L1 BIO 10.01.01 ISO A.10.1.1

Azure Development: Data Protection Patterns

📅 2025-01-15
⏱️ 18 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Data protection patterns vormen de fundamentele bouwstenen voor veilige applicatieontwikkeling in Azure door consistente implementatie van versleuteling, sleutelbeheer, geheimbeheer en toegangscontrole. Deze patronen zorgen ervoor dat gevoelige gegevens, persoonsgegevens en bedrijfskritieke informatie worden beschermd tijdens alle fasen van de applicatielevenscyclus, van ontwikkeling tot productie en archivering.

Aanbeveling
IMPLEMENT
Risico zonder
Critical
Risk Score
9/10
Implementatie
12u (tech: 8u)
Van toepassing op:
Azure App Service
Azure Functions
Azure Container Apps
Azure Kubernetes Service
Azure Virtual Machines

Onbeschermde applicatiegegevens vormen een kritiek beveiligingsrisico waarbij aanvallers die toegang krijgen tot applicaties, databases of opslagmedia complete datasets kunnen lezen, wijzigen of verwijderen zonder detectie. Wanneer data protection patterns niet consistent worden toegepast, ontstaan kwetsbaarheden zoals onversleutelde persoonsgegevens in applicatielogs, hardcoded credentials in broncode, onbeveiligde API-communicatie, en ongecontroleerde toegang tot gevoelige configuratiegegevens. Deze risico's resulteren in directe schendingen van de Algemene Verordening Gegevensbescherming (AVG) Artikel 32, die expliciet vereist dat organisaties passende technische maatregelen nemen om persoonsgegevens te beveiligen, waaronder versleuteling. AVG-boetes kunnen oplopen tot €20 miljoen of 4% van de wereldwijde jaaromzet bij datalekken zonder adequate bescherming. De Baseline Informatiebeveiliging Overheid (BIO) vereist eveneens dat Nederlandse overheidsorganisaties cryptografische maatregelen implementeren voor de bescherming van informatie, en de NIS2 richtlijn verplicht essentiële en belangrijke entiteiten om passende cybersecurity-maatregelen te nemen, waaronder versleuteling van gegevens. ISO 27001 controle A.10.1.1 verplicht organisaties om cryptografische controles te implementeren voor de bescherming van vertrouwelijkheid, authenticiteit en integriteit van informatie. Data protection patterns elimineren deze risico's door gestandaardiseerde implementaties van versleuteling-at-rest en in-transit, gecentraliseerd sleutelbeheer via Azure Key Vault, veilig geheimbeheer zonder hardcoded credentials, en geautomatiseerde compliance-verificatie. Deze patronen zijn ontworpen om consistent te worden toegepast across alle applicaties, ongeacht de gebruikte Azure-service, waardoor ontwikkelaars niet voor elke applicatie opnieuw beveiligingsmaatregelen hoeven te implementeren.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.KeyVault, Az.Resources

Implementatie

Deze maatregel biedt een overzicht van essentiële data protection patterns voor Azure-ontwikkeling, inclusief versleutelingspatronen voor data-at-rest en in-transit, sleutelbeheerpatronen met Azure Key Vault, geheimbeheerpatronen voor applicatieconfiguratie, toegangscontrolepatronen voor API's en services, en compliance-patronen voor auditlogging en dataclassificatie. Deze patronen zijn gebaseerd op Microsoft Azure Well-Architected Framework security pillar best practices en zijn afgestemd op de vereisten van de Nederlandse Baseline voor Veilige Cloud. De patronen zijn toepasbaar op alle Azure compute-services inclusief Azure App Service, Azure Functions, Azure Container Apps, Azure Kubernetes Service en Azure Virtual Machines. Elke pattern wordt uitgelegd met concrete implementatievoorbeelden, Azure-specifieke configuraties, en compliance-verificatiemethoden. De patterns zijn ontworpen om consistent te worden toegepast tijdens de ontwikkelingsfase, waardoor beveiliging wordt ingebouwd in plaats van achteraf toegevoegd, wat de totale beveiligingspostuur verbetert en compliance-risico's reduceert.

