💼 Management Samenvatting
Deze beveiligingscontrole is essentieel voor het waarborgen van een veilige cloudomgeving en beschermt tegen ongeautoriseerde toegang en datalekken.
Aanbeveling
IMPLEMENTEER VERPLICHT
Risico zonder
Critical
Risk Score
9/10
Implementatie
1u (tech: 0.5u)
Van toepassing op:
✓ Azure Key Vault
Zonder deze beveiligingsmaatregel kunnen er significante beveiligingsrisico's ontstaan die leiden tot compromittering van gegevens, nalevingsovertredingen en reputatieschade voor de organisatie.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.KeyVault
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.KeyVault
Implementatie
Deze controle implementeert best practices voor beveiliging via Azure Policy, ARM-templates of Microsoft Intune om cloudresources en eindpunten te beschermen volgens actuele nalevingskaders.
Vereisten
Voor het implementeren van purge-bescherming op Azure Key Vault zijn specifieke technische en organisatorische vereisten noodzakelijk die organisaties moeten begrijpen voordat zij deze kritieke beveiligingscontrole kunnen activeren. Deze vereisten omvatten zowel technische infrastructuur als bevoegdheden en strategische overwegingen die essentieel zijn voor een succesvolle implementatie. Allereerst moet er een werkende Azure Key Vault-instantie beschikbaar zijn binnen uw Azure-abonnement. Deze Key Vault kan zowel een standaard- als een premium-sku hebben, maar purge-bescherming is beschikbaar voor beide varianten zonder aanvullende kosten. De Key Vault moet zich bevinden in een ondersteunde Azure-regio waar deze functionaliteit beschikbaar is. Het is belangrijk om te verifiëren dat de gekozen regio purge-bescherming ondersteunt, omdat niet alle Azure-regio's deze functionaliteit onmiddellijk beschikbaar hebben. Organisaties moeten daarom de Azure-documentatie raadplegen om te bevestigen dat hun primaire regio deze beveiligingsfunctie ondersteunt. Een kritische technische vereiste is dat soft-delete moet zijn ingeschakeld op de Key Vault voordat purge-bescherming kan worden geactiveerd. Soft-delete is een fundamentele beveiligingsfunctie die ervoor zorgt dat verwijderde sleutels, geheimen en certificaten gedurende een configuratieperiode (standaard 90 dagen) behouden blijven, zelfs nadat ze zijn verwijderd. Deze functie vormt de technische basis waarop purge-bescherming is gebouwd, omdat het systeem de verwijderde objecten moet kunnen bewaren om permanente verwijdering te voorkomen. Zonder soft-delete kan purge-bescherming niet worden ingeschakeld, omdat het systeem de verwijderde objecten niet kan bewaren voor hersteldoeleinden. Organisaties moeten daarom eerst soft-delete activeren en wachten tot deze functie volledig operationeel is voordat zij purge-bescherming kunnen inschakelen. Daarnaast moet de gebruiker die purge-bescherming wil inschakelen over de juiste machtigingen beschikken binnen het Azure-abonnement. Specifiek is de rol 'Key Vault Contributor' of 'Owner' op het abonnement of de resourcegroep vereist om deze configuratie te kunnen wijzigen. Deze machtigingen zijn noodzakelijk omdat purge-bescherming een onomkeerbare configuratie is die de fundamentele werking van de Key Vault beïnvloedt en niet kan worden teruggedraaid nadat het is geactiveerd. Organisaties moeten daarom zorgvuldig overwegen wie deze machtigingen heeft en een goedkeuringsproces implementeren voordat purge-bescherming wordt geactiveerd. Dit is vooral belangrijk in overheidsorganisaties waar wijzigingen aan kritieke beveiligingsconfiguraties moeten worden goedgekeurd door security officers of compliance managers. Het is cruciaal te begrijpen dat purge-bescherming alleen kan worden ingeschakeld tijdens het maken van een nieuwe Key Vault of wanneer een bestaande Key Vault nog geen objecten bevat. Voor bestaande Key Vaults met actieve sleutels, geheimen of certificaten kan purge-bescherming niet achteraf worden toegevoegd zonder eerst alle objecten te verwijderen. Dit betekent dat organisaties die deze