Cloud Security

AWS Security: Hybrid Cloud Beveiliging voor Overheid

📊 Operationeel 👥 Cloudsecurity engineers, AWS-architecten en security officers ⏱️ 38 min lezen
Access Review Campaign John Doe - Marketing Manager Last login: 2 hours ago Current Access Rights: • SharePoint Site: Marketing (Owner) • Azure Subscription: Development (Contributor) Approve Access Revoke Access Review due: 3 days | 12 more users pending 12 Pending 34 Complete
Executive Summary

Nederlandse ministeries en uitvoeringsorganisaties die AWS inzetten als aanvullende cloudlaag bovenop Azure moeten dezelfde beveiligingsdiscipline hanteren waarmee de Nederlandse Baseline voor Veilige Cloud, de BIO en NIS2 worden ingevuld. Dat begint bij een multi-accountarchitectuur met strenge service control policies, federatieve identiteiten via Entra ID en AWS IAM Identity Center en netwerksegmentatie in VPC's die logisch gekoppeld worden aan Azure Virtual Networks via versleutelde verbindingen. Data en workloads worden beschermd door een combinatie van KMS-beheer, versleuteling van opslag- en databaseservices, onveranderlijke back-ups en verfijnde toegangscontrole tot S3, EBS, RDS en Redshift.

De operationele borging vindt plaats door GuardDuty, Security Hub, Config, CloudTrail en CloudWatch te verbinden met Microsoft Sentinel, zodat detectie, bewijsvoering en incidentrespons over beide clouds uniform verlopen en audits zonder aanvullende maatwerkdossiers kunnen worden ondersteund. Daarbij krijgen financieel bestuurders en architecten inzicht in investeringstrajecten van 40.000-90.000 euro, waarbij de nadruk ligt op duurzame automatisering, training van SOC-teams en integrale governance die de multi-cloudstrategie ondersteunt.

Hybride identiteit en netwerkarchitectuur voor AWS binnen de overheid

Een Nederlandse overheidsorganisatie die AWS inzet als secundaire cloudlaag start met een streng multi-accountontwerp. AWS Organizations en Control Tower worden gebruikt om productie, test en onderzoeksaccounts te scheiden en ieder account te koppelen aan een specifiek risicoprofiel uit de Nederlandse Baseline voor Veilige Cloud. Service control policies functioneren als juridische en technische guardrails: administratieve acties zoals het uitschakelen van CloudTrail of het verwijderen van KMS-sleutels worden verboden, terwijl alleen securityteams break-glass toegang behouden. Het beleid en de accountability worden vastgelegd in het centrale cloud governance board, zodat auditsporen voor de Algemene Rekenkamer, interne audit en externe toezichthouders direct beschikbaar zijn.

Identiteitsbeheer vormt de tweede pijler. Alle menselijke en niet-menselijke identiteiten worden centraal in Microsoft Entra ID geregistreerd, waarna AWS IAM Identity Center (voorheen AWS SSO) via SCIM-provisioning de accounts, groepen en machtigingen aanmaakt. Daarbij gelden meervoudige authenticatie, Conditional Access met contextsignalen en rolgebaseerde toewijzingen. Voor workloads worden tijdelijke IAM-rollen gebruikt die via OIDC of AWS STS tokens verstrekken, waardoor langdurige sleutels verdwijnen. Beleidsregels volgen het least-privilege-principe en zijn gekoppeld aan specifieke BIO-controles, zodat een auditor exact kan zien waarom een bepaalde dienst toegang heeft tot een dataset.

De netwerkarchitectuur moet aansluiten op bestaande Azure- en rijksnetwerken. Iedere werkbelasting krijgt een eigen Virtual Private Cloud met gescheiden publieke, private en beheer-subnetten. Security Groups worden ingericht als toestemmingslijsten met gedetailleerde poort- en protocolcombinaties, terwijl Network ACL's ongewenste verkeerstromen op subnetniveau blokkeren. VPC Flow Logs worden naar een centraal logaccount gestuurd en direct naar Microsoft Sentinel of Azure Data Explorer gestreamd voor detectie op verdachte patronen, zoals onbekende managementprotocollen of verkeer naar niet-geautoriseerde regio's. Privatelink- en Gateway Endpoints zorgen dat verkeer naar S3, DynamoDB en andere platformdiensten nooit het publieke internet raakt.

