DDigitale security

Een Azure KeyVault aanmaken

Een Azure KeyVault aanmaken
Een Azure KeyVault aanmaken
0
Shares
0
0

Een Azure KeyVault aanmaken lijkt dus eenvoudig. Maar een écht veilige configuratie vereist dus meer dan alleen op “Create” klikken. In deze complete handleiding neem ik je dus stap‑voor‑stap mee door het proces.

Wanneer organisaties dus steeds meer workloads naar de cloud verplaatsen, wordt het steeds duidelijker dat veilig omgaan met gevoelige gegevens geen luxe meer is. Dit is echter een absolute voorwaarde. Daarom is het aanmaken van een Azure Key Vault een logische én strategische eerste stap richting een moderne beveiligingsarchitectuur. Enerzijds biedt KeyVault dus een centraal punt waar secrets, sleutels en certificaten veilig kunnen worden opgeslagen. Anderzijds zorgt de nauwe integratie met Microsoft Entra ervoor dat toegang altijd gebaseerd is op identiteit, waardoor traditionele risico’s zoals hard‑coded wachtwoorden direct worden geëlimineerd.

Bovendien maakt Azure Key Vault het mogelijk om beveiliging te standaardiseren en te automatiseren, wat niet alleen de veiligheid verhoogt, maar ook de operationele efficiëntie aanzienlijk verbetert. Daarbij komt dat functies zoals auditing, versiebeheer en netwerkisolatie organisaties helpen om te voldoen aan steeds strengere compliance‑eisen. Kortom, wie serieus werk wil maken van Zero‑Trust en veilige automatisering, kan simpelweg niet om het aanmaken van een Azure Key Vault heen.

  • Resource group‑structuur
  • VNet‑ontwerp
  • Private endpoint configuratie
  • Private DNS zone
  • Firewall‑instellingen
  • Best practices voor security en beheer

Deze gids volgt de Microsoft best practices voor maximale beveiliging.

Waarom dus een Azure KeyVault aanmaken met private endpoint?

Een Key Vault bevat dus gevoelige informatie zoals:

  • API‑keys
  • Secrets
  • Connection strings
  • Certificaten

Daarom wil je voorkomen dat deze via het publieke internet bereikbaar zijn. Met een private endpoint wordt je KeyVault dus alleen toegankelijk via jouw eigen Virtual Network (VNet). Dit is de dus veiligste en aanbevolen manier.

Stap 1 — Resource groups voorbereiden

Gebruik een duidelijke scheiding tussen security en netwerk:

ResourceAanbevolen RG
Key VaultRG‑Security
VNet + subnetsRG‑Networking
Private endpointRG‑Networking
Private DNS zoneRG‑Networking

Deze structuur voorkomt dat iemand dus per ongeluk je Key Vault verwijdert en maakt RBAC‑beheer eenvoudiger.

Stap 2 — Een Virtual Network aanmaken bij een Azure KeyVault

Ga naar: Azure Portal → Virtual Networks → Create

Gebruik:

Address space: 10.0.0.10/16

Name: vnet-keyvault

Resource group: RG-Networking

Region: dezelfde regio als je Key Vault

Voeg een subnet toe voor private endpoints:

  • Subnet name: snet-private-endpoints
  • Subnet range: 10.0.1.0/24

Dit subnet is dus exclusief voor private endpoints.

Stap 3 — Een Azure KeyVault aanmaken

Ga naar: Azure Portal → Key Vaults → Create

Vul in:

  • Resource group: RG-Security
  • Name: kies een unieke naam
  • Region: zelfde regio als je VNet

Ga naar het tabblad Networking.

Stap 4 — Networking instellen (belangrijk!) bij een Azure KeyVault aanmaken

Bij Networking kies je:

  • Selected networks
  • Public access: Disabled
  • Allow access from: Private endpoints only

Dit zorgt ervoor dat je KeyVault dus niet via internet bereikbaar is.

Scroll naar Private endpoint connections → klik Add.

Stap 5 — Private endpoint aanmaken

In de wizard:

Basics

  • Resource group: RG-Networking
  • Name: pe-keyvault

Resource

  • Resource type: Microsoft.KeyVault/vaults
  • Selecteer je Key Vault

Networking

Subnet: snet-private-endpoints

Virtual network: vnet-keyvault

Stap 6 — Private DNS Zone koppelen

Bij Private DNS integration:

  • Integrate with private DNS zone

Azure maakt automatisch de juiste zone aan:

privatelink.vaultcore.azure.net

Deze zone zorgt ervoor dat <jouwvault>.vault.azure.net verwijst naar het private IP van je endpoint.

