GH GambleHub

कोड के रूप में नीति

1) "राजनीति" के रूप में क्या मायने रखता है

एक नीति एक नियतात्मक नियम है जो संदर्भ को देखते हुए "कैन/नहीं" (या "कैसे वास्तव में") प्रश्न का उत्तर देता है:
  • पहुंच/प्राधिकरण: RBAC/ABAC, ReBAC, डेटा निर्यात, चरण-अप (MFA)।
  • बुनियादी सुरक्षा: प्रवेश नियंत्रण Kubernetes, छवि/गुप्त नीति, नेटवर्क नि
  • अनुपालन और गोपनीयता: सहमति प्रबंधन, पीआईआई टैगिंग, स्थानीय रिपोर्टिंग दिवस, भू-प्रतिबंध।
  • विन्यास और गुणवत्ता: "इनकार करें: नवीनतम", संसाधन सीमा, अनिवार्य संसाधन टैग (क्लाउड)।
  • डेटा और एमएल: सहमति, के-गुमनामी, डीपी-बजट, डेटा वंश-आक्रमणकारियों के बिना सेट पर प्रशिक्षण का निषेध।

2) पीएसी आर्किटेक्चरल मॉडल

पीएपी (नीति प्रशासन बिंदु): भंडार और प्रबंधन प्रक्रियाएं (एमआर/पीआर, समीक्षा, संस्करण)।

पीडीपी (नीति निर्णय बिंदु): इंजन जो नीति निर्णय (ओपीए, देवदार-इंजन, देशी दुभाषिया) की गणना करता है।

PEP (नीति प्रवर्तन बिंदु): एप्लिकेशन पॉइंट (API गेटवे, वेबहुक प्रशासन in, ETL ट्रांसफार्मर, SDK)।

PIP (नीति सूचना बिंदु): विशेषताओं/तथ्यों के स्रोत: IdP, संसाधन निर्देशिका, डेटा गोदाम, जोखिम दर।

निर्णय लॉग/ऑडिट: अपरिवर्तनीय समाधान लॉग (घटना विश्लेषण और अनुपालन के लिए)।

स्ट्रीम: अनुरोध → PEP फॉर्म संदर्भ → PDP लोड तथ्यों (PIP) → समाधान की गणना करता है → PEP लागू होता है (अनुमति/इनकार/संपादित करें) → log/metrics।

3) उपकरण और डोमेन

OPA/Rego घोषणात्मक नीतियों के लिए एक सार्वभौमिक इंजन और भाषा है (K8s में वेबहुक प्रशासन: गेटकीपर, CI - कन्फेस्टेस्ट में, API - साइडकार/सेवा में)।

YAML में Kubernetes के लिए Kyverno - घोषणात्मक नीतियां, पैच/सत्यापन/पीढ़ी।

देवदार (AWS/पोर्टेबल) एक नीतिगत भाषा है जिसमें कौन-कौन से प्राधिकरण पर ध्यान केंद्रित किया गया है।

क्लाउड IAM (AWS/GCP/Azure) - क्लाउड रिसोर्स पॉलिसी (अधिमानतः PaC स्थैतिक और IaC योजनाओं में) की जांच करें।

कस्टम - DSL/विशिष्टताओं के लिए JSON/SQL पर नियम (उदाहरण के लिए, ML अनुपालन)।

4) नीति जीवनचक्र

1. लक्ष्य और डोमेन की परिभाषा: "उच्च/महत्वपूर्ण कमजोरियों वाले कंटेनरों को लोड करने पर निषेध।"

2. कोड में औपचारिकता: Rego/Cedar/YAML।

3. परीक्षण: सत्य तालिका, नकारात्मक मामले, संपत्ति-आधारित।

4. सीआई जांच: लिंटर, इकाई, काल्पनिक अभिव्यक्तियों/अनुरोधों पर एकीकरण।

5. रिलीज और वितरण: बंडल, हस्ताक्षर, पीडीपी/एज को वितरण में प्रकाशन।

6. निगरानी: हिट-रेट, लेटेंसी p95/p99, इनकार शेयर, बहाव डैशबोर्ड।

7. अपवाद/छूट: समय/मात्रा सीमित, ऑडिट और स्वामित्व।

8. Refactoring और संग्रह: संस्करण, संगतता, प्रवासन।

5) भंडारण और वितरण

रेपो लेआउट: 'पॉलिसी/< डोमेन >/< policy> .rego' cedar 'yaml', 'tests/',' bundles/', 'schemas/'.

