Blog Security & Compliance Infrastructuur

IaaS security: Voorkom grote risico's met 7 best practices

Veel organisaties stappen over naar de public cloud en vervangen on-premise servers en datacenters door IaaS (Infrastructure-as-a-Service). De markt groeit snel, en de IaaS markt wordt verwacht tegen 2034 $892 miljard te bereiken.

Nu IaaS steeds vaker wordt gebruikt, moet de beveiliging hiervan meegroeien. Dat is waar IaaS-security een rol speelt.

In dit artikel bespreken we alles wat je moet weten over IaaS security, inclusief de grootste risico’s, voordelen en best practices voordat je je infrastructuur naar de cloud migreert. Laten we beginnen!

Niels Kroeze

Auteur

Niels Kroeze

Leestijd 11 minuten Gepubliceerd: 06 februari 2025

Wat is IaaS-security?

Infrastructure-as-a-Service (IaaS) security verwijst naar de maatregelen, protocollen en technologieën om cloud infrastructuur te beschermen. IaaS is een cloud computing dienst waarbij providers zoals Microsoft Azure, AWS en anderen compute, storage en netwerkresources op aanvraag aanbieden in een virtuele omgeving.

Met IaaS “huur” je infrastructuurcomponenten zoals Virtual Machines (VMs), storage en netwerken van een IaaS provider. Hierdoor hoef je geen fysieke servers en datacenters meer aan te schaffen, te bezitten of te beheren. Dit maakt het een flexibelere en schaalbare optie voor organisaties.

IaaS: shared responsibility model

Een veelvoorkomende misvatting is dat overstappen naar IaaS, bijvoorbeeld via een “lift and shift migratie, alle security verantwoordelijkheden wegneemt. Het tegenovergestelde is waar. Ook in de cloud ben je nog steeds verantwoordelijk voor cloud security. Ongeacht het gekozen cloud computing model, blijft security een “shared responsibility” gedeelde verantwoordelijkheid tussen de gebruiker en de cloudprovider.

Shared Responsibility Model

In het IaaS-model ligt de grootste verantwoordelijkheid bij de gebruiker. De cloudprovider beheert de infrastructuur, inclusief hardware, netwerkconnectiviteit en fysieke beveiliging. Daarnaast is de provider verantwoordelijk voor security op de hypervisor layer.

Als gebruiker (systeembeheerder) ben je verantwoordelijk voor alles wat overblijft:

  • Beheer en installatie van het besturingssysteem (OS)
  • (Netwerk)configuratie
  • Middleware
  • Runtime (OS-bibliotheken en aanvullende tools voor applicaties)
  • Database- en storageconfiguratie

Als IaaS-gebruiker installeer je je eigen besturingssysteem en benodigde software op de gehuurde virtuele server. Dit creëert de runtime-omgeving waarin je applicaties draaien, wat betekent dat je zelf verantwoordelijk bent voor het beheer.

In vergelijking met PaaS of SaaS geeft IaaS je maximale controle over je cloud resources. Dit maakt het een flexibele oplossing, maar brengt ook de grootste verantwoordelijkheid met zich mee, inclusief de beveiliging van je infrastructuur.

Wat zijn de voordelen van IaaS-security?

IaaS-omgevingen zijn beter schaalbaar dan on-premise datacenters. Je kunt resources eenvoudig opschalen of afbouwen zonder hardware te moeten aanschaffen of onderhouden. Daarnaast bespaart IaaS op kapitaalkosten, waardoor budget vrijkomt voor andere bedrijfsdoelen.

10 IaaS security risico’s en kwetsbaarheden

Hoewel IaaS flexibiliteit, schaalbaarheid en gemak biedt ten opzichte van on-premise beheer, introduceert het ook risico’s. Je vertrouwt je data, compute resources en netwerken toe aan een externe serviceprovider.

