Convalida il tuo IaC in base ai criteri dell'organizzazione Google Cloud

Questo documento descrive come convalidare la tua infrastruttura come codice (IaC) rispetto a organizzazione norme e Security Health Analytics rilevatori che hai definito nella tua organizzazione Google Cloud. IaC consente di creare e gestire gestire le risorse cloud utilizzando linguaggi come Terraform, il deployment delle risorse usando un flusso di lavoro di sviluppo. La funzione di convalida IaC supporta solo i criteri dell'organizzazione e i rilevatori di Security Health Analytics.

La convalida di IaC ti consente di determinare se la risorsa nuova o modificata le definizioni violano le norme esistenti applicate ai tuoi Risorse Google Cloud (ad esempio cluster, bucket o istanza). Puoi definire questi criteri utilizzando le le posture, ma IaC di convalida analizza il codice in base a tutti i criteri presenti dell'organizzazione Google Cloud. Convalida IaC aiuta gli sviluppatori a identificare e risolvere eventuali problemi di sicurezza nell'IaC degli asset o delle risorse prima che vengano applicati ai tuoi nell'ambiente Google Cloud.

La funzionalità di convalida IaC supporta i file del piano Terraform. Puoi convalidare il tuo Piano Terraform utilizzando Google Cloud CLI oppure puoi integrare nel tuo sviluppatore di azioni Cloud Build, Jenkins o GitHub nel tuo flusso di lavoro.

Prima di iniziare

Completa queste attività per iniziare a utilizzare la convalida IaC.

Attiva il livello Premium o Enterprise di Security Command Center

Verifica che il livello Premium o Enterprise di Security Command Center viene attivato a livello di organizzazione.

L'attivazione di Security Command Center abilita securityposture.googleapis.com e securitycentermanagement.googleapis.com API.

Configurare le autorizzazioni

1. Make sure that you have the following role or roles on the organization: Security Posture Shift-Left Validator

   Check for the roles

   1. In the Google Cloud console, go to the IAM page.

      Go to IAM
   2. Select the organization.

   3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

   4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

   Grant the roles

   1. In the Google Cloud console, go to the IAM page.

      Vai a IAM
   2. Seleziona l'organizzazione.
   3. Fai clic su person_add Concedi l'accesso.

   4. Nel campo Nuove entità, inserisci l'identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.

   5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
   6. Per concedere altri ruoli, fai clic su add Aggiungi un altro ruolo e aggiungiamo ogni altro ruolo.
   7. Fai clic su Salva.

   Per ulteriori informazioni sulle autorizzazioni di convalida IaC, consulta IAM per livello di organizzazione attivazioni.

   Configura Google Cloud CLI

   In the Google Cloud console, activate Cloud Shell.

   Activate Cloud Shell

   At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

   Per configurare gcloud CLI in modo da utilizzare la rappresentazione degli account di servizio per l'autenticazione Le API di Google, invece delle credenziali utente, esegui il comando seguente:

   gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

   Per ulteriori informazioni, vedi Furto d'identità degli account di servizio.

   Definisci i criteri

   Definisci i criteri dell'organizzazione e i rilevatori di Security Health Analytics. Per definire utilizzando una strategia di sicurezza, completa le attività in Creare eseguire il deployment della postura.

   Crea il tuo codice Terraform

   Usa i flussi di lavoro e gli strumenti per sviluppatori per creare un file Terraform che includa gli asset Google Cloud che vuoi creare o modificare.

   Considera quanto segue:

   • Compila l'attributo padre (il progetto, la cartella o l'organizzazione) di ogni risorsa o asset nella configurazione di Terraform.
   • Modifica gli asset e le norme separatamente. La L'API non supporta la convalida dei file del piano Terraform che modificano entrambi asset e norme.
   • Utilizza solo tipi di asset e norme supportati. Per un elenco delle i tipi di risorse e le norme, consulta Tipi di asset supportati e norme per la convalida IaC.
   • Consulta le limitazioni per la convalida IaC.
   • Non includere informazioni sensibili come password o altri dati personali identificabili nel file del piano Terraform. Se la convalida rileva campi contrassegnati come sensibili nelle modifiche apportate alle risorse, campi vengono rimossi.

   Dopo aver creato il codice Terraform, puoi eseguire il report di convalida IaC. Tu puoi utilizzare gcloud CLI, Cloud Build, Jenkins o GitHub Azioni.

   Utilizza Google Cloud CLI per creare un report di convalida IaC

   Per creare un report di convalida IaC, completa quanto segue:

   1. In gcloud CLI, esegui terraform init.

      Verifica di eseguire il provider Terraform versione 5.5 o successiva. Se necessario, esegui l'upgrade alla versione più recente del provider Google:

      terraform init -upgrade
      

   2. Converti il file del piano Terraform in formato JSON:

      terraform plan -out TF_PLAN_FILENAME
      terraform show -json TF_PLAN_FILENAME > TF_PLAN_JSON_FILENAME.json
      

      Sostituisci quanto segue:

      • TF_PLAN_FILENAME: il nome di Terraform del piano di controllo.
      • TF_PLAN_JSON_FILENAME: il nome del file che conterrà il piano Terraform in formato JSON.

   3. Crea il report di convalida IaC:

      gcloud scc iac-validation-reports create PARENT \
        --tf-plan-file=TF_PLAN_JSON_FILENAME
      

      Sostituisci quanto segue:

      • PARENT: l'organizzazione Google Cloud in per creare il report Convalida IaC. Il formato è organizations/ORGANIZATION_ID/locations/LOCATION. LOCATION è global.
      • TF_PLAN_JSON_FILENAME: il percorso del file JSON contenente il piano IaC da convalidare.

      Ad esempio, per creare un report di convalida IaC nel organizations/3589215982/locations/global organizzazione con un piano IaC incluso in planFile.json, esegui questo comando:

      gcloud scc iac-validation-reports create organizations/3589215982/locations/global --tf-plan-file=planFile.json
      

      Questo comando restituisce i dettagli dell'operazione per la creazione della convalida IAC report. Per ottenere informazioni sull'operazione, consulta Visualizza le informazioni su un'operazione di deployment della postura.

   Passaggi successivi

   • Guarda il tutorial di esempio.
   • Integra la convalida IaC con il flusso di lavoro di Cloud Build.
   • Integra la convalida IaC con le azioni GitHub o con il progetto Jenkins.
   • Gestisci la security posture.