DevOps and Infrastructure

سیاست‌گذاری به عنوان کد در ترافورم: اعمال انطباق با OPA و Sentinel در گردش‌کارهای سازمانی

با مقیاس‌پذیری زیرساخت ابری سازمان‌ها، بررسی دستی پیکربندی‌های ترافورم به گلوگاه تبدیل می‌شود. آسیب‌پذیری‌های امنیتی، افزایش هزینه‌ها و تخلفات انطباقی می‌توانند از پایپ‌لاین‌های CI/CD خودکار بگریزند اگر حاکمیت سخت‌گیرانه اعمال نشود. اینجاست که «سیاست‌گذاری به عنوان کد» (PaC) منظره DevOps را دگرگون می‌کند و امنیت را از یک مرحله کنترل‌کننده به یک مکانیزم اجرای یکپارچه و خودکار تبدیل می‌نماید.

در این پست، بررسی خواهیم کرد که چگونه می‌توان Open Policy Agent (OPA) و HashiCorp Sentinel را در گردش‌کارهای ترافورم خود ادغام کرد تا اطمینان حاصل شود که هر تغییری در زیرساخت با استانداردهای امنیتی و انطباقی سازمان شما همسو است.

چرا سیاست‌گذاری به عنوان کد اهمیت دارد؟

مدیریت سنتی زیرساخت به بررسی‌کنندگان انسانی برای بررسی درخواست‌های ادغام (Pull Requests) از نظر انطباق متکی است. این رویکرد کند، ذهنی و مستعد خطا است. سیاست‌گذاری به عنوان کد به شما امکان می‌دهد قوانین را در زبانی قابل خواندن توسط ماشین تعریف کنید که به طور خودکار طرح‌های ترافورم را قبل از اعمال ارزیابی می‌کند. این کار امنیت را به چرخه توسعه نزدیک‌تر می‌کند (Shift Left) و از رسیدن منابع غیرانطباقی به محیط تولید جلوگیری می‌نماید.

دو موتور اصلی برای اجرای این سیاست‌ها در اکوسیستم ترافورم وجود دارد: Open Policy Agent (OPA) و HashiCorp Sentinel. اگرچه هر دو اهداف مشابهی را دنبال می‌کنند، اما در معماری و عمق ادغام تفاوت دارند.

Open Policy Agent (OPA): انتخاب انعطاف‌پذیر

OPA یک موتور سیاست‌گذاری متن‌باز و با هدف عمومی است که از زبان Rego استفاده می‌کند. این ابزار مستقل از ابر است و می‌توان در مراحل مختلف پایپ‌لاین CI/CD ادغام شود. OPA با ارزیابی یک تصمیم در برابر مجموعه‌ای از سیاست‌ها کار می‌کند و نتیجه‌ای بولی یا مجموعه‌ای از تخلفات را باز می‌گرداند.

مثال: محدود کردن انواع نمونه‌های AWS با OPA

فرض کنید شرکت شما نیاز دارد که هیچ سرور تولیدی از انواع نمونه‌های کوچک استفاده نکند. شما می‌توانید یک سیاست Rego ساده برای اجرای این مورد بنویسید.

package terraform.aws

# اگر instance_type مجاز نیست، رد کنید
deny[msg] {
    input.resource_changes[_].type == "aws_instance"
    instance := input.resource_changes[_].change.after
    not allowed_instance_types[instance.instance_type]
    msg := sprintf("Instance type %s is not allowed in production.", [instance.instance_type])
}

# تعریف انواع نمونه‌های مجاز
allowed_instance_types := {"t3.medium", "t3.large", "m5.large"}

این سیاست را می‌توان با استفاده از ساختار داده tfplan که توسط ارائه‌دهنده ترافورم OPA ارائه شده است، ارزیابی کرد. اگر یک درخواست ادغام تلاش کند یک نمونه t3.micro در محیط تولید ایجاد کند، پایپ‌لاین با یک پیام خطای واضح شکست می‌خورد.

