Cloud pentest

Cloud pentest: inzicht in risico’s binnen je AWS, Azure of Google Cloud omgeving

Cloudomgevingen veranderen continu. Nieuwe accounts, rollen, services, opslaglocaties en netwerkregels worden vaak snel toegevoegd om ontwikkeling en beheer makkelijker te maken. Juist daardoor kunnen ongemerkt risico’s ontstaan: te ruime IAM-rechten, publiek toegankelijke opslag, ontbrekende logging of resources die vanaf het internet bereikbaar zijn.

Met een cloud pentest onderzoekt Securitytest.nl of jouw AWS-, Azure- of Google Cloud-omgeving veilig is ingericht. We kijken niet alleen naar losse configuratiefouten, maar vooral naar wat een aanvaller kan bereiken wanneer deze misconfiguraties met elkaar worden gecombineerd.

Je ontvangt een helder rapport met bevindingen, impact en praktische aanbevelingen. Zo weet je waar de grootste risico’s zitten en welke verbeteringen prioriteit hebben.

Plan een vrijblijvende intake
Cloud pentest voor AWS, Azure en Google Cloud

Wat is een cloud pentest?

Een cloud pentest is een beveiligingsonderzoek naar de inrichting van een cloudomgeving. De test richt zich op cloudspecifieke risico’s, zoals toegangsrechten, netwerkconfiguraties, opslag, logging, secrets, containers, serverless functies en koppelingen met andere systemen.

Bij cloudsecurity draait het niet alleen om kwetsbaarheden in software. Veel risico’s ontstaan door configuraties die op zichzelf logisch lijken, maar samen een aanvalspad mogelijk maken. Denk aan een service account met te ruime permissies, een opslagbucket die onbedoeld publiek toegankelijk is of een CI/CD-role die toegang heeft tot productie.

Tijdens een cloud pentest onderzoeken we onder andere:

  • IAM-rollen, policies, service accounts en gebruikersrechten;
  • MFA, API-keys, tokens en secrets;
  • netwerktoegang, security groups, firewallregels en segmentatie;
  • opslagservices zoals S3, Blob Storage en Cloud Storage;
  • databases, containers, Kubernetes en serverless functies;
  • logging, monitoring, auditing en detectie;
  • koppelingen met applicaties, API’s en CI/CD-pipelines.

Het resultaat is een praktisch beeld van de belangrijkste cloudrisico’s, inclusief impact en concrete verbeterpunten.

Wanneer is een cloud pentest nodig?

Een cloud pentest is vooral waardevol wanneer je cloudomgeving belangrijk is voor applicaties, klantdata of bedrijfsprocessen. In cloudomgevingen ontstaan risico’s vaak niet door één klassieke kwetsbaarheid, maar door een combinatie van configuraties, rechten en koppelingen.

Een cloud pentest is met name verstandig wanneer:

  • je een nieuwe cloudomgeving in gebruik neemt;
  • er een migratie naar AWS, Azure of Google Cloud plaatsvindt;
  • nieuwe accounts, subscriptions of projecten zijn toegevoegd;
  • IAM-rollen, policies of service accounts zijn aangepast;
  • gevoelige data wordt opgeslagen in buckets, databases of fileshares;
  • CI/CD-pipelines toegang hebben tot cloudresources;
  • externe leveranciers of applicaties toegang krijgen tot je cloudomgeving;
  • klanten, auditors of partners om aantoonbare security vragen;

Het belangrijkste criterium is de mogelijke impact. Als fouten in cloudconfiguratie kunnen leiden tot datalekken, privilege escalation, ongewenste toegang tot productie of verstoring van de dienstverlening, dan is handmatig onderzoek verstandig.

Een cloud pentest toont niet alleen losse misconfiguraties aan, maar brengt vooral in kaart hoe die fouten in de praktijk kunnen worden misbruikt.