Hybride connectiviteit wordt gerealiseerd via redundante Site-to-Site VPN-tunnels die over twee verschillende rijksdatacenters lopen. Voor hoge bandbreedte en voorspelbare latency wordt Direct Connect gecombineerd met MACsec of IPsec, zodat vertrouwelijke gegevens in transit blijven voldoen aan de eisen van de Rijksbrede Informatiebeveiligingsdienst. Transit Gateway fungeert als verbindende hub tussen meerdere VPC's, on-premises netwerken en Azure Virtual WAN, terwijl routetabellen en netwerkfirewalls afdwingen dat alleen goedgekeurde paden worden gebruikt. DNS-integratie tussen Route 53 en Azure DNS garandeert dat workloads elkaar kunnen vinden zonder shadow IT, en inspection tiers met AWS Gateway Load Balancer of Azure Firewall verifiëren dat al het verkeer logt en controleerbaar blijft.

Resilience wordt ingebouwd via meerdere availability zones en, waar nodig, cross-region replicatie richting eu-central-1 en eu-west-3. Door architectuurkeuzes te documenteren in het cloud control framework kunnen securityteams aantonen dat dienstverlening aan burgers en bedrijven ook tijdens migraties of incidenten blijft voldoen aan de continuïteitseisen uit de BIO en NIS2.

Daarbij hoort een consequente beheeraanpak. Wijzigingen aan routing, identity policies en firewallregels worden eerst getest in een dedicated debug- en validatieomgeving die dezelfde IaC-templates gebruikt als productie. Iedere wijziging krijgt een risicoklasse en wordt gekoppeld aan change tickets die de CAB bespreekt, zodat bestuurders inzicht houden in de impact op kritieke processen. Telemetrie uit AWS CloudWatch, Azure Monitor en on-premises netwerken wordt samengevoegd in een centrale datalaag waarmee capaciteitspieken, latentieproblemen en beveiligingsincidenten vroegtijdig zichtbaar zijn.

Tot slot is personele borging essentieel. Rollen en taken worden vastgelegd in het Rijksbrede Functiehuis, waarbij duidelijk is wie aanspreekpunt is voor identiteiten, netwerken, logging en compliance. Jaarlijkse opleidingstrajecten combineren theorie over AWS-referentiearchitecturen met hands-on simulaties van misconfiguraties. Door lessons learned direct terug te voeren in het governancehandboek ontstaat een cyclisch verbeterproces dat aantoonbaar voldoet aan de Nederlandse Baseline voor Veilige Cloud.

Data- en workloadbescherming binnen AWS als verlengstuk van Azure

Databescherming begint bij een uniforme classificatie die dezelfde labels gebruikt als in Microsoft Purview. Deze labels worden vertaald naar AWS Resource Tags, waarna automatische policies bepalen waar data mag landen, welke encryptieprofielen gelden en welke bewaartermijnen worden afgedwongen. AWS Key Management Service verzorgt de volledige levenscyclus van sleutels met automatische rotatie, dual control en logging naar CloudTrail. Voor workloads met staatsgeheimen of gevoelige persoonsgegevens worden customer managed keys gecombineerd met Hardware Security Modules, terwijl sleutelmaterialen offline worden opgeslagen volgens de richtlijnen van de Rijksinspectie Digitale Infrastructuur.

Opslaglagen krijgen eigen beschermingspatronen. S3-buckets blokkeren standaard publieke toegang, gebruiken versiebeheer en object lock om verwijdering of wijziging te voorkomen en repliceren gegevens naar een tweede regio zodat herstelpuntdoelen uit de bedrijfscontinuïteitsplannen worden gehaald. Amazon Macie scant de objecten op persoonsgegevens, BSN's of juridische dossiers en creëert automatisch een ticket in het Security Operations Center wanneer een dataset buiten het toegestane labelgebied terechtkomt. EBS-volumeversleuteling wordt verplicht via organisatiebeleid, terwijl RDS, Aurora en Redshift native encryptie en TLS-verbindingen gebruiken om data in transit en at rest te beschermen.

Compute- en containerworkloads worden gehard volgens dezelfde standaarden als binnen Azure. Amazon Inspector beoordeelt AMI's op kwetsbaarheden voordat ze worden uitgerold, Systems Manager Patch Manager automatiseert maandelijkse patchrondes en runtimeconfiguraties worden vastgelegd in Infrastructure as Code-repositories die in Azure DevOps of GitHub Enterprise worden beheerd. Instance Metadata Service versie 2 wordt afgedwongen via launch templates om SSRF-aanvallen te voorkomen en Nitro Enclaves worden gebruikt voor workloads die gevoelige sleutels of algoritmes verwerken. Voor containers zorgt Amazon ECR voor geïntegreerde beeldscans, terwijl EKS-knooppunten baseline configuraties vanuit het Center for Internet Security volgen en netwerkrichtlijnen afdwingen dat alleen specifieke namespaces met elkaar praten.

