Blog Security & Compliance

Wat is Azure Key Vault?

We verzamelen dagelijks essentiële en vertrouwelijke gegevens en slaan deze op in de cloud. Maar hoe kunnen we al deze data veilig opslaan op één centrale plek?

Azure Key Vault is het antwoord. In deze digitale “kluis” bewaar je veilig je cryptosleutels, certificaten en andere geheimen.

In dit artikel vertellen we je alles over Azure Key Vault.

Niels Kroeze

Auteur

Niels Kroeze

Leestijd 15 minuten Gepubliceerd: 02 april 2025

Wat is Azure Key Vault?

Laten we beginnen met de basis. Azure Key Vault is een SaaS service (Software-as-a-Service) oplossing van Microsoft Azure die certificaten, sleutels en geheimen opslaat en er veilig toegang toe biedt. 

We kunnen vertrouwelijke gegevens zoals wachtwoorden (geheimen genoemd in Azure), cryptografische sleutels, certificaten en encryptiesleutels veilig opslaan op een centrale plaats.

Dit artikel is onderdeel van de serie: Azure Security Tools.

Een geheim kan alles zijn waarvoor strikte toegangscontrole nodig is, zoals API-sleutels, wachtwoorden, certificaten of cryptografische sleutels. Het is hier echter niet toe beperkt - het kan elke stringwaarde zijn, zoals een IP-adres of URL.

Waar wordt Azure Key Vault voor gebruikt?

Nu zit je waarschijnlijk met de vraag: "Waarom zouden we deze dingen specifiek in een Key Vault opslaan?".

Heel simpel, we moeten onze sleutels veilig bewaren om data te beveiligen zodat alleen geautoriseerde gebruikers en processen de informatie kunnen ontsleutelen en toegang hebben tot gevoelige gegevens.

Azure Key Vault wordt gebruikt voor:

  • Key management
  • Certificate management
  • Secret management
  • Het opslaan van secrets ondersteund door hardware modellen (HSMs)

Daarnaast is het sterk geïntegreerd met andere Azure services zoals virtual machines (VMs), Logic Apps, Data Factory, Web Apps, enz.

Maar goed, laten we eens kijken naar de basisdingen die in de key vault worden opgeslagen.

 

Begrijpen van Keys, Certificates, Secrets

Om te begrijpen hoe Azure Key Vault werkt, moeten we bespreken wat het beoogt te doen. Azure Key Vault stelt ons in staat om 3 soorten gevoelige informatie op te slaan en op te halen:

  • Keys: Een veilige plek om cryptografische sleutels op te slaan die gebruikt worden voor encryptie en decryptie.
  • Certificates: Gebruikt voor cryptografische authenticatie, zoals toegang tot diensten van derden.
  • Secrets: Dit zijn wachtwoorden, verbindingsstrings en vergelijkbare inloggegevens.

 

Keys (sleutels) 

Als we het over keys hebben, verwijzen we naar die gebruikt in cryptografie, zoals:

  • Private Key: Alleen bekend bij de verstrekker (de persoon of toepassing die hem maakt of gebruikt) en gebruikt voor decryptie en signing.
  • Public-Private Key Pair: Een paar sleutels dat gebruikers en applicaties veilig kan identificeren, waardoor ze zich kunnen authenticeren en toegang kunnen krijgen tot bronnen. De public key is openbaar gedeeld, terwijl de private key geheim wordt gehouden.
  • Public Key Infrastructure: Een framework dat cryptografische sleutels gebruikt voor veilige communicatie en authenticatie.

Een key is essentieel voor cryptografische communicatie, specifiek binnen Public Key Infrastructure (PKI).

 

Hoe werkt het?

Een key (sleutel) is een bestand of een reeks tekst die data versleutelt en ontsleutelt. Zie het als een letterlijke en figuurlijke sleutel die versleutelde informatie ontgrendelt, waardoor het toegankelijk (niet-versleuteld) is alleen voor degenen met de juiste key. Dit kan API keys of service keys omvatten voor veilige interactie met applicaties.

 

Certificaten 

In tegenstelling tot sleutels, gaan certificaten vooral over het bewijzen van identiteit en het mogelijk maken van veilige communicatie. Ze fungeren als digitale ID's, verifiëren identiteit en zorgen voor veilige interacties tussen applicaties, diensten en gebruikers.

