💼 Management Samenvatting
Azure Storage Service Encryption vormt de fundamentele beveiligingslaag voor alle gegevens die worden opgeslagen in Azure Storage Accounts. Deze versleutelingstechnologie versleutelt automatisch alle gegevens in rust, ongeacht of het gaat om blob-opslag voor ongestructureerde gegevens, file storage voor gedeelde bestandssystemen, table storage voor NoSQL-gegevens, of queue storage voor berichtenwachtrijen. Sinds 2017 is deze versleuteling verplicht ingeschakeld op alle Azure Storage Accounts en kan niet worden uitgeschakeld, wat organisaties automatisch beschermt tegen diefstal van fysieke media en onbevoegde toegang op opslagniveau zonder dat er aanvullende configuratie-inspanning nodig is.
Aanbeveling
VERIFIEER - ZIE storage-encryption-at-rest.json
Risico zonder
High
Risk Score
8/10
Implementatie
0.5u (tech: 0.5u)
Van toepassing op:
✓ Azure
De noodzaak van Azure Storage Service Encryption ontstaat uit de fundamentele beveiligingsrisico's waaraan onversleutelde gegevens blootstaan in moderne cloudomgevingen. Wanneer gegevens worden opgeslagen in Azure Storage Accounts zonder versleuteling, ontstaan er meerdere kritieke kwetsbaarheden die organisaties blootstellen aan aanzienlijke beveiligings- en compliance-risico's. Het eerste risico betreft diefstal van fysieke media, waarbij aanvallers fysieke toegang verkrijgen tot Azure-datacenters of opslagmedia. In dergelijke scenario's zouden onversleutelde bestanden direct leesbaar zijn zonder enige vorm van authenticatie of autorisatie, waardoor aanvallers volledige toegang krijgen tot alle opgeslagen gegevens zonder technische barrières. Dit risico is bijzonder relevant voor organisaties die werken met gevoelige gegevens zoals persoonsgegevens, bedrijfsgeheimen, of vertrouwelijke overheidsinformatie, waarbij een dergelijke datalek catastrofale gevolgen kan hebben voor zowel de organisatie als de betrokken individuen. Het tweede risico betreft onbevoegde toegang op opslagniveau, waarbij aanvallers opslagaccountsleutels compromitteren door middel van phishing, social engineering, of technische exploits. Zelfs wanneer applicaties op applicatieniveau beveiligingsmaatregelen hebben geïmplementeerd, zou compromittering van opslagaccountsleutels directe toegang geven tot alle gegevens zonder beveiliging op opslagniveau, waardoor alle applicatiebeveiliging wordt omzeild. Dit betekent dat een enkele gecompromitteerde sleutel toegang kan geven tot terabytes aan gegevens, wat een aanzienlijk groter risico vormt dan geïsoleerde applicatie-inbreuken. Het derde risico betreft compliance-schendingen, omdat vrijwel alle moderne beveiligings- en privacykaders versleuteling van gegevens in rust verplicht stellen. De Algemene Verordening Gegevensbescherming (AVG) Artikel 32 eist expliciet passende technische maatregelen waaronder versleuteling van persoonsgegevens, waarbij niet-naleving kan leiden tot boetes tot twintig miljoen euro of vier procent van de wereldwijde jaaromzet. PCI-DSS vereiste 3.5 verplicht versleuteling van opgeslagen kaarthoudergegevens, ISO 27001 controle A.10.1.1 vereist cryptografische maatregelen voor de bescherming van informatie, en NIS2 Artikel 21 verplicht versleuteling van gegevens in rust voor kritieke systemen. Voor Nederlandse overheidsorganisaties is naleving van de BIO (Baseline Informatiebeveiliging Overheid) norm 10.01 verplicht, die cryptografische maatregelen vereist voor de bescherming van informatie. Azure Storage Service Encryption lost al deze problemen op door automatische AES-256-versleuteling van alle gegevens voordat deze naar schijf wordt geschreven, waarbij de AES-256-standaard wordt erkend als militaire encryptie die praktisch onbreekbaar is met huidige technologie. De versleuteling werkt volledig