💼 Management Samenvatting
Sleutelrotatie vormt een fundamenteel onderdeel van cryptografische beveiliging in cloudomgevingen. Deze beveiligingsmaatregel waarborgt dat organisaties proactief worden herinnerd aan het periodiek verversen van opslagaccount sleutels, waardoor de beveiligingspostuur wordt versterkt en potentiële aanvalsvectoren worden gemitigeerd.
Aanbeveling
IMPLEMENTEER ROTATIE HERINNERINGEN
Risico zonder
Medium
Risk Score
5/10
Implementatie
3u (tech: 2u)
Van toepassing op:
✓ Azure opslag
Het periodiek roteren van opslagaccount sleutels is essentieel voor het handhaven van een veilige Azure Storage omgeving. Zonder geautomatiseerde herinneringen bestaat het risico dat sleutels te lang actief blijven, wat de beveiligingspositie verzwakt. Verouderde sleutels die niet tijdig worden vervangen, kunnen worden gecompromitteerd zonder dat organisaties dit direct opmerken. Door geautomatiseerde reminders in te stellen, zorgen organisaties voor consistente rotatiediscipline en voldoen zij aan compliance vereisten zoals de BIO normen en ISO 27001:2022. Deze instelling voorkomt bekende aanvalsvectoren door het afdwingen van beveiligingsbest practices en zorgt voor operationele governance rondom cryptografisch sleutelbeheer. In de praktijk blijkt dat handmatige rotatieprocessen vaak worden vergeten of uitgesteld, waardoor organisaties onbewust risico lopen. Geautomatiseerde herinneringen elimineren deze menselijke factor en waarborgen dat sleutelbeheer een geïntegreerd onderdeel wordt van de operationele beveiligingsprocessen.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.opslag
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.opslag
Implementatie
Deze control configureert geautomatiseerde herinneringen voor sleutelrotatie met een interval van 90 dagen. Door gebruik te maken van Azure Monitor alerts in combinatie met Azure Automation of Logic Apps, ontvangen beheerders proactieve notificaties wanneer opslagaccount sleutels de rotatieperiode naderen. Dit systeem waarborgt dat sleutelrotatie niet wordt vergeten en dat organisaties voldoen aan cryptografische beveiligingsstandaarden.
Vereisten
Voor het implementeren van geautomatiseerde sleutelrotatie herinneringen zijn specifieke Azure resources en configuraties vereist die organisaties moeten voorbereiden voordat de implementatie kan beginnen. Organisaties moeten beschikken over een actief Azure Storage account waarop de monitoring en alerting wordt geconfigureerd. Dit opslagaccount dient als het primaire object waarvan de sleutelleeftijd wordt gemonitord en waarop de rotatieherinneringen betrekking hebben. Daarnaast is toegang tot Azure Monitor vereist voor het opzetten van aangepaste waarschuwingen die de leeftijd van opslagaccount sleutels continu monitoren. Azure Monitor biedt de mogelijkheid om aangepaste metrische gegevens te definiëren die de tijd sinds de laatste rotatie berekenen en deze vergelijken met de gewenste rotatieperiode van 90 dagen. Deze aangepaste metrische gegevens vormen de basis voor een geautomatiseerd monitoring systeem dat proactief waarschuwt wanneer sleutels de rotatieperiode naderen. Voor de daadwerkelijke notificatie en automatisering kunnen organisaties kiezen tussen Azure Automation runbooks of Logic Apps workflows, waarbij beide oplossingen verschillende voordelen bieden voor verschillende organisatorische contexten. Azure Automation runbooks bieden de flexibiliteit om complexe PowerShell scripts uit te voeren die niet alleen herinneringen versturen, maar ook aanvullende logica kunnen bevatten zoals het genereren van rotatieplannen, het bijwerken van documentatie, of het uitvoeren van voorbereidende controles om te verifiëren dat de omgeving klaar is voor sleutelrotatie. Deze runbooks kunnen worden geconfigureerd om uitgebreide logging te genereren en om complexe beslissingslogica te implementeren die rekening houdt met verschillende factoren zoals de