Virtualisatie, een kernonderdeel van IaaS, is extra gevoelig voor security dreigingen. Goede beveiliging en beheer zijn daarom essentieel.

Belangrijke risico’s in IaaS zijn:

1. Misconfiguraties

Misconfiguraties zijn de grootste oorzaak van kwetsbaarheden in IaaS. Eén verkeerde instelling kan grote gevolgen hebben. Denk aan verkeerd ingestelde firewalls, toegangpolicies of storage instellingen die je infrastructuur blootstellen. Een verkeerd geconfigureerde VM met open poorten of zwakke wachtwoorden is een eenvoudig doelwit voor aanvallers. Regelmatige controles en audits helpen dit risico te beperken, vooral in multi-cloud omgevingen.

2. Ongeautoriseerde toegang

Cloud resources zijn eenvoudig toegankelijk vanaf elke internetverbonden machine. Zwakke authenticatie, verkeerde toegangsinstellingen of gestolen inloggegevens kunnen ertoe leiden dat onbevoegden toegang krijgen. Aanvallers kunnen misbruik maken van identiteitsbeheer via brute force of phishing om accounts te compromitteren. Dit kan leiden tot datalekken, diefstal van intellectueel eigendom of verstoring van bedrijfsactiviteiten.

3. Datalekken

Omdat je data-opslag direct verbonden is met de cloud, is het een aantrekkelijk doelwit voor hackers. Datalekken ontstaan wanneer gevoelige informatie onbedoeld wordt blootgesteld. Dit kan gebeuren door verkeerd ingestelde opslagaccounts, onbeveiligde API’s of te brede toegangsrechten.

4. Permanente dataverlies

Dataverlies kan optreden door menselijke fouten, ransomware, hardwarestoringen of cyberaanvallen. Een aanvaller kan bijvoorbeeld data wissen als onderdeel van een ransomware-aanval of om je operaties te verstoren.

5. Externe dreigingen

  • Malware: Kwaadaardige software kan worden ingezet op cloud systemen.
  • Denial of Service (DoS) en Distributed Denial of Service (DDoS): Aanvallen waarbij systemen worden overspoeld met verkeer om ze onbruikbaar te maken.
  • Man-in-the-Middle-aanvallen: Aanvallers onderscheppen dataverkeer tijdens de overdracht.

6. Insider threats

Insider threats kunnen ontstaan als een ex-medewerker met toegang tot resources deze misbruikt voor sabotage of wraak.

7. Shadow services

Dit zijn cloud resources die zonder goedkeuring van IT worden ingezet. Zonder de juiste security maatregelen kan dit leiden tot kwetsbaarheden en verhoogde risico’s.

8. Compliance

Compliance is een gedeelde verantwoordelijkheid tussen gebruiker en cloudprovider. Niet voldoen aan regelgeving kan leiden tot boetes en reputatieschade.

9. Beperkte controle en zichtbaarheid

Omdat de cloudprovider infrastructuur beheert, hebben gebruikers minder directe controle over netwerk- en opslagapparatuur. Dit kan security uitdagingen opleveren.

10. Gecompromitteerde identiteiten

Gestolen inloggegevens vormen een groot risico in IaaS. Cybercriminelen kunnen deze verkrijgen via phishing of malware en zo ongeoorloofde toegang krijgen. Met toegang tot cloud API’s kunnen ze zichzelf extra rechten geven en verdere schade aanrichten.

Azure Security Workshop

Wil je leren hoe je je Azure cloud kunt beveiligen?

Doe dan mee aan onze GRATIS Azure Security Workshop van 90 minuten voor praktische tips, best practices en bekijk live demo's over het beveiligen van je Azure omgeving. 

Ja, ik meld me aan!

