用HashiCorp Sentinel执行“策略即代码”
极客时间编辑部
讲述:丁婵大小:1.26M时长:02:46
近日,HashiCorp 发布了 Sentinel,一种集成在 HashiCorp Enterprise 产品中的嵌入式“策略即代码”(Policy as Code)框架。
Sentinel 支持“基于逻辑的细粒度策略决策”,实现了审计的自动化,并在与“架构即代码”和其它 HashiCorp 平台工具一并工作时,实现在必要时刻执行企业策略、合规策略或安全策略。
HashiCorp 当前提供了架构自动化工具套装,支持工程师实现架构的策略规定、安全、连接并运行。
根据介绍,这些工具基于“架构即代码(IaC,Infrastructure as Code)”构建,支持大规模地开展基础设施管理的编纂和自动化。
但在大型组织中,这种大规模创建、更改和注销基础架构的能力是有风险的,因为缺乏经验的工程师或自动化的配置错误,可能引发影响业务运营的重大错误。
一些现代基础设施平台和工具提供了不同程度的访问控制,一些云服务提供商也提供了身份和访问管理类型的策略 及访问列表 ACL(Access Control List)控制。
这些 ACL 系统“解决了广泛存在的系统锁定问题”,对于更高级的软件策略决策,Sentinel 脱颖而出,它实现的是一种可重用的系统,并将策略的组织和监管编码为文本配置,实现了风险限制,确保对基础设施的变更是安全的。
Sentinel 是在实时运行的系统中实现“防护栏”、业务需求和合法合规等,也就是说,它并非一种“亡羊补牢”型的审计工具。具体来说,Sentinel 主要支持以下特性:
策略即代码:Sentinel 将策略看成是应用,可用于版本控制、代码审核、测试和自动化等。策略的语法和行为易于被 Sentinel 验证,并且可以使用 Sentinel 提供的命令行接口实现自动化测试。
基于条件的细粒度策略:Sentinel 的策略支持拒绝任何可用输入上的行为,而非粗粒度的读取、吸入和管理策略。通过将策略逻辑表示为代码,可以直接在代码中表示策略相关的信息和逻辑,避免了传统的依赖口口相传去了解策略制定原因的方式。
多重执法等级(Enforcement Levels):包括建议性(Advisory), 软强制(soft-mandatory)和硬强制(hard-mandatory)等级,支持策略编写者对侵犯行为赋予适当的严重性,给出警告,甚至拒绝。所有的活动可被日志记录和审计。
兼容多云。确保架构更改符合业务的范围,也符合各个基础设施提供商的合规策略。
另外,Sentinel 定义并使用自己的策略语言,该语言在设计上考虑了非编程人员的理解,并提供了多个用例,使得非开发人员也可以成为策略制定者。
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线笔记
复制
AI
- 深入了解
- 翻译
- 解释
- 总结
该免费文章来自《极客视点》,如需阅读全部文章,
请先领取课程
请先领取课程
免费领取
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
登录 后留言
精选留言
由作者筛选后的优质留言将会公开显示,欢迎踊跃留言。
收起评论