L1 BIO 12.04 ISO A.12.4.1 CIS 5.1.5

Key Vault Logging Ingeschakeld

📅 2025-10-29
⏱️ 4 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Azure Key Vault diagnostische logging moet ingeschakeld zijn om alle toegang tot geheimen, sleutels en certificaten te loggen voor beveiligingsaudits en incidentonderzoek.

Aanbeveling
IMPLEMENTEER KEY VAULT LOGGING
Risico zonder
Critical
Risk Score
9/10
Implementatie
2u (tech: 2u)
Van toepassing op:
Azure

Key Vault toegang moet geauditeerd worden: wie heeft toegang gehad tot welke geheimen, sleutels en certificaten. Dit is essentieel voor beveiligingsonderzoeken en nalevingsaudits.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Monitor, Az.KeyVault

Implementatie

Deze controle implementeert beveiligingsaanbevolen praktijken via Azure Policy, ARM templates of Microsoft Intune om cloud resources en eindpunten te beschermen volgens actuele nalevingskaders.

Vereisten

Voor het implementeren van Key Vault logging zijn specifieke Azure resources en configuraties vereist. De primaire vereiste is de aanwezigheid van een of meerdere Azure Key Vault instanties binnen uw Azure omgeving. Deze Key Vaults vormen de basis voor het opslaan en beheren van gevoelige informatie zoals geheimen, cryptografische sleutels en certificaten. Zonder deze Key Vaults kan er geen logging worden geconfigureerd, aangezien er geen resources zijn om te monitoren. Daarnaast is een Log Analytics Workspace essentieel voor het verzamelen, analyseren en opslaan van de gegenereerde loggegevens. De Log Analytics Workspace fungeert als centrale opslaglocatie waar alle auditgebeurtenissen worden verzameld. Deze workspace moet beschikbaar zijn in dezelfde Azure regio of een regio die voldoet aan de gegevensresidencievereisten van uw organisatie. Voor Nederlandse overheidsorganisaties betekent dit vaak dat de gegevens binnen de Europese Unie moeten blijven, conform AVG-vereisten. Het is belangrijk om te begrijpen dat de keuze van de regio niet alleen invloed heeft op de prestaties, maar ook op de juridische en compliance aspecten van gegevensopslag. De Log Analytics Workspace moet voldoende capaciteit hebben om de verwachte hoeveelheid loggegevens op te slaan. Afhankelijk van het aantal Key Vaults en de frequentie van toegang tot geheimen, kan dit aanzienlijke hoeveelheden gegevens genereren. Het is belangrijk om van tevoren te berekenen hoeveel loggegevens u verwacht te genereren, zodat u de juiste retentietijden en opslagcapaciteit kunt configureren. Voor compliance doeleinden wordt vaak een retentietijd van minimaal 365 dagen aanbevolen, maar voor Nederlandse overheidsorganisaties kan dit oplopen tot 7 jaar conform archiveringswetgeving. Deze lange retentietijden zijn niet alleen belangrijk voor compliance, maar ook voor forensisch onderzoek naar beveiligingsincidenten die mogelijk pas jaren later worden ontdekt. Naast deze primaire resources zijn er ook specifieke Azure-machtigingen vereist. De gebruiker of service principal die de logging configureert moet beschikken over de juiste rechten op zowel de Key Vault als de Log Analytics Workspace. Voor de Key Vault is minimaal de rol 'Key Vault Contributor' of 'Owner' vereist, terwijl voor de Log Analytics Workspace de rol 'Log Analytics Contributor' of 'Contributor' nodig is. Deze rollen zijn essentieel om diagnostische instellingen te kunnen configureren en te beheren. Het is belangrijk om het principe van minimale bevoegdheden toe te passen, waarbij gebruikers alleen de rechten krijgen die strikt noodzakelijk zijn voor hun taken. Dit vermindert het risico van onbedoelde wijzigingen of misbruik van bevoegdheden. Voor grootschalige implementaties kan het ook nodig zijn om Azure Policy te configureren om ervoor te zorgen dat alle nieuwe Key Vaults automatisch logging krijgen. Dit vereist aanvullende machtigingen op abonnementsniveau, specifiek de rol 'Policy Contributor' of 'Owner'. Deze machtigingen zijn nodig om beleidsregels te kunnen maken en toe te wijzen die automatisch diagnostische instellingen toevoegen aan nieuwe resources. Het is aan te raden om deze machtigingen te beperken tot een beperkt aantal beheerders en om alle wijzigingen te loggen voor audit doeleinden.