beveiliging willen implementeren op bestaande Key Vaults, een uitgebreide migratiestrategie moeten ontwikkelen waarbij nieuwe Key Vaults worden aangemaakt met purge-bescherming ingeschakeld en bestaande objecten worden gemigreerd. Deze migratie vereist zorgvuldige planning om downtime te minimaliseren en ervoor te zorgen dat alle toepassingen die afhankelijk zijn van de Key Vault correct blijven functioneren tijdens en na de migratie. Ten slotte moet de organisatie beschikken over een Azure-abonnement met actieve facturering, hoewel purge-bescherming zelf geen extra kosten met zich meebrengt. De onderliggende Key Vault-service heeft wel kosten verbonden aan transacties en opslag, maar de purge-bescherming functionaliteit is gratis beschikbaar als onderdeel van de standaard Key Vault-service. Organisaties moeten echter rekening houden met de mogelijke kosten van soft-delete opslag, omdat verwijderde objecten gedurende de retentieperiode worden bewaard en opslagruimte in beslag nemen. Deze kosten zijn doorgaans minimaal maar kunnen oplopen bij Key Vaults met veel verwijderde objecten of lange retentieperioden.
Bewaking
Gebruik PowerShell-script key-vault-purge-protection-enabled.ps1 (functie Invoke-Monitoring) – Controleren.
Het monitoren van de purge-bescherming status is een kritieke activiteit voor beveiligingsteams en nalevingsfunctionarissen binnen Nederlandse overheidsorganisaties die verantwoordelijk zijn voor het waarborgen van de beveiliging van cryptografische sleutels en gevoelige gegevens. Regelmatige controle zorgt ervoor dat deze essentiële beveiligingscontrole actief blijft en dat organisaties kunnen voldoen aan strikte nalevingskaders zoals de BIO-normen en ISO 27001. Zonder adequate monitoring kunnen organisaties onbewust kwetsbaar blijven voor risico's die gepaard gaan met het ontbreken van purge-bescherming, wat kan leiden tot onherstelbaar verlies van cryptografische sleutels en daarmee versleutelde gegevens. De monitoring van purge-bescherming moet worden uitgevoerd via meerdere kanalen en methoden om volledige zichtbaarheid en redundantie te garanderen. De primaire methode is het gebruik van Azure PowerShell of Azure CLI om programmatisch de status te controleren van alle Key Vaults binnen een abonnement of resourcegroep. Het monitoring script dat beschikbaar is via de scriptReference functie biedt een geautomatiseerde manier om alle Key Vaults binnen een abonnement of resourcegroep te scannen en te rapporteren welke instanties purge-bescherming hebben ingeschakeld en welke niet. Dit script kan worden geïntegreerd in geautomatiseerde workflows en kan worden uitgevoerd als onderdeel van regelmatige nalevingscontroles. De output van het script kan worden gebruikt om nalevingsrapporten te genereren en om te identificeren welke Key Vaults aandacht vereisen. Naast programmatische controles moeten organisaties ook gebruik maken van Azure Policy om naleving te automatiseren en te waarborgen dat nieuwe Key Vaults automatisch worden geconfigureerd met purge-bescherming. Door een Azure Policy te implementeren die controleert of purge-bescherming is ingeschakeld op alle Key Vaults, kunnen organisaties proactief worden gewaarschuwd wanneer nieuwe Key Vaults worden aangemaakt zonder deze beveiliging. Deze policy kan worden geconfigureerd om automatisch te herstellen door purge-bescherming in te schakelen op nieuwe Key Vaults, of om alleen te rapporteren en waarschuwingen te genereren, afhankelijk van de governance-vereisten van de organisatie. Voor Nederlandse overheidsorganisaties wordt aanbevolen om automatische herstelacties te implementeren om te voorkomen dat Key Vaults zonder purge-bescherming in productie worden gebracht. Azure Monitor en Azure Security Center bieden aanvullende monitoringmogelijkheden die organisaties kunnen gebruiken om de purge-bescherming status te volgen en te rapporteren. Security Center kan Key Vaults identificeren die niet voldoen aan beveiligingsaanbevelingen, inclusief