Cloudbeheer: hoe je multi-cloudomgevingen beheert zonder de controle te verliezen

De meeste organisaties zijn niet van plan om met multi-cloudomgevingen te werken. Ze komen er uiteindelijk toch in terecht omdat verschillende teams op verschillende momenten verschillende beslissingen hebben genomen. Marketing heeft een SaaS-platform op AWS geïmplementeerd. De ontwikkelingsafdeling heeft op Azure geïmplementeerd. De ERP-leverancier draait op Google Cloud. De back-upinfrastructuur staat in de Datto Cloud. Het resultaat is een multi-cloudomgeving zonder eenduidig bestuursmodel en zonder één team dat daarvoor verantwoordelijk is.

Volgens het Kaseya State of the MSP-rapport van 2026 maken cloud- en hostingdiensten 34% van de omzet van MSP’s uit, wat aantoont hoe centraal cloudbeheer inmiddels staat in het dienstenaanbod van MSP’s. Uit het State of the Cloud-rapport van Flexera blijkt dat meer dan 87% van de organisaties nu een multi-cloudstrategie hanteert, waarbij de meeste organisaties workloads bij meer dan één provider beheren. De uitdaging ligt niet in het invoeren van meerdere clouds, maar in het coherent beheren ervan zodra deze zijn geïmplementeerd. Het platform van Kaseya ondersteunt wereldwijd meer dan 50.000 MSP's en IT-teams die precies deze omgevingen beheren.

Waarom het beheer van meerdere clouds moeilijker is dan het beheer van één cloud

Het beheer van meerdere clouds is lastiger dan het beheer van één enkele cloud, niet omdat de afzonderlijke clouds op zich moeilijk zijn, maar omdat het probleem van het totale overzicht en de governance aanzienlijk is. Elke provider heeft zijn eigen beheerconsole, zijn eigen logboekformaat, zijn eigen factureringsstructuur, zijn eigen IAM-model en zijn eigen beveiligingsmaatregelen. Als je ze afzonderlijk beheert, leidt dat tot een gefragmenteerd overzicht. Om ze op een consistente manier te beheren, is een governance-laag nodig die deze providerspecifieke verschillen abstraheert.

Het onderscheid tussen onbedoelde en bewuste multi-cloud is van operationeel belang. Gartner definieert onbedoelde multi-cloud als het gevolg van ontoereikend beheer, fusies en overnames, of beslissingen van afzonderlijke teams in plaats van een gecoördineerde strategie. Onbedoelde multi-cloudomgevingen hebben doorgaans geen uniform identiteitsmodel, inconsistente beveiligingsnormen, onzichtbare kostenrisico’s en niet-gedocumenteerde afhankelijkheden tussen workloads. Bewuste multi-cloudomgevingen kennen dezelfde complexiteit, maar beschikken over beheersstructuren die vanaf het begin zijn ontworpen om deze aan te pakken.

De meeste kleine en middelgrote bedrijven die door MSP’s worden beheerd, maken onbedoeld gebruik van meerdere clouddiensten. Het beheer vindt achteraf plaats. Een MSP die een nieuwe klant aanneemt, kan verwachten dat de cloudworkloads verspreid zijn over verschillende providers, zonder eenduidige tagging-strategie, met meerdere beheerdersaccounts met te ruime rechten, zonder back-upbeleid dat alle providers omvat, en met facturen die al maandenlang door niemand zijn gecontroleerd. Dat is de norm, niet de uitzondering.

Gecentraliseerde monitoring voor alle zorgverleners

Waarschuwingen van AWS CloudWatch, Azure Monitor en Google Cloud Operations hebben een verschillende opmaak, worden via verschillende kanalen verzonden en beschikken niet over een ingebouwde correlatie-laag die deze onderling koppelt. Een MSP die klanten bij alle drie de providers beheert, kan onmogelijk voor elke klant afzonderlijk de console van elke provider in de gaten houden. Dat is operationeel gezien onhaalbaar.

Een uniforme monitoringlaag voegt telemetriegegevens van verschillende cloudproviders, de on-premises infrastructuur en eindpunten samen tot één enkele waarschuwingsstroom en beheerconsole. Kaseya Intelligence en correleert deze telemetriegegevens en maakt daarbij gebruik van geautomatiseerde patroonherkenning om afwijkingen en configuratieafwijkingen in hybride omgevingen op te sporen, zonder dat een technicus de gebeurtenissen van elke provider handmatig hoeft te controleren.