Vereisten

Voor de implementatie van data protection patterns in Azure-ontwikkeling zijn verschillende technische en organisatorische vereisten van toepassing. Deze vereisten vormen de basis voor een succesvolle implementatie van beveiligingspatronen en zijn essentieel om te kunnen voldoen aan compliance-vereisten en best practices. Het begrijpen van deze vereisten is cruciaal voordat met de implementatie wordt begonnen, omdat ontbrekende vereisten kunnen leiden tot onvolledige implementaties of compliance-problemen. De primaire technische vereiste is de beschikbaarheid van een Azure-abonnement met de juiste services en machtigingen. Organisaties moeten beschikken over een Azure-abonnement met toegang tot Azure Key Vault voor sleutelbeheer, Azure App Service of andere compute-services voor applicatiehosting, en Azure Storage voor data-opslag. Daarnaast moeten organisaties Contributor-rechten hebben op de resourcegroepen waar applicaties worden geïmplementeerd, en specifieke rechten op Azure Key Vault voor het beheren van sleutels en geheimen. Deze rechten kunnen worden verleend via Azure Role-Based Access Control (RBAC) waarbij rollen zoals 'Key Vault Secrets Officer', 'Key Vault Crypto Officer', en 'Contributor' worden toegewezen op resourcegroep- of abonnementsniveau. Organisaties moeten het principe van least privilege toepassen door alleen de minimale rechten te verlenen die nodig zijn voor applicatieontwikkeling en -beheer. PowerShell 5.1 of hoger is vereist voor geautomatiseerde implementatie en monitoring van data protection patterns. PowerShell biedt de command-line interface en scripting-capaciteiten die nodig zijn voor het configureren van Azure-services, het beheren van Azure Key Vault, en het automatiseren van compliance-verificatieprocessen. Organisaties die nog steeds PowerShell 5.0 of ouder gebruiken, moeten upgraden naar PowerShell 5.1 of PowerShell 7.x (PowerShell Core) om compatibiliteit te garanderen met de Azure PowerShell-modules. PowerShell 7.x wordt aanbevolen voor nieuwe implementaties omdat het cross-platform ondersteuning biedt en actief wordt onderhouden door Microsoft. De PowerShell-versie kan worden gecontroleerd via de Get-Host cmdlet of door $PSVersionTable te inspecteren. De juiste Azure PowerShell-modules zijn essentieel voor het implementeren en beheren van data protection patterns. De Az.Accounts-module is vereist voor authenticatie met Azure en het beheren van abonnementen. De Az.KeyVault-module is vereist voor het beheren van Azure Key Vault, inclusief het maken van sleutels, het opslaan van geheimen, en het configureren van toegangsbeleid. De Az.Resources-module is vereist voor het beheren van Azure-resources en het configureren van resource-tags en -beleid. Voor specifieke services zijn aanvullende modules vereist: Az.Websites voor Azure App Service, Az.Functions voor Azure Functions, Az.ContainerInstance voor Azure Container Apps, en Az.Aks voor Azure Kubernetes Service. Alle modules kunnen worden geïnstalleerd via Install-Module -Name -Scope CurrentUser of Install-Module -Name -Scope AllUsers voor systeembrede installatie. Organisaties moeten ook regelmatig modules bijwerken naar de nieuwste versies om toegang te hebben tot de meest recente functionaliteit en beveiligingsupdates. Voor ontwikkelaars zijn specifieke kennis en vaardigheden vereist. Ontwikkelaars moeten bekend zijn met Azure-services en -architecturen, begrijpen hoe versleuteling werkt in Azure, en weten hoe Azure Key Vault wordt gebruikt voor sleutel- en geheimbeheer. Daarnaast moeten ontwikkelaars bekend zijn met secure coding practices, inclusief het vermijden van hardcoded credentials, het correct gebruiken van managed identities, en het implementeren van veilige API-communicatie. Organisaties moeten ontwikkelaars trainen in data protection patterns en secure development practices voordat zij beginnen met het implementeren van nieuwe applicaties. Deze training moet regelmatig worden herhaald om ontwikkelaars op de hoogte te houden van nieuwe beveiligingsbest practices en Azure-updates. Voor organisaties die Customer-Managed Keys willen gebruiken in plaats van Microsoft-Managed Keys, zijn aanvullende vereisten van toepassing. Deze organisaties moeten een Azure Key Vault hebben met versleutelingssleutels die kunnen worden gebruikt voor data-at-rest versleuteling. De Key Vault moet zich in dezelfde Azure-regio bevinden als de applicaties en data, en de applicaties moeten toegang hebben tot de Key Vault via managed identities of service principals. De versleutelingssleutels moeten RSA-sleutels zijn met een minimale lengte van 2048 bits, en de Key Vault moet soft-delete en purge-protection hebben ingeschakeld voor extra beveiliging. Organisaties moeten ook Key Vault-toegangsbeleid configureren dat applicaties toestaat om sleutels te gebruiken voor versleuteling en ontsleuteling. Deze aanvullende vereisten maken Customer-Managed Keys-implementatie complexer dan Microsoft-Managed Keys, maar bieden volledige controle over de versleutelingssleutels voor organisaties met strikte data sovereignty-vereisten. Een belangrijk organisatorisch vereiste is de implementatie van een secure development lifecycle (SDL) proces dat data protection patterns integreert in alle fasen van applicatieontwikkeling. Dit proces moet security requirements definiëren tijdens de designfase, security reviews uitvoeren tijdens de developmentfase, security testing uitvoeren tijdens de testfase, en security monitoring implementeren tijdens de productiefase. Organisaties moeten ook processen implementeren voor het beheren van geheimen en sleutels, inclusief rotatiebeleid, toegangscontrole, en auditlogging. Deze processen moeten worden gedocumenteerd en regelmatig worden gecontroleerd om te verifiëren dat zij effectief zijn en worden nageleefd door ontwikkelaars en beheerders.

Implementatie

Gebruik PowerShell-script data-protection-patterns.ps1 (functie Invoke-Remediation) – Implementeert data protection patterns voor Azure-applicaties inclusief Key Vault-configuratie en versleutelingsinstellingen.

