landing-zoneFinanciële dienstverleningGeanonimiseerd

Van 50 snowflake-subscriptions naar een reproduceerbare Azure Landing Zone

Een financiële dienstverlener met meer dan 50 Azure-subscriptions had geen gestandaardiseerde landingszone. Elke subscription was anders ingericht, governance was reactief en nieuwe omgevingen aanmaken duurde weken. RLCM implementeerde een volledige IaC-baseline met geautomatiseerde subscription vending.

Resultaten

Nieuwe omgeving aanmaken
4–6 weken
< 2 dagen
Policy compliance
62%
97%
Handmatige changes
~80%
< 5%

Context

Klant: Grote financiële dienstverlener (geanonimiseerd) — Financiële dienstverlening

De klant is een middelgrote financiële dienstverlener met activiteiten in Nederland en België. De Azure-omgeving was organisch gegroeid over vijf jaar: elke businessunit had zijn eigen subscriptions aangemaakt, met eigen naming conventions, eigen netwerkconfiguraties en eigen toegangsbeleid. Het gevolg was een omgeving van meer dan 50 subscriptions waarvan niemand een volledig overzicht had. Nieuwe projecten wachtten gemiddeld vier tot zes weken op een ingerichte Azure-omgeving, terwijl de compliance-score bij een interne audit uitkwam op 62 procent.

Uitdaging

De voornaamste uitdaging was niet technisch maar organisatorisch: meerdere teams hadden directe portal-toegang en waren gewend om zelf resources aan te maken zonder review. De governance-functie bestond uit een handvol Azure Policy-toewijzingen die via de portal waren aangemaakt, niet gedocumenteerd en niet getest. Configuratiedrift was structureel: resources weken af van de gewenste staat zonder dat iemand dit opmerkte totdat een incident of audit het blootlegde. Daarnaast was er geen gestandaardiseerde netwerktopologie: sommige subscriptions gebruikten hub-spoke, andere hadden directe internet-exposure zonder firewall.

Aanpak

RLCM startte met een twee weken durend assessment van de bestaande omgeving via Azure Resource Graph. Alle subscriptions werden geïnventariseerd, afwijkingen gekwantificeerd en een prioriteitenlijst opgesteld op basis van risico. Op basis van het assessment werd een management group hiërarchie ontworpen die aansloot bij de organisatiestructuur: een platform management group voor gedeelde infrastructuur, en businessunit-specifieke management groups voor workloads. De platform landing zone werd als Bicep-code geïmplementeerd met Azure Verified Modules als building blocks: hub-netwerk, Log Analytics workspace, Defender for Cloud en een initieel policy-initiatief gebaseerd op het Microsoft Cloud Security Benchmark. De subscription vending module automatiseerde het aanmaken van nieuwe subscriptions: een pull request met een parameterset resulteerde in een volledig ingerichte subscription binnen twee uur. Bestaande subscriptions werden gefaseerd gemigreerd: eerst policy-toewijzingen in audit-modus, daarna remediatie van non-compliant resources, en pas daarna omzetting naar deny-modus.

Landing ZoneIaCBicepAzure PolicySubscription Vending

Architectuurdiagram beschikbaar op aanvraag

Gedetailleerde referentiearchitecturen worden gedeeld in een persoonlijk gesprek, afgestemd op uw situatie.

Lessons learned

  • Begin met een kwantitatief assessment via Azure Resource Graph — zonder data is prioritering gissen.
  • Migreer bestaande subscriptions gefaseerd: audit-modus eerst, remediatie daarna, deny pas als laatste.
  • De subscription vending machine is de meest waardevolle deliverable: het lost de bottleneck op die teams het meest frustreert.
  • Betrek de securityfunctie vroeg bij de policy-selectie — achteraf aanpassen van policies is duurder dan vooraf afstemmen.
  • Documenteer alle architectuurbeslissingen als ADRs in de repository, inclusief de overwogen alternatieven en de reden van de keuze.

Vergelijkbare situatie?

Bespreek uw situatie in een vrijblijvend gesprek. We brengen uw Azure-omgeving in kaart en stellen een aanpak op maat voor.