Política como Código
¿Qué es Política como Código?
Política como CódigoPráctica de definir reglas de seguridad, cumplimiento y gobierno en código legible por máquina para versionarlas, probarlas, revisarlas y aplicarlas de forma automática.
La política como código (PaC) trata las políticas organizativas — qué configuraciones se permiten, quién puede hacer qué, en qué regiones pueden almacenarse los datos — como código fuente almacenado en un repositorio Git, probado en CI, revisado mediante pull requests y aplicado por motores automatizados. Implementaciones habituales son OPA con Rego, Kyverno para Kubernetes, HashiCorp Sentinel para Terraform, AWS Config Rules y Azure Policy. PaC elimina la ambigüedad de los PDFs y wikis: una denegación de contenedores privilegiados se convierte en una prueba concreta que falla y los informes de cumplimiento se generan a partir de las mismas reglas. El enfoque escala el gobierno a muchos equipos y clouds, se integra con DevSecOps y produce evidencia auditable.
● Ejemplos
- 01
Regla OPA Rego que rechaza cualquier Pod de Kubernetes sin readinessProbe en producción.
- 02
Política Sentinel que bloquea planes Terraform que creen buckets S3 sin cifrado.
● Preguntas frecuentes
¿Qué es Política como Código?
Práctica de definir reglas de seguridad, cumplimiento y gobierno en código legible por máquina para versionarlas, probarlas, revisarlas y aplicarlas de forma automática. Pertenece a la categoría de Seguridad en la nube en ciberseguridad.
¿Qué significa Política como Código?
Práctica de definir reglas de seguridad, cumplimiento y gobierno en código legible por máquina para versionarlas, probarlas, revisarlas y aplicarlas de forma automática.
¿Cómo funciona Política como Código?
La política como código (PaC) trata las políticas organizativas — qué configuraciones se permiten, quién puede hacer qué, en qué regiones pueden almacenarse los datos — como código fuente almacenado en un repositorio Git, probado en CI, revisado mediante pull requests y aplicado por motores automatizados. Implementaciones habituales son OPA con Rego, Kyverno para Kubernetes, HashiCorp Sentinel para Terraform, AWS Config Rules y Azure Policy. PaC elimina la ambigüedad de los PDFs y wikis: una denegación de contenedores privilegiados se convierte en una prueba concreta que falla y los informes de cumplimiento se generan a partir de las mismas reglas. El enfoque escala el gobierno a muchos equipos y clouds, se integra con DevSecOps y produce evidencia auditable.
¿Cómo defenderse de Política como Código?
Las defensas contra Política como Código combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Política como Código?
Nombres alternativos comunes: PaC.
● Términos relacionados
- cloud-security№ 756
OPA (Open Policy Agent)
Motor de políticas de propósito general graduado por la CNCF que desacopla las decisiones de autorización de las aplicaciones y del control de admisión de Kubernetes usando el lenguaje Rego.
- cloud-security№ 991
Seguridad como Código
Práctica de expresar controles, pruebas e infraestructura de seguridad como código fuente para versionarlos, revisarlos, automatizarlos y entregarlos continuamente junto a las aplicaciones.
- compliance№ 204
Cumplimiento normativo
Disciplina que asegura el cumplimiento de requisitos legales, regulatorios, contractuales e internos de seguridad mediante controles documentados, evidencia y evaluación continua.
- cloud-security№ 600
Seguridad de Kubernetes
Protección de un cluster de Kubernetes —su API server, plano de control, nodos, cargas y red— frente a configuraciones erróneas, compromisos y movimiento lateral.
- cloud-security№ 1014
Seguridad de Service Mesh
Conjunto de controles de identidad, cifrado y autorización que un service mesh provee para asegurar el tráfico servicio-a-servicio en entornos cloud-native.
- network-security№ 1262
Red Zero Trust
Arquitectura de red que nunca confía en usuarios, dispositivos o servicios por defecto y exige verificación continua basada en identidad para cada conexión.