💼 Management Samenvatting
Privé-eindpunten gebruiken voor Key Vault-toegang vormt een essentiële beveiligingsmaatregel voor Nederlandse overheidsorganisaties die gevoelige gegevens en cryptografische sleutels beheren.
Aanbeveling
IMPLEMENTEER - ZIE key-vault-private-endpoints-configured.json
Risico zonder
Medium
Risk Score
6/10
Implementatie
2.5u (tech: 1.5u)
Van toepassing op:
✓ Azure Key Vault
Zonder deze beveiligingsmaatregel kunnen er significante beveiligingsrisico's ontstaan die leiden tot gegevenscompromittering, compliance-overtredingen en reputatieschade voor de organisatie. Publieke Key Vault-eindpunten zijn blootgesteld aan het internet, waardoor ze kwetsbaar zijn voor verschillende cyberaanvallen zoals distributed denial-of-service (DDoS) aanvallen, man-in-the-middle aanvallen en ongeautoriseerde toegangspogingen. Voor Nederlandse overheidsorganisaties die werken met persoonsgegevens en gevoelige informatie is dit onacceptabel volgens de Algemene Verordening Gegevensbescherming (AVG) en de Baseline Informatiebeveiliging Overheid (BIO).
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.KeyVault
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.KeyVault
Implementatie
Deze beveiligingsmaatregel implementeert beveiligingsbest practices via Azure Policy, ARM-templates of Microsoft Intune om cloudresources en eindpunten te beschermen volgens actuele complianceframeworks. Privé-eindpunten zorgen ervoor dat al het verkeer tussen uw virtuele netwerk en Azure Key Vault via het Microsoft-backbonenetwerk blijft, zonder dat het ooit het publieke internet raakt. Dit verhoogt de beveiliging aanzienlijk en helpt organisaties te voldoen aan strikte compliancevereisten zoals BIO 13.01 en ISO 27001:2022 A.8.20.
Vereisten
Voor de implementatie van privé-eindpunten voor Azure Key Vault zijn specifieke infrastructuurcomponenten en configuratievereisten noodzakelijk. Deze vereisten vormen de basis voor een veilige en gecontroleerde toegang tot uw Key Vault-instanties via het privénetwerk. Het begrijpen van deze vereisten is essentieel voor een succesvolle implementatie die voldoet aan de beveiligingsstandaarden die Nederlandse overheidsorganisaties moeten naleven. Ten eerste is een virtueel netwerk (VNet) in Azure vereist. Dit virtuele netwerk vormt de fundering van uw privénetwerkinfrastructuur en moet worden geconfigureerd met de juiste adresruimte en subnetten. De adresruimte moet zorgvuldig worden gepland om conflicten te voorkomen met bestaande netwerken en om voldoende ruimte te bieden voor toekomstige groei. Het subnet dat wordt gebruikt voor het privé-eindpunt moet voldoende IP-adressen beschikbaar hebben, aangezien Azure privé-eindpunten een specifiek IP-adres toewijst uit het subnetbereik. Het is aanbevolen om een toegewijd subnet te gebruiken voor privé-eindpunten om netwerksegmentatie en beveiligingsbeheer te vereenvoudigen. Deze segmentatie maakt het mogelijk om specifieke netwerkbeveiligingsgroepen en routeertabellen toe te passen die zijn afgestemd op de beveiligingsvereisten van privé-eindpunten. Daarnaast moet er een bestaande Azure Key Vault-instantie zijn die u wilt beveiligen met privé-eindpunten. Deze Key Vault moet al zijn geconfigureerd met de benodigde toegangsbeleid en machtigingen. Het is belangrijk om te begrijpen dat de implementatie van privé-eindpunten de bestaande functionaliteit van de Key Vault niet wijzigt, maar alleen de netwerktoegang beperkt tot het privénetwerk. Dit betekent dat alle bestaande applicaties en services die momenteel gebruikmaken van de Key Vault moeten worden bijgewerkt om via het privé-eindpunt te werken, of er moet een migratiestrategie worden ontwikkeld die zorgt voor een soepele overgang zonder service-onderbrekingen. Voor de netwerkconfiguratie zijn ook DNS-instellingen cruciaal. Azure Private Link integreert automatisch met Azure Private DNS-zones, maar u moet ervoor zorgen dat de juiste DNS-records worden geconfigureerd zodat applicaties en diensten de Key Vault kunnen bereiken via de privé-eindpunt-IP-adressen. Zonder correcte DNS-configuratie kunnen applicaties nog steeds proberen verbinding te maken met de publieke eindpunten, wat de beveiligingsdoelstellingen ondermijnt. De DNS-configuratie moet worden getest om te verifiëren dat alle resoluties correct plaatsvinden en dat er geen fallback naar publieke eindpunten optreedt. Voor complexe omgevingen met meerdere virtuele netwerken kan het nodig zijn om DNS-forwarding te configureren of aangepaste DNS-oplossingen te implementeren. Ten slotte zijn de