💼 Management Samenvatting
Deze beveiligingsmaatregel is essentieel voor het waarborgen van een veilige cloudomgeving en beschermt tegen ongeautoriseerde toegang en datalekken.
Aanbeveling
IMPLEMENTEER ALLEEN VOOR GECLASSIFICEERDE GEGEVENS
Risico zonder
Low
Risk Score
3/10
Implementatie
12u (tech: 8u)
Van toepassing op:
✓ Azure Key Vault
Zonder deze beveiligingsmaatregel kunnen er significante beveiligingsrisico's ontstaan die leiden tot gegevenscompromittering, nalevingsovertredingen en reputatieschade voor de organisatie.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.KeyVault
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.KeyVault
Implementatie
Deze maatregel implementeert beveiligingsbest practices via Azure Policy, ARM-sjablonen of Microsoft Intune om cloudresources en eindpunten te beschermen volgens actuele nalevingskaders.
Vereisten
Azure Managed HSM (Hardware Security Module) is een gespecialiseerde cryptografische dienst die specifieke vereisten stelt aan organisaties die deze technologie willen implementeren. Deze vereisten zijn essentieel om te bepalen of Managed HSM de juiste keuze is voor uw organisatie, gezien de aanzienlijke kosten en complexiteit die gepaard gaan met deze oplossing. De primaire vereiste voor het implementeren van Azure Managed HSM is de aanwezigheid van een enterprisebudget dat de maandelijkse kosten van ongeveer €3.240 kan dragen. Managed HSM wordt per uur gefactureerd tegen een tarief van €4,50 per uur, wat resulteert in aanzienlijke maandelijkse kosten. Organisaties moeten daarom een grondige kosten-batenanalyse uitvoeren om te bepalen of de extra beveiligingsniveaus die Managed HSM biedt, gerechtvaardigd zijn voor hun specifieke use case. De tweede kritieke vereiste betreft de aard van de gegevens die moeten worden beschermd. Managed HSM is specifiek ontworpen voor het beheren van cryptografische sleutels voor geclassificeerde gegevens, staatsgeheimen en top-secret informatie. Dit omvat gegevens die vallen onder de classificatieniveaus CONFIDENTIEEL, GEHEIM en ZEER GEHEIM volgens de Nederlandse classificatienormen. Voor organisaties die werken met dergelijke hoogwaardige gegevens, is Managed HSM niet alleen een aanbeveling, maar vaak een verplichting vanuit compliance- en regelgevingsperspectief. Naast deze primaire vereisten zijn er aanvullende overwegingen die organisaties moeten evalueren. De implementatie vereist technische expertise in cryptografische beveiliging en Azure Key Vault-beheer. Organisaties moeten beschikken over IT-personeel met gespecialiseerde kennis op het gebied van hardware security modules, cryptografische sleutelbeheer en Azure-cloudarchitectuur. Bovendien moet de organisatie een duidelijk governancemodel hebben voor het beheer van cryptografische sleutels, inclusief procedures voor sleutelrotatie, back-up en herstel. Voor Nederlandse overheidsorganisaties zijn er specifieke compliancevereisten die de implementatie van Managed HSM kunnen vereisen. De Baseline Informatiebeveiliging Overheid (BIO) norm 10.01 schrijft voor dat organisaties hoogwaardige cryptografie moeten gebruiken voor de bescherming van gevoelige gegevens. Managed HSM voldoet aan FIPS 140-2 Level 3-certificering, wat de hoogste beschikbare certificeringsniveau is voor hardware security modules en vereist is voor bepaalde categorieën van geclassificeerde gegevens. Organisaties moeten ook rekening houden met de operationele vereisten. Managed HSM vereist continue monitoring en beheer, wat betekent dat er operationele processen moeten worden ingericht voor het beheren van de HSM, het monitoren van de gezondheid en prestaties, en het reageren op eventuele incidenten. Dit vereist niet alleen technische expertise, maar ook duidelijke procedures en documentatie voor het operationele beheer. Tot slot moeten organisaties evalueren of hun workloads daadwerkelijk de geavanceerde beveiligingsfuncties van Managed HSM nodig hebben. Voor de overgrote meerderheid van workloads (ongeveer 98 procent) is Standard Azure Key Vault voldoende. Managed HSM is alleen noodzakelijk wanneer er sprake is van staatsgeheimen, top-secret geclassificeerde gegevens, of wanneer specifieke compliancevereisten dit verplicht stellen. Een grondige evaluatie van de gegevensclassificatie en compliancevereisten is daarom essentieel voordat wordt besloten tot implementatie.