Back-up en herstel vormen een aparte controlestroom. AWS Backup orkestreert dagelijkse, wekelijkse en maandelijkse back-ups voor EBS, RDS, DynamoDB en FSx, waarbij retentie conform Archiefwet en Woo wordt vastgelegd. Immutable kopieën worden opgeslagen in S3 Glacier Vault Lock met een governance policy die alleen via een vier-ogenprincipe kan worden gewijzigd. Testscenario's draaien minimaal twee keer per jaar om te bewijzen dat RTO en RPO binnen de kaders blijven, en de resultaten worden gedeeld met de Chief Information Security Officer en de privacy officer. Door herstelprocedures te automatiseren met Systems Manager Automation runbooks kunnen teams aantonen dat een ransomware-aanval de dienstverlening niet langdurig platlegt.

Multi-cloud datasets worden beveiligd via gestandaardiseerde data egress policies. Wanneer data van Azure naar AWS wordt verplaatst voor specifieke analytics-workloads, wordt dit geregistreerd in het centrale dataregister en wordt gecontroleerd of de ontvangende AWS-account beschikt over dezelfde label- en DLP-regels. Zo ontstaat een aantoonbare keten van verantwoordelijkheid die belangrijk is voor DPIA's, verwerkersovereenkomsten en periodieke controles door de Autoriteit Persoonsgegevens.

Daarnaast moeten organisaties nadenken over dataresidentie en jurisdictierisico's. Workloads die onder de Wet politiegegevens of staatsgeheime regimes vallen, blijven in regio's die expliciet op de lijst van het Ministerie van Justitie en Veiligheid staan. Contractuele clausules in de AWS Enterprise Agreement specificeren waar replicaties terechtkomen en welke subcontractors toegang hebben. Het juridisch team krijgt dashboards met geolocatiegegevens zodat zij snel kunnen uitleggen aan de Tweede Kamer of een dataset Nederland of de EU verlaat.

Ook datakwaliteit en lifecyclebeheer eisen aandacht. Metadata over herkomst, validatiestatus en vernietigingsdatum wordt opgeslagen in AWS Glue Data Catalog en gesynchroniseerd met Purview. Automatische dataminimalisatie verwijdert verouderde objecten zodra de wettelijke grondslag vervalt, terwijl auditlogboeken bewijzen dat beslissingen traceerbaar zijn. Door deze processen te schikken onder één datagovernancecomité ontstaat consistentie over alle ketens heen.

Operations, detectie en compliance in een multi-cloud SOC

Een hybride beveiligingsstrategie staat of valt met zichtbaarheid. Daarom worden alle CloudTrail-logs, VPC Flow Logs, ELB access logs, Route 53 resolverlogs en Config-geschiedenis naar een apart logaccount in AWS gestuurd. Daar worden de gegevens via Kinesis Data Firehose direct doorgestuurd naar Microsoft Sentinel en het centrale logplatform van de organisatie. Op die manier kunnen SOC-analisten dezelfde detectieboeken gebruiken voor Azure en AWS en blijft de rapportage voor NCSC en CSIRT Rijk uniform. CloudWatch-metrics worden gekoppeld aan Azure Monitor zodat kritieke parameters zoals API-throttling, rootaccountgebruik of onbeveiligde S3-buckets realtime zichtbaar zijn.

AWS GuardDuty vormt de primaire gedetecteerde laag. De dienst analyseert VPC Flow Logs, CloudTrail en DNS-queries en herkent onder andere brute-force pogingen, ongeautoriseerde API-aanroepen, gegevensuitvoer naar verdachte landen en crypto-mining. GuardDuty Findings worden via Security Hub en EventBridge gekoppeld aan Microsoft Sentinel playbooks, waarna een Logic Apps workflow automatisch tickets in het ITSM-systeem opent, verdachte IAM-rollen intrekt en forensische snapshots maakt. Voor containers en serverless workloads worden de GuardDuty EKS- en Lambda-detectors geactiveerd zodat afwijkende gedragspatronen in dezelfde tijdlijn verschijnen als de rest van het incident.

Compliance en configuratiebeheer worden geborgd door AWS Config, Config Conformance Packs en AWS Audit Manager. Config controleert continu of resources voldoen aan beleid voor encryptie, logging, netwerksegmentatie en tagging. Wanneer een afwijking optreedt, start Systems Manager Automation een herstelactie of wordt een Azure DevOps pipeline aangeroepen om de IaC-definitie aan te passen. Audit Manager koppelt de controles aan BIO-maatregelen, NIS2-artikelen en de interne normenkaders, waardoor auditors direct bewijs kunnen downloaden zonder losse spreadsheets of screenshots. Deze aanpak sluit aan op de principes van continuous control monitoring die in de Nederlandse Baseline voor Veilige Cloud zijn opgenomen.

