公开政策代理(OPA)已迅速成为我们为客户构建的许多分布式云原生解决方案的有利组成部分。opa提供统一的框架和语用于声明,强制执行和控制云原生解决方案的各种组件的策略。这是一种实现工具的一个很好的例子作为代码的安全策略。我们在多种方案中使用OPA具有平滑的体验,包括将资源部署到K8S集群,强制执行跨服务的访问控制服务网格和细粒度的安全控制为访问应用程序资源的代码。最近的商业产品,斯特拉的宣言授权服务(DAS),通过将管理工具或控制平面添加到K8S的opa,为企业提供对k8次的预设策略库,影响策略和记录功能的影响。我们期待到期,超越运营服务的opa的成熟和扩展为(大)以数据为中心的解决方案。
在各种技术景观中统一定义和执行安全策略是挑战。即使对于简单的应用程序,您也必须控制对其组件的访问 - 例如集装制弦乐器,服务和数据存储,以保持服务的“状态” - 使用其组件的内置安全策略配置和强制机制。
我们很兴奋公开政策代理(OPA),一个试图解决这个问题的开源技术。opa允许您将细粒度的访问控制和灵活的策略定义为代码,使用雷策略定义语言。Refo以应用程序代码之外的分布式和不引人注目的方式强制执行策略。在本写作时,OPA实现了统一和灵活的策略定义和实施,以确保访问Kubernetes API,微服务API使者侧库和Kafka.。它也可以用作任何服务的Sidecar以验证访问策略或滤波器响应数据。斯托拉该公司在OPA后面,为分布式政策提供了集中性可见性的商业解决方案。我们喜欢看opa成熟CNCF孵化计划并继续为更具挑战性的策略执行方案(如不同的数据商店)进行支持。