BIO 08.03 ISO A.5.17

Azure IoT: Device Identity Management En Beveiliging

📅 2025-01-27
⏱️ 35 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Device Identity Management vormt de fundament van elke veilige IoT-implementatie door organisaties in staat te stellen unieke, geverifieerde identiteiten toe te kennen aan elk IoT-apparaat en deze identiteiten te beheren gedurende de volledige levenscyclus van het apparaat. Voor Nederlandse overheidsorganisaties die IoT-apparaten inzetten voor kritieke infrastructuren, slimme steden, of operationele technologie, is een robuust device identity management-systeem niet alleen een best practice, maar een essentiële beveiligingsmaatregel die direct bijdraagt aan compliance met de Baseline Informatiebeveiliging Overheid (BIO), de NIS2-richtlijn en internationale standaarden zoals ISO 27001 door het waarborgen van authenticatie, autorisatie en non-repudiation voor alle IoT-apparaten.

Aanbeveling
IMPLEMENT
Risico zonder
Critical
Risk Score
10/10
Implementatie
36u (tech: 24u)
Van toepassing op:
Azure IoT Hub
Azure IoT Central
Azure Device Provisioning Service

Zonder adequaat device identity management kunnen IoT-apparaten niet worden geverifieerd, waardoor kwaadwillende actoren valse apparaten kunnen introduceren in het netwerk, gestolen apparaten kunnen worden misbruikt, en legitieme apparaten kunnen worden gecompromitteerd zonder detectie. Dit creëert aanzienlijke beveiligingsrisico's waarbij onbevoegde apparaten toegang krijgen tot gevoelige systemen, data wordt onderschept of gemanipuleerd, en kritieke infrastructuren worden blootgesteld aan aanvallen. Traditionele netwerkbeveiliging faalt in IoT-omgevingen waar duizenden of zelfs miljoenen apparaten verbonden zijn, elk met unieke beveiligingsvereisten en levenscycli. Device Identity Management lost deze fundamentele problemen op door organisaties in staat te stellen elke apparaat te authenticeren voordat het toegang krijgt tot het netwerk, autorisatie te controleren op basis van apparaatidentiteit, en de volledige levenscyclus van apparaatidentiteiten te beheren van provisioning tot decommissioning.

PowerShell Modules Vereist
Primary API: Azure IoT Hub REST API
Connection: Connect-AzAccount
Required Modules: Az.IotHub, Az.Accounts

Implementatie

Deze control implementeert een volledig geconfigureerd device identity management-systeem met ondersteuning voor meerdere authenticatiemethoden, geautomatiseerde device provisioning, lifecycle management, en integratie met Azure IoT Hub, Azure IoT Central, en Azure Device Provisioning Service. De configuratie omvat het instellen van X.509 certificaat-gebaseerde authenticatie voor hoogwaardige beveiliging, symmetrische sleutel-authenticatie voor resource-beperkte apparaten, en ondersteuning voor TPM-gebaseerde authenticatie voor hardware security modules. Device provisioning wordt geconfigureerd met automatische registratie via Azure Device Provisioning Service, waarbij apparaten automatisch worden toegewezen aan de juiste IoT Hub op basis van configuratie en locatie. Lifecycle management omvat het automatisch intrekken van verlopen certificaten, het roteren van symmetrische sleutels, het bijwerken van apparaatconfiguraties, en het veilig decommissionen van apparaten wanneer deze niet langer nodig zijn. Alle device identities worden gecentraliseerd beheerd via Azure IoT Hub met volledige audit logging en compliance-rapportage.

Vereisten

Voor het succesvol implementeren van een volledig geconfigureerd device identity management-systeem zijn verschillende technische en organisatorische vereisten noodzakelijk die zorgvuldig moeten worden overwogen voordat het proces wordt gestart. De belangrijkste technische vereiste is het beschikken over een Azure IoT Hub of Azure IoT Central instantie die is geconfigureerd met de juiste service tier en capaciteit om alle verwachte apparaten te ondersteunen. Azure IoT Hub biedt verschillende service tiers, variërend van de gratis tier die geschikt is voor ontwikkeling en testen tot de Standard tier die geschikt is voor productie-omgevingen met hoge volumes. De keuze van de service tier is afhankelijk van het verwachte aantal apparaten, de hoeveelheid berichten die worden verzonden, en de benodigde functionaliteit zoals device-to-cloud messaging, cloud-to-device messaging, en device management. Organisaties moeten zorgvuldig evalueren welke service tier het beste past bij hun specifieke behoeften en budget, waarbij rekening wordt gehouden met toekomstige groei en schaalbaarheid.