transparant voor applicaties, waarbij decryptie automatisch plaatsvindt bij gegevensleesoperaties zonder enige prestatie-impact, waardoor organisaties kunnen profiteren van sterke beveiliging zonder compromissen op het gebied van prestaties of gebruikerservaring. De versleuteling werkt voor alle opslagtypen zonder configuratie, waarbij organisaties kunnen kiezen tussen door Microsoft beheerde sleutels voor eenvoud en door klanten beheerde sleutels via Azure Key Vault voor volledige controle over de sleutellevenscyclus. Cruciaal is dat SSE sinds 2017 verplicht is ingeschakeld op alle Azure Storage Accounts en niet kan worden uitgeschakeld, wat betekent dat versleuteling altijd actief is zonder dat organisaties actie hoeven te ondernemen, waardoor het risico op menselijke fouten of configuratiefouten wordt geëlimineerd.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.opslag
Connection:
Connect-AzAccountRequired Modules: Az.opslag
Implementatie
Deze maatregel vormt een systematische verificatieprocedure om te bevestigen dat Azure Storage Service Encryption daadwerkelijk actief is op alle opslagaccounts binnen de Azure-omgeving van een organisatie. Aangezien SSE sinds 2017 verplicht is en automatisch wordt ingeschakeld op alle nieuwe en bestaande opslagaccounts zonder mogelijkheid tot uitschakeling, is deze maatregel primair gericht op verificatie en compliance-documentatie in plaats van configuratie. Dit betekent dat organisaties niet hoeven te zorgen voor het activeren van versleuteling, maar wel moeten kunnen aantonen tijdens audits dat alle opslagaccounts daadwerkelijk versleuteld zijn en dat er regelmatige verificaties worden uitgevoerd om te bevestigen dat de beveiligingsmaatregel actief blijft. De verificatieprocedure begint met het ophalen van alle opslagaccounts binnen het Azure-abonnement of specifieke resourcegroepen via de PowerShell Get-AzStorageAccount cmdlet, die een uitgebreid overzicht biedt van alle beschikbare opslagaccounts inclusief hun configuratie-eigenschappen. Vervolgens wordt voor elk opslagaccount de versleutelingsstatus gecontroleerd door inspectie van de Encryption-property, die niet alleen aangeeft of versleuteling is ingeschakeld, maar ook gedetailleerde informatie verschaft over het type versleutelingssleutel dat wordt gebruikt en de configuratie van eventuele door klanten beheerde sleutels. In zeer zeldzame legacy scenario's waarbij een opslagaccount mogelijk niet automatisch is geüpgraded, kan versleuteling expliciet worden geactiveerd, hoewel dit scenario praktisch niet meer voorkomt aangezien Microsoft alle bestaande accounts automatisch heeft geüpgraded naar de versleutelde configuratie. De versleuteling werkt standaard met door Microsoft beheerde sleutels, waarbij Microsoft automatisch versleutelingssleutels beheert, roteert, en back-upt zonder enige interventie van de organisatie, wat de eenvoudigste en meest kosteneffectieve optie is voor de meeste organisaties. Voor organisaties die volledige controle over de sleutellevenscyclus vereisen, zoals financiële instellingen of overheidsorganisaties met strikte compliance-vereisten, biedt Azure de mogelijkheid om door klanten beheerde sleutels te gebruiken via Azure Key Vault, waarbij organisaties volledige controle hebben over sleutelrotatie, toegangsbeperkingen, en sleutelbeleid. De versleuteling werkt volledig transparant voor applicaties zonder enige prestatie-impact, waarbij applicaties geen wijzigingen hoeven aan te brengen aan hun code of configuratie om te profiteren van de versleuteling, wat betekent dat bestaande workflows en applicaties naadloos blijven functioneren zonder aanpassingen. De versleuteling werkt voor alle gegevenstypen en opslagservices, inclusief blob storage, file storage, table storage, en