Καθώς ο οργανισμός σας αγκαλιάζει το σύννεφο, ενδέχεται να διαπιστώσετε ότι ο δυναμισμός και η κλίμακα της στοίβας εγγενών σύννεφων απαιτεί ένα πολύ πιο περίπλοκο τοπίο ασφάλειας και συμμόρφωσης. Για παράδειγμα, με τις πλατφόρμες ενορχήστρωσης κοντέινερ όπως το Kubernetes να κερδίζουν έλξη, οι ομάδες προγραμματιστών και devops έχουν νέα ευθύνη σε τομείς πολιτικής όπως ο έλεγχος εισαγωγής, καθώς και πιο παραδοσιακοί τομείς όπως υπολογισμός, αποθήκευση και δικτύωση. Εν τω μεταξύ, κάθε εφαρμογή, microservice ή υπηρεσία πλέγματος απαιτεί το δικό της σύνολο πολιτικών εξουσιοδότησης, για τις οποίες οι προγραμματιστές είναι έτοιμοι.
Για αυτούς τους λόγους, το κυνήγι συνεχίζεται για έναν απλούστερο, πιο αποδοτικό χρόνο για τη δημιουργία, την επιβολή και τη διαχείριση της πολιτικής στο cloud. Εισαγάγετε τον πράκτορα ανοικτής πολιτικής (OPA). Δημιουργήθηκε πριν από τέσσερα χρόνια ως μηχανή πολιτικής ανοιχτού κώδικα, τομέα-αγνωστικής, το OPA γίνεται το de facto πρότυπο για την πολιτική εγγενών cloud. Στην πραγματικότητα, η OPA απασχολείται ήδη στην παραγωγή από εταιρείες όπως οι Netflix, Pinterest και Goldman Sachs, για περιπτώσεις χρήσης, όπως ο έλεγχος εισαγωγής Kubernetes και η εξουσιοδότηση API microservices. Το OPA τροφοδοτεί επίσης πολλά από τα εγγενή εργαλεία που γνωρίζετε ήδη και αγαπάτε, όπως η σουίτα Atlassian και το Chef Automate.
[Επίσης στις: Όπου η μηχανική αξιοπιστίας του ιστότοπου συναντά τους υπολογιστές]
Το OPA παρέχει στους οργανισμούς που προέρχονται από το cloud μια ενοποιημένη γλώσσα πολιτικής - έτσι ώστε οι αποφάσεις εξουσιοδότησης να μπορούν να εκφράζονται με έναν κοινό τρόπο, σε εφαρμογές, API, υποδομές και πολλά άλλα, χωρίς να απαιτείται σκληρή κωδικοποίηση πολιτικής σε καθεμία από αυτές τις διάφορες γλώσσες και εργαλεία ξεχωριστά . Επιπλέον, επειδή το OPA έχει σχεδιαστεί ειδικά για εξουσιοδότηση, προσφέρει μια αυξανόμενη συλλογή βελτιστοποιήσεων απόδοσης, έτσι ώστε οι συντάκτες πολιτικής να μπορούν να αφιερώνουν τον περισσότερο χρόνο τους γράφοντας σωστή, διατηρήσιμη πολιτική και να αφήνουν την απόδοση στο OPA.
Η πολιτική εξουσιοδότησης OPA έχει πολλές, πολλές περιπτώσεις χρήσης σε ολόκληρη τη στοίβα - από την τοποθέτηση προστατευτικών κιγκλιδωμάτων γύρω από την ενορχήστρωση κοντέινερ, έως τον έλεγχο της πρόσβασης SSH ή την παροχή εξουσιοδότησης πλέγματος βάσει περιβάλλοντος. Ωστόσο, υπάρχουν τρεις δημοφιλείς περιπτώσεις χρήσης που παρέχουν μια καλή βάση εκκίνησης για πολλούς χρήστες του OPA: εξουσιοδότηση εφαρμογής, έλεγχος εισαγωγής Kubernetes και μικροϋπηρεσίες.
OPA για έγκριση αίτησης
Η πολιτική εξουσιοδότησης είναι πανταχού παρούσα, γιατί σχεδόν κάθε εφαρμογή την απαιτεί. Ωστόσο, οι προγραμματιστές συνήθως «κυλούν το δικό τους» κώδικα, ο οποίος δεν είναι μόνο χρονοβόρος, αλλά οδηγεί σε ένα πάπλωμα εργαλείων και πολιτικών που είναι δύσκολο να διατηρηθούν. Αν και η εξουσιοδότηση είναι κρίσιμη για κάθε εφαρμογή, ο χρόνος που αφιερώνεται για τη δημιουργία πολιτικής σημαίνει λιγότερο χρόνο εστίασης σε λειτουργίες που βλέπουν οι χρήστες.
