Maandelijkse vulnerability scanning: Eerste maand kosteloos! Meer informatie →
Hero

WIJ ZIJN

HACKIFY

Wat is een Azure pentest

Icon van een Azure pentest

Vrijwel elke organisatie werkt inmiddels in de Microsoft-cloud. Of u nu Microsoft 365 gebruikt voor e-mail en samenwerking, Intune voor het beheer van apparaten of Azure Resources draait voor uw infrastructuur, achter al die diensten zit één platform: Microsoft Azure, met Entra ID (voorheen Azure AD) als identity provider. Die centrale rol maakt Azure een aantrekkelijk doelwit voor aanvallers. Eén gecompromitteerd account kan al toegang geven tot e-mail, bedrijfsdocumenten, Teams-gesprekken en via Single Sign-On (SSO) zelfs tot externe applicaties.

Azure biedt veel ruimte om in te stellen: Conditional Access-policies, Privileged Identity Management, gastgebruikers en honderden instellingen voor Microsoft 365 en Intune. Die flexibiliteit brengt ook risico mee. Eén verkeerde instelling kan ervoor zorgen dat MFA omzeild wordt, te ruime SharePoint-rechten kunnen data laten lekken, en een zwak ingestelde Azure-resource geeft een aanvaller toegang tot uw cloudinfrastructuur.

Een Azure pentest (ook wel Azure pen-test, Azure penetratietest, Microsoft 365 pentest, Entra ID pentest of Azure security review genoemd) test de beveiliging van uw hele Microsoft-cloudomgeving. Onze ethische hackers onderzoeken de Entra ID-configuratie, de beveiliging van Microsoft 365, de Intune-policies en de Azure Resources. Zo brengen we misconfiguraties en kwetsbaarheden in kaart voordat een aanvaller ze vindt.

Waarom en wanneer is een Azure pentest belangrijk?

Azure vormt vaak de basis van uw cloudinfrastructuur. Een zwakke Conditional Access-policy, verkeerd ingestelde gasttoegang of te ruime rechten kunnen leiden tot het lekken van grote hoeveelheden data, tot ransomware en tot een volledige overname van de tenant.

Een Azure pentest is verstandig in de volgende situaties:

  • Bij een migratie naar Microsoft 365, om de beveiliging te controleren voordat u productie-workloads naar de cloud verplaatst
  • Bij compliance-eisen, bijvoorbeeld om te voldoen aan ISO 27001, NIS2, SOC 2 of DORA
  • Na wijzigingen in uw Azure-configuratie, zoals nieuwe Conditional Access-policies, Intune-instellingen of Azure Resources
  • Bij een hybrid identity-opstelling, om de beveiliging van Entra ID Connect en de synchronisatie met on-premise AD te controleren
  • Na een beveiligingsincident, om te achterhalen hoe een aanvaller toegang kreeg tot uw Azure-tenant

Het is verstandig om Azure regelmatig te laten testen. Er worden voortdurend nieuwe aanvalstechnieken ontdekt, zoals MFA-bypass, het omzeilen van Conditional Access en exploits op Azure Resources.

Wat valt er allemaal onder een Azure pentest?

Een Azure pentest kijkt naar verschillende onderdelen van uw Microsoft-cloudomgeving, afhankelijk van welke diensten u gebruikt. De scope kan zich beperken tot identity en samenwerking, maar ook de hele cloudinfrastructuur en de applicaties omvatten.

Identity, samenwerking en apparaatbeheer

De kern van elke Azure-omgeving bestaat uit identity management, samenwerkingstools en de beveiliging van apparaten. Deze onderdelen werken nauw samen en vormen vaak het belangrijkste aanvalsoppervlak. Een kwetsbaarheid in één onderdeel kan al ongeautoriseerde toegang geven tot uw bedrijfsdata en systemen.

