Enable javascript in your browser for better experience. Need to know to enable it? Go here.

开放策略代理 (OPA)

更新于 : Apr 03, 2024
不在本期内容中
这一条目不在当前版本的技术雷达中。如果它出现在最近几期中,那么它很有可能仍然具有相关参考价值。如果这一条目出现在更早的雷达中,那么它很有可能已经不再具有相关性,我们的评估将不再适用于当下。很遗憾我们没有足够的带宽来持续评估以往的雷达内容。 了解更多
Apr 2024
试验 ?

Open Policy Agent (OPA)是一个统一的框架和 语言,用于声明、执行和控制策略。在我们团队,它已经成为定义分布式系统策略的一种常用方式,尤其是在我们需要实施变更点的合规时。OPA 使团队能够实现各种平台工程模式,例如控制部署到 Kubernetes 集群的内容、在服务网格 中跨服务强制访问控制以及实现细粒度的访问应用程序资源的 安全策略即代码。虽然 OPA 实现存在一定复杂性,但事实证明它是一种确保 DevOps 文化下的 合规性 的非常有价值的工具。我们还将继续关注 OPA 在运营系统之外扩展到大数据解决方案的成熟度。

May 2020
试验 ?

在我们为客户构建的许多分布式云原生解决方案中,Open Policy Agent (OPA) 已经迅速地展现了它的价值。OPA 提供了一套统一的框架和语言,用于声明,实施和控制云原生解决方案中各个组件的策略。它是实现安全策略即代码的工具中的一个很好的例子。无论是在K8s 集群中部署资源,还是在服务网格中跨服务执行访问控制,抑或是通过代码精准地控制应用资源访问,在很多场景中 OPA 都给我们提供了非常顺畅的体验。最近的一个商业产品 Styra 声明式授权服务(Styra's Declarative Authorization Service (DAS)),通过向 K8s 的 OPA 中添加管理工具(或者说控制平面),预先构建的策略库,策略影响分析和日志记录等功能,使企业采用 OPA 变得更加简单。我们期待 OPA 的成熟和扩展,希望它可以从一个可用的服务演变成一个(大型的)以数据为中心的解决方案。

Nov 2019
评估 ?

横跨多个技术领域统一定义和实施安全策略很有挑战。即使对于简单的应用程序,也必须使用其组件内置的安全策略配置和实施机制,来控制对容器编排器、保存服务状态的服务及数据存储等组件的访问。

我们对开放策略代理(OPA)这个尝试解决此问题的开源技术感到非常兴奋。OPA可以使用Rego策略定义语言,以代码的方式进行细粒度的访问控制与灵活的策略定义。Rego在应用程序代码之外,以分布式且不干扰用户的方式实施策略。在撰写本文时,OPA以统一而灵活的策略定义及执行实现,确保了通过Envoy边车和Kafka访问Kubernetes API和微服务API的安全性。它也可以用作任何服务的边车,用以验证访问策略或过滤响应数据。OPA背后的公司Styra针对分布式策略的集中可见性提供提供商业化的解决方案。我们希望OPA可以通过CNCF孵化计划成熟起来,并继续为多样化的数据存储等更具挑战性的策略执行场景提供支持。

发布于 : Nov 20, 2019

下载 PDF

 

English | Español | Português | 中文

订阅技术雷达简报

 

立即订阅

查看存档并阅读往期内容