Azure Landing Zones bieden een blauwdruk voor het neerzetten van een volwassen Azure-platform. In plaats van losse subscriptions met ad-hoc instellingen, krijgen Nederlandse overheidsorganisaties een herhaalbare inrichting waarin resourceorganisatie, netwerk, identiteit, security en operations vanaf dag één op elkaar zijn afgestemd. Wie deze basis eerst legt, voorkomt dat technische schuld zich opstapelt tijdens migraties of cloud-native projecten.
Het Microsoft Cloud Adoption Framework bevat referentie-implementaties (Infrastructure as Code) voor enterprise-scale landing zones. Deze templates helpen platforms binnen dagen uit te rollen, inclusief managementgroups, policies, netwerkconfiguraties en monitoring. Voor de publieke sector komt daar een extra laag eisen bij: dataresidentie in Nederlandse regio’s, BIO-controles, logging voor toezicht en strikte scheiding tussen vertrouwelijkheidsniveaus. Door deze specificaties direct in het ontwerp mee te nemen, zijn later geen kostbare retrofits nodig.
In dit artikel beschrijven we hoe je de enterprise-scale landing-zonearchitectuur vertaalt naar de context van Nederlandse overheden: management- en policyhiërarchieën, netwerk- en connectiviteitspatronen, naming- en taggingstandaarden en governance-automatisering.
Voor cloud- en enterprise-architecten, platformteams en CISO-office die Azure als strategisch platform aansturen binnen Nederlandse overheden. Een goed ontwerp vraagt kennis van Azure-capabilities, organisatie- en securitymodellen én de BIO/NIS2-consequenties daarvan.
Gebruik de enterprise-scale-landing-zone-templates als vertrekpunt en pas ze aan. Zo profiteer je van duizenden best practices rond netwerken, policies en operations en beperk je het trial-and-error-risico.
Management groups en policies
Een robuuste landing zone begint bij een beheerhiërarchie die zowel strategische sturing als operationele autonomie ondersteunt. De rootmanagementgroep fungeert als juridisch en technisch ankerpunt voor de gehele tenant en bevat baseline policies voor versleuteling, Defender-planactivatie, logging naar centrale workspaces en verplichte tagging. Onder deze top worden platform-, connectivity- en landing-zone-groepen ingericht, zodat identiteitsdiensten, netwerkcomponenten en applicatieworkloads ieder een eigen verander- en beveiligingsritme kunnen hanteren. Dit model sluit aan op de structuur van Nederlandse ministeries en uitvoeringsorganisaties, waar centrale regie en decentrale uitvoering hand in hand moeten gaan.
Het ontwerpen van policy stacks vraagt om meer dan alleen technische configuraties. Begin met een catalogus van BIO- en NIS2-controles, vertaal deze naar Azure Policy definities en groepeer ze per thema zoals dataresidentie, identity hardening en operations. Gebruik vervolgens policy-initiatieven per managementgroep, zodat u uitzonderingen gecontroleerd kunt toekennen. Bijvoorbeeld: alle workloads moeten in West-Europe of North-Europe draaien, tenzij een expliciete vrijstelling voor testomgevingen is geregistreerd. Door policies als code in Bicep of Terraform vast te leggen en via pipelines uit te rollen, houd je een audit trail die toezichthouders verwachten.
Subscriptiondesign bepaalt hoe kosten, verantwoordelijkheden en machtigingen aansluiten op de organisatie. Overheden kiezen vaak voor een matrix: per domein (bijvoorbeeld begrotingssystemen, burgerdiensten) wordt een set dev/test/prod-subscriptions aangemaakt die onder de juiste managementgroep vallen. Role Based Access Control wordt daarop afgestemd: platformteams beheren gedeelde componenten, productteams krijgen Contributor-rechten op hun eigen landing zones, terwijl het CISO-office Security Reader-toegang ontvangt voor alle lagen. Documenteer delegatiemodellen zorgvuldig, zodat overdrachten tussen programma’s of leveranciers niet leiden tot ongeautoriseerde wijzingen.
