BIO 09.01 ISO A.9.2

Gedecentraliseerde Identiteitsarchitectuur: Implementatie En Beveiliging

📅 2025-01-20
⏱️ 25 minuten lezen
🟢 Advanced

💼 Management Samenvatting

Gedecentraliseerde identiteitsarchitectuur vertegenwoordigt een fundamentele verschuiving in de manier waarop digitale identiteiten worden beheerd, waarbij gebruikers controle krijgen over hun eigen identiteitsgegevens zonder afhankelijkheid van centrale autoriteiten. Deze architectuur biedt nieuwe mogelijkheden voor privacy, interoperabiliteit en gebruikerscontrole, maar vereist zorgvuldige planning en implementatie om beveiligingsrisico's te voorkomen.

Aanbeveling
CONSIDER
Risico zonder
Medium
Risk Score
6/10
Implementatie
64u (tech: 40u)
Van toepassing op:
Azure AD
Entra ID
Microsoft 365
Microsoft Entra Verified ID

Traditionele identiteitssystemen zijn gebaseerd op centrale autoriteiten zoals identity providers die volledige controle hebben over gebruikersidentiteiten en toegang tot alle identiteitsgegevens. Dit model creëert verschillende problemen voor Nederlandse overheidsorganisaties. Vendor lock-in ontstaat wanneer organisaties afhankelijk zijn van één centrale identity provider, waardoor migratie naar alternatieve oplossingen moeilijk wordt en organisaties kwetsbaar zijn voor wijzigingen in dienstvoorwaarden of prijsstelling. Privacy-uitdagingen ontstaan omdat centrale identity providers toegang hebben tot alle identiteitsgegevens van gebruikers, wat kan leiden tot ongewenste profilering en schending van privacyrechten. Single points of failure ontstaan wanneer centrale systemen uitvallen, waardoor alle gebruikers worden getroffen en kritieke diensten niet meer toegankelijk zijn. Interoperabiliteitsproblemen ontstaan wanneer verschillende organisaties verschillende identity providers gebruiken, waardoor het moeilijk wordt om identiteiten te delen en te verifiëren tussen organisaties. Compliance-uitdagingen ontstaan omdat organisaties moeten kunnen aantonen dat identiteitsgegevens correct worden beheerd en dat gebruikersrechten worden gerespecteerd, wat moeilijk is wanneer identiteitsgegevens worden beheerd door externe partijen. Gedecentraliseerde identiteitsarchitectuur lost deze problemen op door gebruikers controle te geven over hun eigen identiteitsgegevens via self-sovereign identity principes, interoperabiliteit te bieden via open standaarden zoals W3C Verifiable Credentials en DID, privacy te verbeteren door minimale gegevensuitwisseling en zero-knowledge proofs, en veerkracht te bieden door het elimineren van single points of failure. Deze architectuur is essentieel voor organisaties die moeten voldoen aan AVG-vereisten voor privacy by design, BIO-normen voor toegangscontrole, en NIS2-vereisten voor beveiliging van kritieke infrastructuur.

PowerShell Modules Vereist
Primary API: Microsoft Graph
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph.Identity.DirectoryManagement, Microsoft.Graph.Applications

Implementatie

Dit artikel beschrijft een complete aanpak voor het implementeren en beveiligen van gedecentraliseerde identiteitsarchitectuur binnen Nederlandse overheidsorganisaties. We behandelen de architectuurprincipes en fundamenten van gedecentraliseerde identiteit, de implementatie van Microsoft Entra Verified ID voor verifiable credentials, het ontwerp van DID-infrastructuur en key management, de beveiliging van credential issuance en verification workflows, en de integratie met bestaande identiteitssystemen. Daarnaast laten we zien hoe u met geautomatiseerde controles kunt borgen dat gedecentraliseerde identiteitssystemen voldoen aan beveiligingsstandaarden, dat credentials veilig worden uitgegeven en geverifieerd, en dat alle activiteiten worden gemonitord en geaudit. De implementatie omvat het opzetten van een DID-infrastructuur, het configureren van Microsoft Entra Verified ID, het implementeren van credential issuance workflows, en het automatiseren van monitoring en reporting. Deze maatregel is advanced voor organisaties die geavanceerde privacy- en interoperabiliteitsvereisten hebben en voldoet aan AVG Artikel 25 voor privacy by design, BIO norm 09.01 voor toegangscontrole, en NIS2 Artikel 8 voor risicobeheer.