Een tweede kritieke vereiste betreft het beschikken over een volledige en actuele inventarisatie van alle IoT-apparaten die moeten worden beheerd, inclusief apparaattypen, fabrikanten, modelnummers, firmware-versies, en beoogde gebruiksscenario's. Deze inventarisatie moet alle apparaten omvatten die momenteel in gebruik zijn, apparaten die in de toekomst zullen worden toegevoegd, en apparaten die mogelijk worden vervangen of geüpgraded. Voor elk apparaat moet worden vastgelegd welke authenticatiemethode wordt ondersteund, of het apparaat hardware security modules heeft zoals TPM of HSM, welke netwerkprotocollen worden gebruikt zoals MQTT, AMQP of HTTPS, en welke beveiligingsvereisten gelden op basis van de gevoeligheid van de data die wordt verzonden. Zonder een complete en nauwkeurige inventarisatie bestaat het reële risico dat bepaalde apparaten over het hoofd worden gezien tijdens de configuratie, waardoor het beoogde beveiligingsniveau niet wordt bereikt en potentiële beveiligingsrisico's blijven bestaan.

Het selecteren en configureren van geschikte authenticatiemethoden vormt een derde essentiële vereiste die cruciaal is voor de effectiviteit van device identity management. Azure IoT Hub ondersteunt drie primaire authenticatiemethoden: X.509 certificaten, symmetrische sleutels, en TPM-gebaseerde authenticatie. X.509 certificaten bieden de hoogste beveiligingsniveau en zijn aanbevolen voor kritieke infrastructuren en apparaten die gevoelige data verzenden. Symmetrische sleutels zijn geschikter voor resource-beperkte apparaten met beperkte rekenkracht en geheugen, maar bieden een lager beveiligingsniveau. TPM-gebaseerde authenticatie combineert de voordelen van certificaten met hardware security, waardoor het ideaal is voor hoogwaardige beveiligingsscenario's. Organisaties moeten zorgvuldig evalueren welke authenticatiemethode het beste past bij elk apparaattype en gebruiksscenario, waarbij rekening wordt gehouden met beveiligingsvereisten, apparaatcapaciteiten, en operationele complexiteit.

Een vastgesteld en duidelijk gedocumenteerd beleidsraamwerk voor device lifecycle management is eveneens cruciaal voor het succes van het proces en moet zorgvuldig worden afgestemd op de specifieke behoeften en risicoprofiel van de organisatie. Het beleidsraamwerk moet expliciet maken hoe apparaten worden geregistreerd en geconfigureerd tijdens de provisioning-fase, hoe apparaatidentiteiten worden bijgewerkt en geverifieerd tijdens de operationele fase, hoe certificaten en sleutels worden geroteerd om beveiliging te waarborgen, en hoe apparaten worden gedecommissioned wanneer deze niet langer nodig zijn. Het raamwerk moet ook voorzien in een duidelijk proces voor het afhandelen van verloren of gestolen apparaten, inclusief hoe apparaatidentiteiten worden ingetrokken, hoe netwerktoegang wordt geblokkeerd, en hoe incidenten worden gedocumenteerd voor audit- en compliance-doeleinden. Het schema moet duidelijk worden gecommuniceerd naar alle betrokken partijen en moet worden vastgelegd in het formele beveiligingsbeleid van de organisatie om consistentie en naleving te waarborgen.

Ten slotte moet een duidelijk gedefinieerd en gedocumenteerd proces worden opgesteld voor het testen en valideren van device identity management voordat het wordt geactiveerd in productie. Dit proces moet in detail specificeren hoe verschillende authenticatiemethoden worden getest, hoe device provisioning wordt gevalideerd, hoe lifecycle management-processen worden geverifieerd, en hoe beveiligingsincidenten worden gesimuleerd om de effectiviteit van het systeem te testen. Het proces moet ook voorzien in monitoring en alerting voor wanneer apparaatidentiteiten worden gecompromitteerd, wanneer certificaten verlopen, wanneer apparaten niet meer reageren, en wanneer onbevoegde toegang wordt gedetecteerd. Actieve monitoring helpt om problemen vroegtijdig te detecteren en zorgt ervoor dat het device identity management-systeem effectief blijft functioneren zonder onnodige operationele impact.

Implementatie

Gebruik PowerShell-script device-identity-management.ps1 (functie Invoke-Remediation) – Configureert device identity management volgens best practices.

De implementatie van een volledig geconfigureerd device identity management-systeem begint met het navigeren naar de Azure Portal en het selecteren van de IoT Hub of IoT Central instantie die moet worden geconfigureerd. Vanuit het IoT Hub menu worden device identities beheerd via de 'IoT devices' sectie, waarbij nieuwe apparaten kunnen worden geregistreerd, bestaande apparaten kunnen worden bijgewerkt, en apparaatconfiguraties kunnen worden beheerd. De configuratiewizard leidt gebruikers stap voor stap door het volledige opzetten van device identities, waarbij duidelijke instructies en contextuele hulp worden geboden om configuratiefouten te minimaliseren.

