💼 Management Samenvatting
Customer-Managed Keys (CMK) voor Azure Storage Account-versleuteling geeft organisaties volledige controle over versleutelingssleutels via Azure Key Vault in plaats van Microsoft-Managed Keys. Deze sleutelbeheer is optioneel voor de meeste workloads maar kan vereist zijn voor specifieke compliance-scenario's zoals gegevenssoevereiniteitseisen of regelgevingsvereisten in de financiële sector en overheidssectoren.
Aanbeveling
OPTIONEEL - MMK VOLDOENDE
Risico zonder
Low
Risk Score
3/10
Implementatie
3u (tech: 2u)
Van toepassing op:
✓ Azure
Standaard gebruikt Azure Storage Service Encryption Microsoft-Managed Keys (MMK) waarbij Microsoft automatisch versleutelingssleutels creëert, beheert en roteert. Voor de meeste organisaties en workloads is dit een adequate en aanbevolen aanpak omdat het geen operationele overhead vereist, automatische sleutelrotatie biedt, en bewezen beveiliging heeft. Voor specifieke scenario's kunnen Customer-Managed Keys echter nodig of gewenst zijn. Gereguleerde sectoren zoals financiën, zorg of overheid kunnen compliance-vereisten hebben die volledige organisatorische controle over versleutelingssleutels vereisen. Gegevenssoevereiniteitseisen kunnen voorschrijven dat versleutelingssleutels geografisch binnen specifieke regio's of onder organisatorische controle blijven. Noodsleutelrevocatie kan vereist zijn waarbij directe blokkering van gegevenstoegang mogelijk moet zijn via sleutelverwijdering. Contractuele verplichtingen met klanten kunnen eigen sleutelbeheer vereisen. De afweging is dat CMK operationele complexiteit introduceert. Sleutelrotatie moet handmatig worden beheerd of via automatisering worden geconfigureerd, waarbij een rotatiecyclus van 90 tot 180 dagen wordt aanbevolen. Key Vault-beschikbaarheid wordt kritiek omdat verlies van sleuteltoegang betekent dat gegevenstoegang verloren gaat. Noodprocedures moeten worden gedocumenteerd voor sleutelherstelscenario's, en administratieve overhead ontstaat voor sleutellevenscyclusbeheer. Voor opslagaccounts gebruikt voor logging, wat dit bestand betreft onder de logging-monitoring categorie, is CMK over het algemeen niet aanbevolen omdat Microsoft-Managed Keys adequate bescherming bieden zonder operationele overhead. CMK voor logging-opslag is alleen relevant voor uiterst hoogbeveiligde omgevingen met specifieke regelgevingsvereisten.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.opslag
Connection:
Connect-AzAccountRequired Modules: Az.opslag
Implementatie
Deze maatregel implementeert Customer-Managed Keys voor Azure Storage Account-versleuteling via Azure Key Vault-integratie. De implementatie omvat het aanmaken van een Key Vault met Soft Delete en Purge Protection ingeschakeld, de creatie van een RSA-versleutelingssleutel met minimaal 2048-bits voor basisbeveiliging, waarbij 3072 of 4096-bits wordt aanbevolen voor hogere beveiliging. Vervolgens wordt een beheerde identiteit voor het opslagaccount geconfigureerd met Key Vault-machtigingen voor het ophalen, verpakken en uitpakken van sleutels. De configuratie van opslagaccount-versleuteling wordt aangepast om de Customer-Managed Key te gebruiken in plaats van Microsoft-Managed Keys. Tot slot worden sleutelrotatieprocedures geïmplementeerd met een aanbevolen rotatiecyclus van 90 tot 180 dagen. De kosten zijn beperkt tot Key Vault-operaties tegen een tarief van €0,025 per 10.000 operaties, plus administratieve overhead voor het beheer van de sleutels. De implementatie vereist twee tot drie uur technisch werk. Deze maatregel is optioneel met een Nice-to-Have prioriteit en is alleen relevant voor hoogbeveiligingsscenario's met specifieke compliance-mandaten. Voor de meeste logging-opslag is Microsoft-Managed Keys voldoende en aanbevolen vanwege lagere operationele complexiteit. Deze maatregel kan compliance-vereisten ondersteunen voor BIO 10.01 sleutelbeheer bij specifieke regelgevingsscenario's waarbij organisatorische controle over versleutelingssleutels verplicht is.