juiste Azure-machtigingen vereist voor de implementatie. De gebruiker of service-principal die de privé-eindpunten configureert, moet beschikken over machtigingen zoals Netwerkbijdrager en Key Vault-bijdrager, of een aangepaste rol met de benodigde rechten. Deze machtigingen zijn nodig om privé-eindpunten te kunnen maken, te koppelen aan Key Vault-instanties en om de benodigde netwerkresources te configureren. Voor Nederlandse overheidsorganisaties is het bovendien belangrijk om te voldoen aan de BIO-vereisten voor netwerksegmentatie en toegangscontrole. Dit betekent dat toegangsrechten moeten worden toegekend volgens het principe van minimale bevoegdheden en dat alle wijzigingen moeten worden gelogd voor auditdoeleinden. Organisaties moeten ook overwegen om Azure Policy te gebruiken om automatisch te controleren of alle Key Vault-instanties privé-eindpunten gebruiken en om niet-conforme configuraties te detecteren en te herstellen.
Monitoring
Gebruik PowerShell-script private-endpoints-used.ps1 (functie Invoke-Monitoring) – Controleren.
Het monitoren van privé-eindpuntgebruik voor Azure Key Vault is essentieel voor het waarborgen van beveiligingscompliance en het detecteren van potentiële configuratiefouten of beveiligingsincidenten. Continue monitoring stelt organisaties in staat om te verifiëren dat alle Key Vault-instanties correct zijn geconfigureerd met privé-eindpunten en dat er geen onbevoegde toegang plaatsvindt via publieke eindpunten. Zonder effectieve monitoring kunnen organisaties niet garanderen dat hun beveiligingsmaatregelen daadwerkelijk worden nageleefd en kunnen configuratiefouten onopgemerkt blijven totdat er een beveiligingsincident optreedt. De monitoringstrategie moet meerdere aspecten omvatten om een volledig beeld te krijgen van de beveiligingspostuur. Ten eerste moet regelmatig worden gecontroleerd of alle productie-Key Vault-instanties daadwerkelijk privé-eindpunten gebruiken en of deze correct zijn geconfigureerd. Dit omvat verificatie van de netwerkconfiguratie, DNS-instellingen en de connectiviteit tussen virtuele netwerken en Key Vault-instanties. Het PowerShell-script dat beschikbaar is via de scriptReference-functie kan worden gebruikt om deze verificaties automatisch uit te voeren en om een gestandaardiseerd rapport te genereren dat kan worden gebruikt voor compliance-verificaties. Deze geautomatiseerde controles moeten regelmatig worden uitgevoerd, bij voorkeur dagelijks of wekelijks, om ervoor te zorgen dat eventuele configuratiewijzigingen onmiddellijk worden gedetecteerd. Daarnaast is het belangrijk om netwerkverkeer te monitoren om te detecteren of er nog steeds verkeer plaatsvindt via publieke eindpunten. Dit kan wijzen op misconfiguratie, waarbij applicaties nog steeds zijn geconfigureerd om gebruik te maken van publieke eindpunten, of op pogingen tot ongeautoriseerde toegang door externe partijen. Azure Monitor en Azure Network Watcher bieden uitgebreide tools om netwerkverkeer te analyseren en anomalieën te detecteren. Deze tools kunnen worden geconfigureerd om waarschuwingen te genereren wanneer er onverwacht verkeer wordt gedetecteerd naar publieke Key Vault-eindpunten. Log Analytics-werkruimten kunnen worden geconfigureerd om Key Vault-auditlogs te verzamelen en te analyseren voor verdachte activiteiten, zoals ongebruikelijke toegangspatronen of pogingen tot toegang buiten normale bedrijfsuren. Voor compliance-doeleinden moeten organisaties ook regelmatig rapporten genereren die aantonen dat alle Key Vault-instanties privé-eindpunten gebruiken. Deze rapporten zijn belangrijk voor interne audits en externe compliance-verificaties volgens BIO- en ISO 27001-vereisten. De rapporten moeten gedetailleerde informatie bevatten over de configuratiestatus van elke Key Vault-instantie, inclusief informatie over de privé-eindpunten die zijn geconfigureerd, de netwerkconfiguratie en eventuele afwijkingen van de gewenste configuratie. Het is aanbevolen om deze verificaties minimaal maandelijks uit te voeren, of vaker indien vereist door organisatiebeleid of compliance-frameworks. Voor organisaties met strikte compliance-vereisten kan het nodig zijn om wekelijkse of zelfs dagelijkse rapporten te genereren. Ten slotte moet monitoring ook waarschuwingsmechanismen omvatten voor configuratiewijzigingen. Als een privé-eindpunt wordt verwijderd of gewijzigd, moeten beveiligingsteams onmiddellijk worden geïnformeerd zodat zij kunnen onderzoeken of deze wijziging geautoriseerd was en of er corrigerende maatregelen nodig zijn. Azure Policy kan worden gebruikt om automatisch te detecteren wanneer Key Vault-instanties worden geconfigureerd zonder privé-eindpunten en om automatische herstelacties te triggeren. Deze automatische herstelacties kunnen ervoor zorgen dat niet-conforme configuraties onmiddellijk worden gecorrigeerd, waardoor het risico op beveiligingsincidenten wordt geminimaliseerd. Daarnaast moeten alle configuratiewijzigingen worden gelogd in een centraal loggingssysteem dat kan worden gebruikt voor forensische doeleinden en voor het verbeteren van de beveiligingsprocessen.