Monitoring
Gebruik PowerShell-script managed-hsm-used-when-required.ps1 (functie Invoke-Monitoring) – Controleren.
Het monitoren van de noodzaak voor Azure Managed HSM is een kritieke beveiligingsactiviteit die organisaties helpt te bepalen of hun huidige cryptografische beveiligingsmaatregelen voldoen aan de vereisten voor hun gegevensclassificatieniveaus. Deze monitoring moet regelmatig worden uitgevoerd, vooral wanneer er wijzigingen optreden in de aard van de gegevens die worden verwerkt, de compliancevereisten, of de bedrijfsprocessen. De monitoring begint met een grondige evaluatie van de gegevensclassificatie binnen de organisatie. Organisaties moeten systematisch alle gegevens inventariseren en classificeren volgens de Nederlandse classificatienormen. Dit omvat het identificeren van gegevens die vallen onder de categorieën CONFIDENTIEEL, GEHEIM en ZEER GEHEIM. Voor elk van deze classificatieniveaus moet worden geëvalueerd of de huidige cryptografische beveiligingsmaatregelen, zoals Standard Azure Key Vault, voldoen aan de vereisten, of dat er een upgrade naar Managed HSM noodzakelijk is. Een belangrijk aspect van de monitoring is het evalueren van compliancevereisten. Verschillende regelgevingskaders en normen, zoals de Baseline Informatiebeveiliging Overheid (BIO), ISO 27001:2022, en specifieke sectorale vereisten, kunnen voorschrijven dat organisaties gebruik moeten maken van FIPS 140-2 Level 3-gecertificeerde hardware security modules voor bepaalde categorieën van gegevens. De monitoring moet daarom regelmatig controleren of de organisatie voldoet aan deze vereisten en of er wijzigingen zijn in de regelgeving die nieuwe verplichtingen met zich meebrengen. De technische monitoring omvat het evalueren van de huidige Azure Key Vault-implementatie. Organisaties moeten controleren welke typen cryptografische sleutels worden gebruikt, welke toepassingen en services afhankelijk zijn van deze sleutels, en of er specifieke beveiligingsvereisten zijn die alleen kunnen worden voldaan door Managed HSM. Dit omvat het analyseren van de cryptografische algoritmen die worden gebruikt, de sleutellengtes, en de vereisten voor sleutelisolatie en -bescherming. Risico-evaluatie vormt een cruciaal onderdeel van de monitoring. Organisaties moeten beoordelen wat de risico's zijn als zij geen Managed HSM gebruiken voor geclassificeerde gegevens. Dit omvat het evalueren van de potentiële impact van een compromittering van cryptografische sleutels, de waarschijnlijkheid van dergelijke incidenten, en de gevolgen voor de organisatie, inclusief reputatieschade, financiële gevolgen, en juridische aansprakelijkheid. De monitoring moet ook rekening houden met de kosten-batenanalyse. Managed HSM brengt aanzienlijke kosten met zich mee (ongeveer €3.240 per maand), en organisaties moeten regelmatig evalueren of deze investering gerechtvaardigd is gezien de aard van de gegevens die worden beschermd en de compliancevereisten. Voor de meeste workloads is Standard Key Vault voldoende, en alleen voor specifieke use cases met geclassificeerde gegevens of staatsgeheimen is Managed HSM noodzakelijk. Het monitoringproces moet worden gedocumenteerd en regelmatig worden herzien. Organisaties moeten een duidelijk proces hebben voor het uitvoeren van deze evaluaties, inclusief de frequentie van de evaluaties, de criteria die worden gebruikt, en de besluitvormingsprocedures. De resultaten van de monitoring moeten worden vastgelegd en beschikbaar zijn voor audits en compliancecontroles. Tot slot moet de monitoring proactief zijn en niet reactief. Organisaties moeten niet wachten tot er een incident plaatsvindt of tot een audit onvoldoendes constateert voordat zij evalueren of Managed HSM nodig is. Regelmatige, geplande evaluaties zorgen ervoor dat organisaties tijdig kunnen reageren op wijzigingen in hun gegevensclassificatie, compliancevereisten, of bedrijfsprocessen, en dat zij altijd voldoen aan de hoogste beveiligingsstandaarden die vereist zijn voor hun specifieke situatie.
