隨著越來越多的組織采用云計算技術(shù),他們可能會發(fā)現(xiàn)云原生堆棧的動態(tài)性和規(guī)模要求更加復(fù)雜的安全性和合規(guī)性。例如,隨著像Kubernetes這樣的容器編排平臺越來越受關(guān)注,開發(fā)團隊和開發(fā)人員對策略領(lǐng)域(如準(zhǔn)入控制)以及更傳統(tǒng)的領(lǐng)域(如計算、存儲和網(wǎng)絡(luò))負(fù)有新的責(zé)任。與此同時,每個應(yīng)用程序、微服務(wù)或服務(wù)網(wǎng)格都需要自己的一組授權(quán)策略,開發(fā)人員需要為這些策略負(fù)責(zé)。
出于這些原因,很多組織開始尋找一種更簡單、更省時的方法來在云中創(chuàng)建、實施和管理策略。作為一個開源的、不受領(lǐng)域限制的策略引擎,開放策略代理(OPA)于4年前創(chuàng)建,正在成為云原生策略的實際標(biāo)準(zhǔn)。事實上,Netflix、Pinterest和Goldman Sachs等公司已經(jīng)將OPA投入生產(chǎn),用于Kubernetes準(zhǔn)入控制和微服務(wù)API授權(quán)等用例。OPA還支持許多人們已經(jīng)知道和喜歡的云原生工具,其中包括Atlassian套件和Chef Automate。
OPA為云計算原生組織提供了一種統(tǒng)一的策略語言,因此授權(quán)決策可以用一種通用的方式表示,跨應(yīng)用程序、API、基礎(chǔ)設(shè)施等,而不必將定制的策略分別硬編碼到這些不同的語言和工具中。此外,由于OPA是專門為授權(quán)而構(gòu)建的,它提供了越來越多的性能優(yōu)化集合,因此策略作者可以將大部分時間花在編寫正確、可維護的策略上,并將性能留給OPA。
OPA授權(quán)策略在整個堆棧中有許多用例,從在容器編排周圍設(shè)置護欄,到控制SSH訪問或提供基于場景的服務(wù)網(wǎng)格授權(quán)。有三個流行的用例為許多OPA用戶提供了一個良好的啟動平臺:應(yīng)用程序授權(quán)、Kubernetes許可控制和微服務(wù)。
申請授權(quán)的OPA
授權(quán)策略無處不在,因為幾乎每個應(yīng)用程序都需要它。但是,開發(fā)人員通常自己開發(fā)代碼,這不僅耗時,而且會導(dǎo)致難以維護的工具和策略拼湊而成。雖然授權(quán)對每個應(yīng)用程序都很重要,但花在創(chuàng)建策略上的時間意味著更少的時間關(guān)注面向用戶的功能。
OPA使用專用的聲明性策略語言來簡化授權(quán)策略的開發(fā)。例如,企業(yè)可以直接創(chuàng)建和執(zhí)行策略,例如,“如果是承包商,則無法閱讀PII”或“Jane可以訪問此帳戶”。但這只是一個開始。由于OPA具有場景意識,因此還可以制定考慮任何事物的政策,例如,在交易日的最后一小時請求進行股票交易,這將產(chǎn)生上百萬美元的交易,只能在給定名稱空間中的特定服務(wù)上執(zhí)行。
當(dāng)然,許多組織已經(jīng)有定制的授權(quán)。但是,如果組織希望在云中分解應(yīng)用程序并擴展微服務(wù),同時又保持開發(fā)人員的效率,那么就需要分布式授權(quán)系統(tǒng)。
用于Kubernetes接納控制的OPA
許多用戶還使用OPA為Kubernetes創(chuàng)建防護欄。Kubernetes本身已成為主流和關(guān)鍵任務(wù),組織正在尋找定義和實施安全護欄以幫助減輕安全和合規(guī)風(fēng)險的方法。管理人員可以使用OPA制定清晰的策略,以便開發(fā)人員可以加快管道生產(chǎn),并迅速將新服務(wù)推向市場,而不必?fù)?dān)心運營、安全或合規(guī)風(fēng)險。
OPA可用于創(chuàng)建策略,以拒絕使用相同主機名的入口,或要求所有容器映像來自可信注冊表,或確保所有存儲始終使用加密位進行標(biāo)記,或確保暴露在互聯(lián)網(wǎng)上的每個應(yīng)用程序使用經(jīng)批準(zhǔn)的域名。
由于OPA直接與Kubernetes API服務(wù)器集成,因此它可以拒絕跨計算、網(wǎng)絡(luò)、存儲等策略禁止的任何資源。對于開發(fā)人員特別有利的是,組織可以在開發(fā)周期的早期公開這些策略,例如在持續(xù)集成(CI)/持續(xù)交付(CD)管道中,以便開發(fā)人員可以及早獲得反饋,并在運行時修復(fù)問題。此外,組織甚至可以帶外驗證其策略,以確保它們達(dá)到預(yù)期的效果,并且不會在無意中引起麻煩。
微服務(wù)的OPA
最后,OPA在幫助組織控制其微服務(wù)和服務(wù)網(wǎng)格架構(gòu)方面變得非常流行。借助OPA,組織可以直接為微服務(wù)創(chuàng)建和實施授權(quán)策略(通常是作為輔助工具),在服務(wù)網(wǎng)格內(nèi)構(gòu)建服務(wù)策略,或者從安全的角度創(chuàng)建限制服務(wù)網(wǎng)格架構(gòu)中橫向移動的策略。
為云原生架構(gòu)構(gòu)建統(tǒng)一策略
通常,使用OPA的總體目標(biāo)是創(chuàng)建一種跨云原生堆棧創(chuàng)建策略的統(tǒng)一方法,因此,組織不必通過廣告、部落知識、維基百科、PDF或大量不匹配的工具來持續(xù)管理策略。
除了簡化開發(fā)和加快交付速度之外,這對于安全性也是一個重大新聞,因為OPA減少了組織需要檢查的工具數(shù)量,例如組織是否懷疑自己曾嘗試未經(jīng)授權(quán)的訪問。同樣,從操作和合規(guī)性角度來看,OPA使得在異構(gòu)環(huán)境中提取和分析信息變得更加容易,從而幫助組織快速發(fā)現(xiàn)問題并更快地解決。
開發(fā)人員正在尋找一種更簡單、更有效的方法來為他們的云原生環(huán)境創(chuàng)建和管理基于策略的控件。對許多人來說,這種解決方案就是OPA。如果組織發(fā)現(xiàn)自己在多個地方、多種語言或跨多個團隊接觸授權(quán)策略,OPA可以幫助其消除冗余并加快交付速度。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號