Compliance en Controle
Het gebruik van privé-eindpunten voor Azure Key Vault is direct gerelateerd aan verschillende compliancevereisten die van toepassing zijn op Nederlandse overheidsorganisaties. Deze beveiligingsmaatregel helpt organisaties te voldoen aan zowel nationale als internationale standaarden voor informatiebeveiliging. Het begrijpen van deze compliance-vereisten en hoe privé-eindpunten hieraan bijdragen is essentieel voor organisaties die verantwoordelijk zijn voor het beheren van gevoelige gegevens en cryptografische sleutels. De Baseline Informatiebeveiliging Overheid (BIO) controle 13.01 richt zich op private connectivity en vereist dat organisaties gebruikmaken van beveiligde, gecontroleerde netwerkverbindingen voor kritieke systemen. Privé-eindpunten voor Key Vault voldoen aan deze vereiste door ervoor te zorgen dat alle communicatie met Key Vault-instanties plaatsvindt via het privénetwerk van de organisatie, zonder blootstelling aan het publieke internet. Dit verkleint de aanvalsoppervlakte aanzienlijk en zorgt ervoor dat gevoelige cryptografische sleutels en geheimen alleen toegankelijk zijn via geautoriseerde netwerkpaden. Voor Nederlandse overheidsorganisaties betekent dit dat zij kunnen aantonen dat zij voldoen aan de BIO-vereisten voor netwerkbeveiliging en dat zij passende maatregelen hebben genomen om kritieke systemen te beschermen tegen externe bedreigingen. ISO 27001:2022 controle A.8.20 betreft netwerkbeveiliging en vereist dat organisaties netwerkdiensten beveiligen en beschermen tegen bedreigingen. Het gebruik van privé-eindpunten voor Key Vault draagt bij aan deze vereiste door netwerksegmentatie te implementeren en door ervoor te zorgen dat kritieke beveiligingsdiensten niet rechtstreeks toegankelijk zijn vanaf het internet. Dit helpt organisaties te voldoen aan het principe van minimale bevoegdheden voor netwerken, waarbij alleen geautoriseerde netwerksegmenten toegang hebben tot gevoelige resources. De implementatie van privé-eindpunten vormt een concrete technische maatregel die organisaties kunnen gebruiken om aan te tonen dat zij voldoen aan de ISO 27001-vereisten voor netwerkbeveiliging. Voor Nederlandse overheidsorganisaties zijn er ook aanvullende compliance-overwegingen. De Algemene Verordening Gegevensbescherming (AVG) vereist dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen. Aangezien Key Vault vaak wordt gebruikt voor het beheren van encryptiesleutels die worden gebruikt om persoonsgegevens te beschermen, is het gebruik van privé-eindpunten een belangrijke technische maatregel die bijdraagt aan AVG-compliance. Artikel 32 van de AVG vereist specifiek dat organisaties passende technische maatregelen nemen om de beveiliging van verwerking te waarborgen, en privé-eindpunten vormen een concrete manier om deze vereiste na te komen door de blootstelling van gevoelige systemen aan het internet te elimineren. Bij controle en verificatie moeten organisaties kunnen aantonen dat alle Key Vault-instanties privé-eindpunten gebruiken en dat er geen onbevoegde toegang plaatsvindt via publieke eindpunten. Dit vereist uitgebreide logging en monitoring, zoals beschreven in de monitoring-sectie. Controlelogs moeten worden bewaard volgens de vereisten van het compliance-framework, typisch minimaal zeven jaar voor Nederlandse overheidsorganisaties. Deze bewaartermijn is gebaseerd op de algemene archiveringsvereisten voor overheidsorganisaties en zorgt ervoor dat organisaties kunnen voldoen aan eventuele toekomstige audit- of forensische onderzoeken. Regelmatige compliance-verificaties moeten worden uitgevoerd om te zorgen dat de configuratie blijft voldoen aan de vereisten en dat eventuele configuratiewijzigingen worden gedocumenteerd en geautoriseerd. Deze verificaties moeten worden uitgevoerd door onafhankelijke partijen of door interne auditafdelingen om objectiviteit te waarborgen en om ervoor te zorgen dat eventuele afwijkingen worden geïdentificeerd en gecorrigeerd.
