Programmēšana

OPA: vispārējas nozīmes politikas motors vietējiem mākoņiem

Kad jūsu organizācija aptver mākoni, iespējams, ka mākoņa vietējās kaudzes dinamiskumam un mērogam ir nepieciešama daudz sarežģītāka drošības un atbilstības ainava. Piemēram, kad konteineru orķestrēšanas platformas, piemēram, Kubernetes, iegūst vilces spēku, izstrādātājiem un izstrādātāju komandām ir jauna atbildība par politikas jomām, piemēram, uzņemšanas kontroli, kā arī tradicionālākām jomām, piemēram, skaitļošanu, glabāšanu un tīklu veidošanu. Tikmēr katrai lietojumprogrammai, mikropakalpojumam vai pakalpojumu tīklam ir nepieciešams savs autorizācijas politiku kopums, kuram izstrādātāji ir pakļauti.

Šo iemeslu dēļ tiek meklēti vienkāršāki, laika ziņā efektīvāki veidi, kā izveidot, ieviest un pārvaldīt politiku mākonī. Ievadiet Open Policy Agent (OPA). OPA, kas pirms četriem gadiem tika izveidota kā atvērtā koda, domēna-agnostikas politikas programma, mākoņdatošanas politikas de facto kļūst par standartu. Faktiski OPA jau strādā ražošanā tādos uzņēmumos kā Netflix, Pinterest un Goldman Sachs tādiem lietošanas gadījumiem kā Kubernetes uzņemšanas kontrole un mikroservisu API autorizācija. OPA nodrošina arī daudzu mākoņdatošanas rīku, kurus jūs jau pazīstat un mīlat, tostarp Atlassian suite un Chef Automate.

[Arī vietnē: Vietnes uzticamības inženierija satiekas ar devops]

OPA nodrošina mākoņdatošanas organizācijām vienotu politikas valodu, lai autorizācijas lēmumus varētu izteikt vienotā veidā, visās lietotnēs, API, infrastruktūrā un citur, bez nepieciešamības stingri kodēt pasūtīto politiku katrā no šīm dažādajām valodām un rīkiem atsevišķi. . Turklāt, tā kā OPA ir paredzēta autorizēšanai, tā piedāvā arvien lielāku veiktspējas optimizāciju kolekciju, lai politikas autori varētu pavadīt lielāko daļu laika, rakstot pareizu, uzturamu politiku un atstājot veiktspēju OPA ziņā.

OPA autorizācijas politikai visā kaudzē ir daudz, daudz izmantošanas gadījumu - sākot no aizsargjoslu izvietošanas ap konteineru orķestrēšanu, beidzot ar SSH piekļuves kontroli vai uz kontekstu balstītu pakalpojumu tīkla autorizācijas nodrošināšanu. Tomēr ir trīs populāri lietošanas gadījumi, kas daudziem OPA lietotājiem nodrošina labu palaišanas paliktni: lietojumprogrammu autorizācija, Kubernetes uzņemšanas kontrole un mikropakalpojumi.

OPA pieteikuma autorizācijai

Autorizācijas politika ir visuresoša, jo praktiski tā ir nepieciešama jebkurai lietojumprogrammai. Tomēr izstrādātāji parasti “savējo” kodu, kas ir ne tikai laikietilpīgs, bet arī rada sarežģītu rīku un politiku savārstīgu segu. Lai gan katrai lietotnei autorizācija ir kritiska, politikas izveidei veltītais laiks nozīmē mazāk laika, koncentrējoties uz lietotājiem paredzētajām funkcijām.

OPA izmanto mērķtiecīgi veidotu deklaratīvu politikas valodu, kas autorizācijas politikas izstrādi padara vienkāršu. Piemēram, jūs varat izveidot un ieviest tikpat vienkāršas politikas kā: “Jūs nevarat lasīt PII, ja esat darbuzņēmējs” vai “Džeina var piekļūt šim kontam”. Bet tas ir tikai sākums. Tā kā OPA ir informēta par kontekstu, varat izveidot arī politiku, kas ņem vērā jebko uz planētas, piemēram, “Tirdzniecības dienas pēdējā stundā pieprasītos akciju darījumus, kuru rezultātā tiks veikts vairāk nekā miljons dolāru liels darījums, var veikt tikai īpašus pakalpojumus noteiktā vārdu telpā. ”

Protams, daudzām organizācijām ir jau izveidota individuāla autorizācija. Tomēr, ja jūs cerat sadalīt savas lietojumprogrammas un mērogot mikropakalpojumus mākonī, vienlaikus saglabājot izstrādātāju efektivitāti, būs nepieciešama sadalīta autorizācijas sistēma. Daudziem OPA ir trūkstošais puzles gabals.

OPA Kubernetes uzņemšanas kontrolei

Daudzi lietotāji izmanto arī OPA, lai izveidotu aizsargierīces Kubernetes. Pati Kubernetes ir kļuvusi par galveno un misijas kritisko, un organizācijas meklē veidus, kā definēt un ieviest drošības sargus, lai palīdzētu mazināt drošības un atbilstības risku. Izmantojot OPA, administratori var noteikt skaidru politiku, lai izstrādātāji varētu paātrināt cauruļvadu ražošanu un ātri piedāvāt jaunus pakalpojumus tirgū, neuztraucoties par darbības, drošības vai atbilstības risku.

OPA var izmantot, lai izveidotu politikas, kas noraida visus iebrukumus, kuri izmanto to pašu resursdatora nosaukumu, vai kuriem visiem konteinera attēliem jābūt no uzticama reģistra, vai lai nodrošinātu, ka visa krātuve vienmēr ir atzīmēta ar šifrētu bitu vai ka katra lietotne, kas tiek pakļauta internetā izmantojiet apstiprinātu domēna vārdu - lai minētu tikai dažus piemērus.

Tā kā OPA tieši integrējas Kubernetes API serverī, tā var noraidīt visus resursus, kurus politika neatļauj, visā skaitļošanā, tīklā, krātuvē utt. Īpaši izdevīgi izstrādātājiem, jūs varat atklāt šīs politikas izstrādes cikla sākumā, piemēram, CI / CD cauruļvadā, lai izstrādātāji varētu savlaicīgi saņemt atsauksmes un novērst problēmas pirms izpildlaika. Turklāt jūs pat varat apstiprināt savas politikas ārpus joslas, nodrošinot, ka tās sasniedz paredzēto efektu un nejauši nerada nepatikšanas.

OPA mikropakalpojumiem

Visbeidzot, OPA ir kļuvusi ļoti populāra, palīdzot organizācijām kontrolēt savus mikropakalpojumus un pakalpojumu tīkla arhitektūru. Izmantojot OPA, varat izveidot un ieviest autorizācijas politikas tieši mikropakalpojumam (parasti kā blakusvāģim), veidot pakalpojumu pakalpojuma politikas pakalpojumu sietā vai no drošības viedokļa izveidot politikas, kas ierobežo sānu pārvietošanos pakalpojumu sietā arhitektūra.

Vienotas politikas veidošana mākoņa vietējām arhitektūrām

Kopumā OPA izmantošanas vispārīgais mērķis ir izveidot vienotu pieeju politikas veidošanai visā mākoņa vietējā kaudzē - tāpēc jums nav nepārtraukti jāpārvalda politika desmitos atrašanās vietu, izmantojot dažādas valodas un pieejas, izmantojot reklāmu. hoc cilšu zināšanu, wiki un PDF failu sajaukums vai neatbilstošu rīku sajaukums.

[Arī par: 7 paraugprakse attālām veiklām komandām]

Neatkarīgi no izstrādes vienkāršošanas un ātrākas piegādes, tas ir liels jaunums arī attiecībā uz drošību, jo OPA samazina nepieciešamo rīku skaitu, lai pārbaudītu, vai, piemēram, jums ir aizdomas par nesankcionētu piekļuvi. Līdzīgi gan no operācijām, gan no atbilstības viedokļa OPA atvieglo informācijas iegūšanu un analīzi neviendabīgā vidē - palīdzot ātri identificēt problēmas un ātrāk tās atrisināt.

Izstrādātāji meklē vienkāršāku, efektīvāku veidu, kā izveidot un pārvaldīt uz politikām balstītas vadīklas savai mākoņdatošanas videi. Daudziem šāds risinājums ir OPA. Ja jums šķiet, ka pieskaraties autorizācijas politikai vairākās vietās, vairākās valodās vai vairākās komandās, OPA var palīdzēt novērst atlaišanu un ātru piegādi jūsu vietā, tāpat kā viņiem.

Tims Hinričs ir projekta Open Policy Agent un Styra CTO līdzdibinātājs. Pirms tam viņš līdzdibināja OpenStack Congress projektu un bija programmatūras inženieris uzņēmumā VMware. Tims pavadīja pēdējos 18 gadus, izstrādājot deklaratīvas valodas dažādiem domēniem, piemēram, mākoņdatošanai, programmatūras definētai tīklošanai, konfigurācijas pārvaldībai, tīmekļa drošībai un piekļuves kontrolei. Viņš saņēma doktora grādu. Stenfordas universitātes datorzinātnēs 2008. gadā.

Jauno tehnoloģiju forums nodrošina vietu, kur bezprecedenta dziļumā un plašumā izpētīt un pārrunāt topošās uzņēmuma tehnoloģijas. Izvēle ir subjektīva, balstoties uz mūsu izvēlētajām tehnoloģijām, kuras, mūsuprāt, ir svarīgas un interesē lasītājus. nepieņem mārketinga nodrošinājumu publicēšanai un patur tiesības rediģēt visu ieguldīto saturu. Nosūtiet visus jautājumus uz [email protected].

$config[zx-auto] not found$config[zx-overlay] not found