💼 Management Samenvatting
Veilige overdracht vereist dwingt HTTPS/TLS-versleuteling af voor alle communicatie met Azure opslagaccounts, waardoor gegevens tijdens transport worden beschermd tegen onderschepping en man-in-the-middle (MITM) aanvallen.
Aanbeveling
Implementeer
Risico zonder
Critical
Risk Score
9/10
Implementatie
0u
Van toepassing op:
✓ Azure opslag
✓ blob opslag
✓ bestandsopslag
✓ Queue opslag
✓ Table opslag
✓ blob opslag
✓ bestandsopslag
✓ Queue opslag
✓ Table opslag
Azure opslag zonder de vereiste voor veilige overdracht accepteert zowel HTTP als HTTPS verbindingen. HTTP-verkeer wordt onversleuteld als platte tekst verzonden, wat ernstige beveiligingsrisico's met zich meebrengt. Authenticatiegegevens zoals SAS-tokens en opslagaccount sleutels worden in platte tekst over het netwerk verzonden en kunnen eenvoudig worden onderschept door kwaadwillenden. Blob- en bestandsgegevens worden eveneens onversleuteld verstuurd, waardoor aanvallers de inhoud kunnen lezen zonder enige beveiligingsbarrière. Bovendien maken MITM-aanvallen het mogelijk dat aanvallers verkeer kunnen onderscheppen en zelfs modificeren zonder dat dit wordt opgemerkt. Deze situatie leidt onvermijdelijk tot compliance-overtredingen, aangezien de Algemene Verordening Gegevensbescherming (AVG), de NIS2-richtlijn en de BIO-normen allemaal versleuteling tijdens transport vereisen voor gevoelige gegevens. Dit is bijzonder problematisch voor Azure opslagaccounts die gevoelige bedrijfsgegevens bevatten, publiek toegankelijke blob-containers, opslag die wordt gebruikt voor back-up en disaster recovery, en opslag met persoonsgegevens of financiële informatie. De vereiste voor veilige overdracht blokkeert alle HTTP-verzoeken en dwingt HTTPS/TLS 1.2 of hoger af voor alle bewerkingen, inclusief blob-upload en -download, toegang tot bestandsshares, queue- en table-bewerkingen, en beheerbewerkingen via de REST API.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.opslag
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.opslag
Implementatie
Deze controle configureert de EnableHttpsTrafficOnly-eigenschap op Azure opslagaccounts en stelt deze in op True. Wanneer deze functie is ingeschakeld, worden alle HTTP-verzoeken afgewezen met foutcode 400 (Bad Request), waardoor alleen HTTPS-verzoeken met TLS 1.2 of hoger worden geaccepteerd. Opslagaccount sleutels en SAS-tokens worden versleuteld tijdens transport, en beheerbewerkingen via Azure Portal en PowerShell gebruiken automatisch HTTPS. De eigenschap kan worden ingesteld via Azure Portal, PowerShell met de opdracht Set-AzStorageAccount -EnableHttpsTrafficOnly $true, Azure CLI of ARM-sjablonen. Best practice is om veilige overdracht in te schakelen bij het aanmaken van het opslagaccount en deze functie nooit uit te schakelen. Voor legacy-applicaties die HTTP gebruiken, moet migratie naar HTTPS plaatsvinden voordat veilige overdracht wordt ingeschakeld, om te voorkomen dat deze applicaties onverwacht worden geblokkeerd.
Vereisten
Voor het implementeren van de vereiste voor veilige overdracht zijn verschillende technische en organisatorische voorwaarden essentieel. Allereerst moet er een Azure opslagaccount beschikbaar zijn, waarbij alle typen opslag worden ondersteund, inclusief Blob Storage voor objectopslag, File Storage voor bestandsshares, Queue Storage voor berichtenwachtrijen en Table Storage voor NoSQL-gegevens. Deze veelzijdigheid betekent dat de implementatie van toepassing is op vrijwel elk opslagscenario binnen de Azure-omgeving, ongeacht het specifieke type gegevens dat wordt opgeslagen.