Remediatie
Gebruik PowerShell-script private-endpoints-used.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer monitoring detecteert dat een Azure Key Vault-instantie geen privé-eindpunten gebruikt of dat er configuratiefouten zijn, moeten corrigerende maatregelen worden genomen om de beveiligingspostuur te herstellen. Het remediatieproces moet systematisch worden uitgevoerd om ervoor te zorgen dat alle Key Vault-instanties correct zijn geconfigureerd en dat de beveiliging wordt gewaarborgd zonder de beschikbaarheid van kritieke diensten te verstoren. Een goed gestructureerd remediatieproces is essentieel om ervoor te zorgen dat beveiligingsproblemen snel worden opgelost zonder onnodige risico's te introduceren. De eerste stap in het remediatieproces is het identificeren van alle Key Vault-instanties die nog geen privé-eindpunten gebruiken. Het beschikbare PowerShell-script kan worden gebruikt om deze inventarisatie uit te voeren en een overzicht te genereren van alle instanties die aandacht vereisen. Deze inventarisatie moet gedetailleerde informatie bevatten over elke Key Vault-instantie, inclusief de omgeving waarin deze zich bevindt, de kritikaliteit van de gegevens die worden beheerd, en de applicaties en diensten die afhankelijk zijn van de Key Vault. Het is belangrijk om onderscheid te maken tussen productie-, test- en ontwikkelomgevingen, aangezien de prioriteit en het risico per omgeving kunnen verschillen. Productie-omgevingen vereisen de hoogste prioriteit vanwege de potentiële impact op bedrijfscontinuïteit en beveiliging, terwijl ontwikkelomgevingen mogelijk een lagere prioriteit hebben maar nog steeds aandacht vereisen. Voor productie-omgevingen moet remediatie met bijzondere voorzichtigheid worden uitgevoerd om dienstonderbrekingen te voorkomen. Het aanbevolen proces begint met het maken van een privé-eindpunt in een testomgeving om te verifiëren dat de configuratie correct werkt en dat bestaande applicaties en diensten nog steeds toegang hebben tot de Key Vault. Deze testfase is cruciaal om ervoor te zorgen dat de configuratie correct is voordat deze wordt toegepast op productie-omgevingen. Zodra dit is geverifieerd, kan het privé-eindpunt worden geconfigureerd voor de productie-omgeving tijdens een geplande onderhoudsperiode. Tijdens deze onderhoudsperiode moeten alle betrokken teams worden geïnformeerd en moeten rollback-procedures worden voorbereid om ervoor te zorgen dat eventuele problemen snel kunnen worden opgelost. Tijdens de implementatie van privé-eindpunten moeten organisaties ervoor zorgen dat alle afhankelijke applicaties en diensten worden bijgewerkt om gebruik te maken van de privé-eindpunt-URL's in plaats van de publieke eindpunten. Dit vereist coördinatie tussen verschillende teams, inclusief netwerkteams, applicatie-ontwikkelaars en beveiligingsteams. De coördinatie moet ervoor zorgen dat alle wijzigingen synchroon worden uitgevoerd om te voorkomen dat applicaties tijdelijk geen toegang hebben tot de Key Vault. DNS-configuratiewijzigingen kunnen nodig zijn om ervoor te zorgen dat applicaties correct worden omgeleid naar de privé-eindpunt-IP-adressen. Het is cruciaal om te testen dat alle applicaties correct blijven functioneren na de migratie naar privé-eindpunten. Deze tests moeten worden uitgevoerd in een gecontroleerde omgeving voordat de wijzigingen worden toegepast op productie-omgevingen. Na de implementatie moet worden geverifieerd dat het privé-eindpunt correct werkt en dat er geen verkeer meer plaatsvindt via publieke eindpunten. Deze verificatie moet worden uitgevoerd met behulp van dezelfde monitoringtools die worden gebruikt voor continue monitoring, en moet worden gedocumenteerd voor auditdoeleinden. Monitoring moet worden geïntensiveerd tijdens en direct na de remediatie om eventuele problemen snel te detecteren en