L2 BIO 13.01 ISO A.8.20 CIS 5.1.4

Key Vault Firewall Geconfigureerd

📅 2025-10-29
⏱️ 5 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Deze beveiligingsmaatregel is essentieel voor het waarborgen van een veilige cloudomgeving en beschermt tegen ongeautoriseerde toegang en datalekken.

Aanbeveling
IMPLEMENTEER KEY VAULT FIREWALL
Risico zonder
High
Risk Score
8/10
Implementatie
3u (tech: 2u)
Van toepassing op:
Azure Key Vault

Zonder deze beveiligingsmaatregel kunnen er significante beveiligingsrisico's ontstaan die leiden tot gegevenscompromittering, nalevingsovertredingen en reputatieschade voor de organisatie.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.KeyVault

Implementatie

Deze maatregel implementeert beveiligingsbest practices via Azure Policy, ARM templates of Microsoft Intune om cloudresources en eindpunten te beschermen volgens actuele nalevingskaders.

Vereisten

Voor het succesvol implementeren van een Key Vault firewall configuratie zijn verschillende technische en organisatorische vereisten van essentieel belang. Deze vereisten vormen de basis voor een robuuste beveiligingsimplementatie die voldoet aan de hoogste standaarden voor netwerkbeveiliging en toegangscontrole binnen Azure omgevingen.

De primaire technische vereiste betreft de aanwezigheid van een actief Azure Key Vault exemplaar. Dit Key Vault moet reeds zijn geconfigureerd en operationeel zijn voordat firewallregels kunnen worden toegepast. Organisaties dienen te beschikken over een Key Vault die is ingericht binnen hun Azure-abonnement, met de juiste toegangsrechten voor beheer en configuratie. Het is belangrijk dat de Key Vault zich bevindt in een regio die ondersteuning biedt voor firewallfunctionaliteit, aangezien niet alle Azure-regio's deze functionaliteit in gelijke mate ondersteunen.

Een kritieke vereiste betreft de definitie van toegestane IP-adresbereiken. Organisaties moeten vooraf een grondige inventarisatie uitvoeren van alle IP-adressen en netwerkbereiken die legitieme toegang tot het Key Vault vereisen. Dit omvat niet alleen de IP-adressen van kantoorlocaties, maar ook die van thuiswerkers via VPN-verbindingen, beheerde services binnen Azure, en eventuele externe systemen die geautoriseerde toegang nodig hebben. Het is essentieel dat deze inventarisatie compleet en actueel is, omdat onvolledige informatie kan leiden tot het blokkeren van legitieme gebruikers of systemen.

Daarnaast is het noodzakelijk dat organisaties beschikken over de juiste Azure-roltoewijzingen en machtigingen. De implementatie van firewallregels vereist minimaal de rol van Key Vault Contributor of een aangepaste rol met specifieke machtigingen voor het wijzigen van netwerkconfiguraties. Beheerders moeten kunnen beschikken over voldoende rechten om wijzigingen door te voeren in de netwerkconfiguratie van het Key Vault, zonder dat dit conflicteert met bestaande beveiligingsbeleidsregels of governance-vereisten.

Een belangrijke organisatorische vereiste betreft de coördinatie met verschillende afdelingen binnen de organisatie. IT-beheerders moeten samenwerken met netwerkbeheerders om nauwkeurige IP-adresbereiken te identificeren, met security officers om beveiligingsvereisten te valideren, en met applicatie-eigenaren om te begrijpen welke systemen toegang tot het Key Vault nodig hebben. Deze coördinatie voorkomt dat kritieke systemen onbedoeld worden geblokkeerd en zorgt voor een soepele implementatie zonder verstoring van bedrijfsprocessen.

Tot slot is documentatie een essentiële vereiste. Organisaties moeten beschikken over of ontwikkelen van duidelijke documentatie die de gekozen IP-adresbereiken, de rationale achter deze keuzes, en de procedures voor toekomstige wijzigingen beschrijft. Deze documentatie dient als referentie voor audits, compliance-controles, en toekomstig onderhoud van de firewallconfiguratie.

