💼 Management Samenvatting
Deze beveiligingsmaatregel waarborgt de correcte configuratie van toegangscontrole en beschermt tegen beveiligingsrisico's door middel van modern machtigingsbeheer.
Aanbeveling
OVERWEEG RBAC MIGRATIE
Risico zonder
Medium
Risk Score
5/10
Implementatie
5u (tech: 3u)
Van toepassing op:
✓ Azure Key Vault
Granulaire toegangscontrole en authenticatie vormen de basis voor veilig beheer van gevoelige gegevens in Azure Key Vault. Het verouderde toegangsbeleidsmodel biedt beperkte flexibiliteit en auditmogelijkheden vergeleken met het moderne Azure RBAC-model.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.KeyVault
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.KeyVault
Implementatie
Schakel het RBAC-model in voor gecentraliseerd beheer van machtigingen, wat consistentie met de rest van de Azure-omgeving biedt en uitgebreidere controle- en auditmogelijkheden.
Vereisten
De migratie naar het Azure RBAC-model voor Key Vault vereist een grondige voorbereiding en een duidelijk begrip van de huidige infrastructuur. Voordat organisaties kunnen overstappen op het moderne RBAC-model, moeten zij eerst een volledig inzicht hebben in de huidige staat van hun Key Vault-implementatie. De primaire vereiste voor deze migratie is een bestaand Azure Key Vault-exemplaar dat momenteel gebruik maakt van het verouderde toegangsbeleidsmodel, ook wel bekend als toegangsbeleidsregels. Dit traditionele model heeft jarenlang de standaard gevormd voor toegangscontrole binnen Key Vault-omgevingen, maar Microsoft heeft het RBAC-model geïntroduceerd als een modern en krachtig alternatief dat naadloos integreert met de rest van de Azure-omgeving. Deze integratie biedt organisaties aanzienlijke voordelen op het gebied van beveiliging, beheerbaarheid en compliance, waardoor de migratie naar RBAC een strategische keuze is voor organisaties die hun beveiligingsposture willen verbeteren.
De technische vereisten voor een succesvolle RBAC-migratie omvatten verschillende kritieke componenten die zorgvuldig moeten worden voorbereid. Om de migratie naar RBAC succesvol uit te voeren, hebben organisaties ten minste de rol Inzender of Key Vault-beheerder nodig op het abonnement of de resourcegroep waar de Key Vault zich bevindt. Deze rollen zijn fundamenteel voor het migratieproces omdat ze de benodigde machtigingen verlenen om toegangsconfiguraties te wijzigen en RBAC-rollen toe te wijzen aan gebruikers, service principals en beheerde identiteiten. Zonder deze rollen is het onmogelijk om de benodigde configuratiewijzigingen door te voeren, wat de migratie blokkeert voordat deze kan beginnen. Daarnaast is het essentieel dat organisaties beschikken over volledige en actuele documentatie van alle huidige toegangsbeleidsregels, zodat deze zorgvuldig kunnen worden gemapt naar de bijbehorende Azure RBAC-rollen. Deze mapping is cruciaal omdat het ervoor zorgt dat alle bestaande toegangsrechten behouden blijven tijdens en na de migratie, waardoor toegangsonderbrekingen worden voorkomen. Het is sterk aanbevolen om een uitgebreide inventarisatie te maken van alle gebruikers, service principals en beheerde identiteiten die momenteel toegang hebben tot de Key Vault, inclusief hun specifieke machtigingen zoals ophalen, lijsten, instellen, verwijderen en back-up maken voor respectievelijk geheimen, sleutels en certificaten. Deze gedetailleerde inventarisatie moet ook uitgebreide informatie bevatten over de context waarin elke entiteit toegang nodig heeft, zoals specifieke applicaties of services die afhankelijk zijn van de Key Vault, zodat de migratie kan worden uitgevoerd zonder negatieve impact op de bedrijfsvoering.
