CSM25: Wat betekenen al die security-opties van je hostingprovider nou écht?

Heb jij DDoS-bescherming nodig? RBAC? 2FA? Heb je Security by Default of Security by Design nodig? Kun je vertrouwen in de Cloud als je alle security-opties op standaard zet? In dit artikel zetten wij alle security-maatregelen die een host biedt op een rij. Dat helpt je bewust voor de juiste bescherming te kiezen.

Is er zoiets als te veel beveiliging?

Beveiliging van computers, of het nu om laptops, servers of virtuele systemen gaat, is altijd een afweging. Hoe zwaarder de maatregelen, hoe meer hinder. Je kunt het vergelijken met fysieke beveiliging. Een huis zonder ramen, met een loodzware kluisdeur als enige ingang, is beter beveiligd tegen inbraak dan een standaard rijtjeshuis. Maar als je de boodschappen naar binnen wilt dragen, gaat genieten van je zondagochtend of wanneer er brand uitbreekt, is de hinder van die beveiliging groter dan het voordeel.

Hetzelfde geldt voor digitale beveiliging. Te veel maatregelen leggen een enorme last op je systemen. Dat uit zich in extra kosten als het om de Cloud gaat, vereist zwaardere hardware en werpt hindernissen op tijdens gebruik. Te veel beveiliging kan uiteindelijk zelfs het uitvoeren van legitieme taken vertragen of blokkeren. Daarom is beveiliging altijd een afweging: hoe zwaar wegen de risico’s op tegen de hinder van de maatregelen die je gaat treffen?

De beveiligingsmaatregelen van hostingproviders zijn in twee categorieën onder te verdelen: beveiliging die standaard aanstaat en optionele beveiliging. Wij lopen alle mogelijkheden door, leggen uit waar ze voor dienen en noemen de afwegingen om voor aan of uit te kiezen.

Security by default of security by design?

Je kunt niet kiezen tussen security by default of security by design. Het zijn twee beveiligingsprincipes die in elkaars verlengde liggen.

Security by design komt voort uit het ‘privacy by design’-principe van de vroege jaren ’90. In plaats van eerst werkende code te ontwikkelen, en daarna pas over privacy en security na te denken, denk je bij dit principe over privacy en security na vóór je gaat ontwikkelen. Microsoft plaatste security by design voor het voetlicht door het in 2002 te omarmen. Sinds 2018 verplicht de GDPR organisaties in de EU om op basis van dit principe te ontwikkelen.

Waar security by design zorgt dat beveiliging en privacy vaste waarden in de code zijn, zorgt security by default dat de maatregelen daadwerkelijk ook aan staan. Direct na het inschakelen moet een systeem zo veilig mogelijk zijn: firewalls staan standaard aan, wachtwoorden moeten veranderd worden en automatische updates zijn de norm.

Deze twee principes zijn een goed begin maar geen complete oplossing. Het blijft verstandig om alle beveiligingsopties na te lopen en zelf af te wegen wat jij nodig hebt.

Standaard beveiliging

Als je een systeem aan het internet koppelt, stel je het bloot aan cyberdreigingen. Beveiligingsbedrijf Check Point signaleerde begin 2025 dat de gemiddelde organisatie 1.925 cyberaanvallen per week te verwerken krijgt. De beveiliging die een hostingprovider standaard biedt, is essentieel om het merendeel van deze dreigingen automatisch af te weren. Deze 6 opties horen bij elke host thuis:

DDoS-bescherming

Een DDoS-aanval (Distributed Denial of Service) overspoelt een server, dienst of netwerk met een enorme hoeveelheid dataverkeer, afkomstig van meerdere bronnen (vaak gehackte apparaten of botnets). Hierdoor raakt de dienst overbelast en onbereikbaar voor legitieme gebruikers. DDoS-bescherming filtert schadelijk verkeer, zodat de server of dienst blijft functioneren. Omdat DDoS-aanvallen relatief goedkoop en eenvoudig uit te voeren zijn, komen ze veel voor. Hostingproviders bieden standaard DDoS-bescherming om downtime en schade te voorkomen.

