💼 Management Samenvatting
Infrastructure-versleuteling voor Azure Storage biedt een extra beveiligingslaag door gegevens te versleutelen op zowel het platformniveau als het infrastructuurniveau. Deze beveiligingsmaatregel is essentieel voor het waarborgen van een veilige cloudomgeving en beschermt tegen ongeautoriseerde toegang en datalekken, met name voor workloads die gevoelige of geclassificeerde informatie bevatten.
Aanbeveling
OPTIONEEL - ALLEEN VOOR GECLASSIFICEERDE GEGEVENS
Risico zonder
Low
Risk Score
3/10
Implementatie
0.5u (tech: 0.5u)
Van toepassing op:
✓ Azure Storage
Zonder infrastructure-versleuteling zijn organisaties afhankelijk van alleen platformversleuteling, wat onvoldoende kan zijn voor workloads met staatsgeheimen of hoogwaardige geclassificeerde gegevens. Het ontbreken van deze dubbele versleutelingslaag kan leiden tot significante beveiligingsrisico's, waaronder mogelijke gegevenscompromittering, nalevingsschendingen en reputatieschade voor de organisatie. Voor Nederlandse overheidsorganisaties die werken met geclassificeerde informatie is infrastructure-versleuteling vaak een vereiste om te voldoen aan de BIO-normen voor hoogwaardige assurance.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.Storage
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.Storage
Implementatie
Infrastructure-versleuteling voor Azure Storage-accounts biedt een extra versleutelingslaag bovenop de standaard platformversleuteling. Deze functie versleutelt gegevens met 256-bits AES-versleuteling op zowel het hardwareniveau als het serviceniveau, waardoor een dubbele versleutelingslaag ontstaat. Het is cruciaal om deze functie in te schakelen tijdens het aanmaken van het opslagaccount, omdat het niet mogelijk is om infrastructure-versleuteling achteraf in te schakelen op bestaande opslagaccounts.
Vereisten en Voorwaarden
Infrastructure-versleuteling voor Azure Storage heeft specifieke vereisten en beperkingen die organisaties grondig moeten begrijpen voordat ze deze beveiligingsmaatregel implementeren. De belangrijkste en meest kritieke voorwaarde is dat infrastructure-versleuteling uitsluitend kan worden ingeschakeld tijdens het aanmaken van een nieuw opslagaccount. Deze fundamentele beperking heeft verstrekkende gevolgen voor de implementatiestrategie van organisaties, omdat het betekent dat bestaande opslagaccounts die deze beveiligingslaag nodig hebben, niet eenvoudig kunnen worden bijgewerkt. In plaats daarvan moeten organisaties een volledig migratieproces doorlopen waarbij alle gegevens worden gekopieerd naar een nieuw opslagaccount waar infrastructure-versleuteling wel is ingeschakeld. Deze technische beperking ontstaat omdat infrastructure-versleuteling werkt op het diepste niveau van de onderliggende infrastructuur, waaronder de fysieke opslagmedia, de netwerklaag en de hardware-encryptiecontrollers. Zodra een opslagaccount is aangemaakt zonder deze functie, is de onderliggende infrastructuur al geconfigureerd en kan deze niet meer worden aangepast zonder gegevensverlies of aanzienlijke downtime. De versleuteling wordt geïmplementeerd op een niveau dat vooraf moet worden bepaald tijdens de initiële provisioning van de opslaginfrastructuur. Daarom moeten organisaties tijdens de initiële planning van hun Azure Storage-architectuur al een weloverwogen beslissing nemen over of infrastructure-versleuteling nodig is voor hun specifieke use case en gegevensclassificatie. Voor Nederlandse overheidsorganisaties die werken met geclassificeerde informatie, staatsgeheimen of andere hoogwaardige vertrouwelijke gegevens, is infrastructure-versleuteling vaak een verplichte vereiste volgens de Baseline Informatiebeveiliging Overheid (BIO), specifiek BIO 10.01 voor hoogwaardige assurance. Deze norm vereist expliciet dubbele versleuteling voor geclassificeerde gegevens, wat betekent dat zowel platformversleuteling als infrastructure-versleuteling moeten worden toegepast. In dergelijke gevallen moet de organisatie vanaf het begin rekening houden met deze compliance-vereiste en alle nieuwe