Programmatische toegang via API’s groeit sneller dan menselijk gebruik. Automatiseringsscripts, integraties en maatwerkapplicaties voeren machine-to-machine transacties uit die kritieke data raken. Microsoft Graph vormt de uniforme toegangspoort tot Microsoft 365, Azure AD, Intune en securityservices en stelt ontwikkelaars in staat razendsnel nieuwe werkstromen te bouwen. Maar een serviceprincipal met te ruime rechten kan net zo eenvoudig mailboxen leegtrekken, bestanden kopiëren of configuraties wijzigen. Omdat OAuth-authenticatie losstaat van gebruikerswachtwoorden, blijft toegang bestaan totdat permissies bewust worden ingetrokken.
Voor Nederlandse overheidsorganisaties, waar API’s processen tussen ketenpartners, burgerservices en interne platformen verbinden, is solide governance daarom essentieel. Dit vraagt om strikte least-privilege-ontwerpen, gecontroleerde levenscycli voor serviceprincipals, certificaatgebaseerde authenticatie, diepgaande logging en incidentprocedures voor API-credential-lekken. Dit artikel beschrijft een referentieraamwerk waarmee CIO’s, architecten en securityteams programmatische toegang veilig kunnen opschalen zonder innovatie te vertragen.
Dit raamwerk richt zich op application security-leiders, architecten en DevSecOps-teams binnen de Nederlandse overheid. Onderwerpen: Graph-permissiemodellen (delegated vs. application), least-privilege-ontwerp, certificaatgebaseerde authenticatie, logging en monitoring, OAuth-governance voor derde partijen, rate limiting, secret-rotatie en incidentrespons bij gecompromitteerde serviceprincipals.
Plan elk kwartaal een permissiereview. Bij een audit bleek een ministerie 47 serviceprincipals met Mail.ReadWrite.All te hebben; slechts drie hadden die scope nodig. Twaalf konden terug naar Mail.Read, 32 waren verouderd. Door inventarisatie te automatiseren, gebruiksdata te analyseren en ongebruikte principals uit te faseren, verklein je het aanvalsoppervlak drastisch.
Microsoft Graph-permissies: ontwerp voor least privilege
Het ontwerpen van Graph-permissies is binnen de Nederlandse Baseline voor Veilige Cloud even strategisch als het beschermen van privileged accounts. Microsoft Graph ontsluit dossiers, beleidsnotities, configuraties en identity-objecten, waardoor één ondoordacht verleend recht directe impact heeft op BIO-paragrafen over toegangsbeveiliging, logging en continuïteit. Daarom begint elke API-architectuur met een gezamenlijk verhaal waarin bestuurders, CISO en proceseigenaren bepalen welke bedrijfsdoelen automatisering moet ondersteunen en welke risico’s daaraan verbonden zijn. Pas wanneer deze bestuurlijke context aantoonbaar is vastgelegd krijgt een ontwikkelingsteam de opdracht om scopes te selecteren.
Het onderscheid tussen delegated en application permissions vormt daarbij de eerste hefboom. Delegated rechten liften mee op een ingelogde gebruiker en zijn geschikt voor scenario’s waarin medewerkers eigen agenda’s, dossiers of teams beheren. Application rechten opereren volledig autonoom en kunnen zonder menselijke context mailboxen leegtrekken, beleidsarchieven exporteren of configuraties wijzigen. Een aanvraag voor een application scope wordt behandeld alsof het om een privileged account gaat: er is een eigenaar nodig, het doel moet in het verwerkingsregister staan en de Functionaris Gegevensbescherming bevestigt dat de gekozen grondslag het brede bereik rechtvaardigt.
Least privilege krijgt concrete invulling door elke scope tegen lichtere alternatieven te spiegelen. Architecten vergelijken Mail.ReadWrite.All met Mail.Read, toetsen of Mail.ReadBasic voldoende metadata levert en onderzoeken of Sites.Selected kan worden gebruikt om SharePoint-toegang tot een projectteam te beperken. Resource-specific consent voor Teams en SharePoint maakt het mogelijk om uitsluitend die workloads te autoriseren die binnen het proces vallen. Door standaard eerst de kleinst mogelijke variant te testen, ontstaat een patroon waarin het aanvragende team moet bewijzen dat een zwaardere scope werkelijk onmisbaar is.
Elke beslissing landt in een centrale permissiematrix die onderdeel uitmaakt van het NBVC-verantwoordingsdossier. De matrix bevat per applicatie het doel, de juridische basis, de verwachte datastromen en de beveiligingseisen die bij het gekozen label horen. Wanneer een auditteam van de Algemene Rekenkamer of een ENSIA-auditor vragen stelt, kan de organisatie exact laten zien waarom een rapportagebot toch Mail.Read.All kreeg en welke compenserende maatregelen daarbij zijn genomen. Deze documentatie stroomt automatisch door naar het verwerkingsregister en naar Purview Data Map, zodat privacy-impactanalyses en classificatie dezelfde bron gebruiken.
