Microsoft cloud verantwoordelijkheid: gids voor organisaties

Het gedeelde verantwoordelijkheidsmodel is de kern van microsoft cloud verantwoordelijkheid: Microsoft beheert de fysieke infrastructuur en het onderliggende netwerk, terwijl de klant verantwoordelijk is voor data, identiteiten en toegangsrechten. Dit onderscheid is niet optioneel. Organisaties die het negeren, lopen concrete beveiligingsrisico’s en voldoen mogelijk niet aan de Cyberbeveiligingswet of de eisen van de Rijksinspectie Digitale Infrastructuur (RDI). De taakverdeling verschilt bovendien per servicemodel: bij IaaS draagt de klant meer verantwoordelijkheid dan bij SaaS. Wie dit model begrijpt, legt de basis voor een betrouwbare cloudstrategie.

Welke verantwoordelijkheden heeft Microsoft in de cloud?

De beveiliging van cloudinfrastructuur is volledig Microsofts verantwoordelijkheid. Microsoft zorgt voor de fysieke datacenters, de netwerkhardware, de hypervisors en de basisbeveiliging van het platform. De klant heeft daar geen directe toegang toe en hoeft dat ook niet te beheren.

Wat de klant wél beheert, hangt af van het gekozen servicemodel. Bij IaaS (Infrastructure as a Service), zoals Microsoft Azure virtuele machines, beheert de klant het besturingssysteem, de netwerkconfiguratie, de applicaties en de data. Microsoft levert de serverinfrastructuur, maar patching van het OS en firewallregels zijn klanttaken. Bij PaaS (Platform as a Service) neemt Microsoft het besturingssysteem en de runtime over. De klant is dan verantwoordelijk voor de applicatiecode, de configuratie en de data. Bij SaaS (Software as a Service), zoals Microsoft 365, beheert Microsoft het volledige platform. De klant is verantwoordelijk voor gebruikersbeheer, toegangsrechten en de eigen data.

Iemand die zich bezighoudt met het analyseren van verantwoordelijkheden rondom clouddiensten.

Verantwoordelijkheid IaaS PaaS SaaS
Fysieke infrastructuur Microsoft Microsoft Microsoft
Besturingssysteem Klant Microsoft Microsoft
Applications Klant Klant Microsoft
Data Klant Klant Klant
Identiteiten en toegang Klant Klant Klant
Netwerkconfiguratie Klant Gedeeld Microsoft

Identiteitsbeheer is bij elk servicemodel een klanttaak. Wie toegang heeft tot welke systemen en data, bepaalt de klant zelf via Microsoft Entra ID (voorheen Azure Active Directory). Een verkeerd geconfigureerde toegangsregel valt buiten Microsofts verantwoordelijkheid, ook als het gevolgen heeft voor bedrijfskritische data.

Dataveiligheid is eveneens altijd de verantwoordelijkheid van de klant. Microsoft biedt tools zoals Microsoft Purview voor dataclassificatie en Microsoft Defender voor bedreigingsdetectie, maar de klant moet deze tools activeren en configureren. Het beschikbaar stellen van een tool is niet hetzelfde als het garanderen van beveiliging.

Pro-tip: Stel een RACI-matrix op voor elke Microsoft cloudservice die uw organisatie gebruikt. Leg daarin per taak vast wie verantwoordelijk is, wie goedkeurt en wie geïnformeerd wordt. Dit voorkomt grijze zones bij incidenten.

Welke wettelijke eisen gelden voor cloudverantwoordelijkheid?

De Cyberbeveiligingswet verplicht organisaties om risico’s van cloudafhankelijkheid actief te beheersen. Dat betekent concrete maatregelen: exit-strategieën, monitoring en contractuele afspraken met cloudleveranciers zoals Microsoft. De wet geldt voor aanbieders van essentiële diensten en digitale dienstverleners, maar de principes zijn relevant voor elke organisatie die kritieke processen in de cloud uitvoert.

