Complexity
Blog
Tags:
Cloud
Efficiency

De cloud groeit dicht: hoe complexiteit je IT langzaam wurgt

Afgelopen week voerde ik in een discussie over hoe je tientallen (!) Virtual Private Clouds (VPC’s) aan elkaar moet koppelen. Tientallen VPC’s binnen één en dezelfde organisatie.

Complexiteit in de cloud loopt volledig uit de hand. Wat ooit bedoeld was om flexibiliteit en schaalbaarheid te brengen, verandert langzaam in een complexiteitsnachtmerrie die je IT vertraagt en je kosten opjaagt.

Die discussie liep gelukkig niet uit de hand, in tegendeel zelfs. Mijn gesprekspartner zag na een aanvankelijke twijfel opeens wat er echt aan de hand was: kosten die tot niks anders leidden dan meer complexiteit. En dat wilde hij graag zo snel als mogelijk veranderd zien.

We praatten door. Want “hoe ontstaat zoiets?” wilde hij weten. En of hij een uitzondering was. Nee, geen uitzondering.

Natuurlijk begrepen we beiden de technische puzzel. Maar de vraag is: waarom heb je überhaupt zoveel VPC’s? Het is alsof je voor elk huis in een wijk een compleet nieuw stadsbestuur optuigt - met een burgemeester, ambtenaren en infrastructuur erbij. Niemand zou dat rationeel doen. Toch gebeurt het in de cloud dagelijks.

Hetzelfde patroon zie je bij spokes en landing zones. In Azure wordt bijna elke server in een aparte spoke gezet. Argument: isolatie. Gevolg: een paar honderd spokes is geen uitzondering meer. En zodra je het aantal spokes vertienvoudigt, ontploft het aantal mogelijke paden ertussen. Elk datapakketje dat langs een firewall moet, telt mee in de rekening. Wat ooit bedacht was om orde te scheppen, creëert juist chaos, traagheid en een torenhoge factuur.

Daar komt nog iets bij: er bestaan geen open standaarden om deze spaghetti aan cloud-architecturen te beheersen. Elke leverancier kiest zijn eigen aanpak, met eigen tools en eigen regels. Hoe meer van deze constructies je neerzet, hoe sterker de ketting waarmee je aan die leverancier vastzit. Vendor lock-in was al geen theoretisch risico, maar de dagelijkse realiteit is erger dan ooit.

Kortom: de cloud wordt niet complex omdat het moet, maar omdat het mág. En omdat we vaak zonder het beseffen accepteren dat leveranciers ons steeds dieper hun doolhof in trekken. Is er een oplossing? Ja. Eenvoudiger dan je wellicht denkt en het levert alleen maar geld op. Kom ik op terug.

Waarom je met Windows altijd water maakt

Toen Windows NT begin jaren ’90 zijn intrede deed, was serverhardware peperduur. Je had één of twee machines en die deden álles: authenticatie, bestandsdeling, DNS, DHCP, netwerkroutering. Alles netjes samengebracht op een paar fysieke servers.

Fast forward naar 2025. Servers zijn virtueel en schaalbaar. Elke functie draait op een aparte machine. Maar de architectuur van Windows? Die is nog grotendeels dezelfde als in 1993. Serieus, er is in ruim 30 jaar bijna niks veranderd. Elke Windows-server biedt file services aan. Zelfs als je geen shares voor gebruikers hebt ingericht, blijft de zogeheten C$-share standaard openstaan. Daarmee is het besturingssysteem zelf rechtstreeks vanaf het netwerk bereikbaar. Kun je je een groter lek voorstellen? Ik ook niet.

En daar stopt het niet. Ook systeemconfiguraties, logfiles en de authenticatiedatabase zijn bereikbaar voor wie binnen weet te komen. In theorie heb je daar een geldig account met rechten voor nodig. In de praktijk weten we allemaal hoe “veilig” dat is in een Windows-omgeving. Breek je één server, dan is de rest meestal ook binnen handbereik. Het bekende domino-effect: als er één valt dan volgt de rest vanzelf.

En toch blijven we investeren in Windows. Alsof er niets aan de hand is. In plaats van het zinkende schip naar de sloop te brengen, blijven organisaties geld pompen in steeds geavanceerdere hoosmiddelen: firewalls, monitoring, detectietools. Alles om het water dat onafgebroken binnenstroomt weer naar buiten te scheppen.

Maar hoosmiddelen maken je boot niet eens prettig vaarbaar, laat staan zeewaardig. Je blijft drijven, totdat je dat niet meer doet. Ondertussen lopen de kosten op en verlies je snelheid. Precies de verkeerde kant op in een tijd waarin je IT juist licht, snel en schaalbaar moet zijn. Niet alleen kan zijn, maar moet zijn. Want veiligheid van data is een groeiende eis. En terecht.

Windows is geen oplossing meer. Windows is een groot en groeiend probleem.

