La politique en tant que code devient « partie intégrante du tissu de développement du cloud », selon Styra – pourtant une nouvelle enquête de l’entreprise a montré que l’alignement, la visibilité et la cohérence restent des problèmes.
L’étude du fournisseur de logiciels d’autorisation cloud natifs, qui a interrogé 285 développeurs et décideurs techniques, a révélé que l’écrasante majorité (94 %) considérait la politique comme le code comme « vital » pour la sécurité préventive et la conformité à grande échelle. 83 % des organisations interrogées ont déclaré qu’elles prévoyaient d’investir davantage dans la politique en tant que code comme solution.
Mettre en place une telle opération semble cependant plus facile à dire qu’à faire. Plus d’un tiers (34 %) des personnes interrogées ont déclaré avoir constaté des frictions liées à un manque d’alignement entre les équipes. Parmi les autres problèmes figurent le manque de visibilité sur l’autorisation, cité par 31 % des personnes interrogées, ainsi qu’un développement politique incohérent ou non centralisé (29 %). La difficulté à répondre aux exigences de sécurité, de conformité et d’auditabilité a également été citée par 29 % des personnes interrogées.
La politique en tant que code, où les politiques (toute règle ou condition qui régit les opérations et les processus informatiques) sont définies, mises à jour et appliquées via une automatisation basée sur le code, permet à différentes parties prenantes, des développeurs aux ingénieurs de sécurité, de comprendre ces politiques. Il diffère des concepts similaires, tels que l’infrastructure en tant que code (IaC), par l’étendue de ses capacités.
Comme Tiexin Guo, consultant senior DevOps chez Amazon Web Services, le met, il s’agit d’une combinaison d’IaC, traitant le contenu qui définit vos environnements et votre infrastructure comme du code source, et de DevOps. « PaC peut être intégré à IaC pour appliquer automatiquement les politiques d’infrastructure », a noté Tiexin.
C’est là qu’intervient un outil tel que l’Open Policy Agent (OPA). Régoun langage déclaratif, avec des politiques définies, mises en œuvre et appliquées sur les microservices, les pipelines CI/CD et les passerelles API, puis via des plateformes telles qu’AWS CloudFormation, Docker et Terraform, entre autres.
OPA est créé et maintenu par Styra. La société a annoncé le lancement de OPA d’entreprise en février, spécialement conçu pour les entreprises qui créent de nouvelles applications cloud natives et gèrent les autorisations avec de grands ensembles de données. Bien que l’OPA ne soit pas le seul salon en ville en matière d’outils PaC – Sentinelle par HashiCorp est un autre exemple : l’enquête a révélé que près de la moitié des personnes interrogées qui utilisent PaC (46 %) utilisent OPA, ou OPA Gatekeeper.
« La politique en tant que code responsabilise les développeurs et sert de catalyseur pour rendre le cycle de vie du développement contemporain plus rationalisé et plus sécurisé », a déclaré Tim Hinrichs, CTO de Styra. « Cependant, à mesure que les organisations se développent, leurs besoins en autorisations augmenteront en complexité.
« Afin de franchir la prochaine étape de leur maturation, les organisations ont besoin des ressources, de la technologie et des conseils d’experts appropriés pour garantir que leur plate-forme d’autorisation puisse les maintenir sécurisées et conformes tout en maintenant la productivité des développeurs nécessaire pour être compétitives sur le marché », a ajouté Hinrichs. .
Tu peux Lisez le rapport complet ici (e-mail requis).
photo par Karl Abouid sur Unsplash
Vous souhaitez en savoir plus sur la cybersécurité et le cloud auprès des leaders du secteur ? Vérifier Salon de la cybersécurité et du cloud se déroulant à Amsterdam, en Californie et à Londres. Découvrez d’autres événements et webinaires technologiques d’entreprise à venir proposés par TechForge ici.