Een belangrijk technisch aspect van de RBAC-migratie is dat deze geen directe wijzigingen vereist aan de Key Vault zelf tijdens de voorbereidingsfase. Organisaties kunnen het RBAC-model activeren zonder dat dit onmiddellijke invloed heeft op bestaande toegangsbeleidsregels, wat een unieke mogelijkheid biedt om beide modellen parallel te gebruiken tijdens een uitgebreide overgangsperiode. Deze parallelle werking is een belangrijke veiligheidsmaatregel die organisaties de flexibiliteit geeft om zorgvuldig te testen en te valideren voordat zij volledig overschakelen naar het nieuwe model. Het is cruciaal om te benadrukken dat beide modellen naast elkaar kunnen bestaan zonder conflicten, wat betekent dat gebruikers, service principals en beheerde identiteiten toegang kunnen hebben via beide systemen totdat de organisatie volledig is overgestapt op RBAC. Deze flexibele aanpak minimaliseert het risico op toegangsonderbrekingen en geeft beveiligingsteams de tijd om uitgebreide validaties uit te voeren voordat de definitieve overstap wordt gemaakt.
Vanuit een compliance- en auditperspectief is het essentieel dat organisaties beschikken over robuuste processen voor het documenteren en beheren van toegangsveranderingen. De migratie naar RBAC biedt aanzienlijke voordelen op dit gebied, omdat alle toegangswijzigingen automatisch en gedetailleerd worden geregistreerd in Azure Activity Logs met veel meer detail en context dan het oude toegangsbeleidsmodel. Deze uitgebreide logging omvat volledige informatie over wie toegang heeft verleend of ingetrokken, wanneer deze actie heeft plaatsgevonden, welke specifieke rollen zijn toegewezen, en de context waarin deze wijzigingen zijn doorgevoerd. Voor Nederlandse overheidsorganisaties die moeten voldoen aan strikte compliancevereisten zoals BIO 09.01 en ISO 27001:2022 A.5.15, vertegenwoordigt deze verbeterde auditmogelijkheid een belangrijke overweging die de strategische keuze voor RBAC verder ondersteunt. De gedetailleerde auditlogs maken het mogelijk om volledige compliance-audit trails te genereren die aantonen dat toegangsbeheer op een gecontroleerde en gedocumenteerde manier plaatsvindt, wat essentieel is voor zowel interne audits als externe compliance-verificaties.
Een andere kritieke vereiste betreft de uitgebreide planning en proactieve communicatie met alle belanghebbenden binnen de organisatie. Aangezien de migratie naar RBAC mogelijke impact kan hebben op applicaties en services die afhankelijk zijn van Key Vault, is het essentieel om alle betrokken teams, ontwikkelaars en beheerders tijdig en volledig te informeren over de geplande wijzigingen en de verwachte impact. Deze communicatie moet duidelijk maken wat er gaat veranderen, wanneer deze wijzigingen plaatsvinden, en wat de verwachte voordelen zijn voor de organisatie. Daarnaast is het cruciaal om een duidelijk en gedetailleerd terugdraaplan te hebben dat beschrijft hoe de organisatie kan terugkeren naar het oude toegangsbeleidsmodel indien er onverwachte problemen optreden tijdens de migratie. Het testen in een niet-productieomgeving is absoluut noodzakelijk voordat deze wijziging wordt doorgevoerd in productieomgevingen waar kritieke bedrijfsprocessen van afhankelijk zijn. Deze uitgebreide voorbereiding omvat het identificeren van alle afhankelijke systemen en applicaties, het opstellen van een gedetailleerd migratieplan met duidelijke mijlpalen en tijdlijnen, en het vaststellen van effectieve communicatiekanalen voor het melden van eventuele problemen tijdens de migratie. Daarnaast moet er een uitgebreide teststrategie worden ontwikkeld die alle kritieke functionaliteiten valideert, inclusief het ophalen van geheimen, sleutels en certificaten, evenals het schrijven en bijwerken van deze elementen door verschillende applicaties en services. Deze teststrategie moet ook rekening houden met verschillende authenticatiemethoden en gebruiksscenario's om ervoor te zorgen dat alle aspecten van de Key Vault-functionaliteit correct blijven werken na de migratie naar RBAC.
Monitoring
Gebruik PowerShell-script key-vault-rbac-enabled.ps1 (functie Invoke-Monitoring) – Controleren.
