💼 Management Samenvatting
Deze beveiligingsinstelling waarborgt de correcte configuratie en beschermt tegen beveiligingsrisico's.
Aanbeveling
IMPLEMENTEER VOOR GECLASSIFICEERDE GEGEVENS
Risico zonder
Low
Risk Score
4/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Azure Key Vault
Voor hoogst gevoelige gegevens en werkbelastingen in de publieke sector vereist cryptografische sleutelbeveiliging het hoogste niveau van beveiliging. Traditionele software-gebaseerde sleutels bieden onvoldoende bescherming voor staatsgeheimen, geclassificeerde gegevens en financiële kritieke systemen. Hardware Security Modules (HSM's) leveren een fysieke beveiligingslaag die voldoet aan strenge compliance-eisen zoals FIPS 140-2 Level 2 en Level 3. Deze instelling is essentieel voor het handhaven van een veilige omgeving en voorkomt bekende aanvalsvectoren door het afdwingen van beveiligingsrichtlijnen. HSM-backed keys worden gegenereerd, opgeslagen en beheerd binnen speciaal gecertificeerde hardware, waardoor de sleutels nooit in software worden blootgesteld. Dit biedt superieure bescherming tegen zowel externe aanvallen als interne bedreigingen.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.KeyVault
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.KeyVault
Implementatie
Gebruik Premium Key Vault met HSM-backed keys voor zeer gevoelige werkbelastingen. Azure Key Vault Premium tier biedt toegang tot Managed HSM of Key Vault met HSM-backed keys, waarbij cryptografische sleutels worden gegenereerd en beheerd binnen FIPS 140-2 Level 2 en Level 3 gecertificeerde hardware. Deze implementatie is verplicht voor alle geclassificeerde gegevens en wordt sterk aanbevolen voor financiële kritieke systemen en workloads die voldoen aan strenge compliance-vereisten zoals de Nederlandse Baseline Informatiebeveiliging Overheid (BIO).
Vereisten
De implementatie van HSM-backed keys vereist specifieke technische en organisatorische voorwaarden die zorgvuldig moeten worden geëvalueerd voordat deze beveiligingsmaatregel wordt geïmplementeerd. De belangrijkste vereiste is een Azure Key Vault Premium tier abonnement, wat toegang geeft tot Managed HSM of Key Vault met HSM-backed key ondersteuning. Deze Premium tier verschilt significant van de Standard tier, niet alleen in kosten maar vooral in de beschikbaarheid van hardware-gebaseerde cryptografische beveiliging. De Premium tier biedt toegang tot FIPS 140-2 Level 2 en Level 3 gecertificeerde hardware, wat essentieel is voor workloads die geclassificeerde gegevens verwerken of voldoen aan strenge compliance-vereisten zoals de Nederlandse Baseline Informatiebeveiliging Overheid (BIO). Het verschil tussen Standard en Premium tier is fundamenteel: waar Standard tier software-gebaseerde cryptografie gebruikt die binnen de Azure-infrastructuur draait, gebruikt Premium tier dedicated hardware security modules die fysiek gescheiden zijn en voldoen aan de strengste beveiligingscertificeringen. Deze hardware modules zijn specifiek ontworpen om cryptografische sleutels te genereren, op te slaan en te beheren zonder dat de sleutels ooit de beveiligde hardware omgeving verlaten, wat een aanzienlijk hoger beveiligingsniveau biedt dan software-gebaseerde alternatieven.
