Richtlijnen security & privacy
- Caspar Kleijne
http://Infraplannen.nl is een Software-as-a-Service (SaaS) applicatie, ontwikkeld door Stichting MijnAansluiting, en volledig gehost binnen Microsoft Azure. De applicatie voldoet aan de hoogste beveiligings- en compliance-eisen en is ontworpen volgens de principes van Privacy by Design en Security by Design.
De architectuur ondersteunt standaarden zoals REST API’s, OGC, AMQP, en volgt best practices voor cloud-native applicaties. http://Infraplannen.nl is een Agile ontwikkelde oplossing en wordt continu verbeterd en uitgebreid op basis van security- en performance-eisen.
In deze sectie vind u alle richtlijnen en maatregelen per hoofdonderwerp:
- 1 Identity & Access Management (IAM)
- 2 Dataopslag en encryptie
- 3 API security & authenticatie
- 4 Backup & disaster recovery
- 5 Netwerkbeveiliging & firewalls
- 6 Logging en Monitoring
- 7 Event-driven architectuur
- 8 DevOps & Infrastructure as Code (IaC)
- 9 Artificial Intelligence & Indexed Search
- 10 Azure functions & serverless beveiliging
of ga direct naar de sectie: https://mijnaansluiting.atlassian.net/wiki/spaces/Wiki/pages/395477121
Identity & Access Management (IAM)
Authenticatie en autorisatie verlopen via Entra ID (voorheen Azure AD). Dit biedt:
Strikte rolgebaseerde toegang (RBAC, ABAC) met Managed Identities.
Multi-Factor Authenticatie (MFA) voor alle beheerders en PIM voor DevOps-toegang.
OAuth 2.0 en SCIM (System for Cross-domain Identity Management) voor externe authenticatie en federatieve toegang.
Lees meer: https://mijnaansluiting.atlassian.net/wiki/spaces/Wiki/pages/395444440
Dataopslag en encryptie
Alle gevoelige data wordt versleuteld opgeslagen met Azure Managed Keys en Always Encrypted voor Cosmos DB. Daarnaast worden:
Private Endpoints en VNET-integratie toegepast voor extra beveiliging.
Immutable Storage en versiebeheer gebruikt om data-integriteit en wijzigingshistorie te garanderen.
Data in transit beschermd via TLS 1.2/1.3 en AES-256 encryptie.
Dataminimalisatie en filtering van AVG-gevoelige data toegepast bij opslag en verwerking.
API’s en gegevensuitwisseling bevatten alleen de noodzakelijke informatie en worden gefilterd op basis van query-parameters en toegangsrechten (RBAC, ABAC).
Lees meer: Technische richtlijnen dataopslag en encryptie
API security & authenticatie
API’s binnen Infraplannen zijn beveiligd met:
OAuth 2.0 en Entra ID voor veilige authenticatie.
Azure Key Vault voor geheimenbeheer (client secrets, certificaten, API keys).
Function-level authentication bij Azure Functions en API’s.
Web Application Firewall (WAF) en DDoS Protection om aanvallen af te weren.
Logging en monitoring van API-aanroepen via Azure Monitor en Defender for Cloud.
mTLS (mutual TLS) wordt niet gebruikt vanwege compliance-discussies en alternatieve, beter schaalbare oplossingen.]
Lees meer: Technische richtlijnen API security & authenticatie
Backup & disaster recovery
Automatische back-ups via Azure Backup en Geo-Redundant Storage (GRS) binnen de EU.
Failover-mechanismen via Azure Site Recovery zorgen voor minimale downtime.
Immutable Storage voorkomt dat ransomware-aanvallen back-ups kunnen verwijderen of wijzigen.
Lees meer: Technische richtlijnen backup & disaster recovery
Netwerkbeveiliging & firewalls
Azure Firewall en NSG’s beveiligen netwerktoegang.
Private Endpoints en VNET-integratie voorkomen blootstelling aan het publieke internet.