Onze aanpak bij een cloud pentest

Intake en scopebepaling

We starten met het bepalen van de scope. Welke cloudprovider gebruiken jullie? Gaat het om AWS, Azure, Google Cloud of een combinatie daarvan? Ook bespreken we welke accounts, subscriptions, projecten, services en omgevingen onderdeel zijn van de test.

Tijdens deze fase maken we duidelijke afspraken over toegang, testgrenzen en eventuele productie-impact. Zo weet vooraf iedereen wat wordt onderzocht en hoe de test veilig wordt uitgevoerd.

Analyse van configuraties

Daarna brengen we de cloudomgeving technisch in kaart. We kijken naar IAM-structuren, netwerksegmentatie, opslag, logging, secrets, workloads en koppelingen met andere systemen.

Daarbij beoordelen we niet alleen losse instellingen, maar vooral hoe onderdelen samenhangen. Een te ruime rol, een vergeten key of een open netwerkregel kan op zichzelf beperkt lijken, maar in combinatie met andere misconfiguraties alsnog een serieus risico vormen.

Testen van misbruikscenario’s

Tijdens de test onderzoeken we wat een aanvaller in de praktijk kan bewerkstelligen. We kijken bijvoorbeeld of rechten kunnen worden uitgebreid, of gevoelige data bereikbaar is, of interne resources onbedoeld toegankelijk zijn en of verdachte acties zichtbaar worden in logging en monitoring.

De focus ligt op realistische cloudrisico’s, zoals privilege escalation, publieke opslag, misbruik van service accounts, zwakke segmentatie, onvoldoende secrets management en toegang via CI/CD-pipelines.

Rapportage en hertest

Na afloop ontvang je een rapport met bevindingen, impact, reproduceerbare stappen en concrete aanbevelingen. We leggen uit wat er misgaat, waarom het risico relevant is en welke maatregelen nodig zijn om het probleem op te lossen.

Na het doorvoeren van verbeteringen kan een hertest worden uitgevoerd. Daarmee controleren we of de kwetsbaarheden daadwerkelijk zijn verholpen.

Hoe veilig is jouw cloudomgeving?

Je cloudomgeving groeit snel. Nieuwe accounts, services en configuraties worden voortdurend toegevoegd. Maar weet je zeker dat alles nog veilig is ingesteld? Kleine fouten in permissies of netwerkregels kunnen grote gevolgen hebben, zeker wanneer gevoelige data of bedrijfskritische processen in de cloud draaien.

Met een cloud pentest van Securitytest.nl krijg je inzicht in de risico’s binnen jouw AWS-, Azure- of Google Cloud-omgeving. We tonen niet alleen waar de kwetsbaarheden zitten, maar vooral hoe je ze oplost en structureel voorkomt.

Plan een vrijblijvende intake

Praktijkvoorbeeld: Cloud pentest bij een SaaS-platform in AWS

Een snelgroeiend SaaS-bedrijf schakelde Securitytest.nl in om hun cloudomgeving te laten testen. Het platform draaide volledig in AWS, met meerdere microservices, een CI/CD-pijplijn en klantdata verspreid over verschillende regio’s. De organisatie had al interne securitychecks gedaan, maar wilde zekerheid vóórdat ze nieuwe enterprise-klanten aan boord haalden.

Tijdens de intake bleek dat het bedrijf veel van zijn infrastructuur had geautomatiseerd via Terraform. IAM-rollen en S3-buckets werden dynamisch aangemaakt, maar er was nooit gecontroleerd of die policies ook echt het principe van least privilege volgden. Daarnaast draaiden enkele lambda-functies met uitgebreide permissies om de deployment te vereenvoudigen, iets wat in de praktijk vaker voorkomt bij snelgroeiende teams.