Monitoring

Gebruik PowerShell-script key-vault-firewall-configured.ps1 (functie Invoke-Monitoring) – Controleren.

Effectieve monitoring van Key Vault firewallconfiguraties vormt een cruciaal onderdeel van een robuuste beveiligingsstrategie. Door regelmatig de firewallregels te controleren en te valideren, kunnen organisaties ervoor zorgen dat hun beveiligingsmaatregelen effectief blijven en voldoen aan compliance-vereisten. Monitoring omvat niet alleen het verifiëren van de huidige configuratie, maar ook het detecteren van ongeautoriseerde wijzigingen, het analyseren van toegangspogingen, en het identificeren van potentiële beveiligingsrisico's.

Het monitoren van firewallregels begint met het regelmatig controleren van de actieve configuratie. Beheerders moeten verifiëren dat alleen geautoriseerde IP-adresbereiken zijn geconfigureerd en dat er geen onverwachte of ongeautoriseerde wijzigingen zijn aangebracht. Dit kan worden gedaan via de Azure Portal, Azure PowerShell, of de Azure CLI. Het is aanbevolen om deze controles wekelijks uit te voeren, of vaker in omgevingen met hoge beveiligingsvereisten of frequente configuratiewijzigingen.

Een belangrijk aspect van monitoring betreft het analyseren van toegangspogingen en geblokkeerde verzoeken. Azure Key Vault logboeken bevatten waardevolle informatie over wie probeert toegang te krijgen tot het Key Vault, vanaf welke IP-adressen, en of deze pogingen succesvol waren of werden geblokkeerd door de firewall. Door deze logboeken regelmatig te analyseren, kunnen beveerders potentiële aanvallen detecteren, zoals brute force pogingen of ongeautoriseerde toegangspogingen vanaf verdachte IP-adressen.

Daarnaast is het essentieel om te monitoren op configuratiedrift, waarbij de werkelijke configuratie afwijkt van de gewenste of goedgekeurde configuratie. Dit kan gebeuren door handmatige wijzigingen, automatiseringsfouten, of onjuiste implementaties. Door gebruik te maken van Azure Policy of infrastructure as code tools zoals ARM templates of Terraform, kunnen organisaties automatisch detecteren wanneer de firewallconfiguratie afwijkt van de gedefinieerde standaard.

Monitoring moet ook aandacht besteden aan de prestaties en beschikbaarheid van het Key Vault na de implementatie van firewallregels. Het is belangrijk om te verifiëren dat legitieme gebruikers en systemen nog steeds ongehinderd toegang hebben en dat de firewallconfiguratie geen negatieve impact heeft op bedrijfskritieke processen. Dit kan worden gedaan door regelmatig toegangstests uit te voeren vanaf verschillende geautoriseerde locaties en door het monitoren van foutmeldingen of timeouts in applicatielogboeken.

Voor geavanceerde monitoring kunnen organisaties gebruik maken van Azure Monitor en Azure Sentinel om geautomatiseerde waarschuwingen te configureren voor verdachte activiteiten, configuratiewijzigingen, of herhaalde geblokkeerde toegangspogingen. Deze tools bieden de mogelijkheid om complexe queries uit te voeren op loggegevens, trends te identificeren, en proactief te reageren op potentiële beveiligingsincidenten voordat deze escaleren tot ernstige problemen.

Compliance en Auditing

De implementatie van Key Vault firewallconfiguraties speelt een cruciale rol bij het voldoen aan verschillende nationale en internationale compliance-standaarden die van toepassing zijn op Nederlandse overheidsorganisaties en bedrijven die met gevoelige gegevens werken. Deze compliance-vereisten stellen specifieke eisen aan netwerkbeveiliging, toegangscontrole, en de bescherming van kritieke infrastructuren zoals key management systemen.