queue storage, waardoor organisaties kunnen vertrouwen op consistente beveiliging ongeacht het type gegevens dat wordt opgeslagen. Belangrijk is dat Azure Storage Service Encryption een gratis functie is zonder extra Azure-kosten, waardoor organisaties kunnen profiteren van sterke beveiliging zonder budgettaire impact, wat bijzonder waardevol is voor overheidsorganisaties die werken met beperkte budgetten maar wel moeten voldoen aan strikte beveiligingsvereisten. Deze verificatie is essentieel voor compliance-audits waarbij moet worden aangetoond dat alle opslagaccounts versleuteld zijn, waarbij verificatieresultaten en documentatie van de versleutelingsconfiguratie moeten worden overlegd aan auditors en compliance-officers. De verificatie kost doorgaans minder dan 30 minuten voor een gemiddelde Azure-omgeving en is verplicht voor CIS Azure Benchmark controle 3.2 Niveau 1, BIO 10.01 cryptografische maatregelen, en AVG Artikel 32 versleutelingsvereisten, waardoor het een kosteneffectieve manier is om te voldoen aan meerdere compliance-kaders tegelijkertijd.
Vereisten
Voor de implementatie en verificatie van Azure Storage Service Encryption zijn specifieke vereisten noodzakelijk die organisaties moeten begrijpen voordat zij beginnen met de verificatieprocedure. De primaire vereiste betreft de aanwezigheid van Azure-opslagaccounts binnen de Azure-omgeving. Deze opslagaccounts kunnen verschillende typen bevatten die elk hun eigen specifieke gebruiksscenario's hebben. Blob Storage wordt gebruikt voor ongestructureerde gegevens zoals afbeeldingen, video's en documenten, waarbij organisaties kunnen kiezen tussen verschillende toegangsniveaus zoals hot, cool of archive storage tiers. File Storage biedt gedeelde bestandssystemen die compatibel zijn met het Server Message Block protocol, waardoor traditionele applicaties naadloos kunnen migreren naar de cloud zonder aanpassingen aan de applicatielogica. Table Storage biedt NoSQL-gegevensopslag voor schaalbare applicaties die snelle toegang vereisen tot grote hoeveelheden gestructureerde gegevens zonder complexe relaties. Queue Storage faciliteert berichtenwachtrijen voor asynchrone communicatie tussen applicatiecomponenten, wat essentieel is voor gedistribueerde systemen en microservices-architecturen. Ongeacht het type opslagaccount dat een organisatie gebruikt, versleuteling is verplicht en automatisch actief sinds 2017, wat betekent dat elke organisatie die Azure Storage Accounts gebruikt automatisch profiteert van deze beveiligingsmaatregel zonder aanvullende configuratie. Voor de verificatie van de versleutelingsstatus is toegang tot de Azure-omgeving vereist via een account met voldoende machtigingen. De minimale vereiste rol is Lezer voor het ophalen van opslagaccounteigenschappen, wat betekent dat een gebruiker met deze rol de versleutelingsstatus kan controleren maar geen wijzigingen kan aanbrengen. Voor volledige verificatie en eventuele remediatie is de rol Inzender of Opslagaccount Inzender aanbevolen, omdat deze rollen de mogelijkheid bieden om niet alleen de status te controleren maar ook eventuele configuratiewijzigingen door te voeren indien nodig. Daarnaast is PowerShell met de Az.Storage-module vereist voor het uitvoeren van de verificatiescripts. De module kan worden geïnstalleerd via Install-Module -Name Az.Storage -Force en vereist een actieve verbinding met Azure via Connect-AzAccount. Het is belangrijk te benadrukken dat de Az.Storage-module deel uitmaakt van de bredere Az-module suite, wat betekent dat organisaties die al gebruik maken van andere Azure PowerShell-modules mogelijk al over de benodigde module beschikken. Voor organisaties die gebruik maken van door klanten beheerde sleutels is ook toegang tot Azure Key Vault vereist, evenals de juiste machtigingen voor het beheren van versleutelingssleutels. Dit omvat niet alleen leesrechten op de Key Vault maar ook de mogelijkheid om sleutelrotatie uit te voeren en sleutelbeleid te beheren. De verificatie kan worden uitgevoerd op abonnementsniveau voor een volledig overzicht van alle opslagaccounts binnen een organisatie, wat ideaal is voor centrale compliance-verificatie en auditdoeleinden. Alternatief kan verificatie worden uitgevoerd op resourcegroepniveau voor gerichte verificatie van specifieke workloads of projecten, wat handig is voor gefaseerde implementaties of wanneer organisaties verschillende teams hebben die verantwoordelijk zijn voor verschillende resourcegroepen. Het is belangrijk te benadrukken dat Azure Storage Service Encryption geen extra kosten met zich meebrengt en geen impact heeft op de prestaties van applicaties, waardoor er geen technische of financiële belemmeringen zijn voor implementatie. Deze kosteloze beveiligingsmaatregel maakt het voor organisaties mogelijk om te voldoen aan compliance-vereisten zonder extra budgettaire investeringen, wat bijzonder waardevol is voor overheidsorganisaties die werken met beperkte budgetten maar wel moeten voldoen aan strikte beveiligings- en privacyvereisten.
Monitoring en Verificatie
Gebruik PowerShell-script storage-encryption-enabled.ps1 (functie Invoke-Monitoring) – Controleren.
De monitoring en verificatie van Azure Storage Service Encryption vormt een kritiek onderdeel van de beveiligingspostuur van elke organisatie die gebruik maakt van Azure-opslagdiensten. Aangezien versleuteling sinds 2017 verplicht is ingeschakeld op alle Azure Storage Accounts, lijkt verificatie wellicht overbodig, maar in de praktijk is regelmatige controle essentieel voor compliance-doeleinden en om te bevestigen dat alle opslagaccounts daadwerkelijk versleuteld zijn. Deze verificatie is niet alleen belangrijk voor het voldoen aan externe auditvereisten maar ook voor het behouden van interne beveiligingsstandaarden en het kunnen aantonen van noodzakelijke zorgvuldigheid bij gegevensbescherming. De verificatieprocedure begint met het ophalen van alle opslagaccounts binnen het Azure-abonnement of de specifieke resourcegroep. Dit gebeurt via de PowerShell cmdlet Get-AzStorageAccount, die een overzicht geeft van alle beschikbare opslagaccounts inclusief hun configuratie-eigenschappen. Deze cmdlet biedt gedetailleerde informatie over elk opslagaccount, waaronder de naam, resourcegroep, locatie, SKU-type, en kritiek voor deze verificatie, de versleutelingsconfiguratie. Vervolgens wordt voor elk opslagaccount de versleutelingsstatus gecontroleerd door inspectie van de Encryption-property, die aangeeft of Storage Service Encryption actief is. Deze property bevat niet alleen een boolean waarde die aangeeft of versleuteling is ingeschakeld, maar ook informatie over het type versleutelingssleutel dat wordt gebruikt en de configuratie van eventuele door klanten beheerde sleutels. De verificatie controleert ook het type versleutelingssleutel dat wordt gebruikt: Microsoft-beheerde sleutels of klant-beheerde sleutels. Microsoft-beheerde sleutels worden automatisch beheerd door Microsoft, inclusief rotatie en back-up, wat de eenvoudigste optie is voor de meeste organisaties. Klant-beheerde sleutels bieden organisaties volledige controle over de versleutelingssleutels, inclusief de mogelijkheid om sleutelrotatie te beheren, toegangsbeperkingen te configureren, en te voldoen aan specifieke compliance-vereisten die volledige controle over cryptografische sleutels vereisen. Voor organisaties die volledige controle over hun versleutelingssleutels vereisen, is het belangrijk te verifiëren dat door klanten beheerde sleutels correct zijn geconfigureerd en dat de sleutels