Het monitoren van het machtigingsmodel in Azure Key Vault vormt een kritieke activiteit voor beveiligingsteams en compliance officers binnen Nederlandse overheidsorganisaties. Het monitoringproces controleert automatisch welk toegangsmodel actief is voor elke Key Vault in uw omgeving, wat essentieel is voor het handhaven van een consistente beveiligingspositie. Deze automatische verificatie omvat de controle of het RBAC-model is ingeschakeld, of het verouderde toegangsbeleidsmodel nog in gebruik is, of beide modellen naast elkaar bestaan tijdens een migratieperiode. Deze continue monitoring is van fundamenteel belang omdat toegangsconfiguratiewijzigingen kunnen optreden door verschillende oorzaken, zoals automatische updates van Azure-services, wijzigingen in organisatiestructuren door reorganisaties, of onbedoelde acties van beheerders die mogelijk niet volledig op de hoogte zijn van de beveiligingsrichtlijnen. Door regelmatig te monitoren kunnen beveiligingsteams snel reageren op ongewenste wijzigingen en ervoor zorgen dat alle Key Vaults voldoen aan de beveiligingsstandaarden van de organisatie en de vereisten van frameworks zoals BIO en ISO 27001. Het monitoringproces genereert gedetailleerde rapporten die uitgebreid inzicht geven in de toegangsstatus van alle Key Vaults, waardoor beveiligingsteams een compleet overzicht hebben van hun beveiligingsinfrastructuur en tijdig kunnen ingrijpen wanneer afwijkingen worden gedetecteerd. Deze proactieve monitoringaanpak is bijzonder belangrijk voor Nederlandse overheidsorganisaties die moeten voldoen aan strikte compliancevereisten en regelmatig audits ondergaan.
De monitoringfunctie biedt uitgebreid inzicht in de toegangsconfiguratie van al uw Key Vaults, waardoor u een compleet en actueel beeld krijgt van de beveiligingsstatus binnen uw organisatie. Deze gecentraliseerde monitoringaanpak is bijzonder waardevol voor Nederlandse overheidsorganisaties die werken met meerdere Key Vaults verspreid over verschillende abonnementen en resourcegroepen. Wanneer een Key Vault nog gebruik maakt van alleen het toegangsbeleidsmodel, wordt dit automatisch gedetecteerd en gerapporteerd als een afwijking van de aanbevolen configuratie. Deze detectie stelt beveiligingsteams in staat om prioriteiten te stellen voor modernisering en om ervoor te zorgen dat alle Key Vaults uiteindelijk overstappen naar het meer veilige en controleerbare RBAC-model. Het identificeren van deze afwijkingen is de eerste stap in een gestructureerd moderniseringsproces dat organisaties helpt om hun beveiligingsinfrastructuur geleidelijk te verbeteren zonder de bedrijfsvoering te verstoren.
Regelmatige monitoring vormt een essentieel onderdeel van effectief toegangsbeheer omdat toegangsconfiguraties kunnen veranderen door verschillende factoren, zoals wijzigingen in uw infrastructuur door cloudtransformaties, door onbedoelde acties van beheerders die mogelijk niet volledig op de hoogte zijn van de beveiligingsrichtlijnen, of door automatische processen die configuratiewijzigingen kunnen veroorzaken. Het monitoring script voert automatische controles uit op regelmatige basis om te verifiëren of de configuratie overeenkomt met uw beveiligingsbeleid en de vereisten van compliance frameworks zoals BIO en ISO 27001. In gevallen waar het toegangsbeleidsmodel nog actief is terwijl RBAC beschikbaar is, genereert het systeem directe waarschuwingen die beveiligingsteams kunnen gebruiken om onmiddellijk actie te ondernemen. Deze proactieve benadering helpt organisaties om hun beveiligingspositie continu te verbeteren en compliancevereisten na te leven, wat bijzonder belangrijk is voor Nederlandse overheidsorganisaties die regelmatig audits ondergaan en moeten kunnen aantonen dat zij hun beveiligingsinfrastructuur actief monitoren en beheren.
Het monitoringproces verzamelt gedetailleerde informatie over de toegangsconfiguratie, inclusief welke specifieke instellingen zijn geconfigureerd en welke gebruikers, service principals of beheerde identiteiten toegang hebben via elk model. Deze informatie is waardevol voor auditdoeleinden en helpt organisaties om te voldoen aan regelgeving die vereist dat toegangsbeheer wordt gedocumenteerd en beoordeeld. Door regelmatig te monitoren, kunnen organisaties snel reageren op wijzigingen en ervoor zorgen dat hun Key Vaults altijd in lijn zijn met hun beveiligingsbeleid en best practices. De verzamelde monitoringdata omvat niet alleen de huidige toegangsconfiguratie, maar ook historische wijzigingen, waardoor beveiligingsteams kunnen analyseren hoe toegangsrechten in de loop van de tijd zijn geëvolueerd. Deze historische data is bijzonder waardevol voor compliance-audits, omdat het aantoont dat de organisatie proactief toegangsbeheer monitort en beheert. Bovendien kunnen de monitoringresultaten worden gebruikt om trends te identificeren, zoals een toename van het aantal Key Vaults dat nog gebruik maakt van het verouderde toegangsbeleidsmodel, wat kan wijzen op de noodzaak voor aanvullende training of procesverbeteringen binnen de organisatie.