het ontbreken van purge-bescherming, en deze informatie presenteren in het Security Center dashboard. Deze informatie kan worden geïntegreerd met SIEM-systemen voor gecentraliseerde beveiligingsmonitoring en kan worden gebruikt om beveiligingsincidenten te detecteren en te reageren. Organisaties kunnen ook aangepaste waarschuwingen configureren in Azure Monitor die worden geactiveerd wanneer purge-bescherming wordt uitgeschakeld of wanneer nieuwe Key Vaults worden aangemaakt zonder deze beveiliging. Voor organisaties die voldoen aan de BIO-normen is het belangrijk om uitgebreide auditlogs bij te houden van alle monitoringactiviteiten en configuratiewijzigingen. Azure Key Vault genereert automatisch diagnostische logs die kunnen worden doorgestuurd naar een Log Analytics-workspace voor langdurige opslag en analyse. Deze logs bevatten gedetailleerde informatie over alle bewerkingen op de Key Vault, inclusief wijzigingen aan de purge-bescherming configuratie, toegangspogingen, en andere beveiligingsrelevante gebeurtenissen. Deze logs moeten worden bewaard voor de vereiste retentieperiode zoals gespecificeerd in het auditEvidence gedeelte van deze controle, wat voor Nederlandse overheidsorganisaties doorgaans zeven jaar is. De logs moeten ook worden beveiligd tegen onbevoegde toegang en moeten regelmatig worden gecontroleerd op verdachte activiteiten. Het is aanbevolen om minimaal wekelijks een controle uit te voeren op de purge-bescherming status van alle productie-Key Vaults om te verifiëren dat deze beveiligingscontrole actief blijft. Voor ontwikkel- en testomgevingen kan een maandelijkse controle voldoende zijn, maar organisaties moeten hun eigen risicoprofiel evalueren om de juiste frequentie te bepalen op basis van de gevoeligheid van de gegevens en de nalevingsvereisten. Automatische monitoring via Azure Policy en Security Center kan deze handmatige controles aanvullen maar mag ze niet volledig vervangen, omdat regelmatige verificatie door menselijke operators een extra beveiligingslaag biedt en kan helpen bij het identificeren van onverwachte configuratiewijzigingen of beveiligingsincidenten. Organisaties moeten ook een proces implementeren voor het documenteren van alle monitoringactiviteiten en het rapporteren van bevindingen aan management en nalevingsfunctionarissen.
Compliance en Audit
Purge-bescherming op Azure Key Vault is een verplichte beveiligingscontrole voor Nederlandse overheidsorganisaties die voldoen aan verschillende nalevingskaders en beveiligingsstandaarden. Deze controle adresseert specifieke vereisten uit de CIS Microsoft Azure Foundations Benchmark versie 5.1.3, de BIO-normen controle 10.01, en ISO 27001:2022 controle A.8.24, en vormt een essentieel onderdeel van een robuuste beveiligingsstrategie voor cryptografische sleutels en gevoelige gegevens. Het implementeren van purge-bescherming is niet alleen een technische configuratie, maar een fundamentele beveiligingsmaatregel die organisaties beschermt tegen onherstelbaar verlies van cryptografische sleutels en daarmee versleutelde gegevens. De CIS Microsoft Azure Foundations Benchmark controle 5.1.3 specificeert expliciet dat purge-bescherming moet zijn ingeschakeld op alle Azure Key Vaults zonder uitzondering. Deze controle is geclassificeerd als Level 1, wat betekent dat het een fundamentele beveiligingsmaatregel is die moet worden geïmplementeerd in alle omgevingen, inclusief ontwikkel-, test- en productieomgevingen. De CIS Benchmark wordt wereldwijd erkend als een standaard voor cloudbeveiliging en wordt vaak gebruikt als basis voor nalevingsaudits en beveiligingscertificeringen. Nederlandse organisaties die werken met gevoelige overheidsgegevens moeten deze controle implementeren om te voldoen aan internationale beveiligingsstandaarden en om te demonstreren dat zij serieuze maatregelen treffen om cryptografische sleutels te beschermen. Het niet implementeren van deze controle kan leiden tot negatieve bevindingen tijdens externe