Crear restricciones de CAI

Antes de empezar

• Crea una biblioteca de políticas.

Framework de restricciones

gcloud beta terraform vet usa políticas del framework de restricciones, que constan de restricciones y plantillas de restricciones. La diferencia entre ambos es la siguiente:

• Una plantilla de restricción es como una declaración de función: define una regla en Rego y, opcionalmente, toma parámetros de entrada.
• Una restricción es un archivo que hace referencia a una plantilla de restricción y define los parámetros de entrada que se le deben enviar y los recursos que abarca la política.

De esta forma, no tendrás que repetir la misma información. Puedes escribir una plantilla de restricción con una política genérica y, a continuación, escribir cualquier número de restricciones que proporcionen diferentes parámetros de entrada o reglas de coincidencia de recursos.

Recursos de CAI Assets y de Terraform

Los recursos de Cloud Asset Inventory son un formato de exportación de datos estándar de Google que está disponible para muchos Google Cloud recursos. Los datos de CAI solo suelen estar disponibles después de que se haya creado o actualizado un recurso. Sin embargo, al convertir los cambios de recursos de Terraform en datos de recursos de CAI,gcloud beta terraform vet puedes escribir una política una vez y usarla tanto antes de aplicar como para hacer una comprobación de auditoría con herramientas compatibles.

Herramientas compatibles

Las siguientes herramientas no son productos oficiales de Google y no se admiten. Sin embargo, es posible que sean compatibles con las políticas escritas para gcloud beta terraform vet:

• Tarjeta de resultados de CFT
• Forseti

Crear una plantilla de restricción

Antes de desarrollar tu plantilla de restricción, verifica que el recurso para el que quieres escribir una política sea compatible con Cloud Asset Inventory y con gcloud beta terraform vet.

Para crear una plantilla de restricción, sigue estos pasos:

1. Recoge datos de muestra.
2. Escribe Rego.
3. Prueba tu Rego.
4. Configura un esqueleto de plantilla de restricción.
5. Incluye tu Rego.
6. Configura una restricción.

Recoger datos de muestra

Para escribir una plantilla de restricción, necesitas tener datos de muestra con los que trabajar. Las restricciones basadas en CAI operan en datos de recursos de CAI. Recoge datos de muestra creando recursos del tipo adecuado y exportándolos como JSON, tal como se describe en la guía de inicio rápido de CAI.

A continuación se muestra un ejemplo de exportación JSON de una dirección de Compute:

[
  {
    "name": "//compute.googleapis.com/projects/789/regions/us-central1/addresses/my-internal-address",
    "asset_type": "compute.googleapis.com/Address",
    "ancestors: [
      "organization/123",
      "folder/456",
      "project/789"
    ],
    "resource": {
      "version": "v1",
      "discovery_document_uri": "https://www.googleapis.com/discovery/v1/apis/compute/v1/rest",
      "discovery_name": "Address",
      "parent": "//cloudresourcemanager.googleapis.com/projects/789",
      "data": {
        "address": "10.0.42.42",
        "addressType": "INTERNAL",
        "name": "my-internal-address",
        "region": "projects/789/global/regions/us-central1"
      }
    }
  },
]

Escribir Rego

Una vez que tengas datos de ejemplo, puedes escribir la lógica de tu plantilla de restricción en Rego. Tu Rego debe tener una regla violations. El recurso que se está revisando está disponible como input.review. Los parámetros de restricción están disponibles como input.parameters. Por ejemplo, para requerir que los recursos compute.googleapis.com/Address tengan un addressType permitido, escribe lo siguiente:

# validator/gcp_compute_address_address_type_allowlist_constraint_v1.rego
package templates.gcp.GCPComputeAddressAddressTypeAllowlistConstraintV1

violation[{
  "msg": message,
  "details": metadata,
}] {
  asset := input.review
  asset.asset_type == "compute.googleapis.com/Address"

  allowed_address_types := input.parameters.allowed_address_types
  count({asset.resource.data.addressType} & allowed_address_types) >= 1
  message := sprintf(
    "Compute address %s has a disallowed address_type: %s",
    [asset.name, asset.resource.data.addressType]
  )
  metadata := {"asset": asset.name}
}

Ponle un nombre a la plantilla de restricción.

En el ejemplo anterior se usa el nombre GCPComputeAddressAddressTypeAllowlistConstraintV1. Es un identificador único de cada plantilla de restricción. Te recomendamos que sigas estas directrices para elegir nombres:

• Formato general: GCP{resource}{feature}Constraint{version}. Usa CamelCase. Es decir, escribe con mayúscula inicial cada palabra nueva.
• En el caso de las restricciones de un solo recurso, sigue las convenciones de nomenclatura de recursos de los nombres de grupo de gcloud. Por ejemplo, usa "compute" en lugar de "gce", "sql" en lugar de "cloud-sql" y "container-cluster" en lugar de "gke".
• Si una plantilla se aplica a más de un tipo de recurso, omite la parte del recurso e incluye solo la función (por ejemplo, "GCPAddressTypeAllowlistConstraintV1").
• El número de versión no sigue el formato de semver, sino que es un solo número. De esta forma, cada versión de una plantilla se convierte en una plantilla única.

Te recomendamos que uses un nombre para tu archivo Rego que coincida con el nombre de la plantilla de restricción, pero en formato snake_case. Es decir, convierte el nombre a minúsculas y separa las palabras con _. En el ejemplo anterior, el nombre de archivo recomendado es gcp_compute_address_address_type_allowlist_constraint_v1.rego.

Probar tu Rego

Puedes probar tu Rego manualmente con el Rego Playground. Asegúrate de usar datos no sensibles.