Voor organisaties die werken met meerdere Key Vaults verspreid over verschillende abonnementen en resourcegroepen, biedt de monitoringfunctie een gecentraliseerde manier om de status van alle exemplaren te bekijken. Dit is bijzonder nuttig voor enterprise-omgevingen waar honderden of duizenden Key Vaults kunnen bestaan. De monitoringresultaten kunnen worden geïntegreerd met bestaande beveiligingsinformatie- en gebeurtenisbeheersystemen, ook wel bekend als SIEM-systemen, waardoor beveiligingsteams een compleet beeld krijgen van hun beveiligingsinfrastructuur en tijdig kunnen reageren op potentiële problemen. Deze integratie maakt het mogelijk om waarschuwingen en incidenten te correleren met toegangsconfiguratiewijzigingen, wat de detectie van verdachte activiteiten verbetert en de responssnelheid verhoogt. De gecentraliseerde monitoringaanpak is essentieel voor organisaties met complexe, gedistribueerde omgevingen, omdat het beveiligingsteams in staat stelt om snel afwijkingen te identificeren en te reageren, ongeacht waar de Key Vault zich bevindt in de organisatie. Bovendien kunnen de monitoringgegevens worden gebruikt om compliance-rapportages te genereren die aantonen dat alle Key Vaults voldoen aan de beveiligingsstandaarden en compliancevereisten van de organisatie. Deze rapportages zijn waardevol voor zowel interne audits als externe compliance-verificaties, en helpen organisaties om hun beveiligingspositie te demonstreren aan stakeholders en regelgevers.
Compliance en Auditing
De migratie naar het RBAC-model voor Azure Key Vault heeft significante voordelen voor organisaties die moeten voldoen aan Nederlandse overheidsnormen en internationale cybersecuritystandaarden. Deze maatregel draagt direct bij aan het naleven van BIO 09.01, dat specifiek richtlijnen geeft voor toegangscontrole en authenticatie binnen overheidsorganisaties. Het RBAC-model voldoet aan de vereisten voor granulaire toegangscontrole en biedt de mogelijkheid om het principe van least privilege strikt toe te passen, wat een fundamenteel aspect is van BIO 09.01.
Vanuit ISO 27001:2022 perspectief, met name controle A.5.15, biedt het RBAC-model uitgebreidere mogelijkheden voor toegangsbeheer dan het verouderde toegangsbeleidsmodel. De controle A.5.15 vereist dat organisaties toegangsrechten, privileges en rollen worden gedefinieerd, geïmplementeerd en beheerd volgens het principe van least privilege en need-to-know. Het RBAC-model faciliteert dit door gebruik te maken van Azure's native rolgebaseerde toegangscontrole, wat betekent dat machtigingen kunnen worden toegewezen op basis van vooraf gedefinieerde rollen die zijn afgestemd op specifieke functies en verantwoordelijkheden binnen de organisatie.
Een belangrijk voordeel van RBAC voor compliance is de verbeterde auditmogelijkheid. Alle toegangsverlenende en toegangsonttrekkende acties worden automatisch geregistreerd in Azure Activity Logs met volledige details over wie, wat, wanneer en waarom. Dit niveau van detail is essentieel voor organisaties die regelmatig audits moeten ondergaan en die moeten kunnen aantonen dat toegangsbeheer op een gecontroleerde en gedocumenteerde manier plaatsvindt. Het oude toegangsbeleidsmodel biedt beperkte auditlogboeken vergeleken met RBAC, wat het moeilijker maakt om volledige compliance-audit trails te genereren.
