Belang van Customer Managed Keys in Microsoft Fabric voor organisaties

In een tijd waar in organisaties hun dataplatform moderniseren richting Microsoft Fabric, wordt volledige controle over databeveiliging en soevereiniteit steeds belangrijker. Hoewel Microsoft Fabric standaard sterke encryptie toepast via Microsoft Managed Keys (MMK), blijkt in de praktijk dat organisaties met hogere compliance‑, governance‑ of risicobeheersingseisen, méér zekerheid nodig hebben. Customer Managed Keys (CMK) geeft organisaties die extra laag van controle en vormt daarmee een strategische basis voor vertrouwen, compliance en een toekomstbestendige data‑architectuur.

Deze blog legt uit waarom CMK strategisch relevant is en wat het concreet oplevert.

1. Wat Microsoft standaard biedt: Microsoft Managed Keys (MMK)

Microsoft Fabric versleutelt standaard alle data‑at‑rest met door Microsoft beheerde sleutels. Deze baseline voldoet aan frameworks zoals GDPR, ISO‑27001, SOC‑normeringen en HIPAA.

De voordelen van MMK zijn:

• Geen beheerlast voor het eigen team
• Microsoft verzorgt sleutelrotatie, beveiligingen beschikbaarheid
• Voldoet aan reguliere normen en scenario’s
• Ideaal voor organisaties zonder zware compliance‑eisen

Voor organisaties waar soevereiniteit, strengere governance of risicobeperking centraal staan, is MMK echter niet voldoende.

2. Waarom Customer Managed Keys (CMK) wél strategisch verschil maakt

Customer Managed Keys gaan verder dan “extra beveiliging”.Ze vormen een strategische controle laag waarbij jouw organisatie de volledige cryptografische controle terug in handen krijgt. Dit is essentieel voor sectoren waar compliance, audits, datarisico’s, eigenaarschap en soevereiniteit centraal staan.

Soevereiniteit en juridische controle

Met CMK ligt de sleutel voor jouw data encryptie letterlijk ook bij jouw organisatie, in Azure Key Vault of een Managed HSM (Hardware Security Module) en dus buiten Microsofts beheer. Dit betekent:

• Alleen jij bepaalt wie een sleutel mag gebruiken
• Alleen jij bepaalt wanneer je toegang blokkeert
• Microsoft kan technisch niet bij de data, zelfs niet bij juridische druk
• Alleen jij verantwoordelijk bent voor het bewaren van de sleutel

Nu workloads wereldwijd draaien, is CMK een cruciale bouwsteen voor cloud-soevereiniteit.Microsoft Fabric ondersteunt bijvoorbeeld multi-geo functionaliteit en is beschikbaar in 54 datacenterregio’s.

Sterkere compliance auditstory

Regelgeving zoals NIS2, DNB‑eisen, GDPR‑versterkingen,overheidsspecificaties en interne auditnormen vragen steeds vaker om:

• Klantcontrole over encryptiesleutels
• Aantoonbare sleutelrotatie
• Toegangslogging bij de sleutel zelf
• Scheiding tussen provider en datatoegang

CMK voldoet hier perfect aan doordat:

• Auditlogging gebeurt in jouw Key Vault omgeving, niet bij Microsoft
• Rotatie wordt afgedwongen volgens eigen beleid
• Revocation maakt data binnen ~60 minuten ontoegankelijk, een cruciale auditeis voor risicobeheersing

Voor auditors is dit letterlijk "controle op de cryptografische root of trust".

Risicobeperking en incidentrespons

Incidenten blijven kleiner, controleerbaarder en sneller te mitigeren:

• Bij een security breach kun je direct toegang blokkeren via jouw Azure Key Vault
• Data blijft beschermd, ook als derde partijen (juridisch/contractueel) onder druk toegang wensen tot jouw data
• Zelf op het moment dat Microsoft Fabric‑rechten worden misbruikt, blijft data onleesbaar, zolang de sleutel niet is toegestaan

Governance & scheiding van verantwoordelijkheden

CMK dwingt een volwassen governance‑model af, bestaande uit:

• Security Officer beheert sleutels
• Engineering bouwt en draait workloads in Fabric
• Organisatie is verantwoordelijk voor beheer van de sleutels

Precies het model dat auditors en toezichthouders verwachten.

3. Wanneer gebruik je Azure Key Vault en wanneer Azure Managed HSM?

Gebruik Azure Key Vault wanneer je veilige, schaalbare en kostenefficiënte sleutelopslag nodig hebt zonder zware compliance-eisen.

Gebruik Azure Managed HSM wanneer hardwarematige beveiliging vereist is of wanneer auditors FIPS 1402 Level 3 eisen stellen. Managed HSM garandeert dat sleutels nooit buiten de hardwarematige beveiligingsgrens komen en biedt maximale cryptografische isolatie

Ons Advies
Gebruik Key Vault als standaard, kies Managed HSM alleen wanneer jouw organisatie harde compliance-, security- of auditvereisten stelt die hardwarematige sleutelbescherming verplichten.

