Cybersecurity Handboek Referentie Api-Regels Die Niet Lekken Directe Maatregelen (15 Minuten) Waarom Dit Telt 1 Kernprincipes 2 Wat Ging Hier Precies Mis?

Secret Management en API-keyRotatie

Q: Directe maatregelen (15 minuten) Gebruik deze pagina om maatregelen te prioriteren en in backlog om te zetten. Koppel elke maatregel aan eigenaar, deadline en aantoonbaar bewijs. Herhaal periodiek op basis van risico, wijzigingen en incidentlessen. Waarom dit telt

De kern van Secret Management en API-key Rotatie is risicoreductie in de praktijk. Technische context ondersteunt de maatregelkeuze, maar implementatie en borging staan centraal.

Q: Technisch Rotatie-Playbook (0-60 minuten) Fase 0 - Trigger (0-5 min) Markeer als SEV-incident. Benoem incident commander en key-owner. Bevries niet-essentiële deploys. Fase 1 - Containment (5-15 min) Revoke/intrek de verdachte key. Maak nieuwe key met minimale scopes. Koppel nieuwe key aan secret store (Vault / AWS Secrets Manager / Azure Key Vault / GCP Secret Manager). Fase 2 - Herdistributie (15-35 min) Update CI/CD secrets. Update runtime secrets (Kubernetes secret reference, app config, serverless env vars). Herstart alleen componenten die key-dependent zijn. Fase 3 - Verificatie (35-50 min) Draai smoke tests op kritieke paden. Controleer auth-fouten en 401/403-ratio. Valideer billing- en usagepatronen. Fase 4 - Forensiek + borging (50-60 min) Leg tijdlijn vast (ontdekking, revoke, herstel). Bepaal root cause: procesfout, tooling-gat, training-gat. Plan structurele maatregel met eigenaar en deadline. Zero-Downtime Rotatiepatroon (dual-key)

Gebruik waar mogelijk dual-key rollover:

Q: Praktische checklist Voor techneuten API-keys staan alleen in secret manager. CI heeft secret scanning gate. Logmasking verbergt tokens en authorization headers. Dual-key rotatie is getest in niet-productie. Runbook voor “key leaked” is geoefend. Voor bestuurders Er is een eigenaar per kritieke sleutelset. Er is een formele rotatiefrequentie per sleuteltype. Incidenten bevatten aantoonbare RCA + verbeteractie. KPI/KRI staan op bestuursdashboard. Leverancierscontracten bevatten secret handling-eisen. Voor consumenten/medewerkers Deel nooit codes of sleutels via chat of mail. Gebruik wachtwoordmanager en MFA. Meld een vergissing direct; snelheid is schadebeperking. Relatie met andere hoofdstukken Cloud 13 – Secrets Management: opslag, distributie, cryptografische waarborgen. Cloud 06 – CI/CD Pipeline Hardening: policy-as-code en gates. Referentie 03 – Incidentrespons: escalatie en meldproces. Bestuurders 10 – Security Metrics: bestuurlijke meetlat en prioritering. Samenvatting

Een gelekte API-key is geen klein operationeel foutje maar een volwaardig security-incident. Door direct te revoken, gecontroleerd te roteren en bestuurlijk te meten, maak je van paniekwerk een reproduceerbaar proces. De volwassenheid zit niet in “we hebben nooit een lek”, maar in “we herstellen snel, aantoonbaar en structureel”.

Q: Verder lezen in de kennisbank

Deze artikelen in het portaal geven je meer achtergrond en praktische context:

Q: Gerelateerde securitymaatregelen

Deze artikelen bieden aanvullende context en verdieping:

Secret Management en API-key Rotatie

API-Regels Die Niet Lekken

Dit onderwerp werkt het best als praktisch kader: helder genoeg voor besluitvorming en concreet genoeg voor uitvoering.

Bij Secret Management en API-key Rotatie werkt beveiliging pas echt als autorisatie expliciet per object en actie wordt afgedwongen.

Daarmee blijft dit hoofdstuk geen theorie, maar een bruikbaar kompas voor consistente uitvoering.

Directe maatregelen (15 minuten)

Gebruik deze pagina om maatregelen te prioriteren en in backlog om te zetten.
Koppel elke maatregel aan eigenaar, deadline en aantoonbaar bewijs.
Herhaal periodiek op basis van risico, wijzigingen en incidentlessen.

Waarom dit telt

De kern van Secret Management en API-key Rotatie is risicoreductie in de praktijk. Technische context ondersteunt de maatregelkeuze, maar implementatie en borging staan centraal.

