Wat is cloud security?
Cloud security (cloudbeveiliging) is het geheel van technologie, processen en beleid waarmee je de omgevingen, applicaties, identiteiten en data beschermt die een organisatie bij een cloudleverancier draait. Het gaat om alles wat nodig is om een omgeving op AWS, Azure of Google Cloud veilig te bouwen, beheren en monitoren — van toegangsrechten en versleuteling tot netwerksegmentatie, logging en het continu bewaken van de configuratie.
Cloud is daarbij geen één-op-één-kopie van het eigen datacenter dat toevallig ergens anders staat. De cloud werkt met andere bouwstenen: identiteiten in plaats van fysieke poorten, API's in plaats van handmatige handelingen, en tijdelijke, snel veranderende resources in plaats van vaste servers. Een omgeving kan binnen seconden worden uitgerold via code, en net zo snel verkeerd worden geconfigureerd. Daardoor verschuift de focus van het beschermen van een vaste ‘perimeter’ naar het continu bewaken van configuratie, identiteit en gedrag. Precies die verschuiving heeft een eigen vakgebied — met eigen rollen — doen ontstaan.
Het gedeelde verantwoordelijkheidsmodel: het fundament
Wie cloud security wil begrijpen, begint bij het gedeelde verantwoordelijkheidsmodel (shared responsibility model). Dit model verdeelt de beveiliging tussen de cloudleverancier en de klant, en het misverstand erover is de oorzaak van talloze datalekken.
De kern is eenvoudig: de leverancier is verantwoordelijk voor de beveiliging ván de cloud, de klant voor de beveiliging ín de cloud.
- De leverancier beschermt de fysieke datacenters, de hardware, het netwerk en de onderliggende infrastructuur waarop de clouddiensten draaien.
- De klant beschermt zijn eigen configuratie, identiteiten en toegangsrechten, data, applicaties en netwerk-instellingen.
Hoeveel een klant zelf moet regelen, hangt af van het servicemodel. Bij IaaS (Infrastructure as a Service) ligt veel verantwoordelijkheid bij de klant: besturingssysteem, patches, applicaties en data. Bij PaaS (Platform as a Service) neemt de leverancier het platform voor zijn rekening, maar blijft de klant verantwoordelijk voor de eigen applicatie, data en toegang. Bij SaaS (Software as a Service) doet de leverancier het meeste, maar blijft de klant verantwoordelijk voor één ding dat áltijd van hem is: identiteiten, toegangsrechten en de eigen data.
De valkuil is duidelijk: organisaties gaan er soms van uit dat ‘de cloud veilig is’ en dat de leverancier alles afdekt. Maar een verkeerd ingestelde opslagbucket, een te ruim toegangsrecht of een vergeten multifactor-authenticatie valt vrijwel altijd onder de verantwoordelijkheid van de klant. Het vertalen van dit model naar concrete maatregelen is een van de kerntaken van iedere cloud-securityprofessional.
Het verschil met klassieke IT-security
Cloud security bouwt voort op de fundamenten van klassieke IT-security, maar verschilt op een aantal punten wezenlijk — en dat verklaart waarom werkgevers gericht zoeken naar cloud-specialisten.
- Identiteit is de nieuwe perimeter. In een traditioneel netwerk bepaalde de firewall de grens. In de cloud is dat identiteit: wie of wat mag wat? Goed beheer van IAM (Identity & Access Management) en het principe van least privilege zijn daarmee belangrijker dan ooit.
- Alles is code. Cloudomgevingen worden uitgerold via infrastructure as code (zoals Terraform) en CI/CD-pipelines. Security moet dus mee in die code — je beveiligt niet achteraf een server, maar bouwt veiligheid in het bouwproces zelf in.
- Snelheid en schaal. Resources verschijnen en verdwijnen continu. Handmatig bijhouden is onmogelijk; beveiliging moet geautomatiseerd en continu zijn.
- Misconfiguratie als grootste risico. Niet een geavanceerde hack, maar een simpele verkeerde instelling is de meest voorkomende oorzaak van cloudincidenten. Het continu opsporen daarvan is een vak apart.
- Multicloud. Veel organisaties gebruiken meerdere providers tegelijk, elk met eigen tooling en terminologie. Overzicht houden over die versnipperde omgeving is een uitdaging op zich.
Het gereedschap: CSPM, CWPP, CIEM en CNAPP
Rond cloud security is een heel ecosysteem aan tooling ontstaan, vaak aangeduid met afkortingen. Wie in het vakgebied werkt, moet ze kennen:
- CSPM (Cloud Security Posture Management) — controleert continu of de cloudconfiguratie voldoet aan benchmarks en compliance-eisen en spoort misconfiguraties op. De meest gebruikte eerste verdedigingslinie.
- CWPP (Cloud Workload Protection Platform) — beschermt de draaiende workloads zelf: virtuele machines, containers en serverless functies.
- CIEM (Cloud Infrastructure Entitlement Management) — brengt in kaart wie en wat welke rechten heeft binnen het cloud-IAM en helpt overbodige rechten af te bouwen.
