OPA (Open Policy Agent)
¿Qué es OPA (Open Policy Agent)?
OPA (Open Policy Agent)Motor de políticas de propósito general graduado por la CNCF que desacopla las decisiones de autorización de las aplicaciones y del control de admisión de Kubernetes usando el lenguaje Rego.
OPA (Open Policy Agent) es un motor de políticas open source de propósito general que permite expresar reglas de autorización, admisión y configuración como código en el lenguaje declarativo Rego. Las aplicaciones y plataformas llaman a OPA con un JSON de entrada y reciben una decisión, sacando la política fuera de la lógica de negocio. Se usa ampliamente para admisión en Kubernetes (vía Gatekeeper), autorización entre microservicios (ext_authz de Envoy/Istio), validación de planes Terraform, guardrails de CI/CD y RBAC en SaaS. OPA puede ejecutarse como sidecar, servidor independiente, biblioteca o totalmente dentro del clúster, y soporta bundles de políticas y registros de decisiones. Las buenas prácticas incluyen pruebas robustas de las políticas Rego, bundles versionados y revisión continua.
● Ejemplos
- 01
Gatekeeper usando OPA para denegar pods de Kubernetes que se ejecuten como root.
- 02
Envoy ext_authz delegando la autorización por solicitud a OPA mediante gRPC.
● Preguntas frecuentes
¿Qué es OPA (Open Policy Agent)?
Motor de políticas de propósito general graduado por la CNCF que desacopla las decisiones de autorización de las aplicaciones y del control de admisión de Kubernetes usando el lenguaje Rego. Pertenece a la categoría de Seguridad en la nube en ciberseguridad.
¿Qué significa OPA (Open Policy Agent)?
Motor de políticas de propósito general graduado por la CNCF que desacopla las decisiones de autorización de las aplicaciones y del control de admisión de Kubernetes usando el lenguaje Rego.
¿Cómo funciona OPA (Open Policy Agent)?
OPA (Open Policy Agent) es un motor de políticas open source de propósito general que permite expresar reglas de autorización, admisión y configuración como código en el lenguaje declarativo Rego. Las aplicaciones y plataformas llaman a OPA con un JSON de entrada y reciben una decisión, sacando la política fuera de la lógica de negocio. Se usa ampliamente para admisión en Kubernetes (vía Gatekeeper), autorización entre microservicios (ext_authz de Envoy/Istio), validación de planes Terraform, guardrails de CI/CD y RBAC en SaaS. OPA puede ejecutarse como sidecar, servidor independiente, biblioteca o totalmente dentro del clúster, y soporta bundles de políticas y registros de decisiones. Las buenas prácticas incluyen pruebas robustas de las políticas Rego, bundles versionados y revisión continua.
¿Cómo defenderse de OPA (Open Policy Agent)?
Las defensas contra OPA (Open Policy Agent) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para OPA (Open Policy Agent)?
Nombres alternativos comunes: Open Policy Agent, Motor de políticas Rego.
● Términos relacionados
- cloud-security№ 839
Política como Código
Práctica de definir reglas de seguridad, cumplimiento y gobierno en código legible por máquina para versionarlas, probarlas, revisarlas y aplicarlas de forma automática.
- cloud-security№ 991
Seguridad como Código
Práctica de expresar controles, pruebas e infraestructura de seguridad como código fuente para versionarlos, revisarlos, automatizarlos y entregarlos continuamente junto a las aplicaciones.
- cloud-security№ 600
Seguridad de Kubernetes
Protección de un cluster de Kubernetes —su API server, plano de control, nodos, cargas y red— frente a configuraciones erróneas, compromisos y movimiento lateral.
- cloud-security№ 1014
Seguridad de Service Mesh
Conjunto de controles de identidad, cifrado y autorización que un service mesh provee para asegurar el tráfico servicio-a-servicio en entornos cloud-native.
- compliance№ 204
Cumplimiento normativo
Disciplina que asegura el cumplimiento de requisitos legales, regulatorios, contractuales e internos de seguridad mediante controles documentados, evidencia y evaluación continua.
- network-security№ 1262
Red Zero Trust
Arquitectura de red que nunca confía en usuarios, dispositivos o servicios por defecto y exige verificación continua basada en identidad para cada conexión.