Te recomendamos que escribas pruebas automatizadas. Coloca los datos de muestra recogidos en validator/test/fixtures/<constraint filename>/assets/data.json y haz referencia a ellos en el archivo de prueba de esta forma:

# validator/gcp_compute_address_address_type_allowlist_constraint_v1_test.rego
package templates.gcp.GCPComputeAddressAddressTypeAllowlistConstraintV1

import data.test.fixtures.gcp_compute_address_address_type_allowlist_constraint_v1_test.assets as assets

test_violation_with_disallowed_address_type {
  parameters := {
    "allowed_address_types": "EXTERNAL"
  }
  violations := violation with input.review as assets[_]
    with input.parameters as parameters
  count(violations) == 1
}

Coloca tu Rego y tu prueba en la carpeta validator de tu biblioteca de políticas.

Configurar un esqueleto de plantilla de restricción

Una vez que tengas una regla Rego que funcione y hayas probado, debes empaquetarla como una plantilla de restricción. Constraint Framework usa definiciones de recursos personalizados de Kubernetes como contenedor de la política Rego.

La plantilla de restricción también define qué parámetros se permiten como entradas de las restricciones mediante el esquema OpenAPI V3.

Usa el mismo nombre para el esqueleto que usaste para tu Rego. En particular:

• Usa el mismo nombre de archivo que en tu Rego. Ejemplo: gcp_compute_address_address_type_allowlist_constraint_v1.yaml
• spec.crd.spec.names.kind debe contener el nombre de la plantilla
• metadata.name debe contener el nombre de la plantilla, pero en minúsculas

Coloca el esqueleto de la plantilla de restricción en policies/templates.

En el ejemplo anterior:

# policies/templates/gcp_compute_address_address_type_allowlist_constraint_v1.yaml
apiVersion: templates.gatekeeper.sh/v1beta1
kind: ConstraintTemplate
metadata:
  name: gcpcomputeaddressaddresstypeallowlistconstraintv1
spec:
  crd:
    spec:
      names:
        kind: GCPComputeAddressAddressTypeAllowlistConstraintV1
      validation:
        openAPIV3Schema:
          properties:
            allowed_address_types:
              description: "A list of address_types allowed, for example: ['INTERNAL']"
              type: array
              items:
                type: string
  targets:
    - target: validation.gcp.forsetisecurity.org
      rego: |
            #INLINE("validator/gcp_compute_address_address_type_allowlist_constraint_v1.rego")
            #ENDINLINE

Incluir tu Rego

En este punto, siguiendo el ejemplo anterior, el diseño de tu directorio sería el siguiente:

| policy-library/
|- validator/
||- gcp_compute_address_address_type_allowlist_constraint_v1.rego
||- gcp_compute_address_address_type_allowlist_constraint_v1_test.rego
|- policies
||- templates
|||- gcp_compute_address_address_type_allowlist_constraint_v1.yaml

Si has clonado el repositorio de la biblioteca de políticas proporcionado por Google, puedes ejecutar make build para actualizar automáticamente tus plantillas de restricciones en policies/templates con el Rego definido en validator.

Configurar una restricción

Las restricciones contienen tres datos que gcloud beta terraform vet necesita para aplicar correctamente las restricciones e informar de las infracciones:

• severity: low, medium o high
• match: parámetros para determinar si una restricción se aplica a un recurso concreto. Se admiten los siguientes parámetros de coincidencia:
  • ancestries: lista de rutas de ancestros que se incluirán mediante la coincidencia de estilo glob
  • excludedAncestries: (Opcional) Lista de rutas de ancestros que se van a excluir mediante la coincidencia de estilo glob.
• parameters: valores de los parámetros de entrada de la plantilla de restricción.

Asegúrate de que kind contenga el nombre de la plantilla de restricción. Te recomendamos que asignes a metadata.name un slug descriptivo.

Por ejemplo, para permitir solo los tipos de dirección INTERNAL con la plantilla de restricción del ejemplo anterior, escribe lo siguiente:

# policies/constraints/gcp_compute_address_internal_only.yaml
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GCPComputeAddressAddressTypeAllowlistConstraintV1
metadata:
  name: gcp_compute_address_internal_only
spec:
  severity: high
  match:
    ancestries:
    - "**"
  parameters:
    allowed_address_types:
    - "INTERNAL"

Ejemplos de coincidencias:

Si una dirección de recurso coincide con los valores de ancestries y excludedAncestries, se excluye.

Limitaciones

Los datos del plan de Terraform ofrecen la mejor representación disponible del estado real después de aplicar los cambios. Sin embargo, en muchos casos, el estado después de aplicar puede no conocerse porque se calcula del lado del servidor. En estos casos, los datos tampoco están disponibles en los recursos de CAI convertidos.

La creación de rutas de ancestros de CAI forma parte del proceso de validación de las políticas. Usa el proyecto predeterminado proporcionado para evitar los IDs de proyecto desconocidos. Si no se proporciona ningún proyecto predeterminado, la ruta de ancestro será organizations/unknown de forma predeterminada.

Para inhabilitar la ascendencia desconocida, añade la siguiente restricción:

apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GCPAlwaysViolatesConstraintV1
metadata:
  name: disallow_unknown_ancestry
  annotations:
    description: |
      Unknown ancestry is not allowed; use --project=<project> to set a
      default ancestry
spec:
  severity: high
  match:
    ancestries:
    - "organizations/unknown"
  parameters: {}

Recursos compatibles

Si quieres que gcloud beta terraform vet añada compatibilidad con un recurso que no está en esta lista, abre una solicitud de mejora y considera la posibilidad de contribuir con código.

La lista de recursos admitidos depende de la versión de gcloud beta terraform vet que esté instalada. Esta es la lista de recursos admitidos actualmente: