💼 Management Samenvatting
Het instellen van vervaldatums voor cryptografische sleutels in Azure Key Vaults vormt een fundamentele beveiligingsmaatregel die organisaties beschermt tegen langdurige beveiligingsrisico's en zorgt voor naleving van internationale beveiligingsstandaarden.
Aanbeveling
IMPLEMENTEER VERVALDATUMS VOOR CRYPTOGRAFISCHE SLEUTELS
Risico zonder
Medium
Risk Score
6/10
Implementatie
3u (tech: 2u)
Van toepassing op:
✓ Azure Key Vault
Cryptografische sleutels zonder vervaldatum blijven onbeperkt geldig, zelfs nadat ze mogelijk zijn gecompromitteerd. Dit creëert een aanzienlijk beveiligingsrisico waarbij aanvallers jarenlang gebruik kunnen maken van gestolen sleutels. Door vervaldatums in te stellen, dwingen organisaties regelmatige sleutelrotatie af, waardoor het compromitteringsvenster wordt beperkt en de impact van mogelijke beveiligingsincidenten wordt gemitigeerd. Deze instelling is essentieel voor het handhaven van een veilige omgeving en voorkomt bekende aanvalsvectoren door het afdwingen van beveiligingsbest practices die zijn vastgelegd in frameworks zoals de CIS Microsoft Azure Foundations Benchmark, de Baseline Informatiebeveiliging Overheid en ISO 27001.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.KeyVault
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.KeyVault
Implementatie
Stel vervaldatums in voor cryptografische sleutels in Key Vaults die gebruikmaken van het toegangsbeleidmodel (Access Policy model) in plaats van op rollen gebaseerd toegangsbeheer (RBAC). Deze maatregel zorgt ervoor dat alle cryptografische sleutels een gedefinieerde levensduur hebben en regelmatig worden geroteerd, wat een kritiek onderdeel vormt van een robuust sleutelbeheerbeleid binnen de Nederlandse Baseline voor Veilige Cloud.
Vereisten
Voor het implementeren van vervaldatums voor cryptografische sleutels in Azure Key Vaults die gebruikmaken van het toegangsbeleidmodel, zijn specifieke vereisten van toepassing. Deze vereisten vormen de basis voor een veilige en gecontroleerde sleutelbeheeromgeving binnen de Nederlandse Baseline voor Veilige Cloud.
De primaire vereiste betreft de aanwezigheid van een Azure Key Vault die is geconfigureerd met het toegangsbeleidmodel (Access Policy model) in plaats van op rollen gebaseerd toegangsbeheer (RBAC). Het toegangsbeleidmodel is het traditionele autorisatiemodel voor Key Vaults en biedt fijnmazige toegangscontrole via toegangsbeleidsregels die direct aan de Key Vault zijn gekoppeld. Organisaties die nog gebruikmaken van dit model moeten ervoor zorgen dat de juiste toegangsrechten zijn geconfigureerd voor het beheren van sleutels, inclusief de mogelijkheid om vervaldatums in te stellen en te wijzigen.
Naast de Key Vault configuratie is het essentieel dat de beheerder of service principal die de vervaldatums instelt, beschikt over de juiste machtigingen. Specifiek zijn de machtigingen 'Set' en 'Update' vereist voor sleutelbeheer. Deze machtigingen kunnen worden verleend via het toegangsbeleid van de Key Vault en moeten worden toegewezen aan de identiteiten die verantwoordelijk zijn voor het sleutelbeheer. Voor Nederlandse overheidsorganisaties is het van belang dat deze machtigingen worden toegewezen volgens het principe van minimale bevoegdheden, waarbij alleen geautoriseerd personeel toegang heeft tot deze kritieke beveiligingsfuncties.
Een aanvullende vereiste betreft de beschikbaarheid van monitoring- en auditmogelijkheden. Organisaties moeten in staat zijn om te controleren welke sleutels vervaldatums hebben en welke niet, zodat proactief kan worden opgetreden bij sleutels die binnenkort verlopen of die geen vervaldatum hebben ingesteld. Dit vereist toegang tot de Azure Key Vault API's of PowerShell-cmdlets voor het opvragen van sleutelmetadata. Voor compliance doeleinden, met name in het kader van de BIO-normen en ISO 27001, is het noodzakelijk dat deze controles regelmatig worden uitgevoerd en gedocumenteerd.
Voor organisaties die automatisering willen implementeren voor het beheren van vervaldatums, zijn aanvullende vereisten van toepassing. Dit omvat de beschikbaarheid van Azure Automation, Logic Apps, of andere orchestratieoplossingen die periodiek kunnen controleren op sleutels zonder vervaldatum en deze automatisch kunnen bijwerken. Dergelijke automatisering vereist service principals met de juiste machtigingen en een robuuste foutafhandeling om te voorkomen dat legitieme sleutels onbedoeld worden gewijzigd. De implementatie van dergelijke automatisering moet worden gedocumenteerd en getest voordat deze in productie wordt genomen.
Tot slot is het belangrijk dat organisaties beschikken over een duidelijk beleid en procedures voor het beheren van vervaldatums. Dit beleid moet definiëren wat de standaard vervalperiode is voor verschillende typen sleutels, wie verantwoordelijk is voor het instellen en bijwerken van vervaldatums, en hoe wordt omgegaan met sleutels die bijna verlopen. Voor Nederlandse overheidsorganisaties moet dit beleid aansluiten bij de BIO-normen en andere relevante compliance vereisten, waarbij specifieke aandacht wordt besteed aan de beveiliging van kritieke systemen en gevoelige gegevens. Het beleid moet ook aandacht besteden aan uitzonderingen, waarbij duidelijk wordt gedefinieerd onder welke omstandigheden een sleutel zonder vervaldatum mag worden gebruikt, wie toestemming kan geven voor dergelijke uitzonderingen, en hoe deze uitzonderingen worden gedocumenteerd en gereviewd. Dergelijke uitzonderingen moeten zeldzaam zijn en alleen worden verleend na een grondige risicoanalyse en goedkeuring door de juiste beveiligingsfunctionarissen binnen de organisatie.
Voor organisaties die migreren van het toegangsbeleidmodel naar RBAC, is het belangrijk om te begrijpen dat de vereisten voor het instellen van vervaldatums verschillen tussen de twee modellen. Hoewel dit artikel zich richt op Key Vaults met het toegangsbeleidmodel, moeten organisaties die RBAC gebruiken ook vervaldatums instellen, maar de manier waarop machtigingen worden verleend verschilt. Organisaties die nog gebruikmaken van het toegangsbeleidmodel moeten ervoor zorgen dat alle vereisten voor dit model zijn vervuld voordat zij beginnen met het implementeren van vervaldatums. Dit omvat niet alleen technische vereisten, maar ook organisatorische vereisten zoals training van personeel, documentatie van procedures, en het opzetten van monitoring- en auditprocessen die ervoor zorgen dat het beleid wordt nageleefd.
Monitoring
Het monitoren van vervaldatums voor cryptografische sleutels in Azure Key Vaults is een kritieke beveiligingsactiviteit die regelmatig moet worden uitgevoerd. Door proactief te controleren welke sleutels vervaldatums hebben en welke niet, kunnen organisaties tijdig maatregelen nemen om beveiligingsrisico's te mitigeren en te voldoen aan compliance vereisten zoals de CIS Benchmarks, BIO-normen en ISO 27001.
Gebruik PowerShell-script key-expiration-non-rbac-vaults.ps1 (functie Invoke-Monitoring) – Controleren.
De monitoring van sleutels zonder vervaldatum begint met het inventariseren van alle sleutels binnen de Key Vaults die gebruikmaken van het toegangsbeleidmodel. Het monitoringproces moet systematisch alle sleutels doorlopen en controleren of er een vervaldatum is ingesteld. Sleutels zonder vervaldatum vormen een beveiligingsrisico omdat ze onbeperkt geldig blijven, zelfs als ze zijn gecompromitteerd. Dit kan leiden tot langdurige beveiligingsincidenten waarbij aanvallers jarenlang gebruik kunnen maken van gestolen sleutels.
Voor effectieve monitoring is het aan te raden om een geautomatiseerd monitoringproces in te richten dat periodiek, bijvoorbeeld wekelijks of maandelijks, alle Key Vaults controleert. Dit proces moet een overzicht genereren van alle sleutels zonder vervaldatum, inclusief informatie over wanneer de sleutel is aangemaakt, wat het beoogde gebruik is, en wie verantwoordelijk is voor het beheer ervan. Deze informatie is essentieel voor het prioriteren van acties en het toewijzen van verantwoordelijkheden binnen de organisatie.
Naast het identificeren van sleutels zonder vervaldatum, moet de monitoring ook aandacht besteden aan sleutels die binnenkort verlopen. Het is belangrijk om tijdig te waarschuwen wanneer een sleutel binnen een bepaalde periode, bijvoorbeeld 30 of 60 dagen, zal verlopen. Dit geeft beheerders voldoende tijd om de sleutel te roteren en te voorkomen dat applicaties of services onverwacht worden onderbroken door verlopen sleutels. Voor kritieke systemen kan het zelfs nodig zijn om nog eerder te waarschuwen, bijvoorbeeld 90 dagen van tevoren.
De monitoringresultaten moeten worden gedocumenteerd en opgeslagen voor audit doeleinden. Dit is met name belangrijk voor Nederlandse overheidsorganisaties die moeten voldoen aan de BIO-normen en andere compliance vereisten. De documentatie moet bevatten wanneer de controle is uitgevoerd, welke sleutels zijn gecontroleerd, welke bevindingen zijn gedaan, en welke acties zijn ondernomen. Deze informatie kan worden gebruikt tijdens audits en compliance controles om aan te tonen dat de organisatie proactief werkt aan het beveiligen van cryptografische sleutels.
Voor organisaties die gebruikmaken van meerdere Key Vaults, is het belangrijk om een gecentraliseerd monitoringproces te hebben dat alle Key Vaults in de organisatie controleert. Dit kan worden bereikt door gebruik te maken van Azure Management Groups of door een centrale monitoringoplossing te implementeren die alle Key Vaults periodiek doorloopt. Dergelijke centralisatie zorgt ervoor dat geen enkele Key Vault wordt overgeslagen en dat de organisatie een compleet beeld heeft van de beveiligingsstatus van alle cryptografische sleutels.
Tot slot moet de monitoring ook aandacht besteden aan trends en patronen. Door historische monitoringdata te analyseren, kunnen organisaties inzicht krijgen in hoe vaak sleutels zonder vervaldatum worden aangemaakt, welke teams of applicaties dit het vaakst doen, en of er verbetering optreedt in de naleving van het beleid. Deze inzichten kunnen worden gebruikt om gerichte training te geven aan teams die regelmatig sleutels aanmaken zonder vervaldatum, en om het beleid en de procedures verder te verbeteren. Trendanalyse kan ook helpen bij het identificeren van systemische problemen, zoals applicaties die standaard sleutels aanmaken zonder vervaldatum, of ontwikkelprocessen die niet zijn geconfigureerd om automatisch vervaldatums in te stellen. Door deze problemen te identificeren en aan te pakken, kunnen organisaties de naleving van het beleid structureel verbeteren in plaats van alleen reactief te reageren op individuele gevallen.
De implementatie van effectieve monitoring vereist ook aandacht voor de technische aspecten van het monitoringproces zelf. Het monitoringproces moet robuust zijn en bestand tegen fouten, zodat het niet faalt wanneer een Key Vault tijdelijk niet beschikbaar is of wanneer er netwerkproblemen optreden. Daarnaast moet het monitoringproces schaalbaar zijn, zodat het efficiënt kan werken in omgevingen met honderden of duizenden Key Vaults. Voor grote organisaties kan dit betekenen dat het monitoringproces moet worden gedistribueerd over meerdere systemen of dat er gebruik moet worden gemaakt van cloud-native monitoringoplossingen zoals Azure Monitor of Azure Policy. Het is ook belangrijk dat het monitoringproces zelf wordt gemonitord, zodat organisaties kunnen zien wanneer het proces niet correct werkt en tijdig kunnen ingrijpen.
Voor Nederlandse overheidsorganisaties is het belangrijk dat het monitoringproces voldoet aan de vereisten voor gegevensbescherming en privacy. Dit betekent dat monitoringdata moet worden opgeslagen op een veilige manier, dat toegang tot deze data moet worden gecontroleerd, en dat de data moet worden verwijderd wanneer deze niet langer nodig is voor compliance of beveiligingsdoeleinden. Daarnaast moet het monitoringproces worden gedocumenteerd in het informatiebeveiligingsbeleid van de organisatie, en moeten de resultaten van het monitoringproces regelmatig worden gereviewd door beveiligingsfunctionarissen om te zorgen dat het proces effectief is en dat eventuele problemen tijdig worden geïdentificeerd en opgelost.
Compliance en Toetsing
Het instellen van vervaldatums voor cryptografische sleutels is niet alleen een best practice, maar ook een vereiste voor verschillende compliance frameworks die relevant zijn voor Nederlandse overheidsorganisaties. Door te voldoen aan deze vereisten, kunnen organisaties aantonen dat zij proactief werken aan het beveiligen van cryptografische sleutels en het beperken van de impact van mogelijke beveiligingsincidenten.
De CIS Microsoft Azure Foundations Benchmark vereist in controle 5.3.2 dat cryptografische sleutels vervaldatums hebben ingesteld. Deze controle is geclassificeerd als Level 2, wat betekent dat deze wordt aanbevolen voor omgevingen met hoge beveiligingsvereisten. De CIS Benchmark is een internationaal erkende standaard die wordt gebruikt door veel organisaties, inclusief Nederlandse overheidsorganisaties, om de beveiliging van cloudomgevingen te beoordelen. Door te voldoen aan deze controle, kunnen organisaties aantonen dat zij voldoen aan industrie-standaard beveiligingspraktijken.
De Baseline Informatiebeveiliging Overheid (BIO) vereist in norm 10.01 dat organisaties een adequaat sleutelbeheerbeleid hebben dat aandacht besteedt aan de volledige levenscyclus van cryptografische sleutels, inclusief het instellen van vervaldatums. De BIO is de Nederlandse standaard voor informatiebeveiliging binnen de overheid en is verplicht voor alle Nederlandse overheidsorganisaties. Norm 10.01 specificeert dat organisaties moeten zorgen voor een veilige generatie, distributie, opslag, gebruik en vernietiging van cryptografische sleutels. Het instellen van vervaldatums is een essentieel onderdeel van dit proces, omdat het ervoor zorgt dat sleutels regelmatig worden geroteerd en dat gecompromitteerde sleutels niet onbeperkt kunnen worden gebruikt.
ISO 27001:2022, de internationale standaard voor informatiebeveiligingsmanagement, vereist in controle A.8.24 dat organisaties een adequaat cryptografiebeleid hebben dat aandacht besteedt aan het beheer van cryptografische sleutels. Deze controle maakt deel uit van het domein 'Cryptography' en vereist dat organisaties procedures hebben voor het genereren, distribueren, opslaan, gebruiken en vernietigen van cryptografische sleutels. Het instellen van vervaldatums is een belangrijk onderdeel van deze procedures, omdat het ervoor zorgt dat sleutels regelmatig worden vervangen en dat de levenscyclus van sleutels wordt beheerd volgens vastgestelde procedures.
Voor Nederlandse overheidsorganisaties is het belangrijk om te begrijpen dat het niet voldoen aan deze compliance vereisten kan leiden tot verschillende risico's. Ten eerste kunnen organisaties tijdens audits worden geconfronteerd met bevindingen die moeten worden opgelost, wat kan leiden tot extra werk en mogelijke reputatieschade. Ten tweede kunnen organisaties die niet voldoen aan de BIO-normen worden geconfronteerd met vragen van toezichthouders of andere stakeholders over de beveiliging van hun systemen. Ten derde kan het niet voldoen aan deze vereisten leiden tot een verhoogd beveiligingsrisico, omdat sleutels zonder vervaldatum onbeperkt geldig blijven, zelfs als ze zijn gecompromitteerd.