HashiCorp Sentinel: ادغام بومی

Sentinel موتور سیاست‌گذاری بومی HashiCorp است که به شدت در Terraform Enterprise (اکنون بخشی از Terraform Cloud/Enterprise) ادغام شده است. این ابزار از زبانی استفاده می‌کند که به طور خاص برای تعریف سیاست‌ها طراحی شده است و برای کاربران ترافورم خوانایی بیشتری دارد. سیاست‌های Sentinel در مرحله طرح (Plan) اجرا می‌شوند و می‌توانند سیاست‌ها را هم بر روی طرح‌های ترافورم و هم بر روی وضعیت ترافورم (State) اعمال کنند.

مثال: اعمال استانداردهای برچسب‌گذاری با Sentinel

انطباق اغلب نیاز دارد که منابع دارای برچسب‌های خاصی باشند. در اینجا یک سیاست Sentinel وجود دارد که اطمینان حاصل می‌کند تمام نمونه‌های EC2 دارای برچسب CostCenter هستند.

import "tfplan/v2" as tfplan

# قانون اجرای اصلی
main = rule all resource in tfplan.resource_changes {
    resource.type == "aws_instance" and
    resource.mode == "managed" and
    resource.change.after.tags["CostCenter"] != null
}

اگر یک منبع فاقد برچسب مورد نیاز باشد، Sentinel عملیات Apply را مسدود می‌کند. این موضوع به ویژه در محیط‌های سازمانی که Terraform Cloud هماهنگ‌کننده مرکزی است، مفید است، زیرا سیاست‌های Sentinel می‌توانند مستقیماً به سیاست‌های Workspace در رابط کاربری متصل شوند.

انتخاب بین OPA و Sentinel

انتخاب بین OPA و Sentinel به بلوغ زیرساخت و ابزارهای موجود شما بستگی دارد:

  • از Sentinel استفاده کنید اگر: از Terraform Cloud/Enterprise استفاده می‌کنید و می‌خواهید تجربه‌ای یکپارچه و بومی داشته باشید. این گزینه برای ادغام به پیکربندی سفارشی کمتری نیاز دارد.
  • از OPA استفاده کنید اگر: به یک راه‌حل مستقل از ابر نیاز دارید که بتوان آن را در ابزارهای مختلف IaC (مانند CloudFormation یا Helm Charts Kubernetes) مجدداً استفاده کرد. OPA همچنین اکوسیستم بالغ‌تری برای منطق پیچیده و تصمیم‌گیری ارائه می‌دهد.

بهترین شیوه‌ها برای پیاده‌سازی

  1. کنترل نسخه برای سیاست‌ها: فایل‌های سیاست خود را به عنوان کد در نظر بگیرید. آن‌ها را در سیستم کنترل نسخه خود در کنار ماژول‌های ترافورم ذخیره کنید تا تاریخچه و قابلیت حسابرسی تضمین شود.
  2. شکست سریع (Fail Fast): بررسی‌های سیاست را در مرحله درخواست ادغام اجرا کنید. این کار بازخورد فوری به توسعه‌دهندگان قبل از ادغام کد ارائه می‌دهد.
  3. سیاست‌های ظریف (Granular): به جای مجموعه‌های قوانین یکپارچه و بزرگ، سیاست‌های کوچک و متمرکز بنویسید. این کار عیب‌یابی را آسان‌تر کرده و امکان استفاده مجدد ماژولار را فراهم می‌کند.
  4. مستندسازی: به وضوح مستند کنید که هر سیاست چه چیزی را بررسی می‌کند و چرا. توسعه‌دهندگان باید دلیل پشت استقرارهای مسدود شده را درک کنند.

نتیجه‌گیری

پیاده‌سازی سیاست‌گذاری به عنوان کد تنها درباره خودکارسازی نیست؛ بلکه درباره نهادینه کردن امنیت و انطباق در DNA فرآیند توسعه شماست. چه از OPA به دلیل انعطاف‌پذیری و چه از Sentinel به دلیل ادغام بومی آن استفاده کنید، نتیجه یکسان است: چرخه عمر زیرساختی امن‌تر، انطباق‌پذیر و کارآمدتر. با اتخاذ این شیوه‌ها، تیم‌های سازمانی می‌توانند سریع‌تر حرکت کنند بدون اینکه از کنترل بکاهند و انطباق را از یک مانع به عاملی برای نوآوری تبدیل نمایند.

Share: