LUKS-disks automatisch ontgrendelen met Clevis en Tang: veilig, eenvoudig en Red Hat approved

Close-up of a hard disk drive platter and read/write head
Back to overview
Toen de security appliance van een klant een penetratietest onderging, werd disk encryptie verplicht. Maar hoe implementeer je dit volgens de standaarden én zorg je ervoor dat servers automatisch kunnen ontgrendelen zonder gebruikersinput? In deze blog laten we zien hoe Clevis en Tang full disk encryption vereenvoudigen, terwijl security, compliance en schaalbaarheid behouden blijven.
Published on 28 mei 2025
Written by René Dekkers
Applicatie Modernisatie Cloud Security

Van compliance naar capability met Clevis en Tang

Encryptie omdat het moet? Doe het dan meteen goed. Security-eisen zijn zelden ontworpen met het geluk van engineers in gedachten. Vaker zorgen ze voor frictie — handmatige stappen, omslachtige workarounds en een constante strijd tussen compliance en gemak. Maar af en toe leidt zo’n vereiste tot iets onverwacht nuttigs. Toen de security appliance van een klant een penetratietest onderging, werd full disk encryption (FDE) ononderhandelbaar. Dat is logisch, maar hoe implementeer je dit volgens best practices zonder dat er bij elke reboot iemand een wachtwoord moet intypen? Zeker in omgevingen waar Red Hat de standaard is, zoals bij grote telecomproviders, draait de uitdaging om schaalbare security zonder in te leveren op operationele efficiëntie. Het antwoord bleek eenvoudiger dan verwacht: Clevis en Tang. Twee open-source tools die geautomatiseerd, policy-gedreven disk unlocking mogelijk maken — met security als uitgangspunt.

De uitdaging: compliance in balans brengen met gebruiksvriendelijkheid

Na een penetratietest moest één van onze klanten disks versleutelen op meerdere kritieke systemen. Voldoen aan de encryptiestandaarden was niet het grootste probleem; de echte uitdaging was om servers volledig autonoom te laten opstarten, zonder concessies te doen aan security. De randvoorwaarden waren helder:

  • Geen gebruikersinput (geen toetsenbord aangesloten, geen handmatige passphrase);
  • Geen lokaal opgeslagen decryptiesleutels;
  • Volledige compatibiliteit met Red Hat Enterprise Linux (RHEL).

Dit bracht ons bij Clevis en Tang — een lichtgewicht en flexibele combinatie die precies dit probleem oplost.

Waarom deze aanpak werkt en waarom die ertoe doet

Het veilig versleutelen van disks zonder de operatie te verstoren kan complex lijken. Clevis en Tang bieden een eenvoudige oplossing die zowel aan security-eisen als aan operationele behoeften voldoet. Dit is waarom het werkt — en waarom het je aandacht verdient.

Sterke security, zelfs in worst-case scenario’s

Eén van de grootste zorgen bij full disk encryption is wat er gebeurt als een device wordt gestolen. Traditionele methodes kunnen encryptiesleutels soms blootstellen. Clevis en Tang nemen dit risico op een praktische manier weg.

Tang-servers slaan geen private keys op, waardoor ze stateless en inherent veiliger zijn. Als gevolg hiervan kan een device zichzelf niet ontsleutelen wanneer het fysiek uit zijn omgeving wordt verwijderd, tenzij het zich binnen het vertrouwde netwerk bevindt waar de Tang-server bereikbaar is. Dit verkleint het risico op datalekken door verloren of gestolen hardware aanzienlijk, zoals ook bevestigd wordt in de officiële documentatie van Red Hat (Red Hat Security Hardening Guide).

Wie dieper in de technische details wil duiken: Red Hat biedt uitgebreide documentatie over Network-Bound Disk Encryption (NBDE), waaronder de integratie met LUKS en ondersteuning voor veilig booten binnen OpenShift en andere platformen.

Volledig geautomatiseerd, geen handmatige interventie nodig

Disks versleutelen is één ding; zorgen dat systemen na een reboot zonder tussenkomst opstarten is een heel andere uitdaging. Clevis maakt het mogelijk om het ontgrendelen van versleutelde volumes tijdens het bootproces te automatiseren door veilig te communiceren met de Tang-server.

Dit betekent dat er geen handmatige invoer van een passphrase nodig is bij het opstarten. Het proces verloopt volledig handsfree, wat essentieel is voor headless servers en grootschalige omgevingen.

De tool Dracut speelt hierbij een cruciale rol door zowel de Clevis-configuratie als de benodigde netwerkinstellingen op te nemen in het initieel bootproces. Hierdoor voelt de integratie native en naadloos aan, zeker in omgevingen die draaien op Red Hat Enterprise Linux 8 of nieuwer.

