11月11, 2020

使用 AWS CDK 结合 OPA 实现“策略即代码”

Original URL: https://aws.amazon.com/blogs/opensource/realize-policy-as-code-with-aws-cloud-development-kit-through-open-policy-agent/

AWS Cloud Development Kit(AWS CDK)是一个开源软件框架,允许使用熟悉的编程语言来定义和配置AWS上的基础设施。“基础设施即代码”通过使用CDK对基础设施进行版本控制,能够更有效且可靠地管理AWS上的基础设施。

当然,在计划部署新的AWS资源或更新时,我们必须确保这些更改没有引入安全漏洞,势必要建立安全合规基准,辅以流程遵循合规性要求。现在,是时候来设置和定义相应的安全基准,以确保AWS上基础设施的更改不会引起安全问题。开放策略代理(OPA)是一个云原生基金会的孵化项目,旨在针对云上基础设施的安全基准策略自动进行检查。OPA提供了统一的框架和语言,用于声明、实施和控制云上基础设施中各个部件的安全基准策略。

将OPA与AWS CDK集成在一起之后,可获得“策略即代码”的能力,即在AWS CDK对AWS环境进行更改之前,对这些更改进行合规策略的检查。这种新方法带来很多好处,具体包括:

  • 各个团队成员可以轻松在实际更改之前进行策略检查。

  • 通过与CI / CD集成,可以自动执行策略检查。

  • 用户可以对“基础设施即代码”实施强制性检查。

  • 用户可以根据行业最佳实践框架(例如CIS AWS Benchmark)中的安全合规要求,编写自定义的OPA策略。

本文链接:https://blog.jnliok.com/post/Q1TYtF2N0I12FViOkAFG.html

-- EOF --

Comments