Toestemming geven gebeurt nooit ad hoc. Tenant-brede consent staat alleen open voor een beperkt team dat werkt onder Privileged Identity Management en Just-in-Time toegang. Tijdens de aanvraag verschijnt een checklist met vragen over logging, monitoring, secret-rotatie en exitvoorwaarden. Zodra consent is verleend registreert het systeem de verantwoordelijke manager, het changenummer en de vervaldatum. Door consent policies te combineren met Conditional Access kan de organisatie afdwingen dat toestemming uitsluitend via goedgekeurde beheerwerkplekken wordt verstrekt.
Ook tijdens ontwerp en ontwikkeling blijft least privilege leidend. Ontwikkelteams schrijven KQL-query’s voor Sentinel die gericht zijn op de aangevraagde scopes. Als een serviceprincipal in korte tijd duizenden messages-requests doet of ineens vanuit een buitenlandse regio belt, ontvangt het SOC een alert dat direct verwijst naar het risicoscenario uit de permissiematrix. Testplannen beschrijven hoe men probeert om buiten het afgesproken bereik te gaan; pas wanneer detectie daadwerkelijk aanslaat, mag de applicatie naar productie.
Tijdens exploitatie zorgen dashboards in Graph Explorer, Entra ID en Defender for Cloud Apps voor realtime inzicht. Ze tonen per applicatie de gebruikte scopes, aantallen API-calls en afwijkende patronen. De KPI over granulariteit laat zien hoeveel applicaties inmiddels overstappen op Sites.Selected, Calendars.ReadBasic of MailboxSettings.Read, terwijl een andere indicator aangeeft hoeveel delegated apps feitelijk functioneren als application omdat gebruikers permanent zijn aangemeld. Deze cijfers voeden de gesprekken in het API-governanceboard en vormen input voor kwartaalreviews.
Wanneer nieuwe functionaliteit wordt toegevoegd, zoals toegang tot Viva, Loop of Copilot-data, verplicht het board een herbeoordeling. Daarbij kijkt men of bestaande scopes volstaan, of dat preview-rechten nodig zijn en hoe die passen binnen de NBVC-principes van soevereiniteit en dataminimalisatie. Transparantie in deze cyclus zorgt ervoor dat ontwikkelteams de spelregels kennen en dat auditors zien dat Graph-permissies structureel worden beheerd. Zo verandert least privilege van een slogan in een aantoonbaar proces.
Lifecyclebeheer en authenticatoren
Lifecyclebeheer van serviceprincipals bepaalt of Graph-governance standhoudt zodra projecten evolueren of leveranciers wisselen. Zonder strak proces blijven oude credentialsets jaren actief, worden certificaten vergeten en groeit het aantal anonieme automations totdat niemand nog weet wie eigenaar is. Binnen de Nederlandse Baseline voor Veilige Cloud is daarom afgesproken dat elke serviceprincipal als een volwaardige asset wordt behandeld met een eigen dossier, bewaartermijnen en reguliere controles. Die afspraken haken in op BIO 9.2 over identiteitsbeheer en op artikel 32 van de AVG, waarin passende maatregelen voor vertrouwelijkheid en integriteit verplicht zijn.
De levenscyclus start bij een formele aanvraag die via het changeproces en het architectuurboard loopt. Het aanvraagformulier beschrijft het procesdoel, de betrokken informatiestromen, de classificatie volgens het rubriceringsmodel en de verwachte looptijd. Daarnaast benoemt het welk team verantwoordelijk is voor onderhoud, wie als plaatsvervanger optreedt tijdens verlof en hoe incidentmeldingen moeten worden afgehandeld. Zonder dit ingevulde dossier wordt de registratie in Entra ID niet uitgevoerd, waardoor het onmogelijk wordt voor ontwikkelaars om ongezien een app-registratie aan te maken met brede rechten.
Registratie zelf gebeurt via geautomatiseerde templates. Azure Deployment Scripts of Terraform-modules maken het app-object aan, koppelen het aan een resourcegroep in een speciale automation-subscription en voorzien het van tags voor classificatie, eigenaar, vervaldatum en contactkanaal. Tegelijk wordt in het configuratiemanagementsysteem een record aangemaakt dat verwijst naar het changenummer, de documentatie en de gekozen authenticatiemethode. Deze werkwijze zorgt ervoor dat elk nieuw object direct zichtbaar wordt in dashboards en dat audits altijd dezelfde metadata aantreffen.
