OPA Gatekeeper
¿Qué es OPA Gatekeeper?
OPA GatekeeperOPA Gatekeeper es un controlador de politicas de la CNCF que usa Open Policy Agent y el lenguaje Rego para aplicar politicas de admision y auditoria en Kubernetes.
Gatekeeper es el empaquetado nativo de OPA para Kubernetes. Los operadores instalan ConstraintTemplates con politicas Rego y CRDs derivadas del tipo del template; las instancias son las Constraints reales (por ejemplo, K8sRequiredLabels). Gatekeeper se ejecuta como webhook de admision validating y mutating y tambien audita el estado existente del cluster frente a las Constraints. Las politicas pueden alcanzar cualquier recurso y son independientes del esquema, asi que el mismo motor gobierna pods, Ingress, recursos personalizados y objetos gestionados en la nube. Se integra con el ecosistema OPA (Conftest, Styra, Terraform) y permite checks shift-left en CI ademas del enforcement en el cluster.
● Ejemplos
- 01
Una Constraint que obliga a que cada Deployment declare la etiqueta owner.
- 02
La auditoria de Gatekeeper lista los pods preexistentes que violan una Constraint Restricted nueva.
● Preguntas frecuentes
¿Qué es OPA Gatekeeper?
OPA Gatekeeper es un controlador de politicas de la CNCF que usa Open Policy Agent y el lenguaje Rego para aplicar politicas de admision y auditoria en Kubernetes. Pertenece a la categoría de Seguridad en la nube en ciberseguridad.
¿Qué significa OPA Gatekeeper?
OPA Gatekeeper es un controlador de politicas de la CNCF que usa Open Policy Agent y el lenguaje Rego para aplicar politicas de admision y auditoria en Kubernetes.
¿Cómo funciona OPA Gatekeeper?
Gatekeeper es el empaquetado nativo de OPA para Kubernetes. Los operadores instalan ConstraintTemplates con politicas Rego y CRDs derivadas del tipo del template; las instancias son las Constraints reales (por ejemplo, K8sRequiredLabels). Gatekeeper se ejecuta como webhook de admision validating y mutating y tambien audita el estado existente del cluster frente a las Constraints. Las politicas pueden alcanzar cualquier recurso y son independientes del esquema, asi que el mismo motor gobierna pods, Ingress, recursos personalizados y objetos gestionados en la nube. Se integra con el ecosistema OPA (Conftest, Styra, Terraform) y permite checks shift-left en CI ademas del enforcement en el cluster.
¿Cómo defenderse de OPA Gatekeeper?
Las defensas contra OPA Gatekeeper combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para OPA Gatekeeper?
Nombres alternativos comunes: Gatekeeper, OPA.
● Términos relacionados
- cloud-security№ 602
Kyverno
Kyverno es un motor de politicas de Kubernetes (CNCF) que valida, muta y genera recursos usando politicas escritas en YAML nativo en lugar de un DSL nuevo.
- cloud-security№ 597
Admission Controller de Kubernetes
Un admission controller es un plugin del API server de Kubernetes que intercepta las peticiones autenticadas antes de persistirlas para validar, mutar o rechazar objetos segun politicas.
- cloud-security№ 838
Pod Security Standards
Los Pod Security Standards (PSS) son perfiles de seguridad definidos por Kubernetes —Privileged, Baseline y Restricted— que codifican la configuracion segura de pods y sustituyen al obsoleto PodSecurityPolicy.
- cloud-security№ 599
Kubernetes NetworkPolicy
NetworkPolicy de Kubernetes es un recurso namespaced que controla que pods pueden conectarse a otros pods o destinos externos por IP, puerto y protocolo.
- cloud-security№ 582
Kata Containers
Kata Containers es un runtime de codigo abierto que envuelve cada contenedor o pod de Kubernetes en una maquina virtual ligera para ofrecer aislamiento de nivel hardware.
- cloud-security№ 455
gVisor
gVisor es un kernel de aplicacion de codigo abierto de Google que intercepta las syscalls de los contenedores en espacio de usuario para reducir la superficie de ataque del kernel del host.