Mengintegrasikan validasi IaC dengan Jenkins

Anda dapat menggunakan plugin Google Analyze Code Security untuk Jenkins guna memvalidasi Infrastructure as Code (IaC) yang merupakan bagian dari project Jenkins Anda. Dengan memvalidasi IaC, Anda dapat menentukan apakah definisi resource Terraform Anda melanggar kebijakan organisasi yang ada dan pendeteksi Security Health Analytics yang diterapkan ke resource Google Cloud Anda.

Untuk mengetahui informasi selengkapnya tentang validasi IaC, lihat Memvalidasi IaC terhadap kebijakan organisasi Google Cloud Anda.

Validasi IaC hanya berfungsi dengan project freestyle jenkins.

Sebelum memulai

Selesaikan tugas berikut untuk memulai validasi IaC dengan Jenkins.

Mengaktifkan paket Premium Security Command Center atau paket Enterprise

Pastikan paket Premium atau Enterprise Security Command Center diaktifkan di tingkat organisasi.

Mengaktifkan Security Command Center akan mengaktifkan API securityposture.googleapis.com dan securitycentermanagement.googleapis.com.

Membuat akun layanan

Buat akun layanan yang dapat Anda gunakan untuk plugin Google Analyze Code Security untuk Jenkins.

1. Create a service account:

   1. In the Google Cloud console, go to the Create service account page.

      Go to Create service account
   2. Select your project.

   3. In the Service account name field, enter a name. The Google Cloud console fills in the Service account ID field based on this name.

      In the Service account description field, enter a description. For example, Service account for quickstart.

   4. Click Create and continue.

   5. Grant the Security Posture Shift-Left Validator role to the service account.

      To grant the role, find the Select a role list, then select Security Posture Shift-Left Validator.

   6. Click Continue.

   7. Click Done to finish creating the service account.

      Do not close your browser window. You will use it in the next step.

2. Create a service account key:

   1. In the Google Cloud console, click the email address for the service account that you created.
   2. Click Keys.
   3. Click Add key, and then click Create new key.
   4. Click Create. A JSON key file is downloaded to your computer.
   5. Click Close.

Untuk mengetahui informasi selengkapnya tentang izin validasi IaC, lihat IAM untuk aktivasi tingkat organisasi.

Menentukan kebijakan Anda

Tentukan kebijakan organisasi dan detektor Security Health Analytics. Untuk menentukan kebijakan ini menggunakan postur keamanan, selesaikan tugas di Membuat dan men-deploy postur.

Menginstal dan mengonfigurasi plugin

1. Di konsol Jenkins, klik Manage Jenkins > Manage Plugins.
2. Di tab Tersedia, telusuri google-analyze-code-security.
3. Selesaikan langkah-langkah penginstalan.
4. Klik Manage Jenkins > Configure System.
5. Di bagian Google Analyze Code Security, klik Add credential.
6. Di Organization ID, masukkan ID organisasi untuk organisasi Google Cloud yang menyertakan resource Terraform yang ingin Anda buat atau ubah.
7. Di Kredensial Security Command Center, tambahkan kunci akun layanan.
8. Uji koneksi untuk memverifikasi kredensial akun layanan.
9. Klik Simpan.

Membuat file JSON rencana Terraform

1. Buat kode Terraform Anda. Untuk mengetahui petunjuknya, lihat Membuat kode Terraform.

2. Instal plugin Terraform untuk Jenkins.

3. Di konsol Jenkins, di project freestyle Jenkins, buka halaman Configuration.

4. Klik Source Code Management.

5. Di Repository URL, masukkan URL ke kode Terraform yang Anda buat.

6. Klik Build steps.

7. Tambahkan langkah-langkah berikut:

   1. Lakukan inisialisasi Terraform:

      terraform init
      

   2. Buat file rencana Terraform.

      terraform plan -out=TF_PLAN_FILE
      

      Ganti TF_PLAN_FILE dengan nama untuk file rencana Terraform. Contoh, myplan.tfplan.

   3. Konversikan file rencana Anda ke format JSON:

      terraform show -no-color -json TF_PLAN_FILE > TF_PLAN_JSON_FILE
      

      Ganti TF_PLAN_JSON_FILE dengan nama untuk file rencana Terraform, dalam format JSON. Contoh, mytfplan.json.

Menambahkan plugin ke project Jenkins

1. Di konsol Jenkins, di project freestyle Jenkins, buka halaman Configuration.
2. Di Build Steps, klik Add build step > Perform Code Scan during Build.
3. Masukkan ID organisasi Anda.
4. Berikan jalur ke file rencana Terraform Anda, dalam format JSON.

5. Opsional: Tetapkan kriteria kegagalan build. Kriteria kegagalan didasarkan pada jumlah masalah tingkat keparahan kritis, tinggi, sedang, dan rendah yang ditemukan oleh pemindaian validasi IaC. Anda dapat menentukan jumlah masalah dari setiap tingkat keparahan yang diizinkan dan cara masalah digabungkan (AND atau OR).

   1. Klik Gagal jika terjadi Pelanggaran Aset.

   2. Jika Anda ingin build gagal hanya jika jumlah masalah dari semua tingkat keparahan tercapai, pilih AND. Jika Anda ingin build gagal jika jumlah masalah dari tingkat keparahan apa pun tercapai, pilih ATAU. Misalnya, jika Anda ingin build gagal jika mengalami satu masalah kritis atau satu masalah dengan tingkat keparahan tinggi, tetapkan nilai gabungan ke ATAU.

   3. Tunjukkan jumlah masalah pada berbagai tingkat keparahan yang ingin Anda izinkan sebelum build gagal.

   Jika Anda tidak ingin menentukan kriteria kegagalan, pilih Abaikan Pelanggaran Aset.

6. Klik Simpan.

Sekarang Anda dapat menjalankan build untuk memvalidasi file rencana Terraform.

Melihat laporan pelanggaran IaC

1. Di konsol Jenkins, klik alur kerja terbaru untuk build Anda.

2. Klik Status. File HTML berikut tersedia sebagai artefak build:

   • Jika plugin berjalan, laporan pelanggaran (GoogleAnalyzeCodeSecurity_ViolationSummary.html)

   Laporan ini mengelompokkan pelanggaran berdasarkan tingkat keparahannya. Bagian pelanggaran menjelaskan aturan mana yang tidak terpenuhi dan ID aset dari rencana Terraform yang melanggar aturan.

   • Jika build gagal, laporan ringkasan error

3. Selesaikan pelanggaran apa pun dalam kode Terraform Anda sebelum menerapkannya.

Langkah selanjutnya

• Lihat plugin Google Analyze Code Security.