Integrare la convalida IaC con GitHub Actions

Puoi utilizzare l'azione Analyze Code Securityper convalidare l'infrastruttura come codice (IaC) che fa parte del flusso di lavoro di GitHub Actions. La convalida dell'IaC ti consente di determinare se le definizioni delle risorse Terraform violano le policy dell'organizzazione esistenti e i rilevatori di Security Health Analytics applicati alle tue risorse Google Cloud .

Per ulteriori informazioni sulla convalida dell'IaC, consulta Convalidare l'IaC in base ai criteri della tua organizzazione. Google Cloud

Prima di iniziare

Completa queste attività per iniziare a utilizzare la convalida IaC con GitHub Actions.

Attiva il livello Premium o Enterprise di Security Command Center

Verifica che il livello Security Command Center Premium o Enterprise sia attivato a livello di organizzazione.

L'attivazione di Security Command Center abilita le API securityposture.googleapis.com e securitycentermanagement.googleapis.com.

Crea un account di servizio

Crea un account di servizio che puoi utilizzare per l'azione Analyze Code Security.

1. In the Google Cloud console, go to the Create service account page.

   Go to Create service account
2. Select your project.

3. In the Service account name field, enter a name. The Google Cloud console fills in the Service account ID field based on this name.

   In the Service account description field, enter a description. For example, Service account for quickstart.

4. Click Create and continue.

5. Grant the Security Posture Shift-Left Validator role to the service account.

   To grant the role, find the Select a role list, then select Security Posture Shift-Left Validator.

6. Click Continue.

7. Click Done to finish creating the service account.

Per maggiori informazioni sulle autorizzazioni di convalida dell'IaC, consulta IAM per le attivazioni a livello di organizzazione.

Configura l'autenticazione

1. Configura la federazione delle identità per i workload con il tuo provider di identità GitHub. Per istruzioni, consulta Federazione delle identità per i workload.

2. Ottieni l'URL del token ID della federazione di Workload Identity. Ad esempio, https://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID.

   Considera quanto segue:

   • PROJECT_NUMBER è il numero di progetto per il progettoGoogle Cloud in cui hai configurato la federazione delle identità per i carichi di lavoro.
   • POOL_ID è il nome del pool.
   • PROVIDER_ID è il nome del tuo provider di identità.

3. Aggiungi l'azione Autenticati su Google Cloud al tuo flusso di lavoro per autenticare l'azione di convalida dell'IaC.

Definisci le tue policy

Definisci i criteri dell'organizzazione e i detector di Security Health Analytics. Per definire queste policy utilizzando una postura di sicurezza, completa le attività descritte in Creare e implementare una postura.

Crea il file JSON del piano Terraform

1. Crea il codice Terraform. Per le istruzioni, vedi Creare il codice Terraform.

2. In GitHub Actions, inizializza Terraform. Ad esempio, se utilizzi l'azione HashiCorp - Setup Terraform, esegui il seguente comando:

   - name: Terraform Init
     id: init
     run: terraform init
   

3. Crea un file di piano Terraform:

   - name: Create Terraform Plan
     id: plan
     run: terraform plan -out=TF_PLAN_FILE
   

   Sostituisci TF_PLAN_FILE con il nome del file del piano Terraform. Ad esempio, myplan.tfplan.

4. Converti il file del piano in formato JSON:

   - name: Convert Terraform Plan to JSON
     id: convert
     run: terraform show -no-color -json TF_PLAN_FILE > TF_PLAN_JSON_FILE
   

   Sostituisci TF_PLAN_JSON_FILE con il nome del file di piano Terraform, in formato JSON. Ad esempio, mytfplan.json.

Aggiungi l'azione al tuo flusso di lavoro GitHub Actions

1. Nel repository GitHub, vai al tuo flusso di lavoro.
2. Apri l'editor del flusso di lavoro.
3. Nella barra laterale di GitHub Marketplace, cerca Analyze Code Security.
4. Nella sezione Installazione, copia la sintassi.
5. Incolla la sintassi come nuovo passaggio nel flusso di lavoro.

6. Sostituisci i seguenti valori:

   • workload_identity_provider con il link all'URL del tuo token ID federazione delle identità per i carichi di lavoro.
   • service_account con l'indirizzo email del account di servizio che hai creato per l'azione.
   • organization_id con l'ID organizzazione Google Cloud .
   • scan_file_ref con il percorso del file di piano Terraform, in formato JSON.
   • failure_criteria con i criteri di soglia di errore che determinano quando l'azione non va a buon fine. I criteri di soglia si basano sul numero di problemi di gravità critica, elevata, media e bassa rilevati dalla scansione di convalida dell'infrastruttura come codice. failure_criteria specifica il numero di problemi di ogni gravità consentiti e la modalità di aggregazione dei problemi (AND o OR). Ad esempio, se vuoi che l'azione non vada a buon fine se rileva un problema critico o un problema di gravità elevata, imposta failure_criteria su Critical:1,High:1,Operator:OR. Il valore predefinito è Critical:1,High:1,Medium:1,Low:1,Operator:OR, il che significa che se la scansione di convalida dell'infrastruttura come codice rileva problemi, l'azione deve non riuscire.

Ora puoi eseguire il flusso di lavoro per convalidare il file di piano Terraform. Per eseguire il flusso di lavoro manualmente, vedi Eseguire manualmente un flusso di lavoro.

Visualizzare il report sulle violazioni dell'IaC

1. Nel repository GitHub, fai clic su Azioni e seleziona il flusso di lavoro.

2. Fai clic sull'esecuzione più recente del workflow.

   Nella sezione Artefatti, il report sulle violazioni (ias-scan-sarif.json) è disponibile in un file zip. Il report include i seguenti campi:

   • Un campo rules che descrive quali norme sono state violate dal piano Terraform. Ogni regola include un ruleID che puoi abbinare ai risultati inclusi nel report.
   • Un campo results che descrive le modifiche proposte alla risorsa che violano una regola specifica.

3. Risolvi eventuali violazioni nel codice Terraform prima di applicarlo.

Passaggi successivi

• Visualizza il codice sorgente dell'azione analyze-code-security-scc su GitHub.