.png)
.png)
Microsoft beweegt TLS-certificaat validity richting drie tot vier maanden. Toch ontdekken organisaties regelmatig dat kritieke certificaten al maanden verlopen zijn, zonder dat iemand het wist. Filip Verlee, Architect bij Elmos en specialist in cloud infrastructuur en security, ziet dit patroon regelmatig in onze projecten.
"Veel KMO's denken nog vanuit het perspectief van 'we upgraden hardware om de vijf jaar en dan zijn we gerust'. Dat was vroeger heel tof, maar dat is niet de realiteit waar we vandaag in zitten," zegt Filip. Dit is geen certificaatprobleem. Dit is een lifecycle management probleem. En het raakt veel meer dan alleen certificaten.
Wat is lifecycle management?
Lifecycle management omvat het actief beheren van alle IT-componenten gedurende hun volledige levensduur: van implementatie tot end-of-life. Dit betekent bijhouden welke softwareversies draaien, wanneer certificaten verlopen, welke patches ontbreken, en wanneer producten uit support gaan.
De realiteit is dat softwarecomponenten voortdurend onderhoud nodig hebben. Runtime versies worden deprecated, frameworks gaan end-of-life, en security patches verschijnen wekelijks. Zonder actief lifecycle management groeit de technische schuld onzichtbaar.
De vijf dimensies van lifecycle management
Een compleet lifecycle framework adresseert vijf dimensies:
1. Infrastructuur en services
Welke servers, cloud services en platforms worden gebruikt? Draait een applicatie on-premise, in de cloud, of beide? Veel organisaties maken onbewust al gebruik van SaaS en PaaS services (Microsoft 365 is SaaS), maar benutten niet de volledige capaciteiten.
Te monitoren: Server end-of-life dates, cloud service pricing changes, storage capaciteit.
2. Network en security posture
Hoe is het netwerk geconfigureerd? Waar zitten potentiële kwetsbaarheden? Is er scheiding tussen interne en externe systemen?
Te monitoren: Firewall rules, network segmentation, vulnerability scans.
3. Identity en access management
Hoe authenticeren medewerkers zich? Is MFA actief? Wat is de rotatie cyclus van credentials? "Als je token storage niet goed in elkaar zit, of je hebt een developer die zijn sleutel lokaal op zijn laptop heeft staan, dan heb je dezelfde dag al een deur open gezet," benadrukt Filip.
Te monitoren: Certificaat validity, token rotation, MFA coverage, privileged access.
4. Applicatie runtime en dependencies
Welke runtime versies gebruiken applicaties? Welke externe packages en libraries zijn er? Worden die actief onderhouden?
Een actueel voorbeeld: BizTalk gaat binnen twee jaar end-of-life. Organisaties die hun integraties rond 2004 op BizTalk hebben gebouwd, moeten nu migreren. Extended support kost significant, en na 2030 is het definitief afgelopen.
Te monitoren: Runtime versions, package dependencies, vendor support status.
5. Data locatie en governance
Waar leeft de data? Hoe zijn backups geconfigureerd? Wat is de classificatie van gevoelige data? "Waar leeft uw data? Dat is iets wat stiefmoederlijk behandeld wordt, zelfs binnen heel grote organisaties," waarschuwt Filip. "En dat brengt zeer grote risico's met zich mee."
Het ransomware scenario illustreert dit: versleuteling kan maanden actief zijn met een killswitch mechanisme dat pas later afgaat. Als backups in dezelfde periode besmet raken, zijn ze waardeloos.
Het lifecycle management framework
Effectief lifecycle management vereist vier continue activiteiten:
Activiteit 1: Inventarisatie (CMDB)
Bouw een Configuration Management Database die alle componenten bevat: hardware, software, services, dependencies. Dit is het fundament waarop alle andere activiteiten bouwen.
Minimale velden per component:
- Naam en versie
- Eigenaar en contactpersoon
- End-of-life datum (indien bekend)
- Dependencies (wat hangt ervan af?)
