Moderne IT-infrastructuur, in vijf pillars
Het framework dat ik gebruik om infrastructuur beheersbaar te houden: vijf pillars op vier foundations, elke component een CI die aan de rest hangt.
Notebook
Protect it — hardening, least privilege, detection, evidence.
Het framework dat ik gebruik om infrastructuur beheersbaar te houden: vijf pillars op vier foundations, elke component een CI die aan de rest hangt.
Een open-source identity stack afmaken met governance en privileged access, en waarom een AI coding agent het eindelijk goedkoper maakt dan CyberArk.
Een private CA als de enige SSH trust root: short-lived certs voor mensen (SSO+MFA), 10-minuten voor machines, en host certs die known_hosts TOFU killen.
Wanneer een orchestrator-agent werk doorgeeft aan een sub-agent, geeft hij stilletjes soms een token mee dat veel meer kan dan die sub-agent zou mogen. Dit is het token-chain-risico, de Kagenti-blueprint van IBM en Red Hat, en een zero-trust-aanpak die je kunt draaien zonder je hele fleet naar Kubernetes te verhuizen.
Defense-in-depth aan de homelab-edge met CrowdSec: bekende kwaadwillende IP's meteen geweerd, daarna leest een in-band WAF wat overblijft. En waarom het voorlopig bewust fail-open is.
Waar midPoint plus Authentik de Microsoft-identity-stack kunnen vervangen in een hybride Windows/Linux-omgeving, en waar niet. Een gedachte-experiment, geen build.
Een interne site die niet laadde, een resolver die niemand bevroeg, en de dead-IP-query die bewees dat een 'behulpzame' gateway stiekem mijn DNS beantwoordde.
Onze identity-agent koppelen aan een secrets manager zonder hem het hele koninkrijk te geven: read-only by default, functiescheiding, en writes die je echt moet menen.
Een simpele vraag (hebben onze agents MCP nodig?) die stilletjes uitmondde in een helderder beeld van skills, MCP-servers en de identity-laag die onder beide zit.
De basisinstelling van vijf minuten die ik op elke nieuwe server toepas vóór hij ook maar in de buurt van een netwerk komt.
Segmentatie is niet zomaar een vinkje voor de enterprise. Zo splits ik één Proxmox-node op in veilige zones.
Een critical-auth VLAN zodat een dode RADIUS-server niet een hele verdieping offline haalt.