audits en kan de reputatie van de organisatie schaden. Voor Nederlandse overheidsorganisaties is de BIO-norm controle 10.01 van bijzonder belang omdat deze specifiek is ontwikkeld voor de Nederlandse publieke sector en verplicht is voor alle organisaties die werken met overheidsgegevens. Deze norm richt zich op de bescherming van cryptografische sleutels en vereist dat organisaties maatregelen treffen om permanente verwijdering van sleutels te voorkomen, zelfs door bevoegde beheerders. Purge-bescherming is een directe en effectieve implementatie van deze vereiste, omdat het voorkomt dat zelfs bevoegde beheerders cryptografische sleutels permanent kunnen verwijderen binnen de retentieperiode van 90 dagen. Dit is kritiek voor overheidsorganisaties die werken met geclassificeerde informatie, omdat het verlies van cryptografische sleutels kan leiden tot onherstelbaar verlies van versleutelde gegevens en kan resulteren in ernstige gevolgen voor de nationale veiligheid of de privacy van burgers. Organisaties die niet voldoen aan de BIO-norm controle 10.01 kunnen worden geconfronteerd met het verlies van certificering, het moeten onderbreken van dienstverlening, of andere sancties zoals opgelegd door toezichthouders. ISO 27001:2022 controle A.8.24 behandelt cryptografie en vereist dat organisaties cryptografische controles correct beheren en beschermen tegen onbevoegde toegang, wijziging of verwijdering. Purge-bescherming draagt direct bij aan deze controle door ervoor te zorgen dat cryptografische sleutels niet per ongeluk, kwaadwillig, of door gecompromitteerde accounts permanent kunnen worden verwijderd. Dit is vooral belangrijk in het kader van ransomware-bescherming en bescherming tegen kwaadwillige insiders, waarbij aanvallers of kwaadwillige insiders proberen cryptografische sleutels te verwijderen om versleutelde gegevens onherstelbaar te maken of om sporen van hun activiteiten uit te wissen. Door purge-bescherming te implementeren, kunnen organisaties deze aanvallen mitigeren en ervoor zorgen dat cryptografische sleutels kunnen worden hersteld zelfs na een beveiligingsincident. ISO 27001-certificering vereist dat organisaties kunnen aantonen dat zij effectieve controles hebben geïmplementeerd voor het beheer van cryptografische sleutels, en purge-bescherming is een concrete manier om aan deze vereiste te voldoen. Tijdens nalevingsaudits moeten organisaties kunnen aantonen dat purge-bescherming is ingeschakeld op alle relevante Key Vaults en dat er adequate processen zijn geïmplementeerd om te waarborgen dat deze configuratie actief blijft. Dit vereist gedocumenteerd bewijs in de vorm van configuratiescreenshots, Azure Policy-nalevingsrapporten, geautomatiseerde scriptoutput, of andere auditbare documentatie. De auditEvidence sectie specificeert dat de purge-bescherming status moet worden bewaard voor een periode van zeven jaar, wat overeenkomt met de bewaarplicht voor overheidsdocumenten in Nederland en voldoet aan de vereisten van de Archiefwet. Deze documentatie moet regelmatig worden bijgewerkt en moet toegankelijk zijn voor auditors en toezichthouders tijdens nalevingsaudits. Organisaties moeten ook kunnen aantonen dat zij regelmatige controles uitvoeren om te verifiëren dat purge-bescherming actief blijft en dat er processen zijn geïmplementeerd om onmiddellijk te reageren wanneer purge-bescherming wordt uitgeschakeld of wanneer nieuwe Key Vaults worden aangemaakt zonder deze beveiliging. Organisaties moeten ook kunnen aantonen dat er regelmatige controles worden uitgevoerd om te verifiëren dat purge-bescherming actief blijft en dat er adequate monitoring en alerting is geïmplementeerd. Dit kan worden gedaan door middel van geautomatiseerde monitoring scripts, Azure Policy-nalevingsrapporten, handmatige verificaties die worden gedocumenteerd in een nalevingslogboek, of een combinatie van deze methoden. De frequentie van deze controles moet worden vastgelegd in het informatiebeveiligingsbeleid van de organisatie