Onze ethische hackers voerden een gerichte cloud pentest uit op de AWS-accountstructuur, IAM-configuraties, netwerksegmentatie en opslagservices.
Met behulp van geautomatiseerde tools en handmatige verificatie werden de volgende risico’s aangetroffen:

• Meerdere S3-buckets met gevoelige data waren publiek leesbaar
• Een CI/CD-role had schrijfrechten op productie-omgevingen, wat laterale beweging mogelijk maakte
• CloudTrail-logging was niet volledig ingeschakeld in alle regio’s, waardoor verdachte acties onopgemerkt konden blijven
• Een vergeten API-key in een test-Lambda-functie bleek nog actief en gaf toegang tot interne API’s

Hoewel er nog geen incident was geweest, bleek het technisch mogelijk om: data uit publieke buckets te exfiltreren, productieservices te manipuleren via CI/CD-permissies en belangrijke security-events te missen vanwege incomplete logging.

Samen met het development- en DevOps-team werden de volgende verbeteringen doorgevoerd:

• IAM-rollen opgeschoond en beperkt tot noodzakelijke rechten
• S3-buckets afgeschermd met correcte ACL’s en bucket policies
• Logging en monitoring centraal geconfigureerd in CloudTrail
• Oude keys en testresources verwijderd.

Tijdens de hertest is gecontroleerd of de belangrijkste aanvalspaden waren afgesloten.

Voor wie is een cloud pentest bedoeld?

Een cloud pentest is relevant voor organisaties die AWS, Azure of Google Cloud gebruiken voor applicaties, dataopslag, klantomgevingen of interne processen. De meeste waarde ontstaat wanneer de cloudomgeving bedrijfskritisch is of gevoelige gegevens verwerkt.

SaaS-bedrijven en digitale platforms
SaaS-platformen draaien vaak op meerdere cloudservices tegelijk: databases, opslag, API’s, CI/CD-pipelines en microservices. Een cloud pentest laat zien of permissies, tenant-isolatie en netwerktoegang veilig zijn ingericht. Vaak wordt dit gecombineerd met een webapplicatie pentest om ook de applicatielaag te beoordelen.

Webshops en e-commerceomgevingen
Webshops gebruiken cloudservices voor hosting, opslag, betalingen, orderverwerking of koppelingen met externe systemen. Een fout in de cloudconfiguratie kan daardoor gevolgen hebben voor klantdata, betalingen of bestelprocessen.

Organisaties met compliance- of klanteisen
Voor audits en klantvragen rondom security kan een cloud pentest helpen om aantoonbaar te maken dat risico’s in de cloud actief worden onderzocht en opgevolgd.

Organisaties die migreren naar de cloud
Tijdens migraties worden vaak tijdelijke configuraties gebruikt, rechten ruimer ingericht en tijdelijke excepties toegepast die worden ‘vergeten’. Een cloud pentest vóór of kort na livegang helpt om deze risico’s tijdig te ontdekken.

Teams met snelle cloudontwikkeling
Wanneer teams regelmatig nieuwe services, accounts of pipelines toevoegen, verandert het risicobeeld continu. Periodiek testen helpt om grip te houden op permissies, externe blootstelling en aanvalspaden.

Wat levert een cloud pentest op?

Een cloud pentest geeft inzicht in de belangrijkste risico’s binnen je cloudomgeving. Je krijgt niet alleen een overzicht van misconfiguraties, maar vooral uitleg over wat die fouten in de praktijk kunnen betekenen.

Inzicht in rechten en aanvalspaden
We laten zien hoe IAM-rollen, policies, service accounts, netwerkregels en opslaginstellingen met elkaar samenhangen. Daarmee wordt duidelijk of een aanvaller via één misconfiguratie verder kan bewegen richting gevoelige data of productieomgevingen.

Prioriteit op basis van impact
Niet elke misconfiguratie heeft dezelfde urgentie. Het rapport maakt duidelijk welke bevindingen direct aandacht vragen en welke verbeteringen later kunnen worden opgepakt.

Praktische aanbevelingen voor je cloudteam
Per bevinding geven we concrete adviezen. Denk aan het beperken van IAM-rechten, afschermen van opslag buckets, verbeteren van logging, verwijderen van oude accounts of aanscherpen van netwerksegmentatie.

