问题描述
我想在 Kubernetes 上部署它。 Auth Server 和 Policy 引擎独立与 API Gateway 对话是否有意义,还是仅 Auth Server 与 API Gateway 对话,OPA 仅通过 Auth Server 与 API Gateway 对话更准确
解决方法
在 Curity,我们有一些与此相关的良好资源。通常第一个关键考虑因素是使用数据源的组件:
- API
- 授权服务器
这些始终部署在它们前面的反向代理/网关,因此攻击者必须突破 2 层才能访问数据源 - 这在我们的 IAM Primer 中进行了介绍。
此外,网关还可以提供一些有趣的功能:
就 OPA 而言,这取决于您将如何使用它 - 这里有几个可能的选择:
-
Gateway 调用 OPA 执行高级检查以授予或拒绝访问权限,如 this OPA use case
-
API 调用 OPA 并将其传递给 Claims Principal,然后使用响应来决定如何过滤结果,如我们的 Claims Best Practices 文章