Voor MSP’s is inzicht in multi-tenant-omgevingen een operationele vereiste: één console die tegelijkertijd de status van waarschuwingen, de status van back-ups en de naleving van configuraties voor alle klanten en alle cloudomgevingen weergeeft. Een MSP die zich bij 30 afzonderlijke AWS-consoles moet aanmelden om de status van de cloudomgevingen van 30 klanten te controleren, biedt geen schaalbare dienst aan.

Identiteitsbeheer in multi-cloudomgevingen

Identiteit vormt de grenzen in cloudomgevingen, en in een multi-cloudomgeving is identiteitsbeheer de meest complexe beveiligingsuitdaging. Elke provider hanteert zijn eigen IAM-model. AWS maakt gebruik van rollen en beleidsregels. Azure maakt gebruik van Entra ID en RBAC. Google Cloud hanteert zijn eigen IAM-systeem. Gebruikers en serviceaccounts hebben vaak toegang nodig tot meer dan één van deze systemen, waardoor een uitgestrekt identiteitslandschap ontstaat met talrijke mogelijkheden om machtigingen verkeerd in te stellen.

De praktische risico’s: gebruikers met te ruime rechten in de omgeving van een provider omdat die rechten zonder controle zijn overgenomen van een andere provider. Serviceaccounts waarvan de inloggegevens niet zijn vernieuwd. Beheerdersaccounts die voor een project zijn aangemaakt en nooit zijn verwijderd. IAM-configuraties die er binnen de console van elke provider correct uitzien, maar samen meer toegang verlenen dan bij een individuele controle zou worden goedgekeurd.

Om dit landschap goed te kunnen beheren, is inzicht nodig in wie waar toegang toe heeft, bij alle providers, en moet het beleid van minimale rechten automatisch worden gehandhaafd. Kaseya 365 biedt de laag voor identiteits- en toegangsbeheer voor Microsoft 365 en gekoppelde cloudomgevingen, met afdwinging van meervoudige authenticatie en monitoring van inloggegevens via Dark Web ID gelekte inloggegevens op te sporen voordat deze worden misbruikt.

Voor elke beheerde cloudomgeving moeten er regelmatig IAM-toegangscontroles worden gepland: minimaal elk kwartaal, en maandelijks voor omgevingen waarin gevoelige gegevens worden verwerkt. Toegangscontroles zijn niet het soort taak dat vanzelf gaat. Ze moeten in de agenda worden opgenomen en moeten resulteren in een gedocumenteerd verslag.

Kostentransparantie en FinOps

Facturering in een multi-cloudomgeving is het meest in het oog springende governanceprobleem. Meerdere providers, meerdere factureringsmodellen, verschillende factuurformaten en het ontbreken van een ingebouwde aggregatielaag zorgen ervoor dat het verkrijgen van inzicht in de kosten een bewuste inspanning vereist. Zonder dit inzicht stapelen de cloudkosten zich op op een manier die niemand volledig begrijpt, totdat er een rekening binnenkomt die aanzienlijk hoger uitvalt dan verwacht.

FinOps is de werkwijze waarbij cloudfactuurgegevens worden gebruikt om in realtime beslissingen over resources te nemen, in plaats van pas achteraf, aan het einde van de maand, de kosten te evalueren. De belangrijkste FinOps-principes sluiten naadloos aan bij de uitdagingen van multicloudbeheer.

Tagging en toewijzing. Bronnen die niet zijn getagd, kunnen niet worden toegewezen aan een team, een project of een klant. Een consistente taggingstrategie, die bij de inrichting wordt toegepast en via beleid wordt afgedwongen, vormt de basis voor kostentransparantie bij alle leveranciers. Zonder tags zijn kostengegevens slechts een totaalbedrag zonder bruikbare uitsplitsing.

Identificatie van verspilling. Losstaande opslagvolumes, inactieve rekeninstanties, verweesde load balancers en vergeten testomgevingen komen voor in vrijwel elke multi-cloudomgeving die al langer dan zes maanden in gebruik is. Een maandelijkse beoordeling van verspilling bij alle providers is standaardpraktijk in goed beheerde omgevingen.