Vereisten
Voor het succesvol implementeren van Customer-Managed Keys (CMK) voor Azure Storage Account-versleuteling zijn verschillende technische en organisatorische vereisten essentieel. De primaire technische vereiste betreft de beschikbaarheid van een Azure Key Vault binnen de Azure-omgeving die voldoet aan de beveiligings- en compliance-standaarden die voor de organisatie gelden. Het Key Vault moet worden geconfigureerd met Soft Delete en Purge Protection ingeschakeld om te voorkomen dat sleutels per ongeluk worden verwijderd en om te voldoen aan beveiligings- en compliance-vereisten. Soft Delete zorgt ervoor dat verwijderde sleutels een bewaartermijn hebben voordat ze definitief worden verwijderd, wat herstel mogelijk maakt in geval van onbedoelde verwijdering. Purge Protection voorkomt dat beheerders sleutels kunnen verwijderen vóór de expiratiedatum, wat extra beveiliging biedt tegen kwaadwillige of onbedoelde acties.\n\nNaast de Key Vault-vereisten moet er een Storage Account beschikbaar zijn waarvoor CMK-versleuteling moet worden geconfigureerd. Dit Storage Account wordt gebruikt voor het opslaan van logs en moet voldoen aan de operationele eisen van de organisatie. Voor logging-doeleinden is het belangrijk om te evalueren of CMK daadwerkelijk nodig is, aangezien Microsoft-Managed Keys voor de meeste logging-scenario's voldoende bescherming bieden zonder de operationele complexiteit van CMK. Alleen voor uiterst hoogbeveiligde omgevingen met specifieke regelgevingsvereisten is CMK voor logging-opslag relevant.\n\nVanuit een autorisatieperspectief moet de Storage Account beschikken over een managed identity die kan worden gebruikt voor authenticatie bij het Key Vault. Deze managed identity moet worden geconfigureerd met de juiste machtigingen op het Key Vault, specifiek de machtigingen Get, Wrap en Unwrap voor de versleutelingssleutel. De Get-machtiging is nodig om de sleutelmetadata te lezen, terwijl Wrap en Unwrap nodig zijn voor respectievelijk het versleutelen en ontsleutelen van de data encryption key die daadwerkelijk wordt gebruikt voor het versleutelen van de gegevens in het Storage Account. Deze autorisatiestructuur moet vooraf worden opgezet binnen de Azure Active Directory-omgeving en worden afgestemd op het zero-trust beveiligingsmodel.\n\nDe versleutelingssleutel zelf moet worden aangemaakt in het Key Vault met de juiste configuratie. Voor de meeste scenario's is een RSA-sleutel met minimaal 2048-bits voldoende, maar voor hogere beveiliging wordt aanbevolen om 3072 of 4096-bits te gebruiken. De sleutel moet worden geconfigureerd met een vervaldatum die overeenkomt met het sleutelrotatiebeleid van de organisatie, typisch 90 tot 180 dagen. Het is belangrijk om te begrijpen dat de sleutel in het Key Vault niet direct wordt gebruikt voor het versleutelen van gegevens, maar voor het versleutelen van de data encryption key die door Azure Storage wordt gebruikt. Dit maakt het mogelijk om de versleuteling te beheren zonder dat alle gegevens opnieuw moeten worden versleuteld wanneer de sleutel wordt geroteerd.\n\nVanuit organisatorisch perspectief moet er een duidelijk beleid bestaan over wanneer CMK moet worden gebruikt in plaats van Microsoft-Managed Keys. Dit beleid moet rekening houden met compliance-vereisten, gegevenssoevereiniteitseisen, en operationele complexiteit. Organisaties moeten begrijpen dat CMK operationele overhead introduceert, inclusief het beheren van sleutelrotatie, het documenteren van noodprocedures, en het monitoren van Key Vault-beschikbaarheid. Voor logging-opslag is het bijzonder belangrijk om te evalueren of deze overhead gerechtvaardigd is, aangezien Microsoft-Managed Keys voor de meeste scenario's voldoende zijn.\n\nDaarnaast moeten er procedures worden ontwikkeld voor sleutelrotatie, sleutelherstel in noodsituaties, en het monitoren van de sleutelconfiguratie. Sleutelrotatie moet regelmatig plaatsvinden, aanbevolen elke 90 tot 180 dagen, en kan handmatig of via automatisering worden uitgevoerd. Het is belangrijk om te begrijpen dat sleutelrotatie geen impact heeft op de beschikbaarheid van gegevens, omdat Azure Storage automatisch de nieuwe sleutel gebruikt voor nieuwe gegevens terwijl oude gegevens blijven werken met de oude sleutel totdat ze opnieuw worden geschreven.\n\nFinancieel gezien moeten organisaties rekening houden met de kosten die gepaard gaan met het gebruik van CMK. Azure Key Vault brengt kosten in rekening voor operaties (€0,025 per 10.000 operaties), en er is administratieve overhead voor het beheren van sleutels. Voor logging-opslag moeten deze kosten worden afgewogen tegen het beveiligingsvoordeel, wat in de meeste gevallen niet gerechtvaardigd is omdat Microsoft-Managed Keys voldoende bescherming bieden. Alleen voor scenario's met specifieke compliance-vereisten waarbij organisatorische controle over sleutels verplicht is, zijn deze extra kosten gerechtvaardigd.
Implementatie
Gebruik PowerShell-script storage-account-cmk-encrypted.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van Customer-Managed Keys (CMK) voor Azure Storage Account-versleuteling vereist een gestructureerde aanpak die begint met de evaluatie of CMK daadwerkelijk nodig is voor de specifieke use case. Voor logging-opslag is CMK over het algemeen niet aanbevolen omdat Microsoft-Managed Keys voldoende bescherming bieden zonder operationele complexiteit. Alleen voor uiterst hoogbeveiligde omgevingen met specifieke regelgevingsvereisten waarbij organisatorische controle over versleutelingssleutels verplicht is, is CMK relevant. Als de beslissing is genomen om CMK te implementeren, volgt een systematische implementatie waarbij alle componenten correct worden geconfigureerd.\n\nDe implementatie begint met het aanmaken of identificeren van een Azure Key Vault die voldoet aan de beveiligingsvereisten. Het Key Vault moet worden geconfigureerd met Soft Delete ingeschakeld, wat ervoor zorgt dat verwijderde sleutels een bewaartermijn hebben (standaard 90 dagen) voordat ze definitief worden verwijderd. Dit maakt herstel mogelijk in geval van onbedoelde verwijdering en is een belangrijke beveiligingsmaatregel. Daarnaast moet Purge Protection worden ingeschakeld, wat voorkomt dat beheerders sleutels kunnen verwijderen vóór de expiratiedatum. Deze configuraties zijn essentieel voor het voldoen aan beveiligings- en compliance-vereisten en kunnen worden geconfigureerd via de Azure Portal, Azure CLI, PowerShell of Azure Resource Manager-sjablonen.\n\nVervolgens moet een versleutelingssleutel worden aangemaakt in het Key Vault. De sleutel moet van het type RSA zijn met minimaal 2048-bits voor basisbeveiliging, maar voor hogere beveiliging wordt aanbevolen om 3072 of 4096-bits te gebruiken. De sleutel moet worden geconfigureerd met een vervaldatum die overeenkomt met het sleutelrotatiebeleid van de organisatie, typisch 90 tot 180 dagen. Het is belangrijk om de sleutel een duidelijke naam te geven die de bedoeling aangeeft, bijvoorbeeld 'storage-account-encryption-key', zodat duidelijk is waarvoor de sleutel wordt gebruikt. De sleutel kan worden aangemaakt via de Azure Portal onder het Key Vault, of programmatisch via Azure CLI, PowerShell of Azure Resource Manager-sjablonen.\n\nDe volgende stap is het configureren van een managed identity voor het Storage Account. Deze managed identity wordt gebruikt voor authenticatie bij het Key Vault en voorkomt dat er serviceprincipals of toegangstokens handmatig moeten worden beheerd. De managed identity moet worden aangemaakt en gekoppeld aan het Storage Account, wat kan worden gedaan via de Azure Portal onder de Identity-sectie van het Storage Account, of programmatisch via Azure CLI of PowerShell. Zodra de managed identity is geconfigureerd, moeten de juiste machtigingen worden toegekend op het Key Vault voor deze identity.\n\nDe machtigingen die moeten worden toegekend zijn Get, Wrap en Unwrap. De Get-machtiging is nodig om de sleutelmetadata te lezen, wat belangrijk is voor het verifiëren van de sleutelconfiguratie en het monitoren van sleutelstatus. Wrap en Unwrap zijn de kritieke machtigingen die nodig zijn voor respectievelijk het versleutelen en ontsleutelen van de data encryption key. Deze machtigingen moeten worden toegekend via een Key Vault-toegangsbeleid, wat kan worden gedaan via de Azure Portal onder het Key Vault Access Policies, of programmatisch via Azure CLI of PowerShell. Het is belangrijk om alleen de benodigde machtigingen toe te kennen volgens het principe van minimale rechten.\n\nZodra alle voorbereidingen zijn voltooid, kan de Storage Account-versleuteling worden geconfigureerd om CMK te gebruiken. Dit wordt gedaan in de Encryption-sectie van het Storage Account in de Azure Portal, of programmatisch via Azure CLI of PowerShell. De configuratie omvat het selecteren van de Customer-Managed Key-optie, het opgeven van het Key Vault waar de sleutel zich bevindt, en het selecteren van de specifieke versleutelingssleutel. Azure valideert automatisch dat alle vereisten zijn vervuld, inclusief de aanwezigheid van de managed identity en de juiste machtigingen op het Key Vault.\n\nNa de configuratie moet worden geverifieerd dat CMK correct is geconfigureerd en functioneert. Dit omvat het controleren van de versleutelingsstatus van het Storage Account, het valideren dat de managed identity correct is geconfigureerd, en het verifiëren dat de sleuteltoegang werkt zoals verwacht. Deze verificatie kan worden uitgevoerd door te proberen gegevens te lezen en te schrijven naar het Storage Account, wat automatisch de sleuteltoegang test. Het PowerShell-script dat beschikbaar is via de scriptReference biedt geautomatiseerde implementatie en verificatie-capaciteiten die dit proces vereenvoudigen.\n\nTot slot moeten er procedures worden ingericht voor sleutelrotatie en sleutelbeheer. Sleutelrotatie moet regelmatig plaatsvinden, aanbevolen elke 90 tot 180 dagen, en kan handmatig of via automatisering worden uitgevoerd. Azure Storage ondersteunt naadloze sleutelrotatie waarbij nieuwe gegevens automatisch worden versleuteld met de nieuwe sleutel terwijl oude gegevens blijven werken met de oude sleutel. Het is belangrijk om te begrijpen dat het roteren van de sleutel geen impact heeft op de beschikbaarheid van gegevens, wat betekent dat rotatie op elk moment kan plaatsvinden zonder downtime. De implementatie kost doorgaans 2-3 uur technisch werk en vereist grondige planning en testen om te verzekeren dat alle componenten correct zijn geconfigureerd.
Compliance en Naleving
Customer-Managed Keys (CMK) voor Azure Storage Account-versleuteling kan ondersteuning bieden aan compliance-vereisten die specifieke controle over versleutelingssleutels vereisen, hoewel het belangrijk is om te benadrukken dat CMK voor de meeste logging-scenario's niet noodzakelijk is omdat Microsoft-Managed Keys voldoende bescherming bieden. Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid (BIO) controle 10.01 van bijzonder belang wanneer er specifieke regelgevingsvereisten zijn voor sleutelbeheer. BIO 10.01 vereist dat organisaties passende maatregelen nemen voor het beheer van cryptografische sleutels, inclusief het genereren, distribueren, opslaan en intrekken van sleutels. CMK kan ondersteuning bieden aan deze vereiste door organisaties volledige controle te geven over de versleutelingssleutels die worden gebruikt voor het versleutelen van gegevens.\n\nHet is echter cruciaal om te begrijpen dat BIO 10.01 niet automatisch vereist dat organisaties CMK gebruiken in plaats van Microsoft-Managed Keys. Microsoft-Managed Keys voldoen ook aan de vereisten van BIO 10.01, zolang organisaties kunnen aantonen dat passende maatregelen zijn genomen voor het beheer van versleuteling. Alleen wanneer specifieke regelgevingsvereisten expliciet organisatorische controle over sleutels vereisen, of wanneer contractuele verplichtingen met klanten eigen sleutelbeheer vereisen, is CMK nodig. Voor logging-opslag zijn deze scenario's zeldzaam, wat betekent dat CMK voor de meeste logging-implementaties niet nodig is.