opslagaccounts die geclassificeerde gegevens zullen bevatten, moeten worden aangemaakt met infrastructure-versleuteling ingeschakeld. Het achteraf toevoegen van deze beveiligingslaag is niet mogelijk zonder volledige migratie, wat kostbaar en tijdrovend kan zijn. Voor de meeste standaard workloads en niet-geclassificeerde gegevens is de standaard platformversleuteling echter volledig voldoende om te voldoen aan de meeste beveiligings- en compliance-vereisten. Infrastructure-versleuteling is in deze gevallen overbodig en kan zelfs als overkill worden beschouwd, omdat het geen extra beveiligingswaarde biedt bovenop de reeds robuuste platformversleuteling. Organisaties moeten daarom een risicogebaseerde benadering hanteren waarbij infrastructure-versleuteling alleen wordt toegepast wanneer dit expliciet wordt vereist door compliance-frameworks of wanneer de organisatie werkt met gegevens die een extra beveiligingslaag rechtvaardigen. Organisaties moeten ook rekening houden met de operationele aspecten van infrastructure-versleuteling, waaronder kosten en prestaties. Een belangrijk voordeel is dat infrastructure-versleuteling geen extra kosten met zich meebrengt en geen meetbare impact heeft op de prestaties van het opslagaccount. Dit betekent dat er geen technische of financiële belemmeringen zijn om deze functie in te schakelen voor nieuwe accounts die geclassificeerde gegevens bevatten. Echter, gezien de fundamentele beperking dat het alleen bij aanmaak kan worden ingeschakeld, is het cruciaal om een weloverwogen beslissing te nemen op basis van de classificatie van de gegevens, de compliance-vereisten en de langetermijnstrategie van de organisatie. Een verkeerde beslissing kan leiden tot kostbare migraties in de toekomst of tot onnodige complexiteit voor workloads die deze extra beveiligingslaag niet nodig hebben.
Monitoring en Verificatie
Gebruik PowerShell-script infrastructure-encryption-storage.ps1 (functie Invoke-Monitoring) – Automatische verificatie van infrastructure-versleuteling.
Het monitoren en verifiëren van infrastructure-versleuteling is een kritieke en continue taak voor beveiligingsteams, compliance officers en IT-beheerders binnen Nederlandse overheidsorganisaties. Regelmatige en systematische controle zorgt ervoor dat alle opslagaccounts die geclassificeerde gegevens, staatsgeheimen of andere hoogwaardige vertrouwelijke informatie bevatten, daadwerkelijk zijn beveiligd met de vereiste dubbele versleutelingslaag. Dit is met name belangrijk voor organisaties die moeten voldoen aan de Baseline Informatiebeveiliging Overheid (BIO), specifiek BIO 10.01, of andere compliance-vereisten die expliciet infrastructure-versleuteling vereisen voor geclassificeerde gegevens. De verificatie van infrastructure-versleuteling kan op verschillende manieren worden uitgevoerd, afhankelijk van de voorkeur en de schaal van de organisatie. De meest directe methode is via de Azure Portal, waar beheerders naar het specifieke opslagaccount kunnen navigeren, de sectie 'Beveiliging' kunnen openen en de status van 'Infrastructure-versleuteling' kunnen bekijken. Deze status wordt duidelijk weergegeven als 'Ingeschakeld' of 'Uitgeschakeld', wat direct inzicht geeft in of het opslagaccount voldoet aan de vereisten. Voor organisaties die werken met command-line tools, biedt Azure PowerShell uitgebreide cmdlets zoals Get-AzStorageAccount waarmee de status van infrastructure-versleuteling programmatisch kan worden opgevraagd. Evenzo ondersteunt Azure CLI deze verificatie via de az storage account show command met de juiste parameters. Voor organisaties met meerdere opslagaccounts, grote Azure-omgevingen of complexe multi-abonnement architecturen is geautomatiseerde monitoring niet alleen handig, maar essentieel voor het waarborgen van continue compliance. Het gebruik van PowerShell-scripts, Azure Policy definities of Infrastructure as Code tools kan helpen om regelmatig en systematisch alle opslagaccounts binnen een abonnement of resourcegroep te controleren en te rapporteren over accounts die niet voldoen