op te lossen. Deze intensieve monitoringperiode moet minimaal een week duren om ervoor te zorgen dat alle potentiële problemen worden geïdentificeerd voordat de normale monitoring wordt hervat. Documentatie moet worden bijgewerkt om de nieuwe configuratie te reflecteren en om toekomstige wijzigingen te vergemakkelijken. Deze documentatie moet gedetailleerde informatie bevatten over de configuratie, de redenen voor de wijziging en de stappen die zijn genomen tijdens de implementatie. Voor omgevingen waar privé-eindpunten niet onmiddellijk kunnen worden geïmplementeerd, moeten tijdelijke beveiligingsmaatregelen worden genomen, zoals het beperken van toegang via netwerkregels en het verhogen van monitoring. Deze maatregelen moeten echter worden gezien als tijdelijke oplossingen, en er moet een duidelijk plan zijn voor de uiteindelijke implementatie van privé-eindpunten. Dit plan moet een tijdlijn bevatten voor de implementatie, de benodigde resources identificeren en de stappen beschrijven die moeten worden genomen om de implementatie te voltooien. Regelmatige evaluaties moeten worden uitgevoerd om te zorgen dat de tijdelijke maatregelen effectief blijven en om de voortgang naar de definitieve implementatie te monitoren.
Compliance & Frameworks
- BIO: 13.01 - Privéconnectiviteit
- ISO 27001:2022: A.8.20 - Netwerkbeveiliging
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Private Endpoints Used
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 8.13
Controleert gebruik van private endpoints voor Key Vaults.
.NOTES
Filename: private-endpoints-used.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 8.13
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.KeyVault, Az.Network
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Private Endpoints Used"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$vaults = Get-AzKeyVault -ErrorAction SilentlyContinue
$result = @{ TotalVaults = $vaults.Count; WithPrivateEndpoints = 0 }
foreach ($vault in $vaults) {
$privateEndpoints = Get-AzPrivateEndpointConnection -PrivateLinkResourceId $vault.ResourceId -ErrorAction SilentlyContinue
if ($privateEndpoints) { $result.WithPrivateEndpoints++ }
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Key Vaults: $($r.TotalVaults)" -ForegroundColor White
Write-Host "With Private Endpoints: $($r.WithPrivateEndpoints)" -ForegroundColor $(if ($r.WithPrivateEndpoints -gt 0) { 'Green' } else { 'Yellow' })
}
else {
$r = Test-Compliance
Write-Host "`nPrivate Endpoints: $($r.WithPrivateEndpoints)/$($r.TotalVaults) vaults"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Key Vaults: $($r.TotalVaults)" -ForegroundColor White
Write-Host "With Private Endpoints: $($r.WithPrivateEndpoints)" -ForegroundColor $(if ($r.WithPrivateEndpoints -gt 0) { 'Green' } else { 'Yellow' })
}
else {
$r = Test-Compliance
Write-Host "`nPrivate Endpoints: $($r.WithPrivateEndpoints)/$($r.TotalVaults) vaults"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Publieke Key Vault-eindpunten resulteren in blootstelling aan het internet. Dit creëert significante beveiligingsrisico's, waaronder de mogelijkheid van DDoS-aanvallen, man-in-the-middle aanvallen en ongeautoriseerde toegangspogingen. Voor Nederlandse overheidsorganisaties leidt dit tot compliance-overtredingen volgens CIS 5.1.2 en NIS2-vereisten. Het risico is bijzonder hoog voor productie-omgevingen waar gevoelige gegevens en cryptografische sleutels worden beheerd.
Management Samenvatting
Verificatie van het gebruik van privé-eindpunten voor Key Vault is essentieel voor netwerkbeveiliging. Voor volledige implementatie-instructies en configuratie, zie key-vault-private-endpoints-configured.json. Deze maatregel is verplicht volgens CIS 5.1.2 en draagt bij aan compliance met BIO- en ISO 27001-vereisten.
- Implementatietijd: 2.5 uur
- FTE required: 0.02 FTE