IaaS Security 7 Best Practices

IaaS-platforms zoals Microsoft Azure bieden bedrijven schaalbaarheid en efficiëntie. Maar je moet de juiste maatregelen nemen om ze veilig te houden. Houd deze best practices in gedachten bij het gebruik van een IaaS-platform:

1. Stel sterke authenticatie en toegangscontrole in

Strikte toegangscontroles verkleinen het aanvalsoppervlak en voorkomen inbreuken. Gebruik Role-Based Access Control (RBAC) zodat alleen bevoegde gebruikers toegang krijgen. Implementeer multifactor-authenticatie (MFA) voor alle gebruikersaccounts en gebruik sterke, unieke wachtwoorden voor beheerders.

Hanteer het Zero Trust-principe en pas het least privilege-principe toe om gebruikers alleen de strikt noodzakelijke rechten te geven. Zo bescherm je je Virtual Machines (VMs) en je volledige tenant, omdat alleen geautoriseerde gebruikers ze kunnen instellen en benaderen. Dit is ook een best practice in PaaS en SaaS.

TIP

In het cloud computing platform van Microsoft Azure kun je (aangepaste) beleidsregels opstellen en deze toepassen op resources (zoals resource groepen). De VM's die deel uitmaken van een resource groep erven vervolgens deze beleidsregels. In feite kun je beleidsregels toepassen op beheergroepen, abonnementen, resourcegroepen en resources. 

2. Anti-malware

Anti-malware helpt bij het identificeren en verwijderen van virussen, spyware en andere schadelijke software. In Microsoft detecteert Defender for Cloud malware en voorkomt het overnemen van bestanden, zoals ransomware.

3. Versleutel gegevens in rust

Je moet in staat zijn om gevoelige datapatronen in rust te detecteren en daar controles rondom in te stellen. Gelukkig bieden alle grote cloudproviders de mogelijkheid om VMs te versleutelen met versleutelingstools, die meestal betaalbaar zijn (soms zelfs gratis). Als gebruiker kun je ervoor kiezen om de sleutels zelf te beheren of dit door de provider te laten doen. Overweeg echter altijd de impact op andere services voordat je versleutelt.

4. Ken het beveiligingsmodel van de provider

Ken het beveiligingsmodel van de IaaS-provider, inclusief het gedeelde verantwoordelijkheidsmodel. Raadpleeg de website van de provider voor documentatie om meer te leren over hun beveiliging. Hoewel veel cloudproviders uitstekende beveiliging hebben, bieden ze verschillende beveiligingskenmerken en mogelijkheden.

Lees ook over Azure Security vs AWS Security om te zien hoe deze grote cloudproviders op hun eigen manier uitblinken in beveiliging.

Het is belangrijk om een duidelijk overzicht te hebben van de beveiligingsopties van elke provider en wat er ontbreekt. Misschien heb je een tool nodig die niet in het aanbod van de provider zit, en kun je deze via de marketplace van een derde partij verkrijgen. Ook moet je weten hoe je je workloads in de cloud beveiligt.

5. Upgrade en patch je systemen

Voorkom misconfiguraties door systemen regelmatig te scannen en bij te werken (besturingssysteem en andere softwarecomponenten). In de publieke cloud zijn gebruikers (beheerders in IaaS) verantwoordelijk voor het up-to-date houden van workloads. Vergeet niet dat, hoewel workloads in de cloud draaien, ze dezelfde aandacht nodig hebben voor patching en updates als on-prem servers.

Bijvoorbeeld, in Azure worden VMs door de gebruiker beheerd, wat betekent dat je ze zelf moet beheren (bijwerken en patchen). Azure voert geen Windows-updates uit. Je kunt Microsoft Defender for Cloud gebruiken voor VM-patchbeheer in Microsoft Azure. Dit is echter voor Servers Plan 2. Een goedkopere optie is Azure Update Manager. Je kunt ook een patchtool van een derde partij installeren, of misschien heb je er zelf een. Dit komt vaak voor wanneer organisaties bestaande infrastructuur naar Azure uitbreiden of migreren.

