OPA為云原生組織提供了統(tǒng)一的策略語(yǔ)言

隨著您的組織擁抱云，您可能會(huì)發(fā)現(xiàn)云原生堆棧的動(dòng)態(tài)性和規(guī)模需要更加復(fù)雜的安全性和合規(guī)性。例如，隨著像Kubernetes這樣的容器編排平臺(tái)越來(lái)越受關(guān)注，開(kāi)發(fā)人員和開(kāi)發(fā)人員團(tuán)隊(duì)對(duì)策略領(lǐng)域（如準(zhǔn)入控制）以及更傳統(tǒng)的領(lǐng)域（如計(jì)算，存儲(chǔ)和網(wǎng)絡(luò)）負(fù)有新的責(zé)任。同時(shí)，每個(gè)應(yīng)用程序，微服務(wù)或服務(wù)網(wǎng)格都需要一套自己的授權(quán)策略，開(kāi)發(fā)人員對(duì)此很有幫助。

出于這些原因，我們開(kāi)始尋找一種更簡(jiǎn)單，更省時(shí)的方法來(lái)在云中創(chuàng)建、實(shí)施和管理策略。OPA（輸入開(kāi)放策略代理）于4年前創(chuàng)建，它是一個(gè)與域無(wú)關(guān)的開(kāi)源策略引擎，正在成為云原生策略的事實(shí)上的標(biāo)準(zhǔn)。事實(shí)上，OPA已經(jīng)被Netflix，Pinterest和Goldman Sachs等公司用于生產(chǎn)，用于Kubernetes準(zhǔn)入控制和微服務(wù)API授權(quán)等用例。OPA還支持許多您已經(jīng)知道和喜歡的云原生工具，包括Atlassian套件和Chef Automate。

OPA為云原生組織提供了統(tǒng)一的策略語(yǔ)言，這樣，就可以在應(yīng)用程序、API、基礎(chǔ)架構(gòu)等中以通用的方式表達(dá)授權(quán)決策，而無(wú)需將定制的策略硬編碼到每種不同的語(yǔ)言和工具中。此外，由于OPA是為授權(quán)而專門(mén)設(shè)計(jì)的，因此它提供了越來(lái)越多的性能優(yōu)化集合，因此策略作者可以將大部分時(shí)間用于編寫(xiě)正確，可維護(hù)的策略，并將性能留給OPA。

OPA授權(quán)策略在堆棧中有很多很多用例-從在容器編排周圍放置防護(hù)欄到控制SSH訪問(wèn)或提供基于上下文的服務(wù)網(wǎng)格授權(quán)。但是，有三種流行的用例為許多OPA用戶提供了良好的啟動(dòng)平臺(tái)：應(yīng)用程序授權(quán)，Kubernetes準(zhǔn)入控制和微服務(wù)。

申請(qǐng)授權(quán)的OPA

授權(quán)策略無(wú)處不在，因?yàn)閹缀趺總€(gè)應(yīng)用程序都需要授權(quán)策略。但是，開(kāi)發(fā)人員通常會(huì)“滾動(dòng)自己的”代碼，這不僅耗時(shí)，而且會(huì)導(dǎo)致難以維護(hù)的工具和策略拼湊而成。盡管授權(quán)對(duì)于每個(gè)應(yīng)用程序都是至關(guān)重要的，但是花在創(chuàng)建策略上的時(shí)間意味著更少的時(shí)間集中在面向用戶的功能上。

OPA使用專用的聲明性策略語(yǔ)言來(lái)簡(jiǎn)化授權(quán)策略的開(kāi)發(fā)。例如，您可以創(chuàng)建和強(qiáng)制執(zhí)行簡(jiǎn)單的策略，例如“如果您是承包商，則不能閱讀PII”或“ Jane可以訪問(wèn)此帳戶”。但這僅僅是開(kāi)始。因?yàn)镺PA具有上下文感知能力，所以您還可以制定考慮地球上任何事物的策略，例如，“在交易日的最后一小時(shí)請(qǐng)求進(jìn)行股票交易，這將導(dǎo)致超過(guò)一百萬(wàn)美元的交易，只能在以下時(shí)間執(zhí)行：給定名稱空間中的特定服務(wù)。”

