De Q3-releases van 2025 verschuiven van losse features naar strategische bouwstenen. Zero Trust Maturity Model v2.0 structureert de meerjarenroute, een post-quantumpreview in Azure Key Vault versnelt crypto-agility, Defender for Cloud tilt containersecurity naar policy-as-code, Purview Insider Risk gebruikt AI voor context en Entra Verified ID ondersteunt nieuwe overheidsbewijzen. Het doel: minder ad-hocprojecten en meer samenhang tussen architectuur, compliance en toekomstige dreigingen.
Onderwerpen: Zero Trust Maturity Model v2.0 (vijf niveaus, zeven pijlers, 200+ controles), Azure Key Vault post-quantumpreview, Defender for Cloud container runtime-detecties en policy-as-code, Purview Insider Risk met AI-context, Entra Verified ID voor digitale bewijzen en nieuwe deadlines voor legacy-protocollen.
Inventariseer welke systemen cryptografie gebruiken en plan pilots met post-quantumalgoritmen in een testomgeving. Een gemeente die hiermee wachtte, was al acht maanden bezig met alleen de inventarisatie. Door nu te beginnen voorkomt u dat ‘harvest now, decrypt later’-daders later gevoelige gegevens kunnen ontsleutelen.
Zero Trust Maturity Model v2.0: concrete routekaart
Vijf niveaus met zeven pijlers
De nieuwe versie verdeelt Zero Trust over vijf niveaus (Traditional → Transformational) en zeven pijlers (Identiteit, Devices, Applicaties, Data, Infrastructuur, Netwerk, Inzicht/Automatisering). Waar v1.0 vooral beschreef wat nodig is, bevat v2.0 ruim 200 controles met configuratievoorbeelden, valkuilen en validatiequeries. In de identiteitspijler op Advanced-niveau horen bijvoorbeeld phishingresistente MFA voor beheerders, Conditional Access op alle apps, PAM en periodieke access reviews.
Geautomatiseerde maturity-scan
Het model hangt direct aan tooling in security.microsoft.com en leest Entra-, Intune-, Defender-, Purview- en Sentinel-instellingen uit. De rapportage toont per pijler het huidige niveau, geeft een gapanalyse én een roadmap naar de volgende fase. Exporteerbare grafieken maken het eenvoudig om bestuur en toezichthouders mee te nemen.
Relevantie
Overheidsorganisaties kunnen zo gefaseerde, realistische trajecten opstellen in plaats van alle Zero Trust-elementen tegelijk te willen implementeren. Begin met een maturity-scan, prioriteer de gaten en koppel de acties aan bestaande jaarplannen. De integratie met Secure Score zorgt bovendien voor één overzicht van de voortgang.
Post-quantumcryptografie in Azure Key Vault (preview)
NIST-algoritmen beschikbaar
Key Vault ondersteunt in preview de NIST-kandidaten: ML-KEM voor sleuteluitwisseling en ML-DSA/SPHINCS+ voor handtekeningen. In hybride modus draaien RSA/ECC en post-quantum naast elkaar, waardoor bestaande systemen operationeel blijven.
Crypto-agility als standaard
Applicaties die afhankelijk zijn van hardgecodeerde algoritmen lopen vast wanneer PQC verplicht wordt. Door Key Vault-API’s te gebruiken, kan een applicatie via configuratie overschakelen op nieuwe suites zonder codewijzigingen.
Aanpak voor overheden
Defender for Cloud: container runtime-detecties en policy-as-code
Nieuwe runtime-agent
AKS, Arc-enabled Kubernetes en Azure Container Apps krijgen een lightweight runtime-agent die geheugeninjecties, privilege-escalaties en container-escape patronen detecteert. Signalen komen rechtstreeks in Microsoft Defender XDR binnen zodat incidenten cross-domain worden onderzocht.
Policy-as-code voor supply chain
GitHub Actions en Azure DevOps kunnen nu compliance policies uit Defender for Cloud afdwingen vóór een container wordt gepusht. Denk aan verplichte leveranciers-signing, scanresultaten zonder Critical-fouten en SBOM-upload. Overtredingen blokkeren de pipeline automatisch.
Acties voor overheden
Activeer de nieuwe agent eerst op een niet-productiecluster en controleer of bestaande observability (Prometheus, Grafana) geen conflicten heeft.
Integreer policy-checks in de CI/CD-templates zodat ontwikkelteams standaard dezelfde minimumveiligheid hanteren.
Koppel de alerts aan het OT-/IT-handboek voor incidentrespons op containerplatforms.
Purview Insider Risk met AI-context
Contextuele AI-signalen
Nieuwe modellen combineren downloads, e-mailbijlagen, Teams-chats en fysieke toegangslogs. Het systeem herkent patronen zoals plots massale export vlak voor een exitgesprek of het gebruik van persoonlijke cloudopslag na een slechte prestatiebeoordeling.
Caseprioritering
Analisten krijgen een "explainability view" met motivering: welke acties dragen het meest bij aan de risicoscore en welke beleidsregels zijn geraakt. Hierdoor kan men gericht interviews plannen en onnodige onderzoeken schrappen.
Aanpak
Entra Verified ID: nieuwe scenario’s voor publieke sector
Digitale documenten
Entra Verified ID heeft sjablonen voor reisdocumenten, zorgpassen en bouwvergunningen. Burgers kunnen via een wallet-app een QR-code tonen die direct in DigiD of interne portalen kan worden gevalideerd.
Automatische toegang
Conditional Access policies kunnen nu eisen dat een bepaald Verified ID-claim aanwezig is voordat toegang tot een applicatie wordt verleend (bijvoorbeeld "contractor background check" of "BIG-registratie").
Acties
Stel een governanceboard samen voor het uitgeven van verifiable credentials.
Test de sjablonen in een pilot met een beperkt aantal partners (bijv. zorginstellingen).
Documenteer hoe bewijslast wordt opgeslagen en hoe intrekking van credentials wordt afgehandeld.
Uitfaseringen: verouderde protocollen en clients
Legacy-protocollen
SMTP Basic Auth wordt in december 2025 uitgeschakeld voor tenants zonder uitzonderingsaanvraag.
TLS 1.0/1.1 blokkades worden uitgebreid naar SharePoint Online en OneDrive eind Q3 2025.
Clients en agents
Defendersensoren op Windows Server 2012 R2 gaan per oktober 2025 end-of-support.
Oude Microsoft Teams Rooms-apps zonder Windows 11 IoT-update raken begin 2026 buiten support.
Aanpak
De updates van Q3 2025 richten zich op structurele weerbaarheid: meetbare Zero Trust-volwassenheid, voorbereidingen op post-quantumcryptografie, veilige container supply chains, intelligente insider-riskdetectie en betrouwbare digitale identiteiten. Bundel deze thema’s in één kwartaalritme: maturity-scan uitvoeren, PQC-pilot draaien, container policies naar CI/CD brengen, Purview-workflows met HR afstemmen en Verified ID-governance vastleggen. Zo blijft de organisatie aantoonbaar in control en voorkom je toekomstige schulden.