Afstudeerstage (HBO) – Implementatie Maester in de offensieve security toolset

Ben jij een HBO-afstudeerder met interesse in offensieve security en sterke IT-skills? Dan is deze afstudeerstage bij PGGM iets voor jou.

PGGM wil Maester implementeren als onderdeel van de offensieve security toolset. Maester is een open-source, PowerShell-based test automation framework dat helpt om de Microsoft 365/Entra ID security configuration te monitoren en te borgen met geautomatiseerde tests.

Maester is ontworpen om onder andere:

• ready-made tests te draaien en regressietests te gebruiken bij wijzigingen;
• continuous monitoring in te richten via CI/CD, bijvoorbeeld GitHub Actions of Azure DevOps.

Daarnaast kan Maester integreren met Entra ID Security Config Analyzer (EIDSCA) voor aanvullende Entra ID-checks en mapping richting MITRE ATT&CK.

Kortom: met Maester wil PGGM structureel aantoonbaar maken dat de Entra ID/M365 security baseline klopt én blijft kloppen.

Wat ga je doen?

1) Analyse & ontwerp (security + technisch)

• Inventariseren van de huidige Entra ID/M365 security controls en relevante offensieve use-cases.
• Bepalen van scope: welke Maester testsets, bijvoorbeeld Entra ID/Conditional Access, prioriteit hebben.
• Ontwerp van een target operating model: wie is eigenaar, wie fixt findings, hoe rapporteren we en hoe gaan we om met uitzonderingen.
• Analyseren van conditional access en voorbereiden van changes zodat Maester binnen de juiste richtlijnen gebruikt kan worden.
• Beschrijven hoe Maester gebruik maakt van Pester.
• Maester biedt per test ook configuratie-uitleg en remediation guidance; dit wil PGGM op een bruikbare manier in het proces laten landen.

2) Implementatie Maester (Proof-of-Value → productiewaardig)

• Installeren en configureren van Maester en tests.
• Inrichten van automatisering, bijvoorbeeld GitHub Actions integratie inclusief artifacts en workflow summary, of Azure DevOps Pipelines.
• Inregelen van veilige authenticatie, bij voorkeur met Workload Identity Federation zodat er geen secrets nodig zijn in pipelines en automation.
• Inrichten van output en rapportage; Maester kan resultaten onder andere exporteren naar HTML, JSON, Markdown, CSV en Excel.

3) Baseline, teststrategie & uitbreidingen

• Selecteren en tunen van relevante tests, met aandacht voor het reduceren van false positives en het bepalen van de juiste severity en impact.
• Opzetten van een baseline: wat is “expected” in de PGGM-context, en het definiëren van acceptatiecriteria.
• Optioneel: schrijven van aanvullende custom tests in Pester die PGGM-specifieke policies afdwingen als “security as code”.

4) Governance, processen & overdracht

• Proces ontwerpen voor intake en prioritering van findings, escalatie en owner-toewijzing, uitzonderingen (risk acceptance) en audit trail, en periodieke rapportage over trend, drift en top-risico’s.
• Inrichten van notificaties, bijvoorbeeld naar e-mail of Teams.
• Opleveren van runbooks, beheerdocumentatie en een korte kennissessie voor SecOps.

Op te leveren beroepsproducten

Aan het einde van je afstudeerstage lever je minimaal op:

• Technisch ontwerpdocument (architectuur, keuzes, security-by-design, authenticatie, pipeline-opzet).
• Werkende Maester-implementatie in de gekozen automation-omgeving, inclusief scheduled runs en/of run-on-change waar passend.
• Governance- en procesbeschrijving (RACI/rollen, exception flow, reporting cadence, beheer).
• Teststrategie en baseline (scope, selectie, acceptatiecriteria, roadmap voor uitbreiding).
• Runbook en beheerdocumentatie (install/update, troubleshooting, hoe findings opgevolgd worden).
• Eindrapport plus demo/overdracht aan het SecOps-team.

Opbouw van de afstudeerstage

• ±400 uur meedraaien binnen het SecOps-team om praktijkervaring op te doen met processen, tooling en incidenten.
• ±400 uur afstudeeropdracht waarin je Maester implementeert, governance en processen uitwerkt en een beroepsproduct oplevert.

Binnen het Security Operations (SecOps) team van PGGM werken we aan het continu verbeteren van onze detectie-, response- én preventiecapaciteiten. Voor de offensieve security aanpak wil PGGM meer automatiseren en “security as code” toepassen: consistente, herhaalbare checks op de Microsoft-cloudconfiguratie (Entra ID/M365), zodat misconfiguraties en configuratiedrift sneller zichtbaar worden en beheerst kunnen worden.

Must-have (skills & mindset)

• Sterke technische IT-basis: Windows/PowerShell, Azure/Entra ID basisbegrippen, scripting/automation.
• Affiniteit met offensieve security (denken in aanvalspaden, misconfiguraties en controlepunten).
• Analytisch, zelfstandig, en in staat keuzes te onderbouwen (HBO-niveau: onderzoekend vermogen).

Nice-to-have

• Ervaring met CI/CD (GitHub Actions/Azure DevOps) en IaC/DevSecOps-principes.
• Basiskennis van Microsoft security-domeinen (Conditional Access, identity, tenant hardening).
• Ervaring met testframeworks (Pester is een pré; Maester bouwt hierop voort).

Wat je krijgt

• Een vaste stage-begeleider.
• Inhoudelijke sparring met engineers en analisten.
• Toegang tot relevante documentatie en stakeholders.
• Een stagevergoeding van €1016 per maand, volledige vergoeding van reiskosten en vergoeding van kosten die gepaard gaan met thuiswerken (ca. €70 per maand).