Voor X.509 certificaat-gebaseerde authenticatie wordt een Certificate Authority (CA) opgezet die wordt gebruikt om device certificaten te genereren en te ondertekenen. Azure IoT Hub ondersteunt zowel zelfondertekende certificaten als certificaten van commerciële CA's, waarbij commerciële CA's worden aanbevolen voor productie-omgevingen vanwege hun betrouwbaarheid en compliance. De CA wordt geconfigureerd met een root certificaat dat wordt geüpload naar Azure IoT Hub als een vertrouwde CA, waarna device certificaten kunnen worden gegenereerd en toegewezen aan individuele apparaten. Elk device certificaat bevat unieke identificatie-informatie zoals device ID, serienummer, en vervaldatum, en wordt gebruikt om het apparaat te authenticeren wanneer het verbinding maakt met Azure IoT Hub. Device certificaten worden veilig opgeslagen op het apparaat zelf, idealiter in een hardware security module of TPM, om te voorkomen dat certificaten worden gestolen of gekopieerd.

Voor symmetrische sleutel-authenticatie worden unieke primaire en secundaire sleutels gegenereerd voor elk apparaat tijdens de registratie. Deze sleutels worden gebruikt om een Shared Access Signature (SAS) token te genereren dat wordt gebruikt voor authenticatie bij Azure IoT Hub. Symmetrische sleutels zijn eenvoudiger te implementeren dan X.509 certificaten en vereisen minder rekenkracht, waardoor ze geschikt zijn voor resource-beperkte apparaten. Echter, symmetrische sleutels bieden een lager beveiligingsniveau en moeten regelmatig worden geroteerd om beveiliging te waarborgen. Azure IoT Hub ondersteunt automatische sleutelrotatie waarbij de secundaire sleutel wordt gepromoveerd naar primaire sleutel en een nieuwe secundaire sleutel wordt gegenereerd, waardoor apparaten kunnen blijven functioneren tijdens de rotatie zonder service-onderbreking.

Voor geautomatiseerde device provisioning wordt Azure Device Provisioning Service (DPS) geconfigureerd die apparaten automatisch registreert en toewijst aan de juiste IoT Hub op basis van configuratie en locatie. DPS ondersteunt verschillende provisioning-scenario's, inclusief individuele enrollment waarbij elk apparaat handmatig wordt geregistreerd, group enrollment waarbij meerdere apparaten worden geregistreerd via een enrollment group, en automatic enrollment waarbij apparaten automatisch worden geregistreerd op basis van certificaat-attributen. DPS wordt geconfigureerd met enrollment groups die definiëren welke IoT Hub wordt gebruikt voor verschillende apparaattypen, welke authenticatiemethode wordt gebruikt, en welke initial device twin properties worden toegepast. Wanneer een nieuw apparaat voor het eerst verbinding maakt, wordt het automatisch geregistreerd via DPS, toegewezen aan de juiste IoT Hub, en geconfigureerd met de juiste device twin properties, waardoor handmatige configuratie wordt geëlimineerd en schaalbaarheid wordt verbeterd.

Voor device lifecycle management worden geautomatiseerde processen geconfigureerd die apparaatidentiteiten beheren gedurende de volledige levenscyclus van het apparaat. Dit omvat het automatisch intrekken van verlopen certificaten, het roteren van symmetrische sleutels volgens een vastgesteld schema, het bijwerken van apparaatconfiguraties via device twins, en het veilig decommissionen van apparaten wanneer deze niet langer nodig zijn. Device twins worden gebruikt om de gewenste configuratie van apparaten op te slaan en te synchroniseren met de werkelijke apparaatstatus, waardoor beheerders apparaatconfiguraties kunnen bijwerken zonder directe toegang tot het apparaat. Wanneer een apparaat wordt gedecommissioned, wordt de device identity verwijderd uit Azure IoT Hub, worden alle gerelateerde resources opgeschoond, en wordt een audit log gegenereerd voor compliance-doeleinden.

Na het configureren van alle device identities is het essentieel om de voortgang actief te monitoren en ervoor te zorgen dat alle apparaten correct worden geverifieerd en geautoriseerd. Azure IoT Hub biedt uitgebreide monitoring en logging-functionaliteit die real-time inzicht geeft in device authenticatie, apparaatverbindingen, apparaatfouten, en beveiligingsincidenten. Beheerders kunnen dashboards configureren die waarschuwingen genereren wanneer apparaatidentiteiten worden gecompromitteerd, wanneer certificaten verlopen, wanneer apparaten niet meer reageren, of wanneer onbevoegde toegang wordt gedetecteerd. Deze monitoring helpt om problemen vroegtijdig te detecteren en zorgt ervoor dat het device identity management-systeem effectief blijft functioneren zonder onnodige operationele impact.

