Security

Kubernetes networking is berucht complex. CNI plugins, kube-proxy, iptables chains, service meshes — laag op laag van abstractie die uiteindelijk kapotgaat op manieren die niemand begrijpt. Cilium verandert dit. Het gebruikt eBPF om networking logica in de Linux kernel te plaatsen, waarbij iptables volledig wordt overgeslagen. Het resultaat: betere performance, meer zichtbaarheid, en network policies die daadwerkelijk logisch zijn. Dit draai ik in mijn clusters. Laat me je tonen waarom. Wat is eBPF? eBPF (extended Berkeley Packet Filter) laat je sandboxed programma’s draaien in de Linux kernel zonder kernel source code te wijzigen of kernel modules te laden. ...

Compliance audits zijn pijnlijk. Iedereen die ISO 27001 certificering heeft meegemaakt kent het ritueel: weken documentatie verzamelen, screenshots van configuraties, bewijs van change management processen, bewijzen dat wat je zegt te doen ook daadwerkelijk is wat je doet. Maar hier is iets wat ik heb gerealiseerd na jaren declaratieve infrastructuur draaien: systemen zoals Talos en NixOS maken infrastructuur niet alleen beter — ze maken compliance dramatisch makkelijker. Dezelfde eigenschappen die deze systemen betrouwbaar maken (immutability, reproduceerbaarheid, auditeerbaarheid) zijn precies wat auditors willen zien. ...

De eerste keer dat ik probeerde te SSH’en naar een Talos node, kreeg ik niets. Geen shell, geen verbinding, geen vertrouwde Linux prompt. Mijn directe reactie was verwarring, toen milde paniek. Hoe moet ik dit ding debuggen? Dat was drie jaar geleden. Vandaag kan ik me niet voorstellen Kubernetes op iets anders te draaien. Wat is Talos Linux? Talos Linux is een Linux distributie specifiek ontworpen voor Kubernetes. Maar het een “Linux distributie” noemen doet tekort aan hoe anders het is. Talos verwijdert alles wat een traditioneel Linux systeem… traditioneel maakt. ...

Ik spendeer mijn avonden aan Hack The Box challenges en CTF competities. Niet omdat ik pentester wil worden — ik ben prima tevreden in platform engineering. Maar omdat de skills die ik daar leer me significant beter maken in mijn dagelijkse werk. Dit is niet meteen duidelijk. Wat heeft het pwnen van een kwetsbare web app te maken met het runnen van Kubernetes clusters? Meer dan je zou denken. Forensics en offensive security trainen je om anders over systemen na te denken. Je leert onderzoeken, traceren, begrijpen wat er daadwerkelijk gebeurt in plaats van wat er zou moeten gebeuren. En die mindset — plus de tooling — is precies wat je nodig hebt wanneer je productie-issues debugt om 3 uur ’s nachts. ...

“Dus wat is dat zero trust precies waar iedereen het over heeft?” Ik krijg deze vraag vaak. Meestal van managers, directieleden, of iedereen die security-budgetten moet goedkeuren zonder technische achtergrond. En eerlijk gezegd zijn de meeste uitleggen verschrikkelijk. Ze verdrinken in jargon of zijn zo versimpeld dat ze nutteloos worden. Dus hier is mijn poging tot een metafoor die echt werkt. Eentje die ik succesvol heb gebruikt om zero trust uit te leggen aan mijn ouders, aan directieleden, en aan die ene collega die nog steeds denkt dat de firewall “de internetbox” is. ...