enabled.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 3.2 Related JSON: content/azure/data-protection/encryption-at-rest-enabled.json #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Storage, Az.Sql, Az.KeyVault [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $PolicyName = "Versleuteling bij Rust - Azure Data Protection" function Connect-RequiredServices { <# .SYNOPSIS Verbind met Azure met de benodigde modules #> if (-not (Get-AzContext)) { Write-Verbose "Connecting to Azure..." Connect-AzAccount | Out-Null Write-Verbose "Connected to Azure" } else { Write-Verbose "Already connected to Azure" } } function Test-Compliance { <# .SYNOPSIS Test of de omgeving compliant is met versleuteling bij rust #> Write-Verbose "Testing compliance for: $PolicyName..." $result = [PSCustomObject]@{ ScriptName = "encryption-at-rest-enabled" PolicyName = $PolicyName IsCompliant = $true TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 Details = @() Recommendations = @() } # Check Storage Accounts Write-Verbose "Checking Storage Accounts..." try { $storageAccounts = Get-AzStorageAccount -ErrorAction SilentlyContinue foreach ($account in $storageAccounts) { $result.TotalResources++ $blobEncryption = $account.Encryption.Services.Blob.Enabled $fileEncryption = $account.Encryption.Services.File.Enabled if ($blobEncryption -and $fileEncryption) { $result.CompliantCount++ $result.Details += "Storage Account '$($account.StorageAccountName)': Versleuteling ingeschakeld" } else { $result.NonCompliantCount++ $result.IsCompliant = $false $result.Details += "Storage Account '$($account.StorageAccountName)': Versleuteling NIET ingeschakeld (Blob: $blobEncryption, File: $fileEncryption)" $result.Recommendations += "Schakel versleuteling in voor Storage Account '$($account.StorageAccountName)'" } } } catch { Write-Warning "Kon Storage Accounts niet controleren: $_" } # Check SQL Databases Write-Verbose "Checking SQL Databases..." try { $sqlServers = Get-AzSqlServer -ErrorAction SilentlyContinue foreach ($server in $sqlServers) { $databases = Get-AzSqlDatabase -ServerName $server.ServerName -ResourceGroupName $server.ResourceGroupName -ErrorAction SilentlyContinue foreach ($db in $databases) { if ($db.DatabaseName -eq 'master') { continue } $result.TotalResources++ try { $tdeStatus = Get-AzSqlDatabaseTransparentDataEncryption -ServerName $server.ServerName -ResourceGroupName $server.ResourceGroupName -DatabaseName $db.DatabaseName -ErrorAction SilentlyContinue if ($tdeStatus -and $tdeStatus.State -eq 'Enabled') { $result.CompliantCount++ $result.Details += "SQL Database '$($db.DatabaseName)' op server '$($server.ServerName)': TDE ingeschakeld" } else { $result.NonCompliantCount++ $result.IsCompliant = $false $result.Details += "SQL Database '$($db.DatabaseName)' op server '$($server.ServerName)': TDE NIET ingeschakeld" $result.Recommendations += "Schakel TDE in voor SQL Database '$($db.DatabaseName)' op server '$($server.ServerName)'" } } catch { $result.NonCompliantCount++ $result.IsCompliant = $false $result.Details += "SQL Database '$($db.DatabaseName)' op server '$($server.ServerName)': Kon TDE status niet controleren" } } } } catch { Write-Warning "Kon SQL Databases niet controleren: $_" } # Check Key Vaults Write-Verbose "Checking Key Vaults..." try { $keyVaults = Get-AzKeyVault -ErrorAction SilentlyContinue foreach ($vault in $keyVaults) { $result.TotalResources++ # Key Vault heeft standaard versleuteling, maar check soft delete en purge protection $vaultDetails = Get-AzKeyVault -VaultName $vault.VaultName -ResourceGroupName $vault.ResourceGroupName -ErrorAction SilentlyContinue if ($vaultDetails) { $softDelete = $vaultDetails.EnableSoftDelete $purgeProtection = $vaultDetails.EnablePurgeProtection if ($softDelete) { $result.CompliantCount++ $result.Details += "Key Vault '$($vault.VaultName)': Soft Delete ingeschakeld" if ($purgeProtection) { $result.Details += "Key Vault '$($vault.VaultName)': Purge Protection ingeschakeld" } else { $result.Details += "Key Vault '$($vault.VaultName)': Purge Protection NIET ingeschakeld (aanbevolen)" $result.Recommendations += "Schakel Purge Protection in voor Key Vault '$($vault.VaultName)'" } } else { $result.NonCompliantCount++ $result.IsCompliant = $false $result.Details += "Key Vault '$($vault.VaultName)': Soft Delete NIET ingeschakeld" $result.Recommendations += "Schakel Soft Delete in voor Key Vault '$($vault.VaultName)'" } } } } catch { Write-Warning "Kon Key Vaults niet controleren: $_" } return $result } function Invoke-Remediation { <# .SYNOPSIS Voert automatische remediatie uit om compliance te bereiken #> Write-Host "`nStarting remediation for: $PolicyName..." -ForegroundColor Cyan if ($WhatIf) { Write-Host " [WHATIF] Geen daadwerkelijke wijzigingen worden doorgevoerd" -ForegroundColor Yellow } # Remediate Storage Accounts Write-Verbose "Remediating Storage Accounts..." try { $storageAccounts = Get-AzStorageAccount -ErrorAction SilentlyContinue foreach ($account in $storageAccounts) { $blobEncryption = $account.Encryption.Services.Blob.Enabled $fileEncryption = $account.Encryption.Services.File.Enabled if (-not $blobEncryption -or -not $fileEncryption) { Write-Host " Remediating Storage Account: $($account.StorageAccountName)..." -ForegroundColor Yellow if (-not $WhatIf) { try { # Note: Encryption is typically enabled by default on newer storage accounts # This remediation would enable it if somehow disabled $account.Encryption.Services.Blob.Enabled = $true $account.Encryption.Services.File.Enabled = $true Write-Host " [OK] Versleuteling ingeschakeld (indien mogelijk)" -ForegroundColor Green } catch { Write-Warning " Kon versleuteling niet inschakelen: $_" Write-Host " [INFO] Controleer handmatig in Azure Portal" -ForegroundColor Cyan } } else { Write-Host " [WHATIF] Zou versleuteling inschakelen voor Storage Account" -ForegroundColor Gray } } } } catch { Write-Warning "Kon Storage Accounts niet remediëren: $_" } # Remediate SQL Databases Write-Verbose "Remediating SQL Databases..." try { $sqlServers = Get-AzSqlServer -ErrorAction SilentlyContinue foreach ($server in $sqlServers) { $databases = Get-AzSqlDatabase -ServerName $server.ServerName -ResourceGroupName $server.ResourceGroupName -ErrorAction SilentlyContinue foreach ($db in $databases) { if ($db.DatabaseName -eq 'master') { continue } try { $tdeStatus = Get-AzSqlDatabaseTransparentDataEncryption -ServerName $server.ServerName -ResourceGroupName $server.ResourceGroupName -DatabaseName $db.DatabaseName -ErrorAction SilentlyContinue if (-not $tdeStatus -or $tdeStatus.State -ne 'Enabled') { Write-Host " Remediating SQL Database: $($db.DatabaseName) op server $($server.ServerName)..." -ForegroundColor Yellow if (-not $WhatIf) { try { Set-AzSqlDatabaseTransparentDataEncryption -ServerName $server.ServerName -ResourceGroupName $server.ResourceGroupName -DatabaseName $db.DatabaseName -State Enabled Write-Host " [OK] TDE ingeschakeld" -ForegroundColor Green } catch { Write-Warning " Kon TDE niet inschakelen: $_" Write-Host " [INFO] Controleer handmatig in Azure Portal" -ForegroundColor Cyan } } else { Write-Host " [WHATIF] Zou TDE inschakelen voor SQL Database" -ForegroundColor Gray } } } catch { Write-Warning "Kon TDE status niet controleren voor database '$($db.DatabaseName)': $_" } } } } catch { Write-Warning "Kon SQL Databases niet remediëren: $_" } Write-Host "`n[OK] Remediation completed" -ForegroundColor Green } function Invoke-Monitoring { <# .SYNOPSIS Voert compliance check uit en toont gedetailleerd rapport #> $result = Test-Compliance # Formatted output Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Resources checked: $($result.TotalResources)" -ForegroundColor White Write-Host "Compliant: $($result.CompliantCount)" -ForegroundColor Green $color = if ($result.NonCompliantCount -gt 0) { "Red" } else { "Green" } Write-Host "Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $color if ($result.Details) { Write-Host "`nDetails:" -ForegroundColor Yellow foreach ($detail in $result.Details) { Write-Host " • $detail" -ForegroundColor Gray } } if ($result.Recommendations) { Write-Host "`nRecommendations:" -ForegroundColor Yellow foreach ($recommendation in $result.Recommendations) { Write-Host " → $recommendation" -ForegroundColor Cyan } } return $result } # ============================================================================ # MAIN EXECUTION BLOCK # ============================================================================ try { # Stap 1: Verbind met Azure Connect-RequiredServices # Stap 2: Bepaal actie op basis van parameters if ($Monitoring) { # Uitgebreid monitoring rapport Invoke-Monitoring } elseif ($Remediation) { # Remediatie met optionele WhatIf if ($WhatIf) { Write-Host "`n=== WHATIF MODE ===" -ForegroundColor Yellow Write-Host "Would execute remediation for: $PolicyName" -ForegroundColor Yellow Write-Host "No actual changes will be made" -ForegroundColor Yellow Write-Host "===================`n" -ForegroundColor Yellow } Invoke-Remediation } else { # Standaard: simpele compliance check $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Compliance Check: $PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan if ($result.IsCompliant) { Write-Host "Status: [OK] COMPLIANT" -ForegroundColor Green } else { Write-Host "Status: [FAIL] NON-COMPLIANT" -ForegroundColor Red Write-Host "`nRun with -Monitoring for detailed report" -ForegroundColor Yellow Write-Host "Run with -Remediation to fix issues" -ForegroundColor Yellow } } } catch { # Error handling Write-Error "An error occurred: $_" Write-Error $_.ScriptStackTrace exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Critical: Critical - Onversleutelde gegevens blootgesteld aan diefstal van fysieke media en onbevoegde toegang. Compliance-schendingen (AVG boetes tot 4% jaaromzet, BIO-certificering risico). Datalekken met catastrofale gevolgen voor organisatie en individuen.

Management Samenvatting

Versleuteling bij rust voor Azure Data Protection: Implementeer en verifieer versleuteling voor alle Azure-services (Storage, SQL, Cosmos DB, Key Vault). Standaard AES-256-versleuteling beschikbaar. Gratis (inbegrepen). Verplicht CIS 3.2, BIO 10.01, ISO 27001 A.8.24, AVG 32. Implementatie: 4u technisch, 2u organisatorisch.