Compliance en Auditing
Compliance en auditing vormen kritieke aspecten van de implementatie en het beheer van Azure Managed HSM voor Nederlandse organisaties, met name voor overheidsorganisaties die moeten voldoen aan strikte regelgevingsvereisten. De naleving van relevante normen en standaarden is niet alleen een juridische verplichting, maar ook essentieel voor het waarborgen van de beveiliging van gevoelige en geclassificeerde gegevens. De Baseline Informatiebeveiliging Overheid (BIO) norm 10.01 is van bijzonder belang voor Nederlandse overheidsorganisaties. Deze norm schrijft voor dat organisaties hoogwaardige cryptografie moeten gebruiken voor de bescherming van gevoelige gegevens. Managed HSM voldoet aan deze vereiste door FIPS 140-2 Level 3-certificering te bieden, wat het hoogste beschikbare certificeringsniveau is voor hardware security modules. Deze certificering garandeert dat de cryptografische bewerkingen worden uitgevoerd op gecertificeerde hardware die voldoet aan de strengste beveiligingsstandaarden. ISO 27001:2022 controle A.8.24 (Cryptography) vereist dat organisaties cryptografische controles implementeren om de vertrouwelijkheid, authenticiteit en integriteit van informatie te waarborgen. Managed HSM ondersteunt deze vereiste door geavanceerde cryptografische functies te bieden, inclusief ondersteuning voor verschillende cryptografische algoritmen, veilige sleutelgeneratie en -opslag, en gecontroleerde toegang tot cryptografische bewerkingen. De implementatie van Managed HSM helpt organisaties te voldoen aan deze ISO-vereiste door een robuuste cryptografische infrastructuur te bieden. Voor organisaties die werken met geclassificeerde gegevens of staatsgeheimen zijn er aanvullende compliancevereisten die de implementatie van Managed HSM kunnen verplichten. Deze vereisten kunnen voortvloeien uit specifieke sectorale regelgeving, internationale overeenkomsten, of organisatie-specifieke beveiligingsbeleidsregels. Organisaties moeten daarom een grondige compliance-evaluatie uitvoeren om te bepalen welke specifieke vereisten van toepassing zijn op hun situatie. Auditing is een essentieel onderdeel van compliance en omvat regelmatige controles om te verifiëren dat de organisatie voldoet aan de relevante normen en standaarden. Voor Managed HSM omvat dit het controleren van de configuratie van de HSM, het monitoren van toegangslogboeken, het verifiëren van sleutelbeheerprocessen, en het evalueren van de algehele beveiligingspostuur. Organisaties moeten een duidelijk auditplan hebben dat specificeert welke controles worden uitgevoerd, met welke frequentie, en wie verantwoordelijk is voor het uitvoeren van deze controles. De auditbewijzen die moeten worden verzameld en bewaard, omvatten HSM-evaluatierapporten, configuratie-evaluaties, toegangslogboeken, en documentatie van sleutelbeheerprocessen. Deze bewijzen moeten worden bewaard gedurende een periode van zeven jaar, zoals vereist door verschillende compliancekaders. Organisaties moeten ervoor zorgen dat deze bewijzen veilig worden opgeslagen en toegankelijk zijn voor auditors en complianceofficers. Compliance met Managed HSM vereist ook dat organisaties duidelijke procedures en documentatie hebben voor het beheer van de HSM. Dit omvat procedures voor sleutelgeneratie, sleutelrotatie, back-up en herstel, toegangsbeheer, en incidentrespons. Deze procedures moeten regelmatig worden herzien en bijgewerkt om ervoor te zorgen dat zij actueel blijven en voldoen aan de nieuwste best practices en regelgevingsvereisten. Organisaties moeten ook rekening houden met