aan de vereisten. Deze geautomatiseerde controles kunnen worden geïntegreerd in bestaande monitoring- en waarschuwingssystemen, waardoor beveiligingsteams proactief kunnen worden gewaarschuwd wanneer nieuwe accounts worden aangemaakt zonder infrastructure-versleuteling of wanneer bestaande accounts niet voldoen aan de compliance-vereisten. Dit is met name belangrijk omdat infrastructure-versleuteling alleen kan worden ingeschakeld tijdens het aanmaken van een nieuw opslagaccount, wat betekent dat bestaande accounts die niet voldoen aan de vereisten, niet eenvoudig kunnen worden bijgewerkt. In plaats daarvan moeten deze accounts mogelijk worden gemigreerd naar nieuwe accounts met de juiste configuratie, wat een complex en kostbaar proces kan zijn. Door proactieve monitoring kunnen organisaties dergelijke situaties vroegtijdig identificeren en een migratieplan opstellen voordat er compliance-problemen ontstaan of voordat een audit wordt uitgevoerd. Naast technische verificatie moeten organisaties ook robuuste procesmatige controles implementeren die ervoor zorgen dat infrastructure-versleuteling standaard wordt toegepast waar nodig. Dit betekent dat bij het aanmaken van nieuwe opslagaccounts voor geclassificeerde gegevens, er een gestandaardiseerde checklist of goedkeuringsproces moet worden gebruikt die expliciet controleert of infrastructure-versleuteling is ingeschakeld voordat het account in productie wordt genomen. Dit voorkomt menselijke fouten en zorgt ervoor dat alle nieuwe accounts vanaf het begin voldoen aan de compliance-vereisten. Het proces moet worden gedocumenteerd in de organisatorische procedures en moet deel uitmaken van de standaard onboarding-procedures voor nieuwe opslagaccounts. Voor auditdoeleinden en compliance-verificatie moeten alle verificaties van infrastructure-versleuteling worden gedocumenteerd en bewaard volgens de vereiste bewaartermijnen. Voor Nederlandse overheidsorganisaties is de standaard bewaartermijn voor dergelijke auditbewijzen meestal zeven jaar, wat betekent dat organisaties een robuust systeem moeten hebben voor het archiveren, beheren en terugvinden van deze documentatie. De documentatie moet de status van infrastructure-versleuteling voor elk relevant opslagaccount bevatten, inclusief de datum waarop de verificatie is uitgevoerd, de persoon of het systeem dat de verificatie heeft uitgevoerd, en eventuele bevindingen of acties die zijn genomen. Deze documentatie is essentieel voor het kunnen aantonen van compliance tijdens externe audits of certificeringsprocessen.
Compliance en Audit
Infrastructure-versleuteling voor Azure Storage speelt een cruciale en onmisbare rol in het voldoen aan verschillende compliance-vereisten en beveiligingsstandaarden, met name voor Nederlandse overheidsorganisaties die werken met geclassificeerde informatie, staatsgeheimen of andere hoogwaardige vertrouwelijke gegevens. De belangrijkste compliance-frameworks die infrastructure-versleuteling expliciet vereisen of sterk aanbevelen, zijn de Baseline Informatiebeveiliging Overheid (BIO), de internationale ISO 27001:2022 standaard, en in sommige gevallen ook de NIST Cybersecurity Framework en de AVG (Algemene Verordening Gegevensbescherming) voor specifieke categorieën van persoonsgegevens. De Baseline Informatiebeveiliging Overheid (BIO) is het primaire beveiligingskader voor Nederlandse overheidsorganisaties en bevat specifieke vereisten voor versleuteling van geclassificeerde gegevens. BIO 10.01, gericht op hoogwaardige assurance en dubbele versleuteling, vereist expliciet dat geclassificeerde gegevens worden beschermd met meerdere versleutelingslagen. Infrastructure-versleuteling in combinatie met platformversleuteling voldoet volledig aan deze vereiste door gegevens te versleutelen op zowel het platformniveau als het diepste infrastructuurniveau, inclusief de fysieke opslagmedia en de hardware-encryptiecontrollers. Dit biedt een extra beveiligingslaag die essentieel is voor workloads die staatsgeheimen, hoogwaardige geclassificeerde informatie of andere kritieke