en moet worden gerechtvaardigd op basis van het risicoprofiel en de nalevingsvereisten. Voor productie-omgevingen wordt doorgaans een wekelijkse controle aanbevolen, terwijl voor ontwikkel- en testomgevingen een maandelijkse controle voldoende kan zijn. Deze controles moeten worden gedocumenteerd en moeten worden gerapporteerd aan management en nalevingsfunctionarissen om te waarborgen dat de organisatie voldoet aan alle relevante nalevingsvereisten. Voor organisaties die werken met geclassificeerde informatie volgens de BIO-normen is het belangrijk om te begrijpen dat het ontbreken van purge-bescherming kan worden beschouwd als een ernstige beveiligingsinbreuk die kan leiden tot significante gevolgen voor de organisatie. Dit kan leiden tot het verlies van certificering, het moeten onderbreken van dienstverlening totdat de beveiliging is hersteld, of andere sancties zoals opgelegd door toezichthouders of certificeringsinstanties. Daarom is het implementeren van purge-bescherming niet alleen een beste praktijk of aanbeveling, maar een absolute vereiste voor organisaties die voldoen aan Nederlandse overheidsstandaarden en die werken met gevoelige of geclassificeerde informatie. Organisaties moeten purge-bescherming beschouwen als een fundamentele beveiligingscontrole die niet kan worden overgeslagen of uitgesteld, en moeten ervoor zorgen dat alle Key Vaults, ongeacht hun omgeving of gebruik, zijn geconfigureerd met deze essentiële beveiligingsfunctie.
Remediatie
Gebruik PowerShell-script key-vault-purge-protection-enabled.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer monitoring aangeeft dat purge-bescherming niet is ingeschakeld op een Azure Key Vault, moet onmiddellijk actie worden ondernomen om deze kritieke beveiligingscontrole te implementeren en de organisatie te beschermen tegen het risico van onherstelbaar verlies van cryptografische sleutels. Het remediatieproces vereist zorgvuldige planning en coördinatie tussen verschillende teams, omdat purge-bescherming alleen kan worden ingeschakeld tijdens het aanmaken van een nieuwe Key Vault of wanneer een bestaande Key Vault volledig leeg is zonder enige objecten. Organisaties moeten een gestructureerd remediatieproces implementeren dat rekening houdt met de complexiteit van verschillende scenario's en dat ervoor zorgt dat alle toepassingen en services die afhankelijk zijn van de Key Vault correct blijven functioneren tijdens en na de remediatie. Voor nieuwe Key Vaults die nog geen objecten bevatten, is het remediatieproces relatief eenvoudig en kan het snel worden uitgevoerd zonder significante impact op bestaande systemen. Het remediatiescript dat beschikbaar is via de scriptReference functie kan worden gebruikt om automatisch een nieuwe Key Vault aan te maken met purge-bescherming ingeschakeld, of om purge-bescherming in te schakelen op een bestaande lege Key Vault. Dit script controleert eerst of soft-delete is ingeschakeld, omdat dit een technische vereiste is voor purge-bescherming. Als soft-delete niet is ingeschakeld, zal het script eerst soft-delete activeren voordat purge-bescherming kan worden geactiveerd. Vervolgens wordt de nieuwe Key Vault aangemaakt met beide functies geactiveerd, of wordt purge-bescherming ingeschakeld op de bestaande lege Key Vault. Het is belangrijk om te begrijpen dat purge-bescherming onomkeerbaar is zodra het is ingeschakeld, wat betekent dat organisaties deze beslissing zorgvuldig moeten overwegen en moeten verifiëren dat alle stakeholders op de hoogte zijn van deze permanente configuratiewijziging. Voor bestaande Key Vaults met actieve objecten zoals sleutels, geheimen of certificaten, is het remediatieproces aanzienlijk complexer en vereist een uitgebreide migratiestrategie die zorgvuldig moet worden gepland en uitgevoerd. Organisaties moeten eerst een volledige inventarisatie maken van alle objecten in de bestaande Key Vault, inclusief sleutels, geheimen, certificaten, en hun metadata zoals versies, labels, en