Bewaking

Gebruik PowerShell-script key-vault-logging-enabled.ps1 (functie Invoke-Monitoring) – Controleren.

Het monitoren van Key Vault logging vereist een systematische aanpak waarbij regelmatig wordt gecontroleerd of de diagnostische instellingen correct zijn geconfigureerd en actief blijven. De monitoring moet zich richten op meerdere aspecten: de configuratie van de diagnostische instellingen zelf, de daadwerkelijke logstroom naar de Log Analytics Workspace, en de kwaliteit en volledigheid van de gegenereerde loggegevens. Een effectieve monitoringstrategie combineert geautomatiseerde controles met periodieke handmatige verificaties om ervoor te zorgen dat alle aspecten van de logging correct functioneren. Voor elke Key Vault in uw omgeving moet worden geverifieerd dat er een diagnostische instelling bestaat die de AuditEvent log categorie activeert. Deze instelling moet geconfigureerd zijn om loggegevens te verzenden naar een Log Analytics Workspace. Het is belangrijk om niet alleen te controleren of de instelling bestaat, maar ook of deze daadwerkelijk actief is en loggegevens genereert. Een diagnostische instelling die bestaat maar niet actief is, biedt geen bescherming tegen ongeautoriseerde toegang. Het kan voorkomen dat een instelling technisch bestaat maar om verschillende redenen geen gegevens verzendt, zoals onvoldoende machtigingen, een verwijderde of verplaatste Log Analytics Workspace, of netwerkproblemen. De monitoring moet regelmatig worden uitgevoerd, bij voorkeur wekelijks of maandelijks, afhankelijk van de kritikaliteit van uw Key Vaults. Voor Key Vaults die zeer gevoelige informatie bevatten, zoals root certificaten of master encryption keys, wordt aanbevolen om dagelijks te monitoren. De monitoring kan worden geautomatiseerd met behulp van Azure Policy of door middel van PowerShell scripts die periodiek worden uitgevoerd. Geautomatiseerde monitoring heeft het voordeel dat problemen sneller worden gedetecteerd en dat er minder menselijke fouten optreden. Het is echter ook belangrijk om periodiek handmatige controles uit te voeren om te verifiëren dat de geautomatiseerde systemen correct functioneren. Naast het controleren van de configuratie, is het ook belangrijk om de daadwerkelijke logstroom te monitoren. Dit betekent dat u moet verifiëren dat er regelmatig nieuwe loggegevens binnenkomen in uw Log Analytics Workspace. Als er gedurende een langere periode geen loggegevens worden gegenereerd, kan dit duiden op een probleem met de configuratie of op een situatie waarin de Key Vault niet wordt gebruikt. Beide scenario's vereisen aandacht: een gebroken configuratie moet worden gerepareerd, en een ongebruikte Key Vault kan mogelijk worden verwijderd om de aanvalsoppervlakte te verkleinen. Het is belangrijk om te begrijpen dat het ontbreken van loggegevens niet altijd betekent dat er geen activiteit is geweest; het kan ook betekenen dat de logging niet correct is geconfigureerd of dat er een technisch probleem is. De kwaliteit van de loggegevens is eveneens van belang. Loggegevens moeten voldoende detail bevatten om forensisch onderzoek mogelijk te maken. Dit betekent dat elke log entry moet bevatten: de identiteit van de gebruiker of service principal die toegang heeft aangevraagd, het type operatie dat is uitgevoerd (Get, List, Set, Delete), de naam van het geheim, de sleutel of het certificaat dat is benaderd, het tijdstip van de operatie, en het resultaat (geslaagd of mislukt). Zonder deze informatie is het onmogelijk om een volledig beeld te krijgen van wie toegang heeft gehad tot welke gevoelige informatie. Het is ook belangrijk om te controleren of de loggegevens voldoende context bevatten, zoals het IP-adres van waaruit de toegang is aangevraagd, de gebruikte authenticatiemethode, en eventuele foutmeldingen die kunnen wijzen op mislukte toegangspogingen. Voor Nederlandse overheidsorganisaties is het monitoren van Key Vault logging extra belangrijk vanwege compliance vereisten. De BIO normen en ISO 27001 standaarden vereisen dat alle toegang tot gevoelige informatie wordt geauditeerd en gemonitord. Regelmatige monitoring helpt niet alleen om compliance te waarborgen, maar ook om potentiële beveiligingsincidenten vroegtijdig te detecteren. Een plotselinge toename in het aantal toegangspogingen, vooral als deze mislukken, kan duiden op een brute force aanval of een gecompromitteerd account. Het is belangrijk om alert te zijn op afwijkende patronen in de loggegevens, zoals toegang buiten normale kantooruren, toegang vanaf onbekende locaties, of ongebruikelijke combinaties van operaties. Deze patronen kunnen wijzen op kwaadaardige activiteit die onmiddellijke aandacht vereist. Geavanceerde monitoring kan ook gebruik maken van machine learning en gedragsanalyse om afwijkende patronen te detecteren die mogelijk niet zichtbaar zijn bij handmatige inspectie. Deze technieken kunnen helpen om zero-day aanvallen en geavanceerde persistent threats te detecteren die gebruik maken van gestolen credentials. Het is echter belangrijk om te begrijpen dat geavanceerde monitoring geen vervanging is voor basis monitoring, maar een aanvulling daarop. Beide benaderingen zijn nodig voor een complete beveiligingsstrategie.

