Policy as Code
Was ist Policy as Code?
Policy as CodePraxis, Sicherheits-, Compliance- und Governance-Regeln in maschinenlesbarem Code zu definieren, sodass sie versioniert, getestet, reviewt und automatisch durchgesetzt werden.
Policy as Code (PaC) behandelt Organisationsregeln — welche Konfigurationen erlaubt sind, wer was darf, in welchen Regionen Daten liegen dürfen — als Quellcode in einem Git-Repository, der per CI getestet, per Pull Request reviewt und von automatisierten Engines erzwungen wird. Verbreitete Umsetzungen sind OPA mit Rego, Kyverno für Kubernetes, HashiCorp Sentinel für Terraform, AWS Config Rules und Azure Policy. PaC beseitigt die Mehrdeutigkeit aus PDFs und Wikis: Ein Deny für privilegierte Container wird zum fehlschlagenden Test, Compliance-Berichte entstehen aus denselben Regeln. Der Ansatz skaliert Governance über viele Teams und Clouds, lässt sich in DevSecOps-Pipelines integrieren und liefert auditierbare Belege.
● Beispiele
- 01
OPA-Rego-Regel, die in Produktion jeden Kubernetes-Pod ohne readinessProbe ablehnt.
- 02
Sentinel-Policy, die Terraform-Pläne ohne verschlüsselte S3-Buckets blockiert.
● Häufige Fragen
Was ist Policy as Code?
Praxis, Sicherheits-, Compliance- und Governance-Regeln in maschinenlesbarem Code zu definieren, sodass sie versioniert, getestet, reviewt und automatisch durchgesetzt werden. Es gehört zur Kategorie Cloud-Sicherheit der Cybersicherheit.
Was bedeutet Policy as Code?
Praxis, Sicherheits-, Compliance- und Governance-Regeln in maschinenlesbarem Code zu definieren, sodass sie versioniert, getestet, reviewt und automatisch durchgesetzt werden.
Wie funktioniert Policy as Code?
Policy as Code (PaC) behandelt Organisationsregeln — welche Konfigurationen erlaubt sind, wer was darf, in welchen Regionen Daten liegen dürfen — als Quellcode in einem Git-Repository, der per CI getestet, per Pull Request reviewt und von automatisierten Engines erzwungen wird. Verbreitete Umsetzungen sind OPA mit Rego, Kyverno für Kubernetes, HashiCorp Sentinel für Terraform, AWS Config Rules und Azure Policy. PaC beseitigt die Mehrdeutigkeit aus PDFs und Wikis: Ein Deny für privilegierte Container wird zum fehlschlagenden Test, Compliance-Berichte entstehen aus denselben Regeln. Der Ansatz skaliert Governance über viele Teams und Clouds, lässt sich in DevSecOps-Pipelines integrieren und liefert auditierbare Belege.
Wie schützt man sich gegen Policy as Code?
Schutzmaßnahmen gegen Policy as Code kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Policy as Code?
Übliche alternative Bezeichnungen: PaC.
● Verwandte Begriffe
- cloud-security№ 756
OPA (Open Policy Agent)
CNCF-graduierte, universelle Policy-Engine, die mit der Rego-Sprache Autorisierungsentscheidungen von Anwendungen und Kubernetes-Admission entkoppelt.
- cloud-security№ 991
Security as Code
Praxis, Sicherheitskontrollen, Tests und Infrastruktur als Quellcode auszudrücken, sodass sie versioniert, peer-reviewt, automatisiert und kontinuierlich mit Apps ausgeliefert werden.
- compliance№ 204
Compliance
Die Disziplin, gesetzliche, regulatorische, vertragliche und interne Sicherheitsanforderungen durch dokumentierte Kontrollen, Nachweise und laufende Bewertung einzuhalten.
- cloud-security№ 600
Kubernetes-Sicherheit
Schutz eines Kubernetes-Clusters – API-Server, Control Plane, Nodes, Workloads und Netzwerk – vor Fehlkonfiguration, Kompromittierung und lateraler Bewegung.
- cloud-security№ 1014
Service-Mesh-Sicherheit
Sammlung von Identitäts-, Verschlüsselungs- und Autorisierungskontrollen, die ein Service Mesh bereitstellt, um Service-zu-Service-Traffic in Cloud-Native-Umgebungen abzusichern.
- network-security№ 1262
Zero Trust Network
Eine Netzwerkarchitektur, die Nutzer, Geräte oder Dienste niemals automatisch vertraut und jede Verbindung kontinuierlich identitätsbasiert prüft.