Audit vraagt om logs van wie wat heeft gedaan in de cloud
CloudTrail (AWS), Activity Log (Azure) en Audit Logs (GCP) zijn de standaard. Belangrijk: data-events kosten extra en moet je expliciet aanzetten. Default zit alleen op management-events.
Probeer dit eerst zelf
- 1AWS: CloudTrail multi-region en multi-account, output naar een aparte log-archive-account met S3-Object-Lock voor immutable storage.
- 2Activeer CloudTrail data-events op je kritieke S3-buckets en Lambda-functies. Default-trail bevat alleen API-calls, niet GetObject of Invoke.
- 3Azure: Activity Log naar een Log Analytics workspace, retention 90+ dagen. Voor audit van data-acties: Diagnostic Settings per resource.
- 4GCP: Audit Logs (Admin Activity gratis, Data Access betaald). Activeer Data Access voor de services die voor audit-scope tellen.
- 5Stel retentie expliciet in: 7 jaar voor financiële audits, 1 jaar voor algemeen. Default is meestal 90 dagen, wat te kort is voor compliance.
Wanneer ons inschakelen
Voor SOC2, ISO 27001, of een lopende inschuldsteller zijn logs alleen het begin. Een log-architectuur met immutability, alerts en query-discipline gaat verder, daar is hulp gangbaar.
Zie ook
- Iedereen logt in met het root-account van AWSHet root-account is voor noodgevallen en facturatie. Dagelijks werk hoort via IAM-users of SSO.
- Iedere developer heeft AdministratorAccessAdministratorAccess overal is gemak nu, drama later. Begin met rolgebaseerde policies.
- Iedereen heeft losse IAM-users met eigen wachtwoordIdentity Center (voorheen AWS SSO) koppelt aan je IdP en geeft tijdelijke credentials per sessie.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.