Firewall

Een firewall controleert inkomend en uitgaand dataverkeer op basis van vooraf gedefinieerde beveiligingsregels en blokkeert verdachte toegangspogingen. Hierdoor vormt een firewall de eerste verdedigingslinie tegen veelvoorkomende cyberdreigingen, zoals hackpogingen en malware. Grotere systemen en netwerken gebruiken vaak meerdere firewalls voor extra bescherming van gevoelige gegevens. Hostingproviders bieden standaard een firewall die bescherming biedt tegen veelvoorkomende bedreigingen. Let op: Afhankelijk van de complexiteit van je dienst, website of applicatie kan extra beveiliging nodig zijn, zoals een aanvullende firewall of specifieke regels.

SSL-encryptie

SSL (Secure Sockets Layer) versleutelt de verbinding tussen een website en de bezoeker, zodat inloggegevens, betaalinformatie en persoonlijke data beschermd zijn tegen afluisteren of manipulatie. Een SSL-certificaat is vereist en zorgt ervoor dat browsers de website als veilig markeren (met een slotje en HTTPS in de adresbalk). Zonder SSL waarschuwen browsers bezoekers voor een onveilige verbinding, wat het vertrouwen schaadt en de zoekmachinepositie negatief beïnvloedt.

Bij de meeste hostingproviders kun je gratis SSL-encryptie regelen via Let’s Encrypt, een veelgebruikte optie voor basisbeveiliging. Voor websites met gevoelige transacties of extra validatie-eisen, zoals webshops of financiële diensten, is een betaald certificaat (bijv. EV SSL) soms nodig voor optimale bescherming en vertrouwen.

Automatische back-ups

Hostingproviders maken regelmatig een veilige kopie van je website, database en bestanden. Zo zijn gegevens na een incident (zoals een cyberaanval) te herstellen. Controleer hoe vaak back-ups worden gemaakt (per uur, dagelijks of wekelijks), hoeveel versies er worden bewaard en hoe lang deze beschikbaar blijven. Voor kritieke websites en online diensten, zoals webshops of bedrijfsapplicaties, zijn extra back-upopties vaak noodzakelijk. Regel dit tijdig.

SFTP en SSH-toegang

SFTP (Secure File Transfer Protocol) en SSH (Secure Shell) bieden versleutelde verbindingen voor het beheren van bestanden en servers op afstand. SFTP zorgt voor beveiligde bestandsoverdracht, terwijl SSH het uitvoeren van commando’s en serverconfiguratie mogelijk maakt. Hostingproviders bieden standaard SFTP en SSH-toegang. Voor gevoelige omgevingen is het aan te raden deze beveiliging uit te breiden met sleutelparen (SSH-keys) en Two-Factor Authentication (2FA).

PHP-versleuteling met ionCube

Dynamische content op websites, zoals persoonlijke groeten, voorraadupdates of interactieve formulieren, wordt vaak gegenereerd met PHP-code. Standaard is deze code leesbaar, wat het risico op diefstal of misbruik vergroot. ionCube versleutelt PHP-code, zodat deze alleen uitgevoerd kan worden en niet inzichtelijk is. Hostingproviders ondersteunen ionCube-versleuteling, zodat applicaties die hiervan afhankelijk zijn beschermd blijven. Dit is met name relevant voor commerciële software, licentiegebonden scripts of gevoelige bedrijfslogica.

Optionele beveiliging

Naast standaardbeveiliging bieden hostingproviders vaak extra security-opties. Sommige opties bieden geavanceerde bescherming tegen specifieke dreigingen, andere opties zijn mogelijk voor iedereen interessant. Overweeg of de volgende 6 opties bij jouw beveiligingsbeleid passen.