Gereserveerde capaciteit. On-demand-tarieven zijn het duurste bedrijfsmodel voor stabiele workloads. AWS Reserved Instances, Azure Reserved VM Instances en vergelijkbare oplossingen bij andere providers bieden kortingen in ruil voor een verbruikstoezegging. Het vaststellen welke workloads stabiel genoeg zijn om een verbruikstoezegging te doen en het aanschaffen van gereserveerde capaciteit op basis daarvan is een terugkerende adviesdienst die MSP’s kunnen leveren als onderdeel van cloudbeheer.

Waarschuwingen bij afwijkingen. Onverwachte kostenpieken zijn vrijwel altijd al te detecteren voordat ze op de factuur verschijnen. Budgetwaarschuwingen en afwijkingsdetectie in AWS Cost Explorer en Azure Cost Management bieden vroegtijdige waarschuwingen, waardoor wordt voorkomen dat een fout bij het inrichten van resources of een op hol geslagen proces tot aanzienlijke kosten leidt.

Beheer van de beveiligingsstatus

De normen voor beveiligingsconfiguratie verschillen per provider, en om in een multi-cloudomgeving een consistente beveiligingsstatus te waarborgen, is beleidsbeheer nodig dat de hele stack omvat. De meest voorkomende beveiligingslacunes in multi-cloudomgevingen zijn geen provider-specifieke tekortkomingen. Het zijn tekortkomingen op het gebied van governance: beveiligingsmaatregelen die in de ene omgeving correct zijn geconfigureerd, maar in een andere omgeving ontbreken omdat er geen uniform mechanisme voor beleidsafdwinging was.

De vijf beveiligingsrichtlijnen die in elke cloudomgeving binnen een beheerd portfolio moeten worden gecontroleerd:

1. Auditlogboekregistratie is in alle regio’s ingeschakeld. AWS CloudTrail en Azure Monitor Activity Logs vormen de betrouwbare bron voor het onderzoeken van incidenten. Zonder deze gegevens werkt u in het duister.

2. Versleuteling van opgeslagen gegevens op alle opslagbronnen. Standaardversleuteling moet op account- of abonnementsniveau worden ingeschakeld, zodat nieuwe bronnen worden versleuteld, tenzij dit expliciet wordt overschreven.

3. Er zijn geen blokkeringen voor openbare toegang uitgeschakeld. De blokkeringen voor openbare toegang in S3 en de overeenkomstige instellingen in Azure moeten op accountniveau zijn ingeschakeld om te voorkomen dat gegevens per ongeluk openbaar worden gemaakt.

4. Tweefactorauthenticatie (MFA) voor alle accounts met beheerdersrechten. Voor elk beheerdersaccount bij elke provider moet tweefactorauthenticatie (MFA) verplicht worden gesteld. Zonder uitzonderingen.

5. Geen te ruim opgezette beveiligingsgroepen of firewallregels. Onbeperkte inkomende toegang (0.0.0.0/0) op beheerpoorten wordt steevast vastgesteld bij beveiligingsbeoordelingen van cloudomgevingen en komt altijd voor wanneer omgevingen niet formeel zijn gecontroleerd.

Kaseya SIEM verzamelt telemetriegegevens van grote cloudplatforms, naast endpoint- en e-mailgegevens, en brengt beveiligingsgebeurtenissen van verschillende providers samen in één detectielaag. Kaseya Intelligence automatisch op gedetecteerde afwijkingen, waardoor de cirkel tussen detectie en herstel wordt gesloten zonder dat er hoeft te worden gewacht tot een technicus de situatie beoordeelt en actie onderneemt.

Back-upbeheer in verschillende cloudomgevingen

De standaardback-up van elke cloudprovider dekt de eigen workloads binnen het eigen ecosysteem. Voor back-upbeheer dat zich over meerdere providers uitstrekt – waarbij wordt gegarandeerd dat alles in alle clouds wordt geback-upt, gecontroleerd en kan worden hersteld naar een onafhankelijke locatie – is een back-upbeheerslaag nodig die alle providers omvat.

Integreerde back-uptools vertonen drie specifieke tekortkomingen in multi-cloudomgevingen. Ten eerste bieden ze geen provideroverschrijdend inzicht: een MSP kan de back-upstatus van AWS- en Azure-workloads niet vanuit één enkele console bekijken. Ten tweede worden back-ups opgeslagen binnen het ecosysteem van de provider, wat betekent dat een gehackt account of een incident bij de provider zowel de primaire gegevens als de back-up in gevaar brengt. Ten derde bieden ze geen oplossing voor SaaS-gegevens, die aparte bescherming vereisen via cloud-naar-cloud-back-up.