Certificates zijn complexe cryptografische objecten gebruikt voor:

  • Authenticatie: Een applicatie of gebruiker authenticeren naar een ander systeem.
  • Encryptie en Decryptie: Data versleutelen en ontsleutelen op basis van identiteit.
  • Veilige communicatie: Veilige communicatie garanderen door de communicatie te ondertekenen, ervoor te zorgen dat deze niet is gemanipuleerd en afkomstig is van een betrouwbare bron.

 

Secrets (geheimen) 

Secrets zijn wachtwoorden, of elke lange reeks informatie opgeslagen als tekst. Ze kunnen API keys, encryptie keys, verbindingsstrings, en zelfs certificates bevatten die als tekst zijn geformatteerd.

Secrets functioneren als inloggegevens, waardoor systemen zich kunnen authenticeren of communicatie kunnen versleutelen. Ze worden veel gebruikt om gevoelige gegevens op te slaan of versleutelde communicatie tussen netwerkapparaten mogelijk te maken.

 

Storage Containers in Azure Key Vault

We kunnen twee soorten Azure Key Vault vinden die kunnen worden ingezet:

  • Standard Key Vault
  • Managed HSM Pools (Hardware Security Module Pools)

 

Standard Key Vault

Een Standard Key Vault is een multi-tenant managed service in Microsoft Azure. Dit betekent dat jouw Key Vault aan jou is gewijd, maar samen bestaat met andere tenants op Microsoft's infrastructuur. Bij het kiezen van vaults als een containertype, wordt jouw data opgeslagen op een computer of harde schijf. Het biedt basisveiligheidsfuncties maar brengt enkele extra kosten met zich mee.

 

Managed HSM Pools

Als alternatief kun je kiezen voor Managed HSM modules als een containertype. Microsoft onderhoudt een pool van Hardware Security Modules om informatie (secrets, keys, certificates) op te slaan.

HSM, kort voor Hardware Security Module, is een hardware-apparaat beheerd door Azure waar informatie wordt opgeslagen. In plaats van ze op een computer op te slaan, worden ze opgeslagen in een speciaal apparaat ontworpen om dit soort informatie te beschermen. Ze zijn veiliger dan op software gebaseerde opslag, omdat keys nooit het hardware-module verlaten. Dit maakt ze ideaal voor omgevingen met hoge beveiligingseisen.

Let op het volgende:

  • Binnen Standard Key Vault kun je zowel normale keys als HSM-ondersteunde keys opslaan.
  • Binnen Managed HSM Pools kun je alleen HSM-ondersteunde keys opslaan (software-based keys kunnen daar niet worden opgeslagen).

 

Authentication in Azure Key Vault

Om Azure Key Vault te gebruiken, moet je eerst authenticeren. Dit gebeurt door de applicatie te verbinden via Microsoft Entra ID (voorheen Azure Active Directory).

Communication Flow:

  • De communicatiestroom is tweerichtingsverkeer, met verzoeken die van de applicatie naar Key Vault gaan.
  • Authenticatie wordt beheerd via Entra ID.

De onderstaande afbeelding illustreert het authenticatieproces verder:

Diagram illustrating a secure access process, showing steps from authentication to retrieving a secret via Microsoft Entra ID, including key vault firewall approvals.

Hierdoor kan de applicatie zich veilig identificeren, de nodige middelen ophalen en interactie hebben met gebruikers bij het leveren van diensten.

 

Authorisation in Azure Key Vault

Aan de andere kant kan authorisatie worden beheerd door middel van:

  • Azure role-based access control (RBAC)
  • Key Vault access policies

De eerste is Key Vault access policies. Eenvoudig gezegd, Key Vault controleert wie of wat (applicaties, IPs, of entiteiten) toegang kan hebben tot specifieke bronnen met specifieke permissies.

Toegangs policies zijn beperkt tot het beheersen van de toegang tot de data alleen binnen Azure Key Vault. Met andere woorden, je kunt niet de toegang tot Key Vault zelf beheren. Als je iemand wilt toestaan om de Key Vault te beheren, kun je dat niet doen met toegangspolicies. Daarvoor moet je Azure Role-based access control (RBAC) gebruiken.