Voor Nederlandse overheidsorganisaties die moeten voldoen aan de Algemene Verordening Gegevensbescherming (AVG) is het RBAC-model ook relevant omdat het betere controle biedt over wie toegang heeft tot persoonsgegevens die mogelijk zijn opgeslagen als geheimen in Key Vault. De mogelijkheid om toegang te verlenen op basis van rollen en om deze toegang regelmatig te beoordelen en te certificeren, helpt organisaties om te voldoen aan de vereisten voor het beheren van toegang tot persoonsgegevens. Bovendien maken de uitgebreide auditlogs het mogelijk om te demonstreren dat toegang tot gevoelige gegevens wordt gecontroleerd en gemonitord.
Het RBAC-model ondersteunt ook compliance met de NIS2-richtlijn, die vereist dat essentiële en belangrijke entiteiten passende en evenredige technische en organisatorische maatregelen treffen om de beveiliging van netwerk- en informatiesystemen te waarborgen. De modernisering van toegangsbeheer door middel van RBAC wordt beschouwd als een best practice die organisaties helpt om hun beveiligingspositie te verbeteren. Hoewel het gebruik van toegangsbeleidsregels niet direct niet-compliant is, vertegenwoordigt RBAC de moderne, aanbevolen benadering die beter aansluit bij huidige en toekomstige compliancevereisten. De NIS2-richtlijn benadrukt het belang van continue verbetering van beveiligingsmaatregelen, en de migratie naar RBAC is een concrete stap in deze richting die aantoont dat organisaties proactief werken aan het verbeteren van hun beveiligingscontroles.
Vanuit een auditperspectief moet worden benadrukt dat de migratie naar RBAC zorgvuldig moet worden gedocumenteerd. Alle wijzigingen in toegangsrechten moeten worden vastgelegd, inclusief de redenen voor de migratie, de mapping van oude toegangsbeleidsregels naar nieuwe RBAC-rollen, en de validatie dat alle noodzakelijke toegang behouden blijft na de migratie. Deze documentatie is essentieel voor interne en externe audits en helpt auditors om te begrijpen hoe de organisatie toegangsbeheer heeft geïmplementeerd en onderhoudt.
Remediatie
Gebruik PowerShell-script key-vault-rbac-enabled.ps1 (functie Invoke-Remediation) – Herstellen.
De remediatie van Key Vaults die nog gebruik maken van het verouderde toegangsbeleidsmodel vereist een gestructureerde aanpak om ervoor te zorgen dat de migratie naar RBAC soepel verloopt zonder toegangsonderbrekingen. Het remediatieproces begint met een grondige inventarisatie van alle huidige toegangsbeleidsregels, waarbij wordt gedocumenteerd welke gebruikers, service principals en beheerde identiteiten toegang hebben en welke specifieke machtigingen ze bezitten. Deze inventarisatie vormt de basis voor het mappen van bestaande toegangsrechten naar de juiste Azure RBAC-rollen. Tijdens deze inventarisatiefase is het belangrijk om niet alleen de huidige toegangsrechten te documenteren, maar ook de context waarin deze toegang wordt gebruikt. Dit omvat het identificeren van welke applicaties, services of workflows afhankelijk zijn van specifieke toegangsrechten, zodat tijdens de migratie naar RBAC alle benodigde toegang behouden blijft. De inventarisatie moet ook rekening houden met verschillende soorten toegang, zoals leestoegang voor het ophalen van geheimen, schrijftoegang voor het instellen of bijwerken van geheimen, en beheertoegang voor het configureren van de Key Vault zelf. Deze gedetailleerde documentatie is essentieel voor het succes van de migratie en helpt om ervoor te zorgen dat er geen kritieke toegang verloren gaat tijdens het overstappen naar het RBAC-model.
Het eerste stadium van de remediatie omvat het activeren van het RBAC-model in de Key Vault-configuratie. Dit kan worden gedaan via de Azure Portal door naar de toegangsconfiguratie sectie te navigeren en Azure RBAC te selecteren als het machtigingsmodel. Het is belangrijk om te begrijpen dat het activeren van RBAC niet automatisch de toegangsbeleidsregels verwijdert of uitschakelt. In plaats daarvan kunnen beide modellen naast elkaar bestaan, wat organisaties de flexibiliteit biedt om zorgvuldig te migreren zonder het risico te lopen dat kritieke toegang verloren gaat. Deze parallelle werking van beide modellen is een belangrijke veiligheidsmaatregel die organisaties de mogelijkheid geeft om de RBAC-configuratie grondig te testen voordat het oude toegangsbeleidsmodel wordt verwijderd. Tijdens deze parallelle fase kunnen beheerders verifiëren dat alle benodigde toegang correct is geconfigureerd in het RBAC-model door middel van uitgebreide tests en validatie. Deze aanpak minimaliseert het risico op toegangsonderbrekingen en geeft beveiligingsteams vertrouwen dat de migratie succesvol zal zijn voordat de definitieve overstap wordt gemaakt. Het is aanbevolen om deze parallelle fase minimaal enkele weken te laten duren, afhankelijk van de complexiteit van de omgeving en het aantal afhankelijke applicaties en services.