Naast de technische vereiste van de Premium tier moet de organisatie een duidelijke classificatie hebben van welke gegevens en werkbelastingen daadwerkelijk HSM-beveiliging vereisen. Niet alle workloads hebben deze hoogste beveiligingslaag nodig; de implementatie moet gebaseerd zijn op een risicoanalyse die rekening houdt met de gevoeligheid van de gegevens, wettelijke compliance-vereisten en organisatorische beveiligingsbeleid. Voor de Nederlandse overheid betekent dit dat geclassificeerde gegevens, staatsgeheimen en financiële kritieke systemen prioriteit hebben. De risicoanalyse moet systematisch worden uitgevoerd waarbij elk systeem wordt geëvalueerd op basis van de gegevensclassificatie, de impact van een potentiële inbreuk, en de wettelijke verplichtingen die van toepassing zijn. Deze analyse vormt de basis voor de beslissing om HSM-backed keys te implementeren en moet regelmatig worden herzien om rekening te houden met veranderende bedrijfsvereisten en nieuwe compliance-verplichtingen. De gegevensclassificatie moet gebaseerd zijn op de Nederlandse classificatieschema's zoals die worden gebruikt door overheidsorganisaties, waarbij gegevens worden gecategoriseerd als openbaar, intern, vertrouwelijk, geheim of zeer geheim. Voor gegevens die geclassificeerd zijn als geheim of zeer geheim, is HSM-beveiliging niet alleen aanbevolen maar vaak verplicht volgens de Baseline Informatiebeveiliging Overheid en andere relevante regelgeving. De risicoanalyse moet ook rekening houden met de potentiële impact van een beveiligingsincident, waarbij systemen die kritieke infrastructuur ondersteunen of persoonlijke gegevens van burgers verwerken, prioriteit krijgen voor HSM-beveiliging.
Organisatorisch vereist HSM-backed key implementatie gespecialiseerde kennis van zowel Azure Key Vault beheer als cryptografische best practices. Het beheerteam moet begrijpen hoe HSM-backed keys verschillen van software-gebaseerde sleutels, welke compliance-certificeringen relevant zijn zoals FIPS 140-2 Level 2 en Level 3, en hoe de levenscyclus van HSM-backed keys wordt beheerd. Het team moet vertrouwd zijn met de specifieke operationele aspecten van HSM-beheer, inclusief het begrijpen van de beperkingen en mogelijkheden van hardware-gebaseerde cryptografie. Bovendien moeten procedures worden vastgesteld voor sleutelrotatie, back-up en noodherstel, die specifieke aandachtspunten hebben wanneer sleutels binnen HSM hardware worden beheerd. Deze procedures moeten gedetailleerd worden gedocumenteerd en regelmatig worden getest om ervoor te zorgen dat het team in staat is om effectief te reageren op incidenten en onderhoudsactiviteiten uit te voeren zonder de beschikbaarheid van kritieke systemen te verstoren. Het beheerteam moet ook begrijpen hoe HSM-backed keys werken binnen de bredere Azure-infrastructuur, inclusief hoe applicaties toegang krijgen tot deze sleutels, hoe de sleutels worden gebruikt voor cryptografische operaties, en hoe de prestaties van HSM-backed keys kunnen verschillen van software-gebaseerde alternatieven. Training en certificering van het beheerteam is essentieel, waarbij teamleden moeten beschikken over kennis van zowel Azure Key Vault als algemene cryptografische principes. Het team moet regelmatig worden bijgeschoold over nieuwe ontwikkelingen in HSM-technologie en Azure Key Vault functionaliteit, om ervoor te zorgen dat de implementatie optimaal blijft en voldoet aan de nieuwste beveiligingsstandaarden.
Financieel moet de organisatie rekening houden met de aanzienlijk hogere kosten van Premium tier ten opzichte van Standard tier. Deze kosten moeten worden afgewogen tegen het risico dat wordt gemitigeerd en de compliance-vereisten die moeten worden vervuld. Voor organisaties die alleen specifieke workloads hebben die HSM-beveiliging vereisen, kan een hybride aanpak worden overwogen waarbij Standard tier wordt gebruikt voor algemene workloads en Premium tier specifiek voor hoogst gevoelige gegevens. Deze hybride aanpak vereist echter zorgvuldige planning om ervoor te zorgen dat gegevens correct worden gescheiden en dat er geen risico bestaat dat gevoelige gegevens per ongeluk worden verwerkt met onvoldoende beveiliging. De kosten-batenanalyse moet ook rekening houden met de potentiële financiële impact van een beveiligingsincident of compliance-schending, wat de investering in HSM-backed keys kan rechtvaardigen zelfs wanneer de directe operationele kosten hoger zijn. De kosten van Premium tier omvatten niet alleen de maandelijkse abonnementskosten, maar ook de kosten voor het beheer en onderhoud van de HSM-infrastructuur, de training van personeel, en de implementatie van monitoring en auditing tools. Voor Nederlandse overheidsorganisaties kunnen deze kosten worden gerechtvaardigd door de verplichting om te voldoen aan de Baseline Informatiebeveiliging Overheid en andere relevante regelgeving, waarbij het niet voldoen aan deze vereisten kan leiden tot boetes, reputatieschade, en in extreme gevallen tot het verlies van vertrouwen van burgers en andere stakeholders. De kosten-batenanalyse moet daarom een holistische benadering volgen waarbij niet alleen de directe kosten worden meegenomen, maar ook de indirecte kosten en baten van beveiliging, compliance, en risicovermindering.