Het implementeren van data protection patterns voor Azure-ontwikkeling vereist een gestructureerde aanpak die begint met het opzetten van een gecentraliseerde Azure Key Vault-infrastructuur, gevolgd door het configureren van versleuteling voor data-at-rest en in-transit, het implementeren van veilig geheimbeheer, en eindigt met verificatie en compliance-rapportage. De implementatieprocedure varieert per Azure-service, maar volgt algemene principes die consistent zijn across alle services. Het is belangrijk om te begrijpen dat data protection patterns moeten worden geïmplementeerd tijdens de ontwikkelingsfase, niet achteraf, om te voorkomen dat beveiligingsmaatregelen worden toegevoegd aan reeds bestaande applicaties met kwetsbaarheden. De eerste fase van de implementatie bestaat uit het opzetten van een gecentraliseerde Azure Key Vault-infrastructuur voor sleutel- en geheimbeheer. Azure Key Vault vormt de centrale component voor alle data protection patterns omdat het veilige opslag biedt voor versleutelingssleutels, certificaten, en applicatiegeheimen zoals connection strings, API-keys, en wachtwoorden. De Key Vault moet worden aangemaakt in een dedicated resourcegroep met strikte toegangscontrole, en moet soft-delete en purge-protection hebben ingeschakeld voor extra beveiliging. De Key Vault moet worden geconfigureerd met network access rules die alleen toegang toestaan vanuit specifieke virtuele netwerken of via private endpoints, waardoor de Key Vault niet publiekelijk toegankelijk is via internet. Voor productieomgevingen moeten organisaties overwegen om meerdere Key Vaults te gebruiken voor verschillende omgevingen (ontwikkeling, test, productie) om te voorkomen dat ontwikkelingsgeheimen worden blootgesteld aan productieomgevingen. Na het opzetten van de Key Vault-infrastructuur moeten versleutelingssleutels worden aangemaakt en opgeslagen in de Key Vault. Voor data-at-rest versleuteling moeten organisaties RSA-sleutels aanmaken met een minimale lengte van 2048 bits, hoewel 4096 bits wordt aanbevolen voor extra beveiliging. Deze sleutels kunnen worden gebruikt voor het versleutelen van Azure Storage-accounts, Azure SQL Databases, en andere Azure-services die Customer-Managed Keys ondersteunen. De sleutels moeten worden geconfigureerd met een rotatiebeleid dat regelmatig sleutelrotatie vereist, typisch jaarlijks of volgens organisatiebeleid. Daarnaast moeten certificaten worden opgeslagen in de Key Vault voor TLS/SSL-versleuteling van API-communicatie. Deze certificaten moeten worden verkregen van een vertrouwde Certificate Authority (CA) en moeten worden geconfigureerd met automatische verlenging om te voorkomen dat certificaten verlopen en applicaties offline gaan. Voor applicatiegeheimen zoals connection strings, API-keys, en wachtwoorden moeten deze worden opgeslagen als secrets in Azure Key Vault in plaats van hardcoded in broncode of configuratiebestanden. Applicaties moeten toegang krijgen tot deze geheimen via managed identities, wat betekent dat applicaties zichzelf authenticeren bij Azure Key Vault zonder wachtwoorden of client secrets. Managed identities elimineren de noodzaak om credentials op te slaan in applicatiecode of configuratiebestanden, wat een belangrijke beveiligingsverbetering is. Voor Azure App Service en Azure Functions kunnen system-assigned of user-assigned managed identities worden geconfigureerd via de Azure Portal of PowerShell. Deze managed identities krijgen vervolgens toegang tot Azure Key Vault via Key Vault access policies of Azure RBAC, waarbij alleen de benodigde rechten worden verleend volgens het principe van least privilege. Voor data-at-rest versleuteling moeten organisaties versleuteling configureren voor alle Azure-services die data opslaan. Azure Storage-accounts moeten worden geconfigureerd met versleuteling via Microsoft-Managed Keys of Customer-Managed Keys via Azure Key Vault. Azure SQL Databases moeten Transparent Data Encryption (TDE) hebben ingeschakeld, wat standaard is ingeschakeld voor nieuwe databases maar expliciet moet worden gecontroleerd voor bestaande databases. Azure Cosmos DB versleutelt automatisch alle data-at-rest, maar organisaties kunnen Customer-Managed Keys configureren voor extra controle. Voor applicatiecode en configuratiebestanden moeten organisaties overwegen om versleuteling toe te passen op gevoelige configuratiegegevens die worden opgeslagen in applicatie-opslag of source control repositories. Voor data-in-transit versleuteling moeten organisaties TLS 1.2 of hoger afdwingen voor alle API-communicatie en netwerkverkeer. Azure App Service en Azure Functions ondersteunen standaard TLS 1.2 voor HTTPS-verbindingen, maar organisaties moeten verifiëren dat oudere TLS-versies (1.0 en 1.1) zijn uitgeschakeld. Voor API's moeten organisaties client-certificaten implementeren voor mutual TLS (mTLS) authenticatie wanneer extra beveiliging vereist is. Azure Application Gateway en Azure Front Door kunnen worden gebruikt voor het afdwingen van TLS-versies en het beheren van SSL/TLS-certificaten voor meerdere applicaties. Daarnaast moeten organisaties overwegen om Azure Private Link te gebruiken voor het beveiligen van communicatie tussen Azure-services, waardoor verkeer niet over het publieke internet hoeft te gaan. De totale implementatietijd voor data protection patterns bedraagt ongeveer 4 tot 8 uur voor de meeste organisaties, afhankelijk van het aantal applicaties en de complexiteit van de bestaande infrastructuur. Deze tijd omvat het opzetten van Azure Key Vault-infrastructuur, het configureren van versleuteling voor bestaande services, het migreren van hardcoded credentials naar Key Vault, en het implementeren van managed identities voor applicaties. De implementatie kan worden gefaseerd door eerst kritieke applicaties te beveiligen, gevolgd door minder kritieke applicaties, waardoor de impact op operationele activiteiten wordt geminimaliseerd. De kosten van data protection patterns-implementatie zijn minimaal wanneer Microsoft-Managed Keys worden gebruikt, omdat versleuteling een gratis functie is voor de meeste Azure-services. Voor Customer-Managed Keys zijn er extra kosten voor Azure Key Vault-opslag en -transacties, maar deze kosten zijn typisch laag en worden gerechtvaardigd door de extra beveiliging en controle die zij bieden.

Monitoring en Controle

Gebruik PowerShell-script data-protection-patterns.ps1 (functie Invoke-Monitoring) – Controleert data protection patterns compliance voor alle Azure-applicaties en services.

