AWS voor MSP’s: Amazon Web Services beheren voor uw klanten

Volgens het Kaseya State of the MSP-rapport van 2026behoren cloud- en hostingdiensten voor 34% van de MSP’s tot de belangrijkste inkomstenbronnen. Amazon Web Services is het dominante platform waarop een aanzienlijk deel van die werklast draait.

Het beheer van AWS voor klanten verschilt van het interne beheer. Je bent verantwoordelijk voor omgevingen waarover je niet de volledige controle hebt, factureringsstructuren die voortdurende aandacht vereisen om onverwachte kosten te voorkomen, en beveiligingsconfiguraties die veranderen naarmate klanten groeien. Zonder de juiste aanpak en tools kan het beheer van AWS voor klanten een van de meest operationeel veeleisende diensten zijn die een MSP levert.

In deze gids komt aan bod wat MSP’s moeten weten om AWS-klantomgevingen winstgevend te beheren: kostenbeheer, beveiligingsconfiguratie, back-upstrategie en de operationele valkuilen die AWS lastiger maken dan het op het eerste gezicht lijkt. Het platform van Kaseya wordt door MSP’s in meer dan 170 landen gebruikt om precies deze omgevingen te beheren, waardoor we een duidelijk beeld hebben van waar het beheer van AWS-klanten goed verloopt en waar het misgaat.

Waarom MSP’s AWS-omgevingen beheren

De meeste kleine en middelgrote bedrijven die overstappen op een cloudinfrastructuur, kiezen voor AWS. Sommigen zijn daar door een consultant naartoe geleid. Anderen hadden een specifieke applicatie nodig waarvoor AWS onmisbaar was. Velen kozen simpelweg voor AWS vanwege de sterke marktpositie van het bedrijf. Wat de reden ook is, het resultaat is hetzelfde: het beheer van AWS maakt nu deel uit van de standaardklantomgeving waarmee in managed services rekening moet worden gehouden.

Drie chauffeurs zorgen ervoor dat dit een groeiende dienst wordt.

Applicatiehosting. Klanten draaien bedrijfsapplicaties, webservers, databases en ontwikkelomgevingen op EC2-instances en managed services RDS en Lambda. Het beheer hiervan is operationeel net zo noodzakelijk als het beheer van servers op locatie.

Opslag en back-up. Klanten slaan gegevens op in S3-buckets, maken gebruik van EBS-volumes die aan rekeninstances zijn gekoppeld en vertrouwen steeds vaker op AWS als onderdeel van hun back-uparchitectuur. Weten wat wel en niet wordt beschermd, en hoe het herstelproces verloopt, is een kernverantwoordelijkheid van MSP’s.

Compliance-eisen. Gereguleerde klanten in de gezondheidszorg, de financiële sector en de overheid hebben vaak workloads op AWS die aan dezelfde normen moeten voldoen als on-premises infrastructuur. HIPAA, PCI DSS en CMMC zijn allemaal van toepassing op door AWS gehoste omgevingen wanneer die omgevingen gegevens verwerken die onder deze regelgeving vallen.

Een gemiddelde MSP die 20 tot 50 klanten beheert, zal merken dat AWS-omgevingen binnen twee tot drie jaar na de huidige invoering in het merendeel van die accounts aanwezig zijn. Dit nu al in uw serviceovereenkomsten opnemen, voordat een klant vraagt waarom zijn S3-bucket openbaar was, is het juiste moment.

Inzicht in het AWS-model voor gedeelde verantwoordelijkheid

Het belangrijkste concept bij AWS-beheer is het model van gedeelde verantwoordelijkheid. De meest voorkomende fout die MSP’s maken, is dat ze dit model verkeerd uitleggen aan klanten, of helemaal niet uitleggen.

AWS is verantwoordelijk voor de beveiliging van de cloud: de fysieke infrastructuur, de hypervisor, het netwerk en de infrastructuur voor beheerde diensten. De klant en zijn MSP zijn verantwoordelijk voor de beveiliging binnen de cloud. Dit omvat patches voor het besturingssysteem, netwerkconfiguratie (beveiligingsgroepen, NACL’s, VPC-ontwerp), identiteits- en toegangsbeheer, gegevensversleuteling en beveiliging op applicatieniveau.