Monitoring
Gebruik PowerShell-script key-vault-hsm-backed-keys.ps1 (functie Invoke-Monitoring) – Controleren.
Effectieve monitoring van HSM-backed keys is essentieel om ervoor te zorgen dat de juiste beveiligingsstandaarden worden gehandhaafd voor gevoelige werkbelastingen. Het monitoringproces moet regelmatig controleren welke sleutels binnen Azure Key Vault worden beheerd en of deze sleutels inderdaad HSM-backed zijn of software-gebaseerd. Deze controle is kritisch omdat workloads die geclassificeerde gegevens verwerken of voldoen aan strenge compliance-vereisten, uitsluitend HSM-backed keys moeten gebruiken. Software-gebaseerde sleutels bieden onvoldoende beveiliging voor deze toepassingen en kunnen leiden tot compliance-schendingen en verhoogde beveiligingsrisico's. Het monitoringproces moet daarom systematisch worden uitgevoerd met regelmatige controles die ervoor zorgen dat alle vereiste workloads daadwerkelijk gebruik maken van de juiste beveiligingsniveaus. Het monitoringproces moet geautomatiseerd worden uitgevoerd om menselijke fouten te voorkomen en om ervoor te zorgen dat controles consistent en tijdig worden uitgevoerd. Automatische monitoring stelt organisaties in staat om snel te reageren op afwijkingen en om proactief problemen te identificeren voordat ze escaleren tot beveiligingsincidenten of compliance-schendingen. Het monitoringproces moet ook geïntegreerd zijn met bestaande beveiligingsinformatie- en gebeurtenisbeheersystemen, zodat waarschuwingen en incidenten kunnen worden gecorreleerd met andere beveiligingsgebeurtenissen in de organisatie.
Het monitoring script controleert de sleuteltypes door de Key Vault API te bevragen en te identificeren welke sleutels HSM-backed zijn, aangeduid als 'HSM', versus software-gebaseerde sleutels, aangeduid als 'Software'. Het script genereert een inventaris van alle sleutels binnen de Key Vault instantie, inclusief hun type, aanmaakdatum, vervaldatum indien van toepassing, en de workloads die deze sleutels gebruiken. Deze informatie is waardevol voor zowel compliance auditing als risicobeoordeling, omdat het duidelijk maakt welke gegevens mogelijk onvoldoende beveiligd zijn. De inventarisatie moet regelmatig worden uitgevoerd, bij voorkeur wekelijks of maandelijks, afhankelijk van de dynamiek van de omgeving en de gevoeligheid van de verwerkte gegevens. Het script moet ook historische trends bijhouden om te identificeren of er patronen zijn in het gebruik van verschillende sleuteltypes, wat kan wijzen op organisatorische problemen of onvoldoende bewustzijn over beveiligingsvereisten. Het script moet gedetailleerde logging genereren van alle controles die worden uitgevoerd, inclusief welke sleutels zijn gecontroleerd, wat de resultaten waren, en of er afwijkingen zijn gedetecteerd. Deze logging is essentieel voor audit doeleinden en moet worden bewaard conform de organisatorische retentiebeleid, wat voor Nederlandse overheidsorganisaties minimaal zeven jaar betekent. Het script moet ook configuratie-opties bieden om de frequentie van controles aan te passen, om drempelwaarden te definiëren voor waarschuwingen, en om rapportageformaten te selecteren die passen bij de organisatorische behoeften.