Naming- en taggingstandaarden vormen het semantische cement van het platform. Gebruik tags voor organisatiecode, kostenplaats, vertrouwelijkheidsniveau, lifecyclefase en eigenaar, en dwing deze af met Azure Policy of Azure Functions die ontbrekende metadata signaleren. Werk daarnaast met een centraal register voor resource-prefixen en subscription-IDs, zodat rapportages naar de Tweede Kamer of toezichthouders direct kunnen worden gekoppeld aan begrotingsartikelen. Automatische tagging vanuit pipeline-variabelen reduceert fouten en maakt FinOps- en securityrapportages betrouwbaarder.
Tot slot is governance-automatisering essentieel om tempo te houden. Integreer Policy Compliance, Defender for Cloud, Cost Management en Sentinel in een gezamenlijk dashboard dat maandelijks richting CIO en CISO wordt besproken. Richt change governance in waarbij policy-updates eerst in een blueprint- of sandboxtenant worden getest en daarna via een Pull Request-proces naar productie gaan. Combineer dit met periodieke maturity-assessments zodat duidelijk is welke managementgroepen al voldoen aan de Nederlandse Baseline voor Veilige Cloud en waar nog investeringen nodig zijn.
Netwerktopologie: hub-spoke en connectiviteit
De netwerklaag van een landing zone bepaalt of workloads veilig en voorspelbaar kunnen communiceren. Het hub-spokepatroon biedt hiervoor een bewezen blauwdruk: de hub huisvest gedeelde netwerkdiensten, securitycomponenten en connectiviteitsgateways, terwijl iedere spoke een workloaddomein of applicatieteam representeert. Door spokes uitsluitend via de hub te laten communiceren ontstaat er één plek waar verkeer kan worden geïnspecteerd, gelogd en geblokkeerd op basis van BIO- en NCSC-richtlijnen. Dit voorkomt dat shadow IT rechtstreeks met internet praat of dat data ongecontroleerd tussen vertrouwelijkheidsniveaus stroomt.
Een zorgvuldig adresplan is cruciaal. Start met een centraal beheerde IP-strategie waarin RFC1918-ranges per organisatie en per gevoeligheidsniveau zijn vastgelegd. Houd rekening met groei door per spoke minimaal een /23 te reserveren, zodat AKS-clusters, schaalsets en PaaS-integraties voldoende adressen krijgen. Documenteer deze ranges in een CMDB en automatiseer validatie tijdens IaC-deployments, zodat overlappende CIDR-blokken vroegtijdig worden geweigerd. Voor specifieke workloads, zoals DigiD-koppelingen of koppelingen met het Rijksportaal, kan een dedicated spoke met strengere firewallregels worden ingericht.
Security-controles vallen of staan met traffic engineering. User Defined Routes forceren dat alle noord-zuid- en oost-weststromen door Azure Firewall, Network Virtual Appliances of Defender for Cloud-integraties lopen. Gebruik Threat Intelligence-filtering, TLS-inspectie voor uitgaand verkeer en DDoS Protection Standard op internet facing endpoints. Richt daarnaast Private DNS Zones in om verkeer naar PaaS-diensten zoals Storage of SQL Database via Private Endpoints af te wikkelen, waardoor data binnen het Microsoft backbone blijft en de kans op datalekken afneemt. Logging naar een centrale Log Analytics workspace of Microsoft Sentinel maakt correlatie tussen netwerk- en identiteitsgebeurtenissen mogelijk.
Hybride connectiviteit vraagt een combinatie van betrouwbaarheid en scheiding. ExpressRoute biedt voorspelbare latency en voldoet aan veel Rijkscloud-eisen, maar een secundaire VPN-tunnel blijft noodzakelijk voor failover en change windows. Door gateway transit te activeren, delen alle spokes dezelfde verbinding zonder dubbele gateways te beheren. Segmentatie naar vertrouwelijkheidsniveau of organisatie kan vervolgens via verschillende ExpressRoute-circuits, Virtual WAN of Azure Firewall Policy worden afgedwongen. Maak vooraf duidelijke afspraken met Rijks-CERT en interne SOC-teams over welke netflow-gegevens nodig zijn voor forensisch onderzoek.
