We verzamelen dagelijks essentiële en vertrouwelijke gegevens en slaan deze op in de cloud. Maar hoe kunnen we al deze data veilig opslaan op één centrale plek?
Azure Key Vault is het antwoord. In deze digitale “kluis” bewaar je veilig je cryptosleutels, certificaten en andere geheimen.
In dit artikel vertellen we je alles over Azure Key Vault.
Leestijd 15 minuten Gepubliceerd: 02 april 2025
Laten we beginnen met de basis. Azure Key Vault is een SaaS service (Software-as-a-Service) oplossing van Microsoft Azure die certificaten, sleutels en geheimen opslaat en er veilig toegang toe biedt.
We kunnen vertrouwelijke gegevens zoals wachtwoorden (geheimen genoemd in Azure), cryptografische sleutels, certificaten en encryptiesleutels veilig opslaan op een centrale plaats.
Dit artikel is onderdeel van de serie: Azure Security Tools.
Een geheim kan alles zijn waarvoor strikte toegangscontrole nodig is, zoals API-sleutels, wachtwoorden, certificaten of cryptografische sleutels. Het is hier echter niet toe beperkt - het kan elke stringwaarde zijn, zoals een IP-adres of URL.
Nu zit je waarschijnlijk met de vraag: "Waarom zouden we deze dingen specifiek in een Key Vault opslaan?".
Heel simpel, we moeten onze sleutels veilig bewaren om data te beveiligen zodat alleen geautoriseerde gebruikers en processen de informatie kunnen ontsleutelen en toegang hebben tot gevoelige gegevens.
Azure Key Vault wordt gebruikt voor:
Daarnaast is het sterk geïntegreerd met andere Azure services zoals virtual machines (VMs), Logic Apps, Data Factory, Web Apps, enz.
Maar goed, laten we eens kijken naar de basisdingen die in de key vault worden opgeslagen.
Om te begrijpen hoe Azure Key Vault werkt, moeten we bespreken wat het beoogt te doen. Azure Key Vault stelt ons in staat om 3 soorten gevoelige informatie op te slaan en op te halen:
Als we het over keys hebben, verwijzen we naar die gebruikt in cryptografie, zoals:
Een key is essentieel voor cryptografische communicatie, specifiek binnen Public Key Infrastructure (PKI).
Hoe werkt het?
Een key (sleutel) is een bestand of een reeks tekst die data versleutelt en ontsleutelt. Zie het als een letterlijke en figuurlijke sleutel die versleutelde informatie ontgrendelt, waardoor het toegankelijk (niet-versleuteld) is alleen voor degenen met de juiste key. Dit kan API keys of service keys omvatten voor veilige interactie met applicaties.
In tegenstelling tot sleutels, gaan certificaten vooral over het bewijzen van identiteit en het mogelijk maken van veilige communicatie. Ze fungeren als digitale ID's, verifiëren identiteit en zorgen voor veilige interacties tussen applicaties, diensten en gebruikers.
Certificates zijn complexe cryptografische objecten gebruikt voor:
Secrets zijn wachtwoorden, of elke lange reeks informatie opgeslagen als tekst. Ze kunnen API keys, encryptie keys, verbindingsstrings, en zelfs certificates bevatten die als tekst zijn geformatteerd.
Secrets functioneren als inloggegevens, waardoor systemen zich kunnen authenticeren of communicatie kunnen versleutelen. Ze worden veel gebruikt om gevoelige gegevens op te slaan of versleutelde communicatie tussen netwerkapparaten mogelijk te maken.
We kunnen twee soorten Azure Key Vault vinden die kunnen worden ingezet:
Een Standard Key Vault is een multi-tenant managed service in Microsoft Azure. Dit betekent dat jouw Key Vault aan jou is gewijd, maar samen bestaat met andere tenants op Microsoft's infrastructuur. Bij het kiezen van vaults als een containertype, wordt jouw data opgeslagen op een computer of harde schijf. Het biedt basisveiligheidsfuncties maar brengt enkele extra kosten met zich mee.
