Security

SPIFFE en SPIRE: Zero Trust Service Identity

Hoe weet Service A dat Service B echt Service B is? In traditionele netwerken vertrouwden we netwerk locatie. Als traffic van het juiste IP kwam, was het legitiem. Zero trust doodde die aanname. Nu moet elke service zijn identiteit bewijzen, elke keer, ongeacht netwerkpositie. SPIFFE (Secure Production Identity Framework for Everyone) is een standaard voor service identity. SPIRE is de productie-klare implementatie. Samen geven ze elke workload een cryptografische identiteit — automatisch, zonder statische secrets. ...

Kyverno Policies: Governance as Code voor Kubernetes

Regels die alleen in documentatie bestaan worden niet gevolgd. Regels die door computers worden afgedwongen wel. Kubernetes geeft je ongelofelijke flexibiliteit. Elk team kan deployen wat ze willen, geconfigureerd zoals ze willen. Deze vrijheid wordt chaos zonder vangrails. Kyverno is een policy engine voor Kubernetes. Het valideert, muteert en genereert resources gebaseerd op policies die je definieert — als Kubernetes-native YAML. Waarom Kyverno? Er zijn meerdere policy engines: Open Policy Agent (OPA) met Gatekeeper, Kyverno, Kubewarden. Ik koos Kyverno omdat: ...

Vault voor Beginners: Secrets Management in Kubernetes

Kubernetes Secrets zijn geen secrets. Het zijn base64-gecodeerde platte tekst, opgeslagen in etcd, vaak zichtbaar voor iedereen met cluster toegang. Dit is de default, en het is beangstigend. Elke cloud provider biedt een Key Management Service. AWS heeft Secrets Manager, Google heeft Secret Manager, Azure heeft Key Vault. Ze werken prima — totdat je moet migreren, of je wilt begrijpen wat er met je secrets gebeurt, of je simpelweg je meest gevoelige data niet in andermans infrastructuur wilt. ...

Container security scanning pipeline visualisatie

Container Image Scanning met Trivy in Je CI Pipeline

Je kunt niet beveiligen wat je niet begrijpt. En bij container images betekent begrijpen dat je precies weet wat erin zit — elk package, elke library, elke potentiële kwetsbaarheid. De meeste teams behandelen hun container images als black boxes. Ze pullen een base image, voegen hun code toe, en pushen naar productie. Maar die base image? Die bevat honderden packages die je niet expliciet hebt gekozen. Elk daarvan kan bekende kwetsbaarheden hebben. ...

Drift Detection met ArgoCD: Hoe Weet Je of Je Cluster Nog in Sync Is

GitOps belooft dat Git de source of truth is. Maar wat als iemand kubectl edit runt op een deployment? Wat als een mutating webhook een resource verandert? Wat als het cluster stilletjes afwijkt van wat Git zegt dat het zou moeten zijn? Dit is configuratie drift, en het is een van de meest verraderlijke problemen in Kubernetes operations. ArgoCD kan je helpen het te detecteren — als je het correct configureert. ...