- DSPM (Data Security Posture Management) — vindt gevoelige data en houdt bij wie er allemaal bij kan.
Sinds 2021 brengt Gartner deze capaciteiten samen onder één noemer: het CNAPP (Cloud-Native Application Protection Platform). In plaats van losse tools voor configuratie, workloads, rechten en data, kiezen organisaties steeds vaker voor één geïntegreerd platform. In 2026 is die consolidatie de norm: bedrijven brengen het aantal beveiligingsleveranciers terug en willen één samenhangend beeld van hun cloudrisico. Voor een security architect of Cloud Security Engineer betekent dit dat kennis van CNAPP-platforms inmiddels tot de standaarduitrusting hoort.
Op zoek naar een rol in cloud security?
Van Cloud Security Engineer en DevSecOps tot Cloud Security Architect en cloud-auditor: op IT Compliance Jobs vind je de nieuwste vacatures bij techbedrijven, banken, de overheid en toonaangevende adviesbureaus.
Bekijk alle vacaturesWaarom cloud security nú urgent is: NIS2, DORA en compliance
De vraag naar cloud-securityprofessionals groeit niet alleen door de technische verschuiving, maar ook door een stevige compliance-aanjager. Wereldwijd loopt de uitgave aan cloudsecurity inmiddels op tot tientallen miljarden euro's per jaar, met dubbele groeicijfers — en in Nederland versterken meerdere regels die trend.
De NIS2-richtlijn en de Nederlandse Cyberbeveiligingswet verplichten een brede groep organisaties om hun cyberweerbaarheid aantoonbaar op orde te hebben — inclusief de clouddiensten waarvan ze afhankelijk zijn. Voor de financiële sector stelt de DORA-verordening daar bovenop expliciete eisen aan de beheersing van ICT-uitbestedingsrisico's, waaronder kritieke cloudleveranciers. En de AVG blijft eisen dat persoonsgegevens in de cloud goed beschermd zijn, ongeacht waar ze worden verwerkt.
Daarbovenop bestaan er specifieke cloudnormen. ISO/IEC 27017 geeft richtlijnen voor informatiebeveiliging van clouddiensten, ISO/IEC 27018 richt zich op de bescherming van persoonsgegevens in de cloud, en het CSA STAR-programma van de Cloud Security Alliance biedt een assurance-raamwerk speciaal voor cloudleveranciers. Het samenspel van wetgeving en normen maakt cloud security tot een vak waarin techniek én compliance onlosmakelijk samenkomen — en dat verklaart waarom de rollen zo breed zijn.
De nieuwe rollen: van Cloud Security Engineer tot cloud-auditor
Cloud security is bij uitstek een vakgebied waarin techniek, architectuur, governance en compliance samenkomen. Dat zie je terug in de breedte aan functies die ontstaan. Hieronder de belangrijkste rollen die in de vacatures opduiken.
Cloud Security Engineer
De handen-uit-de-mouwen-rol. De Cloud Security Engineer implementeert en beheert de beveiliging van de cloudomgeving: IAM en least privilege, netwerksegmentatie, versleuteling, logging en monitoring, en het hardenen van workloads. Deze engineer automatiseert beveiliging zoveel mogelijk via infrastructure as code en pipelines, en bewaakt de configuratie met CSPM- en CNAPP-tooling. Het is de rol waarin diepe kennis van minstens één cloudplatform (AWS, Azure of GCP) het meest direct van pas komt.
Cloud Security Architect
Waar de engineer uitvoert, ontwerpt de Cloud Security Architect het grotere plaatje: de referentiearchitectuur, de landing zones, de identiteitsstrategie en de standaarden waarmee een hele organisatie haar cloud veilig inricht. Deze rol denkt in zero trust, multicloud en schaalbaarheid, en is een natuurlijke verbreding voor een ervaren security architect die zich in de cloud verdiept. Het is doorgaans ook de best betaalde rol binnen het vakgebied.
DevSecOps Engineer
De DevSecOps Engineer brengt security naar het hart van het softwareontwikkelproces. In plaats van beveiliging achteraf toe te voegen (‘shift left’), bouwt deze rol security-checks, scans en guardrails direct in de CI/CD-pipeline. Denk aan het scannen van code en containers op kwetsbaarheden, het bewaken van secrets en het automatisch afdwingen van veilige configuraties. Het is een rol op het snijvlak van ontwikkeling, operations en security — en juist daarom schaars en gewild.
Cloud Security Specialist / Consultant
De Cloud Security Specialist of Cloud Security Consultant adviseert organisaties over het veilig inrichten en verbeteren van hun cloudomgeving. Deze rol zie je veel bij adviesbureaus en als interim- of freelanceopdracht: van het uitvoeren van een cloud-securityassessment tot het begeleiden van een migratie of het invoeren van een CNAPP-platform. Het verschil met de adviseur informatiebeveiliging zit in de diepe cloudfocus.