Consistente patching vermindert de aanvalsoppervlakken en voorkomt kwetsbaarheden. Geautomatiseerde tools en processen moeten ook waar mogelijk worden gebruikt.

6. Monitoren en inventariseren

Je moet al je cloud-assets in de gaten houden. Monitoring helpt je om problemen vroeg te detecteren, voordat ze invloed hebben op je systemen of data.

Gebruik de native tools van cloudproviders om statistieken bij te houden, anomalieën te detecteren en in real-time op bedreigingen te reageren.

Voorbeeld: Stel je voor dat je een zeldzame piek in CPU- en netwerkverkeer opmerkt op een van je VMs om middernacht, terwijl je bedrijf doorgaans werkt tijdens kantooruren (9-17). Hoge CPU- of geheugengebruik kan duiden op een Denial of Service (DoS)-aanval. Maar monitoringtools markeren deze anomalieën op tijd, zodat je snel kunt ingrijpen en deze kunt beëindigen voordat er schade ontstaat.

Zit je in Azure?

Dan raden we je aan om Azure Monitor te gebruiken om een overzicht te krijgen van de gezondheid van je systeem.  

Inventory verwijst naar VMs en de workloads die ze draaien. Het bijhouden van een inventaris van compute instance images is essentieel. De IaaS-console toont wel beschikbare instances, maar geeft vaak geen details over wie de VMs gebruikt en waarvoor.

Door je IaaS-inventaris bij te houden, krijg je inzicht in hoe veeleisend je cloudresources omgaan met workloads. Je kunt indien nodig aanpassingen doen en voorkomen dat netwerkassets overbelast raken, wat kwetsbaarheden kan veroorzaken. VMs mogen niet meer resources verbruiken dan nodig is.

7. Cloud Security Posture Management (CSPM)

CSPM houdt in dat IaaS-instances worden gescand op misconfiguraties op basis van vastgestelde benchmarks. Cloud Access Security Brokers (CASBs) bieden alle tools om IaaS veilig te houden.

Marc Bosgoed

Gratis Security scan

Moet je de beveiliging van je Azure omgeving verhogen? Grijp nu je kans en vraag een gratis Security Scan aan!

Ja ik wil het!

Conclusie

IaaS heeft de manier veranderd waarop organisaties hun infrastructuur beheren. Het biedt flexibiliteit en schaalbaarheid die on-premise niet kan evenaren. Maar meer controle betekent ook meer verantwoordelijkheid.

Het beveiligen van je IaaS-omgeving betekent dat je het shared responsibility model begrijpt, risico’s zoals ongeautoriseerde toegang en datalekken aanpakt, en best practices volgt zoals sterke toegangscontroles, encryptie en monitoring.

Met IaaS blijf je zitten met complexe software stacks, infrastructuurbeheer, regelmatige updates en andere tijdrovende taken.

Gelukkig zijn er meer cloud computing-modellen, zoals PaaS en SaaS, die het ontwikkelen van applicaties eenvoudiger en sneller maken. Maar er zijn nog veel meer redenen om voor PaaS te kiezen. Ontdek waarom veel softwarebedrijven overstappen van IaaS naar een Platform as a Service (PaaS)-omgeving.

Veel gestelde vragen over IaaS security

Waar staat IaaS voor?

Wat zijn de nadelen van IaaS?

Waarom gebruiken mensen IaaS?

Hoe kan Infrastructure as a Service (IaaS) worden beveiligd?

Wat is het verschil tussen IaaS en PaaS?

Wat is veiliger, IaaS of PaaS?

Is Azure IaaS of PaaS?

Waarom is PaaS beter dan IaaS?

Cloud Controle Header

Cloud Control: bescherm je cloud

Cloud Control is ons nieuwe en complete aanbod met robuuste beveiligingsmaatregelen en continue monitoring. Zorg ervoor dat je organisatie veilig en compliant blijft.

Leer meer!