Policy as Code

1) "Саясат" деп эмнени эсептеш керек

• Кирүү/авторизациялоо: RBAC/ABAC, ReBAC, маалыматтарды экспорттоо, кадам (MFA).
• Инфраструктуралык коопсуздук: Кубернеттерди башкаруу, сүрөттөр/сырлар саясаты, тармактык эрежелер.
• Комплаенс жана купуялуулук: макулдуктарды башкаруу, PII тегдөө, жергиликтүү отчеттук күн, гео-чектөөлөр.
• Конфигурациялар жана сапат: "тыюу салуу: latest", ресурстардын лимиттери, ресурстардын милдеттүү теги (Cloud).
• Маалыматтар жана ML: макулдугусуз топтомдор боюнча тренингге тыюу салуу, k-анонимдүүлүк, DP-бюджеттер, Data Lineage-инварианттар.

2) PaC архитектуралык модели

PAP (Policy Administration Point): репозиторий жана башкаруу процесстери (MR/PR, ревю, версия).
PDP (Policy Decision Point) - саясат боюнча чечимди эсептөөчү кыймылдаткыч (OPA, Cedar-engine, өз интерпретатору).
PEP (Policy Enforcement Point): колдонмо чекити (API-шлюз, K8s webhook-адмиссия, ETL-трансформатор, SDK).
PIP (Policy Information Point): атрибуттардын/фактылардын булактары: IdP, ресурстардын каталогдору, маалымат кампасы, тобокелдик-скор.
Decision Log/Audit: өзгөрүлбөс чечим журналдары (инциденттерди жана шайкештикти талдоо үчүн).

Агым: суроо → PEP контекстти түзөт → PDP фактыларды жүктөйт (PIP) → чечим эсептейт → PEP колдонот (allow/deny/edition) → журнал/метрика.

3) Инструменттер жана домендер

OPA/Rego - декларативдик саясаттар үчүн универсалдуу кыймылдаткыч жана тил (K8s webhook-адмиссиясы: Gatekeeper, CI - Conftest, API - sidecar/кызматы).
Kyverno - YAML боюнча Kubernetes үчүн декларативдик саясат, патч/валидация/генерация.
Cedar (AWS/которулуучу) - авторизацияга басым жасаган саясатчынын тили.
Cloud IAM (AWS/GCP/Azure) - булут ресурстары саясаты (эң жакшысы PaC чек статикасы жана IaC пландары).
Custom - өзгөчөлүктөрү үчүн JSON/SQL үстүнөн DSL/эрежелер (мисалы, ML-комплаенс).

4) Саясаттын жашоо цикли

1. Максатты жана доменди аныктоо: "Жогорку/CRITICAL аялуу контейнерлерди жүктөөгө тыюу салуу".
2. Коддогу формалдаштыруу: Rego/Cedar/YAML.
3. Тесттер: чындык таблицалар, терс учурлар, property-based.
4. CI-текшерүү: Линтер, бирдик, жасалма манифесттер/суроо боюнча интеграция.
5. Релиз жана жайылтуу: bundle жарыялоо, кол коюу, PDP/edge боюнча жеткирүү.
6. Мониторинг: hit-rate, latency p95/p99, үлүшү deny, дашборддор drift.
7. Өзгөчөлүктөр/waivers: убакыт/көлөмү чектелген, аудит жана ээси менен.
8. Рефакторинг жана архив: версиялар, шайкештик, миграция.

5) Сактоо жана жайылтуу

Repo-layout: `policies/<domain>/<policy>.rego|cedar|yaml`, `tests/`, `bundles/`, `schemas/`.
Version: semver жана 'policy _ version' PDP жоопторунда.
Bundles: кысылган саясат топтомдору + схемалар + кол коюлган (supply chain security).
Distribution: pull (PDP registry/S3 тартып) же push (контроллер жиберет).
Partial evaluation: периметри боюнча тез аткаруу үчүн саясат алдын ала.

6) Маалыматтар жана схемалар модели

Контексттин бирдиктүү келишими: 'subject', 'resource', 'action', 'env', 'legal'.
JSON-схемасы/Protobuf: чындык моделдерин тастыктоо; схемалардын дал келбестиги - себеби "indeterminate → deny".
Атрибуттарды нормалдаштыруу: бирдиктүү аталыштар (мисалы, 'tenant _ id', 'risk _ level', 'pii _ tags', 'image. vulns`).

7) аткаруу жана ишенимдүүлүк

Чечим кэши: ачкыч '(subject_hash, resource_key, action, policy_version)'; кыска TTL, окуялар боюнча майып (ролдорду/тегдерди өзгөртүү).
Жергиликтүү фактылар: ысык жолдо оор PIP тартпаңыз - снапшотторду синхрондоштуруңуз.
Fail-open vs fail-closed: маанилүү домендердин коопсуздугу - fail-closed; UX-критикалык үчүн - деградация (дененин ордуна редакция).
Жашыруун бюджет: максаты PDP эс чечүү үчүн '<3-10 ms', '<30-50 ms' PIP.

8) Өзгөчө башкаруу (waivers)

убакыт чектелген (мисалы, 7 күн), милдеттүү ээси жана себеби менен.
Сатып алынган: ресурс/долбоор/неймспейс боюнча; глобалдык "түбөлүккө" тыюу салуу.
Аудит жана эскертүүлөр: мөөнөтү өтүп жаткан waiver's отчеттор, авто камтуу/эскалация.