beschikbaarheid van beheerders, de kritiekheid van het opslagaccount, en de huidige beveiligingsstatus van de omgeving. Logic Apps workflows bieden een meer visuele benadering waarbij verschillende connectors kunnen worden gebruikt voor het versturen van e-mailnotificaties, het aanmaken van tickets in een ticketsysteem, of het versturen van berichten naar Microsoft Teams of andere samenwerkingsplatforms. Deze visuele benadering maakt het eenvoudiger voor organisaties zonder uitgebreide PowerShell expertise om geavanceerde workflows te configureren die meerdere systemen integreren en die complexe notificatie- en escalatieprocessen ondersteunen. Beide oplossingen bieden de mogelijkheid om geautomatiseerde acties uit te voeren wanneer een waarschuwing wordt geactiveerd, waarbij de keuze tussen beide benaderingen afhankelijk is van de specifieke behoeften en expertise van de organisatie. Organisaties die al beschikken over uitgebreide PowerShell expertise en die complexe automatisering nodig hebben, zullen waarschijnlijk kiezen voor Azure Automation, terwijl organisaties die prioriteit geven aan visuele configuratie en eenvoudige integratie met bestaande systemen, waarschijnlijk zullen kiezen voor Logic Apps. Organisaties moeten ook beschikken over de juiste Azure RBAC rollen om de implementatie succesvol uit te voeren. De Storage Account Contributor rol biedt voldoende rechten voor de meeste implementaties, maar organisaties kunnen ook kiezen voor een aangepaste rol met specifieke rechten voor het lezen van sleutel metadata en het configureren van waarschuwingen. Deze aangepaste rollen bieden de mogelijkheid om het principe van minimale rechten toe te passen, waarbij gebruikers alleen de minimale rechten krijgen die nodig zijn voor hun specifieke taken. Dit principe is van cruciaal belang voor Nederlandse overheidsorganisaties die moeten voldoen aan strikte beveiligingsvereisten en die moeten kunnen aantonen dat zij toegangscontrole hebben geïmplementeerd die voldoet aan de BIO normen en aan de AVG vereisten voor gegevensbescherming. Voor Logic Apps implementaties is een Logic App resource vereist met een verbinding naar Azure Monitor en een e-mail connector of andere notificatiekanalen zoals Microsoft Teams, Slack, of ServiceNow. De Logic App moet worden geconfigureerd met de juiste triggers die reageren op Azure Monitor waarschuwingen en met acties die de notificaties daadwerkelijk versturen. Deze configuratie vereist dat organisaties beschikken over kennis van de Logic Apps connector architectuur en dat zij begrijpen hoe verschillende connectors kunnen worden gecombineerd om complexe workflows te creëren. Azure Automation implementaties vereisen een Automation Account met de juiste runbook configuratie en een beheerde identiteit voor authenticatie. De beheerde identiteit moet worden geconfigureerd met de benodigde RBAC rollen om toegang te krijgen tot opslagaccounts en Azure Monitor resources. Deze beheerde identiteit vormt een veilige authenticatiemethode die voorkomt dat organisaties wachtwoorden of toegangssleutels moeten beheren voor de automatisering, wat de beveiligingspostuur verbetert en de operationele complexiteit vermindert. Beide benaderingen vereisen dat organisaties beschikken over een Azure abonnement met voldoende quota voor het aanmaken van de benodigde resources, waarbij de kosten voor deze implementatie minimaal zijn omdat de meeste functionaliteit gebruik maakt van bestaande Azure Monitor en Automation services zonder extra resource kosten. Organisaties moeten echter wel rekening houden met de kosten van de daadwerkelijke notificaties, vooral wanneer zij gebruik maken van externe connectors zoals e-mail of SMS services, waarbij de kosten kunnen variëren afhankelijk van het volume van de notificaties en de gekozen provider.
Monitoring
Gebruik PowerShell-script key-rotation-reminders-enabled.ps1 (functie Invoke-Monitoring) – Controleren.