Om te voldoen aan deze compliance vereisten, moeten organisaties niet alleen vervaldatums instellen voor nieuwe sleutels, maar ook bestaande sleutels zonder vervaldatum identificeren en bijwerken. Dit vereist een systematische aanpak waarbij alle Key Vaults worden gecontroleerd, alle sleutels worden geïnventariseerd, en voor elke sleutel zonder vervaldatum wordt bepaald wat een geschikte vervaldatum is. Deze aanpak moet worden gedocumenteerd en regelmatig worden herhaald om te zorgen dat nieuwe sleutels ook vervaldatums krijgen en dat bestaande sleutels worden bijgewerkt wanneer nodig.
Tijdens audits en compliance controles moeten organisaties kunnen aantonen dat zij voldoen aan deze vereisten. Dit betekent dat zij moeten beschikken over documentatie die aantoont dat vervaldatums zijn ingesteld voor alle relevante sleutels, dat er een proces is voor het monitoren en bijwerken van vervaldatums, en dat dit proces regelmatig wordt uitgevoerd. De monitoringresultaten en acties die zijn ondernomen moeten worden gedocumenteerd en beschikbaar zijn voor auditors. Voor Nederlandse overheidsorganisaties is het belangrijk dat deze documentatie aansluit bij de vereisten van de BIO en andere relevante compliance frameworks. De documentatie moet niet alleen aantonen dat het proces bestaat, maar ook dat het effectief wordt uitgevoerd en dat eventuele afwijkingen worden geïdentificeerd en gecorrigeerd. Dit vereist een systematische aanpak waarbij alle aspecten van het sleutelbeheerproces worden gedocumenteerd, van de initiële configuratie tot de continue monitoring en bijwerking.
Naast de specifieke compliance vereisten voor vervaldatums, moeten organisaties ook rekening houden met de bredere context van cryptografisch sleutelbeheer. Verschillende compliance frameworks hebben aanvullende vereisten die verband houden met sleutelbeheer, zoals de vereiste voor sleutelrotatie, de vereiste voor het beveiligen van sleutels tijdens opslag en transport, en de vereiste voor het vernietigen van sleutels wanneer deze niet langer nodig zijn. Het instellen van vervaldatums is een belangrijk onderdeel van deze bredere context, maar organisaties moeten ervoor zorgen dat zij ook voldoen aan andere vereisten. Voor Nederlandse overheidsorganisaties betekent dit dat zij een holistische benadering moeten hanteren waarbij alle aspecten van cryptografisch sleutelbeheer worden geadresseerd, niet alleen het instellen van vervaldatums.
Het is ook belangrijk om te begrijpen dat compliance vereisten kunnen veranderen over tijd. Nieuwe versies van compliance frameworks kunnen aanvullende vereisten introduceren, of bestaande vereisten kunnen worden aangescherpt. Organisaties moeten daarom een proces hebben voor het monitoren van wijzigingen in compliance frameworks en voor het bijwerken van hun beleid en procedures wanneer nodig. Dit vereist regelmatige review van compliance documentatie en contact met compliance experts of auditors die op de hoogte zijn van de nieuwste ontwikkelingen. Voor Nederlandse overheidsorganisaties is het belangrijk dat dit proces wordt geïntegreerd in het algemene compliance management proces, zodat wijzigingen in compliance vereisten tijdig worden geïdentificeerd en geadresseerd.
Remediatie
Het herstellen van sleutels zonder vervaldatum is een kritieke beveiligingsactiviteit die systematisch moet worden uitgevoerd. Remediatie omvat niet alleen het instellen van vervaldatums voor bestaande sleutels, maar ook het implementeren van processen en procedures om te voorkomen dat in de toekomst nieuwe sleutels worden aangemaakt zonder vervaldatum. Voor Nederlandse overheidsorganisaties is het belangrijk dat deze remediatie wordt uitgevoerd volgens vastgestelde procedures en dat alle acties worden gedocumenteerd voor audit doeleinden.
Gebruik PowerShell-script key-expiration-non-rbac-vaults.ps1 (functie Invoke-Remediation) – Herstellen.