Naast de initiële controle van sleuteltypes moet monitoring ook waarschuwingen omvatten voor nieuwe sleutels die worden aangemaakt zonder HSM-backing wanneer dit vereist is. Automatische detectie en melding van dergelijke afwijkingen stelt beveiligingsteams in staat om snel te reageren voordat gevoelige gegevens worden blootgesteld aan onvoldoende beveiliging. Het monitoringproces moet ook regelmatig controleren of HSM-backed keys daadwerkelijk worden gebruikt door de workloads die deze vereisen, en niet worden omzeild of genegeerd door applicaties. Deze verificatie is essentieel omdat het mogelijk is dat applicaties technisch toegang hebben tot HSM-backed keys, maar in de praktijk software-gebaseerde sleutels gebruiken vanwege configuratiefouten of onvoldoende implementatie. Het monitoringproces moet daarom niet alleen controleren welke sleutels beschikbaar zijn, maar ook daadwerkelijk verifiëren welke sleutels worden gebruikt door actieve workloads. Deze verificatie kan worden uitgevoerd door het monitoren van cryptografische operaties en het identificeren van welke sleutels daadwerkelijk worden gebruikt voor versleuteling, ontsleuteling, digitale handtekeningen en andere cryptografische functies. Het monitoringproces moet ook controleren of er geen onbevoegde toegang plaatsvindt tot HSM-backed keys, door het monitoren van toegangslogs en het identificeren van verdachte activiteiten. Waarschuwingen moeten worden geconfigureerd voor verschillende scenario's, zoals het aanmaken van nieuwe software-gebaseerde sleutels in omgevingen waar HSM-backed keys vereist zijn, het gebruik van software-gebaseerde sleutels door workloads die HSM-backed keys zouden moeten gebruiken, en onbevoegde toegangspogingen tot HSM-backed keys.
Voor Nederlandse overheidsorganisaties is deze monitoring bijzonder belangrijk omdat de Baseline Informatiebeveiliging Overheid (BIO) specifieke eisen stelt aan cryptografische controles voor geclassificeerde gegevens. Regelmatige audits en rapportages over het gebruik van HSM-backed keys vormen een essentieel onderdeel van compliance met deze standaard, en het monitoring script kan hiervoor de benodigde documentatie genereren. De rapportages moeten voldoen aan de eisen van de BIO en moeten aantoonbaar maken dat de organisatie voldoet aan alle relevante beveiligingsvereisten. Deze rapportages moeten regelmatig worden gedeeld met de verantwoordelijke beveiligingsfunctionarissen en moeten worden bewaard voor audit doeleinden, conform de Nederlandse wet- en regelgeving die vereist dat audit evidence minimaal zeven jaar wordt bewaard. De rapportages moeten gedetailleerde informatie bevatten over alle sleutels binnen de Key Vault, inclusief hun type, gebruik, en compliance-status. De rapportages moeten ook trends en patronen identificeren, zoals een toename in het gebruik van software-gebaseerde sleutels of afwijkingen in het gebruik van HSM-backed keys. Deze informatie is waardevol voor zowel compliance auditing als voor het verbeteren van de beveiligingspostuur van de organisatie. De rapportages moeten worden gegenereerd in formaten die geschikt zijn voor zowel menselijke lezing als voor geautomatiseerde verwerking, zodat ze kunnen worden geïntegreerd met andere compliance en auditing systemen. Het monitoringproces moet ook regelmatig worden geëvalueerd en verbeterd, waarbij feedback van beveiligingsteams en auditors wordt gebruikt om de effectiviteit en nauwkeurigheid van de monitoring te verbeteren.
Compliance en Auditing
HSM-backed keys spelen een cruciale rol in het voldoen aan nationale en internationale compliance-vereisten voor cryptografische controles. Voor Nederlandse overheidsorganisaties is de Baseline Informatiebeveiliging Overheid (BIO) controle 10.01 van fundamenteel belang. Deze controle vereist dat organisaties passende cryptografische controles implementeren om de vertrouwelijkheid, integriteit en authenticiteit van gegevens te waarborgen. HSM-backed keys voldoen aan deze vereiste door het hoogste niveau van cryptografische beveiliging te bieden, met FIPS 140-2 Level 2 en Level 3 certificering die aantoonbaar voldoet aan de strenge eisen die gesteld worden aan geclassificeerde gegevens en staatsgeheimen. De BIO controle 10.01 benadrukt het belang van het selecteren van cryptografische controles die passend zijn voor de gevoeligheid van de gegevens en de risico's waaraan ze worden blootgesteld. Voor geclassificeerde gegevens en staatsgeheimen betekent dit dat alleen de hoogste beveiligingsniveaus acceptabel zijn, wat HSM-backed keys tot een verplichte keuze maakt voor deze toepassingen. De BIO controle 10.01 maakt deel uit van het bredere BIO-kader dat is ontwikkeld door het Nationaal Cyber Security Centrum (NCSC) om Nederlandse overheidsorganisaties te helpen bij het implementeren van effectieve informatiebeveiliging. Deze controle is specifiek gericht op cryptografische controles en vereist dat organisaties een risicogebaseerde benadering volgen bij het selecteren van cryptografische maatregelen. Voor gegevens met een hoge gevoeligheid, zoals staatsgeheimen en geclassificeerde informatie, zijn alleen de hoogste beveiligingsniveaus acceptabel, wat HSM-backed keys tot een verplichte keuze maakt. De controle vereist ook dat organisaties regelmatig evalueren of de geselecteerde cryptografische controles nog steeds passend zijn, gezien veranderende bedreigingen en technologische ontwikkelingen.