Architectuurprincipes en Fundamenten van Gedecentraliseerde Identiteit

Gedecentraliseerde identiteitsarchitectuur is gebaseerd op fundamentele principes die verschillen van traditionele gecentraliseerde identiteitssystemen. Het eerste principe is self-sovereign identity, waarbij gebruikers volledige controle hebben over hun eigen identiteitsgegevens zonder afhankelijkheid van centrale autoriteiten. Gebruikers kunnen zelf beslissen welke identiteitsgegevens ze delen, met wie ze deze delen, en voor hoe lang. Dit principe is essentieel voor privacy by design en voldoet aan AVG-vereisten voor gebruikerscontrole over persoonsgegevens. Het tweede principe is interoperabiliteit via open standaarden, waarbij verschillende systemen en organisaties kunnen samenwerken zonder afhankelijkheid van specifieke vendors of technologieën. W3C Verifiable Credentials en Decentralized Identifiers (DID) zijn de belangrijkste standaarden die deze interoperabiliteit mogelijk maken. Deze standaarden zorgen ervoor dat credentials die door één organisatie worden uitgegeven, kunnen worden geverifieerd door andere organisaties zonder gedeelde infrastructuur of centrale autoriteit. Decentralized Identifiers (DID) zijn unieke identifiers die niet afhankelijk zijn van centrale registratiesystemen. Een DID bestaat uit een unieke identifier en een DID document dat de publieke sleutels, service endpoints, en andere metadata bevat die nodig zijn voor verificatie en communicatie. DID's worden opgeslagen in gedecentraliseerde registries zoals blockchain-netwerken of distributed hash tables, waardoor ze wereldwijd toegankelijk zijn zonder centrale autoriteit. DID's kunnen worden gebruikt voor verschillende doeleinden, zoals authenticatie, autorisatie, en verificatie van credentials. Voor Nederlandse overheidsorganisaties is het belangrijk om te kiezen voor DID-methoden die voldoen aan privacy- en beveiligingsvereisten, zoals did:web voor web-based DID's of did:key voor self-contained DID's. Verifiable Credentials zijn cryptografisch beveiligde digitale credentials die kunnen worden uitgegeven door trusted issuers en geverifieerd door verifiers zonder dat de issuer betrokken hoeft te zijn bij de verificatie. Een Verifiable Credential bevat claims over een subject, zoals naam, geboortedatum, of kwalificaties, en is cryptografisch ondertekend door de issuer. De credential kan worden opgeslagen in een wallet die door de gebruiker wordt beheerd, en kan worden gedeeld met verifiers wanneer nodig. Zero-knowledge proofs kunnen worden gebruikt om te bewijzen dat een credential bepaalde eigenschappen heeft zonder de volledige credential te onthullen, wat de privacy verder verbetert. Voor Nederlandse overheidsorganisaties zijn Verifiable Credentials bijzonder waardevol voor het uitgeven van officiële documenten zoals identiteitsbewijzen, diploma's, of certificeringen die kunnen worden geverifieerd zonder contact met de uitgevende organisatie. Key management is een kritiek onderdeel van gedecentraliseerde identiteitsarchitectuur omdat gebruikers zelf verantwoordelijk zijn voor het beheren van hun cryptografische sleutels. Verlies van sleutels kan leiden tot permanent verlies van toegang tot identiteitsgegevens, terwijl compromittering van sleutels kan leiden tot identiteitsdiefstal. Organisaties moeten gebruikers ondersteunen bij key management door gebruiksvriendelijke wallet-oplossingen te bieden, back-up en recovery mechanismen te implementeren, en gebruikers te trainen in veilig key management. Hardware security modules (HSM) kunnen worden gebruikt voor het veilig opslaan van sleutels, en multi-signature schemes kunnen worden gebruikt om het risico van sleutelverlies te verminderen. Voor Nederlandse overheidsorganisaties is het belangrijk om key management-oplossingen te kiezen die voldoen aan beveiligingsstandaarden zoals Common Criteria of FIPS 140-2.

