{"id":8691,"date":"2022-08-31T09:43:06","date_gmt":"2022-08-31T07:43:06","guid":{"rendered":"https:\/\/geko.cloud\/?p=8691"},"modified":"2022-09-12T16:42:15","modified_gmt":"2022-09-12T14:42:15","slug":"open-policy-agent-controles-de-seguridad-al-alcance-de-devops","status":"publish","type":"post","link":"https:\/\/geko.cloud\/es\/open-policy-agent-controles-de-seguridad-al-alcance-de-devops\/","title":{"rendered":"Open Policy Agent: controles de seguridad al alcance de devops"},"content":{"rendered":"

Open Policy Agent: controles de seguridad al alcance de devops<\/strong><\/h3>\n

No se si alguna vez hab\u00e9is intentado usar SELinux. Es un sistema de seguridad incre\u00edblemente potente<\/strong> y flexible<\/strong> que le da mil patadas a chown y chmod, y se puede ocupar de que tus deslices de permisos sean contenidos como incidentes de seguridad. Pero si no tienes experiencia con \u00e9l, juega tanto en tu contra como lo hace en contra de tus atacantes<\/strong>. Pero c\u00f3mo podemos aprovechar estos sistemas a nuestro favor?<\/span><\/p>\n

\"\"<\/p>\n

\u00bfQu\u00e9 hace exactamente SELinux?<\/strong><\/h2>\n

SELinux es una suite de seguridad de Linux que aplica controles de seguridad obligatorios (Mandatory Access Controls<\/strong>), que a diferencia de los Discrecionales (Discretionary Access Controls<\/strong>), a\u00fan con un desliz de permisos, no tiene acceso fuera de su rol.\u00a0<\/span>Puedes hacer chown www-data y chmod 777 a los archivos de tu home, que si no est\u00e1n taggeados como grupo \u201cwebserver\u201d de SELinux<\/strong>, los binarios de webserver no podr\u00e1n acceder a esos directorios. Y eso es dentro de los est\u00e1ndares preexistentes, si quieres generar tu propio m\u00f3dulo<\/strong>, prep\u00e1rate para leer documentaci\u00f3n como nunca has le\u00eddo.<\/span><\/p>\n

\u00bfPuedo facilitar este trabajo de desarrollo?<\/strong><\/h2>\n

Igual que utilizar Kubernetes en vez de orquestar tus propios contenedores, hay herramientas existentes que aplican las ventajas del control de acceso obligatorio abstray\u00e9ndolas<\/strong> detr\u00e1s de una API que facilita el uso y reutilizaci\u00f3n de normas y m\u00f3dulos. Aprovecha lo que la comunidad ya ha hecho<\/strong>, y no peques del s\u00edndrome Not Invented Here. Dicho esto, d<\/span>epende del sistema que tengas, puede que te sirva o no. El ejemplo de SELinux es un sistema de control de permisos en hosts linux como CentOS o Red Hat Enterprise Linux. <\/span><\/p>\n

Si quieres utilizarlo en un contenedor de Docker, ser\u00e1 algo m\u00e1s complicado<\/strong>. Para esto se deben utilizar herramientas espec\u00edficas para el mismo objetivo. Una herramienta muy extendida para esta tarea es Open Policy Agent.<\/strong><\/span><\/p>\n

\u00bfQu\u00e9 beneficios me da esta herramienta?<\/strong><\/h2>\n

Open Policy Agent tiene implementaciones para muchos entornos, como el caso que nos ocupa, Kubernetes, a trav\u00e9s de Gatekeeper<\/strong>. En este ejemplo crearemos normas que indicar\u00e1n c\u00f3mo se deben crear los recursos<\/strong>, y qu\u00e9 acciones pueden o no hacerse, y validar\u00e1n estas acciones contra las pol\u00edticas especificadas antes de aplicar los recursos. Por ejemplo, no permitir crear pods con permisos privilegiados <\/strong>en el namespace de producci\u00f3n, o no poder crear un deployment sin resources y limits declarados<\/strong>.<\/span><\/p>\n