De CIS Microsoft Azure Foundations Benchmark versie 5.1.4 specificeert expliciet dat Key Vault firewalls moeten worden geconfigureerd om alleen toegang vanaf geautoriseerde IP-adresbereiken toe te staan. Deze controle is geclassificeerd als Level 2, wat betekent dat het wordt aanbevolen voor omgevingen met verhoogde beveiligingsvereisten. Organisaties die voldoen aan CIS-richtlijnen moeten kunnen aantonen dat hun Key Vault-exemplaren zijn beveiligd tegen ongeautoriseerde netwerktoegang en dat er regelmatige controles worden uitgevoerd om te verifiëren dat de firewallconfiguratie correct en actueel blijft.

Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid (BIO) van bijzonder belang. BIO controle 13.01 richt zich specifiek op netwerktoegangscontrole en authenticatie, waarbij wordt vereist dat organisaties maatregelen treffen om ongeautoriseerde toegang tot informatiesystemen te voorkomen. De implementatie van Key Vault firewalls vormt een directe invulling van deze vereiste, omdat het netwerktoegang beperkt tot geautoriseerde bronnen en daarmee een fundamentele beveiligingslaag biedt tegen externe bedreigingen.

De ISO 27001:2022 standaard, specifiek controle A.8.20, behandelt netwerkbeveiliging en vereist dat organisaties netwerkdiensten beveiligen tegen bedreigingen en aanvallen. Deze controle benadrukt het belang van netwerksegmentatie, toegangscontrole op netwerkniveau, en de bescherming van kritieke systemen. Key Vault firewallconfiguraties dragen direct bij aan het voldoen aan deze vereisten door netwerktoegang te beperken en te monitoren, en door een duidelijke scheiding aan te brengen tussen geautoriseerde en niet-geautoriseerde netwerkbronnen.

Naast deze specifieke standaarden is de Algemene Verordening Gegevensbescherming (AVG) van toepassing op organisaties die persoonsgegevens verwerken. Hoewel de AVG geen specifieke technische eisen stelt aan firewallconfiguraties, vereist artikel 32 van de AVG dat organisaties passende technische en organisatorische maatregelen treffen om persoonsgegevens te beveiligen. Key Vault firewalls vormen een belangrijke technische maatregel die bijdraagt aan de beveiliging van encryptiesleutels en andere gevoelige gegevens die in Key Vault worden opgeslagen.

Voor auditing doeleinden moeten organisaties kunnen aantonen dat hun Key Vault firewalls correct zijn geconfigureerd en actief worden gemonitord. Dit vereist gedocumenteerde procedures voor configuratiebeheer, regelmatige controles van de firewallregels, en logboekregistratie van toegangspogingen en configuratiewijzigingen. Auditors zullen typisch verifiëren dat alleen geautoriseerde IP-adresbereiken zijn geconfigureerd, dat er geen onbeperkte toegang is toegestaan, en dat er mechanismen zijn om ongeautoriseerde wijzigingen te detecteren en te voorkomen.

De praktische implementatie van compliance-vereisten vereist een gestructureerde aanpak waarbij organisaties eerst een grondige risicoanalyse uitvoeren om te bepalen welke IP-adresbereiken legitieme toegang vereisen. Deze analyse moet rekening houden met verschillende scenario's, waaronder toegang vanaf vaste kantoorlocaties, thuiswerkers via VPN-verbindingen, beheerde Azure-services die Key Vault gebruiken, en eventuele externe partners of systemen die geautoriseerde toegang nodig hebben. Het is essentieel dat deze analyse wordt gedocumenteerd en regelmatig wordt herzien, omdat netwerkconfiguraties kunnen veranderen en nieuwe toegangsvereisten kunnen ontstaan.

Bij het implementeren van Key Vault firewalls voor compliance-doeleinden is het belangrijk om te begrijpen dat compliance niet alleen gaat om het implementeren van technische controles, maar ook om het kunnen aantonen van effectieve beveiliging aan auditors en toezichthouders. Dit betekent dat organisaties moeten beschikken over duidelijke documentatie die uitlegt waarom specifieke IP-adresbereiken zijn toegestaan, wie verantwoordelijk is voor het beheer van de firewallconfiguratie, en welke procedures worden gevolgd voor het maken van wijzigingen. Deze documentatie vormt de basis voor succesvolle audits en compliance-controles.