Kernprincipes

Een secret is een identity
Een API-key representeert een actor met rechten. Wie de key heeft, is die actor.
Expositie = incident
Gelekte key betekent direct incidentclassificatie, ook zonder zichtbare misbruiksporen.
Revoken vóór forensiek
Eerst schade beperken (intrekken/disable), daarna uitzoeken wat er precies gebeurde.
Korte TTL, automatische rotatie
Hoe korter geldigheid, hoe kleiner je blast radius.
Nooit handmatig verspreiden
Secrets komen uit secret managers of CI-injectie, niet via chat, mail of tickettekst.

Wat ging hier precies mis?

Dit patroon komt vaak voor:

Teamlid deelt een sleutel “even snel” om iets te laten werken.
Sleutel verschijnt in een systeem met logging/retentie.
Iedereen met leesrechten op die logs kan de sleutel hergebruiken.
Misbruik wordt pas zichtbaar als budget op is of rate limits raken.

De les: snelheid zonder secret-hygiene is uitgestelde downtime.

Technisch Rotatie-Playbook (0-60 minuten)

Fase 0 - Trigger (0-5 min)

Markeer als SEV-incident.
Benoem incident commander en key-owner.
Bevries niet-essentiële deploys.

Fase 1 - Containment (5-15 min)

Revoke/intrek de verdachte key.
Maak nieuwe key met minimale scopes.
Koppel nieuwe key aan secret store (Vault / AWS Secrets Manager / Azure Key Vault / GCP Secret Manager).

Fase 2 - Herdistributie (15-35 min)

Update CI/CD secrets.
Update runtime secrets (Kubernetes secret reference, app config, serverless env vars).
Herstart alleen componenten die key-dependent zijn.

Fase 3 - Verificatie (35-50 min)

Draai smoke tests op kritieke paden.
Controleer auth-fouten en 401/403-ratio.
Valideer billing- en usagepatronen.

Fase 4 - Forensiek + borging (50-60 min)

Leg tijdlijn vast (ontdekking, revoke, herstel).
Bepaal root cause: procesfout, tooling-gat, training-gat.
Plan structurele maatregel met eigenaar en deadline.

Zero-Downtime Rotatiepatroon (dual-key)

Gebruik waar mogelijk dual-key rollover:

activeer key_new;
laat applicatie zowel key_old als key_new accepteren (korte overlap);
schakel verkeer gefaseerd over;
monitor fouten en latency;
revoke key_old.

Dit voorkomt de klassieke “alles tegelijk vervangen en productie breekt” fout.

Detectie en Preventie

Preventie

Secret scanning in CI (gitleaks, trufflehog, platform-native scanning).
Server-side redaction in logs (tokens maskeren).
Pre-commit hooks voor lokale blokkade.
Verbied plaintext secrets in chat/tickets via beleid + awareness.

Detectie

Alert op sleutelgebruik vanaf nieuwe geo/IP/ASN.
Alert op piek in tokenverbruik of kosten.
Alert op mislukte auth bursts na rotatie (indicator van achterblijvende clients).

Voorbeeld CI-gate:

# Blokkeer commit/build bij gedetecteerde secrets
gitleaks detect --source . --no-git --redact --exit-code 1

Bestuurlijke borging (KPI/KRI)

Rapporteer maandelijks minimaal:

Metric	Doel	Signaalwaarde
MTTR voor key-compromis	< 60 min	> 120 min = escalatie
% keys met rotatiebeleid	100%	< 95% = actieplan
% keys met minimale scope	> 98%	< 95% = risk acceptance nodig
# plaintext secret-incidenten	0	elke >0 = RCA verplicht
% workloads met secret manager i.p.v. env-file	> 95%	< 90% = backlog prioriteit

Security zonder meetbaarheid is een mening.

Praktische checklist

Voor techneuten

API-keys staan alleen in secret manager.
CI heeft secret scanning gate.
Logmasking verbergt tokens en authorization headers.
Dual-key rotatie is getest in niet-productie.
Runbook voor “key leaked” is geoefend.

Voor bestuurders

Er is een eigenaar per kritieke sleutelset.
Er is een formele rotatiefrequentie per sleuteltype.
Incidenten bevatten aantoonbare RCA + verbeteractie.
KPI/KRI staan op bestuursdashboard.
Leverancierscontracten bevatten secret handling-eisen.

Voor consumenten/medewerkers

Deel nooit codes of sleutels via chat of mail.
Gebruik wachtwoordmanager en MFA.
Meld een vergissing direct; snelheid is schadebeperking.

Relatie met andere hoofdstukken

Cloud 13 – Secrets Management: opslag, distributie, cryptografische waarborgen.
Cloud 06 – CI/CD Pipeline Hardening: policy-as-code en gates.
Referentie 03 – Incidentrespons: escalatie en meldproces.
Bestuurders 10 – Security Metrics: bestuurlijke meetlat en prioritering.

Samenvatting