Het remediatieproces begint met het identificeren van alle sleutels zonder vervaldatum binnen de Key Vaults die gebruikmaken van het toegangsbeleidmodel. Dit kan worden gedaan door gebruik te maken van de monitoringfunctie die alle sleutels controleert en een overzicht genereert van sleutels zonder vervaldatum. Voor elke geïdentificeerde sleutel moet worden bepaald wat een geschikte vervaldatum is. De vervaldatum moet worden gebaseerd op het beoogde gebruik van de sleutel, de gevoeligheid van de gegevens die worden beveiligd, en het beleid van de organisatie. Voor de meeste sleutels wordt een vervalperiode van 90 tot 365 dagen aanbevolen, maar voor kritieke sleutels kan een kortere periode nodig zijn.
Bij het instellen van vervaldatums voor bestaande sleutels is het belangrijk om rekening te houden met de impact op applicaties en services die deze sleutels gebruiken. Voordat een vervaldatum wordt ingesteld, moeten beheerders controleren welke applicaties of services gebruikmaken van de sleutel en of deze applicaties of services in staat zijn om te werken met sleutels die een vervaldatum hebben. Sommige applicaties kunnen problemen ondervinden wanneer een sleutel een vervaldatum heeft, vooral als de applicatie niet is geconfigureerd om automatisch sleutels te roteren wanneer ze verlopen. In dergelijke gevallen moet eerst de applicatie worden bijgewerkt voordat de vervaldatum wordt ingesteld.
Na het instellen van vervaldatums voor bestaande sleutels, is het belangrijk om processen en procedures te implementeren die voorkomen dat in de toekomst nieuwe sleutels worden aangemaakt zonder vervaldatum. Dit kan worden bereikt door gebruik te maken van Azure Policy om te controleren dat alle nieuwe sleutels een vervaldatum hebben, of door gebruik te maken van deployment pipelines die automatisch vervaldatums instellen wanneer nieuwe sleutels worden aangemaakt. Daarnaast moeten ontwikkelaars en beheerders worden getraind in het belang van vervaldatums en hoe ze deze moeten instellen wanneer nieuwe sleutels worden aangemaakt.
Voor organisaties die gebruikmaken van automatisering voor het beheren van sleutels, kan het remediatieproces worden geautomatiseerd. Dit kan worden gedaan door gebruik te maken van Azure Automation of Logic Apps die periodiek controleren op sleutels zonder vervaldatum en automatisch vervaldatums instellen op basis van vooraf gedefinieerde regels. Dergelijke automatisering moet echter zorgvuldig worden geïmplementeerd en getest, omdat onjuiste configuratie kan leiden tot onbedoelde wijzigingen aan legitieme sleutels. Voordat automatisering in productie wordt genomen, moet deze worden getest in een testomgeving en moeten de regels en logica worden gereviewd door beveiligingsexperts.
Het remediatieproces moet worden gedocumenteerd en alle acties die zijn ondernomen moeten worden vastgelegd. Deze documentatie moet bevatten welke sleutels zijn gecontroleerd, welke sleutels een vervaldatum hebben gekregen, wat de ingestelde vervaldatum is, en wie verantwoordelijk is voor het beheer van de sleutel. Deze informatie is essentieel voor audit doeleinden en kan worden gebruikt om te demonstreren dat de organisatie proactief werkt aan het beveiligen van cryptografische sleutels. Voor Nederlandse overheidsorganisaties moet deze documentatie aansluiten bij de vereisten van de BIO en andere relevante compliance frameworks.
Na het voltooien van de remediatie, is het belangrijk om het monitoringproces te blijven uitvoeren om te zorgen dat nieuwe sleutels ook vervaldatums krijgen en dat bestaande sleutels worden bijgewerkt wanneer nodig. Het remediatieproces is niet een eenmalige activiteit, maar een continu proces dat regelmatig moet worden uitgevoerd om te zorgen dat de organisatie blijft voldoen aan beveiligingsvereisten en compliance frameworks. Door dit proces te automatiseren en te integreren in de dagelijkse beheeractiviteiten, kunnen organisaties ervoor zorgen dat vervaldatums voor cryptografische sleutels een standaard onderdeel worden van het beveiligingsbeleid. Dit vereist een cultuurverandering binnen de organisatie waarbij ontwikkelaars en beheerders automatisch vervaldatums instellen wanneer nieuwe sleutels worden aangemaakt, en waarbij het niet instellen van een vervaldatum wordt gezien als een uitzondering die expliciete goedkeuring vereist.
