De afgelopen tijd heb ik twee Microsoft-certificeringen gehaald: AZ-900 en SC-900.
Op papier zijn dat fundamentals. Geen exploits, geen shells, geen privilege escalation en geen volledige attack chain zoals je die in een pentestlab tegenkomt. Toch vond ik deze certificeringen waardevol.
Niet omdat ze technisch zwaar zijn, maar omdat ze raken aan onderwerpen die in moderne security steeds belangrijker worden: cloud, identity, toegangsrechten, configuraties, logging, monitoring en verantwoordelijkheid.
Ik kom uit een praktische en offensieve hoek. Ik heb veel tijd gestoken in pentesting, labs, Active Directory, privilege escalation, webapplicaties en AI security. Die achtergrond blijft belangrijk voor mij. Tegelijk merkte ik dat veel securityvraagstukken niet alleen draaien om binnenkomen, maar vooral om wat er daarna mogelijk is.
Wie heeft toegang?
Welke rechten heeft iemand?
Welke configuratie staat te ruim?
Welke acties worden gelogd?
Welke signalen worden gemist?
Wat gebeurt er als één account wordt misbruikt?
Precies daar wordt cloud security interessant.
AZ-900: eerst begrijpen hoe Azure is opgebouwd
AZ-900 is de basis van Microsoft Azure. Het certificaat behandelt onderwerpen zoals cloudconcepten, Azure-services, regions, availability zones, resource groups, kosten, governance en het verschil tussen IaaS, PaaS en SaaS.
Dat klinkt misschien minder spannend dan een lab waarin je van initial access naar root werkt. Toch is dit fundament nodig. Je kunt cloud security niet serieus begrijpen als je niet weet hoe een cloudomgeving is opgebouwd.
Voor mij was AZ-900 daarom geen einddoel, maar een manier om de basis goed te leggen. Niet om te doen alsof ik nu Azure-productieomgevingen beheer, maar om de taal, structuur en basisconcepten van Azure beter te begrijpen.
Vooral het gedeelde verantwoordelijkheidsmodel vond ik belangrijk. In de cloud is beveiliging niet simpelweg iets wat “Microsoft regelt” of iets wat volledig bij de klant ligt. De verantwoordelijkheid verschuift afhankelijk van het servicemodel.
Bij IaaS ligt er veel meer bij de klant dan bij SaaS. Denk aan besturingssystemen, patching, toegangsbeheer en netwerkconfiguratie. Bij SaaS neemt de provider veel over, maar identity, rechten en gebruikersgedrag blijven nog steeds cruciaal.
Daar zit in de praktijk vaak het risico: niet in wat duidelijk is afgesproken, maar in wat iedereen denkt dat iemand anders geregeld heeft.
SC-900: identity als beveiligingsgrens
SC-900 sloot voor mij directer aan op cybersecurity. Het certificaat gaat over security, compliance en identity binnen het Microsoft-ecosysteem. Denk aan Microsoft Entra ID, multifactor authentication, conditional access, zero trust, Defender, Purview en Sentinel.
Vooral identity is interessant.
In moderne omgevingen is identity vaak de echte beveiligingsgrens. Niet alleen het netwerk bepaalt waar iemand bij kan, maar vooral accounts, rollen, policies, sessies en uitzonderingen.
Dat sluit direct aan op offensive security. Veel aanvalspaden draaien uiteindelijk om toegang. Een account dat te veel mag. Een rol die breder is toegekend dan nodig. Een uitzondering in conditional access. Een legacy-protocol dat nog actief is. Een gebruiker die toegang heeft tot data waar hij eigenlijk niet bij hoeft.
SC-900 behandelt dit op fundamenteel niveau, maar de onderliggende gedachte is belangrijk: security begint vaak bij de vraag wie wat mag, waarom dat zo is en wat er gebeurt als die toegang wordt misbruikt.
Conditional access met een offensieve bril
Een goed voorbeeld is conditional access.
Op papier is conditional access een manier om toegang afhankelijk te maken van voorwaarden. Bijvoorbeeld locatie, apparaatstatus, risico of multifactor authentication.
Maar met een offensieve bril kijk je meteen verder.
Waar zitten de uitzonderingen?
Welke gebruikers vallen buiten het beleid?
Wordt legacy authentication nog toegestaan?
Zijn er accounts waarop MFA niet verplicht is?
Wat gebeurt er bij een vertrouwde locatie?
Is het beleid echt afdwingend of vooral netjes bedoeld?
Dat soort vragen maken het onderwerp praktisch. Conditional access is dan geen droge Microsoft-term meer, maar een controlepunt waar beveiliging sterker of zwakker wordt.
Hetzelfde geldt voor rollen en rechten. Je kijkt niet alleen of iemand toegang heeft, maar ook of die toegang logisch, beperkt en noodzakelijk is. Te ruime rechten ontstaan vaak niet in één grote fout, maar langzaam. Iemand had tijdelijk toegang nodig. Een rol werd niet teruggedraaid. Een groep kreeg meer rechten dan bedoeld. Een uitzondering bleef staan.
Dat zijn precies de plekken waar security in de praktijk kwetsbaar wordt.
Logging en detectie: wat zie je wel en niet?
SC-900 raakt ook aan Microsoft Defender en Sentinel. Dat zijn onderwerpen waar je snel defensief naar kijkt: welke tool doet wat, welke signalen komen waar binnen, welke oplossing hoort bij welk onderdeel.
Maar ook hier helpt een offensieve manier van denken.
Een aanvaller vraagt zich af: welke acties worden gezien en welke niet? Welke events worden gelogd? Wordt identity-misbruik opgemerkt? Worden verdachte aanmeldingen gekoppeld aan endpoint-signalen? Ziet de organisatie alleen malware, of ook de accountmisbruik-keten die eraan voorafgaat?
Die vragen zijn niet alleen interessant voor aanvallers. Ze zijn juist waardevol voor verdediging.
Want goede detectie begint met begrijpen wat je kunt missen.
Wat deze certificeringen niet betekenen
AZ-900 en SC-900 maken mij geen cloud security engineer. Ze maken mij ook geen Azure administrator. Het zijn fundamentals.
Ze bewijzen geen jaren praktijkervaring en ze vervangen geen hands-on werk.
Voor mij betekenen ze iets anders: richting, basiskennis en een beter begrip van de omgeving waarin moderne security steeds vaker plaatsvindt.
De volgende stap is praktische verdieping. Denk aan Azure-beheer, Entra ID, conditional access, Microsoft 365 security, Defender, logging, monitoring en uiteindelijk meer hands-on cloud security.
Waarom dit past bij mijn leerpad
Mijn offensieve achtergrond verdwijnt niet uit mijn leerpad. Die neem ik juist mee.
Pentesting heeft mij geleerd om in stappen te denken. Wat betekent deze bevinding? Waar kan dit toe leiden? Welke rechten heeft deze gebruiker? Welke service vertrouwt op welke andere service? Wat gebeurt er als één onderdeel verkeerd staat?
Die manier van denken is ook waardevol binnen cloud security en Microsoft security.
Voor mij waren AZ-900 en SC-900 daarom geen stap terug. Ze waren een manier om mijn securitybasis te verbreden en mijn offensieve blik toe te passen op een omgeving waar identity, rechten, configuratie en detectie steeds belangrijker worden.
Niet als eindpunt, maar als fundament.