Met Azure RBAC kun je:

  • Toegang tot de data binnen Key Vault beheren
  • Beheer toegang tot Key Vault zelf

Wanneer een gebruiker of applicatie toegang tot een sleutel vraagt, beslist Key Vault niet rechtstreeks. In plaats daarvan delegeert het de aanvraag naar Microsoft Entra ID, die Role-Based Access Control (RBAC) controleert om te bepalen of de gebruiker de nodige machtigingen heeft om toegang te krijgen tot de gevraagde bron.

RBAC werkt als een controle- en datalaag, beheert de toegang tot de gegevens binnen Key Vault en controleert de toegang tot Key Vault zelf.

Omdat het toegangsbeleid nu als legacy wordt gezien, raden we het gebruik van RBAC aan.

 

Veiligheids- en recovery functies in Azure Key Vault

Het verwijderen van een versleuteld opslagaccount is ongeveer het ergste wat er kan gebeuren. Zonder sleutel is je data-encryptiesleutel ook vergrendeld - wat betekent dat gegevens verloren gaan.

Daarom zijn er twee sleutelinstellingen waar je rekening mee moet houden:

  • Soft Delete
  • Purge Protection

 

Soft Delete

Als Soft Delete is ingeschakeld, kun je items herstellen, zelfs als je ze per ongeluk verwijdert. Als je een Key Vault of sleutels, geheimen of certificaten erin verwijdert, blijven ze in een soft delete status gedurende een geconfigureerde bewaarperiode (tot 90 dagen, met een minimum van 7 dagen). Dit voorkomt het per ongeluk verwijderen van belangrijke gegevens.

Als je in het verleden een Key Vault hebt aangemaakt, is soft delete mogelijk niet ingeschakeld. Bij alle nieuw aangemaakte Key Vaults zal soft delete echter altijd ingeschakeld zijn.

Maar als er misbruik van wordt gemaakt, kan soft delete alleen niet genoeg zijn: een item kan nog steeds worden gewist voordat herstel mogelijk is. Daarom moet je ook purge protection overwegen.

 

Purge Protection

Purge Protection voegt een extra beveiligingslaag toe aan soft delete. Het voorkomt dat items permanent worden verwijderd voordat de retentieperiode is verstreken.

Bijvoorbeeld als de retentieperiode 90 dagen is:

  • Zonder Purge Protection: je kunt een soft-deleted sleutel op elk moment binnen 90 dagen handmatig wissen.
  • Met Purge Protection ingeschakeld: je moet wachten tot de volledige retentieperiode van 90 dagen voorbij is voordat het permanent verwijderd kan worden.

Standaard is Purge Protection uitgeschakeld. Maar wanneer je Purge Protection inschakelt, kan deze niet gepasseerd worden. Dit zorgt ervoor dat zelfs als een aanvaller of gebruiker een verwijderde sleutel probeert te verwijderen, dit niet kan voordat de retentieperiode is verstreken.

Azure Security Workshop

Wil je leren hoe je je Azure cloud beveiligt?

Doe dan mee aan onze GRATIS Azure Security Workshop van 90 minuten voor praktische tips, best practices en bekijk live demo's over het beveiligen van je Azure omgeving.

Ja, ik meld me aan!

Azure Key Vault Voordelen

Waarom Azure Key Vault gebruiken? Nou, het vergroot de mogelijkheid om veilige diensten aan te bieden, of het nu voor interne gebruikers is of voor externe klanten die deze diensten nodig hebben. Je moet ervoor zorgen dat gevoelige informatie veilig wordt opgeslagen.

Er zijn nog meer voordelen die het met zich meebrengt:

 

Integratie met Azure services

Azure Key Vault is sterk geïntegreerd met andere Azure services en biedt meerdere manieren om je applicatie-informatie veilig te verbinden en te beheren. Het werkt met virtuele machines (VM's), Logic Apps, Data Factory, Web Apps en meer.

Geheimen centraal beheren

Een van de grootste voordelen van Azure Key Vault is centralisatie. Meerdere services kunnen hun applicatie geheimen samen op één plek opslaan. Als Logic Apps en Data Factory bijvoorbeeld verbinding moeten maken met dezelfde SQL-server, kunnen ze allebei hun verbindingsgegevens opslaan in Azure Key Vault. Daarnaast kan één certificaat worden gebruikt voor alle onderdelen van een applicatie.

Eenvoudige geheime updates

Wanneer je een object in Key Vault wijzigt, gebruikt elke verbonden service (Logic Apps, Data Factory, etc.) automatisch de bijgewerkte waarde. Dit kan een groot voordeel zijn, vooral voor grootschalige applicaties.

Monitoring en logging

Azure Key Vault bevat ingebouwde monitoring- en logging-functies. Elke toegangspoging wordt gelogd, zodat je precies kunt zien wie wat wanneer heeft geopend.

Schaalbaarheid

Het maakt niet uit hoeveel verzoeken Key Vault te verwerken krijgt. Of het nu gaat om een enkele service of om tientallen verzoeken om geheimen tegelijk, het systeem houdt het bij.

Simpel

Het beheren van gevoelige gegevens is complex en organisaties hebben daarom gestroomlijnde oplossingen nodig die beveiliging integreren zonder dat er extra overhead wordt toegevoegd. Azure Key Vault maakt het beveiligingsbeheer een stuk eenvoudiger en maakt interne HSM-expertise overbodig, omdat Azure dit op zich neemt. Omdat het beveiligingsbeleid voor alle applicaties geldt, is er minder aangepaste codering nodig en is de kans op menselijke fouten kleiner. En met geautomatiseerde key rotatie en certificaat vernieuwing heb je minder handmatig werk - met en minder fouten.

DevOps en IoT Integratie

Azure Key Vault vereenvoudigt het beheer van sleutels en geheimen voor zowel DevOps- als IoT-omgevingen:

  • DevOps Tools: Werkt met tools zoals Azure DevOps en Jenkins om referenties, API-sleutels en certificaten veilig op te slaan.
  • IoT Devices: Beheert sleutels en geheimen voor IoT-apparaten en -toepassingen en zorgt zo voor veilige communicatie en verificatie.
Marc Bosgoed

Gratis Security scan

De beveiliging van je Azure omgeving verhogen? Grijp nu je kans en vraag een gratis Security Scan aan!

Ja ik wil het!

Use Cases van Azure Key Vault

1. Disk encryptie

Een van de meest voorkomende scenario's in Azure is het bouwen van infrastructuur, wat vaak samengaat met het creëren van virtuele machines en disks. Deze disks slaan zowel het besturingssysteem als applicatiegegevens op, die allemaal versleuteld moeten worden. Deze versleuteling zorgt ervoor dat als iemand een kopie van een disk bemachtigt, hij de inhoud niet kan ontsleutelen zonder de bijbehorende versleutelingscode te hebben.

Standaard biedt Azure platform-beheerde versleutelingscodes, wat betekent dat alle disks in Azure automatisch worden versleuteld en beheerd door Microsoft. Klanten kunnen er echter voor kiezen om hun eigen sleutels te gebruiken voor encryptie en decryptie. Dit worden encryptiesleutels genoemd, die veilig kunnen worden opgeslagen in Azure Key Vault.

 

2. Geheimen beheren in Azure

Azure Key Vault is niet alleen voor disk encryptie. Denk aan een webapp die verbinding maakt met een SQL database - het zou verbindingsgegevens moeten opslaan (serveradres, gebruikersnaam en wachtwoord). Dit soort gevoelige informatie staat bekend als applicatie geheimen. Azure Key Vault biedt een veilige manier om deze geheimen op te slaan en te beheren, zodat applicaties er gemakkelijk en veilig toegang toe kunnen krijgen.

Veel Azure services en SDK's integreren met Key Vault, waardoor ontwikkelaars geheimen kunnen opslaan zonder extra code te schrijven. Sommige Azure oplossingen bieden zelfs Key Vault integratie zonder dat er code voor nodig is.

 

3. Certificates voor veiligie communicatie

Als je webapplicatie content serveert via HTTPS (zoals het zou moeten), heeft het certificaten nodig om het verkeer tussen de webserver en gebruikers te versleutelen. Azure Key Vault kan deze certificaten opslaan en beheren, zodat de communicatie veilig verloopt.

Best Practices voor Azure Key Vault

Hier zijn wat beste praktijken voor het gebruik van Azure Key Vault:

1. Zet Soft Delete en Purge Protection aan om verwijderingen te voorkomen

Als je Soft Delete en Purge Protection hebt ingeschakeld, sta je sterk. Met die beschermingen zijn ongelukkige verwijderingen omkeerbaar. Zolang de retentie-instellingen lang genoeg zijn, heb je tijd om alles te herstellen voordat het echte schade aanricht.