Het continu monitoren van data protection patterns compliance is essentieel voor het waarborgen van applicatiebeveiliging en het voldoen aan regelgevingsvereisten. Een proactieve monitoringstrategie voorkomt dat applicaties onbeschermd blijven en zorgt ervoor dat nieuwe applicaties automatisch worden beveiligd volgens de gedefinieerde patterns. Deze monitoringaanpak omvat meerdere lagen van controle, van geautomatiseerde Azure Policy's tot periodieke handmatige verificaties, en vormt de basis voor een robuuste beveiligingspostuur across alle Azure-applicaties. Azure Policy biedt de eerste verdedigingslinie voor data protection patterns compliance monitoring. Door aangepaste Azure Policies te implementeren die automatisch alle Azure-applicaties en -services controleren op versleutelingsstatus, Key Vault-configuratie, en geheimbeheer, kunnen organisaties real-time inzicht krijgen in hun beveiligingscompliance. Deze policies kunnen worden geconfigureerd om te verifiëren dat Azure Storage-accounts versleuteling hebben ingeschakeld, dat Azure SQL Databases TDE hebben ingeschakeld, dat Azure App Service en Azure Functions managed identities gebruiken voor Key Vault-toegang, en dat hardcoded credentials niet voorkomen in configuratiebestanden. Deze policies evalueren continu alle resources in alle abonnementen en resourcegroepen, waardoor er geen applicaties buiten de controle vallen. Implementatie gebeurt via Azure Policy definitie die de juiste cmdlets gebruikt om beveiligingsconfiguraties te verifiëren, en kan worden gekoppeld aan Azure Monitor voor geautomatiseerde rapportage en alerting. Microsoft Defender voor Cloud speelt een cruciale rol in de continue monitoring van data protection patterns-implementaties across alle Azure-services. Deze service biedt ingebouwde security recommendations die specifiek versleutelingscompliance, Key Vault-beveiliging, en geheimbeheer monitoren en prioriteren op basis van risiconiveau. Defender voor Cloud identificeert automatisch applicaties zonder versleuteling, Key Vaults zonder soft-delete of purge-protection, en applicaties die hardcoded credentials gebruiken. De service genereert gedetailleerde compliance-rapporten die kunnen worden gebruikt voor interne audits en externe certificeringen. Bovendien integreert Defender voor Cloud met Azure Policy om een gecombineerde monitoringaanpak te bieden waarbij zowel policy-compliance als security posture worden geëvalueerd. Organisaties kunnen deze recommendations configureren om automatisch te escaleren naar security teams via email, Microsoft Teams, of ServiceNow integraties. Kwartaalcontroles vormen een essentiële aanvulling op geautomatiseerde monitoring. Deze periodieke handmatige verificaties zorgen ervoor dat alle applicaties, inclusief die welke mogelijk buiten de scope van geautomatiseerde tools vallen, worden gecontroleerd op data protection patterns compliance. Tijdens deze controles worden alle Azure-applicaties in de organisatie geïnventariseerd en geverifieerd op versleutelingsstatus, Key Vault-configuratie, geheimbeheer, en toegangscontrole. Dit proces omvat het uitvoeren van een volledige scan met PowerShell-scripts die alle applicaties in alle abonnementen doorlopen, het genereren van een compliance-rapport dat de beveiligingsstatus per applicatie documenteert, en het identificeren van eventuele afwijkingen die aanvullende actie vereisen. Deze kwartaalcontroles dienen ook als auditbewijs voor externe certificeringen en compliance-verificaties, waarbij gedocumenteerde bewijzen worden opgeslagen voor een retentieperiode van minimaal zeven jaar. Voor nieuwe applicaties is een geautomatiseerd verificatieproces binnen 24 uur na deployment cruciaal. Wanneer een nieuwe Azure-applicatie wordt geïmplementeerd, moet deze automatisch worden gecontroleerd op data protection patterns compliance. Hoewel versleuteling standaard is ingeschakeld voor de meeste moderne Azure-services, kunnen configuratiefouten of handmatige wijzigingen ertoe leiden dat versleuteling wordt uitgeschakeld of niet correct is geconfigureerd. Een geautomatiseerd proces dat binnen 24 uur na applicatie-deployment wordt uitgevoerd, identificeert dergelijke afwijkingen onmiddellijk en kan automatische remediatie activeren. Dit proces kan worden geïmplementeerd via Azure Automation runbooks die worden getriggerd door Event Grid events wanneer nieuwe applicaties worden geïmplementeerd, of via Azure Functions die periodiek alle applicaties scannen en nieuwe applicaties identificeren die nog niet zijn geverifieerd. De monitoringstrategie moet ook aandacht besteden aan Key Vault-toegang en -gebruik. Monitoring moet verifiëren dat alleen geautoriseerde applicaties en gebruikers toegang hebben tot Key Vault, dat toegangslogboeken worden bijgehouden voor auditdoeleinden, en dat sleutelrotatie correct wordt uitgevoerd volgens organisatiebeleid. Azure Key Vault biedt ingebouwde logging via Azure Monitor, waarbij alle Key Vault-operaties worden gelogd inclusief sleutel- en geheimtoegang, wijzigingen aan toegangsbeleid, en authenticatiepogingen. Deze logs moeten worden geconfigureerd om te worden verzonden naar Azure Log Analytics voor geavanceerde analyse en lange-termijn opslag. Organisaties moeten waarschuwingen configureren die worden gegenereerd wanneer ongebruikelijke Key Vault-toegang wordt gedetecteerd, zoals toegang buiten normale werkuren of vanaf onbekende locaties. Performance monitoring vormt een belangrijk onderdeel van de data protection patterns monitoringstrategie. Hoewel versleuteling en Key Vault-toegang minimale performance-impact hebben, moeten organisaties applicatieprestaties monitoren na data protection patterns-implementatie om eventuele problemen vroegtijdig te identificeren. Azure Monitor en Application Insights bieden gedetailleerde inzichten in applicatieprestaties, responsetijden, en resourcegebruik, waardoor organisaties kunnen verifiëren dat data protection patterns geen negatieve impact hebben op applicatieprestaties. Deze monitoring is vooral belangrijk tijdens de initiële implementatiefase, waarbij nieuwe versleutelingsconfiguraties en Key Vault-integraties worden getest. Rapportage en documentatie zijn essentieel voor compliance en auditing. Alle monitoringactiviteiten moeten worden gedocumenteerd in compliance-rapporten die regelmatig worden gegenereerd en opgeslagen. Deze rapporten moeten de beveiligingsstatus van alle applicaties bevatten, eventuele afwijkingen documenteren, en de genomen remediatieacties beschrijven. Voor externe audits en certificeringen zijn deze rapporten onmisbaar en moeten ze beschikbaar zijn voor een periode die overeenkomt met de compliancevereisten van de organisatie, typisch minimaal zeven jaar voor financiële en overheidsorganisaties. Automatische compliance-rapportage via Azure Policy en Microsoft Defender voor Cloud kan helpen bij het genereren en onderhouden van deze auditdocumentatie.