overheidsgegevens bevatten. Nederlandse overheidsorganisaties die moeten voldoen aan BIO 10.01 moeten daarom infrastructure-versleuteling implementeren voor alle opslagaccounts die dergelijke gegevens bevatten, zonder uitzondering. De internationale ISO 27001:2022 standaard, specifiek controle A.8.24 over cryptografie, vereist dat organisaties passende cryptografische controles implementeren om de vertrouwelijkheid, authenticiteit en integriteit van informatie te beschermen. Infrastructure-versleuteling draagt substantieel bij aan het voldoen aan deze controle door een extra versleutelingslaag te bieden die de vertrouwelijkheid van gegevens aanzienlijk versterkt, zelfs in het geval van compromittering van de platformversleuteling. Hoewel ISO 27001 niet expliciet dubbele versleuteling vereist voor alle workloads, wordt het beschouwd als een best practice en sterk aanbevolen voor organisaties die werken met gevoelige informatie, geclassificeerde gegevens of persoonsgegevens die extra bescherming vereisen. Voor organisaties die ISO 27001-certificering nastreven of behouden, kan infrastructure-versleuteling een belangrijke differentiator zijn die aantoont dat de organisatie proactief en grondig omgaat met informatiebeveiliging. Naast BIO en ISO 27001 kunnen andere compliance-frameworks en sectorale normen ook vereisten stellen die relevant zijn voor infrastructure-versleuteling. Voor organisaties die werken met persoonsgegevens kan de AVG (Algemene Verordening Gegevensbescherming) vereisen dat passende technische en organisatorische maatregelen worden genomen om persoonsgegevens te beschermen, waarbij versleuteling wordt genoemd als een belangrijke beveiligingsmaatregel. Hoewel de AVG niet expliciet dubbele versleuteling vereist, kan infrastructure-versleuteling bijdragen aan het aantonen van compliance met artikel 32 van de AVG, dat vereist dat organisaties passende beveiligingsmaatregelen implementeren rekening houdend met de stand van de techniek. Voor auditdoeleinden en compliance-verificatie moeten organisaties kunnen aantonen en documenteren dat infrastructure-versleuteling is ingeschakeld voor alle relevante opslagaccounts die geclassificeerde gegevens bevatten. Dit vereist uitgebreide en gedetailleerde verificaties die regelmatig worden uitgevoerd, gedocumenteerd en bewaard volgens de vereiste bewaartermijnen. De auditbewijzen moeten een complete en traceerbare registratie bevatten van de status van infrastructure-versleuteling voor elk relevant opslagaccount, inclusief de datum en tijd waarop de verificatie is uitgevoerd, de persoon of het geautomatiseerde systeem dat de verificatie heeft uitgevoerd, de gebruikte verificatiemethode, en eventuele bevindingen of corrigerende acties die zijn genomen. Voor Nederlandse overheidsorganisaties is de standaard bewaartermijn voor dergelijke auditbewijzen zeven jaar, wat betekent dat organisaties een robuust, schaalbaar en betrouwbaar systeem moeten hebben voor het archiveren, beheren, terugvinden en beveiligen van deze documentatie tegen verlies, corruptie of ongeautoriseerde toegang. Het is belangrijk om te benadrukken dat infrastructure-versleuteling niet voor alle workloads vereist of aanbevolen is. Voor de meeste standaard workloads, niet-geclassificeerde gegevens en reguliere bedrijfsapplicaties is de standaard platformversleuteling volledig voldoende om te voldoen aan de meeste compliance-vereisten en beveiligingsstandaarden. Infrastructure-versleuteling moet worden gereserveerd voor workloads die daadwerkelijk geclassificeerde informatie, staatsgeheimen of andere hoogwaardige vertrouwelijke gegevens bevatten, waar de extra beveiligingslaag gerechtvaardigd en vereist is door de specifieke risico's, compliance-vereisten en gegevensclassificatie. Het onnodig toepassen van infrastructure-versleuteling op alle workloads kan leiden tot onnodige complexiteit, verhoogde operationele overhead en mogelijk zelfs tot compliance-problemen als organisaties niet kunnen aantonen waarom de extra beveiligingslaag nodig is voor specifieke workloads.
Remediatie en Herstel
Gebruik PowerShell-script infrastructure-encryption-storage.ps1 (functie Invoke-Remediation) – Automatische remediatie van niet-compliant opslagaccounts.
Wanneer een opslagaccount niet voldoet aan de vereisten voor infrastructure-versleuteling, is remediatie aanzienlijk complexer en tijdrovender dan bij veel andere beveiligingsmaatregelen die eenvoudig kunnen worden bijgewerkt via configuratiewijzigingen. Deze complexiteit ontstaat omdat infrastructure-versleuteling fundamenteel werkt op het niveau van de onderliggende infrastructuur en alleen kan worden ingeschakeld tijdens het aanmaken van een nieuw opslagaccount. Dit betekent dat bestaande accounts die niet voldoen aan de compliance-vereisten, niet eenvoudig kunnen worden bijgewerkt met een simpele configuratiewijziging of policy-toepassing. In plaats daarvan moeten organisaties een volledig en zorgvuldig gepland migratieproces doorlopen waarbij alle gegevens, configuraties, toegangsrechten en eventuele bijbehorende resources worden gekopieerd of verplaatst naar een nieuw opslagaccount waar infrastructure-versleuteling wel is ingeschakeld. Het remediatieproces begint met een grondige inventarisatie en identificatie van alle opslagaccounts binnen de organisatie die niet voldoen aan de vereisten voor infrastructure-versleuteling. Dit kan efficiënt worden gedaan via geautomatiseerde PowerShell-scripts, Azure CLI-commando's of Azure Policy definities die systematisch alle opslagaccounts in een abonnement, resourcegroep of gehele tenant controleren en rapporteren over accounts waar infrastructure-versleuteling niet is ingeschakeld. De inventarisatie moet niet alleen de status van infrastructure-versleuteling bevatten, maar ook belangrijke metadata zoals de gegevensclassificatie van de opgeslagen gegevens, de workloads die gebruik maken van het account, de compliance-vereisten die van toepassing zijn, en de business impact van een mogelijke migratie. Voor accounts die geclassificeerde gegevens, staatsgeheimen of andere hoogwaardige vertrouwelijke informatie bevatten en moeten voldoen aan BIO 10.01 of andere strikte compliance-vereisten, moet onmiddellijk een gedetailleerd migratieplan worden opgesteld met duidelijke tijdlijnen, verantwoordelijkheden en risicobeperkende maatregelen. De migratie naar een nieuw opslagaccount met infrastructure-versleuteling vereist uiterst zorgvuldige en gedetailleerde planning om downtime, gegevensverlies, service-interrupties en compliance-schendingen te voorkomen. Het proces begint met het aanmaken van een nieuw opslagaccount met infrastructure-versleuteling expliciet ingeschakeld in de geavanceerde instellingen tijdens het aanmaakproces. Vervolgens moeten alle gegevens, inclusief blobs, bestanden, tabellen en queues, worden gekopieerd van het oude account naar het nieuwe account met behoud van alle metadata, eigenschappen, tags en toegangsrechten. Dit kan worden gedaan met behulp van tools zoals AzCopy, Azure Storage Explorer, of geautomatiseerde scripts, waarbij de integriteit en volledigheid van de gegevens op elk moment moet worden geverifieerd. Na de gegevensmigratie moeten alle applicaties, services, verbindingsstrings, configuratiebestanden en eventuele infrastructuur-als-code templates worden bijgewerkt om naar het nieuwe opslagaccount te verwijzen. Tijdens dit proces moet de beschikbaarheid van services worden gewaarborgd, wat kan betekenen dat er een periode is waarin beide accounts actief zijn en gegevens worden gesynchroniseerd, of dat er een geplande onderhoudsperiode nodig is voor de overstap. Voor nieuwe opslagaccounts die nog moeten worden aangemaakt, is remediatie veel eenvoudiger en directer: zorg ervoor dat bij het aanmaken van het account infrastructure-versleuteling expliciet wordt ingeschakeld in de geavanceerde instellingen van het opslagaccount. Dit kan worden geautomatiseerd en gestandaardiseerd via Azure Resource Manager templates, Azure Policy definities met automatische remediatie, of infrastructuur-als-code tools zoals Terraform of Bicep. Door infrastructure-versleuteling standaard in te schakelen voor alle nieuwe accounts die geclassificeerde