De praktische gevolgen zijn duidelijk:

• Een EC2-instance waarop een niet-gepatcht besturingssysteem draait, is het probleem van de klant, niet van AWS.
• Een S3-bucket die verkeerd is geconfigureerd voor openbare toegang is het probleem van de klant.
• IAM-rollen met te ruime rechten zijn een zaak van de klant.
• Beveiligingsrisico’s in applicaties die op de AWS-infrastructuur draaien, zijn de verantwoordelijkheid van de klant.

MSP’s die AWS-omgevingen beheren, moeten besturingssystemen op EC2-instances patchen, net zoals ze dat bij on-premises servers zouden doen. VSA ondersteunt het patchen van besturingssystemen en software van derden voor Windows- en Linux-instances, inclusief EC2-instances waarop de VSA-agent is geïnstalleerd, met behulp van dezelfde beleidsgestuurde automatisering die ook voor on-premises eindpunten wordt gebruikt.

Dit is ook van belang in contractuele zin. Als in uw managed services niet expliciet is vastgelegd wie verantwoordelijk is voor het patchen van het besturingssysteem en het IAM-beheer voor door AWS gehoste workloads, ontstaat er een lacune in uw aansprakelijkheid. Leg dit duidelijk vast in IT Glue stem de bepalingen in uw SLA hierop af, voordat een incident u dwingt dit onderwerp aan te kaarten.

AWS-kostenbeheer: waar MSP’s marge verliezen

De facturering van AWS is complex. Zonder actief beheer loopt dit tot hoge kosten. De meest voorkomende kostenproblemen in door MSP’s beheerde AWS-omgevingen vallen uiteen in vier categorieën.

Fouten bij het bepalen van de juiste capaciteit. Klanten reserveren bij de eerste implementatie te veel EC2-instances en schalen nooit terug. Een klant die een t3.xlarge gebruikt voor een workload waarvoor een t3.medium volstaat, betaalt ongeveer het dubbele van de benodigde rekenkosten. Door regelmatig de capaciteit te herzien, ondersteund door AWS Cost Explorer en CloudWatch-statistieken, worden deze kansen zichtbaar voordat ze de marge aantasten.

Onvoldoende gebruik van Reserved Instances en Savings Plans. AWS biedt kortingen tot wel 72% op Reserved Instances en Savings Plans in vergelijking met on-demand-tarieven. MSP’s die AWS-omgevingen beheren, moeten vaststellen welke workloads stabiel genoeg zijn om vast te leggen tegen gereserveerde tarieven, en vervolgens namens de klant reserveringen aanschaffen of hen adviseren dit te doen in het kader van een formele driemaandelijkse evaluatie.

Vrijgekomen resources. Klanten laten EBS-volumes, Elastic IP’s en load balancers vaak actief staan nadat de bijbehorende resources zijn verwijderd. Deze hebben geen operationele waarde meer, maar blijven kosten met zich meebrengen. Een maandelijkse kostenbeoordeling zou moeten bestaan uit het controleren op vrijgekomen resources. Dit kost minder dan een uur en brengt vaak honderden dollars aan maandelijkse verspilling aan het licht.

Uitgaande kosten. Voor gegevensoverdracht vanuit AWS worden tarieven in rekening gebracht die klanten vaak verrassen. Applicaties met veel uitgaand verkeer, back-upsystemen die gegevens naar andere bestemmingen verzenden en workloads die gebruikmaken van een CDN kunnen uitgaande kosten genereren die hoger zijn dan de rekenkosten. Zorg dat u het uitgaande kostenprofiel van de omgeving van elke klant kent voordat de factuur wordt verstuurd.

De kansen voor MSP’s zijn hier reëel. Door AWS-kostenbeheer te benaderen als een proactieve adviesdienst creëer je echte toegevoegde waarde voor de klant en stimuleer je het commerciële gesprek over het uitbreiden managed services . Een MSP die ontdekt dat er maandelijks 500 dollar aan vermijdbare AWS-kosten wordt uitgegeven, wordt een vertrouwde adviseur. Wie dit over het hoofd ziet, wordt degene die de klant geld heeft laten verspillen.