Compliance en Auditing

Data protection patterns voor Azure-ontwikkeling zijn een fundamentele vereiste voor naleving van vrijwel alle moderne cybersecurity- en privacyregelgeving. Deze patronen vormen de basis voor applicatiebeveiliging en zijn expliciet of impliciet vereist door internationale standaarden, Europese regelgeving en Nederlandse overheidsrichtlijnen. Organisaties die Azure-applicaties ontwikkelen voor het verwerken van gevoelige gegevens, persoonsgegevens of financiële informatie, moeten data protection patterns implementeren om te voldoen aan hun compliance-verplichtingen. De CIS Azure Foundations Benchmark v3.0.0 bevat meerdere controles die data protection patterns vereisen. Controle 4.1.3 vereist expliciet dat Transparent Data Encryption is ingeschakeld voor alle Azure SQL Databases, controle 4.1.4 vereist dat Azure Storage-accounts versleuteling hebben ingeschakeld, en controle 4.1.5 vereist dat Azure Key Vault soft-delete heeft ingeschakeld. Deze controles zijn geclassificeerd als Level 1, wat betekent dat het fundamentele beveiligingsmaatregelen zijn die door alle organisaties moeten worden geïmplementeerd, ongeacht hun grootte of sector. De CIS Benchmark wordt wereldwijd erkend als een best practice framework voor cloudbeveiliging, en naleving van deze controles is vaak een vereiste voor cloud security certificeringen. Organisaties die de CIS Benchmark volgen, moeten kunnen aantonen dat alle applicaties data protection patterns hebben geïmplementeerd, en dit moet worden geverifieerd tijdens periodieke compliance-audits. ISO 27001:2022 controle A.10.1.1 verplicht organisaties om een beleid te hebben voor het gebruik van cryptografische controles. Deze controle vereist dat organisaties cryptografische maatregelen implementeren om de vertrouwelijkheid, authenticiteit en integriteit van informatie te beschermen. Data protection patterns zijn een directe implementatie van deze controle voor applicatiebeveiliging. Tijdens ISO 27001 certificering en surveillance audits moeten organisaties kunnen aantonen dat gevoelige data, inclusief applicatiegegevens, is versleuteld wanneer deze wordt opgeslagen of verzonden. De audit zal verifiëren dat het cryptografische beleid is gedocumenteerd, dat versleuteling is geïmplementeerd volgens dit beleid, en dat de versleutelingssleutels correct worden beheerd. Data protection patterns met Microsoft-Managed Keys voldoen aan deze vereiste, maar organisaties met strikte controlevereisten kunnen kiezen voor Customer-Managed Keys om volledige controle over de sleutellevenscyclus te behouden. De NIS2-richtlijn, die in Nederland is geïmplementeerd via de Wet cybersecurity, vereist in Artikel 21 dat essentiële en belangrijke entiteiten passende maatregelen nemen voor cybersecurity risicobeheer, waaronder versleuteling van gegevens bij rust en tijdens transport. Organisaties die onder de NIS2-richtlijn vallen, zoals energiebedrijven, financiële instellingen, gezondheidszorgorganisaties en digitale dienstverleners, moeten kunnen aantonen dat zij adequate technische maatregelen hebben geïmplementeerd om applicatiegegevens te beschermen. Data protection patterns vormen een essentiële component van deze maatregelen voor alle applicaties die gevoelige operationele gegevens bevatten. De Autoriteit Consument en Markt (ACM) en andere toezichthouders kunnen tijdens inspecties verifiëren dat versleuteling correct is geïmplementeerd, en niet-naleving kan leiden tot aanzienlijke boetes en reputatieschade. De Algemene Verordening Gegevensbescherming (AVG), ook bekend als GDPR, vereist in Artikel 32 dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen. Versleuteling van persoonsgegevens bij rust en tijdens transport wordt expliciet genoemd als een voorbeeld van een passende technische maatregel. Voor Azure-applicaties die persoonsgegevens bevatten, zijn data protection patterns daarom niet alleen een best practice, maar een wettelijke vereiste. Organisaties die persoonsgegevens verwerken zonder adequate versleuteling, schenden de AVG en kunnen worden geconfronteerd met boetes tot €20 miljoen of 4% van de wereldwijde jaaromzet, afhankelijk van wat hoger is. Bovendien kunnen betrokkenen schadevergoeding eisen bij datalekken waarbij onversleutelde persoonsgegevens zijn gecompromitteerd. Data protection patterns-implementatie moet worden gedocumenteerd in het verwerkingsregister en kan worden gecontroleerd tijdens AVG-audits door de Autoriteit Persoonsgegevens. De Baseline Informatiebeveiliging Overheid (BIO) Thema 10.01.01 vereist dat Nederlandse overheidsorganisaties cryptografische maatregelen implementeren voor de bescherming van informatie. Overheidsorganisaties die Azure-applicaties ontwikkelen voor het verwerken van overheidsinformatie, moeten data protection patterns implementeren om te voldoen aan deze BIO-vereiste. De BIO-richtlijnen worden gebruikt als basis voor informatiebeveiliging in de Nederlandse publieke sector, en naleving is verplicht voor alle overheidsorganisaties. Tijdens BIO-audits wordt gecontroleerd of cryptografische maatregelen correct zijn geïmplementeerd en of deze voldoen aan de vereisten voor de classificatie van de verwerkte informatie. Voor informatie met een hoog classificatieniveau, zoals vertrouwelijk of zeer vertrouwelijk, zijn aanvullende maatregelen zoals Customer-Managed Keys vaak vereist om volledige controle over de versleutelingssleutels te behouden. OWASP Top 10 voor API Security identificeert onvoldoende bescherming van API-communicatie en onveilig geheimbeheer als kritieke beveiligingsrisico's. Data protection patterns adresseren deze risico's door TLS-versleuteling af te dwingen voor API-communicatie, veilig geheimbeheer via Azure Key Vault te implementeren, en hardcoded credentials te elimineren. Organisaties die OWASP best practices volgen, moeten data protection patterns implementeren om deze risico's te mitigeren. Tijdens security assessments en penetration tests worden applicaties gecontroleerd op de aanwezigheid van data protection patterns, en het ontbreken van deze patronen resulteert in kritieke security findings die onmiddellijk moeten worden opgelost. Voor compliance-audits en certificeringen is het essentieel dat organisaties gedocumenteerd bewijs kunnen leveren van data protection patterns-implementatie across alle applicaties. Dit bewijs omvat screenshots van de Azure Portal die versleutelingsconfiguraties tonen, PowerShell-script output die beveiligingsconfiguraties verifieert, compliance-rapporten die regelmatig worden gegenereerd, en documentatie van Key Vault-configuratie inclusief sleutelbeheer. Deze documentatie moet worden bewaard voor een periode die overeenkomt met de compliancevereisten, typisch minimaal zeven jaar voor financiële en overheidsorganisaties. Automatische compliance-rapportage via Azure Policy en Microsoft Defender voor Cloud kan helpen bij het genereren en onderhouden van deze auditdocumentatie.

Remediatie

Gebruik PowerShell-script data-protection-patterns.ps1 (functie Invoke-Remediation) – Implementeert data protection patterns voor applicaties zonder adequate beveiliging.