Implementatie van Microsoft Entra Verified ID

Microsoft Entra Verified ID is een cloudgebaseerde service die organisaties in staat stelt om verifiable credentials uit te geven en te verifiëren zonder dat zij zelf een volledige gedecentraliseerde identiteitsinfrastructuur hoeven te bouwen en te beheren. De service is gebouwd op W3C Verifiable Credentials standaarden en biedt een beheerd platform voor credential issuance en verification. Voor Nederlandse overheidsorganisaties biedt Microsoft Entra Verified ID een praktische manier om gedecentraliseerde identiteit te implementeren zonder de complexiteit van het bouwen en beheren van eigen infrastructuur. De implementatie begint met het configureren van een Azure AD-tenant voor Microsoft Entra Verified ID. Organisaties moeten een Azure AD-tenant hebben met de juiste licenties, en moeten Microsoft Entra Verified ID inschakelen in de Azure Portal. Na inschakeling kunnen organisaties credential types definiëren, waarbij wordt vastgelegd welke claims een credential bevat, welke verificatiemethoden worden gebruikt, en welke beveiligingsvereisten gelden. Credential types kunnen worden aangepast aan specifieke use cases, zoals werknemersidentificatie, bezoekersverificatie, of diploma-uitgifte. Voor Nederlandse overheidsorganisaties is het belangrijk om credential types te definiëren die voldoen aan privacy- en beveiligingsvereisten, en die compatibel zijn met bestaande identiteitssystemen. Credential issuance workflows bepalen hoe credentials worden uitgegeven aan gebruikers. Het workflow begint wanneer een gebruiker een verzoek indient voor een credential, bijvoorbeeld via een webapplicatie of mobiele app. De organisatie verifieert de identiteit van de gebruiker en valideert de claims die in de credential moeten worden opgenomen. Na verificatie wordt de credential uitgegeven en opgeslagen in de wallet van de gebruiker. Het workflow moet worden geautomatiseerd waar mogelijk om efficiëntie te verbeteren en menselijke fouten te voorkomen, maar moet ook flexibel zijn om verschillende use cases te ondersteunen. Voor Nederlandse overheidsorganisaties is het belangrijk om issuance workflows te ontwerpen die voldoen aan compliance-vereisten, zoals het vastleggen van alle issuance-activiteiten voor audit-doeleinden en het implementeren van beveiligingscontroles om fraude te voorkomen. Credential verification workflows bepalen hoe verifiers credentials kunnen verifiëren zonder contact met de issuer. Het workflow begint wanneer een verifier een verzoek indient om een credential te verifiëren, bijvoorbeeld bij toegang tot een gebouw of online dienst. De gebruiker deelt de credential met de verifier, die de cryptografische handtekening verifieert en de claims valideert. De verifier kan ook controleren of de credential niet is ingetrokken door de issuer. Het workflow moet gebruiksvriendelijk zijn voor zowel gebruikers als verifiers, en moet privacy beschermen door alleen de minimale informatie te onthullen die nodig is voor verificatie. Voor Nederlandse overheidsorganisaties is het belangrijk om verification workflows te ontwerpen die voldoen aan privacy-vereisten, zoals het gebruik van zero-knowledge proofs waar mogelijk en het minimaliseren van gegevensuitwisseling.

Gebruik PowerShell-script decentralized-identity-architecture.ps1 (functie Invoke-Implementation) – Ondersteunt de implementatie van Microsoft Entra Verified ID door credential types te configureren en workflows te automatiseren.

Monitoring en Auditing van Gedecentraliseerde Identiteitssystemen

Gebruik PowerShell-script decentralized-identity-architecture.ps1 (functie Invoke-Monitoring) – Monitort gedecentraliseerde identiteitssystemen op beveiligingsrisico's en compliance-problemen.

