Ce document explique comment valider votre infrastructure en tant que code par rapport aux règles de l'organisation et aux détecteurs Security Health Analytics que vous avez définis dans votre organisation Google Cloud. L'IaC vous permet de créer et de gérer vos ressources cloud à l'aide de langages tels que Terraform afin de pouvoir les déployer à l'aide d'un workflow de développement. La fonctionnalité de validation de la gestion des configurations ne prend en charge que les règles d'administration et les détecteurs Security Health Analytics.
Valider votre IaC vous permet de déterminer si vos définitions de ressources nouvelles ou modifiées enfreignent les règles existantes appliquées à vos ressources Google Cloud (par exemple, un cluster, un bucket ou une instance). Vous pouvez définir ces règles à l'aide de postures de sécurité, mais la fonctionnalité de validation de l'IaC analyse votre code par rapport à toutes les règles de votre organisation Google Cloud. La validation de l'IaC aide vos développeurs à identifier et à corriger les problèmes de sécurité dans la configuration de l'IaC des ressources ou des composants avant qu'ils ne soient appliqués à votre environnement Google Cloud.
La fonctionnalité de validation IaC est compatible avec les fichiers de plan Terraform. Vous pouvez valider votre plan Terraform à l'aide de Google Cloud CLI ou intégrer le processus de validation à votre workflow de développement Cloud Build, Jenkins ou GitHub Actions.
Avant de commencer
Effectuez ces tâches pour commencer à utiliser la validation de l'IaC.
Activer le niveau Premium ou Enterprise de Security Command Center
Vérifiez que le niveau Premium ou Enterprise de Security Command Center est activé au niveau de l'organisation.
L'activation de Security Command Center active les API securityposture.googleapis.com
et securitycentermanagement.googleapis.com
.
Configurer les autorisations
-
Make sure that you have the following role or roles on the organization: Security Posture Shift-Left Validator
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
Accéder à IAM - Sélectionnez l'organisation.
- Cliquez sur Accorder l'accès.
-
Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.
- Dans la liste Sélectionner un rôle, sélectionnez un rôle.
- Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
- Cliquez sur Enregistrer.
Pour en savoir plus sur les autorisations de validation IaC, consultez la section IAM pour les activations au niveau de l'organisation.
Configurer Google Cloud CLI
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Pour configurer la gcloud CLI afin qu'elle utilise l'emprunt d'identité d'un compte de service pour s'authentifier auprès des Google APIs plutôt que d'utiliser vos identifiants utilisateur, exécutez la commande suivante :
gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL
Pour en savoir plus, consultez Emprunt d'identité d'un compte de service.
Définir vos règles
Définissez vos règles d'administration et vos détecteurs Security Health Analytics. Pour définir ces règles à l'aide d'une posture de sécurité, effectuez les tâches décrites dans la section Créer et déployer une posture.
Créer votre code Terraform
Utilisez vos workflows et outils de développement pour créer un fichier Terraform qui inclut les composants Google Cloud que vous souhaitez créer ou modifier.
Réfléchissez aux éléments suivants :
- Renseignez l'attribut parent (le projet, le dossier ou l'organisation) de chaque ressource ou composant de la configuration Terraform.
- Modifiez les composants et les règles séparément. L'API n'est pas compatible avec la validation des fichiers de plan Terraform qui modifient à la fois les composants et les règles.
- N'utilisez que les types de composants et les règles compatibles. Pour obtenir la liste des types et des règles d'éléments compatibles, consultez la section Types et règles d'éléments compatibles pour la validation IaC.
- Consultez les limites de la validation IaC.
- N'incluez pas d'informations sensibles telles que des mots de passe ou d'autres informations permettant d'identifier personnellement l'utilisateur dans votre fichier de plan Terraform. Si la fonctionnalité de validation rencontre des champs marqués comme sensibles dans les modifications de ressources, les champs sont supprimés.
Une fois votre code Terraform créé, vous pouvez exécuter le rapport de validation de l'IaC. Vous pouvez utiliser gcloud CLI, Cloud Build, Jenkins ou GitHub Actions.
Créer un rapport de validation de l'IaC à l'aide de Google Cloud CLI
Pour créer un rapport de validation de l'IaC, procédez comme suit:
Dans gcloud CLI, exécutez
terraform init
.Vérifiez que vous exécutez la version 5.5 ou ultérieure du fournisseur Terraform. Si nécessaire, passez à la dernière version du fournisseur Google:
terraform init -upgrade
Convertissez le fichier de plan Terraform au format JSON:
terraform plan -out TF_PLAN_FILENAME terraform show -json TF_PLAN_FILENAME > TF_PLAN_JSON_FILENAME.json
Remplacez les éléments suivants :
TF_PLAN_FILENAME
: nom du fichier de plan Terraform.TF_PLAN_JSON_FILENAME
: nom du fichier qui contiendra le plan Terraform au format JSON.
Créez le rapport de validation de l'IaC:
gcloud scc iac-validation-reports create PARENT \ --tf-plan-file=TF_PLAN_JSON_FILENAME.json
Remplacez les éléments suivants :
PARENT
: organisation Google Cloud dans laquelle créer le rapport de validation de l'IaC. Il a le format suivant :organizations/ORGANIZATION_ID/locations/LOCATION
.LOCATION
indiqueglobal
.TF_PLAN_JSON_FILENAME
: chemin d'accès au fichier JSON contenant le plan d'intégration continue que vous souhaitez valider.
Par exemple, pour créer un rapport de validation de l'intégration continue dans l'organisation
organizations/3589215982/locations/global
avec un plan d'intégration continue inclus dansplanFile.json
, exécutez la commande suivante:gcloud scc iac-validation-reports create organizations/3589215982/locations/global --tf-plan-file=planFile.json
Cette commande renvoie les détails de l'opération pour créer le rapport de validation de l'IAC. Pour en savoir plus sur l'opération, consultez la section Afficher des informations sur une opération de déploiement de la posture.
Étape suivante
- Consultez l'exemple de tutoriel.
- Intégrez la validation IaC à votre workflow Cloud Build.
- Intégrez la validation de l'IaC à vos actions GitHub ou à votre projet Jenkins.
- Gérez votre stratégie de sécurité.
-