\u00bfDebo aprender todo un nuevo lenguaje?<\/strong><\/h2>\n

En parte. Estas pol\u00edticas est\u00e1n creadas en un lenguaje llamado REGO<\/strong> que est\u00e1 pensado para ser m\u00e1s legible por las personas. Adem\u00e1s, al estar abstra\u00eddo<\/strong> y estandarizado<\/strong> en la industria, ya existen muchos ejemplos de acciones frecuentes<\/strong>, como repositorios de reglas REGO de RedHat. Es posible que para cumplir la mayor\u00eda de requisitos de seguridad est\u00e1ndar ni siquiera necesites escribir una regla REGO<\/strong>.<\/span><\/p>\n

\u00bfNo suena a algo denso de implementar?<\/strong><\/h2>\n

Ah\u00ed es donde entramos nosotros! El equipo de Geko tiene amplia experiencia implementando tecnolog\u00edas punteras a entornos cloud-native y Kubernetes. Si quieres que alguien m\u00e1s experimentado con la plataforma te ayude a cumplir los est\u00e1ndares de seguridad de hoy en d\u00eda, sent\u00e9monos a charlar<\/a> y veamos c\u00f3mo podemos facilitarte esta transici\u00f3n.<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

Open Policy Agent: controles de seguridad al alcance de devops No se si alguna vez hab\u00e9is intentado usar SELinux. Es un sistema de seguridad incre\u00edblemente potente y flexible que le da mil patadas a chown y chmod, y se puede ocupar de que tus deslices de permisos sean contenidos como incidentes de seguridad. Pero si […]<\/p>\n","protected":false},"author":38,"featured_media":8943,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[1],"tags":[],"yoast_head":"\nOpen Policy Agent: controles de seguridad al alcance de devops - Geko Cloud<\/title>\n<meta name=\"description\" content=\"No se si alguna vez hab\u00e9is intentado usar SELinux. Es un sistema de seguridad incre\u00edblemente potente y flexible.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/geko.cloud\/es\/open-policy-agent-controles-de-seguridad-al-alcance-de-devops\/\" \/>\n<meta property=\"og:locale\" content=\"es_ES\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Open Policy Agent: controles de seguridad al alcance de devops - Geko Cloud\" \/>\n<meta property=\"og:description\" content=\"No se si alguna vez hab\u00e9is intentado usar SELinux. Es un sistema de seguridad incre\u00edblemente potente y flexible.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/geko.cloud\/es\/open-policy-agent-controles-de-seguridad-al-alcance-de-devops\/\" \/>\n<meta property=\"og:site_name\" content=\"Geko Cloud\" \/>\n<meta property=\"article:published_time\" content=\"2022-08-31T07:43:06+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2022-09-12T14:42:15+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/geko.cloud\/wp-content\/uploads\/2022\/08\/Project-19-scaled.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"2560\" \/>\n\t<meta property=\"og:image:height\" content=\"1440\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Geko Cloud\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@geko_cloud\" \/>\n<meta name=\"twitter:site\" content=\"@geko_cloud\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/geko.cloud\/es\/open-policy-agent-controles-de-seguridad-al-alcance-de-devops\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/geko.cloud\/es\/open-policy-agent-controles-de-seguridad-al-alcance-de-devops\/\"},\"author\":{\"name\":\"Geko Cloud\",\"@id\":\"https:\/\/geko.cloud\/es\/#\/schema\/person\/c87e3587fb419825d72ac2043e798ab6\"},\"headline\":\"Open Policy Agent: controles de seguridad al alcance de