Wat betreft toegangsrechten is het van cruciaal belang dat de persoon of service-principal die de configuratie uitvoert, beschikt over voldoende machtigingen. De minimale vereiste rol is die van Storage Account Contributor, maar voor een volledige implementatie is de rol van Owner of Contributor op abonnementsniveau aanbevolen. Deze rechten zijn noodzakelijk omdat het wijzigen van de EnableHttpsTrafficOnly-eigenschap een bewerking op abonnementsniveau is die invloed heeft op de beveiligingsconfiguratie van het gehele opslagaccount.
Voor geautomatiseerde implementatie en monitoring is PowerShell 5.1 of hoger vereist, samen met de Az.Storage-module. Deze module biedt de benodigde cmdlets voor het beheren van opslagaccounts, waaronder Set-AzStorageAccount voor het configureren van de veilige overdracht-eigenschap en Get-AzStorageAccount voor het valideren van de huidige configuratie. Voor organisaties die werken met Azure CLI of ARM-sjablonen, zijn de equivalente commando's en sjabloonparameters beschikbaar, maar PowerShell blijft de aanbevolen methode voor bulkbewerkingen en geautomatiseerde scripts.
Een grondige inventarisatie van alle applicaties die gebruik maken van het opslagaccount is absoluut essentieel voordat de implementatie wordt gestart. Dit omvat niet alleen webapplicaties en API's, maar ook back-upsoftware, monitoringtools, data-integratiesystemen en eventuele legacy-applicaties die mogelijk nog HTTP-verbindingen gebruiken. Elke applicatie die niet is geconfigureerd voor HTTPS zal onmiddellijk falen zodra veilige overdracht wordt ingeschakeld, wat kan leiden tot onverwachte uitval van kritieke bedrijfsprocessen.
Verificatie dat alle clientapplicaties HTTPS ondersteunen, is een kritieke stap die niet mag worden overgeslagen. Dit vereist het controleren van connection strings, configuratiebestanden en code die verwijzen naar opslagaccounts. Connection strings moeten expliciet het HTTPS-protocol gebruiken in plaats van HTTP, en applicaties moeten worden getest om te bevestigen dat ze correct werken met TLS 1.2 of hoger. Voor Azure Files die gebruik maken van het SMB-protocol, is het belangrijk om te verifiëren dat clients SMB 3.0 of hoger ondersteunen, aangezien SMB 2.1 geen versleuteling ondersteunt en daarom niet compatibel is met de vereisten voor veilige overdracht.
Een testomgeving is onmisbaar voor de validatie van HTTPS-only toegang voordat de wijziging wordt doorgevoerd in productie. Deze omgeving moet een representatieve kopie zijn van de productieomgeving, inclusief alle applicaties en integraties die gebruik maken van opslag. Door eerst in de testomgeving te valideren, kunnen potentiële problemen worden geïdentificeerd en opgelost zonder impact op de productieomgeving. Dit omvat het testen van alle toegangspaden, het valideren van performance-impact en het bevestigen dat alle applicaties correct functioneren met alleen HTTPS-verbindingen.
Ten slotte is een rollbackplan essentieel voor het geval er onverwachte problemen optreden na het inschakelen van veilige overdracht. Hoewel het niet wordt aanbevolen om veilige overdracht uit te schakelen, kan het in noodsituaties tijdelijk nodig zijn om bedrijfskritieke applicaties weer operationeel te maken. Het rollbackplan moet duidelijk documenteren welke stappen moeten worden genomen, wie verantwoordelijk is voor de beslissing en hoe snel de rollback kan worden uitgevoerd. Dit plan moet ook communicatieprocedures bevatten voor het informeren van betrokken stakeholders over eventuele wijzigingen in de beveiligingsconfiguratie.
Implementatie
Gebruik PowerShell-script secure-transfer-VEREIST.ps1 (functie Invoke-Monitoring) – PowerShell script voor validatie van EnableHttpsTrafficOnly eigenschap op alle Azure opslagaccounts.