zich in Azure Key Vault bevinden met de juiste toegangsbeperkingen. Dit omvat verificatie dat de Key Vault correct is geconfigureerd met soft delete en purge protection ingeschakeld, dat de opslagaccountbeheerde identiteit de juiste machtigingen heeft om toegang te krijgen tot de sleutel, en dat de sleutel zelf voldoet aan de organisatorische vereisten voor sleutellengte en algoritme. De monitoring kan worden geautomatiseerd via Azure Policy, wat organisaties in staat stelt om automatisch te controleren op naleving van versleutelingsvereisten en om automatisch te waarschuwen of te handelen wanneer afwijkingen worden geconstateerd. Azure Policy biedt ingebouwde beleidsregels voor het controleren van versleutelingsstatus, maar organisaties kunnen ook aangepaste beleidsregels ontwikkelen die specifiek zijn afgestemd op hun unieke vereisten en compliance-kaders. Alternatief kan monitoring worden uitgevoerd door regelmatige uitvoering van verificatiescripts, bij voorkeur maandelijks of bij elke wijziging in de opslagaccountconfiguratie. Deze scripts kunnen worden geïntegreerd in bestaande CI/CD-pipelines of worden uitgevoerd als geplande taken via Azure Automation of andere orchestratie-tools. De resultaten van de verificatie moeten worden gedocumenteerd voor auditdoeleinden, inclusief een timestamp, de versleutelingsstatus van elk opslagaccount, het type versleutelingssleutel dat wordt gebruikt, en eventuele afwijkingen die zijn geconstateerd. Deze documentatie is essentieel voor het kunnen aantonen van compliance tijdens externe audits en voor het behouden van een audit trail van beveiligingsmaatregelen. In het uiterst zeldzame geval dat een legacy opslagaccount wordt aangetroffen zonder actieve versleuteling, moet onmiddellijk actie worden ondernomen om versleuteling te activeren, hoewel dit scenario praktisch niet meer voorkomt aangezien Microsoft alle bestaande accounts automatisch heeft geüpgraded. De verificatie kost doorgaans minder dan 30 minuten voor een gemiddelde Azure-omgeving en kan worden geïntegreerd in bestaande monitoring- en compliance-workflows, waardoor het een efficiënte en kosteneffectieve manier is om te voldoen aan beveiligings- en compliance-vereisten zonder significante operationele overhead.
Compliance en Toetsing
Azure Storage Service Encryption speelt een centrale rol in het voldoen aan diverse compliance-vereisten die van toepassing zijn op Nederlandse overheidsorganisaties en organisaties die werken met gevoelige gegevens. De versleuteling van gegevens in rust is een fundamentele beveiligingsmaatregel die wordt vereist door vrijwel alle moderne beveiligings- en privacykaders, waardoor het een essentieel onderdeel vormt van elke serieuze beveiligingsstrategie. Deze versleuteling biedt niet alleen technische bescherming tegen onbevoegde toegang maar dient ook als bewijs van noodzakelijke zorgvuldigheid bij gegevensbescherming, wat cruciaal is voor het kunnen aantonen van compliance tijdens externe audits en toetsingen. De CIS Azure Benchmark controle 3.2 op Niveau 1 vereist expliciet dat versleuteling is ingeschakeld voor alle opslagaccounts, waarbij verificatie van de versleutelingsstatus een verplicht onderdeel vormt van de compliance-audit. Deze controle is geclassificeerd als Level 1, wat betekent dat het een basisbeveiligingsmaatregel betreft die zonder uitzondering moet worden geïmplementeerd en die niet kan worden overgeslagen of genegeerd zonder significante beveiligingsrisico's te accepteren. De CIS Azure Benchmark wordt wereldwijd erkend als een autoritatieve bron voor cloudbeveiligingsbest practices, waardoor naleving van deze controles essentieel is voor organisaties die serieus omgaan met cloudbeveiliging. De BIO (Baseline Informatiebeveiliging Overheid) norm 