Implementatie

Gebruik PowerShell-script key-vault-logging-enabled.ps1 (functie Invoke-Implementation) – Implementeren.

De implementatie van Key Vault logging begint met het identificeren van alle Key Vaults in uw Azure omgeving. Het is essentieel om een volledige inventarisatie te maken van alle Key Vaults, inclusief die in verschillende abonnementen en resourcegroepen. Zelfs Key Vaults die momenteel niet actief worden gebruikt, moeten worden geconfigureerd voor logging, aangezien ze in de toekomst mogelijk gevoelige informatie kunnen bevatten. Het maken van een complete inventarisatie kan een uitdaging zijn in grote organisaties met meerdere abonnementen en resourcegroepen, maar het is essentieel om ervoor te zorgen dat geen enkele Key Vault wordt overgeslagen. Het gebruik van Azure Resource Graph queries kan helpen om alle Key Vaults snel te identificeren, ongeacht in welk abonnement of resourcegroep ze zich bevinden. Voor elke Key Vault moet een diagnostische instelling worden geconfigureerd. Deze instelling kan worden gemaakt via de Azure Portal, Azure PowerShell, Azure CLI, of via ARM templates voor infrastructuur als code. De diagnostische instelling moet de log categorie 'AuditEvent' activeren, wat alle relevante gebeurtenissen vastlegt, inclusief Get, List, Set en Delete operaties op geheimen, sleutels en certificaten. De keuze van de implementatiemethode hangt af van uw organisatie en voorkeuren. Voor ad-hoc configuraties kan de Azure Portal handig zijn, maar voor herhaalbare en consistente implementaties zijn PowerShell, CLI of ARM templates aan te raden omdat deze kunnen worden geautomatiseerd en versiebeheerd. De bestemming voor de loggegevens moet een Log Analytics Workspace zijn. Het is belangrijk om een centraal Log Analytics Workspace te gebruiken voor alle Key Vaults, zodat alle auditgegevens op één locatie worden verzameld. Dit maakt het eenvoudiger om queries uit te voeren en rapporten te genereren. Als uw organisatie meerdere Log Analytics Workspaces gebruikt, bijvoorbeeld per omgeving (ontwikkeling, test, productie), moet elke Key Vault worden gekoppeld aan de juiste workspace. Het gebruik van een centrale workspace heeft voordelen voor analyse en rapportage, maar kan ook zorgen voor compliance uitdagingen als verschillende omgevingen verschillende gegevensresidencievereisten hebben. In dergelijke gevallen kan het gebruik van meerdere workspaces per omgeving noodzakelijk zijn. De retentietijd voor de loggegevens moet minimaal 365 dagen zijn, maar voor Nederlandse overheidsorganisaties wordt vaak een langere retentietijd aanbevolen. Conform de Archiefwet en andere relevante wetgeving kan een retentietijd van 7 jaar vereist zijn. Het is belangrijk om deze retentietijd in te stellen op het moment van configuratie, aangezien het later wijzigen van de retentietijd niet automatisch verloren loggegevens kan herstellen. Het is ook belangrijk om te begrijpen dat langere retentietijden hogere kosten met zich meebrengen voor opslag in de Log Analytics Workspace. Het is daarom aan te raden om de exacte retentietijd te bepalen in overleg met de juridische afdeling en de functionaris gegevensbescherming, zodat u voldoet aan alle wettelijke vereisten zonder onnodige kosten te maken. Na het configureren van de diagnostische instellingen, moet worden geverifieerd dat de logging daadwerkelijk werkt. Dit kan worden gedaan door een testoperatie uit te voeren op een Key Vault, bijvoorbeeld door een geheim op te halen, en vervolgens te controleren of deze operatie wordt vastgelegd in de Log Analytics Workspace. Het kan enkele minuten duren voordat loggegevens zichtbaar zijn in de workspace, dus het is belangrijk om even te wachten voordat u concludeert dat de logging niet werkt. Het is aan te raden om ten minste 5 tot 10 minuten te wachten voordat u controleert of de loggegevens zichtbaar zijn. Als na deze tijd nog steeds geen loggegevens zichtbaar zijn, moet u de configuratie opnieuw controleren en mogelijke problemen onderzoeken, zoals onvoldoende machtigingen of een verkeerd geconfigureerde Log Analytics Workspace. Voor grootschalige implementaties, waarbij tientallen of honderden Key Vaults moeten worden geconfigureerd, is het aan te raden om Azure Policy te gebruiken. Met Azure Policy kunt u een beleid definiëren dat automatisch diagnostische instellingen toevoegt aan alle nieuwe Key Vaults, en bestaande Key Vaults kan corrigeren die nog geen logging hebben geconfigureerd. Dit zorgt ervoor dat logging consistent wordt toegepast door uw hele Azure omgeving, zonder dat u handmatig elke Key Vault hoeft te configureren. Azure Policy biedt ook de mogelijkheid om niet-conforme resources automatisch te corrigeren, wat helpt om ervoor te zorgen dat alle Key Vaults altijd correct zijn geconfigureerd. Het is belangrijk om te begrijpen dat Azure Policy enige tijd nodig heeft om wijzigingen door te voeren, dus het kan enige tijd duren voordat alle Key Vaults zijn geconfigureerd. De implementatie moet worden gedocumenteerd, inclusief welke Key Vaults zijn geconfigureerd, naar welke Log Analytics Workspace de loggegevens worden verzonden, en wat de retentietijden zijn. Deze documentatie is belangrijk voor audits en voor toekomstige onderhoudswerkzaamheden. Het is ook aan te raden om een runbook of procedure te documenteren voor het toevoegen van logging aan nieuwe Key Vaults, zodat nieuwe teamleden of andere afdelingen weten hoe ze dit moeten doen. De documentatie moet ook informatie bevatten over wie verantwoordelijk is voor het beheer van de logging, hoe problemen moeten worden gemeld en opgelost, en hoe regelmatige controles moeten worden uitgevoerd. Goede documentatie helpt niet alleen bij audits, maar ook bij het overdragen van kennis binnen de organisatie en bij het waarborgen van consistente implementaties.