Cloud Security Auditor
En dan de derde lijn. Steeds vaker zoeken organisaties een IT-auditor met cloudexpertise die toetst of de beheersmaatregelen in de cloud daadwerkelijk werken. Deze Cloud Security Auditor combineert auditmethodiek en frameworks (ISO 27017, NIS2, DORA, SOC 2) met begrip van cloudarchitectuur — een schaarse combinatie. In het Three Lines Model vult deze rol de onafhankelijke derde lijn voor de cloud in.
Daarnaast verbreden bestaande rollen hun scope. Een CISO is allang verantwoordelijk voor de cloud, en een IT Risk Officer moet clouddreigingen en uitbestedingsrisico's net zo goed kunnen wegen als klassieke IT-risico's. Cloud security is daarmee geen niche meer, maar een dimensie die door het hele security- en compliancevak heen loopt.
Wat verdient een cloud-securityprofessional in Nederland?
Omdat de combinatie van clouddiepgang en securityexpertise schaars is, betalen werkgevers er goed voor. De exacte beloning hangt af van rol, ervaring, cloudplatform en sector — in de financiële sector en bij grote techbedrijven liggen de bedragen gemiddeld hoger. Onderstaande tabel geeft een realistische indicatie van de brutosalarissen in Nederland in 2026.
| Functie | Niveau | Indicatie bruto jaarsalaris |
|---|---|---|
| Cloud Security Engineer | Medior | €60.000 – €90.000 |
| DevSecOps Engineer | Medior / senior | €70.000 – €100.000 |
| Cloud Security Architect | Senior | €100.000 – €150.000 |
| Cloud Security Specialist / Consultant | Medior / senior | €70.000 – €110.000 |
| Cloud Security Auditor | Medior / senior | €65.000 – €100.000 |
Marktbronnen noemen voor een Cloud Security Architect in Nederland gemiddeld rond de €120.000 tot €130.000 bruto per jaar, oplopend tot ruim daarboven voor de meest ervaren profielen. Freelance en interim cloud-securityspecialisten rekenen doorgaans een dagtarief tussen de €800 en €1.400, afhankelijk van senioriteit en certificeringen. Wil je meer weten over beloning in het vakgebied, lees dan onze salaristrends voor 2026.
Certificeringen en skills voor cloud security
Cloud security vraagt om een mix van diepe platformkennis en bredere securityprincipes. De volgende certificeringen en kennisgebieden geven een duidelijke voorsprong:
- CCSP (Certified Cloud Security Professional, ISC2) — de meest gerichte, vendoronafhankelijke cloud-securitycertificering, sterk op architectuur en governance. Vereist vijf jaar IT-ervaring (waarvan drie in security en één in een van de zes CCSP-domeinen). Een CISSP vervangt die hele ervaringseis, en de CCSK telt mee voor één jaar.
- CCSK (Certificate of Cloud Security Knowledge, Cloud Security Alliance) — een examen zónder ervaringseis, en daarmee een ideaal startpunt voor wie het vakgebied in wil.
- Platformcertificeringen — AWS Certified Security Specialty, Microsoft Azure Security Engineer Associate (AZ-500) en Google Professional Cloud Security Engineer. Minimaal één hiervan, passend bij de cloud van je werkgever, is vaak een harde eis.
- Brede securityfundamenten — CISSP en CISM voor architect- en managementrollen.
- CISA — onmisbaar voor wie de auditkant op wil en cloud-beheersmaatregelen wil toetsen.
- Kennis van frameworks en normen — ISO 27017 en 27018, CSA STAR, NIST CSF en uiteraard de NIS2- en DORA-eisen.
Een sterk profiel combineert doorgaans één vendoronafhankelijke certificering (zoals CCSP of CCSK) met minstens één platformcertificering. Minstens zo belangrijk als papieren is de juiste houding: de beste cloud-securityprofessionals zijn nieuwsgierig naar techniek, denken in automatisering, en kunnen schakelen tussen het ontwikkelteam, de IT-afdeling en het bestuur.
Past een carrière in cloud security bij jou?
Cloud security past goed bij mensen die zich thuis voelen op het snijvlak van techniek, architectuur en compliance — en die het leuk vinden om mee te bewegen met een vakgebied dat snel verandert. Kom je uit de klassieke IT-security en wil je mee met de verschuiving naar de cloud? Dan is de stap verrassend logisch. Kom je juist uit development of operations en trekt security je? Dan is DevSecOps een natuurlijke route, want je begrijpt de pipeline al van binnenuit.
Het vakgebied staat nog aan het begin van een lange groeicurve. Met de voortgaande migratie naar de cloud, de consolidatie naar CNAPP-platforms en wetgeving als NIS2 en DORA die organisaties dwingt hun cloud aantoonbaar op orde te brengen, is de vraag naar Cloud Security Engineers, Architecten, DevSecOps-specialisten en cloud-auditors de komende jaren alleen maar groter. Wil je weten hoe deze rollen zich verhouden tot de rest van het vakgebied? Lees dan onze gids over het verschil tussen CISO, ISO, BISO en TISO en over de belangrijkste cloud security certificeringen. En ben je klaar voor de volgende stap? Bekijk de actuele vacatures in cloud security en IT-compliance en vind de organisatie die bij je past.