Compliance en Auditing

Device Identity Management vormt een fundamentele en onmisbare vereiste binnen meerdere belangrijke beveiligings- en compliance-frameworks die wereldwijd worden erkend en toegepast. De Baseline Informatiebeveiliging Overheid (BIO) bevat in meerdere controles specifieke vereisten voor device authenticatie en toegangscontrole. BIO-controle 08.03 vereist expliciet dat organisaties passende authenticatiemethoden implementeren voor alle systemen en apparaten, inclusief IoT-apparaten. BIO-controle 09.01 vereist dat organisaties toegangscontroles implementeren die zijn gebaseerd op de principes van minimale bevoegdheden en need-to-know. Device Identity Management maakt een integraal onderdeel uit van deze controles door organisaties in staat te stellen elke IoT-apparaat te authenticeren voordat het toegang krijgt tot het netwerk, autorisatie te controleren op basis van apparaatidentiteit, en de volledige levenscyclus van apparaatidentiteiten te beheren. De BIO benadrukt sterk het belang van volledig gedocumenteerde beveiligingsprocessen waarbij alle device identities, authenticatiemethoden, en lifecycle management-processen worden vastgelegd voor audit- en compliance-doeleinden.

De internationale standaard ISO 27001:2022 bevat in meerdere controles specifieke en gedetailleerde vereisten voor toegangscontrole en authenticatie voor alle systemen en apparaten. Controle A.5.17 vereist dat organisaties toegangsrechten beheren en controleren, inclusief het regelmatig beoordelen en intrekken van toegangsrechten voor alle systemen en apparaten. Controle A.5.18 vereist dat organisaties authenticatiemechanismen implementeren die geschikt zijn voor het beoogde gebruik, inclusief sterke authenticatie voor kritieke systemen. Controle A.8.3 vereist dat organisaties toegangscontroles implementeren die zijn gebaseerd op de principes van minimale bevoegdheden en need-to-know. Device Identity Management maakt een integraal onderdeel uit van deze controles door organisaties in staat te stellen elke IoT-apparaat te authenticeren, autorisatie te controleren op basis van apparaatidentiteit, en de volledige levenscyclus van apparaatidentiteiten te beheren. Implementatie van Device Identity Management helpt organisaties niet alleen te voldoen aan deze ISO-vereisten, maar draagt ook aanzienlijk bij aan het behalen en behouden van ISO 27001-certificering.

De Europese NIS2-richtlijn bevat in Artikel 21 specifieke en bindende vereisten voor toegangsbeheer en authenticatie voor alle systemen en apparaten, inclusief IoT-apparaten die worden gebruikt in kritieke infrastructuren. De richtlijn vereist expliciet dat organisaties passende en effectieve maatregelen treffen voor toegangsbeheer, inclusief sterke authenticatie voor toegang tot kritieke systemen en gegevens. Voor Nederlandse organisaties die onder de reikwijdte van NIS2 vallen en IoT-apparaten inzetten voor kritieke infrastructuren, is het implementeren van Device Identity Management niet alleen een best practice of aanbeveling, maar een wettelijke verplichting die moet worden nageleefd. Niet-naleving van NIS2-vereisten kan leiden tot aanzienlijke financiële boetes, die kunnen oplopen tot miljoenen euro's, evenals ernstige reputatieschade en mogelijke gevolgen voor de continuïteit van bedrijfsvoering.

Monitoring

Gebruik PowerShell-script device-identity-management.ps1 (functie Invoke-Monitoring) – Controleert de configuratie en status van device identity management.

Effectieve monitoring van device identity management is essentieel om te waarborgen dat het beveiligingsraamwerk correct blijft functioneren en dat organisaties altijd beschikken over actuele en effectieve apparaatauthenticatie en autorisatie. Monitoring omvat het continu volgen van de status van alle geregistreerde apparaten, het verifiëren dat authenticatiemethoden correct functioneren, het controleren van de effectiviteit van lifecycle management-processen, en het waarborgen dat alle beveiligingsincidenten worden gedetecteerd en aangepakt.

De basis van monitoring wordt gevormd door regelmatige verificatie van de status van alle geregistreerde apparaten via de Azure IoT Hub-portal of via PowerShell met behulp van de Azure IoT Hub REST API. Beheerders moeten dagelijks controleren of alle apparaten correct zijn geregistreerd, of authenticatiemethoden correct functioneren, of certificaten en sleutels niet zijn verlopen, en of er geen waarschuwingen of foutmeldingen zijn die kunnen wijzen op problemen met device identity management. Deze verificatie kan worden geautomatiseerd via PowerShell-scripts die de status van alle apparaten controleren en waarschuwingen genereren wanneer problemen worden gedetecteerd.

Naast het controleren van de status van apparaten moeten organisaties regelmatig verifiëren dat authenticatiemethoden effectief zijn en dat apparaatauthenticatie correct functioneert. Dit kan worden gedaan door de Azure IoT Hub monitoring-dashboards te monitoren die real-time inzicht geven in apparaatverbindingen, authenticatiepogingen, authenticatiefouten, en beveiligingsincidenten. Organisaties moeten processen implementeren voor het regelmatig uitvoeren van deze verificaties, waarbij dagelijks wordt gecontroleerd of authenticatiemethoden effectief zijn en waarbij waarschuwingen worden gegenereerd wanneer onverwachte patronen worden gedetecteerd, zoals een plotselinge toename van authenticatiefouten of onbevoegde toegangspogingen.