Het niet voldoen aan compliance-vereisten kan ernstige gevolgen hebben voor organisaties. Voor Nederlandse overheidsorganisaties kan het niet voldoen aan BIO-controles leiden tot het verlies van certificeringen, wat kan resulteren in beperkingen op het gebruik van bepaalde systemen of het verwerken van specifieke soorten informatie. Daarnaast kunnen datalekken of beveiligingsincidenten die voortvloeien uit onvoldoende netwerkbeveiliging leiden tot boetes onder de AVG, reputatieschade, en mogelijke juridische aansprakelijkheid. Het implementeren van Key Vault firewalls is daarom niet alleen een technische best practice, maar ook een essentiële maatregel voor het waarborgen van compliance en het beschermen van de organisatie tegen potentiële risico's.

Remediatie

Gebruik PowerShell-script key-vault-firewall-configured.ps1 (functie Invoke-Remediation) – Herstellen.

Wanneer een Key Vault niet is beveiligd met een firewallconfiguratie, vormt dit een significant beveiligingsrisico dat onmiddellijke remediatie vereist. Het herstellen van deze situatie omvat het implementeren van firewallregels die netwerktoegang beperken tot alleen geautoriseerde IP-adresbereiken, het valideren van de configuratie, en het verifiëren dat alle legitieme systemen nog steeds toegang hebben. Een gestructureerde aanpak voor remediatie voorkomt dat bedrijfskritieke processen worden verstoord en zorgt voor een soepele overgang naar een beveiligde configuratie.

De eerste stap in het remediatieproces betreft het uitvoeren van een grondige inventarisatie van alle systemen en gebruikers die toegang nodig hebben tot het Key Vault. Dit omvat het identificeren van alle IP-adressen van kantoorlocaties, VPN-servers, Azure-services die toegang vereisen, en eventuele externe systemen of partners die geautoriseerde toegang nodig hebben. Het is cruciaal dat deze inventarisatie compleet is, omdat onvolledige informatie kan leiden tot het blokkeren van legitieme toegang en daarmee verstoring van bedrijfsprocessen.

Na het voltooien van de inventarisatie kunnen beheerders de firewallconfiguratie implementeren via verschillende methoden. De Azure Portal biedt een gebruiksvriendelijke interface waarbij beheerders via de Key Vault instellingen naar de Networking-sectie navigeren en daar de firewallregels kunnen configureren. Alternatief kunnen beheerders gebruik maken van Azure PowerShell of Azure CLI voor geautomatiseerde implementatie, wat vooral nuttig is wanneer meerdere Key Vault-exemplaren moeten worden geconfigureerd of wanneer de configuratie moet worden geïntegreerd in bestaande deployment-pipelines.

Tijdens de implementatie is het belangrijk om te beginnen met een conservatieve configuratie die alleen de meest kritieke IP-adresbereiken omvat. Dit minimaliseert het risico op het blokkeren van legitieme toegang en maakt het mogelijk om geleidelijk aanvullende IP-adresbereiken toe te voegen na verificatie dat alle systemen correct functioneren. Beheerders moeten ook overwegen om tijdelijk een waarschuwingsmodus in te stellen, indien beschikbaar, waarbij toegangspogingen worden gelogd maar niet geblokkeerd, om te identificeren welke systemen mogelijk zijn overgeslagen in de inventarisatie.

Na de implementatie van de firewallconfiguratie moeten uitgebreide tests worden uitgevoerd om te verifiëren dat alle geautoriseerde systemen nog steeds toegang hebben en dat ongeautoriseerde toegang daadwerkelijk wordt geblokkeerd. Dit omvat het testen van toegang vanaf verschillende geautoriseerde locaties, het verifiëren dat applicaties die afhankelijk zijn van het Key Vault nog steeds correct functioneren, en het testen dat toegang vanaf niet-geautoriseerde IP-adressen inderdaad wordt geblokkeerd. Eventuele problemen die tijdens deze tests worden geïdentificeerd, moeten onmiddellijk worden opgelost door de firewallregels aan te passen.