toegangsbeleid. Vervolgens moeten alle objecten worden geëxporteerd of gedocumenteerd om ervoor te zorgen dat er geen gegevens verloren gaan tijdens de migratie. Dit proces kan tijdrovend zijn voor Key Vaults met veel objecten, en organisaties moeten voldoende tijd inplannen voor deze voorbereidende fase. Na de export moet een nieuwe Key Vault worden aangemaakt met purge-bescherming ingeschakeld vanaf het begin, waarna alle objecten moeten worden gemigreerd naar de nieuwe Key Vault met behoud van alle metadata en configuraties. Tijdens deze migratie moeten alle toepassingen en services die gebruik maken van de oude Key Vault worden bijgewerkt om te verwijzen naar de nieuwe Key Vault, wat coördinatie vereist tussen ontwikkelteams, operations teams, en security teams. Het is cruciaal om tijdens het migratieproces te zorgen voor minimale downtime en om ervoor te zorgen dat alle toepassingen en services die afhankelijk zijn van de Key Vault blijven functioneren zonder onderbreking. Organisaties moeten een uitgebreid rollback-plan ontwikkelen voor het geval er onverwachte problemen optreden tijdens de migratie, zoals fouten bij het migreren van objecten, problemen met toepassingsconfiguraties, of andere technische uitdagingen. Dit rollback-plan moet specifieke stappen bevatten voor het terugdraaien van wijzigingen en het herstellen van de oorspronkelijke configuratie indien nodig. In veel gevallen betekent dit dat beide Key Vaults tijdelijk parallel moeten draaien totdat alle toepassingen succesvol zijn overgezet en volledig zijn getest. Tijdens deze parallelle periode moeten beide Key Vaults worden beveiligd volgens dezelfde standaarden om geen beveiligingslekken te introduceren, en moeten organisaties ervoor zorgen dat er geen onbevoegde toegang is tot de oude Key Vault terwijl deze nog in gebruik is. Na het voltooien van de migratie en het verifiëren dat alle toepassingen succesvol werken met de nieuwe Key Vault, moet de oude Key Vault worden verwijderd om te voorkomen dat deze wordt gebruikt voor nieuwe objecten of dat er verwarring ontstaat over welke Key Vault actief is. Echter, deze verwijdering moet alleen plaatsvinden nadat uitgebreide verificatie heeft bevestigd dat alle toepassingen correct functioneren met de nieuwe Key Vault en dat er geen afhankelijkheden meer zijn van de oude Key Vault. Het is sterk aanbevolen om de oude Key Vault eerst in soft-delete status te laten staan voor een periode van minimaal 30 dagen, en bij voorkeur 90 dagen, voordat deze permanent wordt verwijderd. Dit biedt een extra beveiligingslaag en een veiligheidsnet in het geval dat er onverwachte problemen optreden met de nieuwe Key Vault of dat er objecten zijn gemist tijdens de migratie. Gedurende deze periode moet de oude Key Vault worden gemonitord om te verifiëren dat er geen toegangspogingen zijn en dat alle objecten correct zijn gemigreerd. Het remediatiescript biedt geautomatiseerde ondersteuning voor dit proces en kan veel van de technische stappen automatiseren, maar organisaties moeten altijd uitgebreide handmatige verificatie uitvoeren om te zorgen dat alle objecten correct zijn gemigreerd, dat alle metadata behouden is gebleven, en dat alle toepassingen correct functioneren met de nieuwe Key Vault. Deze verificatie moet worden gedocumenteerd en moet worden gerapporteerd aan management en compliance officers om te waarborgen dat de remediatie succesvol is voltooid en dat de organisatie voldoet aan alle compliance-vereisten. Het is ook belangrijk om alle stakeholders tijdig te informeren over de migratie, inclusief ontwikkelteams, security teams, compliance officers, en management, om ervoor te zorgen dat iedereen op de hoogte is van de wijzigingen, de impact begrijpt, en kan bijdragen aan een succesvolle remediatie. Deze communicatie moet beginnen voordat de migratie start en moet doorgaan tijdens en na de migratie om ervoor te zorgen dat alle betrokkenen op de hoogte blijven van de status en eventuele uitdagingen.
