Reference Architecturen (Web, Netwerk, Cloud)

Standaardiseren Zonder Stroperigheid

Een referentiehoofdstuk heeft pas waarde als teams er direct mee kunnen plannen, ontwerpen en opleveren.

In Reference Architecturen (Web, Netwerk, Cloud) is het doel keuzes vastleggen die teams consistent en herhaalbaar kunnen uitvoeren.

Daarmee blijft dit hoofdstuk geen theorie, maar een bruikbaar kompas voor consistente uitvoering.

Directe maatregelen (15 minuten)

• Gebruik deze pagina om maatregelen te prioriteren en in backlog om te zetten.
• Koppel elke maatregel aan eigenaar, deadline en aantoonbaar bewijs.
• Herhaal periodiek op basis van risico, wijzigingen en incidentlessen.

Waarom dit telt

De kern van Reference Architecturen (Web, Netwerk, Cloud) is risicoreductie in de praktijk. Technische context ondersteunt de maatregelkeuze, maar implementatie en borging staan centraal.

Webplatform Reference Architectuur

Doel

Veilige public-facing applicaties met gecontroleerde toegang tot backend en data.

Kernbouwstenen

• Edge: WAF, DDoS-bescherming, TLS-terminatie.
• App tier: stateless services, sterke input/output validatie.
• Data tier: gescheiden subnetten, versleutelde verbindingen.
• Identity: centraal authN/authZ platform.
• Logging: gecentraliseerde security events + tracing.

Verplichte controls

• CSP + security headers;
• API rate limiting;
• workload identities (geen shared secrets);
• mTLS of private service connectivity intern;
• database niet direct bereikbaar vanaf internetzone.

Netwerk/Enterprise Reference Architectuur

Doel

Laterale beweging minimaliseren en beheerkanalen isoleren.

Kernbouwstenen

• Segmentatie per functie (user/server/beheer/OT indien relevant);
• aparte management zone;
• identity-aware toegang voor admins;
• centrale DNS, PKI en logging met hardening;
• gecontroleerde egress.

Verplichte controls

• deny-by-default tussen segmenten;
• PAM/JIT voor beheeracties;
• tiering model voor directory-diensten;
• monitoring op east-west verkeer;
• backup- en herstelpad buiten primaire trust-zone.

Cloudplatform Reference Architectuur

Doel

Veilige multi-account/subscription landing zone met policy enforcement.

Kernbouwstenen

• Organisatiehiërarchie (accounts/projects/subscriptions);
• gecentraliseerde identity en SCP/policy guardrails;
• security logging account/project;
• key management met rotatie;
• CI/CD met signed artifacts.

Verplichte controls

• baseline policies afdwingend, niet adviserend;
• private networking voor interne services;
• secrets uitsluitend via secret manager;
• container/image scanning vóór deployment;
• cloud detective controls met geautomatiseerde response.

Cross-cutting designregels

1. No implicit admin path
   Elke beheeractie moet herleidbaar zijn naar een individuele identity.
2. No unmanaged egress
   Uitgaand verkeer is gecontroleerd, gelogd en policy-driven.
3. No hidden trust dependencies
   Elke trustrelatie staat in architectuurdocumentatie.
4. No blind spots in telemetry
   Kritieke controlepunten leveren logs met voldoende context.

Minimale documentatieset per reference architectuur

• Contextdiagram met trust boundaries.
• Dataflow met authenticatie- en autorisatiepunten.
• Control mapping naar NIS2/ISO/CIS.
• Operationeel runbook voor incidenten.
• Uitzonderingenregister (risicoacceptaties).

Samenvatting

Reference architecturen versnellen besluitvorming en verhogen consistentie. Ze zijn pas waardevol als ze security-controls standaardiseren én aantoonbaar maken.