Compliance en Audit

Key Vault logging is een kritieke vereiste voor verschillende compliance frameworks die relevant zijn voor Nederlandse overheidsorganisaties. De implementatie van uitgebreide logging helpt organisaties te voldoen aan zowel internationale als nationale standaarden voor informatiebeveiliging en gegevensbescherming. Het niet implementeren van adequate logging kan leiden tot ernstige compliance problemen en kan organisaties blootstellen aan juridische en financiële risico's. Daarom is het essentieel om Key Vault logging niet alleen te zien als een technische maatregel, maar ook als een fundamentele compliance vereiste. De CIS Microsoft Azure Foundations Benchmark controle 5.1.5 vereist expliciet dat diagnostische logging is ingeschakeld voor alle Key Vaults. Deze controle maakt deel uit van de logging en monitoring sectie van het CIS framework en is geclassificeerd als een Level 1 controle, wat betekent dat het een fundamentele beveiligingsmaatregel is die door alle organisaties moet worden geïmplementeerd. Het niet implementeren van deze controle kan leiden tot een negatieve beoordeling tijdens CIS compliance audits. CIS Level 1 controles worden beschouwd als de meest kritieke beveiligingsmaatregelen en zijn bedoeld om te worden geïmplementeerd door alle organisaties, ongeacht hun grootte of complexiteit. Het niet implementeren van deze controles kan leiden tot een significante verlaging van de overall security score en kan wijzen op fundamentele beveiligingsproblemen. Voor Nederlandse overheidsorganisaties is de BIO (Baseline Informatiebeveiliging Overheid) norm 12.04 van bijzonder belang. Deze norm vereist dat alle toegang tot gevoelige informatie wordt gelogd en geauditeerd. Key Vaults bevatten vaak de meest gevoelige informatie binnen een organisatie, zoals encryptiesleutels en certificaten die worden gebruikt voor het beveiligen van andere systemen. Het ontbreken van logging op deze resources betekent dat organisaties niet kunnen voldoen aan de BIO vereisten voor logging en auditing. De BIO normen zijn specifiek ontwikkeld voor Nederlandse overheidsorganisaties en vormen de basis voor informatiebeveiliging binnen de publieke sector. Non-conformiteit met BIO normen kan leiden tot vragen van toezichthouders en kan de reputatie van de organisatie schaden. De ISO 27001 standaard, specifiek controle A.12.4.1, vereist dat organisaties logging en monitoring implementeren voor alle systemen die gevoelige informatie verwerken. Key Vaults vallen duidelijk onder deze categorie, aangezien ze specifiek zijn ontworpen voor het opslaan van gevoelige informatie. ISO 27001 certificering vereist dat organisaties kunnen aantonen dat zij adequate logging en monitoring hebben geïmplementeerd, en het ontbreken van Key Vault logging kan leiden tot non-conformiteit tijdens certificeringsaudits. ISO 27001 is een internationaal erkende standaard voor informatiebeveiligingsmanagement en wordt vaak gebruikt door organisaties die willen aantonen dat zij hun informatiebeveiliging serieus nemen. Het verlies van ISO 27001 certificering kan leiden tot verlies van vertrouwen van klanten en partners. Naast deze specifieke controles, draagt Key Vault logging ook bij aan de algemene compliance met de Algemene Verordening Gegevensbescherming (AVG). Hoewel de AVG niet expliciet logging vereist, is het wel een aanbevolen praktijk om alle toegang tot persoonsgegevens te loggen. Als Key Vaults worden gebruikt om encryptiesleutels op te slaan die worden gebruikt voor het versleutelen van persoonsgegevens, dan is het loggen van toegang tot deze sleutels indirect relevant voor AVG compliance. De AVG vereist dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen, en logging vormt een belangrijk onderdeel van deze maatregelen. Het niet loggen van toegang tot encryptiesleutels kan worden gezien als een tekortkoming in de beveiligingsmaatregelen en kan leiden tot boetes of andere sancties. Voor Nederlandse overheidsorganisaties zijn er ook specifieke archiveringsvereisten die van invloed zijn op de retentietijd van loggegevens. De Archiefwet vereist dat bepaalde documenten en gegevens voor langere perioden worden bewaard, en dit kan ook van toepassing zijn op audit logs die betrekking hebben op gevoelige informatie. Het is belangrijk om met de juridische afdeling of de functionaris gegevensbescherming te overleggen over de exacte retentietijden die van toepassing zijn op uw organisatie. De Archiefwet kan verschillende retentietijden vereisen voor verschillende soorten gegevens, en het is belangrijk om te begrijpen welke retentietijden van toepassing zijn op audit logs. Het niet naleven van archiveringsvereisten kan leiden tot juridische problemen en kan de organisatie blootstellen aan claims. Tijdens compliance audits moeten organisaties kunnen aantonen dat Key Vault logging is geïmplementeerd en actief is. Dit betekent dat u niet alleen de configuratie moet kunnen tonen, maar ook voorbeelden van daadwerkelijke loggegevens. Auditors zullen vaak vragen om queries uit te voeren op de Log Analytics Workspace om te verifiëren dat loggegevens daadwerkelijk worden verzameld en dat deze voldoende detail bevatten voor forensisch onderzoek. Het is daarom belangrijk om niet alleen de logging te configureren, maar ook om regelmatig te testen of de loggegevens correct worden verzameld en of queries correct werken. Tijdens audits zullen auditors ook vragen stellen over de monitoring en analyse van loggegevens, en het is belangrijk om te kunnen aantonen dat er een proces is voor het regelmatig controleren en analyseren van loggegevens. Het niet voldoen aan compliance vereisten kan leiden tot verschillende gevolgen, afhankelijk van het specifieke framework. Voor CIS kan dit leiden tot een lagere beveiligingsscore en mogelijke beveiligingsrisico's. Voor BIO kan non-conformiteit leiden tot vragen van toezichthouders en mogelijke maatregelen. Voor ISO 27001 kan dit leiden tot het verlies van certificering of het niet kunnen verkrijgen van certificering. Daarom is het implementeren van Key Vault logging niet alleen een technische aanbevolen praktijk, maar ook een compliance vereiste die niet kan worden genegeerd. Het is belangrijk om te begrijpen dat compliance niet alleen gaat om het voldoen aan minimale vereisten, maar ook om het aantonen van een proactieve aanpak van informatiebeveiliging. Organisaties die kunnen aantonen dat zij uitgebreide logging hebben geïmplementeerd en regelmatig monitoren, zullen beter scoren tijdens audits en zullen minder risico lopen op compliance problemen.