de internationale aspecten van compliance. Als organisaties gegevens delen met internationale partners of als zij moeten voldoen aan internationale overeenkomsten, kunnen er aanvullende compliancevereisten zijn die de implementatie van Managed HSM verplichten. Dit is met name relevant voor Nederlandse overheidsorganisaties die deelnemen aan internationale samenwerkingsverbanden of die moeten voldoen aan NAVO-vereisten voor de bescherming van geclassificeerde gegevens. Tot slot moet compliance worden gezien als een continu proces, niet als een eenmalige activiteit. Organisaties moeten regelmatig hun compliancepositie evalueren, nieuwe regelgevingsvereisten monitoren, en hun beveiligingsmaatregelen aanpassen om ervoor te zorgen dat zij altijd voldoen aan de hoogste standaarden. Dit vereist een proactieve aanpak waarbij compliance wordt geïntegreerd in alle aspecten van de organisatie, van strategische planning tot operationele uitvoering.
Remediatie
Gebruik PowerShell-script managed-hsm-used-when-required.ps1 (functie Invoke-Remediation) – Herstellen.
Remediatie voor Azure Managed HSM omvat het implementeren van een Managed HSM-instantie wanneer evaluatie heeft aangetoond dat dit noodzakelijk is voor de beveiliging van geclassificeerde gegevens of voor het voldoen aan specifieke compliancevereisten. Het remediatieproces is complex en vereist zorgvuldige planning, technische expertise, en coördinatie tussen verschillende teams binnen de organisatie. Het remediatieproces begint met de planning en voorbereiding. Organisaties moeten eerst bepalen welke cryptografische sleutels moeten worden gemigreerd naar Managed HSM, welke toepassingen en services afhankelijk zijn van deze sleutels, en wat de impact zal zijn van de migratie op de bedrijfsprocessen. Dit vereist een grondige inventarisatie van alle cryptografische assets en een analyse van de afhankelijkheden tussen verschillende systemen en services. De volgende stap is het inrichten van de Azure Managed HSM-instantie. Dit omvat het maken van een nieuwe Managed HSM-resource in Azure, het configureren van de netwerkverbindingen en firewallregels, het instellen van toegangsbeheer en rollen, en het configureren van back-up en herstelprocedures. De configuratie moet worden uitgevoerd volgens best practices en moet voldoen aan alle relevante beveiligings- en compliancevereisten. Een kritiek aspect van de remediatie is de migratie van cryptografische sleutels van Standard Azure Key Vault naar Managed HSM. Deze migratie moet zorgvuldig worden uitgevoerd om ervoor te zorgen dat er geen serviceonderbrekingen optreden en dat de beveiliging van de sleutels op geen enkel moment wordt gecompromitteerd. Dit vereist het maken van back-ups van alle bestaande sleutels, het genereren van nieuwe sleutels in Managed HSM indien nodig, het bijwerken van toepassingen en services om de nieuwe sleutellocaties te gebruiken, en het verifiëren dat alle systemen correct functioneren met de nieuwe configuratie. De migratie moet worden uitgevoerd in een gefaseerde aanpak, waarbij eerst niet-kritieke workloads worden gemigreerd om ervaring op te doen en eventuele problemen te identificeren voordat kritieke workloads worden gemigreerd. Tijdens de migratie moeten organisaties beschikken over een rollbackplan voor het geval er onverwachte problemen optreden. Alle migratieactiviteiten moeten worden gedocumenteerd en gecontroleerd om ervoor te zorgen dat de beveiliging en integriteit van de cryptografische sleutels op geen enkel moment worden gecompromitteerd. Na de migratie moeten organisaties uitgebreide