Google Workspace is een krachtig platform dat door miljoenen bedrijven wereldwijd wordt gebruikt. Maar de standaardconfiguratie is ontworpen voor gebruiksgemak, niet voor maximale beveiliging. Dit betekent dat veel beveiligingsfuncties uitgeschakeld zijn of op het laagste niveau staan ingesteld. Met gerichte aanpassingen versterkt u de veiligheid van uw organisatie aanzienlijk.
Waarom hardening noodzakelijk is
Google investeert miljarden in beveiliging, maar gedeelde verantwoordelijkheid is het uitgangspunt. Google beveiligt de infrastructuur, u beveiligt uw configuratie en data. Dit wordt het "shared responsibility model" genoemd. De meeste beveiligingsincidenten in cloud-omgevingen worden niet veroorzaakt door kwetsbaarheden in het platform, maar door misconfiguratie aan de kant van de klant.
De risico's van standaardinstellingen
Met de standaardinstellingen kan elke gebruiker bestanden delen met iedereen, elke third-party app koppelen, en inloggen zonder MFA. Dit zijn precies de vectoren die aanvallers gebruiken om toegang te krijgen tot uw bedrijfsgegevens.
1. Multi-Factor Authenticatie (MFA) afdwingen
Dit is verreweg de allerbelangrijkste stap. MFA zorgt ervoor dat zelfs wanneer een wachtwoord wordt gestolen (via phishing, credential stuffing of een datalek), de aanvaller geen toegang krijgt tot het account. Zonder MFA is een gestolen wachtwoord een open deur naar al uw bedrijfsdata.
Stap 1: Ga naar Admin Console > Beveiliging > Verificatie in twee stappen
Stap 2: Schakel "Afdwingen" in voor de gehele organisatie
Stap 3: Stel de geaccepteerde methoden in. Wij adviseren FIDO2 security keys als primaire methode en de Google Authenticator app als fallback. SMS is de zwakste optie en wordt door Google afgeraden.
Stap 4: Stel een redelijke inschrijvingsperiode in (7-14 dagen) zodat medewerkers de tijd hebben om zich voor te bereiden
2. SPF, DKIM en DMARC configureren
Google configureert standaard SPF voor u, maar DKIM moet u handmatig inschakelen. Dit is een veelvoorkomende omissie die uw domein kwetsbaar maakt voor spoofing.
SPF: Controleer of include:_spf.google.com in uw SPF-record staat. Dit is essentieel als u Google Workspace gebruikt voor e-mail.
DKIM: Ga naar Apps > Gmail > E-mail verifiëren om uw DKIM-sleutel te genereren. Publiceer de sleutel als CNAME- of TXT-record in uw DNS. Gebruik een 2048-bit sleutel.
DMARC: Voeg een DMARC TXT-record toe aan uw DNS. Begin met v=DMARC1; p=none; rua=mailto:dmarc@uwbedrijf.nl en werk geleidelijk naar p=reject.
3. App-toegang beperken (OAuth)
Gebruikers kunnen standaard onbeperkt third-party apps koppelen aan hun Google Workspace account. Dit is een groot risico, want kwaadaardige apps kunnen volledige toegang krijgen tot e-mail, bestanden en contacten.
Ga naar Beveiliging > API-bediening > App-toegangsbeheer
Stel in dat nieuwe apps eerst goedgekeurd moeten worden door een admin
Whitelist alleen de apps die uw organisatie daadwerkelijk nodig heeft
Controleer regelmatig welke apps al gekoppeld zijn en revoke onbekende apps
4. Data Loss Prevention (DLP)
DLP-regels voorkomen dat gevoelige informatie per ongeluk of opzettelijk wordt gedeeld. Dit is beschikbaar in Business Standard en hoger.
- BSN-nummers: Blokkeer het verzenden van BSN-nummers via Gmail of het delen via Drive
- Creditcardgegevens: Detecteer en blokkeer patronen die overeenkomen met creditcardnummers
- Medische gegevens: Voorkom het delen van gezondheidsdata buiten de organisatie
- Financiële data: Bescherm IBAN-nummers, salarisgegevens en financiële rapporten
5. Drive-deling beperken
Google Drive is een van de grootste risico's in een standaardconfiguratie. Standaard kunnen gebruikers bestanden delen met iedereen, inclusief externe partijen.
Aanbevolen instellingen
- Standaard delen beperkt tot de organisatie
- Extern delen alleen toegestaan met goedgekeurde domeinen
- "Iedereen met de link" uitschakelen voor externe deling
- Vervaldatum instellen op gedeelde links
- Downloads, afdrukken en kopiëren uitschakelen voor gevoelige bestanden
6. Monitoring en alerting
Schakel beveiligingswaarschuwingen in voor verdachte activiteiten. Dit is uw vroegtijdig waarschuwingssysteem:
- Aanmeldingen vanuit onbekende locaties: Alert wanneer een gebruiker inlogt vanuit een land waar uw bedrijf geen activiteiten heeft
- Wijzigingen aan admin-instellingen: Onmiddellijke notificatie bij wijzigingen aan beveiligingsinstellingen
- Massale bestandsdownloads: Alert wanneer een gebruiker ongewoon veel bestanden downloadt vanuit Drive
- Verdachte e-mail activiteit: Alert bij het instellen van doorstuurregels, delegates of filters
- Nieuwe OAuth-apps: Notificatie wanneer gebruikers nieuwe apps koppelen
7. Geavanceerde instellingen
Voor optimale beveiliging zijn er nog enkele geavanceerde configuraties die u zou moeten overwegen:
Context-Aware Access
Beperk toegang op basis van context: apparaat, locatie, IP-adres en beveiligingsstatus. Bijvoorbeeld: toegang tot Gmail alleen vanaf beheerde apparaten, of ShareDrive alleen vanuit het bedrijfsnetwerk.
Endpointbeheer
Dwing versleuteling af op mobiele apparaten, stel wachtwoordbeleid in en behoud de mogelijkheid om apparaten op afstand te wissen bij verlies of diefstal.
Advanced Protection Program
Voor high-risk gebruikers (CEO, CFO, IT-admin) biedt Google het Advanced Protection Program. Dit vereist FIDO2 security keys en blokkeert alle third-party app-toegang tot het account. Maximale beveiliging voor de accounts die het meest worden getarget.
Hardening checklist
- MFA afdwingen voor alle gebruikers
- DKIM inschakelen per domein
- DMARC instellen op p=reject
- Extern delen beperken in Drive
- OAuth-apps beperken
- Beveiligingswaarschuwingen inschakelen
- DLP-regels configureren
- Context-aware access instellen
Hulp nodig bij het beveiligen van uw Google Workspace?
Wij voeren Google Workspace security audits uit en helpen u met de configuratie van alle beveiligingsinstellingen.
Plan een audit