Nadat RBAC is geactiveerd, begint de fase van het toewijzen van RBAC-rollen aan gebruikers en service principals. Azure biedt verschillende ingebouwde rollen voor Key Vault, zoals Key Vault Secrets Officer voor het beheren van geheimen, Key Vault Crypto Officer voor het beheren van cryptografische sleutels, en Key Vault Administrator voor volledig beheer. Daarnaast zijn er gespecialiseerde rollen zoals Key Vault Crypto User voor het gebruik van sleutels en Key Vault Secrets User voor het lezen van geheimen. Deze rollen kunnen worden toegewezen op het niveau van de Key Vault, de resourcegroep, of het abonnement, afhankelijk van de gewenste scope. Het is essentieel om de juiste rol te kiezen op basis van de vereiste machtigingen, waarbij altijd het principe van minimale bevoegdheden wordt toegepast. Dit betekent dat elke entiteit alleen de minimale toegang krijgt die nodig is om zijn functie uit te voeren, wat het beveiligingsrisico aanzienlijk vermindert. Het toewijzen van rollen moet zorgvuldig gebeuren op basis van de inventarisatie die tijdens de voorbereidingsfase is gemaakt. Elke entiteit die toegang nodig heeft, moet worden gemapt naar de meest geschikte RBAC-rol die de benodigde machtigingen biedt zonder onnodige extra rechten. Dit proces vereist een goed begrip van de verschillende RBAC-rollen en hun specifieke machtigingen, evenals de context waarin elke entiteit toegang nodig heeft. Voor complexe scenario's waarbij een entiteit toegang nodig heeft tot meerdere soorten resources, zoals zowel geheimen als sleutels, kunnen meerdere rollen worden toegewezen, maar dit moet altijd worden gedaan met het principe van minimale bevoegdheden in gedachten.
Tijdens het toewijzingsproces is het aanbevolen om parallelle toegang via beide modellen te behouden totdat volledige validatie heeft plaatsgevonden. Dit betekent dat gebruikers toegang kunnen hebben via zowel het oude toegangsbeleidsmodel als het nieuwe RBAC-model tijdens de overgangsperiode. Deze aanpak minimaliseert het risico op toegangsonderbrekingen en geeft beveiligingsteams de tijd om te verifiëren dat alle benodigde toegang correct is geconfigureerd in het RBAC-model voordat het toegangsbeleidsmodel wordt verwijderd. De parallelle werking van beide modellen biedt een veilige overgangsperiode waarin beheerders kunnen testen en valideren dat alle functionaliteiten correct werken met het nieuwe RBAC-model. Tijdens deze periode moeten alle kritieke workflows en integraties worden getest om te verifiëren dat er geen regressies zijn opgetreden. Het is belangrijk om tijdens deze validatiefase alle gebruiksscenario's te testen, inclusief normale operaties, foutafhandeling en verschillende authenticatiemethoden. Alleen wanneer alle validaties succesvol zijn voltooid en beheerders volledig vertrouwen hebben in de RBAC-configuratie, moet worden overgegaan tot het verwijderen van het oude toegangsbeleidsmodel. Deze voorzichtige aanpak zorgt ervoor dat de migratie naar RBAC soepel verloopt zonder negatieve impact op de bedrijfsvoering.