- Criticality classificatie
Activiteit 2: Lifecycle monitoring
Volg actief wanneer componenten end-of-life of end-of-support gaan. Abonneer op vendor announcements, security bulletins, en CVE databases.
Quick win deze week: Stel Google Alerts in voor "[product naam] end of life" voor je vijf meest kritieke dependencies.
Activiteit 3: Proactieve planning
Plan upgrades en migraties voordat ze urgent worden. Een component die over 18 maanden end-of-life gaat, moet nu op de roadmap staan.
"Je moet proactief zijn, niet reactief," benadrukt Filip. "Te veel organisaties wachten tot er iets kapot gaat."
Activiteit 4: Kostenberekening
Reken lifecycle kosten mee in de total cost of ownership van elke oplossing. Een goedkope initiële integratie met dure runtime kosten is geen goede deal.
"Een IT-project wordt te vaak bekeken vanuit de integratiekost. Je houdt veel te weinig rekening met wat die solution kost in de long run," zegt Filip.
Praktijkvoorbeeld: certificaat rotatie
Een concrete implementatie van lifecycle management is automatische certificaat rotatie. Het patroon werkt met een A/B mechanisme:
- Twee weken voordat certificaat A verloopt, genereer certificaat B
- Systemen die A consumeren, beginnen geleidelijk B te gebruiken
- Na volledige transitie wordt A verwijderd
- Het proces herhaalt zich met B en een nieuw certificaat C
Dit patroon elimineert handmatige interventie en reduceert het risico op verlopen certificaten naar vrijwel nul. Dezelfde logica geldt voor secrets en API keys: automatische rotatie met graceful transition, waarbij niemand directe toegang tot de waarde hoeft te hebben.
De verborgen kosten van geen lifecycle management
Organisaties zonder lifecycle management betalen op drie manieren:
Filip deelde een voorbeeld uit zijn omgeving: een bouwbedrijf verloor honderdduizenden euro's door gecompromitteerde email die voor valse facturen werd gebruikt. De root cause: geen monitoring op identity security en geen lifecycle management van access tokens.
Praktische takeaways
- Start met een CMDB. Documenteer deze week je vijf meest kritieke applicaties met hun dependencies, versies en eigenaren. Dit is je startpunt.
- Identificeer end-of-life dates. Check voor elke dependency wanneer support eindigt. Zet items die binnen 18 maanden end-of-life gaan op de roadmap.
- Implementeer certificaat monitoring. Tools zoals Certificate Transparency logs, of cloud-native services (Azure Key Vault, AWS Certificate Manager) geven alerts vóór expiration.
- Bereken lifecycle kosten bij nieuwe projecten. Vraag bij elke nieuwe solution: wat kost dit over vijf jaar, inclusief updates, patches en eventuele migraties?
- Automatiseer waar mogelijk. Secret rotation, certificaat renewal en patch management zijn kandidaten voor automatisering. Elke handmatige stap is een potentieel faalpunt.
Conclusie
Lifecycle management is geen eenmalig project maar een doorlopende discipline. Het vereist tooling, processen, en een cultuurverandering: van reactief ("het is kapot, we moeten fixen") naar proactief ("dit gaat over 12 maanden end-of-life, we moeten plannen").
De investering betaalt zich terug in minder incidenten, lagere migratiekosten en een betere security posture. Belangrijker nog: het geeft controle. Je weet wat je hebt, wat het kost, en wanneer je moet handelen.
"De dragende draad door alles is lifecycle management," concludeert Filip. "Van security, identity, dataclassificatie, runtime versies, tot de hardware. Als je dat niet actief beheert, loop je achter de feiten aan."
Wil je grip krijgen op de lifecycle van je IT-landschap? Crafted by Elmos.
Filip Verlee is Architect bij Elmos met ruime ervaring in cloud infrastructuur en security.