Stap 7 — Security best practices

  • Gebruik Azure RBAC voor toegang
  • Schakel Soft Delete en Purge Protection in
  • Gebruik Managed Identities in plaats van secrets
  • Monitor toegang via bijvoorbeeld Azure Monitor en Activity Logs
  • Gebruik bijvoorbeeld Key Rotation voor certificaten en sleutels

Stap 8 — Aanmaken van een key en value in de KeyVault

Je wilt in Azure Key Vault een secret aanmaken met:

  • Value: jouw daadwerkelijke client secret (bijv. uit Business Central On‑Prem)
  • Name: ClientSecret-BC-OnPrem
  • De voorwaarden hiervoor zijn:

    De rol Key Vault Secrets Officer of Key Vault Administrator
  • Een Key Vault (bij voorkeur met private endpoint)
  • Toegang via Azure RBAC of Access Policies
  • Je client IP whitelisted in de Networking van de KeyVault

Stap 1 — Ga naar je Key Vault

  • Open Azure Portal
  • Zoek naar Key Vaults
  • Klik op jouw Key Vault (bijv. kv-security-prod)

Stap 2 — Ga naar Secrets

In het linkermenu:

Objects → Secrets

Klik daarna op:

+ Generate/Import

Stap 3 — Secret configureren

Je ziet nu een formulier met velden.

  • Secret type

Laat staan op:

  • Manual

Vul in: ClientSecret-BC-OnPrem

  • Value

Vul hier de daadwerkelijke client secret in, bijvoorbeeld: <jouw-client-secret>

Stap 9 — Test of je Key Vault privé bereikbaar is

Je kunt hiervoor PowerShell gebruiken. De stapen zijn binnen Visual Studio Code.

Install-Module Az.Accounts -Scope CurrentUser 
Install-Module Az.KeyVault -Scope CurrentUser

Connect-AzAccount

$secret = Get-AzKeyVaultSecret -VaultName "My-KeyVault-WEU" -Name "ClientSecret-BC-OnPrem"

Conclusie een Azure KeyVault aanmaken

Met deze stappen heb je dus een maximaal beveiligde Azure Key Vault:

  • Dus niet publiek bereikbaar
  • Alleen toegankelijk via private endpoint
  • Correcte DNS‑integratie
  • Duidelijke resource group‑scheiding
  • Volledig volgens Microsoft best practices

Dit is dus de manier waarop professionele cloud‑architecturen hun secrets veilig beheren. Al met al wordt duidelijk dat het aanmaken van een Azure Key Vault een cruciale stap is richting een moderne, veilige en toekomstbestendige cloudomgeving. Enerzijds biedt Key Vault dus een centraal, sterk beveiligd platform voor het opslaan van secrets, sleutels en certificaten. Anderzijds zorgt de combinatie van netwerkbeveiliging, RBAC‑toegang en integratie met Microsoft Entra ervoor dat organisaties Zero‑Trust‑principes daadwerkelijk kunnen toepassen.

Bovendien maakt het gebruik van Key Vault het beheer van gevoelige gegevens aanzienlijk eenvoudiger, omdat je niet langer afhankelijk bent van hard‑coded wachtwoorden of onveilige configuratiebestanden. Daarbij komt dat je dankzij functies zoals versiebeheer, auditing en automatische rotatie niet alleen veiliger werkt, maar ook professioneler en consistenter.

Kortom, door een Key Vault aan te maken en correct te configureren — inclusief netwerktoegang, firewallregels en roltoewijzingen — leg je de basis voor veilige automatisering en betrouwbare cloudarchitectuur. Uiteindelijk leidt dit tot minder risico’s, minder beheerlast en aanzienlijk meer controle over je beveiligingslandschap. Met andere woorden: een Azure Key Vault is geen luxe, maar een absolute noodzaak voor elke organisatie die serieus met security en automatisering aan de slag wil.

Meer informatie over onder andere KeyVaults kun je dus hier vinden.

You can contact me via this form.

0
0
Share 0
Share 0
0 Shares:
Share 0
Share 0

Mijn naam is Marco Mels en ik ben de owner en auteur van de blog posts op zowel JOEHOE.net en Digitalemels.nl

Geef een reactie

Uw e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

— Previous article

De artiest Iron Maiden

Next article —

HTML tabel responsive maken

You May Also Like