De implementatie van veilige overdracht kan worden uitgevoerd via verschillende methoden, waarbij de keuze afhangt van de schaal van de implementatie en de voorkeuren van de organisatie. Voor individuele opslagaccounts of kleine omgevingen biedt Azure Portal een gebruiksvriendelijke interface, terwijl PowerShell de voorkeur heeft voor bulkbewerkingen en geautomatiseerde implementaties. Het beschikbare PowerShell-script biedt een geautomatiseerde manier om de EnableHttpsTrafficOnly-eigenschap te valideren op alle Azure opslagaccounts binnen een abonnement of resourcegroep.
Implementatie via Azure Portal begint met navigeren naar de Azure Portal en het selecteren van de sectie voor opslagaccounts. Voor elk opslagaccount dat moet worden geconfigureerd, moet de gebruiker naar de Configuration-sectie navigeren, waar de optie voor veilige overdracht vereist beschikbaar is. Door deze optie in te schakelen en de wijzigingen op te slaan, wordt de EnableHttpsTrafficOnly-eigenschap onmiddellijk geactiveerd. Na het opslaan is het essentieel om te verifiëren dat de configuratie correct werkt door een HTTP-verzoek te proberen, wat moet resulteren in een 400-foutmelding, en een HTTPS-verzoek te testen, wat normaal moet functioneren. Deze verificatiestappen bevestigen dat de configuratie succesvol is toegepast en dat alleen beveiligde verbindingen worden geaccepteerd.
Voor organisaties met meerdere opslagaccounts is implementatie via PowerShell sterk aanbevolen vanwege de mogelijkheid tot bulkbewerkingen en geautomatiseerde uitvoering. Het proces begint met het verbinden met Azure via de Connect-AzAccount-cmdlet, waarna alle opslagaccounts kunnen worden opgehaald met Get-AzStorageAccount. Voor individuele accounts kan de Set-AzStorageAccount-cmdlet worden gebruikt met de parameters -ResourceGroupName, -Name en -EnableHttpsTrafficOnly $true. Voor bulkbewerkingen kan een geautomatiseerd script worden gebruikt dat alle opslagaccounts filtert waar veilige overdracht nog niet is ingeschakeld en deze vervolgens configureert. Na de implementatie moet verificatie plaatsvinden door de EnableHttpsTrafficOnly-eigenschap te controleren voor alle accounts om te bevestigen dat de configuratie correct is toegepast.
Het is van cruciaal belang om eerst te testen met één niet-kritiek opslagaccount voordat bulk-updates worden uitgevoerd. Deze aanpak maakt het mogelijk om potentiële problemen te identificeren en op te lossen zonder impact op de volledige omgeving. Tijdens deze testfase moeten alle applicaties die gebruik maken van het testaccount worden gecontroleerd om te bevestigen dat ze correct werken met alleen HTTPS-verbindingen. Eventuele problemen kunnen dan worden opgelost voordat de implementatie wordt uitgebreid naar andere accounts.
Voordat veilige overdracht wordt ingeschakeld, moet een grondige inventarisatie worden uitgevoerd van alle applicaties die gebruik maken van opslagaccounts. Dit omvat het identificeren van webapplicaties, API's, back-upsystemen, monitoringtools en eventuele andere systemen die verbinding maken met opslag. Voor elke applicatie moet worden geverifieerd dat deze HTTPS gebruikt door connection strings en configuratiebestanden te controleren. Voor Azure Files die gebruik maken van het SMB-protocol, is het essentieel om te verifiëren dat clients SMB 3.0 of hoger ondersteunen, aangezien SMB 2.1 geen versleuteling ondersteunt en daarom niet compatibel is met de vereisten voor veilige overdracht. Na het inschakelen van veilige overdracht moet toegang worden getest om te bevestigen dat alle applicaties correct functioneren, en moet monitoring worden ingesteld om toegangsweigeringen te detecteren die kunnen wijzen op applicaties die nog steeds HTTP proberen te gebruiken.