Effectieve monitoring en auditing van gedecentraliseerde identiteitssystemen is essentieel om te garanderen dat beveiligingsrisico's tijdig worden gedetecteerd en dat compliance-vereisten worden nageleefd. Monitoring moet zowel proactief als reactief gebeuren om een volledig beeld te krijgen van de beveiligingsstatus van het systeem. Proactieve monitoring omvat het regelmatig controleren van credential issuance en verification activiteiten op verdachte patronen, het monitoren van key management-activiteiten op ongebruikelijke toegang, en het controleren van DID-registries op wijzigingen. Reactieve monitoring omvat het analyseren van audit logs om verdachte activiteiten te detecteren, zoals pogingen tot ongeautoriseerde credential issuance of verificatie van ingetrokken credentials. De primaire monitoringactiviteit is het bijhouden van een centraal register van alle uitgegeven credentials, inclusief informatie over issuer, subject, credential type, issuance-datum, en status. Deze inventaris moet regelmatig worden bijgewerkt en moet worden gebruikt om trends te identificeren in credential issuance, zoals welke credential types het meest worden uitgegeven, welke gebruikers de meeste credentials hebben ontvangen, en welke beveiligingsproblemen het meest voorkomen. De inventaris moet ook worden gebruikt om te controleren of alle credentials een gedocumenteerde issuer hebben, of credentials regelmatig worden gereviewed, en of ingetrokken credentials correct worden afgehandeld. Het monitoren van credential issuance moet aandacht besteden aan verdachte patronen die kunnen wijzen op fraude of misbruik. Security teams moeten regelmatig controleren of er ongebruikelijke aantallen credentials worden uitgegeven, of er credentials worden uitgegeven buiten normale werkuren, of er credentials worden uitgegeven aan gebruikers die niet voldoen aan de vereisten, en of er pogingen zijn om credentials uit te geven met vervalste claims. Deze monitoring helpt om fraude tijdig te detecteren en om te voorkomen dat ongeldige credentials worden gebruikt voor toegang tot systemen of diensten. Het monitoren van credential verification moet aandacht besteden aan verdachte activiteiten die kunnen wijzen op misbruik of aanvallen. Security teams moeten regelmatig controleren of er ongebruikelijke aantallen verificaties plaatsvinden, of er verificaties plaatsvinden buiten normale patronen, of er pogingen zijn om ingetrokken credentials te verifiëren, en of er pogingen zijn om credentials te verifiëren met vervalste handtekeningen. Deze monitoring helpt om aanvallen tijdig te detecteren en om te voorkomen dat ongeldige credentials worden gebruikt voor toegang. Azure AD Audit Logs bevatten waardevolle informatie over alle activiteiten in Microsoft Entra Verified ID, inclusief credential issuance, verificatie, en key management. Deze logs moeten regelmatig worden geanalyseerd om verdachte activiteiten te detecteren, zoals ongebruikelijke issuance-activiteiten, pogingen tot ongeautoriseerde verificatie, of wijzigingen aan credential types buiten het normale proces om. Voor geavanceerde monitoring kunnen organisaties gebruik maken van Azure Sentinel of andere Security Information and Event Management (SIEM) systemen om automatische waarschuwingen in te stellen voor verdachte activiteiten. Bijvoorbeeld, een waarschuwing kan worden geconfigureerd wanneer een groot aantal credentials wordt uitgegeven in korte tijd, wanneer een credential wordt geverifieerd dat al is ingetrokken, of wanneer er wijzigingen worden aangebracht aan credential types buiten het normale proces om. Het monitoren van key management is bijzonder belangrijk omdat compromittering van sleutels kan leiden tot identiteitsdiefstal en ongeautoriseerde toegang. Monitoring moet controleren of sleutels regelmatig worden geroteerd, of oude sleutels worden verwijderd na rotatie, en of er verdachte activiteiten zijn met betrekking tot sleutels. Azure Key Vault biedt logging en monitoring mogelijkheden die kunnen worden gebruikt om te controleren wie toegang heeft tot sleutels, wanneer sleutels worden gebruikt, en of er verdachte activiteiten zijn. Deze logs moeten regelmatig worden geanalyseerd om potentiële beveiligingsincidenten tijdig te detecteren. Voor compliance en auditing doeleinden moeten alle monitoringactiviteiten worden gedocumenteerd en moeten er regelmatig rapporten worden gegenereerd die aantonen dat gedecentraliseerde identiteitssystemen correct worden beheerd en gemonitord. Deze rapporten moeten informatie bevatten over het aantal uitgegeven credentials, het aantal verificaties, het aantal ingetrokken credentials, en eventuele beveiligingsproblemen die zijn geïdentificeerd. Voor organisaties die moeten voldoen aan normen zoals ISO 27001 of de BIO-normen, zijn deze rapporten vaak een vereiste voor certificering en moeten ze regelmatig worden aangeboden aan auditors en toezichthouders.