संस्करण: पीडीपी प्रतिक्रियाओं में सेवर और 'नीति _ संस्करण'।

बंडल - संपीड़ित नीति पैकेज + स्कीमा + कॉन्फ़िग्स, हस्ताक्षरित (आपूर्ति श्रृंखला सुरक्षा

वितरण: पुल (पीडीपी registry/S3 से खींचता है) या पुश (नियंत्रक भेजता है)।

आंशिक मूल्यांकन: परिधि पर तेजी से निष्पादन के लिए नीतियों का अनुमान लगाता है।

6) डेटा मॉडल और स्कीमा

एकल संदर्भ अनुबंध: 'विषय', 'संसाधन', 'कार्रवाई', 'एनवी', 'कानूनी'।

JSON-Schema/Protobuf: वास्तविक मॉडल को मान्य करें; स्कीमा बेमेल - "अनिश्चित → इनकार" के लिए कारण।

गुणधर्म सामान्यीकरण: एकीकृत नाम (उदाहरण के लिए, 'किरायेदार _ id', 'जोखिम _ level', 'pii _ tags', 'छवि. valns ')।

7) प्रदर्शन और विश्वसनीयता

समाधान कैश: कुंजी '(subject_hash, resource_key, क्रिया, policy_version)'; लघु टीटीएल, घटना द्वारा विकलांगता (भूमिका/टैग परिवर्तन)।

स्थानीय तथ्य: हॉट ट्रैक पर भारी पीआईपी न खींचें - सिंक स्नैपशॉट।

फेल-ओपन बनाम फेल-बंद: महत्वपूर्ण डोमेन सुरक्षा - विफल-बंद; यूएक्स-क्रिटिकल के लिए - गिरावट (इनकार के बजाय संस्करण)।

विलंबता बजट: पीडीपी मेमोरी में '<3-10 एमएस' प्रति समाधान, पीआईपी के साथ '<30-50 एमएस' लक्ष्य।

8) अपवाद प्रबंधन (छूट)

सीमित समय (उदा। 7 दिन), अनिवार्य मालिक और कारण के साथ।

युग्मित: संसाधन/परियोजना/नेमस्पेस द्वारा; वैश्विक "हमेशा के लिए" पर प्रतिबंध लगाना।

ऑडिट और रिमाइंडर: छूट, ऑटो-क्लोज/एस्केलेशन को समाप्त करने पर रिपोर्ट।

9) मेट्रिक्स और वेधशाला

नीति कवरेज: पीएसी द्वारा संरक्षित रास्तों/समापन बिंदुओं का अनुपात।

निर्णय लेटेंसी/क्यूपीएस/त्रुटि दर।

इनकार दर और गलत सकारात्मक/नकारात्मक (ड्राई-रन/शैडो मोड के माध्यम से)।

बहाव: एसडीके और सर्वर समाधानों के बीच योजना (आईएसी) और तथ्य (लाइव) के बीच विसंगति।

Аудит: 'निर्णय _ आईडी, policy_ids, संस्करण, attributes_digest, प्रभाव, कारण'।

10) एंटी-पैटर्न

संस्करणों और परीक्षणों के बिना कोड में "हार्डवायर्ड" नीतियां।

स्कीमैटिक्स/संदर्भ सत्यापन की कमी - अप्रत्याशित निर्णय।

एक अखंड फ़ाइल "मेगा। रेगो"।

कोई अपवाद प्रक्रिया नहीं है - मैनुअल राउंड और अराजकता।

CI (देर से विफलताओं) में शिफ्ट-लेफ्ट के बिना केवल रनटाइम एप्लिकेशन।

नीति में छिपे हुए दुष्प्रभाव (नीति एक शुद्ध कार्य होना चाहिए)।

11) उदाहरण

11. 1 रेगो (ओपीए) - K8s में कमजोर छवियों से इनकार करें

rego package k8s. admission. vulns

deny[msg] {
input. kind. kind == "Pod"
some c img:= input. request. object. spec. containers[c].image vulns:= data. registry. scan [img] # actual-snapshot from PIP count ({v     v:= vulns[_]; v.severity == "CRITICAL"}) > 0 msg:= sprintf("image %s has CRITICAL vulns", [img])
}

11. 2 रेगो: केवल एमएफए और सफेद आईपी से डेटा निर्यात करें

rego package api. export

default allow = false

allow {
input. action == "export"
input. subject. mfa_verified == true net. cidr_contains("203. 0. 113. 0/24", input. env. ip)
}

11. 3 देवदार: केवल मालिक या टीम के सदस्यों को पढ़ें

cedar permit(
principal in Group::"team_members",
action in [Action::"read"],
resource in Photo::"")
when { resource. owner == principal          resource. team_id in principal. team_ids };

11. 4 Kyverno (YAML): निषेध ': नवीनतम' और अनिवार्य। संसाधन

yaml apiVersion: kyverno. io/v1 kind: ClusterPolicy metadata:
name: disallow-latest-and-require-limits spec:
validationFailureAction: Enforce rules:
- name: disallow-latest match: { resources: { kinds: ["Pod"] } }
validate:
message: "Image tag 'latest' is not allowed."
pattern:
spec:
containers:
- name: ""
image: "!:latest"
- name: require-limits match: { resources: { kinds: ["Pod"] } }
validate:
message: "resources. limits.{cpu,memory} required."
pattern:
spec:
containers:
- resources:
limits:
cpu: "?"
memory: "?"

