# Supply chain-beveiliging rondom Google Workspace

Supply chain-beveiliging rondom Google Workspace richt zich op een aanvalsroute die veel beheerders onderschatten: niet jouw systemen worden direct aangevallen, maar de leveranciers, koppelingen en apps die toegang hebben tot je omgeving. Een gecompromitteerde third-party app met brede rechten kan net zoveel schade aanrichten als een gehackt account. In Workspace zit dit risico vooral in OAuth-apps en Marketplace-integraties.

[[TOC]]

## Waar het risico zit

Wanneer een medewerker een externe app koppelt aan zijn Workspace-account, geeft die app vaak toegang tot mail, Drive of contacten via OAuth. Die app draait bij een derde partij die jij niet beheert. Wordt die partij gehackt, dan heeft de aanvaller mogelijk toegang tot jouw data via de verleende rechten.

Dit is precies wat een supply chain-aanval doet: het zwakste punt is niet jouw beveiliging maar die van een leverancier in de keten.

:::warn title="Eén app kan een heel account openleggen"
Een enkele OAuth-app met brede rechten, gekoppeld door een onoplettende medewerker, kan toegang hebben tot alle mail en bestanden van dat account. Wordt de leverancier achter die app gecompromitteerd, dan ligt jouw data open. Inventariseer welke apps welke rechten hebben voordat je iets anders aan supply chain-beveiliging doet.
:::

## Third-party apps inventariseren

De eerste stap is zicht krijgen op wat er gekoppeld is. In de Admin-console zie je welke third-party apps toegang hebben tot je organisatie en welke scopes ze gebruiken.

:::howto title="App-toegang inventariseren"
1. Ga in de Admin-console naar **Beveiliging**, dan **Toegangs- en gegevensbeheer**, dan **API-controles**.
2. Klik op **App-toegang beheren** en bekijk het overzicht van apps met toegang tot je Workspace-data.
3. Noteer per app welke OAuth-scopes zijn verleend en welke toegangsstatus de app heeft.
4. Markeer apps met brede of gevoelige scopes, zoals volledige Drive- of mailtoegang.
5. Stel vast welke apps onbekend, ongebruikt of overbodig zijn en zet die op de nominatie om te blokkeren.
:::

Apps krijgen in de Admin-console een toegangsstatus. Ken het verschil: **Vertrouwd** geeft een app brede toegang, **Beperkt** staat alleen niet-gevoelige scopes toe, **Specifieke Google-data** wijst per dienst toe, en **Geblokkeerd** ontzegt alle toegang.

## Apps beoordelen en beperken

Niet elke app verdient toegang. Beoordeel apps op noodzaak, betrouwbaarheid van de leverancier en de breedte van de gevraagde rechten. De volgende criteria helpen je consequent te beslissen.

| Criterium | Vraag die je stelt |
| --- | --- |
| Noodzaak | Is de app echt nodig voor het werk? |
| Leverancier | Is het een betrouwbare, bekende aanbieder? |
| Scopes | Vraagt de app niet meer rechten dan nodig? |
| Status | Wordt de app actief gebruikt of is het een vergeten koppeling? |

Workspace laat je app-toegang centraal sturen. Je kunt apps blokkeren, beperkt toestaan of als vertrouwd markeren. Een krachtige instelling is het beperken van toegang tot uitsluitend door jou goedgekeurde apps voor gevoelige scopes.

:::tip title="Bescherm gevoelige scopes met goedkeuring vooraf"
Zet voor gevoelige OAuth-scopes, zoals volledige toegang tot Gmail of Drive, een beleid van expliciet goedkeuren. Standaard staat het verlenen van toegang vaak open voor gebruikers. Door gevoelige scopes te beperken tot een goedgekeurde lijst voorkom je dat een medewerker ongemerkt brede toegang weggeeft aan een onbekende app.
:::

## Marketplace en interne integraties

De Google Workspace Marketplace biedt veel apps. Je kunt instellen dat gebruikers alleen door beheerders goedgekeurde Marketplace-apps mogen installeren. Dat sluit een hele klasse van risicovolle koppelingen uit. Behandel ook interne integraties en serviceaccounts als onderdeel van je supply chain.

:::info title="Serviceaccounts niet vergeten"
Serviceaccounts die scripts en integraties gebruiken, hebben vaak brede rechten via domain-wide delegation en worden zelden gereviewd. Behandel ze als kritieke onderdelen van je supply chain: beperk hun scopes, roteer sleutels en controleer periodiek of ze nog nodig zijn. Een vergeten serviceaccount met brede rechten is een open achterdeur.
:::

## Doorlopend monitoren

Supply chain-beveiliging is geen eenmalige opschoning. Er worden nieuwe apps gekoppeld en rechten veranderen. Neem het token-auditlog op in je monitoring en review periodiek welke apps toegang hebben. Koppel dit aan je [[workspace-siem-koppeling|SIEM]] en aan je leveranciersbeoordeling uit [[workspace-nis2-checklist|de NIS2-checklist]].

:::faq
### Wat is een supply chain-aanval in Workspace-context?
Een aanval waarbij niet jouw omgeving direct wordt gehackt, maar een gekoppelde third-party app of leverancier. Via de verleende OAuth-rechten krijgt de aanvaller dan toegang tot jouw data.

### Hoe zie ik welke apps toegang hebben?
Via de Admin-console onder Beveiliging, Toegangs- en gegevensbeheer, API-controles, en daar App-toegang beheren. Je ziet alle apps met toegang en hun scopes. Begin daar je inventarisatie.

### Kan ik voorkomen dat gebruikers zelf apps koppelen?
Ja. Je kunt OAuth-toegang voor gevoelige scopes beperken tot goedgekeurde apps en Marketplace-installaties aan beheerdersgoedkeuring binden. Je kunt zelfs alle third-party API-toegang standaard blokkeren.

### Wat betekenen de toegangsstatussen Vertrouwd, Beperkt en Geblokkeerd?
Vertrouwd geeft een app brede toegang tot de toegestane scopes, Beperkt staat alleen niet-gevoelige scopes toe, en Geblokkeerd ontzegt de app alle toegang tot Google-diensten. Specifieke Google-data laat je per dienst toewijzen.

### Hoe vaak moet ik app-toegang reviewen?
Periodiek, bijvoorbeeld elk kwartaal, plus bij elk signaal uit het token-auditlog. Verwijder ongebruikte en overbodige koppelingen consequent.

### Tellen serviceaccounts ook mee als supply chain-risico?
Ja. Serviceaccounts met domain-wide delegation hebben vaak brede rechten en worden makkelijk vergeten. Inventariseer ze samen met de externe apps, beperk hun scopes en roteer hun sleutels periodiek.
:::

Met een grondige inventarisatie, kritische beoordeling, beperking van gevoelige scopes en doorlopende monitoring beheers je het supply chain-risico rondom Workspace. De grootste winst zit in zicht krijgen op wat er gekoppeld is: veel organisaties ontdekken dan apps waarvan ze het bestaan waren vergeten.