Internationaal wordt HSM-backed key beveiliging ondersteund door ISO 27001:2022 controle A.8.24 (Cryptografie), die specifiek eist dat organisaties cryptografische controles selecteren en gebruiken in overeenstemming met wettelijke, regelgevende en contractuele vereisten. Voor workloads die geclassificeerde gegevens verwerken, zijn software-gebaseerde sleutels onvoldoende; alleen HSM-backed keys bieden de hardware-gebaseerde beveiliging die vereist is voor deze toepassingen. De ISO 27001 controle benadrukt ook het belang van sleutelbeheer, wat bij HSM-backed keys complexer is maar ook robuuster, met geautomatiseerd sleutellevenscyclusbeheer binnen de beveiligde hardware. Deze geautomatiseerde beheerprocessen zorgen ervoor dat sleutels op een veilige en gecontroleerde manier worden gegenereerd, gebruikt, geroteerd en uiteindelijk vernietigd, zonder dat de sleutels ooit de beveiligde hardware omgeving verlaten. Dit biedt een aanzienlijk hoger beveiligingsniveau dan software-gebaseerde alternatieven, waar sleutels potentieel kunnen worden blootgesteld aan software-aanvallen of onbevoegde toegang. ISO 27001:2022 is een internationaal erkende standaard voor informatiebeveiligingsmanagement systemen, en controle A.8.24 specificeert de vereisten voor cryptografie. Deze controle vereist dat organisaties cryptografische controles implementeren die passend zijn voor de risico's waaraan informatie wordt blootgesteld, en dat deze controles worden beheerd gedurende hun volledige levenscyclus. HSM-backed keys voldoen aan deze vereisten door hardware-gebaseerde beveiliging te bieden die voldoet aan de hoogste beveiligingsstandaarden, en door geautomatiseerd sleutellevenscyclusbeheer te bieden dat ervoor zorgt dat sleutels op een veilige en gecontroleerde manier worden beheerd. De controle vereist ook dat organisaties regelmatig evalueren of de geselecteerde cryptografische controles nog steeds effectief zijn, en dat ze passende maatregelen nemen wanneer nieuwe bedreigingen of kwetsbaarheden worden geïdentificeerd.
Voor financiële organisaties en kritieke infrastructuur in Nederland zijn aanvullende compliance-vereisten van toepassing. De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM) stellen specifieke eisen aan cryptografische beveiliging voor financiële transacties en gegevensbescherming. HSM-backed keys voldoen aan deze vereisten door te zorgen dat cryptografische sleutels nooit in software worden blootgesteld, wat bescherming biedt tegen zowel externe aanvallen als interne bedreigingen. Bovendien bieden HSM-backed keys audit logging en compliance rapportage die essentieel zijn voor regelgevende rapportage en audits. Deze audit logging moet voldoen aan de eisen van de DNB en AFM, die specifieke vereisten stellen aan de granulariteit en retentie van audit logs voor financiële transacties. De audit logs moeten aantoonbaar maken dat alle cryptografische operaties correct zijn uitgevoerd en dat er geen onbevoegde toegang heeft plaatsgevonden tot de sleutels of de gegevens die door deze sleutels worden beschermd. De DNB en AFM zijn de belangrijkste regelgevende instanties voor de financiële sector in Nederland, en ze stellen strenge eisen aan de beveiliging van financiële systemen en gegevens. Deze eisen omvatten specifieke vereisten voor cryptografische beveiliging, waarbij HSM-backed keys vaak worden vereist voor kritieke financiële transacties en gegevensbescherming. De regelgevende instanties vereisen ook dat organisaties regelmatig audits uitvoeren om te verifiëren dat de cryptografische controles correct zijn geïmplementeerd en worden onderhouden, en dat ze gedetailleerde rapportages genereren die aantoonbaar maken dat ze voldoen aan alle relevante compliance-vereisten.