Voor organisaties die X.509 certificaten gebruiken, is het essentieel om te monitoren of certificaten niet zijn verlopen en of certificaatintrekking correct functioneert. Dit omvat het controleren van de vervaldatums van alle device certificaten, het verifiëren dat verlopen certificaten correct worden ingetrokken, en het waarborgen dat apparaten met verlopen certificaten geen toegang meer hebben tot het netwerk. Problemen met certificaatbeheer kunnen leiden tot situaties waarin apparaten niet meer kunnen authenticeren of waarin verlopen certificaten nog steeds worden geaccepteerd, wat beveiligingsrisico's creëert. Organisaties moeten processen implementeren voor het monitoren van certificaatbeheer, waarbij wekelijks wordt gecontroleerd of certificaten niet zijn verlopen en waarbij waarschuwingen worden gegenereerd wanneer certificaten binnenkort verlopen, zodat proactieve actie kan worden ondernomen.

Remediatie

Gebruik PowerShell-script device-identity-management.ps1 (functie Invoke-Remediation) – Herstelt of configureert device identity management wanneer dit ontbreekt of onjuist is geconfigureerd.

Remediatie van device identity management omvat het opzetten van nieuwe device identities wanneer deze ontbreken, het corrigeren van configuratiefouten in bestaande device identities, en het waarborgen dat alle apparaten correct worden geverifieerd en geautoriseerd. Het is belangrijk om te realiseren dat wanneer device identity management niet is geconfigureerd, organisaties niet beschikken over een gestructureerd proces om IoT-apparaten te authenticeren, wat kan resulteren in onbeveiligde toegang tot gevoelige systemen en niet-naleving van compliance-vereisten.

Wanneer device identities ontbreken voor specifieke apparaten, kunnen nieuwe device identities worden aangemaakt via de Azure IoT Hub-portal door te navigeren naar IoT devices, en vervolgens Add device te selecteren. De configuratiewizard leidt gebruikers door het volledige opzetten van de device identity, waarbij alle benodigde instellingen worden geconfigureerd, inclusief device ID, authenticatiemethode, primaire en secundaire sleutels of certificaten, en device twin properties. Voor X.509 certificaat-gebaseerde authenticatie moeten device certificaten worden gegenereerd en geüpload, terwijl voor symmetrische sleutel-authenticatie primaire en secundaire sleutels automatisch worden gegenereerd. Na het voltooien van de configuratie wordt de device identity getest door het apparaat te verbinden met Azure IoT Hub en te verifiëren dat authenticatie correct functioneert.