Als alternatief kun je kiezen voor Managed HSM modules als een containertype. Microsoft onderhoudt een pool van Hardware Security Modules om informatie (secrets, keys, certificates) op te slaan.
HSM, kort voor Hardware Security Module, is een hardware-apparaat beheerd door Azure waar informatie wordt opgeslagen. In plaats van ze op een computer op te slaan, worden ze opgeslagen in een speciaal apparaat ontworpen om dit soort informatie te beschermen. Ze zijn veiliger dan op software gebaseerde opslag, omdat keys nooit het hardware-module verlaten. Dit maakt ze ideaal voor omgevingen met hoge beveiligingseisen.
Let op het volgende:
Om Azure Key Vault te gebruiken, moet je eerst authenticeren. Dit gebeurt door de applicatie te verbinden via Microsoft Entra ID (voorheen Azure Active Directory).
Communication Flow:
De onderstaande afbeelding illustreert het authenticatieproces verder:
Hierdoor kan de applicatie zich veilig identificeren, de nodige middelen ophalen en interactie hebben met gebruikers bij het leveren van diensten.
Aan de andere kant kan authorisatie worden beheerd door middel van:
De eerste is Key Vault access policies. Eenvoudig gezegd, Key Vault controleert wie of wat (applicaties, IPs, of entiteiten) toegang kan hebben tot specifieke bronnen met specifieke permissies.
Toegangs policies zijn beperkt tot het beheersen van de toegang tot de data alleen binnen Azure Key Vault. Met andere woorden, je kunt niet de toegang tot Key Vault zelf beheren. Als je iemand wilt toestaan om de Key Vault te beheren, kun je dat niet doen met toegangspolicies. Daarvoor moet je Azure Role-based access control (RBAC) gebruiken.
Met Azure RBAC kun je:
Wanneer een gebruiker of applicatie toegang tot een sleutel vraagt, beslist Key Vault niet rechtstreeks. In plaats daarvan delegeert het de aanvraag naar Microsoft Entra ID, die Role-Based Access Control (RBAC) controleert om te bepalen of de gebruiker de nodige machtigingen heeft om toegang te krijgen tot de gevraagde bron.
RBAC werkt als een controle- en datalaag, beheert de toegang tot de gegevens binnen Key Vault en controleert de toegang tot Key Vault zelf.
Omdat het toegangsbeleid nu als legacy wordt gezien, raden we het gebruik van RBAC aan.
Het verwijderen van een versleuteld opslagaccount is ongeveer het ergste wat er kan gebeuren. Zonder sleutel is je data-encryptiesleutel ook vergrendeld - wat betekent dat gegevens verloren gaan.
Daarom zijn er twee sleutelinstellingen waar je rekening mee moet houden:
Als Soft Delete is ingeschakeld, kun je items herstellen, zelfs als je ze per ongeluk verwijdert. Als je een Key Vault of sleutels, geheimen of certificaten erin verwijdert, blijven ze in een soft delete status gedurende een geconfigureerde bewaarperiode (tot 90 dagen, met een minimum van 7 dagen). Dit voorkomt het per ongeluk verwijderen van belangrijke gegevens.
Als je in het verleden een Key Vault hebt aangemaakt, is soft delete mogelijk niet ingeschakeld. Bij alle nieuw aangemaakte Key Vaults zal soft delete echter altijd ingeschakeld zijn.
Maar als er misbruik van wordt gemaakt, kan soft delete alleen niet genoeg zijn: een item kan nog steeds worden gewist voordat herstel mogelijk is. Daarom moet je ook purge protection overwegen.
Purge Protection voegt een extra beveiligingslaag toe aan soft delete. Het voorkomt dat items permanent worden verwijderd voordat de retentieperiode is verstreken.
Bijvoorbeeld als de retentieperiode 90 dagen is:
Standaard is Purge Protection uitgeschakeld. Maar wanneer je Purge Protection inschakelt, kan deze niet gepasseerd worden. Dit zorgt ervoor dat zelfs als een aanvaller of gebruiker een verwijderde sleutel probeert te verwijderen, dit niet kan voordat de retentieperiode is verstreken.