Auditing van HSM-backed key implementatie vereist regelmatige verificatie dat alle vereiste workloads daadwerkelijk HSM-backed keys gebruiken. Dit omvat inventarisatie van alle sleutels binnen Azure Key Vault, identificatie van welke sleutels HSM-backed zijn versus software-gebaseerd, en verificatie dat workloads die geclassificeerde gegevens verwerken of voldoen aan strenge compliance-vereisten, uitsluitend HSM-backed keys gebruiken. Audit evidence moet minimaal zeven jaar worden bewaard, zoals vereist door Nederlandse wet- en regelgeving, en moet aantoonbaar maken dat de organisatie voldoet aan alle relevante compliance-vereisten voor cryptografische controles. De audit processen moeten worden uitgevoerd door onafhankelijke auditors die beschikken over de benodigde expertise om cryptografische controles te evalueren en te verifiëren dat deze correct zijn geïmplementeerd en worden onderhouden. De audit rapportages moeten gedetailleerd zijn en moeten alle relevante aspecten van de HSM-backed key implementatie dekken, inclusief configuratie, toegangscontroles, monitoring, en incident response procedures. Auditing is een essentieel onderdeel van compliance, en het vereist dat organisaties regelmatig verifiëren dat hun cryptografische controles correct zijn geïmplementeerd en worden onderhouden. Voor HSM-backed keys betekent dit dat auditors moeten controleren of alle vereiste workloads daadwerkelijk HSM-backed keys gebruiken, of de sleutels correct zijn geconfigureerd en beveiligd, en of de monitoring en logging processen correct functioneren. Auditors moeten ook controleren of de organisatie voldoet aan alle relevante compliance-vereisten, zoals de BIO controle 10.01 en ISO 27001:2022 controle A.8.24, en of de audit evidence correct wordt bewaard conform de organisatorische retentiebeleid. De audit processen moeten worden uitgevoerd door onafhankelijke auditors die beschikken over de benodigde expertise om cryptografische controles te evalueren, en de audit rapportages moeten gedetailleerd zijn en alle relevante aspecten van de HSM-backed key implementatie dekken.
Remediatie
Gebruik PowerShell-script key-vault-hsm-backed-keys.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer monitoring detecteert dat workloads die HSM-backed keys vereisen, momenteel software-gebaseerde sleutels gebruiken, moet onmiddellijk remediatie worden uitgevoerd. Het remediatieproces begint met een risicoanalyse om te bepalen welke workloads prioriteit hebben voor migratie naar HSM-backed keys. Workloads die geclassificeerde gegevens verwerken of voldoen aan strenge compliance-vereisten zoals BIO controle 10.01 of ISO 27001:2022 A.8.24, hebben de hoogste prioriteit omdat het gebruik van software-gebaseerde sleutels voor deze toepassingen een directe compliance-schending en verhoogd beveiligingsrisico vormt. De risicoanalyse moet rekening houden met de gevoeligheid van de gegevens, de potentiële impact van een beveiligingsincident, en de wettelijke verplichtingen die van toepassing zijn. Workloads met de hoogste gevoeligheid en de grootste potentiële impact moeten onmiddellijk worden gemigreerd, terwijl workloads met lagere gevoeligheid kunnen worden gepland voor migratie in een later stadium, mits dit binnen acceptabele termijnen gebeurt. De risicoanalyse moet systematisch worden uitgevoerd, waarbij elk systeem wordt geëvalueerd op basis van meerdere factoren, waaronder de gegevensclassificatie, de compliance-vereisten, de bedrijfsimpact van een potentiële inbreuk, en de beschikbaarheid van resources voor de migratie. Workloads die geclassificeerde gegevens verwerken of voldoen aan strenge compliance-vereisten hebben de hoogste prioriteit, omdat het gebruik van software-gebaseerde sleutels voor deze toepassingen een directe compliance-schending vormt die kan leiden tot boetes, reputatieschade, en in extreme gevallen tot het verlies van vertrouwen van stakeholders. De risicoanalyse moet ook rekening houden met de technische complexiteit van de migratie, waarbij workloads met eenvoudigere configuraties prioriteit kunnen krijgen om snel resultaten te behalen, terwijl complexere workloads meer tijd en planning vereisen.