We testen de volgende onderdelen:

  • Entra ID (voorheen Azure AD) - Identity, Conditional Access, MFA, PIM en Enterprise Applications

  • Microsoft 365 - SharePoint, OneDrive, Teams en Exchange Online

  • Microsoft Intune - Device compliance, security baselines en app management

Richt een Azure pentest zich op deze onderdelen, dan combineert u die goed met een werkplek pentest als gebruikers via Intune werken, of met een Active Directory pentest bij een hybride opstelling met Entra ID Connect.

Azure Resources

Onder Azure Resources vallen de cloudinfrastructuur en de compute-diensten die u voor uw workloads gebruikt. Deze diensten zijn vaak het technische hart van uw cloudapplicaties. Een kwetsbaarheid hierin kan data laten lekken, ongeautoriseerde toegang geven of leiden tot een volledige overname van de resource.

We testen de volgende Azure Resources:

  • Storage Accounts - Access configuratie en blob/file shares
  • Key Vaults - Toegangsbeheer en secret management
  • Function Apps - Access en API security
  • Virtuele Machines - Netwerk- en security configuratie

Richt een Azure pentest zich op Azure Resources, dan combineert u die goed met een bedrijfsnetwerk pentest of webapplicatie pentest, afhankelijk van welke diensten en applicaties er op de virtuele machines of via Function Apps draaien.

Power Platform

Power Platform is een verzameling low-code- en no-code-diensten waarmee u snel applicaties en dashboards bouwt. Ook hier kunnen kwetsbaarheden zitten, bijvoorbeeld door verkeerd ingestelde rechten waardoor iemand bij data kan komen of meer rechten krijgt dan bedoeld.

We testen de volgende Power Platform-diensten:

  • Power BI - Permissions en data security
  • Power Apps - Permissions en data access

Richt een Azure pentest zich op Power Platform, dan combineert u die goed met een webapplicatie pentest, zodat ook de applicaties die u via Power Platform hebt gebouwd grondig onderzocht worden.

Waarom kiezen voor Hackify?

  • Bewezen expertise - Ethische hackers met minimaal 5 jaar ervaring, 3 certificaten en relevante expertise per testonderdeel (niet branche minimum van 1 jaar en 1 certificaat)
    • Track record - Responsible disclosures bij Philips, Zoom, Oracle, Politie en vele anderen
    • Hackcompetitie winnaars - Prijzen bij Hack010, PVIB CTF, Hackerhotel en HackTheHague
  • Azure expertise - Specialistische kennis van Entra ID, Microsoft 365, Intune en CARTP gecertificeerde expertise
  • Direct contact - Geen accountmanagers, spreek direct met pentesters die uw test uitvoeren
  • Flexibiliteit - Azure pentests en penetratietests vaak binnen 2-3 weken te plannen

Meer over onze aanpak en expertise op onze over ons pagina.

Plan uw Azure pentest

Wilt u weten hoe weerbaar uw Azure-omgeving is? Neem dan vrijblijvend contact met ons op voor een gesprek met een van onze hackers. We vertellen u graag meer over ons bedrijf en onze aanpak, en horen graag over uw organisatie en de scope van uw Azure-tenant.

Elke Azure-omgeving is anders. Daarom stellen we elk voorstel op maat op. Een pentest kan binnen 3 weken starten. De uitvoering duurt, afhankelijk van het type pentest en de complexiteit, tussen de 3 dagen en 3 weken.

Klaar om uw Azure-omgeving te laten testen?

Wij toetsen Entra ID, conditional access, app-registraties en uw Azure-resources op misconfiguraties. Vraag een voorstel op maat aan voor uw tenant.

Neem contact op

Of mail ons direct via [email protected]

Veelgestelde vragen over Azure penetratietests

Wat is het verschil tussen een Azure pentest en een Active Directory pentest?