devops\",\"datePublished\":\"2022-08-31T07:43:06+00:00\",\"dateModified\":\"2022-09-12T14:42:15+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/geko.cloud\/es\/open-policy-agent-controles-de-seguridad-al-alcance-de-devops\/\"},\"wordCount\":566,\"commentCount\":0,\"publisher\":{\"@id\":\"https:\/\/geko.cloud\/es\/#organization\"},\"image\":{\"@id\":\"https:\/\/geko.cloud\/es\/open-policy-agent-controles-de-seguridad-al-alcance-de-devops\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/geko.cloud\/wp-content\/uploads\/2022\/08\/Project-19-scaled.jpg\",\"articleSection\":[\"Sin categorizar\"],\"inLanguage\":\"es\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\/\/geko.cloud\/es\/open-policy-agent-controles-de-seguridad-al-alcance-de-devops\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/geko.cloud\/es\/open-policy-agent-controles-de-seguridad-al-alcance-de-devops\/\",\"url\":\"https:\/\/geko.cloud\/es\/open-policy-agent-controles-de-seguridad-al-alcance-de-devops\/\",\"name\":\"Open Policy Agent: controles de seguridad al alcance de devops - Geko Cloud\",\"isPartOf\":{\"@id\":\"https:\/\/geko.cloud\/es\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/geko.cloud\/es\/open-policy-agent-controles-de-seguridad-al-alcance-de-devops\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/geko.cloud\/es\/open-policy-agent-controles-de-seguridad-al-alcance-de-devops\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/geko.cloud\/wp-content\/uploads\/2022\/08\/Project-19-scaled.jpg\",\"datePublished\":\"2022-08-31T07:43:06+00:00\",\"dateModified\":\"2022-09-12T14:42:15+00:00\",\"description\":\"No se si alguna vez hab\u00e9is intentado usar SELinux. Es un sistema de seguridad incre\u00edblemente potente y flexible.\",\"breadcrumb\":{\"@id\":\"https:\/\/geko.cloud\/es\/open-policy-agent-controles-de-seguridad-al-alcance-de-devops\/#breadcrumb\"},\"inLanguage\":\"es\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/geko.cloud\/es\/open-policy-agent-controles-de-seguridad-al-alcance-de-devops\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"es\",\"@id\":\"https:\/\/geko.cloud\/es\/open-policy-agent-controles-de-seguridad-al-alcance-de-devops\/#primaryimage\",\"url\":\"https:\/\/geko.cloud\/wp-content\/uploads\/2022\/08\/Project-19-scaled.jpg\",\"contentUrl\":\"https:\/\/geko.cloud\/wp-content\/uploads\/2022\/08\/Project-19-scaled.jpg\",\"width\":2560,\"height\":1440},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/geko.cloud\/es\/open-policy-agent-controles-de-seguridad-al-alcance-de-devops\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Portada\",\"item\":\"https:\/\/geko.cloud\/es\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Open Policy Agent: controles de seguridad al alcance de devops\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/geko.cloud\/es\/#website\",\"url\":\"https:\/\/geko.cloud\/es\/\",\"name\":\"Geko Cloud\",\"description\":\"Servicios de consultor\u00eda cloud y devops\",\"publisher\":{\"@id\":\"https:\/\/geko.cloud\/es\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/geko.cloud\/es\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"es\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/geko.cloud\/es\/#organization\",\"name\":\"Geko Cloud\",\"url\":\"https:\/\/geko.cloud\/es\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"es\",\"@id\":\"https:\/\/geko.cloud\/es\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/geko.cloud\/wp-content\/uploads\/2021\/10\/geko_logo-positivo.png\",\"contentUrl\":\"https:\/\/geko.cloud\/wp-content\/uploads\/2021\/10\/geko_logo-positivo.png\",\"width\":1650,\"height\":809,\"caption\":\"Geko Cloud\"},\"image\":{\"@id\":\"https:\/\/geko.cloud\/es\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/x.com\/geko_cloud\",\"https:\/\/www.instagram.com\/gekocloud\/\",\"https:\/\/www.linkedin.com\/company\/gekocloud\",\"https:\/\/www.youtube.com\/channel\/UC5EFLCqUM7fEaXSa_0nWowQ\"]},{\"@type\":\"Person\",\"@id\":\"https:\/\/geko.cloud\/es\/#\/schema\/person\/c87e3587fb419825d72ac2043e798ab6\",\"name\":\"Geko Cloud\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"es\",\"@id\":\"https:\/\/geko.cloud\/es\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/10fe5eb7a547a27afabbe3a5a0f60c96?