Remediatie van data protection patterns voor Azure-ontwikkeling omvat het implementeren van beveiligingspatronen voor applicaties die deze nog niet hebben, het corrigeren van configuratiefouten, en het waarborgen dat alle applicaties consistent worden beveiligd volgens de gedefinieerde patterns. Het is belangrijk om te realiseren dat wanneer data protection patterns niet zijn geïmplementeerd, applicaties kwetsbaar zijn voor verschillende beveiligingsrisico's, waaronder datalekken, ongeautoriseerde toegang, en compliance-schendingen. Daarom moeten organisaties processen implementeren voor het snel detecteren en oplossen van problemen met data protection, zodat de impact op beveiliging en compliance wordt geminimaliseerd. Wanneer applicaties worden geïdentificeerd zonder adequate data protection patterns, moet eerst worden geanalyseerd welke patronen ontbreken en welke risico's dit oplevert. Deze analyse omvat het inventariseren van alle Azure-applicaties in de organisatie, het controleren van versleutelingsstatus voor data-at-rest en in-transit, het verifiëren van Key Vault-configuratie en geheimbeheer, en het identificeren van hardcoded credentials in broncode of configuratiebestanden. Op basis van deze analyse kan een prioriteringslijst worden opgesteld waarbij kritieke applicaties die gevoelige gegevens verwerken eerst worden beveiligd, gevolgd door minder kritieke applicaties. Deze prioritering zorgt ervoor dat de meest risicovolle applicaties eerst worden beveiligd, waardoor de totale beveiligingspostuur sneller wordt verbeterd. Voor applicaties zonder versleuteling voor data-at-rest moet versleuteling worden ingeschakeld voor alle Azure-services die data opslaan. Azure Storage-accounts moeten worden geconfigureerd met versleuteling via Microsoft-Managed Keys of Customer-Managed Keys via Azure Key Vault. Azure SQL Databases moeten Transparent Data Encryption (TDE) hebben ingeschakeld via de Azure Portal of PowerShell. Azure Cosmos DB versleutelt automatisch alle data-at-rest, maar organisaties moeten verifiëren dat deze versleuteling actief is. Voor applicatiecode en configuratiebestanden moeten organisaties overwegen om versleuteling toe te passen op gevoelige configuratiegegevens die worden opgeslagen in applicatie-opslag of source control repositories. Het versleutelingsproces gebeurt op de achtergrond zonder downtime voor de meeste services, waarbij applicaties volledig online blijven tijdens het gehele proces. Voor applicaties zonder versleuteling voor data-in-transit moet TLS 1.2 of hoger worden afgedwongen voor alle API-communicatie en netwerkverkeer. Azure App Service en Azure Functions kunnen worden geconfigureerd om alleen TLS 1.2 of hoger toe te staan via de Azure Portal of PowerShell. Voor API's moeten organisaties client-certificaten implementeren voor mutual TLS (mTLS) authenticatie wanneer extra beveiliging vereist is. Azure Application Gateway en Azure Front Door kunnen worden gebruikt voor het afdwingen van TLS-versies en het beheren van SSL/TLS-certificaten voor meerdere applicaties. Daarnaast moeten organisaties overwegen om Azure Private Link te gebruiken voor het beveiligen van communicatie tussen Azure-services, waardoor verkeer niet over het publieke internet hoeft te gaan. Voor applicaties met hardcoded credentials moeten deze worden gemigreerd naar Azure Key Vault. Dit proces omvat het identificeren van alle hardcoded credentials in broncode en configuratiebestanden, het opslaan van deze credentials als secrets in Azure Key Vault, het configureren van managed identities voor applicaties om toegang te krijgen tot Key Vault, en het bijwerken van applicatiecode om secrets op te halen uit Key Vault in plaats van hardcoded waarden te gebruiken. Dit proces vereist code-wijzigingen en moet worden getest in een ontwikkel- of testomgeving voordat het wordt geïmplementeerd in productie. Organisaties moeten ook source control repositories scannen op hardcoded credentials en deze verwijderen uit de geschiedenis om te voorkomen dat gevoelige informatie wordt blootgesteld. Voor applicaties zonder Key Vault-toegang moeten managed identities worden geconfigureerd en Key Vault-toegangsbeleid worden ingesteld. Azure App Service en Azure Functions kunnen system-assigned of user-assigned managed identities krijgen via de Azure Portal of PowerShell. Deze managed identities krijgen vervolgens toegang tot Azure Key Vault via Key Vault access policies of Azure RBAC, waarbij alleen de benodigde rechten worden verleend volgens het principe van least privilege. Organisaties moeten verifiëren dat managed identities correct zijn geconfigureerd en dat applicaties daadwerkelijk toegang hebben tot Key Vault door test-aanroepen uit te voeren. Na het implementeren van data protection patterns moet worden geverifieerd dat de implementatie correct werkt en dat applicaties nog steeds functioneren zoals verwacht. Dit kan worden gedaan door applicatieprestaties te monitoren, door test-aanroepen uit te voeren naar API's en services, en door te verifiëren dat applicaties correct toegang hebben tot Key Vault en versleutelde data. Als er problemen worden gedetecteerd, moeten deze worden opgelost voordat de organisatie weer afhankelijk wordt van de beveiligde applicaties. Organisaties moeten processen implementeren voor het uitvoeren van deze verificaties na het implementeren van data protection patterns, zodat kan worden bevestigd dat de implementatie correct werkt voordat de organisatie weer afhankelijk wordt van de beveiligde applicaties. Daarnaast moeten organisaties processen implementeren voor het onderzoeken van de oorzaak van het ontbreken van data protection patterns, zodat preventieve maatregelen kunnen worden genomen om te voorkomen dat het probleem opnieuw optreedt. Dit kan bijvoorbeeld betekenen dat ontwikkelaars moeten worden getraind in data protection patterns, dat security reviews moeten worden geïmplementeerd tijdens de ontwikkelingsfase, of dat geautomatiseerde security scanning moet worden toegevoegd aan CI/CD-pipelines om hardcoded credentials en onveilige configuraties te detecteren. Door deze preventieve maatregelen te implementeren kunnen organisaties ervoor zorgen dat nieuwe applicaties automatisch data protection patterns implementeren en dat er geen nieuwe kwetsbaarheden worden geïntroduceerd.