Compliance en Naleving voor Gedecentraliseerde Identiteit

Effectieve implementatie van gedecentraliseerde identiteitsarchitectuur is essentieel voor het voldoen aan verschillende compliance-vereisten die relevant zijn voor Nederlandse overheidsorganisaties. De Baseline Informatiebeveiliging Overheid (BIO) norm 09.01 vereist dat organisaties passende maatregelen treffen voor toegangscontrole en authenticatie, wat direct van toepassing is op gedecentraliseerde identiteitssystemen die worden gebruikt voor toegangscontrole. Organisaties moeten kunnen aantonen dat toegang tot systemen en gegevens wordt gecontroleerd en dat alleen geautoriseerde gebruikers toegang hebben. Dit betekent dat er een gestructureerd proces moet zijn voor het uitgeven en verifiëren van credentials, dat alle credentials worden gedocumenteerd, en dat regelmatig wordt gecontroleerd of credentials nog geldig zijn en of de toegekende rechten nog steeds passend zijn. Voor organisaties die moeten voldoen aan de Algemene Verordening Gegevensbescherming (AVG) is het essentieel om te kunnen aantonen dat identiteitsgegevens correct worden beheerd en dat gebruikersrechten worden gerespecteerd. Artikel 25 van de AVG vereist dat organisaties passende technische en organisatorische maatregelen implementeren om gegevensbescherming door ontwerp en door standaardinstellingen te waarborgen. Gedecentraliseerde identiteitsarchitectuur draagt direct bij aan deze vereiste door gebruikers controle te geven over hun eigen identiteitsgegevens, door minimale gegevensuitwisseling te faciliteren, en door privacy by design te implementeren. Voor credentials die toegang hebben tot persoonsgegevens moet een Data Protection Impact Assessment (DPIA) worden uitgevoerd en gedocumenteerd. De NIS2-richtlijn Artikel 8 vereist dat organisaties passende risicobeheerprocessen implementeren voor het beveiligen van kritieke infrastructuur, wat van toepassing is op identiteitssystemen die worden gebruikt voor toegang tot kritieke systemen. Gedecentraliseerde identiteitsarchitectuur kan bijdragen aan deze vereiste door veerkracht te bieden tegen single points of failure en door interoperabiliteit te faciliteren tussen verschillende organisaties. Organisaties moeten kunnen aantonen dat gedecentraliseerde identiteitssystemen correct worden beheerd en gemonitord, en dat beveiligingsincidenten tijdig worden gedetecteerd en afgehandeld. ISO 27001 controle A.9.2 vereist dat organisaties ervoor zorgen dat gebruikers toegang krijgen tot systemen en diensten op basis van hun rol en verantwoordelijkheden, wat van toepassing is op gedecentraliseerde identiteitssystemen die worden gebruikt voor toegangscontrole. Door credentials te gebruiken die specifieke claims bevatten over gebruikersrollen en verantwoordelijkheden, kunnen organisaties deze principes volgen. De ISO 27001 standaard vereist ook dat organisaties regelmatig controleren of toegangsrechten nog steeds passend zijn, wat betekent dat regelmatige reviews van credentials moeten worden uitgevoerd en gedocumenteerd. Voor auditing doeleinden is het belangrijk dat organisaties kunnen aantonen dat gedecentraliseerde identiteitssystemen correct worden beheerd en gemonitord. Dit betekent dat er documentatie moet zijn die aantoont dat er een gedefinieerd proces is voor het uitgeven en verifiëren van credentials, dat er een centraal register is van alle uitgegeven credentials, dat regelmatige security reviews worden uitgevoerd, en dat ingetrokken credentials correct worden afgehandeld. Deze documentatie moet worden bewaard voor de vereiste bewaarperiode, die voor veel organisaties zeven jaar is. Auditlogs uit Microsoft Entra Verified ID kunnen worden gebruikt om te verifiëren dat credentials correct worden uitgegeven en geverifieerd, dat security reviews zijn uitgevoerd, en dat er geen ongeautoriseerde wijzigingen zijn aangebracht aan credential types.