Operational excellence vereist daarnaast duidelijke runbooks en crisisprocedures. Voor iedere kritieke AWS-dienst bestaan scenario's waarin het CIRT, het privacyteam en de dienstverantwoordelijke exact weten welke stappen worden gezet bij een incident, een datalek of een continuïteitsdreiging. De runbooks beschrijven escalatie naar Rijksbreed Crisisoverleg, communicatie richting woordvoering en updates aan toezichthouders. Jaarlijkse simulaties combineren Azure- en AWS-scenario's zodat teams oefenen met gecombineerde logbestanden, gedeelde workloads en afhankelijkheden over cloudgrenzen heen.

Kosten- en capaciteitsmanagement worden geïntegreerd in de beveiligingsoperatie. Cost Explorer en AWS Budgets leveren signalen aan FinOps-teams, en afwijkende patronen worden gekoppeld aan beveiligingsincidenten, bijvoorbeeld wanneer een niet-gepland data science cluster door een aanvaller is aangemaakt. Door security, operations, compliance en financiën in één stuurmodel te verenigen ontstaat een aantoonbaar controlelandschap waarmee de organisatie richting CIO-beraad, toezichthouders en parlementaire commissies kan laten zien dat multi-cloud adoptie beheerst en veilig plaatsvindt.

Daarbovenop horen duidelijke prestatie-indicatoren. SOC's meten Mean Time to Detect, Mean Time to Respond en het percentage geautomatiseerde remediaties voor zowel Azure als AWS. Dezelfde dashboards bevatten compliance-statistieken, bijvoorbeeld hoeveel Config-regels compliant zijn of hoeveel GuardDuty-incidenten binnen een werkdag volledig zijn afgehandeld. Door deze cijfers maandelijks te bespreken in het security governance board wordt verbetering aantoonbaar en krijgen bestuurders vertrouwen in de effectiviteit.

Menselijke factoren mogen niet ontbreken. Analisten draaien dubbele shifts waarin zij logstromen uit beide clouds monitoren, terwijl opleidingsprogramma's hen vertrouwd maken met nuances van AWS-services zoals Lambda, Step Functions en EventBridge. Lessons learned van incidenten worden gebruikt om playbooks te verfijnen, scripts te optimaliseren en lokale debuginstellingen te testen voordat wijzigingen productie bereiken. Zo blijft de organisatie wendbaar en compliant, ook wanneer nieuwe dreigingen of regelgeving zich aandienen.

Conclusie

Door identiteit, netwerk, data en operations over AWS en Azure heen te standaardiseren ontstaat een betrouwbaar multi-cloud fundament voor Nederlandse overheden. Federatieve identiteiten, streng gesegmenteerde VPC's, volledige encryptie en geautomatiseerde back-ups reduceren de kans op datalekken en verstoringen, terwijl GuardDuty, Security Hub, Config en Microsoft Sentinel een uniform detectie- en responsebeeld bieden. Deze integrale aanpak toont aantoonbaar aan dat de Nederlandse Baseline voor Veilige Cloud, de BIO en NIS2 worden gerespecteerd en dat investeringen tussen veertig en negentig duizend euro direct bijdragen aan betere dienstverlening, snellere audits en meer vertrouwen bij burgers en ketenpartners.

Executive Aanbevelingen
  • Organiseer alle AWS-accounts via Control Tower en service control policies zodat governance gelijkloopt met Azure en on-premises omgevingen.
  • Federatieve identiteiten via Entra ID en AWS IAM Identity Center met verplicht MFA en tijdelijke rollen voorkomen credentialmisbruik.
  • Segmentatie in VPC's met Security Groups, Network ACL's, inspectietiers en versleutelde verbindingen garandeert dat verkeer volledig traceerbaar blijft.
  • Volledige encryptie, Macie-dataclassificatie, immutable back-ups en geautomatiseerde hersteltests beschermen persoonsgegevens en staatsgeheime informatie.
  • GuardDuty, Security Hub, Config en CloudTrail integreren met Microsoft Sentinel zodat detectie, incidentrespons en audits over beide clouds identiek verlopen.
AWS-beveiliging Hybride cloud Identiteitsbeheer VPC-segmentatie Microsoft Sentinel