Vous pouvez écrire une configuration de compilation qui indique à Cloud Build de valider l'Infrastructure as Code (IaC) qui fait partie de votre build. La validation de l'IaC vous permet de déterminer Les définitions de ressources Terraform ne respectent pas les règles d'administration et des détecteurs Security Health Analytics qui sont appliqués à vos ressources Google Cloud.
Pour en savoir plus sur la validation de l'IaC, consultez la section Valider votre IaC par rapport aux règles de votre organisation Google Cloud.
Avant de commencer
Effectuez ces tâches pour commencer la validation IaC à l'aide de Cloud Build.
Activer le niveau Premium ou Enterprise de Security Command Center
Vérifiez que la propriété Niveau Premium ou Enterprise de Security Command Center est activée au niveau de l'organisation.
L'activation de Security Command Center active les API securityposture.googleapis.com et securitycentermanagement.googleapis.com.
Configurer les autorisations
-
Make sure that you have the following role or roles on the organization:
- Security Posture Shift-Left Validator
- Log Writer
- Storage Writer
- Storage Reader
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
Accéder à IAM - Sélectionnez l'organisation.
- Cliquez sur Accorder l'accès.
-
Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.
- Dans la liste Sélectionner un rôle, sélectionnez un rôle.
- Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
- Cliquez sur Enregistrer.
Pour en savoir plus sur les autorisations de validation de l'IaC, consultez la section IAM pour les activations au niveau de l'organisation.
Activer l'API Cloud Build
-
Enable the Cloud Build API.
Définir vos règles
Définissez vos règles d'administration et vos détecteurs Security Health Analytics. Pour définir ces stratégies à l'aide d'une stratégie de sécurité, effectuez les tâches dans Créez et déployez une stratégie.
Créer votre code Terraform
Pour obtenir des instructions, consultez l'article Créez votre code Terraform.
Valider votre IAC dans Cloud Build
Ajoutez les tâches suivantes à votre fichier
cloudbuild.yaml:Initialisez Terraform :
- name: hashicorp/terraform args: - '-c' - | terraform init \ -backend-config="bucket=STATE_BUCKET" \ -backend-config="prefix=REPOSITORY_NAME" \ dir: FOLDER id: Terraform Init entrypoint: shRemplacez les éléments suivants :
STATE_BUCKETpar le nom du bucket Cloud Storage ; pour stocker l'état TerraformREPOSITORY_NAMEpar le dépôt qui héberge votre code Terraform.FOLDERpar le nom du dossier dans lequel enregistrer les artefacts Terraform.
Créez un fichier de plan:
- name: hashicorp/terraform args: - '-c' - | terraform plan -out tf.plan dir: FOLDER id: Terraform Plan entrypoint: shConvertissez le fichier du plan au format JSON:
- name: hashicorp/terraform args: - '-c' - | terraform show -json tf.plan > plan.json dir: FOLDER id: Terraform Show entrypoint: shCréez le rapport de validation de l'IaC:
- name: gcr.io/cloud-builders/gcloud args: - '-c' - | gcloud scc iac-validation-reports create \ organizations/ORGANIZATION_ID/locations/global --tf-plan-file=plan.json \ --format="json(response.iacValidationReport)" > IaCScanReport_$BUILD_ID.json dir: FOLDER id: Run IaC scan entrypoint: /bin/bashRemplacez
ORGANIZATION_IDpar l'ID de votre organisation.Si vous utilisez Cloud Storage, importez le fichier de résultats JSON dans Cloud Storage :
- name: gcr.io/cloud-builders/gsutil args: - cp - IaCScanReport_$BUILD_ID.json - SCAN_RESULT_FILE_BUCKET dir: FOLDER id: Upload report fileRemplacez
SCAN_RESULT_FILE_BUCKETpar le bucket Cloud Storage dans lequel importer le fichier de résultats.Pour afficher les résultats au format SARIF, procédez comme suit :
Convertissez le fichier :
- name: golang args: - '-c' - | go run github.com/google/gcp-scc-iac-validation-utils/SARIFConverter@latest \ --inputFilePath=IaCScanReport_$BUILD_ID.json --outputFilePath=IaCScanReport_$BUILD_ID.sarif.json dir: FOLDER id: Convert to SARIF format entrypoint: /bin/bashFacultatif : importez le fichier dans Cloud Storage :
- name: gcr.io/cloud-builders/gsutil args: - cp - IaCScanReport_$BUILD_ID.sarif.json - SCAN_RESULT_FILE_BUCKET dir: FOLDER id: Upload report file
Validez les résultats. Effectuez cette étape sur le fichier JSON de résultats que vous n'avez pas converti au format SARIF :
- name: golang args: - '-c' - | go run github.com/google/gcp-scc-iac-validation-utils/ReportValidator@latest \ --inputFilePath=IaCScanReport_$BUILD_ID.json --failure_expression=FAILURE_CRITERIA dir: FOLDER id: Validate results entrypoint: /bin/bashRemplacez
FAILURE_CRITERIApar les critères de seuil d'échec qui déterminent quand la compilation échoue. Les critères de seuil sont basés sur le nombre de problèmes de gravité critique, élevée, moyenne et faible rencontrés par l'analyse de validation de l'IaC.FAILURE_CRITERIAspécifie le nombre de problèmes de chaque niveau de gravité autorisés comment les problèmes sont agrégés (ANDouOR). Par exemple, si vous que la compilation échoue si elle rencontre un problème critique ou un problème de gravité, définissezFAILURE_CRITERIAsurCritical:1,High:1,Operator:ORLa valeur par défaut estCritical:1,High:1,Medium:1,Low:1,Operator:OR, ce qui signifie que si l'analyse de validation de l'IaC détecte une infraction de quelque gravité que ce soit, la compilation doit échouer.Si la compilation échoue, corrigez les cas de non-conformité dans votre code Terraform.
Étape suivante
- Affichez le rapport de validation IaC dans Cloud Storage.
- Examinez les scripts de validation IaC dans GitHub.
- Consultez l'exemple
cloud.yaml.