Doe dan mee aan onze GRATIS Azure Security Workshop van 90 minuten voor praktische tips, best practices en bekijk live demo's over het beveiligen van je Azure omgeving.
Ja, ik meld me aan!Waarom Azure Key Vault gebruiken? Nou, het vergroot de mogelijkheid om veilige diensten aan te bieden, of het nu voor interne gebruikers is of voor externe klanten die deze diensten nodig hebben. Je moet ervoor zorgen dat gevoelige informatie veilig wordt opgeslagen.
Er zijn nog meer voordelen die het met zich meebrengt:
Azure Key Vault is sterk geïntegreerd met andere Azure services en biedt meerdere manieren om je applicatie-informatie veilig te verbinden en te beheren. Het werkt met virtuele machines (VM's), Logic Apps, Data Factory, Web Apps en meer.
Een van de grootste voordelen van Azure Key Vault is centralisatie. Meerdere services kunnen hun applicatie geheimen samen op één plek opslaan. Als Logic Apps en Data Factory bijvoorbeeld verbinding moeten maken met dezelfde SQL-server, kunnen ze allebei hun verbindingsgegevens opslaan in Azure Key Vault. Daarnaast kan één certificaat worden gebruikt voor alle onderdelen van een applicatie.
Wanneer je een object in Key Vault wijzigt, gebruikt elke verbonden service (Logic Apps, Data Factory, etc.) automatisch de bijgewerkte waarde. Dit kan een groot voordeel zijn, vooral voor grootschalige applicaties.
Azure Key Vault bevat ingebouwde monitoring- en logging-functies. Elke toegangspoging wordt gelogd, zodat je precies kunt zien wie wat wanneer heeft geopend.
Het maakt niet uit hoeveel verzoeken Key Vault te verwerken krijgt. Of het nu gaat om een enkele service of om tientallen verzoeken om geheimen tegelijk, het systeem houdt het bij.
Het beheren van gevoelige gegevens is complex en organisaties hebben daarom gestroomlijnde oplossingen nodig die beveiliging integreren zonder dat er extra overhead wordt toegevoegd. Azure Key Vault maakt het beveiligingsbeheer een stuk eenvoudiger en maakt interne HSM-expertise overbodig, omdat Azure dit op zich neemt. Omdat het beveiligingsbeleid voor alle applicaties geldt, is er minder aangepaste codering nodig en is de kans op menselijke fouten kleiner. En met geautomatiseerde key rotatie en certificaat vernieuwing heb je minder handmatig werk - met en minder fouten.
Azure Key Vault vereenvoudigt het beheer van sleutels en geheimen voor zowel DevOps- als IoT-omgevingen:
De beveiliging van je Azure omgeving verhogen? Grijp nu je kans en vraag een gratis Security Scan aan!
Ja ik wil het!Een van de meest voorkomende scenario's in Azure is het bouwen van infrastructuur, wat vaak samengaat met het creëren van virtuele machines en disks. Deze disks slaan zowel het besturingssysteem als applicatiegegevens op, die allemaal versleuteld moeten worden. Deze versleuteling zorgt ervoor dat als iemand een kopie van een disk bemachtigt, hij de inhoud niet kan ontsleutelen zonder de bijbehorende versleutelingscode te hebben.
Standaard biedt Azure platform-beheerde versleutelingscodes, wat betekent dat alle disks in Azure automatisch worden versleuteld en beheerd door Microsoft. Klanten kunnen er echter voor kiezen om hun eigen sleutels te gebruiken voor encryptie en decryptie. Dit worden encryptiesleutels genoemd, die veilig kunnen worden opgeslagen in Azure Key Vault.
Azure Key Vault is niet alleen voor disk encryptie. Denk aan een webapp die verbinding maakt met een SQL database - het zou verbindingsgegevens moeten opslaan (serveradres, gebruikersnaam en wachtwoord). Dit soort gevoelige informatie staat bekend als applicatie geheimen. Azure Key Vault biedt een veilige manier om deze geheimen op te slaan en te beheren, zodat applicaties er gemakkelijk en veilig toegang toe kunnen krijgen.