Remediatie

Gebruik PowerShell-script key-vault-logging-enabled.ps1 (functie Invoke-Remediation) – Herstellen.

Wanneer wordt vastgesteld dat Key Vault logging niet is geconfigureerd of niet correct functioneert, moet onmiddellijk actie worden ondernomen om deze situatie te herstellen. De remediatie moet worden uitgevoerd voor alle Key Vaults die niet voldoen aan de logging vereisten, zonder uitzondering. Het is belangrijk om te begrijpen dat elke Key Vault zonder logging een potentiële beveiligingsrisico vormt, aangezien toegang tot gevoelige informatie niet kan worden geauditeerd. Het ontbreken van logging betekent dat organisaties blind zijn voor potentiële beveiligingsincidenten en kunnen niet achterhalen wie toegang heeft gehad tot gevoelige informatie in het geval van een incident. Daarom moet remediatie worden behandeld als een hoge prioriteit en moet worden uitgevoerd zodra het probleem wordt geïdentificeerd. De remediatie begint met het identificeren van alle Key Vaults die geen diagnostische instellingen hebben of waarvan de diagnostische instellingen niet correct zijn geconfigureerd. Dit kan worden gedaan met behulp van het bijbehorende PowerShell script, dat automatisch alle Key Vaults in uw Azure omgeving scant en rapporteert welke Key Vaults logging missen. Voor grote omgevingen met veel Key Vaults kan dit proces enige tijd in beslag nemen, maar het is essentieel om een volledig beeld te krijgen voordat u begint met de remediatie. Het is belangrijk om niet alleen te vertrouwen op één scan, maar om meerdere scans uit te voeren over een periode van tijd om ervoor te zorgen dat alle Key Vaults worden geïdentificeerd, inclusief die in verschillende abonnementen en resourcegroepen. Voor elke Key Vault die logging mist, moet een nieuwe diagnostische instelling worden geconfigureerd. Het is belangrijk om deze configuratie consistent toe te passen door alle Key Vaults, gebruikmakend van dezelfde Log Analytics Workspace en dezelfde retentietijden. Dit zorgt ervoor dat alle auditgegevens op een uniforme manier worden verzameld en opgeslagen, wat het beheer en de analyse vereenvoudigt. Consistentie is belangrijk omdat het helpt om ervoor te zorgen dat alle loggegevens op dezelfde manier worden gestructureerd en opgeslagen, wat het uitvoeren van queries en het genereren van rapporten veel eenvoudiger maakt. Het is ook belangrijk om ervoor te zorgen dat alle Key Vaults gebruik maken van dezelfde retentietijden, zodat er geen gaten ontstaan in de audit trail wanneer verschillende Key Vaults verschillende retentietijden hebben. Als een Key Vault al een diagnostische instelling heeft maar deze niet correct is geconfigureerd, bijvoorbeeld omdat de verkeerde log categorie is geselecteerd of omdat de bestemming niet correct is ingesteld, moet de bestaande instelling worden bijgewerkt in plaats van een nieuwe te maken. Het is belangrijk om te controleren of de bijgewerkte instelling daadwerkelijk actief is en loggegevens genereert, aangezien het enkele minuten kan duren voordat wijzigingen effect hebben. Het bijwerken van een bestaande instelling heeft het voordeel dat de historie van de instelling behouden blijft, wat nuttig kan zijn voor audit doeleinden. Het is echter ook belangrijk om te verifiëren dat de bijgewerkte instelling correct werkt en dat er geen conflicten zijn met andere instellingen. Na het