Two-Factor Authentication (2FA)

Two-Factor Authentication (2FA) breidt wachtwoorden uit met een extra verificatiestap. Dit kan een code zijn van een authenticatie-app, SMS of een fysieke beveiligingssleutel. 2FA maakt misbruik van gelekte wachtwoorden moeilijker. Hostingproviders bieden 2FA vaak als optie voor beheerderspanelen, FTP-toegang en andere kritieke accounts. Zeker voor omgevingen met gevoelige gegevens of meerdere gebruikers is 2FA eigenlijk onmisbaar.

Role-Based Access Control (RBAC)

Role-Based Access Control (RBAC) beperkt toegang tot systemen en gegevens op basis van vooraf gedefinieerde rollen. Gebruikers krijgen alleen rechten die nodig zijn voor hun taken. Dit verkleint het risico op misbruik en schade door fouten. RBAC is vooral nuttig als je werkt met teams waarvan de leden verschillende toegangsniveaus nodig hebben. Hostingproviders ondersteunen RBAC vaak via beheerderspanelen of API’s.

Fail2Ban en IP-whitelisting

Fail2Ban blokkeert automatisch IP-adressen die herhaaldelijk mislukte inlogpogingen doen. Dit is een goede indicatie dat iets of iemand een brute-force-aanval uitvoert (wachtwoorden probeert te gokken). IP-whitelisting beperkt de toegang tot goedgekeurde IP-adressen. Dit verkleint de kans op inbraak. Beide maatregelen zijn effectief voor beheerderspanelen, SSH-toegang en API’s.

VPN en private networking

Een VPN (Virtual Private Network) versleutelt al het verkeer tussen jouw apparaten en de server. Met private networking kun je een geïsoleerd netwerk binnen je hostingomgeving opzetten. Door gevoelige gegevens binnen dit netwerk te houden, hoef je ze niet bloot te stellen aan het openbare internet. Dit is ideaal voor bedrijfsnetwerken, databases of interne systemen die niet publiek toegankelijk hoeven te zijn.

Anti-malware en antivirus

Anti-malware en antivirus scannen bestanden en processen op schadelijke code, zoals virussen, ransomware en spyware. Hostingproviders bieden vaak real-time monitoring en automatische verwijdering van bedreigingen. Dit is heel belangrijk. Als iemand malware op jouw server weet te hosten, kan dat ten koste gaan van de vindbaarheid van jouw website.

Continue monitoring

Door continu te monitoren op kwetsbaarheden kun je eerder reageren op nieuwe bedreigingen, zoals lekken in software, onveilige configuraties of verdacht gedrag. Hostingproviders bieden soms geautomatiseerde alerts of integraties met tools zoals Security Information and Event Management (SIEM).

ISO/NEN-certificering

Certificeringen zoals ISO 27001:2013, NEN 7510:2017 en ISO 9001:2015 garanderen dat de host voldoet aan internationale en nationale normen op het gebied van informatiebeveiliging, privacy en kwaliteitsmanagement.

ISO 27001:2013 richt zich op informatiebeveiligingsmanagementsystemen (ISMS) en waarborgt dat gegevens beschermd zijn tegen dreigingen zoals datalekken, cyberaanvallen en ongeautoriseerde toegang.
NEN 7510:2017 is specifiek voor de gezondheidszorg en zorgt voor veilige verwerking van medische gegevens, in lijn met de AVG en andere privacywetgeving.
ISO 9001:2015 staat voor kwaliteitsmanagement en garandeert dat processen efficiënt, consistent en klantgericht zijn.

Om deze certificeringen te mogen voeren, moet de host zich regelmatig laten auditen door onafhankelijke instanties. Door diensten af te nemen bij een host met deze certificeringen, kunnen organisaties aantonen dat ze gebruik maken van een veilige en stabiele hostingomgeving.

Goede beveiliging is geen toeval, maar een keuze

Goede beveiliging is onmisbaar om online te kunnen werken. Iedere hostingprovider biedt daarom standaard beveiligingen en extra opties aan. Daarmee kun je de juiste bescherming voor jouw omgeving en diensten configureren. Heb je hulp nodig bij die keuze? Neem contact met ons op. Wij denken graag met je mee.