Que vous soyez dans une startup, une entreprise ou quelque chose entre les deux, l’autorisation et le contrôle d’accès sont probablement des problèmes majeurs pour votre équipe.
Cette semaine sur Dev Interrupted, nous discutons avec Omri Gazitt, co-fondateur et PDG d’Aserto. Omri se joint à nous pour discuter de l’avenir de l’autorisation, de la gestion du contrôle d’accès au sein de votre équipe et de la manière d’éviter le labeur et la dette technologique souvent associés au contrôle d’accès.
Faits saillants de l’épisode
- (2:36) Le parcours d’Omri pour devenir fondateur
- (4:58) Conseils aux nouveaux ingénieurs devenus fondateurs
- (8:38) Qu’est-ce que l’autorisation ?
- (12:06) Fondation d’Aserto
- (15:38) Mettre en œuvre l’autorisation de la bonne manière
- (18:55) À qui appartient le contrôle d’accès de votre équipe ?
- (21:00) Qu’est-ce que l’autorisation cloud native ?
- (24:32) Obtenir le contrôle d’accès au bon endroit
- (26:26) Open source et autorisation
- (32:20) Startup vs entreprise : transformation des autorisations
Extrait de l’épisode
Omri : Cloud-native est un terme tellement amorphe, vous savez, il s’agit essentiellement d’appliquer une grande partie des leçons que nous avons apprises sur la confiance zéro et des choses comme ça, mais du côté des développeurs. Les développeurs n’aiment généralement pas la sécurité et ne veulent pas en savoir plus sur la sécurité, mais ils doivent en quelque sorte connaître la sécurité maintenant car ils étaient auparavant protégés par une sorte de périmètre.
Droite. Donc, vous savez, une grande partie du fardeau de la sécurité était sur le périmètre. Et maintenant, il est déplacé vers l’application elle-même. Mais les développeurs d’applications n’ont pas vraiment suivi. Et donc, vous savez, quelques-unes des choses qui sont vraiment importantes pour la sécurité et pour l’entreprise, le principe du moindre privilège, n’est-ce pas ? Donc, l’idée que vous voulez limiter l’ensemble des droits ou des autorisations que vous accordez aux utilisateurs au plus petit ensemble dont ils ont besoin pour faire leur travail, cela va à l’encontre de cette idée, idée de la vieille école, anti- modèle maintenant de ces rôles et autorisations d’écran de base. Personne ne veut un administrateur ces jours-ci pour tout dans l’application.
Ils veulent des administrateurs pour différentes parties de l’application. Ils veulent pouvoir, vous savez, un peu comme, plutôt qu’un signe d’autorisation de lire des documents, qu’est-ce que cela signifie ? Lire tous les documents ? Cela n’a aucun sens; vous voulez pouvoir définir des autorisations spécifiques sur des documents ou des dossiers spécifiques ou des choses comme ça. Donc, c’est, vous savez, un contrôle d’accès précis. C’est un modèle de base que nous voyons tous ces systèmes d’autorisation activer.
Une autre est cette idée de séparation des tâches, cette chose, cette politique d’autorisation hors de l’application, et de la stocker et de la versionner dans son propre DSL textuel, son propre langage d’autorisation, nous appelons cette politique en tant que code. Et le genre de projet phare pour cela ces jours-ci est l’agent de politique ouverte. Donc, il a un langage appelé Rego. Et si vous faites cela, vous pouvez en fait faire en sorte que la surface d’autorisation soit en quelque sorte contrôlée par une équipe de sécurité. Et ils peuvent raisonner sur toutes les logiques d’autorisation différentes sur tous vos microservices. C’est donc un énorme plus. Un autre modèle est ce que nous appelons l’autorisation en temps réel.
Ainsi, plutôt que de s’appuyer sur deux portées qui sont intégrées dans des jetons d’accès et de les utiliser pour l’autorisation, vous appelez essentiellement un service d’autorisation avec le contexte de l’utilisateur et le contexte de la ressource et l’autorisation et posez la question, est-ce que cet utilisateur fait cela l’utilisateur a cette autorisation sur cette ressource en temps réel, et c’est une pratique beaucoup plus sécurisée. Un autre consiste à rassembler des journaux de décision pour chaque décision prise par l’application, n’est-ce pas ? Parce que de nos jours, la réalité est qu’il ne s’agit pas de savoir si vous avez une infraction, c’est une question de quand. Et il ne suffit pas de savoir, comme toutes les fois où les gens se connectent à votre application, vous voulez vraiment connaître chaque décision prise par l’application afin que vous puissiez en quelque sorte déterminer le rayon d’explosion de ce qui a réellement compromis cet ADN. Nous appelons cela des journaux de décision à grain fin. Ce sont quelques-uns des modèles que nous avons vus et que nous appelons l’optimisation native du cloud.
Le 15 mars, regardez l’un des anciens ingénieurs d’Uber répondre en direct à vos questions sur l’entreprise qui change le monde !
Le podcast n ° 1 en ingénierie part en route pour Lead Dev New York les 14 et 15 mars.
Mieux encore, nous ferons un épisode en direct du podcast avec des invités spéciaux, Nick Cobb, ancien ingénieur senior chez Uber et actuel responsable des produits et de l’ingénierie chez Kyte. Vos deux hôtes préférés – Dan Lines et Conor Bronsdon – rejoindront Nick alors qu’il fournira des informations exclusives et privilégiées sur…
- L’IA derrière les voitures autonomes,
- Plateformes de véhicules à la demande
- Pourquoi Uber a perdu son ADN d’innovation produit.
Inscrivez-vous au livestream maintenant. Vous ne voudrez pas manquer ça.