Το OPA χρησιμοποιεί μια συγκεκριμένη γλώσσα δηλωτικής πολιτικής που καθιστά απλή την ανάπτυξη πολιτικής εξουσιοδότησης. Για παράδειγμα, μπορείτε να δημιουργήσετε και να εφαρμόσετε πολιτικές τόσο απλές όσο, "Δεν μπορείτε να διαβάσετε PII εάν είστε εργολάβος" ή, "Η Jane μπορεί να έχει πρόσβαση σε αυτόν τον λογαριασμό." Αλλά αυτή είναι μόνο η αρχή. Επειδή το OPA είναι ενημερωμένο για το περιβάλλον, μπορείτε επίσης να δημιουργήσετε πολιτική που να λαμβάνει υπόψη οτιδήποτε στον πλανήτη - όπως, "Οι συναλλαγές μετοχών που ζητήθηκαν την τελευταία ώρα της ημέρας διαπραγμάτευσης, οι οποίες θα οδηγήσουν σε συναλλαγή άνω του ενός εκατομμυρίου δολαρίων, μπορούν να εκτελεστούν μόνο στις συγκεκριμένες υπηρεσίες σε ένα δεδομένο χώρο ονομάτων. "
Φυσικά, πολλοί οργανισμοί έχουν ήδη εξουσιοδοτηθεί κατά παραγγελία. Ωστόσο, εάν ελπίζετε να αποσυνθέσετε τις εφαρμογές σας και να κλιμακώσετε τις μικροϋπηρεσίες στο cloud, διατηρώντας παράλληλα την αποδοτικότητα για προγραμματιστές, θα χρειαστεί ένα κατανεμημένο σύστημα εξουσιοδότησης. Για πολλούς, το OPA είναι το κομμάτι του παζλ που λείπει.
OPA για έλεγχο εισδοχής Kubernetes
Πολλοί χρήστες χρησιμοποιούν επίσης το OPA για τη δημιουργία προστατευτικών κιγκλιδωμάτων για το Kubernetes. Το ίδιο το Kubernetes έχει καταστεί βασικό και κρίσιμο για την αποστολή, και οι οργανισμοί αναζητούν τρόπους για τον καθορισμό και την εφαρμογή προστατευτικών κιγκλιδωμάτων ασφαλείας για τον μετριασμό του κινδύνου ασφάλειας και συμμόρφωσης. Χρησιμοποιώντας το OPA, οι διαχειριστές μπορούν να ορίσουν σαφείς πολιτικές έτσι ώστε οι προγραμματιστές να μπορούν να επιταχύνουν την παραγωγή αγωγών και να φέρουν γρήγορα νέες υπηρεσίες στην αγορά, χωρίς να ανησυχούν για τον κίνδυνο λειτουργίας, ασφάλειας ή συμμόρφωσης.
Το OPA μπορεί να χρησιμοποιηθεί για τη δημιουργία πολιτικών που απορρίπτουν τυχόν εισόδους που χρησιμοποιούν το ίδιο όνομα κεντρικού υπολογιστή ή που απαιτούν όλες οι εικόνες κοντέινερ να προέρχονται από ένα αξιόπιστο μητρώο ή να διασφαλίζουν ότι όλοι οι αποθηκευτικοί χώροι επισημαίνονται πάντα με το bit κρυπτογράφησης ή ότι κάθε εφαρμογή εκτίθεται στο Διαδίκτυο χρησιμοποιήστε ένα εγκεκριμένο όνομα τομέα - για να αναφέρω μόνο μερικά παραδείγματα.
Επειδή το OPA ενσωματώνεται απευθείας στον διακομιστή Kubernetes API, μπορεί να απορρίψει οποιονδήποτε πόρο που απαγορεύει η πολιτική, σε υπολογιστές, δίκτυα, αποθηκευτικούς χώρους και ούτω καθεξής. Ιδιαίτερα επωφελής για τους προγραμματιστές, μπορείτε να εκθέσετε αυτές τις πολιτικές νωρίτερα στον κύκλο ανάπτυξης, όπως στον αγωγό CI / CD, έτσι ώστε οι προγραμματιστές να μπορούν να λαμβάνουν σχόλια νωρίς και να διορθώνουν προβλήματα πριν από την εκτέλεση. Επιπλέον, μπορείτε ακόμη και να επικυρώσετε τις πολιτικές σας εκτός ζώνης, διασφαλίζοντας ότι επιτυγχάνουν το επιδιωκόμενο αποτέλεσμα και δεν προκαλούν ακούσια προβλήματα.