Het monitoren van sleutelrotatie vereist een gestructureerde aanpak waarbij de leeftijd van opslagaccount sleutels continu wordt geëvalueerd en waarbij organisaties proactief worden geïnformeerd over naderende rotatievereisten. Deze monitoring vormt een essentieel onderdeel van een volwassen cryptografisch sleutelbeheerprogramma en waarborgt dat organisaties kunnen voldoen aan compliance vereisten terwijl zij de beveiligingspostuur van hun cloudomgeving verbeteren. Azure Monitor biedt de mogelijkheid om aangepaste metrische gegevens te verzamelen over de leeftijd van opslagaccount sleutels, waarbij de laatste rotatiedatum wordt vergeleken met de huidige datum om te bepalen hoeveel dagen er zijn verstreken sinds de laatste rotatie. Deze berekening vormt de basis voor de monitoring oplossing en moet worden geconfigureerd om periodiek te worden uitgevoerd, bijvoorbeeld dagelijks of wekelijks, afhankelijk van de specifieke behoeften van de organisatie en de kritiekheid van de opslagaccounts. Voor Nederlandse overheidsorganisaties die werken met gevoelige gegevens, wordt dagelijkse monitoring aanbevolen om te waarborgen dat eventuele problemen met sleutelrotatie snel worden geïdentificeerd en aangepakt. Organisaties moeten geautomatiseerde herinneringen configureren die worden geactiveerd wanneer een sleutel de 90-dagen drempel nadert, maar nog niet de kritieke 90-dagen grens heeft overschreden. Dit geeft beheerders voldoende tijd om de rotatie voor te bereiden en uit te voeren voordat de sleutel als verouderd wordt beschouwd en voordat er compliance problemen ontstaan. Deze vroegtijdige waarschuwing is van cruciaal belang omdat sleutelrotatie een zorgvuldige planning vereist die rekening houdt met de beschikbaarheid van beheerders, de kritiekheid van de services die gebruik maken van het opslagaccount, en de mogelijke impact op operationele processen. De monitoring implementatie maakt gebruik van Azure Monitor waarschuwingsregels die periodiek de sleutel metadata evalueren door middel van Azure Resource Manager API aanroepen of door gebruik te maken van Azure Monitor aangepaste metrische gegevens. Deze waarschuwingen genereren een melding wanneer de voorwaarde wordt voldaan, waarbij de voorwaarde wordt gedefinieerd als een sleutelleeftijd die groter is dan een bepaalde drempelwaarde maar kleiner dan de kritieke grens. Deze waarschuwingen kunnen worden geconfigureerd met verschillende ernstniveaus, waarbij informatieve meldingen worden verstuurd bij 75 dagen om beheerders vroegtijdig te informeren, waarschuwingen bij 85 dagen om aandacht te vragen voor naderende deadlines, en kritieke meldingen bij 90 dagen om onmiddellijke actie te vereisen. Deze gelaagde benadering waarborgt dat beheerders voldoende tijd hebben om te reageren terwijl er tegelijkertijd voldoende druk wordt uitgeoefend om te waarborgen dat rotatie daadwerkelijk plaatsvindt voordat compliance problemen ontstaan. De monitoring oplossing moet ook rekening houden met beide opslagaccount sleutels, waarbij voor elke sleutel afzonderlijk de leeftijd wordt geëvalueerd. Dit waarborgt dat organisaties altijd beschikken over een actieve sleutel tijdens het rotatieproces, waarbij de secundaire sleutel wordt gebruikt terwijl de primaire sleutel wordt vervangen. Deze aanpak voorkomt serviceonderbrekingen en waarborgt dat applicaties en services die afhankelijk zijn van de opslagaccount sleutels continue toegang behouden. Het is van cruciaal belang dat organisaties begrijpen dat beide sleutels moeten worden gemonitord en dat rotatie voor beide sleutels moet worden uitgevoerd, ook al wordt in de praktijk meestal slechts één sleutel tegelijk gebruikt. De geautomatiseerde herinneringen moeten worden geconfigureerd met duidelijke actie-items die beheerders helpen bij het uitvoeren van de rotatie. Deze actie-items moeten omvatten het specificeren van welke beheerders moeten worden geïnformeerd, welke documentatie moet worden geraadpleegd voor de rotatieprocedure, en welke stappen moeten worden gevolgd voor een veilige rotatie zonder serviceonderbrekingen. De herinneringen moeten ook contextuele informatie bevatten zoals de naam van het opslagaccount, welke sleutel moet worden geroteerd, de huidige leeftijd van de sleutel, en de deadline voor de rotatie. Daarnaast moeten de herinneringen informatie bevatten over de impact van de rotatie op verschillende services en applicaties, zodat beheerders kunnen bepalen wanneer de rotatie het beste kan worden uitgevoerd met minimale impact op de bedrijfsvoering. Organisaties moeten ook logging en audit trails implementeren om te kunnen aantonen dat herinneringen daadwerkelijk zijn verstuurd en dat beheerders op de hoogte zijn gesteld van de rotatievereisten. Deze audit trails moeten worden opgeslagen in een centraal logging systeem zoals Azure Log Analytics, waarbij de logs minimaal 7 jaar worden bewaard conform de archiveringsvereisten voor overheidsorganisaties. Deze audit trails vormen een essentieel onderdeel van de compliance documentatie en moeten kunnen worden gebruikt om aan auditors te demonstreren dat organisaties proactief sleutelbeheer uitvoeren en dat zij beschikken over geautomatiseerde processen die waarborgen dat rotatie niet wordt vergeten. De monitoring oplossing moet ook worden geconfigureerd om rapporten te genereren die inzicht geven in de compliance status van alle opslagaccounts, waarbij wordt aangegeven welke accounts binnenkort rotatie vereisen en welke accounts mogelijk al verouderde sleutels hebben. Deze rapporten moeten regelmatig worden geëvalueerd door beveiligingsteams en moeten worden gebruikt om prioriteiten te stellen voor rotatie-activiteiten en om te identificeren waar aanvullende aandacht nodig is voor het verbeteren van het sleutelbeheerproces.