10.01 stelt cryptografische maatregelen verplicht voor de bescherming van informatie, waarbij versleuteling van gegevens in rust een essentiële component vormt. Voor Nederlandse overheidsorganisaties is naleving van de BIO-normen verplicht, en Azure Storage Service Encryption biedt een geautomatiseerde manier om aan deze vereisten te voldoen zonder complexe configuratie of aanzienlijke operationele overhead. De BIO-normen zijn specifiek ontwikkeld voor de Nederlandse publieke sector en bieden een praktisch kader voor het implementeren van informatiebeveiliging in overeenstemming met Nederlandse wet- en regelgeving. De Algemene Verordening Gegevensbescherming (AVG) Artikel 32 vereist passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen, waarbij versleuteling expliciet wordt genoemd als een geschikte technische maatregel. Voor organisaties die persoonsgegevens verwerken in Azure Storage Accounts, is versleuteling daarom niet alleen een best practice, maar een wettelijke verplichting die kan leiden tot aanzienlijke boetes en reputatieschade bij niet-naleving. De AVG is van toepassing op alle organisaties die persoonsgegevens verwerken, ongeacht of zij in de publieke of private sector actief zijn, waardoor versleuteling een universele vereiste is geworden voor moderne organisaties. Daarnaast vereist ISO 27001 controle A.10.1.1 cryptografische controles voor de bescherming van informatie, en NIS2 Artikel 21 verplicht versleuteling van gegevens in rust voor kritieke systemen. ISO 27001 is een internationaal erkende standaard voor informatiebeveiligingsmanagement, waardoor naleving van deze controles belangrijk is voor organisaties die werken met internationale partners of die ISO-certificering nastreven. NIS2 is de Europese richtlijn voor netwerk- en informatiesystemenbeveiliging, die specifieke vereisten stelt aan organisaties die worden aangemerkt als essentiële of belangrijke entiteiten, waaronder veel Nederlandse overheidsorganisaties en kritieke infrastructuurbedrijven. Tijdens compliance-audits moet worden aangetoond dat alle opslagaccounts versleuteld zijn, waarbij verificatieresultaten en documentatie van de versleutelingsconfiguratie moeten worden overlegd. Deze documentatie moet niet alleen aantonen dat versleuteling is ingeschakeld, maar ook dat er regelmatige verificaties worden uitgevoerd en dat eventuele afwijkingen worden geïdentificeerd en opgelost. Voor organisaties die gebruik maken van door klanten beheerde sleutels, moet ook worden aangetoond dat de sleutels veilig worden beheerd in Azure Key Vault met de juiste toegangsbeperkingen en rotatieprocedures. Dit omvat documentatie van sleutelrotatieprocedures, toegangsbeperkingen, en bewijs dat sleutels worden beheerd in overeenstemming met organisatorische en wettelijke vereisten. De verificatie van versleuteling moet regelmatig worden uitgevoerd en gedocumenteerd, bij voorkeur als onderdeel van een geautomatiseerd compliance-monitoringsproces dat proactief waarschuwt bij afwijkingen en automatisch rapporten genereert voor auditdoeleinden. Auditlogboeken moeten worden bijgehouden met een bewaartermijn van minimaal zeven jaar voor compliance-doeleinden, inclusief timestamps, versleutelingsstatus per opslagaccount, en eventuele configuratiewijzigingen. Deze logboeken vormen een essentieel onderdeel van de audit trail die nodig is om compliance aan te tonen en om eventuele beveiligingsincidenten te kunnen onderzoeken. Organisaties moeten kunnen aantonen dat zij proactief monitoren op naleving van versleutelingsvereisten en dat zij onmiddellijk actie ondernemen bij eventuele afwijkingen, wat niet alleen belangrijk is voor compliance maar ook voor het behouden van een sterke beveiligingspostuur in een steeds complexere bedreigingsomgeving.