tests uitvoeren om te verifiëren dat alle toepassingen en services correct functioneren met Managed HSM. Dit omvat functionele tests, beveiligingstests, en prestatietests. Eventuele problemen die tijdens de tests worden geïdentificeerd, moeten worden opgelost voordat de migratie als voltooid wordt beschouwd. Het remediatieproces omvat ook het instellen van monitoring en alerting voor de Managed HSM-instantie. Organisaties moeten ervoor zorgen dat zij worden gewaarschuwd wanneer er problemen optreden met de HSM, wanneer er ongebruikelijke toegangspogingen worden gedetecteerd, of wanneer er andere beveiligingsincidenten plaatsvinden. Dit vereist het configureren van Azure Monitor, het instellen van logboekregistratie, en het implementeren van automatische alerting. Tot slot moet het remediatieproces worden afgerond met documentatie en training. Alle configuratie-instellingen, migratieprocedures, en operationele processen moeten worden gedocumenteerd. Het IT-personeel moet worden getraind in het beheren en onderhouden van de Managed HSM-instantie, inclusief het uitvoeren van routinematige onderhoudstaken, het reageren op incidenten, en het uitvoeren van back-up en hersteloperaties. Deze documentatie en training zijn essentieel voor het waarborgen van de continue beveiliging en beschikbaarheid van de cryptografische infrastructuur.
Compliance & Frameworks
- BIO: 10.01 - Hoogwaardige cryptografie
- ISO 27001:2022: A.8.24 - Cryptografie
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Managed HSM Used When Required
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 8.12
Controleert gebruik van Managed HSM waar vereist.
.NOTES
Filename: managed-hsm-used-when-required.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 8.12
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.KeyVault
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Managed HSM Used When Required"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$managedHSMs = Get-AzKeyVaultManagedHsm -ErrorAction SilentlyContinue
$result = @{ TotalManagedHSMs = $managedHSMs.Count }
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Managed HSMs: $($r.TotalManagedHSMs)" -ForegroundColor $(if ($r.TotalManagedHSMs -gt 0) { 'Green' } else { 'Yellow' })
if ($r.TotalManagedHSMs -eq 0) {
Write-Host "`n⚠️ Overweeg Managed HSM voor FIPS 140-2 Level 3 compliance" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nManaged HSMs: $($r.TotalManagedHSMs)"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Managed HSMs: $($r.TotalManagedHSMs)" -ForegroundColor $(if ($r.TotalManagedHSMs -gt 0) { 'Green' } else { 'Yellow' })
if ($r.TotalManagedHSMs -eq 0) {
Write-Host "`n⚠️ Overweeg Managed HSM voor FIPS 140-2 Level 3 compliance" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nManaged HSMs: $($r.TotalManagedHSMs)"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Low: Standard Key Vault is voldoende voor 98 procent van de workloads. Managed HSM is vereist voor staatsgeheimen en top-secret geclassificeerde gegevens. Compliance: FIPS 140-2 Level 3. Het risico is laag voor algemene workloads, maar VERPLICHT voor geclassificeerde gegevens.
Management Samenvatting
Managed HSM: Toegewijde single-tenant HSM (FIPS 140-2 Level 3) voor staatsgeheimen en top-secret workloads. Kosten: €4,50 per uur (€3.240 per maand). Activatie: Implementeer Managed HSM → Migreer sleutels. Implementatie: 8-12 uur. ALLEEN voor overheidsgeclassificeerde gegevens, defensie en staatsgeheimen. Standard Key Vault is voldoende voor de rest.
- Implementatietijd: 12 uur
- FTE required: 0.15 FTE