OPA (Open Policy Agent)
O que é OPA (Open Policy Agent)?
OPA (Open Policy Agent)Motor de políticas generalista, graduado pela CNCF, que desacopla decisões de autorização das aplicações e do controlo de admissão do Kubernetes usando a linguagem Rego.
OPA (Open Policy Agent) é um motor de políticas open source de uso geral que permite expressar regras de autorização, admissão e configuração como código na linguagem declarativa Rego. As aplicações e plataformas chamam o OPA com um JSON de entrada e recebem uma decisão, retirando a política da lógica de negócio. É amplamente utilizado para admissão no Kubernetes (via Gatekeeper), autorização entre microserviços (ext_authz Envoy/Istio), validação de planos Terraform, guardrails de CI/CD e RBAC em SaaS. O OPA pode correr como sidecar, servidor autónomo, biblioteca ou totalmente no cluster, e suporta bundles de políticas e decision logs. Boas práticas incluem testes robustos das políticas Rego, bundles versionados e revisão contínua.
● Exemplos
- 01
Gatekeeper usa OPA para recusar pods Kubernetes a correr como root.
- 02
Envoy ext_authz delega autorização por pedido ao OPA via gRPC.
● Perguntas frequentes
O que é OPA (Open Policy Agent)?
Motor de políticas generalista, graduado pela CNCF, que desacopla decisões de autorização das aplicações e do controlo de admissão do Kubernetes usando a linguagem Rego. Pertence à categoria Segurança em nuvem da cibersegurança.
O que significa OPA (Open Policy Agent)?
Motor de políticas generalista, graduado pela CNCF, que desacopla decisões de autorização das aplicações e do controlo de admissão do Kubernetes usando a linguagem Rego.
Como funciona OPA (Open Policy Agent)?
OPA (Open Policy Agent) é um motor de políticas open source de uso geral que permite expressar regras de autorização, admissão e configuração como código na linguagem declarativa Rego. As aplicações e plataformas chamam o OPA com um JSON de entrada e recebem uma decisão, retirando a política da lógica de negócio. É amplamente utilizado para admissão no Kubernetes (via Gatekeeper), autorização entre microserviços (ext_authz Envoy/Istio), validação de planos Terraform, guardrails de CI/CD e RBAC em SaaS. O OPA pode correr como sidecar, servidor autónomo, biblioteca ou totalmente no cluster, e suporta bundles de políticas e decision logs. Boas práticas incluem testes robustos das políticas Rego, bundles versionados e revisão contínua.
Como se defender contra OPA (Open Policy Agent)?
As defesas contra OPA (Open Policy Agent) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para OPA (Open Policy Agent)?
Nomes alternativos comuns: Open Policy Agent, Motor de políticas Rego.
● Termos relacionados
- cloud-security№ 839
Política como Código
Prática de definir regras de segurança, conformidade e governança em código legível por máquina para que sejam versionadas, testadas, revistas e aplicadas automaticamente.
- cloud-security№ 991
Segurança como Código
Prática de exprimir controlos, testes e infraestrutura de segurança como código-fonte para que sejam versionados, revistos, automatizados e entregues continuamente com as aplicações.
- cloud-security№ 600
Segurança do Kubernetes
Proteção de um cluster Kubernetes — API server, plano de controlo, nós, workloads e rede — contra configurações incorretas, comprometimento e movimentação lateral.
- cloud-security№ 1014
Segurança de Service Mesh
Conjunto de controlos de identidade, cifragem e autorização que um service mesh fornece para proteger tráfego serviço-a-serviço em ambientes cloud-native.
- compliance№ 204
Conformidade
Disciplina que assegura o cumprimento de requisitos legais, regulatórios, contratuais e internos de segurança através de controlos documentados, evidências e avaliação contínua.
- network-security№ 1262
Rede Zero Trust
Arquitetura de rede que nunca confia em utilizadores, dispositivos ou serviços por defeito e exige verificação contínua baseada em identidade para cada ligação.