De validatiefase is cruciaal voor het succes van de remediatie. Alle applicaties en services die afhankelijk zijn van Key Vault moeten worden getest om te verifiëren dat ze nog steeds correct functioneren met RBAC-toegang. Dit omvat het testen van authenticatie, het lezen van geheimen, sleutels en certificaten, en indien van toepassing, het schrijven of bijwerken van deze elementen. De validatie moet worden uitgevoerd in een gecontroleerde testomgeving die de productieomgeving zo nauwkeurig mogelijk nabootst. Tijdens deze tests moeten alle gebruiksscenario's worden geëvalueerd, inclusief normale operaties, foutafhandeling en randgevallen. Eventuele problemen die tijdens deze testfase worden ontdekt, moeten worden opgelost voordat wordt overgegaan tot de volledige migratie. Het is aanbevolen om een testplan op te stellen dat alle kritieke workflows en integraties omvat, zodat er geen verrassingen optreden tijdens de productiemigratie. De validatie moet ook rekening houden met verschillende authenticatiemethoden, zoals beheerde identiteiten, service principals en gebruikersaccounts, om ervoor te zorgen dat alle toegangsmethoden correct functioneren met het nieuwe RBAC-model. Bovendien moeten prestatietests worden uitgevoerd om te verifiëren dat de RBAC-toegang geen negatieve impact heeft op de responssnelheid van applicaties die afhankelijk zijn van Key Vault.
Zodra alle validatie is voltooid en beheerders vertrouwen hebben dat RBAC correct is geconfigureerd, kunnen de oude toegangsbeleidsregels worden verwijderd. Het is belangrijk om dit proces gefaseerd uit te voeren, waarbij eerst de minst kritieke toegangsrechten worden verwijderd en na verloop van tijd de meest kritieke. Deze gefaseerde aanpak geeft nog meer zekerheid dat er geen onbedoelde toegangsonderbrekingen optreden en biedt de mogelijkheid om snel terug te draaien indien er onverwachte problemen optreden. Tijdens elke fase moet de toegang worden gemonitord om te verifiëren dat alle systemen nog steeds correct functioneren. Na volledige migratie naar RBAC profiteren organisaties van verbeterde beveiliging, betere auditmogelijkheden en consistentie met de rest van hun Azure-omgeving. Bovendien maakt de gecentraliseerde toegangsbeheer via Azure RBAC het beheer eenvoudiger en schaalbaarder, vooral voor organisaties met complexe omgevingen met tientallen of honderden Key Vaults.
Compliance & Frameworks
- BIO: 09.01 - Toegangscontrole en authenticatie
- ISO 27001:2022: A.5.15 - Toegangscontrole en authenticatie
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Key Vault RBAC Enabled
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 8.8
Controleert of RBAC is ingeschakeld voor Key Vaults.
.NOTES
Filename: key-vault-rbac-enabled.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 8.8
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.KeyVault
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Key Vault RBAC Enabled"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$vaults = Get-AzKeyVault -ErrorAction SilentlyContinue
$result = @{ TotalVaults = $vaults.Count; WithRBAC = 0 }
foreach ($vault in $vaults) {
$vaultDetail = Get-AzKeyVault -VaultName $vault.VaultName -ErrorAction SilentlyContinue
if ($vaultDetail.EnableRbacAuthorization) {
$result.WithRBAC++
}
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Key Vaults: $($r.TotalVaults)" -ForegroundColor White
Write-Host "With RBAC: $($r.WithRBAC)" -ForegroundColor $(if ($r.WithRBAC -gt 0) { 'Green' } else { 'Yellow' })
}
else {
$r = Test-Compliance
Write-Host "`nRBAC Enabled: $($r.WithRBAC)/$($r.TotalVaults) vaults"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Key Vaults: $($r.TotalVaults)" -ForegroundColor White
Write-Host "With RBAC: $($r.WithRBAC)" -ForegroundColor $(if ($r.WithRBAC -gt 0) { 'Green' } else { 'Yellow' })
}
else {
$r = Test-Compliance
Write-Host "`nRBAC Enabled: $($r.WithRBAC)/$($r.TotalVaults) vaults"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Toegangsbeleidsregels zijn een verouderd model. RBAC is modern, consistent met Azure, en biedt betere auditlogboeken. Compliance: best practice. Het risico is laag - operationele verbetering.
Management Samenvatting
Key Vault RBAC: Migreer van Toegangsbeleidsregels naar het Azure RBAC-model (modern, consistent met de rest van Azure, betere auditmogelijkheden). Activatie: Key Vault → Toegangsconfiguratie → Azure RBAC. Gratis. Implementatie: 3-5 uur (migratieplanning, testen en overstap). Optionele modernisering - Toegangsbeleidsregels blijven ondersteund.
- Implementatietijd: 5 uur
- FTE required: 0.05 FTE