De illusie van isolatie: hoe je méér betaalt voor mínder veiligheid

De reflex in veel organisaties is duidelijk: zien we een risico, dan bouwen we er een hek omheen. Windows-servers krijgen hun eigen spoke, hun eigen landing zone, hun eigen stukje virtueel land. Het idee: als één server valt, staat de rest tenminste nog overeind. Klinkt logisch. En het is een oplossing. Maar wel een dure. En feitelijk geen echte oplossing. Want in de praktijk leidt dit tot een explosie aan complexiteit, torenhoge kosten en een IT-landschap dat steeds logger wordt.

Het resultaat? Je betaalt steeds méér voor steeds mínder veiligheid. De performance daalt en de beheersbaarheid verdwijnt. Daarmee raak je nog verder verstrikt in de netten van je cloud-leverancier. Dat heet geen securitystrategie, dat heet op z’n best symptoombestrijding.

De enige duurzame oplossing is het aanpakken van de oorzaken. Niet het hek hoger maken, maar de gaten in de muur dichtmetselen. Zoals beloofd, hier zijn de belangrijkste stappen:

  1. Zet Windows aan de dijk

Wat? Afscheid nemen van Windows? Ja dat kan wel. Dat was ook de – korte – discussie waarmee ik begon. Afscheid nemen van het bekende voelt minimaal glibberig, maar … de meeste diensten die je nodig hebt, hebben helemaal geen Windows nodig. Bestandsdeling? Kan prima op Linux. SQL-databases? Draai je net zo goed op Linux. Het grote verschil: Linux kun je écht afsluiten. Services die er niet zijn, vormen ook geen aanvalsvlak. Je hoeft dus niet allerlei kunstgrepen als spokes of landing zones toe te passen om lekken te compenseren die in Windows ingebakken zitten. Minder complexiteit, minder kosten, meer veiligheid.

  1. Schakel ongebruikte services uit

Een Windows-server komt standaard met een batterij aan services die je waarschijnlijk nooit zult gebruiken. File services, print services, noem maar op. Elke service die aanstaat is een potentieel gat. En een actuele kostenpost. Staat het er alleen maar om stof te happen? Zet het uit. Hoe minder deuren er openstaan, hoe kleiner de kans dat iemand binnenkomt.

  1. Gebruik lokale firewalls slim

Complexe netwerksegmentatie wordt vaak gezien als de heilige graal van isolatie. Maar waarom moeilijk doen als het eenvoudig kan? Met een goed ingerichte lokale firewall kun je communicatie beperken tot wat strikt noodzakelijk is. Denk aan een SQL-server en z’n replica: die hoeven alleen maar via het SQL-protocol met elkaar te praten. Alle andere protocollen kun je gewoon blokkeren. Dat is net zo veilig en veel goedkoper en sneller dan elke server in een aparte spoke parkeren.

  1. Pas netwerkisolatie toe bij de bron

Isolatie hoeft geen dure dienst te zijn. Neem WiFi client isolation: een simpele instelling die voorkomt dat gebruikers elkaar zien op hetzelfde netwerk. Dat principe kun je ook op bedrade netwerken toepassen via Level 3 of 4 switching. Zo hou je servers gescheiden zonder onnodige overhead. Ja, dat ís ook een vorm van isolatie. Maar hier geldt: minimale complexiteit, gelijkblijvende snelheid en kosten en isolatie precies waar die hoort: bij de bron.

  1. Beperk privileges met lokale accounts

Een van de grootste risico’s in Windows-omgevingen zit in de beheerrechten. Een domeinadmin heeft vaak toegang tot tientallen of honderden servers. Voor gebruikers is een centrale identiteit handig, maar voor beheerders levensgevaarlijk. Breekt iemand één server, dan rollen de privileges automatisch door naar de rest. Door beheeraccounts lokaal per server in te richten, snijd je die propagatie af. Minder comfortabel voor de beheerder, maar ook minder aantrekkelijk voor de hacker.

De kern: minder complexiteit, meer effect, minder kosten

Elke extra spoke, landing zone of VPC is symptoombestrijding. Het lijkt veiliger, maar in werkelijkheid koop je vooral complexiteit. Je omgeving wordt trager, duurder en jij wordt afhankelijker van je leverancier.

Door de oorzaken aan te pakken - overbodige services uitzetten, lokale firewalls gebruiken, netwerkisolatie toepassen en privileges beperken - maak je je IT niet alleen veiliger, maar ook sneller en goedkoper. En belangrijker: je krijgt de regie terug.

De cloud hoeft geen doolhof te zijn. Maar dan moet je wel stoppen met het bouwen van extra hekken én beginnen met het dichten van de echte gaten.

Wil jij hozen of varen?

Wil je blijven investeren in symptoombestrijding? In spokes, landing zones en dure isolatie die je cloud alleen maar trager en duurder maken? Of kies je liever voor een omgeving die écht veilig, snel en lean is, zónder dat je vastzit in het doolhof van je leverancier?

Bij Sciante helpen we organisaties al jaren met het aanpakken van oorzaken in plaats van symptomen. We maken je IT eenvoudiger, sneller en goedkoper. En belangrijker: je krijgt de regie terug over je cloud.

Zin in een gesprek, of desnoods discussie? ;) Plan een vrijblijvende afspraak. Dan laten we je zien waar de gaten in jouw omgeving zitten, en hoe je ze oplost zonder extra complexiteit te creëren.

Maak nu direct je afspraak

Klik Me