Compliance en Auditing
Sleutelrotatie herinneringen dragen direct bij aan het voldoen aan verschillende compliance frameworks die van toepassing zijn op Nederlandse overheidsorganisaties, waarbij geautomatiseerde herinneringen een essentieel onderdeel vormen van een volwassen beveiligingsprogramma. Deze compliance aspecten zijn van cruciaal belang voor organisaties die moeten voldoen aan strikte beveiligingsvereisten en die moeten kunnen aantonen aan auditors en toezichthouders dat zij adequate beveiligingsmaatregelen hebben geïmplementeerd. De Baseline Informatiebeveiliging Overheid (BIO) vereist in control 09.04 dat organisaties een adequaat cryptografisch sleutelbeheer implementeren, waarbij sleutels periodiek worden vervangen om de beveiligingswaarde te behouden en waarbij organisaties kunnen aantonen dat zij proactief sleutelbeheer uitvoeren. Deze control benadrukt het belang van systematische sleutelrotatie en vereist dat organisaties processen hebben geïmplementeerd die waarborgen dat sleutelrotatie niet wordt vergeten of uitgesteld. Geautomatiseerde herinneringen vormen een essentieel onderdeel van dit proces, omdat zij waarborgen dat sleutelrotatie niet wordt vergeten en dat organisaties kunnen aantonen aan auditors dat zij beschikken over geautomatiseerde processen voor sleutelbeheer. Deze geautomatiseerde processen zijn van cruciaal belang omdat auditors niet alleen willen zien dat organisaties begrijpen wat sleutelrotatie is, maar ook dat zij daadwerkelijk systemen hebben geïmplementeerd die waarborgen dat rotatie consistent en tijdig wordt uitgevoerd zonder afhankelijkheid van menselijke herinnering of handmatige processen. ISO 27001:2022 controle A.5.17, die betrekking heeft op authenticatie-informatie, vereist dat organisaties authenticatie-informatie, waaronder cryptografische sleutels, beveiligen door middel van adequate beheersmaatregelen die waarborgen dat verouderde of gecompromitteerde authenticatie-informatie niet langer actief blijft. Dit omvat het periodiek roteren van sleutels en het implementeren van processen die waarborgen dat verouderde sleutels niet langer actief blijven en dat organisaties kunnen aantonen dat zij hun sleutelbeheer actief monitoren. Geautomatiseerde herinneringen ondersteunen deze vereiste door te zorgen voor consistente rotatiediscipline en door audit trails te genereren die aantonen dat organisaties hun sleutelbeheer actief monitoren en dat zij proactief maatregelen nemen om verouderde sleutels te vervangen. Deze audit trails zijn essentieel voor het voldoen aan ISO 27001:2022 vereisten omdat zij aantonen dat organisaties niet alleen begrijpen wat er moet gebeuren, maar ook dat zij daadwerkelijk systemen hebben geïmplementeerd die waarborgen dat de vereiste acties worden uitgevoerd. Voor Nederlandse overheidsorganisaties is het van cruciaal belang dat zij kunnen aantonen aan auditors dat zij beschikken over geautomatiseerde processen voor sleutelbeheer die waarborgen dat sleutelrotatie consistent wordt uitgevoerd en dat organisaties kunnen aantonen dat zij voldoen aan de vereisten van verschillende compliance frameworks. Dit betekent dat organisaties niet alleen de herinneringen moeten configureren, maar ook moeten documenteren hoe deze herinneringen worden gebruikt in het operationele proces en hoe zij bijdragen aan het voldoen aan compliance vereisten. Deze documentatie moet duidelijk maken hoe de geautomatiseerde processen bijdragen aan het voldoen aan specifieke compliance controls en hoe organisaties kunnen aantonen dat zij voldoen aan de vereisten van verschillende frameworks. Audit bewijs moet omvatten de configuratie van de waarschuwingsregels die aantonen welke drempelwaarden zijn geconfigureerd en hoe de waarschuwingen zijn geconfigureerd om te reageren op naderende rotatievereisten. Deze configuratie documentatie moet duidelijk maken waarom specifieke drempelwaarden zijn gekozen, hoe deze drempelwaarden bijdragen aan het voldoen aan compliance vereisten, en hoe de waarschuwingen zijn geconfigureerd om te waarborgen dat beheerders tijdig worden geïnformeerd zonder dat er onnodige meldingen worden gegenereerd. Daarnaast moeten organisaties logs bewaren van verstuurde herinneringen die aantonen wanneer herinneringen zijn verstuurd, naar wie zij zijn verstuurd, en welke informatie zij bevatten. Deze logs moeten worden opgeslagen in een centraal logging systeem dat beschermd is tegen wijziging en dat voldoet aan de archiveringsvereisten voor overheidsorganisaties. Organisaties moeten ook bewijs bewaren van ontvangst door beheerders, bijvoorbeeld door middel van e-mailbevestigingen of door het bijhouden van wie de herinneringen heeft geopend en bekeken. Dit bewijs is essentieel omdat auditors willen zien dat beheerders daadwerkelijk op de hoogte zijn gesteld van rotatievereisten en dat zij de mogelijkheid hebben gehad om actie te ondernemen. Ten slotte moeten organisaties documentatie bewaren van uitgevoerde rotaties die aantonen wanneer rotaties hebben plaatsgevonden, welke sleutels zijn geroteerd, en wie de rotaties hebben uitgevoerd. Deze documentatie moet worden gekoppeld aan de herinneringen die zijn verstuurd, zodat auditors kunnen zien dat de geautomatiseerde processen daadwerkelijk hebben geleid tot het uitvoeren van rotaties. Organisaties moeten deze informatie minimaal 7 jaar bewaren conform de algemene archiveringsvereisten voor overheidsorganisaties, waarbij de informatie moet worden opgeslagen in een formaat dat toegankelijk blijft en dat kan worden gebruikt voor audit doeleinden. De compliance tracking moet ook rekening houden met verschillende opslagaccounts en verschillende sleutels, waarbij voor elk account en elke sleutel afzonderlijk kan worden aangetoond dat herinneringen zijn geconfigureerd en dat rotatie heeft plaatsgevonden. Dit vereist dat organisaties een centraal overzicht bijhouden van alle opslagaccounts, de status van hun sleutels, en de compliance status van elk account. Dit centrale overzicht moet regelmatig worden geëvalueerd en moet worden gebruikt om te identificeren waar aanvullende aandacht nodig is voor het verbeteren van het sleutelbeheerproces en voor het waarborgen dat alle accounts voldoen aan compliance vereisten.