Authenticatie vormt de volgende beslissende stap. De standaard is certificaatgebaseerd met een maximale geldigheid van één jaar en sleutelopslag in Azure Key Vault met customer-managed keys. Voor workloads in Azure wordt bij voorkeur gebruikgemaakt van Managed Identities, zodat er geen secrets hoeven te worden gedeeld. Wanneer een externe leverancier toch met client secrets werkt, ontvangt deze slechts een secrettype met een geldigheid van negentig dagen, versleuteld met dubbele ontsluiting en aangeleverd via een tijdelijke Secure File-transfer. Rotatie is geautomatiseerd via Azure Automation of GitHub Actions: een runbook genereert een nieuw certificaat, uploadt het naar het app-object en distribueert de thumbprint naar de workload zonder menselijke tussenkomst.
Secret-scanning vormt een extra vangnet. Repositories in Azure DevOps en GitHub Enterprise draaien continu scans op basis van regex- en machinelearningpatronen. Wanneer een Graph-client secret of certificaat verschijnt in een commit, blokkeert de pipeline onmiddellijk en ontstaat een incidentticket. Tegelijkertijd controleert Defender for Cloud Apps op het gebruik van oude credentials; als een API-call binnenkomt met een thumbprint die intussen is ingetrokken, wordt verkeer automatisch geweigerd en ontvangt het SOC een alert.
Inventarisatie en healthmonitoring worden dagelijks bijgewerkt. Een PowerShell-script of Azure Function leest via Microsoft Graph alle serviceprincipals, koppelt eraan hoeveel API-calls zij de afgelopen dagen hebben uitgevoerd en vergelijkt dat met de afgesproken gebruiksfrequentie. Principals zonder activiteit gedurende dertig dagen komen op een quarantaine-lijst; eigenaren ontvangen automatisch een bericht in Teams en moeten binnen vijf werkdagen aangeven of het object mag blijven bestaan. Blijft reactie uit, dan trekt het systeem de permissies in en archiveert het de logging voor forensische doeleinden.
Offboarding is net zo strikt als onboarding. Zodra een project wordt afgesloten of een leverancier vertrekt, voert het team een exit-runbook uit. Dat script verwijdert secrets, verbreekt Key Vault-referenties, sluit Managed Identity-endpoints en zorgt dat de achterliggende workloads geen Graph-calls meer kunnen uitvoeren. Het dossier in het configuratiemanagementsysteem wordt voorzien van een einddatum en een verwijzing naar de opgeslagen auditlogs. Omdat veel contracten verplichten dat code en data volledig worden overgedragen, bevat het runbook ook stappen om documentatie en scripts in het organisatiebrede Git-platform te plaatsen.
Lifecyclebeheer raakt meerdere disciplines. HR verwerkt het vertrek van medewerkers in het overzicht van contactpersonen, inkoop borgt dat leveranciers contractueel moeten aantonen dat zij geen credentials achterhouden en het juridische team bewaakt dat logging lang genoeg wordt bewaard om claims of Woo-verzoeken af te handelen. Door deze keten over afdelingen heen te beleggen, wordt het onmogelijk dat een vergeten serviceprincipal maanden later wordt misbruikt. De combinatie van geautomatiseerde registraties, periodieke reviews en onverbiddelijke offboarding bewijst richting toezichthouders dat programmatische toegang onder controle is.
Monitoring, OAuth-governance en incidentrespons
Controle op API-verkeer bepaalt of governance daadwerkelijk werkt zodra iets misgaat. Omdat programmatische toegang dag en nacht actief is en vaak buiten kantooruren draait, moeten signalen sneller worden geanalyseerd dan bij gebruikerssessies. De Nederlandse Baseline voor Veilige Cloud adviseert daarom een monitoringarchitectuur waarin Graph Activity Logs, Entra ID sign-ins, Defender for Cloud Apps en Purview Audit samen een chronologisch dossier vormen. Alleen wanneer deze bronnen in dezelfde Log Analytics-werkruimte landen, kunnen analisten verbanden leggen tussen een verdachte OAuth-consent, een plotselinge toename in mailbox-requests en een mislukt certificaat.
Het loggingsproces begint bij Data Collection Rules die elke minuut nieuwe gebeurtenissen streamen naar Microsoft Sentinel en een forensisch archief. De ruwe data worden verrijkt met context zoals classificatie, eigenaar, label en de verwachte workload. Zo weet het SOC meteen dat een bepaalde app hoort bij het ketenproces voor digitale vergunningen en dat afwijkingen mogelijk gevolgen hebben voor de dienstverlening aan burgers. Voor applicaties die buiten Microsoft 365 draaien, bijvoorbeeld een low-code oplossing of een OT-systeem dat Graph gebruikt voor identity-sync, stuurt een Event Hub dezelfde gegevens door naar Sentinel zodat het totaaloverzicht intact blijft.