9) Метрика жана байкоо

Policy Coverage: PaC тарабынан корголгон жолдордун/endpoints үлүшү.
Decision Latency / QPS / Error rate.
Deny Rate жана False Positive/Negative ("dry-run/shadow" режими аркылуу).
Drift: план ортосундагы айырмачылык (IaC) жана чындык (Live), SDK жана Server чечимдерди ортосунда.
Аудит: `decision_id, policy_ids, version, attributes_digest, effect, reason`.

10) Анти-үлгүлөрү

Саясатчылар, "тигилген" эч кандай версия жана тесттер менен кодго.
Контекст схемалары/валидациясынын жоктугу → күтүүсүз чечимдер.
Бир монолиттүү файл "mega. rego».
Жок чыгаруу жараяны → "кол менен айланып" жана башаламандык.
Гана "shift-left" жок runtime-колдонмо CI (кеч ийгиликсиз).
Саясаттагы жашыруун сайд эффекттери (саясат таза функция болушу керек).

11) Мисалдар

11. 1 Rego (OPA): K8s аялуу сүрөттөрдү тыюу

rego package k8s. admission. vulns

deny[msg] {
input. kind. kind == "Pod"
some c img:= input. request. object. spec. containers[c].image vulns:= data. registry. scan [img] # actual-snapshot from PIP count ({v     v:= vulns[_]; v.severity == "CRITICAL"}) > 0 msg:= sprintf("image %s has CRITICAL vulns", [img])
}

11. 2 Rego: MFA жана "ак" IP менен гана маалыматтарды экспорттоо

rego package api. export

default allow = false

allow {
input. action == "export"
input. subject. mfa_verified == true net. cidr_contains("203. 0. 113. 0/24", input. env. ip)
}

11. 3 Cedar: гана ээси же команда мүчөлөрү окуу

cedar permit(
principal in Group::"team_members",
action in [Action::"read"],
resource in Photo::"")
when { resource. owner == principal          resource. team_id in principal. team_ids };

11. 4 Kyverno (YAML): тыюу ': latest' жана жүктөлгөн. ресурстар

yaml apiVersion: kyverno. io/v1 kind: ClusterPolicy metadata:
name: disallow-latest-and-require-limits spec:
validationFailureAction: Enforce rules:
- name: disallow-latest match: { resources: { kinds: ["Pod"] } }
validate:
message: "Image tag 'latest' is not allowed."
pattern:
spec:
containers:
- name: ""
image: "!:latest"
- name: require-limits match: { resources: { kinds: ["Pod"] } }
validate:
message: "resources. limits.{cpu,memory} required."
pattern:
spec:
containers:
- resources:
limits:
cpu: "?"
memory: "?"

11. 5 Терраформ планы үчүн CI Conftest

bash terraform plan -out tf. plan terraform show -json tf. plan > tf. json conftest test tf. json --policy policies/terraform

12) учурдагы жөндөмдүүлүктөрүн киргизүү

RBAC/ABAC: PaC - декларация катмары; PDP/PEP ролдук кыймылдаткыч жөнүндө макалада кайра колдонулат.
Макулдуктарды башкаруу: "ads/personalization" саясаты берилиштерге/эндпойнтторго кирүү шарты катары.
Анонимизациялоо/PII: саясатчылар анонимизациялоо жана DP бюджети профилдери жок тренингге/экспорттоого тыюу салышат.
Гео-багыттоо: сактоо аймактары боюнча трафикти/маалыматтарды багыттоо саясаты.

13) Процесстер жана адамдар

домен саясаты ээлери: коопсуздук, платформа, маалымат, продукт/маркетинг.
Revewers: коопсуздук + домен ээлери.
Саясат каталогу: максаттын сүрөттөлүшү, тобокелдик, SLO, байланыш, мисалдар, инциденттерге шилтемелер.
Окуу: Иштеп чыгуучулар үчүн гайддар жана сниппеттер (тесттерди кантип жазуу керек, Rego кантип оңдоо керек).

14) Архитектордун чек тизмеси

1. домендердин жана owners минималдуу топтому аныкталган?
2. Репозиторий саясатчылар менен тесттер, линтер жана CI?
3. PDP/PEP периметри боюнча жайгаштырылган, API, K8s жана маалымат пайплайндар?
4. Контексттин схемалары жана валидация барбы?
5. Кол коюу жана бандл жеткирүү, кэш стратегиясы жана майыптыгы?
6. Метрика (latency, deny, drift), decision-лог жана аудит?
7. TTL жана отчеттуулук менен чыгаруу жараяны?
8. Dry-run/shadow-Enforce алдында режими?
9. Partial evaluation/" ысык "жолдор үчүн алдын ала компиляция?
10. Runbook деградация (fail-closed/allow-with-redaction)?

Корутунду

Policy as Code колдонмо сыяктуу эле эрежелерди ойнотулуп, текшерилүүчү жана башкарылуучу кылат: код-ревю, тесттер, CI/CD, метрика жана спот. PaC менен authorization (RBAC/ABAC), комплаенс жана платформа коопсуздугун бириктирүү менен, сиз бирдиктүү, алдын ала жана масштабдуу системанын жүрүм-турумун башкаруу контурун аласыз - admission-контролдон тартып маалыматтарды жана ML-пайплайндарды экспорттоого чейин.