Compliance & Frameworks
- CIS M365: Control 5.1.3 (L1) - Purge bescherming
- BIO: 10.01 - Key bescherming
- ISO 27001:2022: A.8.24 - Cryptografie
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Key Vault Purge Protection Enabled
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 8.7
Controleert of purge protection is ingeschakeld voor Key Vaults.
.NOTES
Filename: key-vault-purge-protection-enabled.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 8.7
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.KeyVault
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Key Vault Purge Protection Enabled"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$vaults = Get-AzKeyVault -ErrorAction SilentlyContinue
$result = @{ TotalVaults = $vaults.Count; WithPurgeProtection = 0 }
foreach ($vault in $vaults) {
$vaultDetail = Get-AzKeyVault -VaultName $vault.VaultName -ErrorAction SilentlyContinue
if ($vaultDetail.EnablePurgeProtection) {
$result.WithPurgeProtection++
}
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Key Vaults: $($r.TotalVaults)" -ForegroundColor White
Write-Host "With Purge Protection: $($r.WithPurgeProtection)" -ForegroundColor $(if ($r.WithPurgeProtection -eq $r.TotalVaults) { 'Green' } else { 'Yellow' })
}
else {
$r = Test-Compliance
Write-Host "`nPurge Protection: $($r.WithPurgeProtection)/$($r.TotalVaults) vaults"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Key Vaults: $($r.TotalVaults)" -ForegroundColor White
Write-Host "With Purge Protection: $($r.WithPurgeProtection)" -ForegroundColor $(if ($r.WithPurgeProtection -eq $r.TotalVaults) { 'Green' } else { 'Yellow' })
}
else {
$r = Test-Compliance
Write-Host "`nPurge Protection: $($r.WithPurgeProtection)/$($r.TotalVaults) vaults"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Critical: Zonder purge-bescherming kunnen beheerders sleutels permanent verwijderen binnen het soft-delete venster, wat leidt tot onomkeerbaar gegevensverlies. Ransomware-aanvallers kunnen sleutels permanent verwijderen, waardoor versleutelde gegevens onherstelbaar worden. Naleving: CIS 5.1.3, BIO 10.01. Het risico is kritiek voor productie-kluizen.
Management Samenvatting
Purge-bescherming voorkomt permanente verwijdering van sleutels, zelfs beheerders kunnen niet permanent verwijderen binnen de negentig dagen retentieperiode. Bescherming tegen ransomware. Activatie: Key Vault naar Eigenschappen naar Purge-bescherming Ingeschakeld, waarbij opgemerkt moet worden dat deze instelling niet kan worden uitgeschakeld na activering. Deze functionaliteit is gratis beschikbaar. Verplicht volgens CIS 5.1.3 en BIO 10.01. Implementatie duurt ongeveer vijftien minuten. Onomkeerbare bescherming die een absolute vereiste vormt voor productieomgevingen.
- Implementatietijd: 1 uur
- FTE required: 0.01 FTE