Het back-upaanbod van Datto biedt een oplossing voor alle drie de scenario’s: Datto SIRIS Datto Endpoint Backup Disaster Recovery voor on-premises en server-workloads die worden gerepliceerd naar de onafhankelijke Datto Cloud, Datto Backup for Microsoft Azure de bescherming van Azure VM’s en Azure Files buiten het Azure-ecosysteem, en Datto SaaS Protection gegevens in Microsoft 365 en Google Workspace. Ze zijn allemaal zichtbaar op de geconsolideerde back-upstatuspagina van het Datto Partner Portal, waardoor MSP's één overzicht hebben van de back-upstatus voor alle soorten workloads en alle klanten.

Voor een uitgebreide bespreking van de back-uparchitectuur voor de drie cloudtoepassingen, zie ‘Cloudback-up: een praktische gids voor IT-teams en MSP’s’.

Documentatie- en configuratiebeheer

Multi-cloudomgevingen zonder documentatie zijn operationeel kwetsbaar. Het aantal resources, providers, configuraties en afhankelijkheden in een typische multi-cloudomgeving van een MKB-bedrijf is zo groot dat het een aanzienlijk risico met zich meebrengt om te vertrouwen op institutionele kennis in plaats van op gedocumenteerde gegevens. Wanneer de persoon die de omgeving heeft opgezet het bedrijf verlaat, of wanneer er om 2 uur ’s nachts snel onderzoek moet worden gedaan naar een incident, maakt documentatie het verschil tussen een gestructureerde aanpak en giswerk.

IT Glue de documentatie-infrastructuur voor multi-cloudomgevingen: toegangsgegevens van providers met isolatie per klant, architectuurdiagrammen, documentatie over de IAM-structuur, runbooks voor veelvoorkomende herstelscenario’s en integratie met Compliance Manager GRC het automatisch genereren van bewijsstukken voor naleving. Dezelfde documentatienormen die gelden voor on-premises infrastructuur, gelden ook voor cloudomgevingen, en door het hoge tempo van veranderingen in cloudomgevingen is het moeilijker en belangrijker om deze documentatie up-to-date te houden.

Configuratieafwijkingen, oftewel de opeenstapeling van niet-gecontroleerde wijzigingen die afwijken van de beoogde toestand van de omgeving, vormen de onderliggende oorzaak van de meeste beveiligingsincidenten in de cloud. Een opslagbucket die bij de implementatie correct was geconfigureerd en drie maanden later per ongeluk openbaar werd gemaakt door een wijziging die niemand had gedocumenteerd, is een reëel en veelvoorkomend scenario. Door middel van continue configuratiebewaking via Kaseya Intelligence deze afwijkingen Kaseya Intelligence voordat ze tot incidenten leiden.

Hoe Kaseya multi-cloudbeheer voor MSP’s ondersteunt

Kaseya 365 Datto RMM breiden agentgebaseerde monitoring, patchbeheer en automatisering uit naar zowel in de cloud gehoste VM’s als lokale eindpunten, allemaal vanuit één multi-tenant console.

Kaseya SIEM integreert beveiligingsgegevens van AWS, Azure en Google Cloud, samen met endpoint- en e-mailgegevens, in één gezamenlijke detectielaag.

Kaseya Intelligence past geautomatiseerde patroonherkenning en respons toe in beheerde cloudomgevingen, waarbij configuratieafwijkingen en afwijkende activiteiten worden gedetecteerd zonder handmatige controle.

Kaseya 365 biedt identiteits- en toegangsbeheer voor Microsoft 365 en gekoppelde cloudomgevingen, inclusief het afdwingen van MFA en het monitoren Dark Web ID .

IT Glue slaat documentatie over de cloudomgeving op met isolatie per klant, versiegeschiedenis en directe integratie met Compliance Manager GRC.

Het back-upaanbod van Datto biedt onafhankelijke, onveranderlijke back-ups voor zowel on-premises workloads, Azure-infrastructuur als SaaS-toepassingen, met een uniform overzicht van de back-upstatus via één enkele Datto Partner Portal-console.

Ontdek de oplossingen van Kaseya voor IT-beheer en cloudbeheer