Just-In-Time (JIT) toegang voor beheerders om aanvalsvectoren te minimaliseren.
DDoS Protection en Microsoft Sentinel zorgen voor geautomatiseerde aanvalsmeldingen.
Lees meer: Technische richtlijnen netwerkbeveiliging & firewalls
Logging en Monitoring
Logging en monitoring vormen een essentieel onderdeel van de beveiligings- en compliance-strategie van Infraplannen.nl. Door real-time logging, dreigingsdetectie en continue monitoring worden afwijkingen en beveiligingsincidenten snel geïdentificeerd en aangepakt.
Alle systeemactiviteiten, API-aanroepen en event-verwerkingen worden gelogd via Azure Monitor, Defender for Cloud en Microsoft Sentinel.
Activity Logs en Audit Logs registreren toegangsverzoeken, dataveranderingen en administratieve handelingen.
Immutable logging en retentiebeleid zorgen ervoor dat logs niet gemanipuleerd of onbedoeld verwijderd kunnen worden.
AVG-conforme logging minimaliseert de opslag van persoonsgegevens en zorgt voor naleving van wettelijke bewaartermijnen.
Azure Monitor en Microsoft Sentinel analyseren real-time systeemactiviteit en detecteren anomalieën.
Automatische waarschuwingen en incidentmeldingen worden verstuurd naar beheerders bij verdachte gebeurtenissen.
Defender for Cloud voert security-scans uit op API’s, infrastructuur en netwerkverkeer.
Lees meer: Technische richtlijnen logging en monitoring
Event-driven architectuur
Infraplannen gebruikt een event-driven architectuur met Azure Event Hub, Service Bus en AMQP. Dit zorgt voor:
Asynchrone verwerking van events met Dead-Letter Queues (DLQ) voor foutafhandeling.
Private toegang tot Event Hub, uitsluitend via Managed Identity of SAS tokens.
Geen gebruik van API Management vanwege lage volume-eisen.
Lees meer: Technische richtlijnen event-driven architectuur
DevOps & Infrastructure as Code (IaC)
Terraform wordt gebruikt voor Infrastructure as Code (IaC).
Azure DevOps Pipelines zijn beveiligd met Managed Identities en Service Principals.
Microsoft Defender for DevOps monitort CI/CD-pipelines op security-kwetsbaarheden.
Lees meer: Technische richtlijnen DevOps & Infrastructure as Code (IaC)
Artificial Intelligence & Indexed Search
Zoekfunctionaliteiten binnen Infraplannen worden gefaciliteerd door:
Azure AI Search en Cosmos DB met Gremlin Indexed Search.
Full-text indexing, caching en geo-replicatie voor performance-optimalisatie.
AVG-conforme filtering, waarbij gevoelige gegevens vooraf worden uitgesloten.
Alle zoekacties worden gemonitord via Azure Monitor en Defender for Cloud, en logging voorkomt ongeoorloofde toegang tot zoekresultaten.
Lees meer: Technische richtlijnen Artificial Intelligence & Indexed Search
Azure functions & serverless beveiliging
Alle Azure Functions draaien binnen een Private VNET en gebruiken Function-level authentication.
Managed Identities worden toegepast voor veilige toegang tot API’s en databases.
Rate limiting, throttling en DDoS Protection voorkomen misbruik van serverless functies.
Logging en monitoring via Azure Monitor en Defender for Cloud zorgen voor continue bewaking van security events.
Lees Meer: Technische richtlijnen Azure functions & serverless beveiliging
http://Infraplannen.nl voldoet aan de hoogste beveiligings- en compliance-eisen en is ontworpen om veilig, schaalbaar en transparant te opereren binnen Microsoft Azure. Alle kerncomponenten – van API’s, IAM, netwerkbeveiliging, logging en monitoring, event-driven architectuur, AI, serverless security tot disaster recovery – zijn geoptimaliseerd volgens best practices, ISO 27001:2022, AVG, BIO en NIST-richtlijnen.