Het remediatie script automatiseert het proces van het upgraden naar Key Vault Premium tier, indien nog niet aanwezig, en het migreren van bestaande software-gebaseerde sleutels naar nieuwe HSM-backed keys. Dit proces moet zorgvuldig worden uitgevoerd om ervoor te zorgen dat applicaties geen downtime ervaren tijdens de migratie. Het script creëert nieuwe HSM-backed keys, configureert de benodigde toegangsrechten en machtigingen, en ondersteunt een gefaseerde migratie waarbij oude sleutels behouden blijven totdat verificatie heeft bevestigd dat de nieuwe HSM-backed keys correct functioneren. De gefaseerde aanpak is essentieel om het risico te minimaliseren en om ervoor te zorgen dat applicaties naadloos kunnen overstappen van de oude naar de nieuwe sleutels zonder onderbreking van de service. Tijdens de migratie moet continue monitoring plaatsvinden om eventuele problemen snel te detecteren en te verhelpen voordat ze impact hebben op de beschikbaarheid of functionaliteit van de applicaties. Het script moet ook ondersteuning bieden voor rollback-scenario's, waarbij de migratie kan worden teruggedraaid als er onverwachte problemen optreden. Het script moet gedetailleerde logging genereren van alle stappen die worden uitgevoerd tijdens de migratie, inclusief welke sleutels zijn gemigreerd, wanneer de migratie heeft plaatsgevonden, en wat de resultaten waren van elke stap. Deze logging is essentieel voor troubleshooting en voor audit doeleinden, en moet worden bewaard conform het organisatorische retentiebeleid. Het script moet ook validatie uitvoeren om ervoor te zorgen dat de nieuwe HSM-backed keys correct zijn geconfigureerd en dat alle benodigde toegangsrechten en machtigingen correct zijn ingesteld voordat de migratie wordt voltooid.
Voor bestaande workloads die software-gebaseerde sleutels gebruiken, vereist remediatie mogelijk ook aanpassingen aan de applicatiecode om correct te werken met HSM-backed keys. Hoewel de API-interface hetzelfde blijft, kunnen er subtiele verschillen zijn in sleuteloperaties en prestatiekenmerken die applicatieaanpassingen vereisen. Het remediatieproces moet daarom omvatten: testen van de applicatie met HSM-backed keys in een testomgeving, verificatie van alle cryptografische operaties, en geleidelijke uitrol naar productie met monitoring om eventuele problemen snel te detecteren. De testfase is kritisch omdat HSM-backed keys mogelijk andere prestatiekenmerken hebben dan software-gebaseerde sleutels, wat kan leiden tot onverwachte gedragingen in applicaties die niet correct zijn geconfigureerd. Alle cryptografische operaties moeten worden getest, inclusief sleutelgeneratie, versleuteling, ontsleuteling, digitale handtekeningen, en sleutelrotatie, om ervoor te zorgen dat de applicatie volledig functioneel is met HSM-backed keys. De testomgeving moet zo veel mogelijk lijken op de productieomgeving, inclusief dezelfde configuratie, dezelfde workloads, en dezelfde beveiligingsinstellingen. De tests moeten uitgebreid zijn en alle gebruiksscenario's moeten worden getest, inclusief normale operaties, foutscenario's, en edge cases. De tests moeten ook de prestaties van de applicatie met HSM-backed keys evalueren, omdat HSM-backed keys mogelijk andere prestatiekenmerken hebben dan software-gebaseerde sleutels. Als er prestatieproblemen worden geïdentificeerd, moeten deze worden geadresseerd voordat de migratie naar productie wordt uitgevoerd.
