OPA (Open Policy Agent)
Что такое OPA (Open Policy Agent)?
OPA (Open Policy Agent)Универсальный движок политик уровня CNCF Graduated, отделяющий решения по авторизации и admission Kubernetes от приложений с помощью языка Rego.
OPA (Open Policy Agent) — open-source универсальный движок политик, позволяющий описывать правила авторизации, admission и конфигурации как код на декларативном языке Rego. Приложения и платформы передают OPA JSON-вход и получают решение, что выносит политику из бизнес-логики. OPA широко используется для admission control в Kubernetes (через Gatekeeper), авторизации между микросервисами (ext_authz в Envoy/Istio), проверки Terraform-планов, guardrails в CI/CD и RBAC в SaaS. Он может работать как sidecar, отдельный сервер, библиотека или полностью внутри кластера, поддерживает бандлы политик и лог решений. Лучшие практики — основательные тесты Rego-политик, версионируемые бандлы и постоянный review политик.
● Примеры
- 01
Gatekeeper использует OPA, чтобы запрещать Kubernetes-поды, работающие от root.
- 02
Envoy ext_authz делегирует поразово авторизацию в OPA по gRPC.
● Частые вопросы
Что такое OPA (Open Policy Agent)?
Универсальный движок политик уровня CNCF Graduated, отделяющий решения по авторизации и admission Kubernetes от приложений с помощью языка Rego. Относится к категории Облачная безопасность в кибербезопасности.
Что означает OPA (Open Policy Agent)?
Универсальный движок политик уровня CNCF Graduated, отделяющий решения по авторизации и admission Kubernetes от приложений с помощью языка Rego.
Как защититься от OPA (Open Policy Agent)?
Защита от OPA (Open Policy Agent) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия OPA (Open Policy Agent)?
Распространённые альтернативные названия: Open Policy Agent, Движок политик Rego.