Rapportage voor IT teams en management
IT teams ontvangen reproduceerbare details en advies omtrent mitigerende maatregelen. Management krijgt een duidelijke samenvatting van de belangrijkste risico’s, impact en aanbevolen vervolgstappen.

Mogelijkheid tot hertest
Na het doorvoeren van verbeteringen kan een hertest worden uitgevoerd. Zo weet je of de maatregelen daadwerkelijk effect hebben.

Veelgestelde vragen over de cloud pentest

Wat is het verschil tussen een cloud pentest en een reguliere pentest?

Een reguliere pentest richt zich vaak op een specifieke applicatie of infrastructuur, terwijl een Cloud Pentest kijkt naar de beveiliging van de gehele cloudomgeving.
We onderzoeken niet alleen kwetsbaarheden in systemen, maar ook configuratiefouten, toegangsrechten en architectuurkeuzes binnen platforms zoals AWS, Azure of Google Cloud.

Is een cloud pentest nodig als mijn provider (AWS, Azure, GCP) al beveiliging regelt?

Ja. Cloudproviders beveiligen de onderliggende infrastructuur, maar je blijft zelf verantwoordelijk voor de inrichting van je eigen omgeving. Denk aan gebruikersrechten, opslaginstellingen, netwerktoegang, logging en de manier waarop applicaties cloudservices gebruiken.
Een cloud pentest controleert juist die klantverantwoordelijkheden. Dat is precies het deel dat de provider niet automatisch voor je oplost.

Wordt de productieomgeving tijdens de pentest beïnvloed?

Nee, we voeren de test zo uit dat de beschikbaarheid van je systemen niet in gevaar komt. Vooraf bepalen we samen de scope, testmomenten en veiligheidsmaatregelen.
Eventuele impactvolle tests doen we alleen in overleg, of binnen een test- of stagingomgeving.

Hoe lang duurt een cloud pentest gemiddeld?

Dat hangt af van de omvang van de omgeving en de complexiteit van de configuraties. Gemiddeld duurt een cloud pentest tussen de 5 en 10 werkdagen, inclusief rapportage. Kleinere omgevingen kunnen sneller worden afgerond, terwijl multi-account setups meer tijd vragen.

Welke cloudplatformen test Securitytest.nl?

We voeren pentesten uit op de drie grootste cloudplatformen: Amazon Web Services (AWS), Microsoft Azure en Google Cloud Platform (GCP). Onze specialisten hebben ervaring met elk van deze omgevingen en zijn bekend met hun specifieke securitymodellen, policies en tooling.

Hoe vaak moet ik een Cloud Pentest laten uitvoeren?

Wij adviseren om minimaal één keer per jaar een pentest te laten uitvoeren, of na grote wijzigingen in je cloudomgeving. Nieuwe deployments, extra accounts of gewijzigde rechten kunnen nieuwe risico’s introduceren. Een periodieke test helpt je om beveiliging structureel op peil te houden.

Hebben jullie toegang nodig tot onze cloudomgeving?

Ja, voor een goede cloud pentest is toegang nodig. Welke toegang precies nodig is, hangt af van de scope. Vaak werken we met tijdelijke read-only toegang, aangevuld met specifieke rechten wanneer bepaalde onderdelen dieper onderzocht moeten worden.

Vooraf stemmen we af welke accounts en rollen nodig zijn. Na afloop kan de toegang weer worden ingetrokken.

Wil je weten waar de grootste risico’s in je cloudomgeving zitten?

Met een cloud pentest krijg je inzicht in misconfiguraties, te ruime rechten, zwakke segmentatie en realistische aanvalspaden binnen je AWS-, Azure- of Google Cloud-omgeving.

Plan een vrijblijvende intake en ontdek welke aanpak past bij jouw cloudomgeving.

Contact opnemen

Neem contact met ons op voor een vrijblijvend securitygesprek

Contact

Securitytest
KvK: 99667029
BTW: NL005403390B28

info@securitytest.nl
Privacy Policy

© 2026 Securitytest.nl