Erhöhte Sicherheit: Open Policy Agent erreicht Version 0.30

Das Update der Open-Source-Policy-Engine OPA erlaubt strengere TLS-Konfigurationen sowie das Einbinden von CA-Zertifikaten für Remote-Dienste.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen
Von
  • Matthias Parbel

Der als quelloffene Allzweck-Policy-Engine ausgelegte Open Policy Agent (OPA) dient zum Programmieren, Provisionieren, Durchsetzen und Überwachen kontextbezogener Richtlinien. Das Team hinter dem von der Cloud Native Computing Foundation (CNCF) verwalteten Open-Source-Projekt hat nun OPA 0.30.0 vorgelegt – unmittelbar gefolgt vom Bugfix-Release 0.30.1, das einen Fehler im Verhalten von indexof behebt.

Die neue Version der Policy-Engine enthält vor allem Verbesserungen, die der Sicherheit dienen – beispielsweise im Hinblick auf die Transport Layer Security (TLS) oder auch den Einsatz von Zertifikaten einer CA in Verbindung mit dem REST-Plug-in.

Nachdem die TLS-Versionen 1.0 und 1.1 offiziell als veraltet eingestuft sind und aus Sicherheitsgründen bereits weitestgehend auf deren Nutzung verzichtet wird, sieht die TLS-Konfiguration von OPA 0.30 standardmäßig TLS 1.2 als Minimalversion vor. Der OPA-Server lässt sich bei Bedarf allerdings weiterhin mit den alten TLS-Versionen verwenden, oder vorzugsweise auf den neuesten Standard 1.3 einstellen.

Eine weitere Security-Verbesserung betrifft das REST-Plug-in. OPA-Nutzerinnen und -nutzer können jetzt Zertifikate einer Certificate Authority (CA) einbinden für Remote-Dienste, die einer der Management-APIs (bundles, status, decision logs oder discovery) implementieren.

Darüber hinaus bietet Open Policy Agent nun auch die Möglichkeit abstrakten Unix Domain Sockets zu lauschen. Da abstrakte Sockets keine Knoten im Pfadraum erzeugen und somit ihr Name automatisch verschwindet, sobald der Socket geschlossen wird, ist dabei kein Delinking mehr erforderlich.

Insbesondere zum reibungsloseren Einsatz in Edge-Anwendungen mit Bundle-Downloads soll eine Änderung beim gecachten Etag beitragen. Im Falle von Download- oder Aktivierungsfehlern wurde er bisher stets komplett zurückgesetzt. Um dadurch möglicherweise ausgelöste, unnötige Bundle-Downloads zu vermeiden, wird Etag künftig nur noch auf den Stand bei der letzten erfolgreichen Aktivierung zurückgesetzt.

Unter den weiteren Neuerungen in OPA 0.30 finden sich noch einige Fehlerbereinigungen und Verbesserungen in Rego, der projektspezifischen deklarativen Sprache, die Open Policy Agent zum Beschreiben der Policies as Code verwendet. Ein kompletter Überblick aller Änderungen findet sich in den Release Notes auf GitHub. Wer sich im Detail mit dem auf Styra zurückgehenden Projekt beschäftigen möchte, das seit Jahresbeginn den Graduiertenstatus der CNCF vorweisen kann, sollte einen Blick auf die OPA-Website werfen.

(map)