Infographic met een overzicht van de stappen voor cloud-compliance en verantwoordelijkheden

De RDI houdt toezicht op het gebruik van clouddiensten en benadrukt digitale autonomie en regie over cloudleveranciers. Dat gaat verder dan de vraag waar servers fysiek staan. Regie betekent dat uw organisatie grip houdt op data, processen en contracten, ongeacht de locatie van de infrastructuur.

Vier wettelijke en bestuurlijke verplichtingen die organisaties moeten invullen:

  1. Contractuele afspraken vastleggen. Zorg dat uw Microsoft-overeenkomsten bepalingen bevatten over dataverwerking, toegang door derden en beëindiging van de dienst.
  2. Exit-strategie opstellen. Beschrijf hoe uw organisatie data terughaalt en processen voortzet als de samenwerking met Microsoft eindigt of een dienst wegvalt.
  3. Monitoring en logging inrichten. Activeer auditlogs in Microsoft 365 en Azure en sla deze op buiten het Microsoft-platform om onafhankelijke controle mogelijk te maken.
  4. Afhankelijkheden in kaart brengen. Documenteer welke bedrijfsprocessen afhankelijk zijn van welke Microsoft-diensten en wat de impact is bij uitval.

“Datasoevereiniteit draait om controle en grip, niet alleen om de fysieke locatie van servers. Assurance-rapporten en exit-strategieën zijn daarvoor onmisbaar.”

Microsoft-supportmedewerkers kunnen wereldwijd toegang hebben tot klantdata voor ondersteuningsdoeleinden. Dit maakt het opstellen van assurance-rapportages en duidelijke contractuele grenzen geen luxe, maar een vereiste voor organisaties die werken met gevoelige of persoonsgebonden informatie.

Geopolitieke en juridische factoren spelen ook een rol. Amerikaanse wetgeving zoals de CLOUD Act kan van invloed zijn op data die Microsoft beheert, ook als die data in Europese datacenters staat. Organisaties moeten dit risico kennen en meenemen in hun risicoanalyse.

Wat zijn best practices voor Microsoft cloud governance?

Cloud security is een continu proces, geen eenmalige ingreep na migratie. Organisaties die stoppen met auditen na de initiële inrichting, lopen het risico dat configuraties verouderen en toegangsrechten niet meer kloppen met de werkelijkheid.

De meest effectieve aanpak combineert technische maatregelen met bestuurlijke betrokkenheid. Concrete stappen:

  • Zero Trust implementeren. Verifieer elke toegangspoging, ook van interne gebruikers. Zero Trust strategieën en policy-as-code zijn de standaard voor moderne cloud governance. Ga er niet van uit dat iemand binnen het netwerk automatisch vertrouwd is.
  • Policy-as-code toepassen. Leg beveiligingsregels vast als code via Azure Policy of Microsoft Defender for Cloud. Dit voorkomt menselijke configuratiefouten en maakt afwijkingen direct zichtbaar.
  • Identiteit en toegang regelmatig auditen. Controleer periodiek wie toegang heeft tot welke resources. Onregelmatig auditen leidt aantoonbaar tot fouten in identity and access management.
  • Dataclassificatie uitvoeren. Gebruik Microsoft Purview om data te labelen en te beschermen op basis van gevoeligheid. Zonder classificatie is gerichte beveiliging onmogelijk.
  • Calamiteitenplanning op de bestuursagenda zetten. Cloudrisico’s horen thuis in de boardroom, niet alleen bij de IT-afdeling. Bestuurders die cloudafhankelijkheden niet kennen, kunnen geen weloverwogen beslissingen nemen bij incidenten.
  • Governance-standaarden volgen. Frameworks zoals NIST Cybersecurity Framework, CIS Benchmarks en ISO 27001 bieden concrete richtlijnen voor het inrichten van veilige Azure-omgevingen.

