本文討論什麼是 OPA、它的用途是什麼，以及我們在 Shodan 上找到 389 台暴露在外的 OPA 伺服器時發現了什麼，還有暴露在外的 OPA 可能對您應用程式的整體安全帶來什麼負面影響。

今年稍早，趨勢科技發布了一份報告 指出我們透過 Shodan 找到了 243,469 個暴露在外的 Kubernetes 節點。過程當中，我們也發現了 389 台暴露在外的開放政策代理 (Open Policy Agent，簡稱 OPA) 伺服器。OPA 是雲端原生運算基金會 (Cloud Native Computing Foundation，簡稱 CNCF) 底下的一個開放原始碼專案，使用 Go 程式語言開發，是許多政策貫徹工具的核心引擎，目前已累積超過 1.3 億次下載，其政策是使用一種名為「Rego」的特殊宣告式政策語言來撰寫。OPA 可用於各種系統和環境，如：Kubernetes、微服務、API 閘道，以及其他雲端原生工具。假使 OPA 伺服器未妥善保護，其政策將暴露在外，進而洩漏一些敏感資訊，包括使用者設定檔與使用中的服務。此外，這些暴露在外的政策還可能意外洩漏有關系統行為的資訊，讓駭客知道如何避開政策管制來發動攻擊。