Het remediatieproces moet ook aandacht besteden aan de communicatie met stakeholders binnen de organisatie. Wanneer vervaldatums worden ingesteld voor bestaande sleutels, kunnen applicaties of services worden beïnvloed, vooral als deze niet zijn geconfigureerd om automatisch sleutels te roteren. Het is belangrijk om applicatie-eigenaren en servicebeheerders tijdig te informeren over wijzigingen in sleutelconfiguraties, zodat zij de gelegenheid hebben om hun applicaties of services bij te werken indien nodig. Dit vereist een gestructureerd communicatieproces waarbij alle betrokken partijen worden geïnformeerd over geplande wijzigingen, de verwachte impact, en de stappen die zij moeten ondernemen om ervoor te zorgen dat hun applicaties of services blijven functioneren. Voor Nederlandse overheidsorganisaties is het belangrijk dat dit communicatieproces wordt gedocumenteerd en dat alle communicatie wordt vastgelegd voor audit doeleinden.
Een belangrijk aspect van het remediatieproces is het beheer van uitzonderingen. Hoewel het doel is om alle sleutels een vervaldatum te geven, kunnen er legitieme redenen zijn waarom een sleutel tijdelijk of permanent geen vervaldatum heeft. Dergelijke uitzonderingen moeten worden gedocumenteerd, gereviewd, en goedgekeurd door de juiste beveiligingsfunctionarissen. Het is belangrijk dat uitzonderingen niet worden gebruikt als een manier om het beleid te omzeilen, maar alleen worden verleend wanneer er een legitieme technische of bedrijfsmatige reden is. Voor elke uitzondering moet worden gedocumenteerd wat de reden is, wie de uitzondering heeft goedgekeurd, wanneer de uitzondering is verleend, en wanneer de uitzondering moet worden herzien of ingetrokken. Regelmatige review van uitzonderingen is essentieel om te zorgen dat zij nog steeds legitiem zijn en dat zij niet worden gebruikt als een permanente manier om het beleid te omzeilen.
Tot slot moet het remediatieproces worden geëvalueerd en verbeterd op basis van ervaringen en feedback. Organisaties moeten regelmatig evalueren hoe effectief het remediatieproces is, welke problemen zijn opgetreden, en hoe het proces kan worden verbeterd. Dit kan worden gedaan door middel van retrospectives, feedbacksessies met stakeholders, en analyse van monitoringdata. Door het proces continu te verbeteren, kunnen organisaties ervoor zorgen dat het remediatieproces efficiënter wordt, dat er minder problemen optreden, en dat de naleving van het beleid wordt verbeterd. Voor Nederlandse overheidsorganisaties is het belangrijk dat deze evaluaties worden gedocumenteerd en dat verbeteringen worden geïmplementeerd in een gestructureerde manier, waarbij alle wijzigingen worden gereviewd en goedgekeurd voordat zij worden geïmplementeerd.
Compliance & Frameworks
- CIS M365: Control 5.3.2 (L2) - Vervaldatum voor sleutels
- BIO: 10.01 - Levenscyclus van sleutels
- ISO 27001:2022: A.8.24 - Cryptografie
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Key Expiration Non-RBAC Vaults
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 8.2
Controleert key expiration in non-RBAC Key Vaults.
.NOTES
Filename: key-expiration-non-rbac-vaults.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 8.2
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.KeyVault
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Key Expiration Non-RBAC Vaults"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$vaults = Get-AzKeyVault -ErrorAction SilentlyContinue
$result = @{ TotalKeys = 0; WithExpiration = 0 }
foreach ($vault in $vaults) {
$vaultDetail = Get-AzKeyVault -VaultName $vault.VaultName -ErrorAction SilentlyContinue
if (-not $vaultDetail.EnableRbacAuthorization) {
$keys = Get-AzKeyVaultKey -VaultName $vault.VaultName -ErrorAction SilentlyContinue
foreach ($key in $keys) {
$result.TotalKeys++
if ($key.Expires) { $result.WithExpiration++ }
}
}
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Keys (Non-RBAC): $($r.TotalKeys)" -ForegroundColor White
Write-Host "With Expiration: $($r.WithExpiration)" -ForegroundColor $(if ($r.WithExpiration -eq $r.TotalKeys) { 'Green' } else { 'Yellow' })
}
else {
$r = Test-Compliance
Write-Host "`nKey Expiration: $($r.WithExpiration)/$($r.TotalKeys) non-RBAC keys"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Keys (Non-RBAC): $($r.TotalKeys)" -ForegroundColor White
Write-Host "With Expiration: $($r.WithExpiration)" -ForegroundColor $(if ($r.WithExpiration -eq $r.TotalKeys) { 'Green' } else { 'Yellow' })
}
else {
$r = Test-Compliance
Write-Host "`nKey Expiration: $($r.WithExpiration)/$($r.TotalKeys) non-RBAC keys"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Wanneer vervaldatums niet worden ingesteld voor cryptografische sleutels in Azure Key Vaults, blijven deze sleutels onbeperkt geldig, zelfs nadat ze mogelijk zijn gecompromitteerd. Dit creëert een aanzienlijk beveiligingsrisico waarbij aanvallers jarenlang gebruik kunnen maken van gestolen sleutels, wat leidt tot langdurige beveiligingsincidenten die moeilijk te detecteren en te mitigeren zijn. Zonder vervaldatums kunnen organisaties niet voldoen aan compliance-vereisten zoals CIS Microsoft Azure Foundations Benchmark controle 5.3.2, wat kan resulteren in mislukte audits en potentiële reputatieschade. Het risico wordt geclassificeerd als gemiddeld vanwege de langdurige blootstelling van sleutels, maar kan escaleren naar hoog voor organisaties die gevoelige of gereguleerde gegevens verwerken. Daarnaast kunnen organisaties tijdens audits worden geconfronteerd met bevindingen die moeten worden opgelost, wat kan leiden tot extra werk en mogelijke vragen van toezichthouders of andere stakeholders over de beveiliging van hun systemen.
Management Samenvatting
Vervaldatums voor cryptografische sleutels in Key Vaults met toegangsbeleidmodel vormen een fundamentele beveiligingsmaatregel die organisaties beschermt tegen langdurige beveiligingsrisico's. Door vervaldatums in te stellen voor alle cryptografische sleutels (aanbevolen periode van 90 tot 365 dagen afhankelijk van de gevoeligheid van de data), dwingen organisaties regelmatige sleutelrotatie af, waardoor het compromitteringsvenster wordt beperkt en de impact van mogelijke beveiligingsincidenten wordt gemitigeerd. Deze maatregel is essentieel voor het handhaven van een veilige omgeving en voorkomt bekende aanvalsvectoren door het afdwingen van beveiligingsbest practices die zijn vastgelegd in frameworks zoals de CIS Microsoft Azure Foundations Benchmark, de Baseline Informatiebeveiliging Overheid en ISO 27001. De implementatie kan worden uitgevoerd via de Azure Portal door te navigeren naar de Key Vault, de sectie Sleutels te selecteren en voor elke sleutel een vervaldatum in te stellen. Er zijn geen directe kosten verbonden aan deze maatregel, maar organisaties moeten rekening houden met de operationele inspanning voor het beheren van sleutelrotatie. Deze maatregel is verplicht volgens CIS controle 5.3.2 en vereist een implementatie-inspanning van 2 tot 3 uur, inclusief het instellen van vervaldatums voor bestaande sleutels en het implementeren van geautomatiseerde rotatieprocessen. Door deze maatregel te implementeren, beperken organisaties het compromitteringsvenster aanzienlijk en verbeteren zij hun algehele beveiligingspositie.
- Implementatietijd: 3 uur
- FTE required: 0.03 FTE