OPA Gatekeeper
Qu'est-ce que OPA Gatekeeper ?
OPA GatekeeperOPA Gatekeeper est un controleur de politiques CNCF qui utilise Open Policy Agent et le langage Rego pour appliquer des politiques d'admission et d'audit dans Kubernetes.
Gatekeeper est l'integration Kubernetes native d'Open Policy Agent. Les operateurs installent des ConstraintTemplates contenant des politiques Rego et des CRD typees ; les instances sont les Constraints reelles (par exemple K8sRequiredLabels). Gatekeeper s'execute comme webhook d'admission validating et mutating et audite egalement l'etat existant du cluster. Les politiques sont decouplees des schemas qu'elles protegent : un meme moteur gouverne Pods, Ingress, ressources personnalisees et objets cloud manages. Gatekeeper s'integre a l'ecosysteme OPA (Conftest, Styra, Terraform), permettant des controles shift-left en CI en plus de l'enforcement cluster.
● Exemples
- 01
Une Constraint qui impose a chaque Deployment de declarer une etiquette owner.
- 02
L'audit Gatekeeper liste les pods preexistants violant une nouvelle Constraint Restricted.
● Questions fréquentes
Qu'est-ce que OPA Gatekeeper ?
OPA Gatekeeper est un controleur de politiques CNCF qui utilise Open Policy Agent et le langage Rego pour appliquer des politiques d'admission et d'audit dans Kubernetes. Cette notion relève de la catégorie Sécurité du cloud en cybersécurité.
Que signifie OPA Gatekeeper ?
OPA Gatekeeper est un controleur de politiques CNCF qui utilise Open Policy Agent et le langage Rego pour appliquer des politiques d'admission et d'audit dans Kubernetes.
Comment fonctionne OPA Gatekeeper ?
Gatekeeper est l'integration Kubernetes native d'Open Policy Agent. Les operateurs installent des ConstraintTemplates contenant des politiques Rego et des CRD typees ; les instances sont les Constraints reelles (par exemple K8sRequiredLabels). Gatekeeper s'execute comme webhook d'admission validating et mutating et audite egalement l'etat existant du cluster. Les politiques sont decouplees des schemas qu'elles protegent : un meme moteur gouverne Pods, Ingress, ressources personnalisees et objets cloud manages. Gatekeeper s'integre a l'ecosysteme OPA (Conftest, Styra, Terraform), permettant des controles shift-left en CI en plus de l'enforcement cluster.
Comment se défendre contre OPA Gatekeeper ?
Les défenses contre OPA Gatekeeper combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de OPA Gatekeeper ?
Noms alternatifs courants : Gatekeeper, OPA.
● Termes liés
- cloud-security№ 602
Kyverno
Kyverno est un moteur de politiques Kubernetes CNCF qui valide, mute et genere des ressources via des politiques ecrites en YAML natif plutot que dans un nouveau DSL.
- cloud-security№ 597
Admission Controller Kubernetes
Un admission controller est un plugin de l'API server Kubernetes qui intercepte les requetes authentifiees avant persistance pour valider, muter ou rejeter les objets selon la politique.
- cloud-security№ 838
Pod Security Standards
Les Pod Security Standards (PSS) sont des profils de securite definis par Kubernetes — Privileged, Baseline et Restricted — qui codifient la configuration sure des pods et remplacent l'ancien PodSecurityPolicy.
- cloud-security№ 599
NetworkPolicy Kubernetes
NetworkPolicy Kubernetes est une ressource namespaced qui controle quels pods peuvent se connecter a quels pods ou endpoints externes via IP, port et protocole.
- cloud-security№ 582
Kata Containers
Kata Containers est un runtime open source qui encapsule chaque conteneur ou pod Kubernetes dans une machine virtuelle legere pour fournir une isolation au niveau materiel.
- cloud-security№ 455
gVisor
gVisor est un noyau applicatif open source de Google qui intercepte les appels systeme des conteneurs en espace utilisateur, reduisant la surface d'attaque du noyau hote exposee aux charges non fiables.