Remediatie
Gebruik PowerShell-script key-rotation-reminders-enabled.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer geautomatiseerde sleutelrotatie herinneringen niet zijn geconfigureerd, moeten organisaties deze implementeren om te voldoen aan beveiligings- en compliance vereisten en om te waarborgen dat sleutelrotatie niet wordt vergeten of uitgesteld. Deze remediatie is van cruciaal belang omdat handmatige processen voor sleutelrotatie vaak worden vergeten of uitgesteld, wat leidt tot verouderde sleutels die de beveiligingspostuur verzwakken en die kunnen leiden tot compliance problemen tijdens audits. De remediatie bestaat uit het opzetten van een volledige monitoring en notificatie workflow die waarborgt dat beheerders tijdig worden geïnformeerd over naderende sleutelrotatie deadlines en die organisaties in staat stelt om proactief sleutelbeheer uit te voeren. Deze workflow moet worden geïntegreerd in de bestaande operationele processen van de organisatie en moet worden gedocumenteerd in de beveiligingsprocedures zodat alle betrokken partijen begrijpen hoe het systeem werkt en wat er van hen wordt verwacht. De implementatie begint met het configureren van Azure Monitor waarschuwingsregels die de leeftijd van opslagaccount sleutels continu monitoren door middel van periodieke evaluaties van de sleutel metadata. Deze waarschuwingen moeten worden geconfigureerd om te evalueren wanneer een sleutel de 90-dagen leeftijd nadert, waarbij rekening wordt gehouden met beide sleutels die beschikbaar zijn voor elk opslagaccount. De waarschuwingsconfiguratie moet worden ingesteld om meldingen te genereren bij verschillende drempelwaarden, bijvoorbeeld bij 75 dagen voor vroegtijdige informatieve meldingen, bij 85 dagen voor waarschuwingen die aandacht vereisen, en bij 90 dagen voor kritieke meldingen die onmiddellijke actie vereisen. Deze gelaagde benadering waarborgt dat beheerders voldoende tijd hebben om te reageren terwijl er tegelijkertijd voldoende druk wordt uitgeoefend om te waarborgen dat rotatie daadwerkelijk plaatsvindt. Vervolgens moeten organisaties een notificatiemechanisme implementeren dat reageert op de Azure Monitor waarschuwingen en dat beheerders informeert over naderende rotatievereisten. Organisaties kunnen kiezen tussen Azure Automation runbooks of Logic Apps workflows, waarbij beide oplossingen verschillende voordelen bieden voor verschillende organisatorische contexten. Azure Automation biedt de mogelijkheid om complexe PowerShell scripts uit te voeren die niet alleen herinneringen versturen, maar ook aanvullende acties kunnen uitvoeren zoals het genereren van rotatieplannen, het bijwerken van documentatie, of het uitvoeren van voorbereidende controles om te verifiëren dat de rotatie veilig kan worden uitgevoerd. Deze runbooks kunnen worden geconfigureerd om uitgebreide logging te genereren en om complexe beslissingslogica te implementeren die rekening houdt met verschillende factoren zoals de beschikbaarheid van beheerders, de kritiekheid van het opslagaccount, en de huidige beveiligingsstatus van de omgeving. Logic Apps biedt een meer visuele workflow benadering waarbij verschillende connectors kunnen worden gebruikt voor het versturen van e-mailnotificaties naar beheerders, het