configureren of bijwerken van de diagnostische instellingen, moet worden geverifieerd dat de logging correct werkt. Dit kan worden gedaan door een testoperatie uit te voeren op de Key Vault en vervolgens te controleren of deze operatie wordt vastgelegd in de Log Analytics Workspace. Als de logging niet werkt, moeten mogelijke oorzaken worden onderzocht, zoals onvoldoende machtigingen, een niet-beschikbare Log Analytics Workspace, of netwerkproblemen. Het is belangrijk om systematisch te werk te gaan bij het onderzoeken van problemen, beginnend met de meest waarschijnlijke oorzaken en werkend naar de minder waarschijnlijke. Het kan nuttig zijn om een checklist te maken van mogelijke problemen en deze systematisch af te werken. Voor Key Vaults die al enige tijd zonder logging hebben gefunctioneerd, is het belangrijk om te erkennen dat er een hiaat bestaat in de audittrail. Deze gap kan niet worden opgevuld met achteraf gegenereerde loggegevens, maar moet worden gedocumenteerd voor toekomstige audits. Het is aan te raden om een notitie te maken van wanneer de logging is geïmplementeerd en welke periode niet is gelogd, zodat auditors hiervan op de hoogte kunnen worden gesteld. Het is ook belangrijk om te documenteren waarom de logging niet was geconfigureerd, zodat toekomstige problemen kunnen worden voorkomen. Deze documentatie kan ook nuttig zijn voor het identificeren van systemische problemen die hebben geleid tot het ontbreken van logging, zoals onvoldoende processen of procedures. Om te voorkomen dat Key Vaults in de toekomst zonder logging worden geconfigureerd, moet Azure Policy worden gebruikt om automatisch diagnostische instellingen toe te voegen aan nieuwe Key Vaults. Dit zorgt ervoor dat de remediatie niet alleen een eenmalige actie is, maar dat de logging ook wordt behouden voor toekomstige resources. Het is ook aan te raden om regelmatige controles in te plannen, bijvoorbeeld maandelijks, om te verifiëren dat alle Key Vaults nog steeds correct zijn geconfigureerd voor logging. Azure Policy kan ook worden gebruikt om bestaande Key Vaults automatisch te corrigeren als de logging wordt verwijderd of gewijzigd, wat helpt om ervoor te zorgen dat de logging consistent blijft. Het is belangrijk om te begrijpen dat Azure Policy enige tijd nodig heeft om wijzigingen door te voeren, dus het is nog steeds belangrijk om regelmatige controles uit te voeren. De remediatie moet worden gedocumenteerd, inclusief welke Key Vaults zijn gecorrigeerd, wanneer de remediatie is uitgevoerd, en wie verantwoordelijk was voor de uitvoering. Deze documentatie is belangrijk voor compliance doeleinden en helpt om aan te tonen dat uw organisatie proactief omgaat met beveiligingsvereisten. Het is ook nuttig om eventuele problemen of uitdagingen te documenteren die zijn tegengekomen tijdens de remediatie, zodat deze kunnen worden aangepakt in toekomstige implementaties. Goede documentatie helpt niet alleen bij audits, maar ook bij het leren van ervaringen en het verbeteren van processen. Het is aan te raden om een standaard template te gebruiken voor remediatie documentatie, zodat alle informatie consistent wordt vastgelegd en gemakkelijk kan worden teruggevonden.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Key Vault Logging Enabled .DESCRIPTION CIS Azure Foundations Benchmark - Control 5.23 Controleert of Key Vault logging is ingeschakeld. .NOTES Filename: key-vault-logging-enabled.