Kebijakan sebagai kode menjadi ‘bagian integral dari struktur pengembangan cloud’, menurut Styra – namun survei terbaru dari perusahaan menunjukkan bahwa keselarasan, visibilitas, dan konsistensi masih menjadi masalah.
Sebuah studi dari penyedia perangkat lunak otorisasi cloud-native, yang mensurvei 285 pengembang dan pengambil keputusan teknis, menemukan bahwa sebagian besar (94%) memandang kebijakan sebagai kode sebagai hal yang ‘penting’ untuk keamanan preventif dan kepatuhan dalam skala besar. 83% organisasi yang disurvei mengatakan mereka berencana untuk berinvestasi lebih banyak pada kebijakan sebagai kode sebagai solusi.
Namun, melaksanakan operasi seperti itu tampaknya lebih mudah diucapkan daripada dilakukan. Lebih dari sepertiga (34%) responden mengatakan mereka mengalami perselisihan akibat kurangnya keselarasan antar tim. Permasalahan lainnya mencakup kurangnya visibilitas terhadap otorisasi, yang dikemukakan oleh 31% responden yang disurvei, serta pengembangan kebijakan yang tidak konsisten atau terdesentralisasi (29%). Kesulitan dalam memenuhi persyaratan keamanan, kepatuhan, dan kemampuan audit juga diungkapkan oleh 29% responden.
Kebijakan sebagai kode, dimana kebijakan – aturan atau ketentuan apa pun yang mengatur operasi dan proses TI – didefinisikan, diperbarui, dan ditegakkan melalui otomatisasi berbasis kode, sehingga memungkinkan pemangku kepentingan yang berbeda, mulai dari pengembang hingga insinyur keamanan, untuk memahami kebijakan tersebut. Ini berbeda dari konsep serupa, seperti infrastruktur sebagai kode (IaC), dalam hal luasnya kemampuannya.
Seperti yang dikatakan Tiexin Guo, konsultan DevOps senior di Amazon Web Services, letakkan, ini adalah kombinasi IaC, yang menangani konten yang mendefinisikan lingkungan dan infrastruktur Anda sebagai kode sumber, dan DevOps. “PaC dapat diintegrasikan dengan IaC untuk menerapkan kebijakan infrastruktur secara otomatis,” kata Tiexin.
Di sinilah alat seperti Open Policy Agent (OPA) berperan. kegunaan OPA peraturanbahasa deklaratif, dengan kebijakan yang ditentukan, diimplementasikan dan diterapkan di layanan mikro, pipeline CI/CD, dan gateway API, serta melalui platform seperti AWS CloudFormation, Docker, dan Terraform.
OPA dibuat dan dikelola oleh Styra. Perusahaan mengumumkan peluncuran perusahaan OPA pada bulan Februari, dibuat khusus bagi bisnis untuk membangun aplikasi cloud-native baru dan mengelola otorisasinya dengan kumpulan data yang besar. Meskipun OPA bukan satu-satunya acara di kota ini untuk peralatan PaC – Penjaga oleh HashiCorp contoh lain – survei menemukan hampir separuh responden yang menggunakan PaC (46%) menggunakan OPA, atau OPA Gatekeeper.
“Kebijakan sebagai kode memberdayakan pengembang dan berfungsi sebagai katalis untuk membuat siklus pembangunan kontemporer lebih efisien dan aman,” kata Tim Hinrichs, CTO Styra. “Namun, seiring dengan pertumbuhan organisasi, kebutuhan otorisasi mereka akan semakin kompleks.
“Untuk mengambil langkah selanjutnya dalam kedewasaan mereka, organisasi memerlukan sumber daya, teknologi, dan panduan ahli yang tepat untuk memastikan platform otorisasi mereka dapat menjaga mereka tetap aman dan patuh sekaligus menjaga produktivitas pengembang yang diperlukan untuk bersaing di pasar,” tambah Hinrichs.
Kamu bisa baca laporan lengkapnya di sini (email diperlukan).
Foto saya Karl Abuid memasuki Hapus percikan
Ingin mempelajari lebih lanjut tentang keamanan siber dan cloud dari para pemimpin industri? Memeriksa Pameran Keamanan Cyber & Cloud berlangsung di Amsterdam, California, dan London. Jelajahi acara teknologi perusahaan dan webinar lainnya yang didukung oleh TechForge Ini dia.