Contact

Microsoft Cloud Adoption Framework: Secure-fase in Azure

Leestijd: 6 min

In het vorige blog over de manage-fase hebben we gesproken hoe je Azure operationeel stabiel beheert.Monitoring, logging, back-up, patching en incidentprocessen zorgen ervoor dat je omgeving betrouwbaar blijft draaien. Maar zelfs met goed beheer blijft er één onderwerp dat altijd bovenaan hoort te staan: Security, en dan niet als een eenmalige checklist, maar als een continu proces. Dat is precies waar de Secure-fase binnen het Microsoft Cloud Adoption Framework (CAF) om draait.

Wat is de Secure-fase?

De Secure-fase gaat over het volwassen maken van security in je Azure omgeving met als doel:
  • Risico’s structureel verkleinen.
  • Bedreigingen sneller detecteren.
  • Securityprocessen continu verbeteren.
  • Compliance aantoonbaar maken.
  • Security integreren in je dagelijkse operatie
Secure is dus niet “de laatste stap” maar een fase die altijd doorloopt. CAF plaatst hem echter bewust aan het einde van de reeks om duidelijk te maken dat Security nooit stopt.

Waarom is de Secure-fase belangrijk

Veel organisaties benaderen security nog steeds als iets dat je “aan het eind even doet”, maar in de cloud werkt dat niet.
Azure is:
  • Sneller (resources worden in minuten uitgerold).
  • Groter (meer services, meer integraties).
  • Dynamischer (meer changes, meer automatisering).
  • Vaak publiek bereikbaar als je niet oppast.
Daarom zie je zonder een volwassen security-aanpak al snel:
  • Resources met publieke toegang.
  • Te veel RBAC-rechten.
  • Onvoldoende logging.
  • Secrets in code of pipelines.
  • VM’s die niet gepatched worden.
  • Misconfiguraties in storage of networking.
  • Gebrek aan zicht op potentiële dreigingen.
Secure is de fase waarin je dit structureel aanpakt.

Het Shared Responsibility Model, uitgelegd

Een belangrijk concept in Azure security is het Shared Responsibility Model.
Microsoft is verantwoordelijk voor:
  • Fysieke datacenters.
  • Hardware.
  • De onderliggende cloud infrastructuur.
Jij bent verantwoordelijk voor:
  • Identity en toegang.
  • De configuratie van resources.
  • Data.
  • Netwerkregels.
  • (Security) policies.
  • Patching (bij IaaS).
  • Monitoring van de omgeving.

Zero Trust: de moderne security basis

Microsoft bouwt zijn security-aanpak rondom Zero Trust.
De kernprincipes van ‘Zero Trust’ zijn:
  • Vertrouw niets standaard.
  • Verifieer altijd identiteit.
  • Geef minimale rechten.
  • Ga ervan uit dat er een beveiligingslek is.
In Azure betekent dit concreet:
  • Sterke identity security (Entra ID).
  • MFA en Conditional Access.
  • PIM (Privileged Identity Management) voor adminrechten.
  • Netwerksegmentatie.
  • Logging en detectie.
  • Security baselines en policies.
 

1. Identity security: Entra ID als fundament

dentity is het hart van Azure; als dit niet op orde is, kun je de rest net zo goed inrichten als je wilt maar dan blijft je omgeving kwetsbaar.
In de Secure-fase richt je daarom op z’n minst het volgende in:
  • MFA voor alle gebruikers (zeker voor admins).
  • Conditional Access policies.
  • Blokkeren van legacy authentication.
  • Sterke wachtwoord policies en risk-based sign-ins.
  • Een duidelijke scheiding tussen admin accounts en user accounts.
Privileged Identity Management (PIM)
PIM is een cruciaal onderdeel van volwassen security:
  • Adminrechten zijn tijdelijk.
  • Toegang is te auditen.
  • Goedkeuring is mogelijk.
  • Voorkomen van “permanent Global Admin” accounts.
Dit beperkt de gevolgen van een beveiligingsincident aanzienlijk.

2. Security posture management: Defender for Cloud

Een van de krachtigste tools in Azure is Microsoft Defender for Cloud, dit is je centrale plek voor:
  • Beveiligingsaanbevelingen.
  • Beveiliging score.
  • Detectie van dreigingen.
  • Compliance frameworks.
Defender for Cloud helpt bij:
  • Het vinden van misconfiguraties.
  • Het prioriteren van risico’s.
  • Het structureel verbeteren van beveiliging.
Belangrijk hierbij is dat je niet alleen kijkt naar alerts, maar ook actief werkt aan het verhogen van je baseline.

3. Netwerksecurity

Netwerksecurity in Azure draait vaak om één principe: Maak alleen noodzakelijk verkeer toegankelijk vanaf het internet.
In de Secure-fase zie je daarom vaak maatregelen zoals:
  • Gebruik van Private Endpoints (bij storage, key vault, SQL).
  • Azure Firewall.
  • Network Security Groups en segmentatie per subnet.
  • Toegang beperken via Bastion of jumpbox.
  • Outbound controle door middel van User Defined Rules en firewalling.
  • DDoS Protection (voor kritische workloads).
Een veelvoorkomende fout is dat resources standaard publiek bereikbaar zijn. Azure maakt het makkelijk om iets open te zetten, maar volwassen security betekent dat je dit juist voorkomt.