Een Azure pentest kijkt naar de cloud-infrastructuur van Microsoft. Een Active Directory pentest richt zich op on-premise Windows-domeinen:

Azure pentest:

  • Entra ID (Azure AD) configuraties en policies
  • Microsoft 365 (SharePoint, Teams, Exchange Online)
  • Conditional Access en MFA-configuraties
  • Azure Resources (VMs, Storage, Key Vaults)
  • Intune endpoint management
  • Cloud-native attack vectors

Active Directory pentest:

  • On-premise domain controllers en forests
  • Kerberos attacks en credential theft
  • Lateral movement via SMB en WinRM
  • NTLM relay en ADCS exploits

Veel organisaties werken met een hybrid identity-opstelling, waarbij Entra ID Connect de on-premise AD synchroniseert met Azure. In dat geval testen wij beide omgevingen.

Wat kost een Azure pentest?

Wat een Azure pentest kost, hangt af van de scope, de omvang van de Azure-omgeving en eventuele specifieke wensen. Na een vrijblijvend intakegesprek stellen wij een voorstel op dat past bij uw situatie.

Welke Azure pentest certificeringen zijn er?

Er zijn verschillende erkende certificeringen voor Azure penetratietesters:

Deze certificeringen tonen aan dat een pentester de kennis en ervaring heeft om een Azure-omgeving grondig te onderzoeken.

Welke methodieken worden er gebruikt bij een Azure pentest?

Wij werken bij een Azure pentest volgens internationaal erkende methodieken:

  • PTES - Penetration Testing Execution Standard
  • NIST SP 800-115 - Technical Guide to Information Security Testing and Assessment
  • MITRE ATT&CK - Adversarial Tactics, Techniques, and Common Knowledge

Daarnaast houden we rekening met CWE (Common Weakness Enumeration) en scoren we kwetsbaarheden met CVSS (Common Vulnerability Scoring System).

Welke tools worden er gebruikt bij een Azure pentest?

Onze pentesters werken met onder andere de volgende tools:

  • Microsoft Graph API - Automated enumeration van tenant configuraties
  • Azure PowerShell - Resource analysis en configuration review
  • MFASweep - MFA-configuratie analyse en bypass testing
  • ROADtools - Azure AD reconnaissance en privilege escalation
  • Evilginx - MFA-bypass phishing (bij gecombineerde tests)
  • AzureHound - Azure attack path analysis

We combineren deze tools altijd met handmatige analyse door ervaren ethische hackers.

Hoe lang duurt een Azure penetratietest?

Hoe lang een Azure pentest duurt, hangt af van de complexiteit en de gekozen testvorm:

  • Basis Microsoft 365 review: gemiddeld 3-5 dagen
  • Standaard Azure pentest met Intune: gemiddeld 5-7 dagen
  • Uitgebreide pentest met Azure Resources: gemiddeld 1-2 weken
  • Enterprise assessment met meerdere tenants: gemiddeld 2-3 weken

Heeft u een beperkt budget, dan bieden we ook een timeboxed pentest aan. We bepalen dan op basis van uw budget hoeveel tijd we aan de pentest besteden, en richten ons op de belangrijkste en best vindbare bevindingen. Dat is een goede start voor organisaties die nog geen pentest hebben gedaan of die met een klein budget toch aan hun beveiliging willen werken.

Wat zijn de meest voorkomende Azure kwetsbaarheden?

De meest voorkomende kwetsbaarheden bij Azure omgevingen zijn:

  1. Zwakke Conditional Access policies - MFA niet enforced voor alle users
  2. Guest users met te veel rechten - External collaboration misconfigured
  3. Legacy authentication enabled - Oude protocols zonder MFA
  4. Privileged roles zonder PIM - Permanent admin rechten zonder just-in-time access
  5. SharePoint oversharing - Gevoelige documenten publicly accessible
  6. Teams external access - Onbeperkte guest access en external sharing
  7. Mail forwarding rules - Automatisch doorsturen naar externe adressen
  8. Storage accounts publicly accessible - Blob containers en file shares zonder authenticatie
  9. Key Vaults met te ruime access policies - Onveilige secret management
  10. Intune misconfiguraties - Zwakke compliance policies en missing security baselines

Deze misconfiguraties kunnen een aanvaller toegang geven tot data, privilege escalation mogelijk maken of leiden tot een volledige overname van de tenant.