Veel Azure services en SDK's integreren met Key Vault, waardoor ontwikkelaars geheimen kunnen opslaan zonder extra code te schrijven. Sommige Azure oplossingen bieden zelfs Key Vault integratie zonder dat er code voor nodig is.
Als je webapplicatie content serveert via HTTPS (zoals het zou moeten), heeft het certificaten nodig om het verkeer tussen de webserver en gebruikers te versleutelen. Azure Key Vault kan deze certificaten opslaan en beheren, zodat de communicatie veilig verloopt.
Hier zijn wat beste praktijken voor het gebruik van Azure Key Vault:
Als je Soft Delete en Purge Protection hebt ingeschakeld, sta je sterk. Met die beschermingen zijn ongelukkige verwijderingen omkeerbaar. Zolang de retentie-instellingen lang genoeg zijn, heb je tijd om alles te herstellen voordat het echte schade aanricht.
Net als bij veel beveiligingsincidenten in de cloud, zijn het vaak mensen die voor een significant deel verantwoordelijk zijn. En dat is niet anders als het gaat om data. Per ongeluk iets verwijderen is een van de vele menselijke fouten die tot dataverlies leiden. Soms is een kleine handeling genoeg voor grote problemen – iemand klikt op de verkeerde knop, verwijdert de verkeerde secret, of draait een verkeerd script… je kent het wel.
Maak daarom back-ups van je keys. En met keys bedoel ik alles wat in de vault zit – secrets, certificates, en encryptie keys.
Of het nu gaat om een bedreiging van binnenuit of een externe aanval, back-ups geven je een manier om snel te herstellen als iemand met je keys knoeit. Je kunt immers nooit te veel back-ups hebben.
Bij het beheren van toegang tot Azure Key Vault, gebruik altijd RBAC (Role-Based Access Control) in plaats van vault-level access policies.
Maar dat is niet alles: volg ook het principe van "minste bevoegdheden". Dat betekent dat je alleen toegang moet verlenen tot wat noodzakelijk is, geen permissies moet geven die verder gaan dan nodig en gebruikers moet beperken tot individuele secrets in plaats van brede toegang.
Het pluspunt van RBAC is dat je het kunt integreren met MFA (Multi-Factor Authentication) en conditionele toegang. Op deze manier kun je je beveiligingslagen op elkaar stapelen en controleren wie toegang heeft tot wat.
Nog beter is het instellen van RBAC met PIM (Privileged Identity Management). Dit maakt just-in-time toegang mogelijk. Wat dat betekent is dat beheerders met verhoogde permissies handmatig moeten escaleren voordat ze wijzigingen kunnen aanbrengen – dit vermindert het risico op onnodige langdurige toegang.
Houd altijd audit logs ingeschakeld om bij te houden wie wat doet met objecten in de Key Vault. Dit is essentieel voor het monitoren van toegang en het detecteren van verdachte activiteiten. Configureer logging in Diagnostic Settings en stuur de logs naar een centrale locatie waar ze kunnen worden gebruikt voor inzichten en analyses. Zorg ervoor dat deze logs geschikte RBAC-beperkingen hebben om te voorkomen dat ze worden verwijderd.
De Premium tier is vereist voor FIPS 140 HSM (Hardware Security Module), die hogere beveiliging biedt voor cryptografische keys.
Verhoog de beveiliging door regelmatig keys, secrets en certificates bij te werken. Deze praktijk minimaliseert het risico van blootstelling door verouderde inloggegevens, vermindert de impact van gecompromitteerde keys en zorgt voor naleving van beveiligingsbeleid en -regelgeving.
Door het rotatieproces te automatiseren, kun je een hoger niveau van beveiliging handhaven zonder handmatige interventie.
Lees hier meer over Azure security best practices.
Intercept kan je helpen de Azure cloud te beveiligen, zodat jij je kunt concentreren op het leveren van waarde aan je klanten en het stimuleren van je bedrijf.
Wat is het doel van Azure Key Vault?
Wat is een secret (geheim) in Azure Key Vault?
Waar vind ik Key Vault in Azure?
Hoe verbetert Azure Key Vault de beveiliging?
Wat zijn de voordelen van Azure Key Vault?