Security

Een cryptografische signature is een van de weinige dingen online die precies betekent wat er staat. Is de key van jou en verifieert de signature, dan komt de inhoud van jou. Geen vendor geeft deze identiteit uit, geen CA kan hem intrekken, geen platform kan hem schorsen. Hij bestaat omdat jij de key hebt gegenereerd, en hij blijft van jou zolang jij de private helft beheert. Het meeste wat we “online identiteit” noemen is geleend van iemand anders: een handle die gebanned kan worden, een blauw vinkje dat weggehaald kan worden, een e-mailadres dat een domein-eigenaar kan terugeisen. Een GPG-signature staat daarbuiten. Óf de key die deze alinea heeft ondertekend is van jou, óf niet, en niemand anders mag daarover beslissen. ...

Compliance audits zijn pijnlijk. Iedereen die ISO 27001 certificering heeft meegemaakt kent het ritueel: weken documentatie verzamelen, screenshots van configuraties, bewijs van change management processen, bewijzen dat wat je zegt te doen ook daadwerkelijk is wat je doet. Maar hier is iets wat ik heb gerealiseerd na jaren declaratieve infrastructuur draaien: systemen zoals Talos en NixOS maken infrastructuur niet alleen beter — ze maken compliance dramatisch makkelijker. Dezelfde eigenschappen die deze systemen betrouwbaar maken (immutability, reproduceerbaarheid, auditeerbaarheid) zijn precies wat auditors willen zien. ...

Ik spendeer mijn avonden aan Hack The Box challenges en CTF competities. Niet omdat ik pentester wil worden — ik ben prima tevreden in platform engineering. Maar omdat de skills die ik daar leer me significant beter maken in mijn dagelijkse werk. Dit is niet meteen duidelijk. Wat heeft het pwnen van een kwetsbare web app te maken met het runnen van Kubernetes clusters? Meer dan je zou denken. Forensics en offensive security trainen je om anders over systemen na te denken. Je leert onderzoeken, traceren, begrijpen wat er daadwerkelijk gebeurt in plaats van wat er zou moeten gebeuren. En die mindset — plus de tooling — is precies wat je nodig hebt wanneer je productie-issues debugt om 3 uur ’s nachts. ...

“Dus wat is dat zero trust precies waar iedereen het over heeft?” Ik krijg deze vraag vaak. Meestal van managers, directieleden, of iedereen die security-budgetten moet goedkeuren zonder technische achtergrond. En eerlijk gezegd zijn de meeste uitleggen verschrikkelijk. Ze verdrinken in jargon of zijn zo versimpeld dat ze nutteloos worden. Dus hier is mijn poging tot een metafoor die echt werkt. Eentje die ik succesvol heb gebruikt om zero trust uit te leggen aan mijn ouders, aan directieleden, en aan die ene collega die nog steeds denkt dat de firewall “de internetbox” is. ...

Er is een moment waarop alles klikt. Je plugt je YubiKey in, typt je PIN één keer, en daarna werkt gewoon alles. SSH naar servers? Geen wachtwoord. Git commits signen? Automatisch. Wachtwoord uit pass halen? Touch de key en klaar. Dat moment duurde bij mij ongeveer drie avonden van frustratie om te bereiken. Maar nu het werkt, wil ik nooit meer terug. Waarom Deze Setup? Ik had een probleem: te veel authenticatiemethoden. ...