11. Terraform योजना के लिए CI में 5 सबसे कम

bash terraform plan -out tf. plan terraform show -json tf. plan > tf. json conftest test tf. json --policy policies/terraform

12) मौजूदा क्षमताओं में एम्बेडिंग

RBAC/ABAC: PaC - घोषणा परत; रोल इंजन लेख से पीडीपी/पीईपी का पुन: उपयोग किया जाता है।

सहमति प्रबंधन: डेटा/समापन बिंदु पहुंच स्थितियों के रूप में "विज्ञापन/निजीकरण" नीति।

गुमनामी/पीआईआई: नीतियां गुमनामी और डीपी बजट प्रोफाइल के बिना प्रशिक्षण/निर्यात पर प्रतिबंध लगाती हैं।

भू-मार्ग: भंडारण क्षेत्र द्वारा यातायात/डेटा को रूट करने के लिए नीति।

13) प्रक्रियाएं और लोग

नीति डोमेन मालिक: सुरक्षा, मंच, डेटा, उत्पाद/विपणन।

समीक्षक: सुरक्षा + डोमेन मालिक।

नीति सूची: लक्ष्य विवरण, जोखिम, एसएलओ, संपर्क, उदाहरण, घटना लिंक।

प्रशिक्षण: डेवलपर्स के लिए गाइड और स्निपेट (परीक्षण कैसे लिखें, रेगो को कैसे डिबग करें)।

14) आर्किटेक्ट चेकलिस्ट

1. डोमेन और मालिकों का न्यूनतम सेट पारिभाषित?
2. परीक्षण, लिंटर और सीआई के साथ नीति भंडार?
3. क्या पीडीपी/पीईपी परिधि पर, एपीआई में, K8s में और डेटा पाइपलाइनों में रखे गए हैं?
4. क्या संदर्भ आरेख और सत्यापन हैं?
5. हस्ताक्षर और वितरण बंडल, कैश और विकलांगता रणनीति?
6. मेट्रिक्स (विलंबता, इनकार, बहाव), निर्णय-लॉग और ऑडिट?
7. टीटीएल और रिपोर्टिंग के साथ अपवाद प्रक्रिया?
8. लागू करने से पहले ड्राई-रन/शैडो-मोड?
9. गर्म स्थानों के लिए आंशिक मूल्यांकन/पूर्ववर्ती?
10. गिरावट के लिए रनबुक (असफल-बंद/अनुमति-साथ-पुनर्वितरण)?

निष्कर्ष

कोड के रूप में नीति नियमों को प्रजनन योग्य, सत्यापन योग्य बनाती है, और आवेदन के समान सिद्धांतों पर प्रबंधित करती है: समीक्षा कोड, परीक्षण, सीआई/सीडी, मैट्रिक्स और रोलबैक। PAC को प्राधिकरण (RBAC/ABAC), अनुपालन और मंच सुरक्षा के साथ जोड़ कर, आपको सिस्टम व्यवहार के लिए एकल, अनुमानित और स्केलेबल नियंत्रण लूप मिलता है - प्रवेश नियंत्रण से डेटा निर्यात्रण और एमएल पाइपम।

Contact

हमसे संपर्क करें

किसी भी प्रश्न या सहायता के लिए हमसे संपर्क करें।हम हमेशा मदद के लिए तैयार हैं!

Telegram
@Gamble_GC
इंटीग्रेशन शुरू करें

Email — अनिवार्य है। Telegram या WhatsApp — वैकल्पिक हैं।

आपका नाम वैकल्पिक
Email वैकल्पिक
विषय वैकल्पिक
संदेश वैकल्पिक
Telegram वैकल्पिक
@
अगर आप Telegram डालते हैं — तो हम Email के साथ-साथ वहीं भी जवाब देंगे।
WhatsApp वैकल्पिक
फॉर्मैट: देश कोड और नंबर (उदा. +91XXXXXXXXXX)।

बटन दबाकर आप अपने डेटा की प्रोसेसिंग के लिए सहमति देते हैं।