Security

Ik heb jarenlang KeePass gebruikt. Daarna 1Password. Daarna Bitwarden. Allemaal prima tools, maar ze voelden altijd… te veel. Te veel UI, te veel features, te veel gedoe om ze goed te integreren in mijn workflow. Toen ontdekte ik pass. Een password manager die precies doet wat de naam zegt: wachtwoorden opslaan. Niets meer, niets minder. Wat is pass? Pass is de “standard unix password manager.” Het is een shell script van ~700 regels dat wachtwoorden opslaat als GPG-versleutelde bestanden in een directory. Dat is het. Geen database, geen proprietary format, geen cloud sync ingebouwd. ...

GPG is een van die tools die iedereen “ooit moet leren” maar waar niemand zin in heeft. De documentatie is overweldigend, de terminologie verwarrend, en de error messages cryptisch (pun intended). Maar GPG is ook onmisbaar. Het is de basis voor pass, voor signed git commits, voor versleutelde email, en voor het verifiëren van software downloads. Als je serieus bent over security, ontkom je er niet aan. Dit is de gids die ik zelf had willen hebben toen ik begon. ...

Wanneer alles cluster-admin heeft, is niets veilig. Kubernetes RBAC (Role-Based Access Control) bestaat om één vraag te beantwoorden: wie kan wat doen met welke resources? De meeste clusters antwoorden verkeerd: “iedereen kan alles doen.” Dit is niet alleen een security probleem — het is een resilience probleem. Wanneer een service account wordt gecompromitteerd, hoeveel schade kan het aanrichten? Wanneer iemand het verkeerde commando uitvoert, wat is de blast radius? Least privilege beperkt die radius. ...

Je scande je images met Trivy. Je dwingt policies af met Kyverno. Je workloads hebben cryptografische identiteit via SPIFFE. Maar wat gebeurt er na deployment? Wat als een container wordt gecompromitteerd tijdens runtime? Wat als een aanvaller een zero-day exploiteert? Preventie is niet genoeg. Je hebt detectie nodig. Falco is een runtime security tool die system calls monitort in je cluster. Het ziet alles wat containers doen — bestandstoegang, netwerkverbindingen, procesuitvoering — en alert wanneer iets er verkeerd uitziet. ...

Hoe weet Service A dat Service B echt Service B is? In traditionele netwerken vertrouwden we netwerk locatie. Als traffic van het juiste IP kwam, was het legitiem. Zero trust doodde die aanname. Nu moet elke service zijn identiteit bewijzen, elke keer, ongeacht netwerkpositie. SPIFFE (Secure Production Identity Framework for Everyone) is een standaard voor service identity. SPIRE is de productie-klare implementatie. Samen geven ze elke workload een cryptografische identiteit — automatisch, zonder statische secrets. ...