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/10fe5eb7a547a27afabbe3a5a0f60c96?s=96&d=mm&r=g\",\"caption\":\"Geko Cloud\"}}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Open Policy Agent: controles de seguridad al alcance de devops - Geko Cloud","description":"No se si alguna vez hab\u00e9is intentado usar SELinux. Es un sistema de seguridad incre\u00edblemente potente y flexible.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/geko.cloud\/es\/open-policy-agent-controles-de-seguridad-al-alcance-de-devops\/","og_locale":"es_ES","og_type":"article","og_title":"Open Policy Agent: controles de seguridad al alcance de devops - Geko Cloud","og_description":"No se si alguna vez hab\u00e9is intentado usar SELinux. Es un sistema de seguridad incre\u00edblemente potente y flexible.","og_url":"https:\/\/geko.cloud\/es\/open-policy-agent-controles-de-seguridad-al-alcance-de-devops\/","og_site_name":"Geko Cloud","article_published_time":"2022-08-31T07:43:06+00:00","article_modified_time":"2022-09-12T14:42:15+00:00","og_image":[{"width":2560,"height":1440,"url":"https:\/\/geko.cloud\/wp-content\/uploads\/2022\/08\/Project-19-scaled.jpg","type":"image\/jpeg"}],"author":"Geko Cloud","twitter_card":"summary_large_image","twitter_creator":"@geko_cloud","twitter_site":"@geko_cloud","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/geko.cloud\/es\/open-policy-agent-controles-de-seguridad-al-alcance-de-devops\/#article","isPartOf":{"@id":"https:\/\/geko.cloud\/es\/open-policy-agent-controles-de-seguridad-al-alcance-de-devops\/"},"author":{"name":"Geko Cloud","@id":"https:\/\/geko.cloud\/es\/#\/schema\/person\/c87e3587fb419825d72ac2043e798ab6"},"headline":"Open Policy Agent: controles de seguridad al alcance de devops","datePublished":"2022-08-31T07:43:06+00:00","dateModified":"2022-09-12T14:42:15+00:00","mainEntityOfPage":{"@id":"https:\/\/geko.cloud\/es\/open-policy-agent-controles-de-seguridad-al-alcance-de-devops\/"},"wordCount":566,"commentCount":0,"publisher":{"@id":"https:\/\/geko.cloud\/es\/#organization"},"image":{"@id":"https:\/\/geko.cloud\/es\/open-policy-agent-controles-de-seguridad-al-alcance-de-devops\/#primaryimage"},"thumbnailUrl":"https:\/\/geko.cloud\/wp-content\/uploads\/2022\/08\/Project-19-scaled.jpg","articleSection":["Sin categorizar"],"inLanguage":"es","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/geko.cloud\/es\/open-policy-agent-controles-de-seguridad-al-alcance-de-devops\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/geko.cloud\/es\/open-policy-agent-controles-de-seguridad-al-alcance-de-devops\/","url":"https:\/\/geko.cloud\/es\/open-policy-agent-controles-de-seguridad-al-alcance-de-devops\/","name":"Open Policy Agent: controles de seguridad al alcance de devops - Geko Cloud","isPartOf":{"@id":"https:\/\/geko.cloud\/es\/#website"},"primaryImageOfPage":{"@id":"https:\/\/geko.cloud\/es\/open-policy-agent-controles-de-seguridad-al-alcance-de-devops\/#primaryimage"},"image":{"@id":"https:\/\/geko.cloud\/es\/open-policy-agent-controles-de-seguridad-al-alcance-de-devops\/#primaryimage"},"thumbnailUrl":"https:\/\/geko.cloud\/wp-content\/uploads\/2022\/08\/Project-19-scaled.jpg","datePublished":"2022-08-31T07:43:06+00:00","dateModified":"2022-09-12T14:42:15+00:00","description":"No