4. Hoe CMK technisch werkt

Stap 1 - Jouw sleutel bestaat in een Key Vault of HSM

Je creëert (of beheert) een KEK (Key Encryption Key) in:

• Azure Key Vault (software‑beveiligde sleutelopslag) of
• Azure Managed HSM (hardware‑gebaseerdeFIPS‑140‑2 Level 3 beveiliging)

Deze sleutel verlaat nooit de kluis in een van deze omgevingen.

Stap 2 - Fabric gebruikt envelope encryption

Fabric werkt altijd met een Data Encryption Key (DEK). Het proces:

• Fabric genereert en gebruikt de DEK om jedata te versleutelen
• De klant‑beheerde KEK versleutelt de DEK
• De encrypted DEK wordt opgeslagen in Fabric
• De KEK blijft in jouw Key Vault/HSM

Zonder jouw KEK kan niemand, ook Microsoft niet, jouw data ontsleutelen.

Stap 3 - Fabric vraagt toestemming aan Key Vault/HSM

Wanneer Fabric data moet ontsleutelen:

• Fabric vraagt Key Vault: “Mag ik de DEK ontsleutelen?”
• Key Vault controleert: RBAC, policies, firewalls, netwerkrestricties
• Alleen bij een geslaagde controle wordt de DEK vrijgegeven

Realtime decryptie, maar volledig onder jouw controle.

Stap 4 - Rotatie versiebeheer

Jij bepaalt:

• Hoe vaak een KEK wordt vernieuwd
• Of oude versies actief blijven tijdens overgang
• Automatische of manuele rotatie

Fabric detecteert sleutelupdates automatisch en begint nieuwe DEK encrypties met de nieuwste versie.

Stap 5 - Revocation: de ultieme kill‑switch

Het krachtigste element:

• Bij revocation kan Fabric geen DEK meer ontsleutelen
• Binnen ~60 minuten is alle data in een CMK geactiveerde workspace onleesbaar
• Zodra je de sleutel weer toestaat, komt toegang terug

Dit biedt ongeëvenaarde risicobeheersing.

5. Wat kan je met CMK in Fabric beveiligen?

CMK ondersteunt inmiddels een breed spectrum aan Fabric elementen zoals:

• Lakehouse
• Warehouse
• Notebook
• Environment
• Spark Job Definition
• API for GraphQL
• ML model
• Experiment
• Pipeline
• Dataflow
• Industry solutions
• Mirrored Database
• SQL Database (preview)

Je hoeft niet al je data met CMK te versleutelen

Een belangrijk voordeel van Customer Managed Keys in Microsoft Fabric is dat organisaties niet verplicht zijn om alle data met CMK te versleutelen. Fabric ondersteunt een workspace gebaseerde aanpak,waardoor je CMK alleen toepast op workloads waar dit écht nodig is, bijvoorbeeld vanwege classificatie, compliance‑eisen of risicoprofielen. Dit betekent dat je jouw encryptiestrategie kunt afstemmen op de gevoeligheid van jouw data:

• Hoog‑risico of streng gereguleerde data → versleutelen met CMK
• Reguliere of laag‑risico workloads → achterlaten op standaard Microsoft Managed Keys
• Gescheiden beveiligingsniveaus → perworkspace eigen sleutelbeleid en governance

Deze flexibiliteit voorkomt overengineering, verlaagt operationele overhead en maakt CMK inzetbaar precies daar waar het maximale beveiligingsniveau vereist is. Het past bovendien goed bij een dataclassificatiemodel waarin je per dataset, domein of afdeling bepaalt welke beveiligingsmaatregelen passend zijn.

De onderliggende Fabricarchitectuur ondersteunt dit ontwerp, omdat CMK op workspaceniveau wordt geactiveerd en alleen geldt voor de objecten binnen die specifieke omgeving.

6. Het verschil samengevat: CMK vs Microsoft Managed Keys

7. Waarom organisaties nú moeten besluiten over CMK + Key Vault/HSM

De businesscase is sterker dan ooit:

• Je beheert je eigen “root of trust”
• Volledige audittrail beschikbaar
• Je voldoet eenvoudiger aan NIS2, GDPR, sectorregelgeving
• Microsoft kan nooit bij je data
• Governance‑scheiding wordt volwassen en helder
• Je reduceert juridische én technische risico’s
• Je data blijft beschermd, zelfs bij misconfiguratie, breach of juridische druk

8. Conclusie: CMK is geen technische optie maar een strategische beslissing

Customer Managed Keys in Microsoft Fabric geven organisaties een niveau van controle, soevereiniteit en compliance dat voorheen vrijwel onmogelijk was in cloudomgevingen. Met de versnelling van regelgeving, datarisico’s en AI‑innovatie vormt CMK de basis voor een veilig, toekomstbestendig en controleerbaar dataplatform.

Wil je weten wat Customer Managed Keys voor jouw organisatie betekenen?

Neem dan contact met ons op. Onze experts helpen je graag om de juiste strategische keuzes te maken rondom datasoevereiniteit, compliance een beveiliging binnen Microsoft Fabric.