Remediatie en Verbetering van Gedecentraliseerde Identiteitssystemen

Gebruik PowerShell-script decentralized-identity-architecture.ps1 (functie Invoke-Remediation) – Identificeert en adresseert beveiligingsproblemen in gedecentraliseerde identiteitssystemen.

Wanneer tijdens monitoring of auditing wordt vastgesteld dat gedecentraliseerde identiteitssystemen niet correct worden beheerd of dat er beveiligingsproblemen zijn geïdentificeerd, moet onmiddellijk actie worden ondernomen om deze problemen te verhelpen. Remediatie is het proces waarbij beveiligingsproblemen worden geïdentificeerd, geëvalueerd, en opgelost om te garanderen dat gedecentraliseerde identiteitssystemen voldoen aan beveiligingsstandaarden en compliance-vereisten. Voor credentials die mogelijk zijn gecompromitteerd of die niet meer geldig zijn, moet onmiddellijk actie worden ondernomen om deze credentials in te trekken. Het intrekken van credentials moet worden gedocumenteerd en moet worden gecommuniceerd naar alle verifiers die deze credentials mogelijk gebruiken. Na intrekking moeten gebruikers worden geïnformeerd over de reden voor intrekking en moeten nieuwe credentials worden uitgegeven indien nodig. Het intrekken van credentials moet worden geautomatiseerd waar mogelijk om te garanderen dat intrekking consistent wordt uitgevoerd en om te voorkomen dat ingetrokken credentials nog worden gebruikt. Voor credentials met onjuiste claims of claims die niet meer accuraat zijn, moet een beoordeling worden uitgevoerd om te bepalen of de credentials moeten worden bijgewerkt of ingetrokken. Als claims kunnen worden bijgewerkt, moeten nieuwe credentials worden uitgegeven met de juiste claims. Als claims niet kunnen worden bijgewerkt of als de credentials niet meer nodig zijn, moeten de credentials worden ingetrokken. Het bijwerken van credentials moet worden gedocumenteerd en moet worden gecommuniceerd naar gebruikers. Voor key management-problemen zoals verloren sleutels of gecompromitteerde sleutels, moet onmiddellijk actie worden ondernomen om de impact te beperken. Verloren sleutels kunnen leiden tot permanent verlies van toegang tot identiteitsgegevens, terwijl gecompromitteerde sleutels kunnen leiden tot identiteitsdiefstal. Organisaties moeten recovery-procedures hebben voor verloren sleutels, zoals back-up sleutels of multi-signature schemes. Voor gecompromitteerde sleutels moeten alle credentials die gebruik maken van deze sleutels worden ingetrokken en moeten nieuwe sleutels worden gegenereerd. Voor DID-registries die niet correct worden beheerd of die beveiligingsproblemen hebben, moet een beoordeling worden uitgevoerd om te bepalen welke maatregelen nodig zijn om de registry te beveiligen. Dit kan betekenen dat de registry moet worden bijgewerkt, dat aanvullende beveiligingsmaatregelen moeten worden geïmplementeerd, of dat de registry moet worden gemigreerd naar een meer beveiligde omgeving. Als de registry niet kan worden beveiligd, moeten DID's worden gemigreerd naar een nieuwe registry. Na het voltooien van remediatie moet een rapport worden opgesteld dat documenteert welke problemen zijn geïdentificeerd, hoe ze zijn opgelost, en welke maatregelen zijn genomen om te voorkomen dat de problemen opnieuw optreden. Dit rapport moet worden gedeeld met de relevante stakeholders, inclusief IT Security, compliance officers, en management, en moet worden bewaard voor audit doeleinden. Om te voorkomen dat problemen opnieuw optreden, moeten preventieve maatregelen worden geïmplementeerd, zoals het verbeteren van monitoring, het versterken van beveiligingscontroles, of het automatiseren van intrekking en bijwerking van credentials.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Gedecentraliseerde Identiteitsarchitectuur: Implementatie en Beveiliging .DESCRIPTION Ondersteunt de implementatie en beveiliging van gedecentraliseerde identiteitsarchitectuur door monitoring, credential management, en lifecycle management te faciliteren. .NOTES Filename: decentralized-identity-architecture.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/identity/decentralized-identity-architecture.json #> #Requires -Version 5.1 #Requires -Modules Microsoft.Graph.Identity.DirectoryManagement, Microsoft.Graph.Applications [CmdletBinding()] param( [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Implementation, [Parameter()][switch]$DebugMode ) $ErrorActionPreference = 'Stop' function Connect-RequiredServices { try { $context = Get-MgContext -ErrorAction SilentlyContinue if (-not $context) { Connect-MgGraph -Scopes "Application.Read.All", "Directory.Read.All", "AuditLog.Read.All" -ErrorAction Stop | Out-Null } } catch { Write-Warning "Microsoft Graph verbinding niet beschikbaar: $_" throw } } function Get-VerifiedIdConfiguration { <# .SYNOPSIS Haalt Microsoft Entra Verified ID configuratie op #> try { if ($DebugMode) { Write-Host "DebugMode: Simuleert Verified ID configuratie ophalen" -ForegroundColor Yellow return [PSCustomObject]@{ TenantId = "00000000-0000-0000-0000-000000000000" VerifiedIdEnabled = $true CredentialTypes = @( [PSCustomObject]@{ Id = "00000000-0000-0000-0000-000000000001" Name = "Employee Credential" Status = "Active" } ) } } # Microsoft Entra Verified ID configuratie ophalen via Microsoft Graph # Opmerking: Deze functionaliteit vereist specifieke Microsoft Graph API endpoints # die mogelijk nog in preview zijn Write-Host "[INFO] Microsoft Entra Verified ID configuratie ophalen..." -ForegroundColor Cyan # Placeholder voor daadwerkelijke API-aanroep wanneer beschikbaar Write-Warning "Microsoft Entra Verified ID Graph API endpoints zijn mogelijk nog in preview" return $null } catch { Write-Warning "Fout bij ophalen Verified ID configuratie: $_" return $null } } function Test-CredentialSecurity { <# .SYNOPSIS Test of credentials voldoen aan beveiligingsstandaarden #> param( [Parameter(Mandatory=$true)] $Credential ) $results = @{ IsValid = $false IsRevoked = $false HasValidSignature = $false IsExpired = $false Details = @() } try { if ($DebugMode) { $results.IsValid = $true $results.HasValidSignature = $true $results.IsExpired = $false $results.IsRevoked = $false } else { # Controleer credential validiteit # Opmerking: Deze functionaliteit vereist specifieke verificatie-logica # die afhankelijk is van de credential structuur en verificatiemethode Write-Host "[INFO] Credential beveiligingscontrole vereist specifieke verificatie-logica" -ForegroundColor Yellow } $results.Details = @( [PSCustomObject]@{ Component = "Validiteit"; Status = if ($results.IsValid) { "Geldig" } else { "Ongeldig" } } [PSCustomObject]@{ Component = "Handtekening"; Status = if ($results.HasValidSignature) { "Geldig" } else { "Ongeldig" } } [PSCustomObject]@{ Component = "Vervaldatum"; Status = if ($results.IsExpired) { "Verlopen" } else { "Geldig" } } [PSCustomObject]@{ Component = "Status"; Status = if ($results.IsRevoked) { "Ingetrokken" } else { "Actief" } } ) } catch { Write-Warning "Fout bij beveiligingscontrole credential: $_" } return $results } function Invoke-Implementation { <# .SYNOPSIS Ondersteunt de implementatie van Microsoft Entra Verified ID #> [CmdletBinding()] param( [Parameter(Mandatory=$false)] [string]$CredentialTypeName, [Parameter(Mandatory=$false)] [string[]]$Claims, [Parameter(Mandatory=$false)] [string]$IssuerName ) Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "MICROSOFT ENTRA VERIFIED ID IMPLEMENTATIE" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "" try { if (-not $DebugMode) { Connect-RequiredServices } Write-Host "[INFO] Microsoft Entra Verified ID implementatie vereist handmatige configuratie" -ForegroundColor Yellow Write-Host "" Write-Host "De volgende stappen zijn vereist voor implementatie:" -ForegroundColor Cyan Write-Host "" Write-Host "1. AZURE AD TENANT CONFIGURATIE" -ForegroundColor Yellow Write-Host " - Schakel Microsoft Entra Verified ID in via Azure Portal" -ForegroundColor Gray Write-Host " - Configureer Azure AD-tenant met de juiste licenties" -ForegroundColor Gray Write-Host " - Verifieer tenant-configuratie en beveiligingsinstellingen" -ForegroundColor Gray Write-Host "" Write-Host "2. CREDENTIAL TYPE DEFINITIE" -ForegroundColor Yellow Write-Host " - Definieer credential type: $CredentialTypeName" -ForegroundColor Gray Write-Host " - Configureer claims: $($Claims -join ', ')" -ForegroundColor Gray Write-Host " - Stel verificatiemethoden en beveiligingsvereisten in" -ForegroundColor Gray Write-Host "" Write-Host "3. ISSUANCE WORKFLOW CONFIGURATIE" -ForegroundColor Yellow Write-Host " - Ontwerp issuance workflow voor credential type" -ForegroundColor Gray Write-Host " - Configureer identiteitsverificatie en claimvalidatie" -ForegroundColor Gray Write-Host " - Automatiseer issuance proces waar mogelijk" -ForegroundColor Gray Write-Host "" Write-Host "4. VERIFICATION WORKFLOW CONFIGURATIE" -ForegroundColor Yellow Write-Host " - Ontwerp verification workflow voor verifiers" -ForegroundColor Gray Write-Host " - Configureer cryptografische verificatie en claimvalidatie" -ForegroundColor Gray Write-Host " - Implementeer privacy-beschermende verificatiemethoden" -ForegroundColor Gray Write-Host "" Write-Host "5. KEY MANAGEMENT CONFIGURATIE" -ForegroundColor Yellow Write-Host " - Configureer key management voor credential signing" -ForegroundColor Gray Write-Host " - Implementeer key rotation en back-up procedures" -ForegroundColor Gray Write-Host " - Configureer Azure Key Vault voor veilige sleutelopslag" -ForegroundColor Gray Write-Host "" Write-Host "6. MONITORING EN AUDITING" -ForegroundColor Yellow Write-Host " - Configureer monitoring voor issuance en verification activiteiten" -ForegroundColor Gray Write-Host " - Stel waarschuwingen in voor verdachte activiteiten" -ForegroundColor Gray Write-Host " - Configureer audit logging voor compliance-doeleinden" -ForegroundColor Gray Write-Host "" Write-Host "Zie het artikel voor gedetailleerde instructies." -ForegroundColor Cyan } catch { Write-Error "Fout bij implementatie: $_" exit 1 } } function Invoke-Monitoring { <# .SYNOPSIS Monitort gedecentraliseerde identiteitssystemen op beveiligingsrisico's #> [CmdletBinding()] param() Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "GEDECENTRALISEERDE IDENTITEIT MONITORING" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "" try { if (-not $DebugMode) { Connect-RequiredServices } $config = Get-VerifiedIdConfiguration if ($null -eq $config) { Write-Host "[WAARSCHUWING] Microsoft Entra Verified ID configuratie niet beschikbaar" -ForegroundColor Yellow Write-Host "Monitoring vereist actieve Verified ID configuratie" -ForegroundColor Yellow exit 1 } Write-Host "Microsoft Entra Verified ID Status: $($config.VerifiedIdEnabled)" -ForegroundColor Cyan Write-Host "Aantal credential types: $($config.CredentialTypes.Count)" -ForegroundColor Cyan Write-Host "" $issuesFound = 0 # Controleer credential types foreach ($credentialType in $config.CredentialTypes) { Write-Host "Credential Type: $($credentialType.Name)" -ForegroundColor Cyan Write-Host " Status: $($credentialType.Status)" -ForegroundColor $(if ($credentialType.Status -eq "Active") { "Green" } else { "Yellow" }) if ($credentialType.Status -ne "Active") { $issuesFound++ Write-Host " WAARSCHUWING: Credential type is niet actief" -ForegroundColor Yellow } } Write-Host "" Write-Host "SAMENVATTING:" -ForegroundColor Cyan Write-Host " Gevonden problemen: $issuesFound" -ForegroundColor $(if ($issuesFound -eq 0) { "Green" } else { "Yellow" }) Write-Host "" if ($issuesFound -eq 0) { Write-Host "STATUS: OK - Gedecentraliseerde identiteitssystemen functioneren correct" -ForegroundColor Green exit 0 } else { Write-Host "STATUS: WAARSCHUWING - Sommige systemen vereisen aandacht" -ForegroundColor Yellow exit 1 } } catch { Write-Error "Fout bij monitoring: $_" exit 1 } } function Invoke-Remediation { <# .SYNOPSIS Identificeert en adresseert beveiligingsproblemen in gedecentraliseerde identiteitssystemen #> [CmdletBinding()] param( [Parameter(Mandatory=$false)] [string]$CredentialId, [Parameter(Mandatory=$false)] [string]$Action ) Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "GEDECENTRALISEERDE IDENTITEIT REMEDIATIE" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "" try { if (-not $DebugMode) { Connect-RequiredServices } Write-Host "[INFO] Remediatie van gedecentraliseerde identiteitssystemen vereist handmatige actie" -ForegroundColor Yellow Write-Host "" Write-Host "De volgende remediatie-acties zijn beschikbaar:" -ForegroundColor Cyan Write-Host "" Write-Host "1. CREDENTIAL INTREKKING" -ForegroundColor Yellow Write-Host " - Trek gecompromitteerde of ongeldige credentials in" -ForegroundColor Gray Write-Host " - Documenteer intrekking en communiceer naar verifiers" -ForegroundColor Gray Write-Host " - Issue nieuwe credentials indien nodig" -ForegroundColor Gray Write-Host "" Write-Host "2. CREDENTIAL BIJWERKEN" -ForegroundColor Yellow Write-Host " - Werk credentials bij met correcte claims" -ForegroundColor Gray Write-Host " - Issue nieuwe credentials met bijgewerkte informatie" -ForegroundColor Gray Write-Host " - Trek oude credentials in na bijwerking" -ForegroundColor Gray Write-Host "" Write-Host "3. KEY MANAGEMENT REMEDIATIE" -ForegroundColor Yellow Write-Host " - Genereer nieuwe sleutels voor gecompromitteerde sleutels" -ForegroundColor Gray Write-Host " - Trek alle credentials in die gebruik maken van gecompromitteerde sleutels" -ForegroundColor Gray Write-Host " - Implementeer key rotation procedures" -ForegroundColor Gray Write-Host "" Write-Host "4. DID REGISTRY REMEDIATIE" -ForegroundColor Yellow Write-Host " - Beveilig DID-registry met aanvullende maatregelen" -ForegroundColor Gray Write-Host " - Migreer DID's naar nieuwe registry indien nodig" -ForegroundColor Gray Write-Host " - Update DID documents met nieuwe informatie" -ForegroundColor Gray Write-Host "" Write-Host "Zie het artikel voor gedetailleerde instructies." -ForegroundColor Cyan if ($CredentialId -and $Action) { Write-Host "" Write-Host "Uitgevoerde actie: $Action voor credential: $CredentialId" -ForegroundColor Cyan } } catch { Write-Error "Fout bij remediatie: $_" exit 1 } } # Main execution try { if ($Implementation) { Invoke-Implementation } elseif ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { Invoke-Remediation } else { Write-Host "`nGedecentraliseerde Identiteitsarchitectuur Script" -ForegroundColor Cyan Write-Host "Gebruik -Implementation, -Monitoring, of -Remediation parameters" -ForegroundColor Yellow Write-Host "" Write-Host "Voorbeelden:" -ForegroundColor Cyan Write-Host " .\decentralized-identity-architecture.ps1 -Implementation" -ForegroundColor Gray Write-Host " .\decentralized-identity-architecture.ps1 -Monitoring" -ForegroundColor Gray Write-Host " .\decentralized-identity-architecture.ps1 -Remediation" -ForegroundColor Gray Write-Host "" } } catch { Write-Error "Fout bij uitvoeren script: $_" exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Medium: Zonder gedecentraliseerde identiteitsarchitectuur blijven organisaties afhankelijk van centrale identity providers, wat kan leiden tot vendor lock-in, privacy-uitdagingen, single points of failure, en interoperabiliteitsproblemen. Dit resulteert in beperkte controle over identiteitsgegevens, moeilijkheden bij het delen van identiteiten tussen organisaties, en compliance-uitdagingen wanneer organisaties niet kunnen aantonen dat identiteitsgegevens correct worden beheerd. Gedecentraliseerde identiteitsarchitectuur biedt nieuwe mogelijkheden voor privacy, interoperabiliteit en gebruikerscontrole, maar vereist zorgvuldige planning en implementatie.

Management Samenvatting

Gedecentraliseerde identiteitsarchitectuur omvat self-sovereign identity principes, interoperabiliteit via open standaarden, implementatie van Microsoft Entra Verified ID, DID-infrastructuur en key management, beveiliging van credential issuance en verification workflows, en monitoring en auditing. Implementatie vereist ongeveer 64 uur voor het opzetten van infrastructuur, configuratie en training. Deze maatregel is advanced voor organisaties die geavanceerde privacy- en interoperabiliteitsvereisten hebben en voldoet aan AVG, BIO en NIS2.