Na voltooiing van de migratie naar HSM-backed keys moeten de oude software-gebaseerde sleutels worden gearchiveerd volgens het organisatorische sleutelretentiebeleid, maar mogen niet worden verwijderd totdat verificatie heeft bevestigd dat alle applicaties correct werken met de nieuwe sleutels en er geen terugdraaien nodig is. Het remediatieproces moet volledig worden gedocumenteerd voor audit doeleinden, inclusief welke sleutels zijn gemigreerd, wanneer de migratie heeft plaatsgevonden, en wie verantwoordelijk was voor de migratie. Deze documentatie is essentieel voor compliance audits en moet minimaal zeven jaar worden bewaard. De documentatie moet ook details bevatten over de testresultaten, eventuele problemen die zijn opgetreden tijdens de migratie, en de maatregelen die zijn genomen om deze problemen op te lossen. Deze informatie is waardevol voor toekomstige migraties en helpt bij het verbeteren van de remediatieprocessen om toekomstige migraties soepeler te laten verlopen. De archivering van oude sleutels moet worden uitgevoerd volgens het organisatorische sleutelretentiebeleid, waarbij oude sleutels worden bewaard voor een bepaalde periode om terugdraaien mogelijk te maken indien nodig. De oude sleutels moeten worden bewaard in een beveiligde omgeving, waarbij toegang strikt wordt gecontroleerd en gelogd. Na de retentieperiode moeten de oude sleutels veilig worden vernietigd volgens het organisatorische vernietigingsbeleid, waarbij ervoor moet worden gezorgd dat de sleutels volledig worden verwijderd en niet kunnen worden hersteld. De documentatie van het remediatieproces moet gedetailleerd zijn en alle relevante aspecten moeten dekken, inclusief de planning, de uitvoering, de testresultaten, en de verificatie dat de migratie succesvol is voltooid.
Compliance & Frameworks
- BIO: 10.01 - Cryptografische controles
- ISO 27001:2022: A.8.24 - Cryptografie
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Key Vault HSM-Backed Keys
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 8.5
Controleert gebruik van HSM-backed keys.
.NOTES
Filename: key-vault-hsm-backed-keys.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 8.5
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.KeyVault
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Key Vault HSM-Backed Keys"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$vaults = Get-AzKeyVault -ErrorAction SilentlyContinue
$result = @{ TotalKeys = 0; HSMBacked = 0 }
foreach ($vault in $vaults) {
$keys = Get-AzKeyVaultKey -VaultName $vault.VaultName -ErrorAction SilentlyContinue
foreach ($key in $keys) {
$result.TotalKeys++
$keyDetail = Get-AzKeyVaultKey -VaultName $vault.VaultName -Name $key.Name -ErrorAction SilentlyContinue
if ($keyDetail.Attributes.KeyType -like "*HSM*") {
$result.HSMBacked++
}
}
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Keys: $($r.TotalKeys)" -ForegroundColor White
Write-Host "HSM-Backed: $($r.HSMBacked)" -ForegroundColor $(if ($r.HSMBacked -gt 0) { 'Green' } else { 'Yellow' })
}
else {
$r = Test-Compliance
Write-Host "`nHSM-Backed Keys: $($r.HSMBacked)/$($r.TotalKeys)"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Keys: $($r.TotalKeys)" -ForegroundColor White
Write-Host "HSM-Backed: $($r.HSMBacked)" -ForegroundColor $(if ($r.HSMBacked -gt 0) { 'Green' } else { 'Yellow' })
}
else {
$r = Test-Compliance
Write-Host "`nHSM-Backed Keys: $($r.HSMBacked)/$($r.TotalKeys)"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Low: Software-beveiligde sleutels zijn voldoende voor negentig procent van de workloads. HSM is vereist voor staatsgeheimen, geclassificeerde gegevens en financiële kritieke systemen. Compliance: FIPS 140-2 Level 2 en Level 3. Het risico is laag voor algemene workloads, maar hoog voor geclassificeerde gegevens. Het niet gebruiken van HSM-backed keys voor geclassificeerde gegevens vormt een directe compliance-schending en verhoogd beveiligingsrisico.
Management Samenvatting
HSM-Backed Keys: Hardware Security Module (FIPS 140-2 Level 2) ondersteunde sleutels voor hoogst beveiligde workloads (staatsgeheimen, financiële kritieke systemen). Vereist: Key Vault Premium tier. Activatie: Key Vault Premium → Maak HSM key aan. Kosten: Premium tier is aanzienlijk hoger dan Standard tier. Implementatie: één tot twee uur. Verplicht voor geclassificeerde gegevens, optioneel voor andere workloads.
- Implementatietijd: 2 uur
- FTE required: 0.02 FTE