Naadloze integratie in Red Hat-infrastructuur

Organisaties die werken met Red Hat-technologieën verwachten security-oplossingen die soepel integreren zonder bestaande workflows te verstoren. Clevis en Tang voldoen aan die verwachting door native ondersteuning te bieden binnen Red Hat Enterprise Linux 8 en hoger. De integratie met tools zoals Ansible, Satellite en Kickstart is eenvoudig, waardoor ze probleemloos in geautomatiseerde provisioning pipelines kunnen worden opgenomen.

Omdat deze tools nauw aansluiten op het Red Hat-ecosysteem, zijn er minimale aanpassingen nodig aan bestaande deploymentprocessen. Zo kunnen teams hun encryptiepositie versterken zonder onnodige complexiteit of vertraging.

Schaalbare architectuur, klaar voor groei

In tegenstelling tot andere methodes zijn Clevis en Tang niet afhankelijk van kwetsbare ontgrendelmechanismen zoals TPM’s of USB-sleutels. Dit maakt ze bijzonder geschikt voor dynamische omgevingen zoals edge deployments, hybride clouds en moderne datacenters, waar veerkracht, flexibiliteit en operationele eenvoud essentieel zijn.
Tang servers do not store private keys, which makes them stateless and inherently more secure. As a result, even if a device is physically removed from its environment, it cannot decrypt itself unless it is within the trusted network where the Tang server is accessible. This significantly reduces the risk of data breaches caused by lost or stolen hardware, as confirmed by Red Hat’s official documentation (Red Hat Security Hardening Guide).

Waarom dit belangrijk is voor moderne infrastructuur

In de huidige omgevingen, waarin downtime, handmatige processen en datalekken serieuze risico’s vormen, bieden Clevis en Tang een oplossing die de security versterkt zonder extra operationele overhead toe te voegen.

Wie profiteren het meest van Clevis en Tang?

Deze tools zijn bijzonder waardevol voor enterprises die on-premises of hybride cloudinfrastructuren beheren, waar controle over encryptie en toegang cruciaal is. Organisaties die streven naar ISO-certificeringen of regelmatig security audits en penetratietests ondergaan, profiteren eveneens van deze aanpak, omdat deze sterke compliance ondersteunt zonder workflows te compliceren. Voor bedrijven die private cloudomgevingen bouwen of uitbreiden, bieden Clevis en Tang een schaalbare en veilige encryptiemethode die goed aansluit op moderne infrastructuureisen.

Serviceproviders die veilige infrastructuur-appliances aan klanten leveren, kunnen vertrouwen op deze oplossing om gevoelige data te beschermen, zelfs bij fysiek verlies van hardware. Tot slot kunnen organisaties die datasoevereiniteit en naleving van wet- en regelgeving hoog in het vaandel hebben staan, Clevis en Tang inzetten om data te beveiligen zonder concessies te doen aan operationele flexibiliteit.

Klaar om je disk security-strategie te verbeteren?

Clevis en Tang bieden een krachtige manier om disk encryptie te verbeteren en gevoelige data te beschermen. Maar om ze effectief te implementeren en er zeker van te zijn dat ze je omgeving daadwerkelijk versterken, is de juiste expertise nodig. En daar komt SUE in beeld.

Onze engineers en consultants hebben uitgebreide ervaring met Linux security, Red Hat-infrastructuren en encryptieoplossingen zoals LUKS, Clevis en Tang. We helpen je organisatie bij het ontwerpen, implementeren en optimaliseren van een geautomatiseerde disk encryptie-strategie die naadloos aansluit op je bestaande operatie, zonder onnodige complexiteit toe te voegen.

Of je nu compliance wilt verbeteren, meer controle wilt houden over je data-soevereiniteit of je infrastructuur wilt versterken tegen moderne dreigingen, SUE heeft de mensen en kennis om jouw doelstellingen te ondersteunen.

Delen:
Delen:
Inhoudsopgave
Blijf op de hoogte
Door je in te schrijven voor onze nieuwsbrief verklaar je dat je akkoord bent met onze privacyverklaring.

Ready to strengthen your disk security strategy?

stefan.behlen 1
Stefan Behlen

Let's talk!

info@sue.nl +31 345 656 666 LinkedIn

Ready to strengthen your disk security strategy?

* required

By sending this form you indicate that you have taken note of our Privacy Statement.

Related articles

07.10.2024

Waarom developers zich mogelijk verzetten tegen het adopteren van een Internal Developer Platform: de verborgen uitdagingen van migratie

Author: SUE
Applicatie Modernisatie Data & AI Platform Engineering
Young man in glasses working on a laptop in a stylish office setting. He appears concentrated and engaged in his tasks.
23.04.2025

Zero Trust in het moderne IT landschap

Author: Bas Kraai
Cloud Security
22.08.2024

Laat containers je schip niet laten zinken: inzicht in container security

Authors: Amit Isvoranu, Mike van Haren
Cloud migratie Cloud Security
Privacy Overview
This website uses cookies. We use cookies to ensure the proper functioning of our website and services, to analyze how visitors interact with us, and to improve our products and marketing strategies. For more information, please consult our privacy- en cookiebeleid.