Remediatie
Gebruik PowerShell-script storage-encryption-enabled.ps1 (functie Invoke-Remediation) – Herstellen.
Remediatie voor Azure Storage Service Encryption is in de praktijk zelden noodzakelijk, aangezien versleuteling sinds 2017 verplicht en automatisch is ingeschakeld op alle Azure Storage Accounts zonder mogelijkheid tot uitschakeling. Deze automatische inschakeling betekent dat nieuwe opslagaccounts die na 2017 zijn aangemaakt automatisch versleuteld zijn zonder enige configuratie-inspanning van de organisatie, wat een aanzienlijke vereenvoudiging betekent voor beveiligingsbeheerders en compliance-officers. Echter, in het uiterst zeldzame scenario dat een legacy opslagaccount wordt aangetroffen zonder actieve versleuteling, moet onmiddellijk actie worden ondernomen om de beveiligingspostuur te herstellen en te voldoen aan compliance-vereisten. Deze scenario's zijn uiterst zeldzaam omdat Microsoft alle bestaande accounts automatisch heeft geüpgraded, maar organisaties moeten toch voorbereid zijn op deze mogelijkheid om snel te kunnen reageren wanneer een dergelijke situatie wordt geconstateerd. De remediatieprocedure begint met identificatie van het specifieke opslagaccount dat niet voldoet aan de versleutelingsvereisten. Dit gebeurt via de verificatiescript die alle opslagaccounts controleert en eventuele afwijkingen rapporteert, waarbij de script gedetailleerde informatie verschaft over de exacte status van elk opslagaccount en specifieke aanbevelingen doet voor remediatie. Zodra een niet-versleuteld opslagaccount is geïdentificeerd, moet versleuteling worden geactiveerd via de Azure Portal of PowerShell, waarbij beide methoden even effectief zijn maar verschillende voordelen bieden afhankelijk van de voorkeuren en workflows van de organisatie. In de Azure Portal kan versleuteling worden ingeschakeld via de sectie Versleuteling in de opslagaccountinstellingen, waarbij kan worden gekozen voor Microsoft-beheerde sleutels of klant-beheerde sleutels via Azure Key Vault. De Azure Portal-interface biedt een gebruiksvriendelijke manier om versleuteling te configureren, met duidelijke instructies en visuele feedback over de configuratiestatus, wat ideaal is voor beheerders die de voorkeur geven aan een grafische interface boven command-line tools. Voor organisaties die volledige controle over versleutelingssleutels vereisen, moet eerst een Key Vault worden geconfigureerd met de juiste toegangsbeperkingen en machtigingen voor de opslagaccountbeheerde identiteit. Deze configuratie omvat het inschakelen van soft delete en purge protection op de Key Vault om te voorkomen dat sleutels per ongeluk worden verwijderd, het configureren van toegangsbeleid dat de opslagaccountbeheerde identiteit toestaat om de sleutel te gebruiken, en het verifiëren dat de sleutel zelf voldoet aan de organisatorische vereisten voor sleutellengte en algoritme. De remediatieprocedure moet worden uitgevoerd door een beheerder met voldoende machtigingen, bij voorkeur met de rol Opslagaccount Inzender of Inzender, om ervoor te zorgen dat alle benodigde configuratiewijzigingen kunnen worden doorgevoerd zonder belemmeringen. Het is belangrijk te benadrukken dat het activeren van versleuteling op een bestaand opslagaccount geen impact heeft op de beschikbaarheid van gegevens of applicaties, aangezien versleuteling transparant werkt zonder prestatieverlies. Dit betekent dat organisaties versleuteling kunnen activeren zonder downtime of service-onderbrekingen, wat cruciaal is voor productieomgevingen waar beschikbaarheid van essentieel belang is. De versleuteling werkt op de opslaglaag, wat betekent dat applicaties die gebruik maken van de opslagaccount