De Ready-fase binnen het Microsoft Cloud Adoption Framework: je Azure Landing Zone goed neerzetten
Leestijd: 4 min
In het vorige blog over de Plan-fase hebben we uitgelegd hoe je van strategie naar een concrete migratieroadmap gaat. Je weet wat je gaat migreren, in welke volgorde en welke afhankelijkheden daarbij horen.
Maar voordat je ook maar één workload verplaatst, is er een stap die je absoluut niet mag overslaan: je Azure-omgeving moet klaar zijn om productie veilig en beheersbaar te draaien.
Dat is precies waar de Ready-fase binnen het Microsoft Cloud Adoption Framework (CAF) om draait.
Wat is de Ready-fase?
De Ready-fase is het moment waarop je de technische fundering legt voor je cloudomgeving. Microsoft noemt dit een Azure Landing Zone.
Een Landing Zone is niet simpelweg een paar resource groups, maar een complete basis die rekening houdt met:
- Structuur (subscriptions, management groups)
- Identity en toegang (Entra ID, RBAC)
- Netwerk (hub-spoke, DNS, routing)
- Security (policies, baseline controls)
- Beheer (monitoring, logging, back-ups)
- Standaardisatie (naming en tagging)
Het doel is simpel: zorgen dat alles wat je later migreert, direct op de juiste manier landt.
Waarom is deze fase zo belangrijk?
Veel organisaties beginnen hun migratie door “even snel” een VM in Azure te plaatsen. Dat werkt… totdat de omgeving groeit.
Zonder goede basis krijg je al snel:
- Versnipperde subscriptions en resource groups
- Onduidelijke toegangsrechten
- Onverwachte kosten
- Inconsistent netwerkontwerp
- Gaten in de security
- Ontbrekende monitoring
- Discussies achteraf (“had dit niet anders gemoeten?”)
De Ready-fase voorkomt dat je later moet herbouwen terwijl je al in productie zit.
De Azure Landing Zone: schaalbaar vanaf dag één
Microsoft ontwikkelde het Landing Zone-concept omdat cloudomgevingen bijna altijd snel groeien. Een goede Landing Zone zorgt ervoor dat je:
- Sneller nieuwe workloads kunt onboarden
- Consistent werkt volgens standaarden
- Governance en security vanaf het begin goed inricht
- Minder beheerlast hebt op de lange termijn
De Ready-fase is dus niet alleen technisch, maar ook organisatorisch: je maakt keuzes die later het verschil maken.
1. Structuur: management groups en subscriptions
Een van de eerste keuzes is hoe je je Azure-omgeving structureert.
Microsoft adviseert vaak een indeling met:
- Management Groups (voor governance en beleid)
- Subscriptions (voor scheiding van workloads, kosten en verantwoordelijkheden)
Een veelvoorkomend patroon is:
- Platform subscription (shared services)
- Landing zone subscriptions (workloads)
- Sandbox- of dev-subscriptions
Zo kun je kosten, rechten en policies beter scheiden.
2. Identity: Entra ID en RBAC
Identity is het hart van Azure.
In de Ready-fase bepaal je onder andere:
- Hoe gebruikers inloggen (Entra ID)
- Welke groepen toegang krijgen tot welke resources
- Hoe adminrechten worden beheerd (bijv. PIM)
- Welke service principals of managed identities worden gebruikt
Daarnaast richt je Role-Based Access Control (RBAC) in volgens het principe van least privilege: gebruikers krijgen alleen de rechten die ze nodig hebben.
3. Netwerk: hub-spoke, routing en DNS
Netwerk is vaak het onderdeel waar de meeste fouten worden gemaakt, vooral in hybride omgevingen.
In de Ready-fase leg je het fundament:
- Hub-spoke netwerkmodel
- Centrale firewalling (bijv. Azure Firewall)
- Routing en User Defined Routes (UDR’s)
- VPN of ExpressRoute naar on-premises
- DNS en hybride naamresolutie
- Segmentatie tussen workloads
Zo kun je later nieuwe workloads toevoegen zonder het netwerk opnieuw te moeten ontwerpen.
4. Security baseline: policies, Defender en logging
Security in Azure is geen stap voor later. Binnen CAF hoort security al bij de Ready-fase.
Denk aan:
- Azure Policy om regels af te dwingen (bijv. tagging of toegestane regio’s)
- Defender for Cloud voor posture management en alerts
- Baseline-configuraties voor storage, Key Vault en netwerk
- Logging en auditing via Log Analytics en Azure Monitor
Hiermee voorkom je dat je later tientallen resources moet corrigeren.
5. Monitoring en beheer
Een workload migreren naar Azure is één ding, maar hem stabiel beheren is iets anders.
Daarom richt je minimaal in:
- Azure Monitor
- Log Analytics workspaces
- Alerts voor performance, beschikbaarheid en security
- Back-upstrategie (Azure Backup)
- Update management en patching
- Incident- en changeprocessen
Zo zorg je dat je niet alleen iets hebt draaien, maar het ook goed kunt beheren.
6. Standaarden: naming en tagging
Dit lijkt een detail, maar is cruciaal.
Zonder naming en tagging:
- Kun je kosten moeilijk doorbelasten
- Wordt troubleshooting lastiger
- Is automatisering moeilijker
- Wordt de omgeving snel onoverzichtelijk
In de Ready-fase definieer je bijvoorbeeld:
- Naming conventions voor resources
- Tags zoals omgeving, eigenaar, kostenplaats en applicatie
- Lifecycle-tags zoals ShutdownSchedule of Criticality
Deze standaarden zorgen voor grip op schaal.
Output van de Ready-fase
Aan het einde van deze fase heb je:
- Een Azure Landing Zone-structuur
- Governance (policies, RBAC en management groups)
- Een solide netwerkfundament
- Security- en loggingbaselines
- Monitoring en beheer ingericht
- Naming- en taggingstandaarden
En vooral: een omgeving waarin workloads veilig en gestructureerd kunnen landen.
Veelgemaakte fouten
In de praktijk zien we vaak deze valkuilen:
- Landing Zone overslaan
Dan moet je later alsnog herbouwen, terwijl workloads al draaien. - Te complex ontwerpen
Niet elke organisatie heeft enterprise-complexiteit nodig,
- Netwerk “later wel” regelen
Netwerk wordt bijna altijd de grootste blocker als het niet goed is ingericht.
- Geen standaardisatie
Zonder naming en tagging wordt je omgeving snel onoverzichtelijk en duur.
Checklist: klaar voor de Adopt-fase?
Je bent klaar om te migreren als:
- De Azure-structuur (management groups en subscriptions) staat
- RBAC en identity zijn ingericht
- Netwerk en connectiviteit werken
- Policies en security-baselines zijn ingericht
- Monitoring en logging actief zijn
- Naming conventions en tagging zijn afgesproken
Tot slot
De Ready-fase vormt de fundering van je cloudomgeving. Een goede Landing Zone zorgt ervoor dat je migratie niet alleen snel verloopt, maar ook veilig, beheersbaar en schaalbaar blijft.
In het volgende blog gaan we verder met de Adopt-fase (Migrate): de fase waarin workloads daadwerkelijk naar Azure worden verplaatst.
Kies voor meer resultaat
Vragen? Deze beantwoorden we natuurlijk graag. Neem gerust contact met ons op!
.webp)