Security

Je homelab cluster draait thuis. Je bent niet altijd thuis. Je hebt toegang nodig. De traditionele aanpak: forward poorten, stel dynamic DNS in, configureer firewall regels, bid dat niemand je blootgestelde services vindt. De betere aanpak: Tailscale. Nul blootgestelde poorten. Veilige WireGuard encryptie. Je apparaten vinden elkaar, waar ze ook zijn. Wat Is Tailscale? Tailscale is een mesh VPN gebouwd op WireGuard. Elk apparaat krijgt een stabiel IP. Elk apparaat kan elk ander apparaat bereiken. Geen centrale server die je verkeer routeert. ...

Een cryptografische signature is een van de weinige dingen online die precies betekent wat er staat. Is de key van jou en verifieert de signature, dan komt de inhoud van jou. Geen vendor geeft deze identiteit uit, geen CA kan hem intrekken, geen platform kan hem schorsen. Hij bestaat omdat jij de key hebt gegenereerd, en hij blijft van jou zolang jij de private helft beheert. Het meeste wat we “online identiteit” noemen is geleend van iemand anders: een handle die gebanned kan worden, een blauw vinkje dat weggehaald kan worden, een e-mailadres dat een domein-eigenaar kan terugeisen. Een GPG-signature staat daarbuiten. Óf de key die deze alinea heeft ondertekend is van jou, óf niet, en niemand anders mag daarover beslissen. ...

Handmatig certificaat management is een recept voor outages. Certificaten verlopen om 3 uur ’s nachts in een feestdagenweekend. Renewal processen leven in tribal knowledge. Teams deployen services zonder HTTPS omdat “het te ingewikkeld is.” cert-manager automatiseert alles. Definieer welke certificaten je nodig hebt, en cert-manager regelt uitgifte, vernieuwing en Kubernetes Secret management. Voor altijd. Dit is een van de eerste dingen die ik installeer in elk cluster. Hoe cert-manager Werkt flowchart TD subgraph cluster["Kubernetes Cluster"] CM["cert-manager"] CERT["Certificate<br/>Resource"] SECRET["TLS Secret"] INGRESS["Ingress"] end subgraph external["Extern"] LE["Let's Encrypt<br/>ACME Server"] DNS["DNS Provider"] end CERT -->|"watched"| CM CM -->|"maakt"| SECRET CM <-->|"ACME protocol"| LE CM <-->|"DNS challenge"| DNS SECRET -->|"mount"| INGRESS Je maakt een Certificate resource cert-manager vraagt een certificaat aan bij de issuer (Let’s Encrypt, Vault, etc.) cert-manager voltooit de challenge (HTTP-01 of DNS-01) cert-manager slaat het certificaat op in een Kubernetes Secret Je Ingress/Gateway gebruikt de Secret voor TLS Vernieuwing gebeurt automatisch 30 dagen voor expiratie. ...

Kubernetes networking is berucht complex. CNI plugins, kube-proxy, iptables chains, service meshes — laag op laag van abstractie die uiteindelijk kapotgaat op manieren die niemand begrijpt. Cilium verandert dit. Het gebruikt eBPF om networking logica in de Linux kernel te plaatsen, waarbij iptables volledig wordt overgeslagen. Het resultaat: betere performance, meer zichtbaarheid, en network policies die daadwerkelijk logisch zijn. Dit draai ik in mijn clusters. Laat me je tonen waarom. Wat is eBPF? eBPF (extended Berkeley Packet Filter) laat je sandboxed programma’s draaien in de Linux kernel zonder kernel source code te wijzigen of kernel modules te laden. ...

Compliance audits zijn pijnlijk. Iedereen die ISO 27001 certificering heeft meegemaakt kent het ritueel: weken documentatie verzamelen, screenshots van configuraties, bewijs van change management processen, bewijzen dat wat je zegt te doen ook daadwerkelijk is wat je doet. Maar hier is iets wat ik heb gerealiseerd na jaren declaratieve infrastructuur draaien: systemen zoals Talos en NixOS maken infrastructuur niet alleen beter — ze maken compliance dramatisch makkelijker. Dezelfde eigenschappen die deze systemen betrouwbaar maken (immutability, reproduceerbaarheid, auditeerbaarheid) zijn precies wat auditors willen zien. ...