OPA Gatekeeper
Что такое OPA Gatekeeper?
OPA GatekeeperOPA Gatekeeper — контроллер политик CNCF, использующий Open Policy Agent и язык Rego для применения политик допуска и аудита к ресурсам Kubernetes.
Gatekeeper — это нативная для Kubernetes упаковка Open Policy Agent. Операторы устанавливают ConstraintTemplates с правилами Rego и типизированные CRD, экземпляры которых являются настоящими Constraint-ами (например, K8sRequiredLabels). Gatekeeper работает как валидирующий и мутирующий вебхук допуска и дополнительно аудитирует текущее состояние кластера. Политики отделены от схем защищаемых ресурсов, поэтому один движок управляет Pod, Ingress, Custom Resources и облачными объектами. Gatekeeper интегрируется с экосистемой OPA (Conftest, Styra, Terraform), что позволяет проверять политики shift-left в CI вместе с enforcement в кластере.
● Примеры
- 01
Constraint требует, чтобы каждое Deployment имело метку owner.
- 02
Аудит Gatekeeper показывает существующие поды, нарушающие новый Restricted Constraint.
● Частые вопросы
Что такое OPA Gatekeeper?
OPA Gatekeeper — контроллер политик CNCF, использующий Open Policy Agent и язык Rego для применения политик допуска и аудита к ресурсам Kubernetes. Относится к категории Облачная безопасность в кибербезопасности.
Что означает OPA Gatekeeper?
OPA Gatekeeper — контроллер политик CNCF, использующий Open Policy Agent и язык Rego для применения политик допуска и аудита к ресурсам Kubernetes.
Как работает OPA Gatekeeper?
Gatekeeper — это нативная для Kubernetes упаковка Open Policy Agent. Операторы устанавливают ConstraintTemplates с правилами Rego и типизированные CRD, экземпляры которых являются настоящими Constraint-ами (например, K8sRequiredLabels). Gatekeeper работает как валидирующий и мутирующий вебхук допуска и дополнительно аудитирует текущее состояние кластера. Политики отделены от схем защищаемых ресурсов, поэтому один движок управляет Pod, Ingress, Custom Resources и облачными объектами. Gatekeeper интегрируется с экосистемой OPA (Conftest, Styra, Terraform), что позволяет проверять политики shift-left в CI вместе с enforcement в кластере.
Как защититься от OPA Gatekeeper?
Защита от OPA Gatekeeper обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия OPA Gatekeeper?
Распространённые альтернативные названия: Gatekeeper, OPA.
● Связанные термины
- cloud-security№ 602
Kyverno
Kyverno — CNCF-движок политик Kubernetes, который валидирует, изменяет и создаёт ресурсы по политикам, написанным на нативном YAML, а не на отдельном DSL.
- cloud-security№ 597
Admission Controller Kubernetes
Admission controller — плагин API-сервера Kubernetes, перехватывающий аутентифицированные запросы до сохранения, чтобы по политике валидировать, изменять или отклонять объекты.
- cloud-security№ 838
Pod Security Standards
Pod Security Standards (PSS) — определённые в Kubernetes профили безопасности Privileged, Baseline и Restricted, фиксирующие безопасную конфигурацию подов вместо устаревшего PodSecurityPolicy.
- cloud-security№ 599
Kubernetes NetworkPolicy
Kubernetes NetworkPolicy — ресурс уровня namespace, который по IP, порту и протоколу определяет, какие поды могут общаться с какими подами или внешними точками.
- cloud-security№ 582
Kata Containers
Kata Containers — открытая среда выполнения, которая упаковывает каждый контейнер или под Kubernetes в лёгкую виртуальную машину, обеспечивая аппаратный уровень изоляции.
- cloud-security№ 455
gVisor
gVisor — открытое ядро уровня приложения от Google, перехватывающее системные вызовы контейнеров в пользовательском пространстве и сокращающее поверхность атаки на ядро хоста.