\n\nVoor organisaties die wel CMK implementeren vanwege specifieke compliance-vereisten, is het belangrijk om te documenteren waarom CMK nodig is en hoe dit voldoet aan de compliance-vereisten. Deze documentatie moet duidelijk maken welke regelgevingsvereisten worden geadresseerd, welke procedures zijn ingericht voor sleutelbeheer, en hoe sleutelbeheer wordt gemonitord en geaudit. Tijdens audits moeten organisaties kunnen aantonen dat CMK correct is geconfigureerd, dat sleutelrotatie regelmatig plaatsvindt, en dat er procedures bestaan voor sleutelherstel in noodsituaties.\n\nVanuit een auditing-perspectief biedt CMK extra traceerbaarheid omdat alle sleuteloperaties worden gelogd in Azure Key Vault-logboeken. Deze logboeken maken het mogelijk om te verifiëren wie toegang heeft gehad tot sleutels, wanneer sleutels zijn gebruikt, en of er pogingen zijn geweest om sleutels te verwijderen of te wijzigen. Deze audit trail is waardevol voor compliance-verificatie en kan worden gebruikt om te demonstreren dat passende controles zijn ingericht voor sleutelbeheer. Het is belangrijk om deze logboeken regelmatig te controleren en te archiveren voor compliance-doeleinden, wat doorgaans betekent dat logboeken minimaal zeven jaar moeten worden bewaard voor overheidsorganisaties.\n\nVoor ISO 27001 compliance kan CMK ondersteuning bieden aan controle A.10.1.1 die vereist dat cryptografische controles worden gebruikt om de vertrouwelijkheid, integriteit en authenticiteit van informatie te beschermen. CMK maakt het mogelijk om te demonstreren dat organisaties volledige controle hebben over versleutelingssleutels, wat kan worden gebruikt om te voldoen aan deze controle. Echter, net als bij BIO 10.01, is CMK niet automatisch vereist omdat Microsoft-Managed Keys ook voldoen aan ISO 27001 vereisten wanneer ze correct worden geconfigureerd en beheerd.\n\nVanuit een gegevenssoevereiniteitsperspectief kan CMK relevant zijn wanneer organisaties geografische controle over sleutels moeten behouden. Azure Key Vault maakt het mogelijk om sleutels op te slaan in specifieke Azure-regio's, wat betekent dat organisaties kunnen garanderen dat sleutels zich binnen bepaalde geografische grenzen bevinden. Dit kan relevant zijn voor organisaties die moeten voldoen aan gegevenssoevereiniteitseisen die vereisen dat versleutelingssleutels binnen specifieke jurisdicties blijven. Voor Nederlandse overheidsorganisaties kan dit relevant zijn wanneer er specifieke eisen zijn voor het opslaan van sleutels binnen Nederland of de Europese Unie.\n\nTot slot moet worden benadrukt dat CMK operationele complexiteit introduceert die moet worden afgewogen tegen de compliance-voordelen. Organisaties moeten begrijpen dat CMK extra beheer vereist, inclusief het beheren van sleutelrotatie, het documenteren van noodprocedures, en het monitoren van Key Vault-beschikbaarheid. Voor logging-opslag is deze complexiteit in de meeste gevallen niet gerechtvaardigd omdat Microsoft-Managed Keys voldoende bescherming en compliance-ondersteuning bieden. Alleen wanneer specifieke regelgevingsvereisten of contractuele verplichtingen expliciet CMK vereisen, zijn de extra kosten en complexiteit gerechtvaardigd.
Monitoring
Gebruik PowerShell-script storage-account-cmk-encrypted.ps1 (functie Invoke-Monitoring) – Controleren.