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Azure Development: Data Protection Patterns .DESCRIPTION CIS Azure Foundations Benchmark - Controls 4.1.3, 4.1.4, 4.1.5 Controleert en implementeert data protection patterns voor Azure-applicaties: - Versleuteling voor data-at-rest en in-transit - Azure Key Vault configuratie en beveiliging - Veilig geheimbeheer zonder hardcoded credentials - Managed identities voor Key Vault-toegang Waarom is deze control belangrijk? - Data-at-rest en in-transit encryption voor alle applicaties - Protection tegen unauthorized data access - Compliance met AVG, BIO, ISO 27001 en NIS2 vereisten - Eliminatie van hardcoded credentials .NOTES Filename: data-protection-patterns.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/azure/development/data-protection-patterns.json CIS Controls: 4.1.3, 4.1.4, 4.1.5 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.KeyVault, Az.Resources, Az.Storage, Az.Sql [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $PolicyName = "Azure Development: Data Protection Patterns" function Connect-RequiredServices { try { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } catch { Write-Error "Failed to connect to Azure: $_" throw } } function Test-KeyVaultConfiguration { param([PSCustomObject]$result) try { $keyVaults = Get-AzKeyVault -ErrorAction SilentlyContinue if (-not $keyVaults) { Write-Verbose "Geen Key Vaults gevonden" return } foreach ($kv in $keyVaults) { $result.TotalResources++ $kvDetails = Get-AzKeyVault -VaultName $kv.VaultName -ResourceGroupName $kv.ResourceGroupName -ErrorAction SilentlyContinue $hasSoftDelete = $kvDetails.EnableSoftDelete -eq $true $hasPurgeProtection = $kvDetails.EnablePurgeProtection -eq $true if ($hasSoftDelete -and $hasPurgeProtection) { $result.CompliantCount++ $result.Details += "✓ Key Vault '$($kv.VaultName)' heeft soft-delete en purge-protection enabled" } else { $result.NonCompliantCount++ $missing = @() if (-not $hasSoftDelete) { $missing += "soft-delete" } if (-not $hasPurgeProtection) { $missing += "purge-protection" } $result.Details += "✗ Key Vault '$($kv.VaultName)' mist: $($missing -join ', ')" $result.Recommendations += "Enable soft-delete en purge-protection voor Key Vault '$($kv.VaultName)'" } } } catch { $result.Details += "ERROR bij Key Vault check: $($_.Exception.Message)" } } function Test-StorageEncryption { param([PSCustomObject]$result) try { $storageAccounts = Get-AzStorageAccount -ErrorAction SilentlyContinue if (-not $storageAccounts) { Write-Verbose "Geen Storage Accounts gevonden" return } foreach ($sa in $storageAccounts) { $result.TotalResources++ $encryption = $sa.Encryption.Services.Blob.Enabled -eq $true -and $sa.Encryption.Services.File.Enabled -eq $true if ($encryption) { $result.CompliantCount++ $result.Details += "✓ Storage Account '$($sa.StorageAccountName)' heeft encryption enabled" } else { $result.NonCompliantCount++ $result.Details += "✗ Storage Account '$($sa.StorageAccountName)' heeft encryption DISABLED" $result.Recommendations += "Enable encryption voor Storage Account '$($sa.StorageAccountName)'" } } } catch { $result.Details += "ERROR bij Storage Account check: $($_.Exception.Message)" } } function Test-SqlDatabaseEncryption { param([PSCustomObject]$result) try { $sqlServers = Get-AzSqlServer -ErrorAction SilentlyContinue if (-not $sqlServers) { Write-Verbose "Geen SQL servers gevonden" return } foreach ($server in $sqlServers) { $databases = Get-AzSqlDatabase ` -ResourceGroupName $server.ResourceGroupName ` -ServerName $server.ServerName ` -ErrorAction SilentlyContinue | Where-Object { $_.DatabaseName -ne 'master' } foreach ($db in $databases) { $result.TotalResources++ $tde = Get-AzSqlDatabaseTransparentDataEncryption ` -ResourceGroupName $server.ResourceGroupName ` -ServerName $server.ServerName ` -DatabaseName $db.DatabaseName ` -ErrorAction SilentlyContinue if ($tde -and $tde.State -eq 'Enabled') { $result.CompliantCount++ $result.Details += "✓ SQL Database '$($db.DatabaseName)' op server '$($server.ServerName)' heeft TDE enabled" } else { $result.NonCompliantCount++ $result.Details += "✗ SQL Database '$($db.DatabaseName)' op server '$($server.ServerName)' heeft TDE DISABLED" $result.Recommendations += "Enable TDE voor SQL Database '$($db.DatabaseName)' op server '$($server.ServerName)'" } } } } catch { $result.Details += "ERROR bij SQL Database check: $($_.Exception.Message)" } } function Test-AppServiceManagedIdentity { param([PSCustomObject]$result) try { $appServices = Get-AzWebApp -ErrorAction SilentlyContinue if (-not $appServices) { Write-Verbose "Geen App Services gevonden" return } foreach ($app in $appServices) { $result.TotalResources++ $identity = $app.Identity if ($identity -and ($identity.Type -eq 'SystemAssigned' -or $identity.Type -eq 'UserAssigned')) { $result.CompliantCount++ $result.Details += "✓ App Service '$($app.Name)' heeft managed identity: $($identity.Type)" } else { $result.NonCompliantCount++ $result.Details += "✗ App Service '$($app.Name)' heeft GEEN managed identity" $result.Recommendations += "Configureer managed identity voor App Service '$($app.Name)'" } } } catch { $result.Details += "ERROR bij App Service check: $($_.Exception.Message)" } } function Test-Compliance { Write-Verbose "Testing compliance for: $PolicyName..." $result = [PSCustomObject]@{ ScriptName = "data-protection-patterns" PolicyName = $PolicyName IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 Details = @() Recommendations = @() } try { # Test Key Vault configuration Test-KeyVaultConfiguration -result $result # Test Storage Account encryption Test-StorageEncryption -result $result # Test SQL Database encryption Test-SqlDatabaseEncryption -result $result # Test App Service managed identities Test-AppServiceManagedIdentity -result $result if ($result.TotalResources -eq 0) { $result.Details += "Geen resources gevonden" $result.IsCompliant = $true return $result } $result.IsCompliant = ($result.NonCompliantCount -eq 0) } catch { $result.Details += "ERROR: $($_.Exception.Message)" } return $result } function Invoke-Remediation { Write-Host "`nStarting remediation for: $PolicyName..." -ForegroundColor Cyan try { $fixed = 0 # Remediate Key Vaults $keyVaults = Get-AzKeyVault -ErrorAction SilentlyContinue foreach ($kv in $keyVaults) { $kvDetails = Get-AzKeyVault -VaultName $kv.VaultName -ResourceGroupName $kv.ResourceGroupName if ($kvDetails.EnableSoftDelete -ne $true -or $kvDetails.EnablePurgeProtection -ne $true) { Write-Host " Configuring Key Vault '$($kv.VaultName)'..." -ForegroundColor Gray if ($kvDetails.EnableSoftDelete -ne $true) { # Note: Soft-delete can only be enabled during creation or after 7 days of deletion Write-Host " Note: Soft-delete moet worden geconfigureerd tijdens Key Vault creatie" -ForegroundColor Yellow } if ($kvDetails.EnablePurgeProtection -ne $true) { Update-AzKeyVault ` -VaultName $kv.VaultName ` -ResourceGroupName $kv.ResourceGroupName ` -EnablePurgeProtection ` -ErrorAction SilentlyContinue | Out-Null Write-Host " [OK] Purge-protection enabled voor Key Vault '$($kv.VaultName)'" -ForegroundColor Green $fixed++ } } } # Remediate Storage Accounts $storageAccounts = Get-AzStorageAccount -ErrorAction SilentlyContinue foreach ($sa in $storageAccounts) { if ($sa.Encryption.Services.Blob.Enabled -ne $true -or $sa.Encryption.Services.File.Enabled -ne $true) { Write-Host " Enabling encryption voor Storage Account '$($sa.StorageAccountName)'..." -ForegroundColor Gray Set-AzStorageAccount ` -ResourceGroupName $sa.ResourceGroupName ` -Name $sa.StorageAccountName ` -EnableEncryptionService Blob,File ` -ErrorAction Stop | Out-Null Write-Host " [OK] Encryption enabled voor Storage Account '$($sa.StorageAccountName)'" -ForegroundColor Green $fixed++ } } # Remediate SQL Databases $sqlServers = Get-AzSqlServer -ErrorAction SilentlyContinue foreach ($server in $sqlServers) { $databases = Get-AzSqlDatabase ` -ResourceGroupName $server.ResourceGroupName ` -ServerName $server.ServerName | Where-Object { $_.DatabaseName -ne 'master' } foreach ($db in $databases) { $tde = Get-AzSqlDatabaseTransparentDataEncryption ` -ResourceGroupName $server.ResourceGroupName ` -ServerName $server.ServerName ` -DatabaseName $db.DatabaseName if ($tde.State -ne 'Enabled') { Set-AzSqlDatabaseTransparentDataEncryption ` -ResourceGroupName $server.ResourceGroupName ` -ServerName $server.ServerName ` -DatabaseName $db.DatabaseName ` -State Enabled ` -ErrorAction Stop | Out-Null Write-Host " [OK] Enabled TDE voor SQL Database '$($db.DatabaseName)'" -ForegroundColor Green $fixed++ } } } # Remediate App Services (enable managed identity) $appServices = Get-AzWebApp -ErrorAction SilentlyContinue foreach ($app in $appServices) { if (-not $app.Identity -or $app.Identity.Type -eq 'None') { Write-Host " Enabling managed identity voor App Service '$($app.Name)'..." -ForegroundColor Gray Set-AzWebApp ` -ResourceGroupName $app.ResourceGroupName ` -Name $app.Name ` -AssignIdentity $true ` -ErrorAction Stop | Out-Null Write-Host " [OK] Managed identity enabled voor App Service '$($app.Name)'" -ForegroundColor Green $fixed++ } } Write-Host "`n[OK] Configured: $fixed resource(s)" -ForegroundColor Green Write-Host "`nNote: Configureer Key Vault access policies voor managed identities" -ForegroundColor Cyan } catch { Write-Error "Remediation failed: $_" } } function Invoke-Monitoring { $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Total Resources: $($result.TotalResources)" -ForegroundColor White Write-Host "Compliant: $($result.CompliantCount)" -ForegroundColor Green Write-Host "Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $(if ($result.NonCompliantCount -gt 0) { 'Red' } else { 'Green' }) if ($result.Details) { Write-Host "`nDetails:" -ForegroundColor Yellow $result.Details | ForEach-Object { Write-Host " $_" -ForegroundColor Gray } } if ($result.Recommendations.Count -gt 0) { Write-Host "`nRecommendations:" -ForegroundColor Yellow $result.Recommendations | ForEach-Object { Write-Host " • $_" -ForegroundColor Yellow } } return $result } function Invoke-Revert { Write-Host "`n⚠️ Data protection patterns uitschakelen wordt niet aanbevolen" -ForegroundColor Yellow Write-Host "Dit zou een kritiek beveiligingsrisico creëren" -ForegroundColor Red Write-Host "`nGebruik deze functie alleen voor testomgevingen" -ForegroundColor Yellow } try { Connect-RequiredServices if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { if ($WhatIf) { Write-Host "`n=== WHATIF MODE ===" -ForegroundColor Yellow $result = Test-Compliance Write-Host "Zou data protection patterns configureren voor $($result.NonCompliantCount) resource(s)" -ForegroundColor Yellow } else { Invoke-Remediation } } elseif ($Revert) { Invoke-Revert } else { $result = Test-Compliance Write-Host "`nCompliance Check: $PolicyName" -ForegroundColor Cyan if ($result.IsCompliant) { Write-Host "Status: [OK] COMPLIANT" -ForegroundColor Green } else { Write-Host "Status: [FAIL] NON-COMPLIANT ($($result.NonCompliantCount) resources)" -ForegroundColor Red } } } catch { Write-Error $_ exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Critical: Kritiek - Zonder data protection patterns zijn applicaties kwetsbaar voor datalekken, ongeautoriseerde toegang en compliance-schendingen. AVG-boetes kunnen oplopen tot €20 miljoen of 4% van de wereldwijde jaaromzet.

Management Samenvatting

Implementeer data protection patterns voor alle Azure-applicaties inclusief versleuteling, Key Vault-configuratie en veilig geheimbeheer. Essentieel voor AVG, BIO, ISO 27001 en NIS2 compliance. Implementatietijd: 8-12 uur.