Valider votre IaC par rapport aux règles de votre organisation Google Cloud

Ce document explique comment valider votre Infrastructure as Code (IaC) vis-à-vis des règles d'administration et des détecteurs Security Health Analytics que vous avez définis dans votre organisation Google Cloud. L'IaC vous permet de créer et de gérer vos ressources cloud à l'aide de langages tels que Terraform, de façon à pouvoir déployer les ressources à l'aide d'un workflow de développement. La fonctionnalité de validation IaC n'est compatible qu'avec les règles d'administration et les détecteurs Security Health Analytics.

La validation de votre IaC vous permet de déterminer si vos définitions de ressources nouvelles ou modifiées enfreignent les stratégies existantes qui s'appliquent à vos ressources Google Cloud (par exemple, un cluster, un bucket ou une instance). Vous pouvez définir ces règles à l'aide de stratégies de sécurité, mais la fonctionnalité de validation IaC analyse votre code par rapport à toutes les règles de votre organisation Google Cloud. La validation IaC aide vos développeurs à identifier et à résoudre les problèmes de sécurité dans la configuration IaC des éléments ou des ressources avant qu'ils ne soient appliqués à votre environnement Google Cloud.

La fonctionnalité de validation IaC est compatible avec les fichiers de plan Terraform. Vous pouvez valider votre plan Terraform à l'aide de Google Cloud CLI, ou intégrer le processus de validation à votre workflow de développement Jenkins ou GitHub Actions.

Avant de commencer

Effectuez ces tâches pour commencer à utiliser la validation IaC.

Activer le niveau Premium ou Enterprise de Security Command Center

Vérifiez que le niveau Premium ou Enterprise de Security Command Center est activé au niveau de l'organisation.

Configurer les autorisations

1. Assurez-vous que vous disposez du ou des rôles suivants au niveau de l'organisation : Security Posture Shift-Left Validator

   Vérifier les rôles

   1. Dans la console Google Cloud, accédez à la page IAM.

      Accéder à IAM
   2. Sélectionnez l'organisation.

   3. Dans la colonne Compte principal, recherchez la ligne qui contient votre adresse e-mail.

      Si votre adresse e-mail ne figure pas dans cette colonne, cela signifie que vous n'avez aucun rôle.

   4. Dans la colonne Rôle de la ligne contenant votre adresse e-mail, vérifiez si la liste des rôles inclut les rôles requis.

   Attribuer les rôles

   1. Dans la console Google Cloud, accédez à la page IAM.

      Accéder à IAM
   2. Sélectionnez l'organisation.
   3. Cliquez sur person_add Accorder l'accès.
   4. Dans le champ Nouveaux comptes principaux, saisissez votre adresse e-mail.
   5. Dans la liste Sélectinoner un rôle, sélectionnez un rôle.
   6. Pour attribuer des rôles supplémentaires, cliquez sur add Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
   7. Cliquez sur Enregistrer.

Pour en savoir plus sur les autorisations de validation IaC, consultez la page IAM pour les activations au niveau de l'organisation.

Configurer la Google Cloud CLI

Vous pouvez utiliser les exemples gcloud CLI de cette page dans l'un des environnements de développement suivants :

• Cloud Shell : pour utiliser un terminal en ligne avec gcloud CLI déjà configuré, activez Cloud Shell.

  En bas de cette page, une session Cloud Shell démarre et affiche une invite de ligne de commande. L'initialisation de la session peut prendre quelques secondes.

• Shell local : pour utiliser gcloud CLI dans un environnement de développement local, installez et initialisez gcloud CLI.

Pour configurer la gcloud CLI afin qu'elle utilise l'emprunt d'identité d'un compte de service pour s'authentifier auprès des Google APIs plutôt que d'utiliser vos identifiants utilisateur, exécutez la commande suivante :

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

Pour en savoir plus, consultez Emprunt d'identité d'un compte de service.

Activer les API

Activer les API Security posture service and Security Command Center management.

Activer les API

Définir vos règles

Définissez vos règles d'administration et vos détecteurs Security Health Analytics. Pour définir ces stratégies à l'aide d'une stratégie de sécurité, effectuez les tâches décrites dans la section Créer et déployer une stratégie.

Créer votre code Terraform

Utilisez vos outils et workflows de développement pour créer un fichier Terraform incluant les éléments Google Cloud que vous souhaitez créer ou modifier.

Réfléchissez aux éléments suivants :

• Renseignez l'attribut parent (projet, dossier ou organisation) de chaque ressource ou élément dans la configuration Terraform.
• Modifiez les éléments et les règles séparément. L'API n'accepte pas la validation des fichiers de plan Terraform qui modifient à la fois les éléments et les règles.
• Utilisez uniquement des types d'éléments et des règles compatibles. Pour obtenir la liste des types d'éléments et des règles compatibles, consultez la page Types d'éléments compatibles et règles pour la validation IaC.
• Consultez les limites de validation IaC.
• N'incluez pas d'informations sensibles telles que des mots de passe ou d'autres informations permettant d'identifier personnellement l'utilisateur dans votre fichier de plan Terraform. Si la fonctionnalité de validation rencontre des champs marqués comme sensibles dans les modifications de ressources, les champs sont supprimés.

Après avoir créé votre code Terraform, vous pouvez exécuter le rapport de validation IaC. Vous pouvez utiliser la Google Cloud CLI, Jenkins ou GitHub Actions.

Utiliser la Google Cloud CLI pour créer un rapport de validation IaC

Pour créer un rapport de validation IaC, procédez comme suit:

1. Dans la gcloud CLI, exécutez terraform init.

   Vérifiez que vous exécutez la version 5.5 ou ultérieure du fournisseur Terraform. Si nécessaire, effectuez une mise à niveau vers la dernière version du fournisseur Google:

   terraform init -upgrade
   

2. Convertissez le fichier de plan Terraform au format JSON:

   terraform plan -out TF_PLAN_FILENAME
   terraform show -json TF_PLAN_FILENAME > TF_PLAN_JSON_FILENAME.json
   

   Remplacez les éléments suivants :

   • TF_PLAN_FILENAME: nom du fichier de plan Terraform.
   • TF_PLAN_JSON_FILENAME: nom du fichier qui contiendra le plan Terraform au format JSON.

3. Créez le rapport de validation de l'IaC:

   gcloud scc iac-validation-reports create PARENT \
     --tf-plan-file=TF_PLAN_JSON_FILENAME
   

   Remplacez les éléments suivants :

   • PARENT: organisation Google Cloud dans laquelle créer le rapport de validation IaC. Le format est organizations/ORGANIZATION_ID/locations/LOCATION. LOCATION est global.
   • TF_PLAN_JSON_FILENAME: chemin d'accès au fichier JSON contenant le plan IaC que vous souhaitez valider.

   Par exemple, pour créer un rapport de validation IaC sous l'organisation organizations/3589215982/locations/global avec un plan IaC inclus dans planFile.json, exécutez la commande suivante:

   gcloud scc iac-validation-reports create organizations/3589215982/locations/global --tf-plan-file=planFile.json
   

   Cette commande renvoie les détails de l'opération pour créer le rapport de validation IAC. Pour en savoir plus sur l'opération, consultez la section Afficher les informations concernant une opération de déploiement de stratégie.

Étapes suivantes

• Consultez l'exemple de tutoriel.
• Intégrez la validation IaC à vos actions GitHub ou à votre projet Jenkins.
• Gérer votre stratégie de sécurité