Isometrische illustratie van een centrale sleutel met drie identiteitsvertakkingen afgeschermd door een quantum-barrière

Quantum-safe GPG-identiteit met meerdere aliassen

Een cryptografische signature is een van de weinige dingen online die nog precies betekent wat er staat. Is de key van jou en verifieert de signature, dan komt de inhoud van jou. Punt. Geen vendor heeft je deze identiteit gegeven, geen CA kan hem intrekken, geen platform kan hem schorsen. Hij bestaat omdat jij de key hebt gegenereerd, en hij blijft van jou precies zolang jij de private helft in handen houdt. Het meeste wat we losjes “online identiteit” noemen is geleend: een handle die iemand kan bannen, een blauw vinkje dat iemand kan weghalen, een e-mailadres dat een domein-eigenaar terugeist op de dag dat het hem uitkomt. Een GPG-signature staat daar volledig buiten. De key die deze alinea heeft ondertekend is van jou of van iemand anders, en niemand krijgt daar een stem in. ...

18 april 2026 · 14 min leestijd · Tom Meurs
Prometheus en Thanos metrics architectuur visualisatie

Prometheus en Thanos: metrics op schaal

De eerste keer dat iemand me vroeg “was dit vorige maand trager dan nu?”, had ik geen antwoord. Mijn Prometheus onthield maar twee weken. De data die ik nodig had was allang van lokale schijf gevallen en verwijderd. Dat gat is de hele reden dat deze post bestaat. Prometheus is de standaard voor Kubernetes metrics, en met goede reden. Het werkt prachtig, precies tot het moment dat je lange-termijn opslag nodig hebt, of een overzicht over meerdere clusters, of echte hoge beschikbaarheid. Dan loop je tegen de muur. ...

31 augustus 2025 · 10 min leestijd · Tom Meurs
Falco runtime security monitoring visualisatie

Runtime security met Falco: detecteer verdacht gedrag in je cluster

Ik scande mijn images met Trivy. Ik dwong policies af met Kyverno. Mijn workloads kregen cryptografische identiteit via SPIFFE. Drie lagen preventie, allemaal groen, en een tijd lang voelde dat als genoeg. Toen begon ik de ongemakkelijke vraag te stellen. Wat gebeurt er nadat een pod draait? Mijn scanners controleerden de image die erin ging. Mijn admission controller controleerde de spec bij deployment. Geen van beide kijkt nog mee zodra het proces daadwerkelijk draait. Als een container om 3 uur ’s nachts wordt gepakt door een zero-day, hebben al die controls hun werk al gedaan en zijn ze naar huis. ...

7 augustus 2025 · 13 min leestijd · Tom Meurs
SPIFFE workload identity visualisatie

SPIFFE en SPIRE: zero trust service identity

Hoe weet Service A dat Service B echt Service B is? Ik blijf bij die vraag terugkomen, want het gangbare antwoord is ongemakkelijk. Jarenlang vertrouwden we op netwerklocatie. Traffic van het juiste IP was legitiem, klaar. Zero trust nam die aanname mee naar buiten en schoot hem dood. Nu moet elke service bewijzen wie hij is, bij elk request, ongeacht waar hij op het netwerk zit. Dat klinkt prima op een slide. Het lastige is het bewijs. Hoe laat een pod werkelijk zijn identiteit zien aan een andere pod, zonder dat ik overal met de hand secrets uitdeel en daarna eindeloos hun rotatie zit te bewaken? ...

26 juli 2025 · 11 min leestijd · Tom Meurs