aanmaken van tickets in een ticketsysteem zoals ServiceNow of Jira, of het versturen van berichten naar Microsoft Teams of andere samenwerkingsplatforms. Deze visuele benadering maakt het eenvoudiger voor organisaties zonder uitgebreide PowerShell expertise om geavanceerde workflows te configureren die meerdere systemen integreren. Ongeacht de gekozen benadering, moeten organisaties ervoor zorgen dat de herinneringen duidelijke en actiegerichte informatie bevatten die beheerders helpen bij het uitvoeren van de rotatie. Deze informatie moet omvatten de naam van het opslagaccount dat aandacht vereist, welke sleutel moet worden geroteerd, de huidige leeftijd van de sleutel, de deadline voor de rotatie, en een overzicht van de stappen die moeten worden gevolgd voor een veilige rotatie zonder serviceonderbrekingen. Daarnaast moeten de herinneringen informatie bevatten over de impact van de rotatie op verschillende services en applicaties, zodat beheerders kunnen bepalen wanneer de rotatie het beste kan worden uitgevoerd met minimale impact op de bedrijfsvoering. De remediatie moet ook rekening houden met bestaande opslagaccounts die mogelijk al verouderde sleutels hebben, waarbij een baseline assessment wordt uitgevoerd om te identificeren welke accounts onmiddellijk aandacht vereisen en welke accounts mogelijk al buiten de gewenste rotatieperiode zijn. Deze assessment moet worden uitgevoerd voor alle opslagaccounts in de organisatie en moet resulteren in een prioriteitenlijst die aangeeft welke accounts het eerst moeten worden aangepakt. Voor accounts met verouderde sleutels moeten organisaties onmiddellijk een rotatie uitvoeren, terwijl voor accounts die binnenkort rotatie vereisen de geautomatiseerde herinneringen kunnen worden geconfigureerd om toekomstige rotaties te waarborgen. Deze baseline assessment is essentieel omdat het organisaties helpt om te begrijpen wat de huidige staat is van hun sleutelbeheer en omdat het helpt om prioriteiten te stellen voor de implementatie van geautomatiseerde herinneringen. Na implementatie moeten organisaties de configuratie testen door middel van een test waarschuwing om te verifiëren dat herinneringen correct worden verstuurd, dat beheerders deze ontvangen, en dat de informatie in de herinneringen correct en actiegericht is. Deze test moet worden uitgevoerd voor beide notificatiekanalen als organisaties meerdere kanalen gebruiken, en moet worden gedocumenteerd als onderdeel van de implementatie. De test moet ook worden gebruikt om te verifiëren dat de waarschuwingsregels correct zijn geconfigureerd en dat de notificatiemechanismen daadwerkelijk functioneren zoals verwacht. De remediatie is pas compleet wanneer alle opslagaccounts zijn geconfigureerd met geautomatiseerde herinneringen, wanneer de configuratie is gedocumenteerd in de organisatie beveiligingsprocedures, en wanneer organisaties kunnen aantonen dat het systeem correct functioneert en dat beheerders daadwerkelijk worden geïnformeerd over naderende rotatievereisten. Deze documentatie moet duidelijk maken hoe de geautomatiseerde processen bijdragen aan het voldoen aan compliance vereisten en hoe organisaties kunnen aantonen aan auditors dat zij beschikken over geautomatiseerde processen voor sleutelbeheer.