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 5.23 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.KeyVault, Az.Monitor [CmdletBinding()] param([Parameter()][switch]$Monitoring) $ErrorActionPreference = 'Stop' $PolicyName = "Key Vault Logging Enabled" function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } } function Test-Compliance { $vaults = Get-AzKeyVault -ErrorAction SilentlyContinue $result = @{ TotalVaults = $vaults.Count; WithLogging = 0 } foreach ($vault in $vaults) { $diagnostics = Get-AzDiagnosticSetting -ResourceId $vault.ResourceId -ErrorAction SilentlyContinue if ($diagnostics) { $result.WithLogging++ } } return $result } try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Total Key Vaults: $($r.TotalVaults)" -ForegroundColor White Write-Host "With Logging: $($r.WithLogging)" -ForegroundColor $(if ($r.WithLogging -eq $r.TotalVaults) { 'Green' } else { 'Yellow' }) if ($r.WithLogging -lt $r.TotalVaults) { Write-Host "`n⚠️ Schakel logging in voor alle Key Vaults" -ForegroundColor Yellow } } else { $r = Test-Compliance Write-Host "`nKey Vault Logging: $($r.WithLogging)/$($r.TotalVaults) vaults" } } catch { Write-Error $_; exit 1 } # ================================================================================ # Standaard Invoke-* Functions (Auto-generated) # ================================================================================ function Invoke-Implementation { <# .SYNOPSIS Implementeert de configuratie #> [CmdletBinding()] param() Invoke-Remediation } function Invoke-Monitoring { <# .SYNOPSIS Controleert de huidige configuratie status #> [CmdletBinding()] param() $Monitoring = $true try { Connect-RequiredServices if ($Monitoring) { $r = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Total Key Vaults: $($r.TotalVaults)" -ForegroundColor White Write-Host "With Logging: $($r.WithLogging)" -ForegroundColor $(if ($r.WithLogging -eq $r.TotalVaults) { 'Green' } else { 'Yellow' }) if ($r.WithLogging -lt $r.TotalVaults) { Write-Host "`n⚠️ Schakel logging in voor alle Key Vaults" -ForegroundColor Yellow } } else { $r = Test-Compliance Write-Host "`nKey Vault Logging: $($r.WithLogging)/$($r.TotalVaults) vaults" } } catch { Write-Error $_; exit 1 } } function Invoke-Remediation { <# .SYNOPSIS Herstelt de configuratie naar de gewenste staat .DESCRIPTION Dit is een monitoring-only control, remediation delegeert naar monitoring #> [CmdletBinding()] param() Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan Invoke-Monitoring }

Risico zonder implementatie

Risico zonder implementatie
Critical: Geen audittrail voor toegang tot geheimen en sleutels betekent dat organisaties blind zijn voor diefstal van toegangsrechten. Massale enumeratie van geheimen en ongeautoriseerde toegang blijven onopgemerkt. Naleving: CIS 5.1.5, BIO 16.01, ISO 27001. Het risico is KRITIEK voor forensisch onderzoek naar toegang tot gevoelige gegevens.

Management Samenvatting

Key Vault Logging: Schakel diagnostische logging in voor ALLE Key Vaults → Stream naar Log Analytics (Get, List, Delete operaties op geheimen/sleutels). 365+ dagen retentie. Activatie: Key Vault → Diagnostische instellingen → AuditEvent. Kosten: €2-5/vault/maand. Verplicht CIS 5.1.5, BIO 16.01. Implementatie: 2 uur. KRITIEKE audit van toegangsrechten.