Beveiligingsconfiguratie in AWS-klantomgevingen

AWS biedt krachtige beveiligingsfuncties, maar deze moeten wel correct worden geconfigureerd. De meest voorkomende beveiligingslekken in door MSP’s beheerde AWS-omgevingen vertonen een voorspelbaar patroon.

Overmatige toekenning van IAM-rechten. Het principe van minimale rechten is in AWS moeilijker na te leven dan in een traditionele directory-omgeving, omdat IAM-rollen, -beleidsregels en -toegangsgrenzen complexer zijn om te controleren. Het komt regelmatig voor dat gebruikers en servicerollen beheerdersrechten hebben, terwijl ze slechts specifieke servicerechten nodig hebben. Door regelmatige IAM-toegangsbeoordelingen en het gebruik van AWS IAM Access Analyzer kunnen deze hiaten aan het licht worden gebracht voordat ze tot inbreuken leiden.

Openbare S3-buckets. S3-buckets zijn standaard privé, maar door wijzigingen in de configuratie of ‘infrastructure-as-code’-sjablonen kunnen buckets onbedoeld openbaar worden gemaakt. AWS biedt blokkeringen voor openbare toegang op zowel bucket- als accountniveau. Door deze op accountniveau in te schakelen, voorkomt u onbedoelde openbaarmaking.

Er ontbreekt versleuteling in rust. Voor EBS-volumes, S3-buckets en RDS-instanties moet versleuteling zijn ingeschakeld. AWS KMS biedt beheerde sleutelversleuteling. Door standaardversleuteling op accountniveau in te schakelen, wordt gewaarborgd dat nieuwe resources worden versleuteld, tenzij dit expliciet wordt overschreven. Dit is een verstandige basisvoorwaarde voor elke klantomgeving waarin bedrijfsgegevens worden verwerkt.

Toegankelijke beveiligingsgroepen. Beveiligingsgroepen die onbeperkte inkomende toegang (0.0.0.0/0) toestaan op poort 22 (SSH) of 3389 (RDP) stellen instances rechtstreeks bloot aan het internet. Deze worden in vrijwel elke AWS-beveiligingsbeoordeling gesignaleerd en zijn eenvoudig te verhelpen. Ze moeten bij elke nieuwe klantopdracht als basismaatregel vanaf de eerste dag worden afgesloten.

CloudTrail is niet ingeschakeld. AWS CloudTrail is het auditlogboek voor AWS API-activiteiten. Zonder dit logboek is het onderzoek naar incidenten ernstig beperkt. CloudTrail moet in alle regio’s worden ingeschakeld, waarbij de logbestanden worden opgeslagen in een aparte S3-bucket met toegangsbeperkingen. Dit is een absolute basisvoorwaarde voor elke omgeving waarin uw MSP verantwoordelijk is voor de beveiliging.

Back-up en herstel op AWS

Het model van gedeelde verantwoordelijkheid houdt in dat AWS de meeste resources standaard niet back-upt. Voor EC2-instances, EBS-volumes en RDS-databases moet de back-upconfiguratie expliciet worden ingesteld.

AWS Backup is de eigen back-upcoördinatiedienst van AWS, die ondersteuning biedt voor EC2, EBS, RDS, DynamoDB, EFS en andere diensten. De dienst biedt gecentraliseerd beleidsbeheer, het kopiëren van gegevens tussen regio’s en accounts, en rapportage over de naleving van back-upvoorschriften. Voor MSP’s die meerdere AWS-omgevingen van klanten beheren, maakt de functie voor accountoverschrijdend beheer (beschikbaar via AWS Organizations) het mogelijk om back-upbeleidsregels voor alle klantaccounts vanuit één centrale console te beheren.