Detectie wordt opgebouwd met scenario’s die rechtstreeks afkomstig zijn uit risicoanalyses. Een query controleert ieder uur hoeveel Graph-calls een principal doet vergeleken met zijn historisch gemiddelde; een afwijking van meer dan honderdvijftig procent triggert een ticket. Een ander scenario kijkt naar netwerkherkomst en signaleert wanneer een app die normaal uit Amsterdam belt ineens requests vanuit een buitenlandse regio verstuurt. Ook het mislukken van consentwijzigingen, het toevoegen van een nieuwe certificate credential of het plotseling aanvragen van Mail.ReadWrite bovenop een bestaande Mail.Read-scope levert een alert op. Door elk alert aan een runbook te koppelen, ontstaat er geen discussie over de vervolgstap.
OAuth-governance reikt verder dan techniek. Elke externe applicatie die toegang wenst doorloopt een onboarding waarbij contracten, privacyvoorwaarden, datalokaties en supportprocessen worden beoordeeld. Alleen publishers met verificatie, duidelijke subverwerkers en ondersteuning voor Conditional Access komen in aanmerking voor high-impact scopes. Consent policies in Entra ID zorgen ervoor dat uitsluitend aangewezen beheerders toestemming mogen geven en dat deze toestemming automatisch verloopt wanneer een app dertig dagen niet actief is geweest. Zodra een partnerorganisatie haar licentie verliest of een datalek meldt, trekt het governanceboard het consent in en wordt de scope opnieuw beoordeeld.
Voor derde partijen die API's aanbieden naar de Rijkscloud wordt extra bescherming ingericht. Reverse proxies of Azure API Management publiceren de endpoints en voeren IP-whitelisting, TLS 1.3-verplichting en mutual TLS uit. Rate limiting wordt afgestemd op de businesscase zodat één gecompromitteerde integratie de rest van het platform niet blokkeert. In scenario’s met ketenpartners wordt standaard een circuitbreaker ingericht die verkeer afsluit zodra het SOC een incidentflag zet. Tegelijkertijd wordt alle payload gelogd in een versleuteld archief, zodat eventueel misbruik later juridisch aantoonbaar is.
Incidentrespons voor API's kent eigen stappen. Runbooks beschrijven hoe een gecompromitteerde serviceprincipal onmiddellijk wordt gedeactiveerd, hoe certificaten worden ingetrokken en hoe downstreamsystemen worden geïnformeerd dat data mogelijk onbetrouwbaar zijn. Sentinel-playbooks versturen rapportages naar de CISO, de Functionaris Gegevensbescherming en indien nodig het Nationaal Cyber Security Centrum, inclusief de exacte scopes, tijdstempels en betrokken datasets. Wanneer persoonsgegevens geraakt zijn, start parallel een AVG-meldflow waarin Purview eDiscovery het bewijsmateriaal veiligstelt. Door deze processen te automatiseren blijft de organisatie binnen de meldtermijnen van AVG, Wbni en NIS2.
Monitoring en governance blijven actueel door oefeningen en prestatie-indicatoren. Iedere maand voert het SOC een purple-teamtest uit waarbij een test-app bewust hogere scopes aanvraagt of throttling probeert te omzeilen. De resultaten worden opgenomen in een maturiteitsdashboard dat laat zien hoeveel procent van de Graph-apps onder continuous monitoring valt, hoeveel alerts binnen SLA zijn afgehandeld en hoe snel certificaatrotaties verlopen. Deze cijfers worden besproken in het risicocomité en bepalen welke investeringen in tooling of personeel noodzakelijk zijn.
Tot slot is communicatie cruciaal. Applicatie-eigenaren ontvangen periodieke rapportages met verbeterpunten, bijvoorbeeld het vervangen van secrets door certificaten of het verlagen van een scope. Door successen te delen, zoals het tijdig blokkeren van een verouderde integratie of het herstellen van een per ongeluk verleend recht, ontstaat vertrouwen dat monitoring geen obstakel maar een veiligheidsnet is. Zo blijft OAuth-governance niet hangen in policies, maar wordt het een levend mechanisme dat digitalisering veilig versnelt.
API-governance is een randvoorwaarde voor betrouwbare digitale dienstverlening. Door Graph-permissies strikt te ontwerpen, serviceprincipals met certificaten te beveiligen, logging real-time te analyseren en incidentprocedures klaar te hebben, voorkomen overheidsorganisaties dat geautomatiseerde toegang uitmondt in datalekken of sabotage. Maak API-beveiliging onderdeel van de reguliere risicocyclus: voer periodieke reviews uit, automatiseer inventarisatie, toets third-party apps en verbind alerts met het SOC. Zo blijft programmatische toegang een versneller voor digitalisering in plaats van een kwetsbaarheid.