gegevens bevatten, voorkomt de organisatie toekomstige compliance-problemen en elimineert de noodzaak voor kostbare migraties. Het is aan te raden om Azure Policy te gebruiken om te controleren dat alle nieuwe opslagaccounts die worden aangemaakt voor workloads met geclassificeerde gegevens, automatisch infrastructure-versleuteling hebben ingeschakeld, en om waarschuwingen te genereren wanneer accounts worden aangemaakt zonder deze beveiligingslaag. Het is belangrijk om te benadrukken dat voor de meeste workloads en niet-geclassificeerde gegevens infrastructure-versleuteling niet nodig is en dat remediatie alleen moet worden uitgevoerd wanneer dit expliciet wordt vereist door compliance-vereisten zoals BIO 10.01, of wanneer de organisatie werkt met staatsgeheimen, hoogwaardige geclassificeerde informatie of andere gegevens die een extra beveiligingslaag rechtvaardigen. Voor standaard workloads, reguliere bedrijfsapplicaties en niet-geclassificeerde gegevens is de standaard platformversleuteling volledig voldoende om te voldoen aan de meeste beveiligings- en compliance-vereisten. Het migreren van dergelijke workloads naar infrastructure-versleuteling is onnodig, kostbaar en kan zelfs als overkill worden beschouwd, omdat het geen extra beveiligingswaarde biedt bovenop de reeds robuuste platformversleuteling. Organisaties moeten daarom een risicogebaseerde benadering hanteren waarbij remediatie alleen wordt uitgevoerd voor workloads waar dit expliciet wordt vereist of gerechtvaardigd is door de specifieke risico's en compliance-vereisten.
Compliance & Frameworks
- BIO: 10.01 - Dubbele versleuteling
- ISO 27001:2022: A.8.24 - Cryptografie
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Infrastructure Encryption Storage
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 3.13
Controleert infrastructure encryption voor storage accounts.
.NOTES
Filename: infrastructure-encryption-storage.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 3.13
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Storage
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Infrastructure Encryption Storage"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$storageAccounts = Get-AzStorageAccount -ErrorAction SilentlyContinue
$result = @{ TotalAccounts = $storageAccounts.Count; WithInfraEncryption = 0 }
foreach ($account in $storageAccounts) {
if ($account.Encryption.RequireInfrastructureEncryption) {
$result.WithInfraEncryption++
}
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Storage Accounts: $($r.TotalAccounts)" -ForegroundColor White
Write-Host "With Infrastructure Encryption: $($r.WithInfraEncryption)" -ForegroundColor $(if ($r.WithInfraEncryption -gt 0) { 'Green' } else { 'Yellow' })
}
else {
$r = Test-Compliance
Write-Host "`nInfrastructure Encryption: $($r.WithInfraEncryption)/$($r.TotalAccounts) accounts"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Storage Accounts: $($r.TotalAccounts)" -ForegroundColor White
Write-Host "With Infrastructure Encryption: $($r.WithInfraEncryption)" -ForegroundColor $(if ($r.WithInfraEncryption -gt 0) { 'Green' } else { 'Yellow' })
}
else {
$r = Test-Compliance
Write-Host "`nInfrastructure Encryption: $($r.WithInfraEncryption)/$($r.TotalAccounts) accounts"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Low: Standaardversleuteling is voldoende voor 99 procent van de workloads. Infrastructure-versleuteling biedt dubbele versleuteling (platformlaag + infrastructuurlaag). Vereist voor compliance: staatsgeheimen en geclassificeerde gegevens. Het risico is laag voor standaard workloads - standaardversleuteling is voldoende.
Management Samenvatting
Infrastructure-versleuteling: Dubbele versleutelingslaag (256-bits AES op platformniveau + 256-bits AES op infrastructuurniveau). MOET worden ingesteld bij het aanmaken van het opslagaccount (kan niet later worden ingeschakeld). Geen prestatie-impact. Activatie: Opslagaccount aanmaken → Geavanceerd → Infrastructure-versleuteling. Gratis. Implementatie: 30 minuten. ALLEEN voor geclassificeerde/staatsgeheimen workloads - anders overkill.
- Implementatietijd: 0.5 uur
- FTE required: 0.01 FTE