Zero trust security uitgelegd met hotel metafoor

Zero trust uitgelegd: de hotel keycard metafoor

“Dus wat is dat zero trust precies waar iedereen het over heeft?” Ik krijg deze vraag vaak. Meestal van managers, directieleden, of iedereen die een security-budget moet goedkeuren zonder technische achtergrond. En de meeste uitleggen die ik tegenkom zijn verschrikkelijk. Ze verdrinken je in jargon, of ze schuren het concept zo ver af dat er niets bruikbaars overblijft. Dus dit is de metafoor waar ik in plaats daarvan naar grijp. Ik heb hem gebruikt om zero trust uit te leggen aan mijn ouders, aan directieleden, en aan die ene collega die de firewall nog steeds “de internetbox” noemt. Hij werkt omdat hij begint met iets dat iedereen heeft vastgehouden: een hotel keycard. Vanaf daar bouwen we het op, laag voor laag, tot je ziet hoe hetzelfde idee helemaal doorloopt tot aan mTLS en identity-aware proxies. ...

19 februari 2026 · 8 min leestijd · Tom Meurs
SPIFFE workload identity visualisatie

SPIFFE en SPIRE: zero trust service identity

Hoe weet Service A dat Service B echt Service B is? Ik blijf bij die vraag terugkomen, want het gangbare antwoord is ongemakkelijk. Jarenlang vertrouwden we op netwerklocatie. Traffic van het juiste IP was legitiem, klaar. Zero trust nam die aanname mee naar buiten en schoot hem dood. Nu moet elke service bewijzen wie hij is, bij elk request, ongeacht waar hij op het netwerk zit. Dat klinkt prima op een slide. Het lastige is het bewijs. Hoe laat een pod werkelijk zijn identiteit zien aan een andere pod, zonder dat ik overal met de hand secrets uitdeel en daarna eindeloos hun rotatie zit te bewaken? ...

26 juli 2025 · 11 min leestijd · Tom Meurs
Kubernetes Network Policies visuele handleiding

Kubernetes Network Policies: een visuele handleiding voor pod security

Stel je dit voor: een aanvaller kraakt één pod in je cluster, via een kwetsbare image of een gelekte token. Vanuit dat ene bruggenhoofd kan deze elke database, elke interne API en elke secret-ophalende sidecar bereiken die je draait. Niets houdt hem tegen, want standaard probeert niets dat. Network Policies zijn precies het ding dat hem tegenhoudt. Ze maken van “één gecompromitteerde pod” gewoon “één gecompromitteerde pod, en daar blijft het bij.” Iedereen weet dat ze ze zouden moeten gebruiken. Bijna niemand doet het echt, want de YAML ziet er eng uit en het gedrag is raar tot het mentale model klikt. ...

8 februari 2025 · 9 min leestijd · Tom Meurs