Integrare la convalida IaC con Cloud Build

Puoi scrivere una configurazione di compilazione che indica a Cloud Build di convalidare l'Infrastructure as Code (IaC) che fa parte della tua build. La convalida dell'IaC ti consente di determinare se le definizioni delle risorse Terraform violano i criteri dell'organizzazione esistenti e i rilevatori di Security Health Analytics applicati alle risorse Google Cloud.

Per ulteriori informazioni sulla convalida dell'IaC, consulta Convalidare l'IaC in base ai criteri dell'organizzazione Google Cloud.

Prima di iniziare

Completa queste attività per iniziare a utilizzare la convalida IaC con Cloud Build.

Attiva il livello Premium o Enterprise di Security Command Center

Verifica che Livello Premium di Security Command Center o livello Enterprise sia attivata a livello di organizzazione.

L'attivazione di Security Command Center abilita securityposture.googleapis.com e securitycentermanagement.googleapis.com API.

Configurare le autorizzazioni

  1. Make sure that you have the following role or roles on the organization:

    • Security Posture Shift-Left Validator
    • Log Writer
    • Storage Writer
    • Storage Reader

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the organization.
    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Vai a IAM
    2. Seleziona l'organizzazione.
    3. Fai clic su Concedi accesso.
    4. Nel campo Nuove entità, inserisci il tuo identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.

    5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
    6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
    7. Fai clic su Salva.

    Per ulteriori informazioni sulle autorizzazioni di convalida IaC, consulta IAM per le attivazioni a livello di organizzazione.

    Abilita l'API Cloud Build

    1. Enable the Cloud Build API.

      Enable the API

    Definisci i criteri

    Definisci i criteri dell'organizzazione e i rivelatori di Security Health Analytics. Per definire questi criteri utilizzando una postura di sicurezza, completa le attività descritte in Creare e implementare una postura.

    Crea il tuo codice Terraform

    Per le istruzioni, consulta Creare il codice Terraform.

    Convalida l'IAC in Cloud Build

    Aggiungi le seguenti attività al file cloudbuild.yaml:

    1. Inizializza Terraform:

      - name: hashicorp/terraform
        args:
          - '-c'
          - |
            terraform init \
              -backend-config="bucket=STATE_BUCKET" \
              -backend-config="prefix=REPOSITORY_NAME" \
        dir: FOLDER
        id: Terraform Init
        entrypoint: sh
      

      Sostituisci quanto segue:

      • STATE_BUCKET con il nome del bucket Cloud Storage in cui archiviare lo stato di Terraform
      • REPOSITORY_NAME con il repository che ospita il tuo codice Terraform.
      • FOLDER con il nome della cartella in cui salvare gli elementi Terraform.
    2. Crea un file di piano:

      - name: hashicorp/terraform
        args:
          - '-c'
          - |
            terraform plan -out tf.plan
        dir: FOLDER
        id: Terraform Plan
        entrypoint: sh
      
    3. Converti il file del piano in formato JSON:

      - name: hashicorp/terraform
        args:
          - '-c'
          - |
            terraform show -json tf.plan > plan.json
        dir: FOLDER
        id: Terraform Show
        entrypoint: sh
      
    4. Crea il report di convalida IaC:

      - name: gcr.io/cloud-builders/gcloud
        args:
          - '-c'
          - |
            gcloud scc iac-validation-reports create \
            organizations/ORGANIZATION_ID/locations/global --tf-plan-file=plan.json \
            --format="json(response.iacValidationReport)" > IaCScanReport_$BUILD_ID.json
        dir: FOLDER
        id: Run IaC scan
        entrypoint: /bin/bash
      

      Sostituisci ORGANIZATION_ID con l'ID della tua organizzazione.

    5. Se utilizzi Cloud Storage, carica il file dei risultati JSON in Cloud Storage:

      - name: gcr.io/cloud-builders/gsutil
        args:
          - cp
          - IaCScanReport_$BUILD_ID.json
          - SCAN_RESULT_FILE_BUCKET
        dir: FOLDER
        id: Upload report file
      

      Sostituisci SCAN_RESULT_FILE_BUCKET con Bucket Cloud Storage in cui caricare il file dei risultati.

    6. Per visualizzare i risultati in formato SARIF:

      1. Converti il file:

        - name: golang
          args:
            - '-c'
            - |
              go run github.com/google/gcp-scc-iac-validation-utils/SARIFConverter@latest \
                --inputFilePath=IaCScanReport_$BUILD_ID.json
                --outputFilePath=IaCScanReport_$BUILD_ID.sarif.json
          dir: FOLDER
          id: Convert to SARIF format
          entrypoint: /bin/bash
        
      2. (Facoltativo) Carica il file su Cloud Storage:

        - name: gcr.io/cloud-builders/gsutil
          args:
            - cp
            - IaCScanReport_$BUILD_ID.sarif.json
            - SCAN_RESULT_FILE_BUCKET
          dir: FOLDER
          id: Upload report file
        
    7. Convalida i risultati. Completa questo passaggio sul file JSON dei risultati che non hai convertito in formato SARIF:

      - name: golang
        args:
          - '-c'
          - |
            go run github.com/google/gcp-scc-iac-validation-utils/ReportValidator@latest \
              --inputFilePath=IaCScanReport_$BUILD_ID.json --failure_expression=FAILURE_CRITERIA
        dir: FOLDER
        id: Validate results
        entrypoint: /bin/bash
      

      Sostituisci FAILURE_CRITERIA con la soglia di errore che determinano quando la build non riesce. I criteri di soglia si basano sul numero di problemi critici, di alta, media e bassa gravità rilevati dalla verifica della convalida IaC. FAILURE_CRITERIA specifica quanti problemi di ogni gravità sono ammessi e specifica inoltre la modalità di aggregazione dei problemi (AND o OR). Ad esempio, se vuoi che la build non vada a buon fine se rileva un problema critico o un problema di gravità, imposta FAILURE_CRITERIA su Critical:1,High:1,Operator:OR, L'impostazione predefinita è Critical:1,High:1,Medium:1,Low:1,Operator:OR, il che significa che se l'IaC la scansione di convalida rileva una violazione di qualsiasi gravità; la build deve avere esito negativo.

    8. Se la compilazione non riesce, risolvi eventuali violazioni nel codice Terraform.

    Passaggi successivi