Toekomstbestendigheid betekent ook rekening houden met IPv6, Zero Trust en multi-cloud. Activeer IPv6 dual stack in hub en kritische spokes om toekomstige integraties met Rijksoverheidsnetwerken te faciliteren. Combineer Conditional Access, Azure Bastion en Just-In-Time-VM-toegang zodat beheer uitsluitend via gecontroleerde paden plaatsvindt. Documenteer alle netwerkpatronen in architectuursporen, voer regelmatig chaos- en failover-tests uit en veranker de resultaten in het change record. Zo blijft de netwerkinfrastructuur niet alleen veilig, maar ook aantoonbaar compliant voor audits en parlementaire vragen.
Identiteit, platformoperations en automatisering
Een landing zone staat of valt met de manier waarop identiteiten, logging en automatismen zijn ingericht. Begin bij identiteitsarchitectuur door Entra ID-tenants te segmenteren voor productie, ontwikkelomgevingen en leveranciers. Serviceprincipals en Managed Identities krijgen granulariteit via Privileged Identity Management, waarbij elke escalatie een reden, reviewer en maximale duur vereist. Combineer dit met Conditional Access policies die onder andere compliant devices, locatieprofielen en meervoudige authenticatie afdwingen. Hierdoor ontstaat een consistent Zero Trust-fundament en sluit de identiteitsspraak aan op de eisen uit het Rijksbrede I-strategiebeleid.
Operations-teams hebben volledige zichtbaarheid nodig op platformgebeurtenissen. Centraliseer logging via Diagnostic Settings naar een dedicated beheer-subscription die Log Analytics, Sentinel en een archiegeoroute bevat. Gebruik data-collectieregels om differentiatie aan te brengen tussen korte termijn operations-log retention (30-90 dagen) en lange termijn compliance-archivering (365+ dagen) voor audits. Ontwikkel playbooks waarin verstoringen rond beleid, netwerk of identiteit stap voor stap zijn beschreven, inclusief escalatie naar NCSC of de CIO-raad indien staatsgeheimen of vitale processen mogelijk zijn geraakt.
Automatisering reduceert menselijke fouten en versnelt iteraties. Pas Infrastructure as Code consequent toe voor managementgroups, policies, role assignments, netwerken en monitoring. CAF-enterprise-scale biedt Bicep-modules die als referentie kunnen dienen; breid deze uit met organisatie-eigen modules voor bijvoorbeeld Purview-accounts, Key Vault-hsm’s of Sovereign Landing Zones. Koppel de code aan Azure DevOps of GitHub Actions pipelines met quality gates zoals static analysis, policy compliance en security scans. Zo kan geen enkele wijziging zonder review of test naar productie worden geperst.
FinOps en SecOps moeten vanaf de start zijn geïntegreerd in het platform. Stel budgetten, kostendoelen en Secure Score-drempels in per subscription en automatiseer alerts via Action Groups richting financieel beheer en SOC-analisten. Combineer cost en security data in een Power BI- of Fabric-dashboard dat bestuurders maandelijks bespreken. Door deze rapportage direct te koppelen aan de taggingstandaard en policycompliance ontstaat een meetbaar gesprek over effectiviteit van maatregelen in plaats van alleen theoretische architectuurschetsen.
Tot slot vraagt de Nederlandse publieke sector om aantoonbare kwaliteitsborging. Plan kwartaalreviews op basis van de Nederlandse Baseline voor Veilige Cloud en het Cloud Adoption Framework. Gebruik maturity-matrices om te beoordelen of identity governance, policy compliance, netwerksegregatie en operations-automatisering voldoen aan de afgesproken volwassenheidsniveaus. Documenteer bevindingen, verbeteracties, verantwoordelijken en deadlines in het translateprogress- of governance-register en sluit elk traject af met een her-test. Op die manier blijft de landing zone niet alleen technisch actueel, maar ook bestuurlijk geborgd.
Met een landing zone leg je het fundament voor elke toekomstige workload. Een doordachte management-groupstructuur, duidelijke policylagen, consistente naming/tagging en een hub-spokenetwerk nemen governance en securityzorgen weg voordat de eerste applicatie live gaat. Door op referentiearchitecturen voort te bouwen en alles als code te beheren, voorkom je wilde groei en dure herstelacties.
Voor cloud- en infrastructureteams is dit een strategische investering. Het levert snellere onboarding op, houdt compliance aantoonbaar en maakt het platform klaar voor schaalbare adoptie van AI, data en line-of-business-applicaties. Wie nu tijd steekt in landing zones, kan daarna gecontroleerd versnellen.