Voor bestaande device identities met configuratiefouten kunnen de instellingen worden bijgewerkt via de Azure IoT Hub-portal door te navigeren naar de specifieke device identity en de instellingen te bewerken. Dit omvat het bijwerken van authenticatiemethoden wanneer dit nodig is, het roteren van symmetrische sleutels wanneer deze zijn gecompromitteerd, het vernieuwen van certificaten wanneer deze zijn verlopen, en het corrigeren van device twin properties wanneer deze niet correct zijn. Het is belangrijk om te verifiëren dat alle wijzigingen correct zijn toegepast en dat de device identity correct blijft functioneren na de wijzigingen, waarbij het apparaat opnieuw wordt getest om te verifiëren dat authenticatie nog steeds correct functioneert.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Device Identity Management voor Azure IoT Hub .DESCRIPTION Controleert en configureert device identity management voor Azure IoT Hub, inclusief X.509 certificaat-authenticatie, symmetrische sleutel-authenticatie, device provisioning, en lifecycle management. .NOTES Filename: device-identity-management.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Requires: Azure IoT Hub, Az.IotHub, Az.Accounts Related JSON: content/azure/iot/device-identity-management.json .EXAMPLE .\device-identity-management.ps1 -Monitoring Controleert de configuratie van device identity management voor alle IoT Hubs. .EXAMPLE .\device-identity-management.ps1 -Remediation Toont configuratie-instructies voor device identity management. .EXAMPLE .\device-identity-management.ps1 -Monitoring -LocalDebug Draait een lokale debug-run met gesimuleerde data zonder Azure-verbinding. #> #Requires -Version 5.1 [CmdletBinding()] param( [Parameter(Mandatory = $false)] [switch]$Monitoring, [Parameter(Mandatory = $false)] [switch]$Remediation, [Parameter(Mandatory = $false)] [switch]$Revert, [Parameter(Mandatory = $false)] [switch]$WhatIf, [Parameter(Mandatory = $false)] [string[]]$SubscriptionId, [Parameter(Mandatory = $false)] [switch]$LocalDebug ) $ErrorActionPreference = 'Stop' Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Device Identity Management" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan function Test-ModuleAvailability { <# .SYNOPSIS Controleert of vereiste PowerShell-modules beschikbaar zijn #> [CmdletBinding()] param( [Parameter(Mandatory = $true)] [string[]]$ModuleName ) foreach ($name in $ModuleName) { if (-not (Get-Module -ListAvailable -Name $name)) { Write-Warning "Vereiste module '$name' is niet geïnstalleerd. Installeer deze module voor volledige functionaliteit." Write-Host " Installeer met: Install-Module -Name $name -Force" -ForegroundColor Yellow } } } function Connect-RequiredServices { <# .SYNOPSIS Maakt verbinding met Azure als dat nog niet is gebeurd #> try { if ($LocalDebug) { Write-Host "LocalDebug is ingeschakeld; er wordt geen Azure-verbinding opgezet." -ForegroundColor Gray return } Test-ModuleAvailability -ModuleName @('Az.Accounts', 'Az.IotHub') $context = Get-AzContext -ErrorAction SilentlyContinue if (-not $context) { Write-Host "Connecting to Azure..." -ForegroundColor Gray Connect-AzAccount -ErrorAction Stop Write-Host " [OK] Connected to Azure" -ForegroundColor Green } else { Write-Host " [OK] Already connected to Azure" -ForegroundColor Green Write-Host " Subscription: $($context.Subscription.Name)" -ForegroundColor Gray } } catch { Write-Host " [FAIL] Failed to connect to Azure: $_" -ForegroundColor Red throw } } function Invoke-Monitoring { <# .SYNOPSIS Controleert de configuratie en status van device identity management #> try { Connect-RequiredServices Write-Host "Checking Device Identity Management configuration..." -ForegroundColor Gray if ($LocalDebug) { Write-Host "`n [DEBUG] LocalDebug mode - gesimuleerde resultaten:" -ForegroundColor Yellow Write-Host " Total IoT Hubs: 3" -ForegroundColor White Write-Host " Hubs met device identity management: 2" -ForegroundColor White Write-Host " Hubs zonder device identity management: 1" -ForegroundColor Yellow Write-Host " Total devices: 150" -ForegroundColor White Write-Host " Devices met X.509 certificaten: 80" -ForegroundColor Green Write-Host " Devices met symmetrische sleutels: 70" -ForegroundColor Green Write-Host " Devices zonder authenticatie: 0" -ForegroundColor Green Write-Host "`n [WARNING] PARTIALLY COMPLIANT" -ForegroundColor Yellow Write-Host " Aanbevolen: Configureer device identity management voor alle IoT Hubs" -ForegroundColor Yellow exit 1 } # Haal alle IoT Hubs op $iotHubs = @() if ($SubscriptionId) { foreach ($subId in $SubscriptionId) { Set-AzContext -SubscriptionId $subId -ErrorAction SilentlyContinue | Out-Null $hubs = Get-AzIotHub -ErrorAction SilentlyContinue if ($hubs) { $iotHubs += $hubs } } } else { $iotHubs = Get-AzIotHub -ErrorAction SilentlyContinue } if (-not $iotHubs -or $iotHubs.Count -eq 0) { Write-Host "`n [WARNING] Geen IoT Hubs gevonden" -ForegroundColor Yellow Write-Host " Maak eerst een IoT Hub aan in Azure Portal" -ForegroundColor Gray exit 1 } $result = @{ totalHubs = 0 compliantHubs = 0 nonCompliantHubs = 0 totalDevices = 0 devicesWithX509 = 0 devicesWithSymmetricKeys = 0 devicesWithoutAuth = 0 compliant = $false } $result.totalHubs = $iotHubs.Count foreach ($hub in $iotHubs) { Write-Host "`n Checking IoT Hub: $($hub.Name)" -ForegroundColor Cyan Write-Host " Resource Group: $($hub.ResourceGroup)" -ForegroundColor Gray Write-Host " Location: $($hub.Location)" -ForegroundColor Gray try { # Haal devices op voor deze hub $devices = Get-AzIotHubDevice -ResourceGroupName $hub.ResourceGroup -IotHubName $hub.Name -ErrorAction SilentlyContinue if ($devices) { $result.totalDevices += $devices.Count Write-Host " Total devices: $($devices.Count)" -ForegroundColor White $hubHasX509 = $false $hubHasSymmetricKeys = $false $hubHasUnauthenticated = $false foreach ($device in $devices) { # Controleer authenticatiemethode if ($device.Authentication.Type -eq 'X509Thumbprint' -or $device.Authentication.X509Thumbprint) { $result.devicesWithX509++ $hubHasX509 = $true } elseif ($device.Authentication.Type -eq 'Sas' -or $device.Authentication.SymmetricKey) { $result.devicesWithSymmetricKeys++ $hubHasSymmetricKeys = $true } else { $result.devicesWithoutAuth++ $hubHasUnauthenticated = $true } } if ($hubHasX509 -or $hubHasSymmetricKeys) { if (-not $hubHasUnauthenticated) { $result.compliantHubs++ Write-Host " [OK] Device identity management geconfigureerd" -ForegroundColor Green } else { $result.nonCompliantHubs++ Write-Host " [WARNING] Sommige devices hebben geen authenticatie" -ForegroundColor Yellow } } else { $result.nonCompliantHubs++ Write-Host " [WARNING] Geen device identity management geconfigureerd" -ForegroundColor Yellow } } else { Write-Host " [INFO] Geen devices gevonden" -ForegroundColor Gray $result.nonCompliantHubs++ } } catch { Write-Host " [ERROR] Kon devices niet ophalen: $_" -ForegroundColor Red $result.nonCompliantHubs++ } } Write-Host "`n Summary:" -ForegroundColor Cyan Write-Host " Total IoT Hubs: $($result.totalHubs)" -ForegroundColor White Write-Host " Compliant Hubs: $($result.compliantHubs)" -ForegroundColor White Write-Host " Non-Compliant Hubs: $($result.nonCompliantHubs)" -ForegroundColor White Write-Host " Total Devices: $($result.totalDevices)" -ForegroundColor White Write-Host " Devices met X.509: $($result.devicesWithX509)" -ForegroundColor White Write-Host " Devices met Symmetric Keys: $($result.devicesWithSymmetricKeys)" -ForegroundColor White Write-Host " Devices zonder authenticatie: $($result.devicesWithoutAuth)" -ForegroundColor White # Bepaal compliance status if ($result.totalHubs -gt 0 -and $result.compliantHubs -eq $result.totalHubs -and $result.devicesWithoutAuth -eq 0) { $result.compliant = $true Write-Host "`n [OK] COMPLIANT" -ForegroundColor Green Write-Host " Device identity management is geconfigureerd voor alle IoT Hubs en devices" -ForegroundColor Cyan exit 0 } else { Write-Host "`n [WARNING] PARTIALLY COMPLIANT" -ForegroundColor Yellow Write-Host " Aanbevolen: Configureer device identity management voor alle IoT Hubs" -ForegroundColor Yellow if ($result.nonCompliantHubs -gt 0) { Write-Host " - Configureer device identities voor $($result.nonCompliantHubs) IoT Hub(s)" -ForegroundColor Gray } if ($result.devicesWithoutAuth -gt 0) { Write-Host " - Configureer authenticatie voor $($result.devicesWithoutAuth) device(s)" -ForegroundColor Gray } exit 1 } } catch { Write-Host "`n [FAIL] ERROR: $_" -ForegroundColor Red Write-Host " Error Details: $($_.Exception.Message)" -ForegroundColor Red Write-Host "`n Note: Device identity management vereist Azure IoT Hub Standard tier" -ForegroundColor Yellow exit 2 } } function Invoke-Remediation { <# .SYNOPSIS Toont configuratie-instructies voor device identity management #> try { Connect-RequiredServices Write-Host "Device Identity Management Configuration" -ForegroundColor Gray Write-Host "`n [INFO] Device identity management configuratie vereist handmatige stappen" -ForegroundColor Yellow Write-Host " via de Azure Portal of Azure CLI vanwege complexiteit en" -ForegroundColor Gray Write-Host " specifieke zakelijke vereisten." -ForegroundColor Gray Write-Host "`n Configuratiestappen:" -ForegroundColor Cyan Write-Host " 1. Navigeer naar: https://portal.azure.com" -ForegroundColor White Write-Host " 2. Ga naar: IoT Hub > IoT devices" -ForegroundColor White Write-Host " 3. Klik op: Add device" -ForegroundColor White Write-Host "`n Aanbevolen configuraties:" -ForegroundColor Cyan Write-Host "`n X.509 Certificaat-authenticatie (aanbevolen voor kritieke apparaten):" -ForegroundColor Yellow Write-Host " - Genereer device certificaat met Certificate Authority" -ForegroundColor Gray Write-Host " - Upload root CA certificaat naar IoT