2. Maak back-ups van je sleutels

Net als bij veel beveiligingsincidenten in de cloud, zijn het vaak mensen die voor een significant deel verantwoordelijk zijn. En dat is niet anders als het gaat om data. Per ongeluk iets verwijderen is een van de vele menselijke fouten die tot dataverlies leiden. Soms is een kleine handeling genoeg voor grote problemen – iemand klikt op de verkeerde knop, verwijdert de verkeerde secret, of draait een verkeerd script… je kent het wel.

Maak daarom back-ups van je keys. En met keys bedoel ik alles wat in de vault zit – secrets, certificates, en encryptie keys.

Of het nu gaat om een bedreiging van binnenuit of een externe aanval, back-ups geven je een manier om snel te herstellen als iemand met je keys knoeit. Je kunt immers nooit te veel back-ups hebben.

3. Gebruik Azure RBAC in plaats van Access Policies voor betere toegangscontrole

Bij het beheren van toegang tot Azure Key Vault, gebruik altijd RBAC (Role-Based Access Control) in plaats van vault-level access policies.

Maar dat is niet alles: volg ook het principe van "minste bevoegdheden". Dat betekent dat je alleen toegang moet verlenen tot wat noodzakelijk is, geen permissies moet geven die verder gaan dan nodig en gebruikers moet beperken tot individuele secrets in plaats van brede toegang.

Het pluspunt van RBAC is dat je het kunt integreren met MFA (Multi-Factor Authentication) en conditionele toegang. Op deze manier kun je je beveiligingslagen op elkaar stapelen en controleren wie toegang heeft tot wat.

4. Combineer RBAC met PIM (Privileged Identity Management)

Nog beter is het instellen van RBAC met PIM (Privileged Identity Management). Dit maakt just-in-time toegang mogelijk. Wat dat betekent is dat beheerders met verhoogde permissies handmatig moeten escaleren voordat ze wijzigingen kunnen aanbrengen – dit vermindert het risico op onnodige langdurige toegang.

5. Audit Logs

Houd altijd audit logs ingeschakeld om bij te houden wie wat doet met objecten in de Key Vault. Dit is essentieel voor het monitoren van toegang en het detecteren van verdachte activiteiten. Configureer logging in Diagnostic Settings en stuur de logs naar een centrale locatie waar ze kunnen worden gebruikt voor inzichten en analyses. Zorg ervoor dat deze logs geschikte RBAC-beperkingen hebben om te voorkomen dat ze worden verwijderd.

6. Kies de Premium Tier als je HSM nodig hebt voor cryptografische operaties.

De Premium tier is vereist voor FIPS 140 HSM (Hardware Security Module), die hogere beveiliging biedt voor cryptografische keys.

  • Premium Tier: Deze tier biedt hogere beveiliging voor cryptografische keys met HSM-ondersteunde keys. Het is een multi-tenant service die FIPS 140-2 Level 3 gevalideerde HSMs biedt
  • Managed HSM: Dit is een aparte dienst van Azure Key Vault Premium. Managed HSM is een volledig beheerde, hoog-beschikbare, single-tenant cloud service die FIPS 140-2 Level 3 gevalideerde HSMs gebruikt

7. Schakel automatische rotatie van keys en secrets in

Verhoog de beveiliging door regelmatig keys, secrets en certificates bij te werken. Deze praktijk minimaliseert het risico van blootstelling door verouderde inloggegevens, vermindert de impact van gecompromitteerde keys en zorgt voor naleving van beveiligingsbeleid en -regelgeving.

Door het rotatieproces te automatiseren, kun je een hoger niveau van beveiliging handhaven zonder handmatige interventie.

Lees hier meer over Azure security best practices.

Working Jack

Neem contact met ons op!

Intercept kan je helpen de Azure cloud te beveiligen, zodat jij je kunt concentreren op het leveren van waarde aan je klanten en het stimuleren van je bedrijf.

Veelgestelde vragen over Azure Key Vault

Wat is het doel van Azure Key Vault?

Wat is een secret (geheim) in Azure Key Vault?

Waar vind ik Key Vault in Azure?

Hoe verbetert Azure Key Vault de beveiliging?

Wat zijn de voordelen van Azure Key Vault?