Monitoring
Gebruik PowerShell-script secure-transfer-required.ps1 (functie Invoke-Monitoring) – Controleren van veilige overdracht configuratie op alle Azure opslagaccounts.
Continue monitoring van veilige overdracht is essentieel om te waarborgen dat de beveiligingsconfiguratie consistent blijft en dat nieuwe opslagaccounts automatisch worden geconfigureerd volgens de organisatorische beveiligingsstandaarden. Het beschikbare PowerShell-script biedt geautomatiseerde monitoringmogelijkheden die kunnen worden geïntegreerd in bestaande monitoring- en complianceprocessen.
Azure Policy biedt een krachtige manier om compliance te handhaven door automatisch te controleren of alle opslagaccounts zijn geconfigureerd met veilige overdracht ingeschakeld. Door het implementeren van de ingebouwde policy 'Veilige overdracht naar Azure opslagaccounts zou moeten zijn ingeschakeld' kunnen organisaties ervoor zorgen dat alle nieuwe en bestaande opslagaccounts voldoen aan de beveiligingsvereisten. Deze policy kan worden toegepast op abonnements- of resourcegroepniveau en genereert compliance-rapporten die duidelijk aangeven welke accounts niet voldoen aan de vereisten.
Voor nieuwe Azure opslagaccounts is het van cruciaal belang om automatische inschakeling van veilige overdracht te implementeren via Azure Policy. Dit voorkomt dat nieuwe accounts worden aangemaakt zonder de juiste beveiligingsconfiguratie en elimineert de noodzaak voor handmatige interventie bij elke accountaanmaak. De policy kan worden geconfigureerd om automatisch de EnableHttpsTrafficOnly-eigenschap in te schakelen wanneer een nieuw account wordt aangemaakt, waardoor menselijke fouten worden voorkomen en consistentie wordt gewaarborgd.
Opslag analytics logs bieden waardevolle inzichten in de toegangspatronen en kunnen worden gebruikt om te monitoren op HTTP-verzoekpogingen. In een correct geconfigureerde omgeving zouden alle HTTP-verzoeken moeten worden geweigerd, wat betekent dat er geen HTTP-verkeer zou moeten zijn in de logs. Het monitoren van deze logs helpt bij het identificeren van applicaties of systemen die mogelijk nog steeds proberen HTTP-verbindingen te gebruiken, wat kan wijzen op configuratieproblemen of niet-geüpdatete applicaties. Regelmatige analyse van deze logs maakt het mogelijk om problemen proactief te identificeren en op te lossen voordat ze tot beveiligingsincidenten leiden.
Automatische waarschuwingen moeten worden geconfigureerd om te alarmeren wanneer opslagaccounts worden gedetecteerd waar veilige overdracht is uitgeschakeld. Deze waarschuwingen kunnen worden geïntegreerd met bestaande monitoring- en incidentresponssystemen om ervoor te zorgen dat eventuele wijzigingen in de beveiligingsconfiguratie onmiddellijk worden opgemerkt en aangepakt. Dit is vooral belangrijk omdat het uitschakelen van veilige overdracht een ernstige beveiligingsrisico vormt en onmiddellijke aandacht vereist.
Kwartaalcontroles moeten worden uitgevoerd om te valideren dat honderd procent van alle Azure opslagaccounts de EnableHttpsTrafficOnly-eigenschap heeft ingesteld op true. Deze audits moeten worden gedocumenteerd en kunnen worden gebruikt voor compliance-rapportage en externe audits. Het gebruik van geautomatiseerde scripts maakt het mogelijk om deze validatie efficiënt uit te voeren en gedetailleerde rapporten te genereren die kunnen worden gebruikt voor zowel interne als externe doeleinden.
Het monitoren van clientapplicatiefouten die gerelateerd zijn aan HTTP-weigeringen is essentieel voor het identificeren van applicaties die mogelijk nog niet zijn geüpdatet om HTTPS te gebruiken. Deze fouten kunnen wijzen op configuratieproblemen, verouderde applicaties of onjuist geconfigureerde connection strings. Door deze fouten te monitoren en te analyseren, kunnen organisaties proactief problemen identificeren en oplossen voordat ze leiden tot operationele problemen of beveiligingsincidenten.
Remediatie
Gebruik PowerShell-script secure-transfer-required.ps1 (functie Invoke-Remediation) – Herstellen van niet-conforme opslagaccounts door veilige overdracht in te schakelen.
Voor Azure opslagaccounts die nog niet zijn geconfigureerd met veilige overdracht, is een gestructureerde remediatieaanpak essentieel om te waarborgen dat de implementatie succesvol is en geen onverwachte impact heeft op bedrijfskritieke applicaties. Het beschikbare PowerShell-script biedt geautomatiseerde mogelijkheden voor het identificeren en herstellen van niet-conforme accounts, wat het proces aanzienlijk versnelt en menselijke fouten reduceert.
De eerste stap in het remediatieproces is het identificeren van niet-conforme accounts via het monitoring- of remediatiescript. Dit script scant alle opslagaccounts binnen het abonnement of de resourcegroep en identificeert accounts waar de EnableHttpsTrafficOnly-eigenschap is ingesteld op false of niet is geconfigureerd. Deze identificatie moet regelmatig worden uitgevoerd, bij voorkeur dagelijks of wekelijks, om ervoor te zorgen dat nieuwe accounts of wijzigingen in bestaande accounts onmiddellijk worden opgemerkt.
Nadat niet-conforme accounts zijn geïdentificeerd, moet de impact worden geëvalueerd door te controleren of er applicaties zijn die HTTP gebruiken. Dit kan worden gedaan door opslag analytics logs te analyseren om te zien of er HTTP-verzoeken worden gedaan naar het account. Als er HTTP-verkeer wordt gedetecteerd, betekent dit dat er applicaties zijn die moeten worden geüpdatet voordat veilige overdracht kan worden ingeschakeld. Deze impactanalyse is cruciaal om te voorkomen dat bedrijfskritieke applicaties onverwacht worden geblokkeerd.
Voor accounts waar HTTP-verkeer wordt gedetecteerd, moet een migratieplan worden ontwikkeld dat alle benodigde stappen documenteert. Dit plan moet beginnen met het bijwerken van client connection strings om HTTP te vervangen door HTTPS. Alle connection strings die verwijzen naar opslagaccounts moeten worden gecontroleerd en bijgewerkt, inclusief die in configuratiebestanden, omgevingsvariabelen en code. Voor Azure Files die gebruik maken van het SMB-protocol, moeten SMB-clients worden geüpgraded naar versie 3.0 of hoger, aangezien eerdere versies geen versleuteling ondersteunen en daarom niet compatibel zijn met de vereisten voor veilige overdracht. Na het bijwerken van configuraties moet connectiviteit worden getest met HTTPS om te bevestigen dat alle applicaties correct werken voordat veilige overdracht wordt ingeschakeld.
Zodra alle applicaties zijn geüpdatet en getest, kan veilige overdracht worden ingeschakeld met de Set-AzStorageAccount-cmdlet met de parameter -EnableHttpsTrafficOnly $true. Deze stap moet zorgvuldig worden uitgevoerd, bij voorkeur tijdens een gepland onderhoudsvenster om eventuele onverwachte problemen te kunnen aanpakken zonder impact op gebruikers. Na het inschakelen moet verificatie plaatsvinden door alle clientapplicaties te testen om te bevestigen dat ze correct functioneren met alleen HTTPS-verbindingen.
Na de implementatie moet continue monitoring worden ingesteld om toegangsweigeringen te detecteren die kunnen wijzen op applicaties die nog steeds proberen HTTP-verbindingen te gebruiken. Deze monitoring moet worden geïntegreerd met bestaande monitoring- en alertingsystemen om ervoor te zorgen dat eventuele problemen onmiddellijk worden opgemerkt en aangepakt. Door proactief te monitoren op toegangsweigeringen, kunnen organisaties snel reageren op eventuele configuratieproblemen en ervoor zorgen dat alle applicaties correct werken met de nieuwe beveiligingsconfiguratie.
Compliance en Auditing
Deze controle is essentieel voor gegevensbescherming en compliance met verschillende internationale en nationale normen en regelgeving. Veilige overdracht vormt een harde vereiste voor compliance-audits en is een fundamentele beveiligingsmaatregel die door vrijwel alle relevante frameworks en standaarden wordt vereist. Het niet implementeren van veilige overdracht kan leiden tot ernstige compliance-overtredingen, financiële boetes en reputatieschade.
De CIS Azure Foundations Benchmark versie 3.0.0 specificeert in controle 3.22 dat 'veilige overdracht vereist' moet zijn ingesteld op 'ingeschakeld' voor alle Azure opslagaccounts. Deze controle is geclassificeerd als Level 1 (L1), wat betekent dat het een fundamentele beveiligingsmaatregel is die moet worden geïmplementeerd in alle omgevingen. De CIS Benchmark wordt wereldwijd erkend als een best practice framework voor cloudbeveiliging en wordt vaak gebruikt als basis voor security assessments en audits.
Voor Nederlandse overheidsorganisaties is de BIO (Baseline Informatiebeveiliging Overheid) van bijzonder belang. Thema 10.01.01 van de BIO behandelt het beleid voor cryptografische maatregelen en vereist expliciet versleuteling tijdens transport voor gevoelige gegevens. Opslagaccounts die worden gebruikt door overheidsorganisaties moeten daarom altijd zijn geconfigureerd met veilige overdracht ingeschakeld om te voldoen aan deze vereisten. Het niet naleven van BIO-vereisten kan leiden tot negatieve auditbevindingen en kan de certificering van systemen in gevaar brengen.
ISO 27001:2022, de internationale standaard voor informatiebeveiligingsmanagement, behandelt het gebruik van cryptografie in controle A.8.24. Deze controle vereist dat organisaties cryptografische controles implementeren om gegevensbescherming tijdens transmissie te waarborgen. Veilige overdracht met HTTPS/TLS is een directe implementatie van deze vereiste en is essentieel voor organisaties die ISO 27001-certificering nastreven of behouden. Tijdens ISO 27001-audits wordt gecontroleerd of cryptografische maatregelen correct zijn geïmplementeerd en effectief zijn.
De Algemene Verordening Gegevensbescherming (AVG), ook bekend als GDPR, vereist in artikel 32 dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen. Versleuteling van persoonsgegevens tijdens transport is een expliciete aanbeveling in de AVG-richtsnoeren en wordt beschouwd als een essentiële beveiligingsmaatregel. Het niet implementeren van versleuteling tijdens transport kan worden beschouwd als een schending van artikel 32, wat kan leiden tot boetes tot twintig miljoen euro of vier procent van de wereldwijde jaaromzet, afhankelijk van wat hoger is.
De NIS2-richtlijn, die van toepassing is op essentiële en belangrijke entiteiten in de Europese Unie, vereist in artikel 21 dat organisaties cybersecurity-risicobeheer implementeren, inclusief versleutelingsvereisten. Voor organisaties die onder de NIS2-richtlijn vallen, is het implementeren van veilige overdracht een verplichte maatregel om te voldoen aan de cybersecurity-vereisten. Het niet naleven van NIS2-vereisten kan leiden tot boetes tot tien miljoen euro of twee procent van de wereldwijde jaaromzet.
Voor organisaties die creditcardgegevens verwerken, is PCI-DSS (Payment Card Industry Data Security Standard) van toepassing. Requirement 4.1 van PCI-DSS vereist expliciet het gebruik van sterke cryptografie om cardholder-gegevens te beschermen tijdens transmissie over openbare netwerken. Veilige overdracht met TLS 1.2 of hoger is een directe implementatie van deze vereiste. Het niet naleven van PCI-DSS-vereisten kan leiden tot het verlies van de mogelijkheid om creditcardbetalingen te accepteren, wat een aanzienlijke impact kan hebben op de bedrijfsvoering.