當(dāng)然，許多組織已經(jīng)有定制的授權(quán)。但是，如果您希望在云中分解應(yīng)用程序并擴(kuò)展微服務(wù)，同時(shí)又保持開(kāi)發(fā)人員的效率，那么就需要分布式授權(quán)系統(tǒng)。對(duì)于許多人來(lái)說(shuō)，OPA是缺少的拼圖。

用于Kubernetes接納控制的OPA

許多用戶還使用OPA為Kubernetes創(chuàng)建防護(hù)欄。Kubernetes本身已經(jīng)成為主流和關(guān)鍵任務(wù)，并且組織正在尋找定義和實(shí)施安全護(hù)欄以幫助減輕安全和合規(guī)風(fēng)險(xiǎn)的方法。管理員可以使用OPA制定清晰的策略，以便開(kāi)發(fā)人員可以加快管道生產(chǎn)并迅速將新服務(wù)推向市場(chǎng)，而不必?fù)?dān)心運(yùn)營(yíng)，安全或合規(guī)風(fēng)險(xiǎn)。

OPA可用于創(chuàng)建策略，以拒絕使用相同主機(jī)名的入口，或者要求所有容器映像都來(lái)自受信任的注冊(cè)表的策略，或者確保始終用加密位標(biāo)記所有存儲(chǔ)，或者確保每個(gè)應(yīng)用公開(kāi)互聯(lián)網(wǎng)上使用批準(zhǔn)的域名-僅舉幾個(gè)例子。

由于OPA直接與Kubernetes API服務(wù)器集成，因此它可以拒絕跨計(jì)算，網(wǎng)絡(luò)，存儲(chǔ)等策略禁止的任何資源。對(duì)于開(kāi)發(fā)人員特別有利的是，您可以在開(kāi)發(fā)周期的早期（例如在CI / CD管道中）公開(kāi)這些策略，以便開(kāi)發(fā)人員可以及早獲得反饋并在運(yùn)行時(shí)修復(fù)問(wèn)題。此外，您甚至可以帶外驗(yàn)證策略，以確保它們達(dá)到預(yù)期的效果并且不會(huì)無(wú)意中引起麻煩。

微服務(wù)的OPA

最后，OPA在幫助組織控制其微服務(wù)和服務(wù)網(wǎng)格體系結(jié)構(gòu)方面變得非常流行。借助OPA，您可以直接為微服務(wù)創(chuàng)建和實(shí)施授權(quán)策略（通常是作為補(bǔ)充工具），在服務(wù)網(wǎng)格內(nèi)構(gòu)建服務(wù)到服務(wù)策略，或者從安全角度出發(fā)，創(chuàng)建限制服務(wù)網(wǎng)格內(nèi)橫向移動(dòng)的策略。建筑。

為云原生架構(gòu)構(gòu)建統(tǒng)一策略

一般而言，使用OPA的總體目標(biāo)是創(chuàng)建一種統(tǒng)一的方法來(lái)跨您的云原生堆棧創(chuàng)建策略-因此，您不必通過(guò)廣告、部落知識(shí)、百科和PDF的臨時(shí)混合，或一堆錯(cuò)配的工具。

除了簡(jiǎn)化開(kāi)發(fā)和加快交付速度外，這對(duì)于安全性也是一個(gè)重大新聞，因?yàn)镺PA減少了您需要檢查的工具數(shù)量，例如，您是否懷疑是否嘗試了未經(jīng)授權(quán)的訪問(wèn)。同樣，從操作和合規(guī)性角度來(lái)看，OPA使得在異構(gòu)環(huán)境中提取和分析信息變得更加容易-幫助您快速發(fā)現(xiàn)問(wèn)題并更快地解決問(wèn)題。

開(kāi)發(fā)人員正在尋找一種更簡(jiǎn)單，更有效的方法來(lái)為其云原生環(huán)境創(chuàng)建和管理基于策略的控件。對(duì)于許多人來(lái)說(shuō)，該解決方案就是OPA。如果您發(fā)現(xiàn)自己在多個(gè)地方，使用多種語(yǔ)言或在多個(gè)團(tuán)隊(duì)中接觸授權(quán)策略，OPA可以像為他們一樣幫助您消除冗余并加快交付速度。
責(zé)任編輯：tzh