Het monitoren van Customer-Managed Keys (CMK) configuratie voor Azure Storage Account-versleuteling is essentieel om te verzekeren dat de versleuteling correct functioneert en dat alle componenten gezond zijn. Monitoring moet plaatsvinden op meerdere niveaus: de configuratie van de versleuteling op het Storage Account, de beschikbaarheid en status van de versleutelingssleutel in het Key Vault, de gezondheid van de managed identity die wordt gebruikt voor authenticatie, en de toegankelijkheid van het Key Vault zelf. Het PowerShell-script dat beschikbaar is via de scriptReference biedt geautomatiseerde monitoring-capaciteiten die systematisch alle componenten controleren.\n\nDe monitoring begint met het verifiëren dat CMK daadwerkelijk is geconfigureerd op het Storage Account en dat de versleutelingsstatus correct is. Het script controleert of het Storage Account is geconfigureerd om Customer-Managed Keys te gebruiken in plaats van Microsoft-Managed Keys, en of de versleutelingsstatus actief is. Het is belangrijk om te verifiëren dat de versleutelingsconfiguratie niet onbedoeld is gewijzigd, omdat dit kan leiden tot een terugval naar Microsoft-Managed Keys of zelfs tot het onbedoeld uitschakelen van versleuteling. Voor kritieke Storage Accounts moet deze monitoring regelmatig plaatsvinden, bijvoorbeeld wekelijks of maandelijks, om te verzekeren dat de configuratie behouden blijft.\n\nNaast het controleren van de configuratie moet ook worden gemonitord of de versleutelingssleutel toegankelijk is en actief is in het Key Vault. Het script controleert of de sleutel bestaat, of deze niet is verlopen, en of de sleutelstatus actief is. Verlopen sleutels of sleutels die zijn uitgeschakeld kunnen leiden tot problemen met gegevenstoegang, daarom is het belangrijk om deze problemen vroegtijdig te detecteren. Daarnaast moet worden gemonitord wanneer sleutels binnenkort verlopen, zodat sleutelrotatie tijdig kan worden uitgevoerd voordat de sleutel daadwerkelijk verloopt. Azure Key Vault biedt automatische waarschuwingen voor expirerende sleutels, wat kan worden geconfigureerd via Azure Monitor.\n\nEen kritiek aspect van monitoring is het verifiëren dat de managed identity die wordt gebruikt voor authenticatie bij het Key Vault correct is geconfigureerd en toegang heeft tot de sleutel. Het script controleert of de managed identity bestaat, of deze is gekoppeld aan het Storage Account, en of de juiste machtigingen zijn toegekend op het Key Vault. Problemen met de managed identity of ontbrekende machtigingen kunnen leiden tot fouten bij het versleutelen of ontsleutelen van gegevens, wat kan resulteren in beschikbaarheidsproblemen. Het is belangrijk om deze aspecten regelmatig te controleren, vooral na wijzigingen aan de Key Vault-toegangsbeleid of Storage Account-configuratie.\n\nKey Vault-beschikbaarheid is kritiek voor CMK-functionaliteit omdat verlies van toegang tot het Key Vault betekent dat gegevens niet meer kunnen worden versleuteld of ontsleuteld. Monitoring moet daarom ook controleren of het Key Vault beschikbaar is en reageert op verzoeken. Azure Key Vault biedt ingebouwde metriek en logboeken die kunnen worden gebruikt om de beschikbaarheid te monitoren, inclusief responsetijden en foutpercentages. Daarnaast moet worden gemonitord of er configuratiewijzigingen zijn aan het Key Vault, zoals wijzigingen aan het toegangsbeleid of de activering of deactivatie van Soft Delete of Purge Protection. Deze wijzigingen kunnen impact hebben op de CMK-functionaliteit en moeten worden gedetecteerd en geëvalueerd.\n\nVoor continue monitoring moeten er alertregels worden geconfigureerd die waarschuwen wanneer problemen worden gedetecteerd met de CMK-configuratie. Deze alerts moeten worden geconfigureerd voor kritieke gebeurtenissen zoals het verliezen van toegang tot de versleutelingssleutel, het verlopen van de sleutel binnen een bepaalde periode (bijvoorbeeld 30 dagen), wijzigingen aan de versleutelingsconfiguratie, of problemen met de managed identity. Deze alerts kunnen worden geconfigureerd via Azure Monitor en moeten worden gerouteerd naar de teams die verantwoordelijk zijn voor het beheer van de Storage Account en Key Vault. Het is belangrijk om alerts te configureren met de juiste prioriteit en duidelijke actievereisten, zodat snelle respons mogelijk is wanneer problemen optreden.\n\nDaarnaast moet het monitoringproces ook logboekanalyse omvatten om te detecteren of er pogingen zijn geweest om onbevoegd toegang te krijgen tot sleutels of om de versleutelingsconfiguratie te wijzigen. Azure Key Vault-logboeken bevatten informatie over alle toegang tot sleutels, inclusief wie toegang heeft gehad, wanneer toegang heeft plaatsgevonden, en welke operaties zijn uitgevoerd. Deze logboeken moeten regelmatig worden geanalyseerd om verdachte activiteiten te detecteren, zoals ongeautoriseerde toegangspogingen of ongebruikelijke patronen in sleutelgebruik. Voor compliance-doeleinden moeten deze logboeken ook worden gearchiveerd voor de vereiste bewaartermijn, wat doorgaans minimaal zeven jaar is voor overheidsorganisaties.\n\nTot slot moet de monitoring ook de kosten monitoren die gepaard gaan met CMK. Azure Key Vault brengt kosten in rekening voor operaties, en het is belangrijk om te begrijpen hoeveel operaties worden uitgevoerd en wat de kosten zijn. Overmatige sleuteloperaties kunnen wijzen op configuratieproblemen of inefficiënte implementaties, en moeten worden onderzocht. Daarnaast moet worden gemonitord of de CMK-configuratie daadwerkelijk de verwachte compliance-voordelen biedt, zodat de extra kosten en complexiteit gerechtvaardigd zijn. Effectieve monitoring van CMK is essentieel voor het waarborgen van continue versleuteling en het voldoen aan beveiligings- en compliance-vereisten, en moet daarom een integraal onderdeel zijn van het beheerproces.