Pro-tip: Vraag Microsoft periodiek om assurance-rapportages, zoals SOC 2-rapporten en ISO-certificeringen. Deze rapporten bewijzen dat Microsoft zijn deel van het gedeelde model naleeft en zijn waardevol bij audits en toezichthouders.

Hoe verschillen risico’s bij IaaS, PaaS en SaaS?

Het servicemodel bepaalt direct waar de grootste risico’s liggen voor uw organisatie. Bij IaaS heeft de klant de meeste controle, maar ook de meeste verantwoordelijkheid. Bij SaaS is het omgekeerde het geval.

Bij IaaS zijn verkeerde VM-configuraties de meest voorkomende oorzaak van beveiligingsincidenten. Denk aan open poorten, ontbrekende patches op het gastbesturingssysteem of te ruime netwerktoegangsregels. De Azure infrastructuur zelf is veilig, maar de configuratie van wat erop draait is volledig de verantwoordelijkheid van de klant.

Bij PaaS verschuift het risico naar de applicatielaag. De klant hoeft het besturingssysteem niet te patchen, maar is wel verantwoordelijk voor veilige code, runtime-instellingen en de beveiliging van API-verbindingen. Een kwetsbare applicatie op een veilig platform is nog steeds een kwetsbaar systeem.

Bij SaaS, en specifiek Microsoft 365, is een veelvoorkomend misverstand dat Microsoft ook back-ups beheert. Microsoft 365-gebruikers zijn zelf verantwoordelijk voor back-up en herstel van hun data. Microsoft garandeert de beschikbaarheid van het platform, niet het herstel van per ongeluk verwijderde bestanden of mailboxen.

Servicemodel Grootste risico voor klant Primaire klanttaak
IaaS Verkeerde VM- en netwerkconfiguratie OS-patching, firewallbeheer
PaaS Kwetsbare applicatiecode Applicatiebeveiliging, API-beheer
SaaS Ontbrekende back-up, zwak toegangsbeheer Gebruikersbeheer, data-back-up

Bij IaaS beheert de klant het besturingssysteem en het netwerk, bij SaaS ligt de focus op gebruikersbeheer en databeveiliging. Dit verschil bepaalt welke technische competenties uw IT-team nodig heeft en waar u externe ondersteuning moet zoeken.

Een praktisch scenario: een organisatie gebruikt Microsoft Teams via Microsoft 365 (SaaS) en draait daarnaast een eigen applicatie op Azure App Service (PaaS). Voor Teams is de organisatie verantwoordelijk voor wie toegang heeft en of er een back-upoplossing actief is. Voor de App Service is de organisatie verantwoordelijk voor de applicatiecode en de verbindingsinstellingen. Beide vereisen andere technische maatregelen en andere eigenaren binnen de IT-afdeling.

Belangrijkste inzichten

Effectief beheer van microsoft cloud verantwoordelijkheid vereist dat organisaties per servicemodel weten welke taken bij hen liggen, deze taken actief invullen en de governance structureel verankeren in zowel technische als bestuurlijke processen.

Punt Details
Gedeeld model per servicemodel Bij IaaS draagt de klant meer verantwoordelijkheid dan bij SaaS; ken het verschil per dienst.
Data en identiteit zijn altijd klanttaak Ongeacht het servicemodel beheert de klant altijd zelf de data, toegangsrechten en identiteiten.
Wettelijke verplichtingen zijn concreet De Cyberbeveiligingswet en RDI vereisen exit-strategieën, monitoring en contractuele afspraken.
Auditen is een doorlopend proces Stoppen met auditen na migratie leidt tot verouderde configuraties en toegangsfouten.
Back-up in Microsoft 365 is klanttaak Microsoft garandeert platformbeschikbaarheid, niet het herstel van verwijderde klantdata.