Wat AWS Backup niet dekt: S3-gegevens (die worden beschermd via versiebeheer en replicatie in plaats van via traditionele back-ups), SaaS-toepassingen die op AWS-infrastructuur draaien, en applicatieconsistente back-ups voor complexe meerlaagse applicaties. Datto BCDR kan een aanvulling vormen op AWS Backup voor workloads waarbij herstel op image-niveau of een snellere RTO vereist is.

Testen van het herstelproces. Hier geldt hetzelfde principe als voor back-ups op locatie: een back-up die niet is getest, is geen back-up. AWS Backup ondersteunt het testen van het herstelproces met geautomatiseerde validatie. Dit moet worden opgenomen in het contract voor beheerde diensten voor elke AWS-omgeving waarin herstelcapaciteit een contractuele verplichting is. Plan het, voer het uit en documenteer de resultaten in IT Glue.

Het op grote schaal monitoren van AWS-omgevingen

AWS CloudWatch biedt ingebouwde monitoring voor AWS-bronnen: statistieken, logbestanden, alarmen en dashboards. Voor MSP’s die meerdere AWS-omgevingen van klanten beheren, is het een uitdaging om de AWS-monitoring samen met de monitoring van on-premises- en andere cloudomgevingen te integreren in één uniform operationeel overzicht.

De agentgebaseerde monitoring van VSA is van toepassing op EC2-instances waarop de agent is geïnstalleerd en biedt dezelfde mogelijkheden voor endpointmonitoring, waarschuwingsbeheer en automatisering als voor servers op locatie. Voor AWS-monitoring op infrastructuurniveau (status van services, factureringswaarschuwingen, CloudTrail-gebeurtenissen) wordt de VSA-agent aangevuld met native AWS-tools of AWS-specifieke monitoringintegraties.

Het doel is één enkel operationeel overzicht. Het NOC van een MSP zou niet voor elke klant moeten hoeven schakelen tussen de VSA-console en afzonderlijke AWS-consoles om inzicht te krijgen in de status van de beheerde omgeving. Elke contextwisseling vertraagt de incidentafhandeling en vergroot de kans dat er hiaten onopgemerkt blijven.

Hoe Kaseya het beheer van AWS-klanten ondersteunt

Datto RMM / VSA zorgt voor het installeren van OS-patches, monitoring en automatisering voor servers met Windows of Linux. Eenmalige implementatie, beheer vanaf dezelfde console samen met lokale eindpunten.

Datto BCDR vormt een aanvulling op AWS Backup voor workloads waarbij herstel op image-niveau, onmiddellijke virtualisatie of een snellere RTO vereist is dan mogelijk is met de standaard AWS-herstelfunctie.

IT Glue slaat documentatie op voor AWS-omgevingen van klanten: VPC-architectuur, IAM-structuur, configuraties van beveiligingsgroepen, runbooks voor noodherstel en toegangsgegevens, met isolatie per klant en gecontroleerde toegang.

Compliance Manager GRC volgt de implementatie van controles en genereert nalevingsbewijs voor klanten met gereguleerde AWS-workloads (HIPAA, PCI DSS, CMMC), zowel in on-premises als cloudomgevingen.

Kaseya Intelligence AWS: geautomatiseerde cloudbeheer

Het beheren van AWS-omgevingen betekent omgaan met voortdurende veranderingen: nieuwe instances, schaalbewerkingen, afwijkingen in de configuratie, beveiligingsbevindingen uit AWS Security Hub en back-uptaken die in alle regio’s moeten worden gecontroleerd. De handmatige inspanning die nodig is om dit op grote schaal bij te houden, is aanzienlijk.

Kaseya Intelligence, de AI-engine waarop Kaseya 365 draait, automatiseert de responslaag. In plaats van een technicus te waarschuwen voor een bevinding en vervolgens te wachten op actie, voert het systeem zelf de volgende taken uit: patches installeren, systemen isoleren, de volledigheid van back-ups controleren en de resultaten valideren. Voor MSP’s die AWS-omgevingen voor meerdere klanten beheren, zorgt deze uitvoeringscyclus ervoor dat ‘alert fatigue’ geen veiligheidsrisico vormt.

Ontdek Kaseya Intelligence