Políticas como Código
Práctica de definir políticas de seguridad, compliance y gobernanza como código versionado y ejecutable, automatizando su verificación en pipelines de CI/CD.
¿Qué es?
Policy as Code define reglas de seguridad, compliance y gobernanza como código que se versiona en Git y se ejecuta automáticamente. En lugar de checklists manuales, las políticas se verifican programáticamente.
Herramientas
| Herramienta | Uso |
|---|---|
| OPA (Open Policy Agent) | Políticas generales (K8s, APIs, Terraform) |
| HashiCorp Sentinel | Políticas para Terraform Enterprise |
| AWS Config Rules | Compliance en AWS |
| Checkov | Escaneo de IaC |
| Kyverno | Políticas nativas de Kubernetes |
Ejemplos de políticas
- Todo bucket S3 debe tener encriptación habilitada
- Ningún security group puede tener puerto 22 abierto al mundo
- Todos los recursos deben tener tags de costo
- Las imágenes de contenedores deben venir de registros aprobados
Beneficios
- Compliance automatizado y consistente
- Feedback temprano (shift-left)
- Auditable (historial en Git)
- Escalable (mismas políticas para todos los equipos)
¿Por qué importa?
Las políticas manuales no escalan. Policy as code permite definir, versionar y aplicar automáticamente reglas de seguridad, compliance y gobernanza. Cada cambio de infraestructura se valida contra las políticas antes de aplicarse, cerrando la brecha entre intención y realidad.
Referencias
- Open Policy Agent — Motor de políticas CNCF.
- OPA Documentation — OPA, 2024. Documentación completa del motor de políticas.
- Kyverno — CNCF, 2024. Motor de políticas nativo de Kubernetes.
Contenido relacionado
- Infrastructure as Code
Práctica de definir y gestionar infraestructura mediante archivos de configuración versionados en lugar de procesos manuales. Fundamento de la automatización moderna de operaciones.
- Ingeniería de Plataforma
Disciplina que diseña y construye plataformas internas de autoservicio para que los equipos de desarrollo desplieguen y operen aplicaciones de forma autónoma.
- AWS IAM
Servicio de gestión de identidad y acceso de AWS que controla quién puede hacer qué en tu cuenta, con políticas granulares basadas en el principio de mínimo privilegio.