Remediatie
Gebruik PowerShell-script storage-account-cmk-encrypted.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer monitoring aangeeft dat de Customer-Managed Keys (CMK) configuratie niet correct is of dat er problemen zijn met de versleuteling, moet er snel worden gereageerd met remediatie om de beveiligings- en compliance-risico's te minimaliseren. Remediatie voor CMK-problemen vereist een zorgvuldige aanpak omdat onjuiste configuratie kan leiden tot verlies van gegevenstoegang of beschikbaarheidsproblemen. Het PowerShell-script dat beschikbaar is via de scriptReference biedt geautomatiseerde remediatie-capaciteiten die kunnen helpen bij het oplossen van veelvoorkomende problemen.\n\nHet remediatieproces begint met het identificeren van de specifieke problemen via de monitoring-functie. Veelvoorkomende problemen zijn onder meer ontbrekende of verlopen versleutelingssleutels, ontbrekende of onjuist geconfigureerde managed identities, ontbrekende machtigingen op het Key Vault, of wijzigingen aan de versleutelingsconfiguratie die leiden tot een terugval naar Microsoft-Managed Keys. Voor elk type probleem is een specifieke remediatieaanpak nodig die rekening houdt met de impact op gegevenstoegang en beschikbaarheid.\n\nVoor verlopen versleutelingssleutels is de remediatie het roteren van de sleutel naar een nieuwe versie of het vernieuwen van de vervaldatum van de bestaande sleutel. Sleutelrotatie is de aanbevolen aanpak omdat het ervoor zorgt dat nieuwe gegevens worden versleuteld met een nieuwe sleutel, wat de beveiliging verbetert. Het roteren van de sleutel in Azure Key Vault heeft geen impact op de beschikbaarheid van gegevens omdat Azure Storage automatisch de nieuwe sleutel gebruikt voor nieuwe gegevens terwijl oude gegevens blijven werken met de oude sleutel. Het script kan automatisch een nieuwe sleutelversie aanmaken en de Storage Account configureren om deze te gebruiken, wat het remediatieproces vereenvoudigt.\n\nWanneer de managed identity ontbreekt of onjuist is geconfigureerd, moet deze worden aangemaakt en gekoppeld aan het Storage Account. Het script kan automatisch een managed identity aanmaken indien deze nog niet bestaat, of de bestaande managed identity koppelen aan het Storage Account. Vervolgens moeten de juiste machtigingen worden toegekend op het Key Vault voor deze identity. Deze machtigingen moeten Get, Wrap en Unwrap omvatten, en moeten worden toegekend via een Key Vault-toegangsbeleid. Het script kan deze machtigingen automatisch configureren, wat het remediatieproces versnelt en het risico van menselijke fouten vermindert.\n\nVoor ontbrekende of onjuiste Key Vault-machtigingen moet het toegangsbeleid worden bijgewerkt om de benodigde machtigingen toe te kennen aan de managed identity. Dit kan worden gedaan via de Azure Portal onder het Key Vault Access Policies, of programmatisch via Azure CLI of PowerShell. Het script kan automatisch het toegangsbeleid bijwerken om de benodigde machtigingen toe te kennen, wat zorgt voor consistente configuratie en snelle remediatie. Het is belangrijk om te verifiëren dat alleen de benodigde machtigingen worden toegekend volgens het principe van minimale rechten, en dat het toegangsbeleid niet te breed is geconfigureerd.\n\nWanneer de versleutelingsconfiguratie is gewijzigd en het Storage Account is teruggevallen naar Microsoft-Managed Keys, moet de CMK-configuratie opnieuw worden ingesteld. Dit omvat het configureren van het Storage Account om Customer-Managed Keys te gebruiken, het opgeven van het Key Vault waar de sleutel zich bevindt, en het selecteren van de specifieke versleutelingssleutel. Het script kan deze configuratie automatisch herstellen, wat het remediatieproces vereenvoudigt. Het is belangrijk om te verifiëren dat alle vereisten zijn vervuld voordat de configuratie wordt hersteld, inclusief de aanwezigheid van de managed identity en de juiste machtigingen op het Key Vault.