Tot slot is documentatie een essentieel onderdeel van het remediatieproces. Alle genomen stappen, geconfigureerde IP-adresbereiken, en eventuele problemen die zijn opgetreden moeten worden gedocumenteerd voor toekomstige referentie, compliance-audits, en om te helpen bij het oplossen van vergelijkbare problemen in de toekomst. Deze documentatie dient ook als basis voor het opstellen van procedures voor toekomstige wijzigingen aan de firewallconfiguratie en voor het trainen van andere beheerders in het beheer van Key Vault firewallregels.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Key Vault Firewall Configured .DESCRIPTION CIS Azure Foundations Benchmark - Control 8.4 Controleert of Key Vault firewall is geconfigureerd. .NOTES Filename: key-vault-firewall-configured.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 8.4 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.KeyVault [CmdletBinding()] param([Parameter()][switch]$Monitoring) $ErrorActionPreference = 'Stop' $PolicyName = "Key Vault Firewall Configured" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } function Test-Compliance { $vaults = Get-AzKeyVault -ErrorAction SilentlyContinue $result = @{ TotalVaults = $vaults.Count; WithFirewall = 0 } foreach ($vault in $vaults) { $vaultDetail = Get-AzKeyVault -VaultName $vault.VaultName -ErrorAction SilentlyContinue if ($vaultDetail.NetworkAcls.DefaultAction -eq 'Deny') { $result.WithFirewall++ } } return $result } try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Total Key Vaults: $($r.TotalVaults)" -ForegroundColor White Write-Host "With Firewall: $($r.WithFirewall)" -ForegroundColor $(if ($r.WithFirewall -eq $r.TotalVaults) { 'Green' } else { 'Yellow' }) } else { $r = Test-Compliance Write-Host "`nFirewall Configured: $($r.WithFirewall)/$($r.TotalVaults) vaults" } } catch { Write-Error $_; exit 1 } # ================================================================================ # Standaard Invoke-* Functions (Auto-generated) # ================================================================================ function Invoke-Implementation { <# .SYNOPSIS Implementeert de configuratie #> [CmdletBinding()] param() Invoke-Remediation } function Invoke-Monitoring { <# .SYNOPSIS Controleert de huidige configuratie status #> [CmdletBinding()] param() $Monitoring = $true try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Total Key Vaults: $($r.TotalVaults)" -ForegroundColor White Write-Host "With Firewall: $($r.WithFirewall)" -ForegroundColor $(if ($r.WithFirewall -eq $r.TotalVaults) { 'Green' } else { 'Yellow' }) } else { $r = Test-Compliance Write-Host "`nFirewall Configured: $($r.WithFirewall)/$($r.TotalVaults) vaults" } } catch { Write-Error $_; exit 1 } } function Invoke-Remediation { <# .SYNOPSIS Herstelt de configuratie naar de gewenste staat .DESCRIPTION Dit is een monitoring-only control, remediation delegeert naar monitoring #> [CmdletBinding()] param() Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan Invoke-Monitoring }

Risico zonder implementatie

Risico zonder implementatie
High: Ongelimiteerde Key Vault toegang vanaf elk IP-adres vergroot het aanvalsoppervlak aanzienlijk. Aanvallers kunnen brute force-aanvallen uitvoeren tegen vault-eindpunten en pogingen ondernemen om authenticatiegegevens te enumereren. Naleving: CIS 5.1.4, BIO 13.01. Het risico is hoog bij ongelimiteerde toegang.

Management Samenvatting

Key Vault Firewall: Beperk toegang tot specifieke IP-adresbereiken (kantoren, VPN, alleen Azure-services). Blokkeert niet-geautoriseerde IP-adressen. Activering: Key Vault → Networking → Firewall → Allow specific IPs. Gratis. Verplicht voor CIS 5.1.4, BIO 13.01. Implementatie: 2-3 uur (IP-inventarisatie + configuratie + testen). Vermindert het aanvalsoppervlak.