Een cloudomgeving bouwen die bestand is tegen aanvallers

By Mickey De Baets|07 Dec, 2025|Strategy, Cloud Security

De meeste organisaties hebben ondertussen kritieke workloads naar de cloud verplaatst. Cloudomgevingen zijn snel en flexibel, wat aanvallers ook aantrekt. Misconfiguraties worden vaak binnen enkele minuten misbruikt. Identiteitsgrenzen staan voortdurend onder druk. Eén te ruime roltoewijzing kan een volledige organisatie compromitteren. De vraag is niet of je naar de cloud kunt migreren, maar of je cloudomgeving een echte aanval doorstaat.

Azure Landing Zones pakken precies dat probleem aan (Azure Landing Zones). Ze vormen een governance- en beveiligingsarchitectuur die cloudomgevingen weerbaar maakt tegen red teams en opportunistische aanvallers. De vergelijking met een luchthaven werkt: piloten besturen hun vliegtuig zelf, de verkeerstoren coördineert het luchtruim. De piloot behoudt autonomie, de toren zorgt voor veiligheid. De cloud vraagt om hetzelfde evenwicht. Teams hebben ruimte nodig om te bouwen. Securityteams hebben zichtbaarheid en duidelijke guardrails nodig om exploiteerbare fouten te voorkomen.

Een landing zone omvat de volledige infrastructuur van die "luchthaven": identiteitsdiensten, netwerkarchitectuur, beleidsregels, monitoring, gedeelde services en operationele grenzen. Deze componenten bepalen wat een aanvaller kan misbruiken. Je kunt geen landingslichten toevoegen aan een vliegtuig dat al in de lucht is. Op dezelfde manier kun je geen samenhangende governance toevoegen aan tientallen bestaande subscriptions. Red teams zien omgevingen zonder landing zones als speelterrein. Volwassen organisaties accepteren dat risico niet.

Azure Landing Zone conceptual architecture diagram showing management groups, subscriptions, and security components
Conceptuele architectuur van Azure Landing Zones: hiërarchische structuur vanaf Enterprise Agreement, via management groups, tot platform subscriptions (Security, Management, Identity, Connectivity) en application landing zones.

Landing zones verkleinen de attack surface direct. Sterke identity- en access-controls beperken laterale beweging via standaardpermissies. Management-group-hiërarchieën voorkomen dat schaduwomgevingen ontstaan. Een gedefinieerde netwerktopologie met egress-controles sluit eenvoudige exfiltratiepaden af en dwingt aanvallers langs bewaakte routes. Security-baselines op schaal voorkomen uitzonderingen die de omgeving verzwakken. Gecentraliseerde logging en monitoring maken afwijkend gedrag zichtbaar voordat het onopgemerkt blijft.

Zonder deze fundamenten hoeft een red team niet creatief te zijn. Ze volgen de scheuren: verweesde subscriptions, onbeheerde service principals, inconsistente naamgeving, vlakke netwerken, ontbrekende logging en workloads die met niet-geëvalueerde standaardinstellingen worden uitgerold. Deze aanvalstechnieken zijn niet exotisch. Ze zijn dagelijkse bevindingen bij elke serieuze cloudassessment. Azure Landing Zones voorkomen deze zwaktes voordat ze ontstaan.

In de praktijk ziet dat er vaak zo uit. Een red team ontdekt een verweesde subscription die door niemand gemonitord wordt. In die subscription staat nog een Contributor-rol toegewezen aan een service principal van een buiten dienst gesteld project. Met die identiteit creëren ze een nieuwe managed identity met Owner-rechten. Vervolgens rollen ze een storage account uit en beginnen gevoelige data te kopiëren. Omdat er geen afdwingbare netwerktopologie is, staat publieke toegang toe. Omdat er geen centrale logging is, gebeurt de exfiltratie in stilte. Binnen enkele uren verplaatst de aanval zich van een vergeten subscription naar productiedata.

Met landing zones actief verloopt dat anders. Management-group-policies signaleren de verweesde subscription onmiddellijk. Identity-governance verhindert dat service principals nieuwe identities met verhoogde rechten aanmaken. Netwerkpolicies blokkeren publieke toegang of dwingen verkeer via bewaakte egress-punten. Gecentraliseerde logging registreert elke actie, terwijl security-baselines de misconfiguratie voorkomen die de aanval mogelijk maakte. De red team-operatie botst op elk punt op guardrails in plaats van open paden.