\n\nNa het voltooien van de remediatie moet worden geverifieerd dat CMK nu correct is geconfigureerd en functioneert. Dit omvat het controleren van de versleutelingsstatus van het Storage Account, het valideren dat de versleutelingssleutel toegankelijk is, en het testen van gegevenstoegang om te verifiëren dat versleuteling en ontsleuteling correct werken. Het is belangrijk om deze verificatie uit te voeren voordat de remediatie als voltooid wordt beschouwd, omdat onjuiste configuratie kan leiden tot beschikbaarheidsproblemen of beveiligingsrisico's.\n\nVoor kritieke problemen zoals verlies van toegang tot de versleutelingssleutel of problemen met Key Vault-beschikbaarheid kan tijdelijke mitigatie nodig zijn om gegevenstoegang te behouden terwijl de definitieve remediatie wordt uitgevoerd. Dit kan betekenen dat het Storage Account tijdelijk wordt geconfigureerd om Microsoft-Managed Keys te gebruiken, wat toegang tot gegevens mogelijk maakt maar de compliance-voordelen van CMK verliest. Deze tijdelijke mitigatie moet echter worden gezien als een noodsituatie-oplossing, en er moet een duidelijk plan zijn voor definitieve remediatie. Tijdelijke mitigatie mag nooit worden gebruikt als excuus om definitieve remediatie uit te stellen, omdat dit de organisatie blootstelt aan continue risico's.\n\nAlle remediatie-acties moeten worden geregistreerd in het wijzigingsbeheersysteem en worden gecommuniceerd naar de relevante stakeholders. Dit omvat het documenteren van de oorspronkelijke problemen, de uitgevoerde remediatie-acties, de nieuwe configuratie, en de resultaten van de verificatie. Deze documentatie is essentieel voor compliance-doeleinden en maakt het mogelijk om de remediatie-activiteiten te traceren en te auditen. Goede documentatie helpt ook bij het leren van ervaringen en het verbeteren van toekomstige remediatie-processen, wat kan leiden tot snellere en effectievere remediatie in de toekomst.
Compliance & Frameworks
- BIO: 10.01 - sleutelbeheer
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Storage Account CMK Encrypted
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 5.31
Controleert CMK encryption voor storage accounts gebruikt voor logging.
.NOTES
Filename: storage-account-cmk-encrypted.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 5.31
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Storage
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Storage Account CMK Encrypted"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$storageAccounts = Get-AzStorageAccount -ErrorAction SilentlyContinue
$result = @{ TotalAccounts = $storageAccounts.Count; WithCMK = 0 }
foreach ($account in $storageAccounts) {
if ($account.Encryption.KeySource -eq 'Microsoft.Keyvault') {
$result.WithCMK++
}
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Storage Accounts: $($r.TotalAccounts)" -ForegroundColor White
Write-Host "With CMK: $($r.WithCMK)" -ForegroundColor $(if ($r.WithCMK -gt 0) { 'Green' } else { 'Yellow' })
if ($r.WithCMK -eq 0 -and $r.TotalAccounts -gt 0) {
Write-Host "`nℹ️ Overweeg CMK voor storage accounts met gevoelige logs" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nCMK Encryption: $($r.WithCMK)/$($r.TotalAccounts) storage accounts"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Storage Accounts: $($r.TotalAccounts)" -ForegroundColor White
Write-Host "With CMK: $($r.WithCMK)" -ForegroundColor $(if ($r.WithCMK -gt 0) { 'Green' } else { 'Yellow' })
if ($r.WithCMK -eq 0 -and $r.TotalAccounts -gt 0) {
Write-Host "`nℹ️ Overweeg CMK voor storage accounts met gevoelige logs" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nCMK Encryption: $($r.WithCMK)/$($r.TotalAccounts) storage accounts"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Low: Microsoft-Managed Keys adequate voor log storage. CMK optioneel voor data sovereignty. Het risico is laag - MMK sufficient.
Management Samenvatting
Storage Account CMK: Customer-Managed Keys voor log storage (optioneel - MMK voldoende). Alleen needed voor strikte data sovereignty. Activatie: Storage Account → Encryption → Customer-managed keys. Implementatie: 2-3 uur. Optioneel - MMK adequate.
- Implementatietijd: 3 uur
- FTE required: 0.05 FTE