OPA (Open Policy Agent)
Qu'est-ce que OPA (Open Policy Agent) ?
OPA (Open Policy Agent)Moteur de politiques généraliste, gradué CNCF, qui découple les décisions d'autorisation des applications et de l'admission Kubernetes via le langage Rego.
OPA (Open Policy Agent) est un moteur de politiques open source généraliste qui permet d'exprimer les règles d'autorisation, d'admission et de configuration sous forme de code dans le langage déclaratif Rego. Les applications et plateformes appellent OPA avec un JSON et reçoivent une décision, retirant la politique de la logique métier. Il est largement utilisé pour l'admission Kubernetes (via Gatekeeper), l'autorisation entre microservices (ext_authz Envoy/Istio), la validation de plans Terraform, les garde-fous CI/CD et le RBAC SaaS. OPA peut s'exécuter en sidecar, en serveur autonome, en bibliothèque ou intégralement dans le cluster, et supporte des bundles de politiques et des logs de décisions. Bonnes pratiques : tests solides des politiques Rego, bundles versionnés et revue continue.
● Exemples
- 01
Gatekeeper utilisant OPA pour refuser les pods Kubernetes exécutés en root.
- 02
Envoy ext_authz délègue l'autorisation par requête à OPA via gRPC.
● Questions fréquentes
Qu'est-ce que OPA (Open Policy Agent) ?
Moteur de politiques généraliste, gradué CNCF, qui découple les décisions d'autorisation des applications et de l'admission Kubernetes via le langage Rego. Cette notion relève de la catégorie Sécurité du cloud en cybersécurité.
Que signifie OPA (Open Policy Agent) ?
Moteur de politiques généraliste, gradué CNCF, qui découple les décisions d'autorisation des applications et de l'admission Kubernetes via le langage Rego.
Comment fonctionne OPA (Open Policy Agent) ?
OPA (Open Policy Agent) est un moteur de politiques open source généraliste qui permet d'exprimer les règles d'autorisation, d'admission et de configuration sous forme de code dans le langage déclaratif Rego. Les applications et plateformes appellent OPA avec un JSON et reçoivent une décision, retirant la politique de la logique métier. Il est largement utilisé pour l'admission Kubernetes (via Gatekeeper), l'autorisation entre microservices (ext_authz Envoy/Istio), la validation de plans Terraform, les garde-fous CI/CD et le RBAC SaaS. OPA peut s'exécuter en sidecar, en serveur autonome, en bibliothèque ou intégralement dans le cluster, et supporte des bundles de politiques et des logs de décisions. Bonnes pratiques : tests solides des politiques Rego, bundles versionnés et revue continue.
Comment se défendre contre OPA (Open Policy Agent) ?
Les défenses contre OPA (Open Policy Agent) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de OPA (Open Policy Agent) ?
Noms alternatifs courants : Open Policy Agent, Moteur de politiques Rego.
● Termes liés
- cloud-security№ 839
Policy as Code
Pratique consistant à définir les règles de sécurité, de conformité et de gouvernance dans du code lisible par machine, versionné, testé, revu et appliqué automatiquement.
- cloud-security№ 991
Sécurité as Code
Pratique consistant à exprimer contrôles, tests et infrastructure de sécurité sous forme de code source, versionnés, revus, automatisés et livrés en continu avec les applications.
- cloud-security№ 600
Sécurité de Kubernetes
Protection d'un cluster Kubernetes — son API server, son plan de contrôle, ses nœuds, ses workloads et son réseau — contre les mauvaises configurations, les compromissions et le mouvement latéral.
- cloud-security№ 1014
Sécurité du Service Mesh
Ensemble de contrôles d'identité, de chiffrement et d'autorisation qu'un service mesh fournit pour sécuriser le trafic service-à-service en environnement cloud-native.
- compliance№ 204
Conformité
Discipline visant à respecter les exigences légales, réglementaires, contractuelles et internes de sécurité par des contrôles documentés, des preuves et une évaluation continue.
- network-security№ 1262
Réseau Zero Trust
Architecture qui ne fait jamais confiance par défaut aux utilisateurs, terminaux ou services et impose une vérification continue, basée sur l'identité, de chaque connexion.