geen wijzigingen hoeven aan te brengen aan hun code of configuratie, waardoor de implementatie naadloos verloopt zonder impact op bestaande workflows. Na activering van versleuteling moet de status opnieuw worden geverifieerd om te bevestigen dat de remediatie succesvol is voltooid, waarbij de verificatie dezelfde procedure volgt als de initiële controle maar nu met de verwachting dat alle opslagaccounts versleuteld zijn. Deze verificatie is essentieel om te bevestigen dat de remediatie daadwerkelijk effectief is geweest en dat de organisatie weer voldoet aan alle versleutelingsvereisten. Alle remediatie-acties moeten worden gedocumenteerd voor auditdoeleinden, inclusief timestamp, betrokken opslagaccount, uitgevoerde acties, en verificatie van het resultaat. Deze documentatie vormt een essentieel onderdeel van de audit trail en is nodig om aan te tonen dat de organisatie proactief heeft gehandeld om beveiligingsrisico's te mitigeren en te voldoen aan compliance-vereisten. Voor organisaties die gebruik maken van geautomatiseerde compliance-monitoring, kan Azure Policy worden geconfigureerd om automatisch te waarschuwen of te handelen wanneer een opslagaccount wordt aangetroffen zonder actieve versleuteling, hoewel dit scenario praktisch niet meer voorkomt in moderne Azure-omgevingen. Deze geautomatiseerde monitoring biedt een extra laag van beveiliging en compliance, waarbij organisaties kunnen vertrouwen op automatische detectie en melding van eventuele afwijkingen zonder handmatige interventie, wat bijdraagt aan een robuuste en proactieve beveiligingspostuur.
Compliance & Frameworks
- CIS M365: Control 3.2 (L1) - versleuteling bij rest
- BIO: 10.01 - versleuteling
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Storage Encryption Enabled
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 3.26
Controleert of storage encryption is ingeschakeld.
.NOTES
Filename: storage-encryption-enabled.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 3.26
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Storage
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Storage Encryption Enabled"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$storageAccounts = Get-AzStorageAccount -ErrorAction SilentlyContinue
$result = @{ TotalAccounts = $storageAccounts.Count; EncryptionEnabled = 0 }
foreach ($account in $storageAccounts) {
if ($account.Encryption.Services.Blob.Enabled -and $account.Encryption.Services.File.Enabled) {
$result.EncryptionEnabled++
}
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Storage Accounts: $($r.TotalAccounts)" -ForegroundColor White
Write-Host "Encryption Enabled: $($r.EncryptionEnabled)" -ForegroundColor $(if ($r.EncryptionEnabled -eq $r.TotalAccounts) { 'Green' } else { 'Yellow' })
}
else {
$r = Test-Compliance
Write-Host "`nEncryption Enabled: $($r.EncryptionEnabled)/$($r.TotalAccounts) accounts"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Storage Accounts: $($r.TotalAccounts)" -ForegroundColor White
Write-Host "Encryption Enabled: $($r.EncryptionEnabled)" -ForegroundColor $(if ($r.EncryptionEnabled -eq $r.TotalAccounts) { 'Green' } else { 'Yellow' })
}
else {
$r = Test-Compliance
Write-Host "`nEncryption Enabled: $($r.EncryptionEnabled)/$($r.TotalAccounts) accounts"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
High: Versleuteling is standaard ingeschakeld - verifieer naleving. Naleving: CIS 3.2, BIO 10.01. Het risico is laag.
Management Samenvatting
Alternatieve verificatie voor opslagversleuteling. Zie storage-encryption-at-rest.json voor volledige verificatie-instructies (standaard ingeschakeld). Verplicht CIS 3.2.
- Implementatietijd: 0.5 uur
- FTE required: 0.01 FTE