OPA για μικροϋπηρεσίες
Τέλος, το OPA έχει γίνει πολύ δημοφιλές για να βοηθήσει τους οργανισμούς να ελέγχουν τις μικροσυσκευές τους και τις αρχιτεκτονικές πλέγματος υπηρεσιών. Με το OPA, μπορείτε να δημιουργήσετε και να επιβάλλετε πολιτικές εξουσιοδότησης απευθείας για μια μικροϋπηρεσία (συνήθως ως πλαϊνό αυτοκίνητο), να δημιουργήσετε πολιτικές service-to-service εντός του πλέγματος υπηρεσιών ή, από άποψη ασφάλειας, να δημιουργήσετε πολιτικές που περιορίζουν την πλευρική κίνηση εντός του πλέγματος υπηρεσιών αρχιτεκτονική.
Δημιουργία ενοποιημένης πολιτικής για αρχιτεκτονικές εγγενείς στο cloud
Σε γενικές γραμμές, ο γενικός στόχος κατά τη χρήση του OPA είναι να δημιουργήσετε μια ενοποιημένη προσέγγιση για τη δημιουργία πολιτικής σε ολόκληρη τη στοίβα σας που είναι εγγενής στο cloud - έτσι δεν χρειάζεται να διαχειρίζεστε συνεχώς την πολιτική σε δεκάδες τοποθεσίες, χρησιμοποιώντας διαφορετικές γλώσσες και προσεγγίσεις, μέσω μιας hoc μείγμα φυλετικών γνώσεων, wiki και PDF ή μια σύγχυση μη ταιριασμένων εργαλείων.
[Επίσης στις: 7 βέλτιστες πρακτικές για απομακρυσμένες ευέλικτες ομάδες]
Εκτός από την απλοποίηση της ανάπτυξης και την επιτάχυνση της παράδοσης, αυτό είναι επίσης μεγάλο νέο για την ασφάλεια, καθώς το OPA μειώνει τον αριθμό των εργαλείων που πρέπει να ελέγξετε εάν, για παράδειγμα, υποψιάζεστε ότι επιχειρήθηκε μη εξουσιοδοτημένη πρόσβαση. Παρομοίως, τόσο από άποψη λειτουργίας όσο και από πλευράς συμμόρφωσης, το OPA διευκολύνει τη συλλογή και ανάλυση πληροφοριών σε ετερογενές περιβάλλον - βοηθώντας σας να εντοπίσετε γρήγορα προβλήματα και να τα λύσετε πιο γρήγορα.
Οι προγραμματιστές αναζητούν έναν απλούστερο, πιο αποτελεσματικό τρόπο για τη δημιουργία και τη διαχείριση ελέγχων βάσει πολιτικών για τα περιβάλλοντα που είναι εγγενή στο cloud. Για πολλούς, αυτή η λύση είναι το OPA. Αν βρεθείτε ότι αγγίζετε την πολιτική εξουσιοδότησης σε πολλά μέρη, σε πολλές γλώσσες ή σε πολλές ομάδες, το OPA μπορεί να σας βοηθήσει να εξαλείψετε τον πλεονασμό και την ταχύτητα παράδοσης για εσάς, όπως ισχύει για αυτές.
Ο Tim Hinrichs είναι συνιδρυτής του έργου Open Policy Agent και CTO της Styra. Πριν από αυτό, ίδρυσε το έργο OpenStack Congress και ήταν μηχανικός λογισμικού στο VMware. Ο Tim πέρασε τα τελευταία 18 χρόνια αναπτύσσοντας δηλωτικές γλώσσες για διαφορετικούς τομείς, όπως υπολογιστικό νέφος, δικτύωση που καθορίζεται από λογισμικό, διαχείριση διαμόρφωσης, ασφάλεια ιστού και έλεγχο πρόσβασης. Έλαβε το διδακτορικό του στην Επιστήμη Υπολογιστών από το Πανεπιστήμιο του Στάνφορντ το 2008.
—
Το New Tech Forum παρέχει έναν χώρο για να εξερευνήσετε και να συζητήσετε την αναδυόμενη τεχνολογία σε πρωτοφανές βάθος και εύρος. Η επιλογή είναι υποκειμενική, με βάση την επιλογή των τεχνολογιών που πιστεύουμε ότι είναι σημαντικές και έχουν μεγάλο ενδιαφέρον για τους αναγνώστες. δεν αποδέχεται ασφάλεια μάρκετινγκ για δημοσίευση και διατηρεί το δικαίωμα να επεξεργαστεί όλο το περιεχόμενο. Στείλτε όλες τις ερωτήσεις στο [email protected].
