A medida que el terreno de la tecnología se vuelve más complejo, áreas como la seguridad requieren de mayor automatización y prácticas de ingeniería. Cuando construimos sistemas, debemos considerar a las políticas de seguridad, aquellas reglas y procedimientos que protegen a los sistemas de peligros e interrupciones. Por ejemplo, las políticas de control de acceso definen e imponen quién puede acceder a cada servicio y recurso y bajo qué circunstancias; en contraste, las políticas de seguridad de redes pueden limitar dinámicamente el nivel de tráfico hacia un servicio en particular.
Varios de nuestros equipos han tenido buenos resultados al tratar a las políticas de seguridad como código. Cuando decimos como código, no nos limitamos a escribir estas políticas en un archivo, si no que también aplicamos técnicas como mantener ese código versionado, introducir validaciones automatizadas en el pipeline, despliegues automatizados a ambientes así como observar y monitorear su funcionamiento. Basados en nuestra experiencia y en la madurez de las herramientas y plataformas existentes, como Open Policy Agent e Istio, que proveen mecanismos para definir e imponer políticas flexibles que soportan la práctica de políticas de seguridad como código, recomendamos mucho utilizar esta técnica en tu entorno.
Las políticas de seguridad son reglas y procedimientos que protegen a nuestros sistemas de amenazas e interrupciones. Por ejemplo, las políticas de control de acceso definen y resguardan quiénes pueden acceder a qué tipo de servicios y recursos, y bajo qué circunstancias; o las políticas de seguridad de redes pueden limitar dinámicamente la velocidad del tráfico a un servicio en particular. El complejo panorama tecnológico de hoy exige tratar las políticas de seguridad como código , es decir, definirlas y mantenerlas bajo control de versiones, validarlas, desplegarlas automáticamente y monitorear su desempeño. Herramientas tales como el Open Policy Agent o plataformas como Istio proveen mecanismos flexibles de definición y ejecución de políticas que apoyan la práctica de tratar las políticas de seguridad como código.
Las políticas de seguridad son reglas y procedimientos que protegen a nuestros sistemas de amenazas y alteraciones. Por ejemplo, las políticas de control de acceso definen y resguardan quiénes pueden acceder a qué tipo de servicios y de recursos y bajo qué circunstancias; o las políticas de seguridad de redes pueden limitar dinámicamente la velocidad del tráfico a un servicio en particular. El complejo panorama tecnológico de hoy exige tratar las políticas de seguridad como código: definir y mantener esas políticas bajo control de versionamiento, validarlas automáticamente, desplegarlas automáticamente y monitorear su desempeño. Herramientas tales como el Open Policy Agent o plataformas como Istio proveen mecanismos flexibles de definición y ejecución de políticas que apoyan la práctica de tratar las políticas de seguridad como código.