Waarom governance in de cloud meer is dan een IT-vraagstuk

Na jaren van werken met organisaties die Microsoft cloud implementeren, zie ik steeds hetzelfde patroon: de technische migratie verloopt goed, maar de governance blijft achter. Teams richten Azure in, zetten Microsoft 365 op en gaan er vervolgens van uit dat de verantwoordelijkheid grotendeels bij Microsoft ligt. Dat is een kostbare vergissing.

Bestuurders moeten cloudrisico’s structureel agenderen om onverwachte incidenten te voorkomen. Wat ik in de praktijk zie, is dat cloudverantwoordelijkheid te vaak wordt behandeld als een technisch detail. Het is een bestuurlijk vraagstuk. Als een datalek optreedt omdat toegangsrechten niet zijn opgeschoond, is de schade niet alleen technisch. De reputatie, de compliance-positie en het vertrouwen van klanten staan op het spel.

Organisaties onderschatten het belang van calamiteitenplanning bij cloudverantwoordelijkheid. Een exit-strategie klinkt als een ver-van-mijn-bed-show, maar het is de enige manier om te bewijzen dat uw organisatie echt grip heeft op haar cloudafhankelijkheden. De RDI vraagt er expliciet naar, en terecht.

Mijn advies is concreet: zet cloudverantwoordelijkheid op de agenda van het managementteam, niet alleen van de IT-afdeling. Wijs eigenaren aan per dienst, voer jaarlijks een toegangsaudit uit en test uw back-upherstel actief. Technologie lost het niet vanzelf op. Mensen en processen doen dat.

— Fred

Itym helpt uw organisatie grip te krijgen op cloudverantwoordelijkheid

Weten wat uw verantwoordelijkheden zijn in de Microsoft cloud is één ding. Ze structureel invullen is een ander. Itym begeleidt organisaties bij het opzetten van governance, het inrichten van veilige Microsoft-omgevingen en het trainen van IT-teams en beslissers.

https://itym.nl

Via de Microsoft trainingen van Itym leren uw medewerkers precies welke taken bij hen liggen en hoe ze die uitvoeren in Azure en Microsoft 365. Voor organisaties die directe begeleiding nodig hebben, biedt Itym consulting en adoptiediensten waarbij een ervaren consultant uw cloudgovernance beoordeelt en verbetert. Goede governance begint met kennis en de juiste ondersteuning op het juiste moment.

Veelgestelde vragen

Wat is het gedeelde verantwoordelijkheidsmodel van Microsoft?

Het gedeelde verantwoordelijkheidsmodel verdeelt beveiligingstaken tussen Microsoft en de klant. Microsoft beheert de fysieke infrastructuur; de klant beheert data, identiteiten en toegangsrechten.

Wie is verantwoordelijk voor back-ups in Microsoft 365?

De klant is verantwoordelijk voor back-up en herstel van data in Microsoft 365. Microsoft garandeert de beschikbaarheid van het platform, maar niet het terughalen van verwijderde klantdata.

Wat eist de Cyberbeveiligingswet van organisaties in de cloud?

De Cyberbeveiligingswet verplicht organisaties om cloudafhankelijkheden te beheersen via concrete maatregelen zoals exit-strategieën, monitoring en contractuele afspraken met cloudleveranciers.

Wat is het verschil in verantwoordelijkheid tussen IaaS en SaaS?

Bij IaaS beheert de klant het besturingssysteem, het netwerk en de applicaties. Bij SaaS beheert Microsoft het volledige platform en is de klant verantwoordelijk voor gebruikersbeheer en data.

Wat is Zero Trust en waarom is het relevant voor cloudbeveiliging?

Zero Trust is een beveiligingsprincipe waarbij elke toegangspoging wordt geverifieerd, ook van interne gebruikers. Het is de standaard aanpak voor het beheersen van identiteits- en toegangsrisico’s in Microsoft-cloudomgevingen.

Aanbeveling

Back to the archive