4. Data security: encryptie, classificatie en toegang

Data is vaak het meest waardevolle onderdeel van een organisatie. Daarom hoort in Azure data security altijd in de Secure-fase. Belangrijke onderwerpen hierbij zijn:
  • Encryptie at-rest (standaard in Azure, maar wel goed configureren).
  • Encryptie in-transit (TLS).
  • Data classificatie.
  • Toegangsbeheer.
  • Key Vault voor secrets en certificaten.
In een Azure omgevingen wil je geen secrets in:
  • Scripts
  • Pipelines
  • Config files
  • Application settings
Key Vault is de beste plek voor secrets, keys, certificaten en de rotatie en auditing hiervan.

5. Logging, detectie en response: security is ook operatie

Security is niet alleen preventie, het is ook detectie, response en herstel. In Azure betekent dat dat je minimaal het volgende nodig hebt:
  • Activity Logs en audit logging.
  • Defender for Cloud alerts.
  • Log forwarding naar SIEM (bijv. Microsoft Sentinel).
  • Incident response procedures.
  • Playbooks voor automatische acties.
Voor organisaties die serieus security willen opschalen, is Sentinel vaak de volgende stap. Sentinel combineert:
  • SIEM (log analyse)
  • SOAR (automatische response)
  • Threat intelligence
  • Incident management
Het voordeel is dat je aanvallen sneller ziet en dus ook sneller kunt reageren.

6. Security in DevOps: shift left

In eerdere blogs hebben we DevOps genoemd als onderdeel van Innovate, maar DevOps speelt ook een grote rol in Secure. In moderne omgevingen integreer je security al in de vroege fases van het DevOps‑proces.
  • Scanning van de Infra as a Structure code.
  • Impementeren van policy-as-code.
  • Secret scanning.
  • Code reviews en approvals (four-eye-principal).
  • Standaard templates met veilige defaults.
Dit zorgt ervoor dat je niet achteraf moet repareren, maar security vanaf het begin meeneemt. Aan het einde van de Secure-fase heb je niet “security af”, maar je hebt wel:
  • Identity security goed ingericht (MFA, CA, PIM).
  • Defender for Cloud actief.
  • Netwerksecurity met minimale exposure.
  • Data security met Key Vault en toegangsbeheer.
  • Logging en detectie die werkt.
  • Incident response processen.
  • Security geïntegreerd in DevOps.
Met andere woorden: security is onderdeel van je cloud operatie geworden.

Veelgemaakte fouten in de Secure-fase van het Microsoft Adoption Framework

In de praktijk zien we vaak de volgende valkuilen:
 
1. Security als project behandelen
Dan stopt het zodra het “klaar” lijkt.
 
2. Alleen focussen op tooling
Tools zijn belangrijk, maar zonder processen gebeurt er weinig.
 
3. Te veel adminrechten
Iedereen het “Owner” recht geven in Azure is een van de grootste risico’s.
 
4. Te veel publieke toegang
Public endpoints lijken handig, maar zijn vaak onnodig en riskant.
 
5. Geen incident response plan
Als je pas bij een aanval bedenkt wat je doet, ben je te laat.
 

Checklist: hoe volwassen is je Azure security?

Je bent goed bezig als je:
  • MFA + Conditional Access hebt voor alle accounts.
  • PIM gebruikt voor adminrechten.
  • Defender for Cloud actief gebruikt en opvolgt.
  • Netwerk exposure minimaliseert (Private Endpoints, firewalling).
  • Key Vault gebruikt voor secrets en keys.
  • Logging en detectie centraal hebt ingericht.
  • Incident response processen hebt getest.
  • Security onderdeel is van je CI/CD pipelines.
De Secure-fase is misschien het laatste blog in deze reeks, maar in de praktijk is het een fase die altijd blijft doorlopen. Azure biedt enorm veel securitymogelijkheden, maar de volwassenheid zit niet in “alles aanzetten”.
De volwassenheid zit in:
  • Consistentie
  • Automatisering
  • Continue verbetering
  • Security als onderdeel van je dagelijkse operatie
Met een goede Secure-aanpak zorg je ervoor dat je Azure omgeving niet alleen snel en innovatief is, maar ook betrouwbaar en veilig op de lange termijn.

Azure voor jou

Wil jij nou ook een goed werkende Azure omgeving binnen je organisatie of ben jij een expert in de uitvoer daarvan? Dan komen wij graag met jou in contact!

Neem contact op via de onderstaande button!

Azure voor mijn organisatie
Meer nieuws
Terugblik: HIP Conf Europe 2026 in Frankfurt
Manage-fase CAF: Azure beheren na migratie
De Govern-fase: grip op kosten, compliance en standaardisatie

Kies voor meer resultaat

Vragen? Deze beantwoorden we natuurlijk graag. Neem gerust contact met ons op!

085 201 50 84 info@resultaatgroep.nl
Contact opnemen