OPA Gatekeeper
O que é OPA Gatekeeper?
OPA GatekeeperOPA Gatekeeper e um controlador de politicas da CNCF que usa o Open Policy Agent e a linguagem Rego para aplicar politicas de admissao e auditoria a recursos do Kubernetes.
O Gatekeeper e o empacotamento nativo do OPA para o Kubernetes. Os operadores instalam ConstraintTemplates com politicas Rego e CRDs tipadas cujas instancias sao as Constraints reais (por exemplo, K8sRequiredLabels). O Gatekeeper corre como webhook de admissao validating e mutating e tambem audita o estado existente do cluster contra as Constraints. As politicas sao desacopladas do schema do recurso protegido, de modo que o mesmo motor governa Pods, Ingresses, Custom Resources e objetos geridos na nuvem. O Gatekeeper integra-se com o ecossistema OPA (Conftest, Styra, Terraform), permitindo verificacoes shift-left em CI alem do enforcement no cluster.
● Exemplos
- 01
Uma Constraint que obriga cada Deployment a declarar a etiqueta owner.
- 02
A auditoria do Gatekeeper lista pods pre-existentes que violam uma nova Constraint Restricted.
● Perguntas frequentes
O que é OPA Gatekeeper?
OPA Gatekeeper e um controlador de politicas da CNCF que usa o Open Policy Agent e a linguagem Rego para aplicar politicas de admissao e auditoria a recursos do Kubernetes. Pertence à categoria Segurança em nuvem da cibersegurança.
O que significa OPA Gatekeeper?
OPA Gatekeeper e um controlador de politicas da CNCF que usa o Open Policy Agent e a linguagem Rego para aplicar politicas de admissao e auditoria a recursos do Kubernetes.
Como funciona OPA Gatekeeper?
O Gatekeeper e o empacotamento nativo do OPA para o Kubernetes. Os operadores instalam ConstraintTemplates com politicas Rego e CRDs tipadas cujas instancias sao as Constraints reais (por exemplo, K8sRequiredLabels). O Gatekeeper corre como webhook de admissao validating e mutating e tambem audita o estado existente do cluster contra as Constraints. As politicas sao desacopladas do schema do recurso protegido, de modo que o mesmo motor governa Pods, Ingresses, Custom Resources e objetos geridos na nuvem. O Gatekeeper integra-se com o ecossistema OPA (Conftest, Styra, Terraform), permitindo verificacoes shift-left em CI alem do enforcement no cluster.
Como se defender contra OPA Gatekeeper?
As defesas contra OPA Gatekeeper costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para OPA Gatekeeper?
Nomes alternativos comuns: Gatekeeper, OPA.
● Termos relacionados
- cloud-security№ 602
Kyverno
O Kyverno e um motor de politicas Kubernetes da CNCF que valida, muta e gera recursos a partir de politicas escritas em YAML nativo, em vez de uma nova DSL.
- cloud-security№ 597
Admission Controller do Kubernetes
Um admission controller e um plugin do API server do Kubernetes que interceta pedidos autenticados antes da persistencia para validar, mutar ou rejeitar objetos de acordo com politicas.
- cloud-security№ 838
Pod Security Standards
Os Pod Security Standards (PSS) sao perfis de seguranca definidos pelo Kubernetes — Privileged, Baseline e Restricted — que codificam configuracoes seguras de pods e substituem o obsoleto PodSecurityPolicy.
- cloud-security№ 599
NetworkPolicy do Kubernetes
NetworkPolicy do Kubernetes e um recurso por namespace que controla quais pods podem ligar-se a outros pods ou endpoints externos por IP, porta e protocolo.
- cloud-security№ 582
Kata Containers
Kata Containers e um runtime open source que envolve cada contentor ou pod do Kubernetes numa maquina virtual leve para fornecer isolamento ao nivel do hardware.
- cloud-security№ 455
gVisor
gVisor e um kernel de aplicacao open source da Google que interceta as syscalls dos contentores em espaco de utilizador, reduzindo a superficie de ataque do kernel do host exposta a workloads nao confiaveis.