Tijdens compliance-audits wordt veilige overdracht beschouwd als een harde vereiste die niet kan worden genegeerd of omzeild. Auditors controleren routinematig of alle opslagaccounts zijn geconfigureerd met EnableHttpsTrafficOnly ingesteld op true, en het niet naleven van deze vereiste resulteert onmiddellijk in een negatieve auditbevinding. Organisaties moeten daarom proactief zorgen dat alle opslagaccounts correct zijn geconfigureerd en regelmatig controleren op compliance om te voorkomen dat problemen worden ontdekt tijdens externe audits.
Compliance & Frameworks
- CIS M365: Control 3.22 (L1) - Zorg ervoor dat 'veilige overdracht vereist' is ingesteld op 'ingeschakeld' voor Azure opslagaccounts
- BIO: 10.01.01 - BIO Baseline Informatiebeveiliging Overheid - Thema 10: Cryptografie - versleuteling in transit
- ISO 27001:2022: A.8.24 - Gebruik van cryptografie - Gegevensbescherming tijdens transport
- NIS2: Artikel - Versleuteling van gegevens tijdens transmissie
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Secure Transfer Required
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 3.22
Controleert of secure transfer is verplicht voor storage accounts.
.NOTES
Filename: secure-transfer-required.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 3.22
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Storage
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "Secure Transfer Required"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$storageAccounts = Get-AzStorageAccount -ErrorAction SilentlyContinue
$result = @{ TotalAccounts = $storageAccounts.Count; SecureTransferRequired = 0 }
foreach ($account in $storageAccounts) {
if ($account.EnableHttpsTrafficOnly) {
$result.SecureTransferRequired++
}
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Storage Accounts: $($r.TotalAccounts)" -ForegroundColor White
Write-Host "Secure Transfer Required: $($r.SecureTransferRequired)" -ForegroundColor $(if ($r.SecureTransferRequired -eq $r.TotalAccounts) { 'Green' } else { 'Yellow' })
}
else {
$r = Test-Compliance
Write-Host "`nSecure Transfer: $($r.SecureTransferRequired)/$($r.TotalAccounts) accounts"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total Storage Accounts: $($r.TotalAccounts)" -ForegroundColor White
Write-Host "Secure Transfer Required: $($r.SecureTransferRequired)" -ForegroundColor $(if ($r.SecureTransferRequired -eq $r.TotalAccounts) { 'Green' } else { 'Yellow' })
}
else {
$r = Test-Compliance
Write-Host "`nSecure Transfer: $($r.SecureTransferRequired)/$($r.TotalAccounts) accounts"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Critical: KRITIEK RISICO: Zonder de vereiste voor veilige overdracht kunnen aanvallers gegevens onderscheppen tijdens transport naar en van opslag. HTTP-verkeer wordt onversleuteld als platte tekst verzonden, waarbij SAS-tokens, opslagsleutels en blob- of bestandsgegevens kunnen worden gelezen via packet sniffing of man-in-the-middle aanvallen. Dit leidt tot volledige blootstelling van gegevens, diefstal van inloggegevens (SAS-tokens bieden permanente toegang tot opslag), compliance-overtredingen (AVG-boetes tot €20 miljoen, NIS2 tot €10 miljoen), en reputatieschade bij datalekken. Voor opslag met persoonsgegevens, financiële gegevens of bedrijfskritieke informatie is dit onaanvaardbaar.
Management Samenvatting
Schakel 'veilige overdracht vereist' in op alle Azure opslagaccounts om HTTPS/TLS-versleuteling af te dwingen. Blokkeert HTTP-verzoeken volledig. Beschermt gegevens tijdens transport tegen onderschepping. Voldoet aan CIS 3.22 (L1), BIO 10.01, ISO 27001 A.8.24, AVG, NIS2. Implementatietijd: 30 minuten tot 1 uur voor verificatie van clientcompatibiliteit en inschakeling. KRITIEKE controle - moet ALTIJD ingeschakeld zijn.
- Implementatietijd: 0 uur
- FTE required: 0.1 FTE