Landing zones werken net omdat ze engineeringteams niet beperken. Ontwikkelaars behouden controle over hun workloads en deployments. Ze itereren op hun eigen tempo. De guardrails voorkomen alleen dat er onbedoeld exploiteerbare situaties ontstaan. Identity-regels, netwerkgrenzen, operationele baselines en verplichte logging worden afgedwongen door de "verkeerstoren". Niet om teams te vertragen, maar om te voorkomen dat één workload de volledige omgeving in gevaar brengt. Correct ingericht verminderen landing zones de kansen voor red teams in dagelijkse operaties aanzienlijk.

Deze benadering sluit aan bij wat Rhesa Baar beschreef in haar talk Cloud Security anno 2025: Start Secure, Stay Secure. De kern is eenvoudig: vermijd zwaktes vanaf het begin. Preventie via architectuur is effectiever dan detectie achteraf.

Landing zones zijn ontstaan binnen cloudstrategieën, maar hetzelfde architecturale denken is breder toepasbaar. Hybride infrastructuren, interne platformen en identity-transformaties volgen hetzelfde patroon. Laat teams niet deployen in een ongedefinieerde ruimte. Bouw eerst de landingsbaan. Stel guardrails in. Beperk identity-paden. Dwing netwerkgrenzen af. Centraliseer observability. Of workloads nu cloud-native, hybride of on-prem draaien, het landing-zone-principe haalt ambiguïteit en inconsistentie weg. Red-team-oefeningen en penetratietesten misbruiken deze omstandigheden. Bij cloudassessments zien we telkens dezelfde hiaten terug: resources zonder eigenaar, service principals met te ruime rechten, vlakke netwerken die laterale beweging triviaal maken en ontbrekende logging die aanvalleractiviteit verbergt. Landing zones nemen deze zwaktes weg voordat ze kunnen ontstaan. Een omgeving wordt niet "on-testbaar". Red teams moeten harder werken, creatievere paden vinden en je echte defensieve capaciteiten testen, in plaats van te leunen op basale misconfiguraties die nooit hadden mogen bestaan.

Het doel is niet enkel een cloudomgeving die werkt, maar een omgeving die niet eenvoudig te misbruiken is. Autonomie voor applicatieteams gecombineerd met gedisciplineerd toezicht leidt tot minder exploiteerbare fouten en minder blinde vlekken. Goed ontworpen landing zones veranderen cloudadoptie van een open aanvalsvlak in een gecontroleerde, observeerbare en weerbare omgeving.

Wie een cloud wil die standhoudt tegen een red team of een echte aanvaller, begint bij de landingsbaan, de verkeerstoren en de structuur die alles op elkaar afstemt. Azure Landing Zones bieden een schaalbare aanpak voor veilige operaties die je organisatie moeilijker aan te vallen en te doorgronden maakt, en eenvoudiger te verdedigen.

Delen op

Populaire Berichten

Cobalt Strike, MCP's en de illusie van "push-button" intrusions
Cobalt Strike, MCP's en de illusie van "push-button" intrusions

26 Nov, 2025

Beyond User Mode: How kernel drivers become attack vectors
Beyond User Mode: How kernel drivers become attack vectors

Coming soon...

Understanding Reflection & Shellcode Injection in PowerShell
Understanding Reflection & Shellcode Injection in PowerShell

Coming soon...

Gerelateerde Diensten

EVALUATE

Breng kwetsbaarheden in je infrastructuur, applicaties en aanvalsvlak aan het licht voordat aanvallers ze misbruiken.
SIMULATE

Valideer je defensieve capaciteiten tegen realistische dreigingen via red teaming, ransomware-scenario’s en adversary emulation.
EDUCATE

Maak van je team je sterkste verdedigingslinie met geavanceerde technische trainingen, offensieve coaching en hands-on workshops.

Onze Missie

We laten organisaties zien hoe aanvallers in de praktijk te werk gaan en wat dat betekent voor hun beveiliging. Onze focus ligt op echte technieken, heldere communicatie en verbeteringen die aantoonbaar werken.

Info & Juridisch
Taal
UIT DE BLOG