Compliance & Frameworks
- BIO: 09.04 - Cryptografisch sleutelbeheer en sleutel levenscyclus beheer
- ISO 27001:2022: A.5.17 - Beheer van authenticatie-informatie en cryptografische sleutels
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Key Rotation Reminders Enabled
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 3.14
Controleert of key rotation reminders zijn ingeschakeld.
.NOTES
Filename: key-rotation-reminders-enabled.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 3.14
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Storage
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Key Rotation Reminders Enabled"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$storageAccounts = Get-AzStorageAccount -ErrorAction SilentlyContinue
$result = @{ TotalAccounts = $storageAccounts.Count; WithRotationPolicy = 0 }
foreach ($account in $storageAccounts) {
if ($account.KeyPolicy.KeyExpirationPeriodInDays -gt 0) {
$result.WithRotationPolicy++
}
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Storage Accounts: $($r.TotalAccounts)" -ForegroundColor White
Write-Host "With Rotation Policy: $($r.WithRotationPolicy)" -ForegroundColor $(if ($r.WithRotationPolicy -gt 0) { 'Green' } else { 'Yellow' })
}
else {
$r = Test-Compliance
Write-Host "`nKey Rotation Policy: $($r.WithRotationPolicy)/$($r.TotalAccounts) accounts"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Storage Accounts: $($r.TotalAccounts)" -ForegroundColor White
Write-Host "With Rotation Policy: $($r.WithRotationPolicy)" -ForegroundColor $(if ($r.WithRotationPolicy -gt 0) { 'Green' } else { 'Yellow' })
}
else {
$r = Test-Compliance
Write-Host "`nKey Rotation Policy: $($r.WithRotationPolicy)/$($r.TotalAccounts) accounts"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Zonder geautomatiseerde rotatie herinneringen bestaat het risico dat sleutelrotatie wordt vergeten, waardoor langlevende sleutels zich ophopen en de beveiligingspostuur verzwakt. Handmatige rotatieprocessen leiden tot inconsistente schema's en verhoogd risico op menselijke fouten. Organisaties missen operationele governance rondom cryptografisch sleutelbeheer en kunnen niet aantonen aan auditors dat zij proactief sleutelbeheer uitvoeren. Het risico is medium en betreft voornamelijk rotatiediscipline en compliance naleving.
Management Samenvatting
Sleutelrotatie Herinneringen: Configureer geautomatiseerde herinneringen voor kwartaalrotatie van opslagaccount sleutels door middel van Azure Monitor alerts in combinatie met Logic Apps of Azure Automation workflows. Deze oplossing waarborgt consistente rotatiediscipline en ondersteunt compliance tracking voor BIO en ISO 27001:2022. Activatie geschiedt via Azure Monitor door het configureren van alerts die worden geactiveerd wanneer de leeftijd van storage account keys de 90-dagen drempel nadert. De implementatie is kosteloos in termen van Azure resource kosten en vereist alleen operationele governance voor onderhoud. Implementatietijd bedraagt 2-3 uur voor configuratie en testing. Deze control waarborgt consistente rotatiediscipline en voorkomt dat sleutelrotatie wordt vergeten.
- Implementatietijd: 3 uur
- FTE required: 0.03 FTE