se si alguna vez hab\u00e9is intentado usar SELinux. Es un sistema de seguridad incre\u00edblemente potente y flexible.","breadcrumb":{"@id":"https:\/\/geko.cloud\/es\/open-policy-agent-controles-de-seguridad-al-alcance-de-devops\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/geko.cloud\/es\/open-policy-agent-controles-de-seguridad-al-alcance-de-devops\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/geko.cloud\/es\/open-policy-agent-controles-de-seguridad-al-alcance-de-devops\/#primaryimage","url":"https:\/\/geko.cloud\/wp-content\/uploads\/2022\/08\/Project-19-scaled.jpg","contentUrl":"https:\/\/geko.cloud\/wp-content\/uploads\/2022\/08\/Project-19-scaled.jpg","width":2560,"height":1440},{"@type":"BreadcrumbList","@id":"https:\/\/geko.cloud\/es\/open-policy-agent-controles-de-seguridad-al-alcance-de-devops\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Portada","item":"https:\/\/geko.cloud\/es\/"},{"@type":"ListItem","position":2,"name":"Open Policy Agent: controles de seguridad al alcance de devops"}]},{"@type":"WebSite","@id":"https:\/\/geko.cloud\/es\/#website","url":"https:\/\/geko.cloud\/es\/","name":"Geko Cloud","description":"Servicios de consultor\u00eda cloud y devops","publisher":{"@id":"https:\/\/geko.cloud\/es\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/geko.cloud\/es\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"es"},{"@type":"Organization","@id":"https:\/\/geko.cloud\/es\/#organization","name":"Geko Cloud","url":"https:\/\/geko.cloud\/es\/","logo":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/geko.cloud\/es\/#\/schema\/logo\/image\/","url":"https:\/\/geko.cloud\/wp-content\/uploads\/2021\/10\/geko_logo-positivo.png","contentUrl":"https:\/\/geko.cloud\/wp-content\/uploads\/2021\/10\/geko_logo-positivo.png","width":1650,"height":809,"caption":"Geko Cloud"},"image":{"@id":"https:\/\/geko.cloud\/es\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/x.com\/geko_cloud","https:\/\/www.instagram.com\/gekocloud\/","https:\/\/www.linkedin.com\/company\/gekocloud","https:\/\/www.youtube.com\/channel\/UC5EFLCqUM7fEaXSa_0nWowQ"]},{"@type":"Person","@id":"https:\/\/geko.cloud\/es\/#\/schema\/person\/c87e3587fb419825d72ac2043e798ab6","name":"Geko Cloud","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/geko.cloud\/es\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/10fe5eb7a547a27afabbe3a5a0f60c96?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/10fe5eb7a547a27afabbe3a5a0f60c96?s=96&d=mm&r=g","caption":"Geko Cloud"}}]}},"_links":{"self":[{"href":"https:\/\/geko.cloud\/es\/wp-json\/wp\/v2\/posts\/8691"}],"collection":[{"href":"https:\/\/geko.cloud\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/geko.cloud\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/geko.cloud\/es\/wp-json\/wp\/v2\/users\/38"}],"replies":[{"embeddable":true,"href":"https:\/\/geko.cloud\/es\/wp-json\/wp\/v2\/comments?post=8691"}],"version-history":[{"count":5,"href":"https:\/\/geko.cloud\/es\/wp-json\/wp\/v2\/posts\/8691\/revisions"}],"predecessor-version":[{"id":8700,"href":"https:\/\/geko.cloud\/es\/wp-json\/wp\/v2\/posts\/8691\/revisions\/8700"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/geko.cloud\/es\/wp-json\/wp\/v2\/media\/8943"}],"wp:attachment":[{"href":"https:\/\/geko.cloud\/es\/wp-json\/wp\/v2\/media?parent=8691"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/geko.cloud\/es\/wp-json\/wp\/v2\/categories?post=8691"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/geko.cloud\/es\/wp-json\/wp\/v2\/tags?post=8691"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}