Hub" -ForegroundColor Gray Write-Host " - Configureer device met X.509 thumbprint" -ForegroundColor Gray Write-Host " - Sla certificaat veilig op in hardware security module (HSM/TPM)" -ForegroundColor Gray Write-Host "`n Symmetrische sleutel-authenticatie (voor resource-beperkte apparaten):" -ForegroundColor Yellow Write-Host " - Genereer primaire en secundaire symmetrische sleutels" -ForegroundColor Gray Write-Host " - Configureer device met primaire sleutel" -ForegroundColor Gray Write-Host " - Implementeer automatische sleutelrotatie volgens schema" -ForegroundColor Gray Write-Host " - Gebruik secundaire sleutel tijdens rotatie om service-onderbreking te voorkomen" -ForegroundColor Gray Write-Host "`n Azure Device Provisioning Service (voor automatische provisioning):" -ForegroundColor Yellow Write-Host " - Maak DPS instantie aan in Azure Portal" -ForegroundColor Gray Write-Host " - Configureer enrollment groups voor verschillende apparaattypen" -ForegroundColor Gray Write-Host " - Koppel DPS aan IoT Hub(s)" -ForegroundColor Gray Write-Host " - Configureer apparaten voor automatische registratie" -ForegroundColor Gray Write-Host "`n Device Lifecycle Management:" -ForegroundColor Yellow Write-Host " - Configureer automatische certificaatintrekking voor verlopen certificaten" -ForegroundColor Gray Write-Host " - Implementeer sleutelrotatie volgens vastgesteld schema" -ForegroundColor Gray Write-Host " - Configureer device twins voor configuratiebeheer" -ForegroundColor Gray Write-Host " - Implementeer veilig decommissioning-proces voor apparaten" -ForegroundColor Gray Write-Host "`n PowerShell voorbeelden:" -ForegroundColor Cyan Write-Host " # Device toevoegen met symmetrische sleutel:" -ForegroundColor Gray Write-Host " Add-AzIotHubDevice -ResourceGroupName 'rg-iot' -IotHubName 'iot-hub-01' -DeviceId 'device-001'" -ForegroundColor White Write-Host "`n # Device toevoegen met X.509 certificaat:" -ForegroundColor Gray Write-Host " Add-AzIotHubDevice -ResourceGroupName 'rg-iot' -IotHubName 'iot-hub-01' -DeviceId 'device-002' -AuthMethod 'X509Thumbprint' -PrimaryThumbprint 'thumbprint1' -SecondaryThumbprint 'thumbprint2'" -ForegroundColor White Write-Host "`n [INFO] Na configuratie, voer -Monitoring uit om te verifiëren" -ForegroundColor Cyan Write-Host " [INFO] Test alle device identities voordat ze in productie worden gebruikt" -ForegroundColor Yellow Write-Host " [INFO] Monitor Azure IoT Hub logs voor authenticatiefouten" -ForegroundColor Yellow exit 0 } catch { Write-Host "`n [FAIL] ERROR: $_" -ForegroundColor Red Write-Host " Error Details: $($_.Exception.Message)" -ForegroundColor Red exit 2 } } function Invoke-Revert { <# .SYNOPSIS Waarschuwing voor verwijdering van device identities (NIET AANBEVOLEN!) #> try { Write-Host "⚠️ WARNING: Verwijderen van device identities is een BEVEILIGINGSRISICO!" -ForegroundColor Red Write-Host "Dit verwijdert kritieke beveiligingscontroles en verhoogt het risico op" -ForegroundColor Red Write-Host "ongewenste toegang en niet-naleving van compliance-vereisten`n" -ForegroundColor Red if (-not $WhatIf) { Write-Host "Gebruik -WhatIf om te zien wat zou worden verwijderd" -ForegroundColor Yellow Write-Host "Verwijdering van device identities moet handmatig via de portal" -ForegroundColor Yellow Write-Host "worden uitgevoerd na zorgvuldige overweging en goedkeuring." -ForegroundColor Yellow } exit 0 } catch { Write-Host "ERROR: $_" -ForegroundColor Red exit 2 } } try { if ($Revert) { Invoke-Revert } elseif ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { Invoke-Remediation } else { Write-Host "Usage:" -ForegroundColor Yellow Write-Host " -Monitoring Controleer device identity management configuratie" -ForegroundColor Gray Write-Host " -Remediation Toon configuratie-instructies" -ForegroundColor Gray Write-Host " -Revert Waarschuwing voor verwijdering (NIET AANBEVOLEN!)" -ForegroundColor Red Write-Host " -LocalDebug Lokale debug-run zonder Azure-verbinding" -ForegroundColor Gray Write-Host "`n Voorbeeld:" -ForegroundColor Cyan Write-Host " .\device-identity-management.ps1 -Monitoring" -ForegroundColor White } } catch { throw } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
Critical: Kritiek - Zonder device identity management kunnen IoT-apparaten niet worden geverifieerd, waardoor kwaadwillende actoren valse apparaten kunnen introduceren, gestolen apparaten kunnen worden misbruikt, en kritieke infrastructuren worden blootgesteld aan aanvallen. Dit creëert aanzienlijke beveiligingsrisico's en niet-naleving van compliance-vereisten zoals BIO 08.03, ISO 27001 A.5.18 en NIS2 Artikel 21.

Management Samenvatting

Configureer device identity management met X.509 certificaten of symmetrische sleutels, automatische device provisioning via Azure Device Provisioning Service, en volledig lifecycle management. Vereist Azure IoT Hub Standard tier. Implementatietijd: 36 uur.