Puedes escribir una configuración de compilación le indica a Cloud Build que valide la infraestructura como código (IaC). que es parte de tu compilación. La validación de la IaC te permite determinar si tu Las definiciones de recursos de Terraform infringen las políticas y Detectores de Security Health Analytics que se aplican a tus recursos de Google Cloud.
Para obtener más información sobre la validación de la IaC, consulta Valida la IaC con las políticas de la organización de Google Cloud.
Antes de comenzar
Completa estas tareas para comenzar a usar la validación de la IaC con Cloud Build.
Activa el nivel Premium o Enterprise de Security Command Center
Verifica que el elemento Nivel Premium o Enterprise de Security Command Center se activa a nivel de la organización.
La activación de Security Command Center habilita el securityposture.googleapis.com y
APIs de securitycentermanagement.googleapis.com.
Configura los permisos
-
Make sure that you have the following role or roles on the organization:
- Security Posture Shift-Left Validator
- Log Writer
- Storage Writer
- Storage Reader
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
Ir a IAM - Selecciona la organización.
- Haz clic en Grant access.
-
En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.
- En la lista Seleccionar un rol, elige un rol.
- Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
- Haz clic en Guardar.
Para obtener más información sobre los permisos de validación de IaC, consulta IAM para las activaciones a nivel de la organización.
Habilita la API de Cloud Build
-
Enable the Cloud Build API.
Define tus políticas
Define tu políticas de la organización y Detectores de Security Health Analytics. Para definir estas políticas con una postura de seguridad, completa las tareas de Crea e implementa una postura.
Crea tu código de Terraform
Para obtener instrucciones, consulta Crea tu código de Terraform.
Valida tu IAC en Cloud Build
Agrega las siguientes tareas a tu archivo
cloudbuild.yaml:Inicializa Terraform mediante este comando:
- name: hashicorp/terraform args: - '-c' - | terraform init \ -backend-config="bucket=STATE_BUCKET" \ -backend-config="prefix=REPOSITORY_NAME" \ dir: FOLDER id: Terraform Init entrypoint: shReemplaza lo siguiente:
STATE_BUCKETpor el nombre del bucket de Cloud Storage para almacenar el estado de Terraform enREPOSITORY_NAMEpor el repositorio que aloja tu el código de Terraform.FOLDERpor el nombre de la carpeta en la que se guardará el archivo de configuración artefactos.
Crea un archivo del plan:
- name: hashicorp/terraform args: - '-c' - | terraform plan -out tf.plan dir: FOLDER id: Terraform Plan entrypoint: shConvierte el archivo del plan al formato JSON:
- name: hashicorp/terraform args: - '-c' - | terraform show -json tf.plan > plan.json dir: FOLDER id: Terraform Show entrypoint: shCrea el informe de validación de IaC:
- name: gcr.io/cloud-builders/gcloud args: - '-c' - | gcloud scc iac-validation-reports create \ organizations/ORGANIZATION_ID/locations/global --tf-plan-file=plan.json \ --format="json(response.iacValidationReport)" > IaCScanReport_$BUILD_ID.json dir: FOLDER id: Run IaC scan entrypoint: /bin/bashReemplaza
ORGANIZATION_IDpor el ID de tu organización.Si usas Cloud Storage, sube el archivo de resultados JSON a Cloud Storage:
- name: gcr.io/cloud-builders/gsutil args: - cp - IaCScanReport_$BUILD_ID.json - SCAN_RESULT_FILE_BUCKET dir: FOLDER id: Upload report fileReemplaza
SCAN_RESULT_FILE_BUCKETpor el El bucket de Cloud Storage al que se subirá el archivo de resultados.Para ver los resultados en formato SARIF, completa lo siguiente:
Convierte el archivo:
- name: golang args: - '-c' - | go run github.com/google/gcp-scc-iac-validation-utils/SARIFConverter@latest \ --inputFilePath=IaCScanReport_$BUILD_ID.json --outputFilePath=IaCScanReport_$BUILD_ID.sarif.json dir: FOLDER id: Convert to SARIF format entrypoint: /bin/bashSube el archivo a Cloud Storage (opcional):
- name: gcr.io/cloud-builders/gsutil args: - cp - IaCScanReport_$BUILD_ID.sarif.json - SCAN_RESULT_FILE_BUCKET dir: FOLDER id: Upload report file
Valida los resultados. Completa este paso en la resultados JSON que no hayas convertido al formato SARIF:
- name: golang args: - '-c' - | go run github.com/google/gcp-scc-iac-validation-utils/ReportValidator@latest \ --inputFilePath=IaCScanReport_$BUILD_ID.json --failure_expression=FAILURE_CRITERIA dir: FOLDER id: Validate results entrypoint: /bin/bashReemplaza
FAILURE_CRITERIApor el umbral de fallas. que determinan cuándo falla la compilación. El criterio de umbral es en función de la cantidad de problemas de gravedad crítica, alta, media y baja que que encuentra el análisis de validación de IaC.FAILURE_CRITERIAespecifica cuántos problemas de cada gravedad se permiten y especifica cómo se agregan los problemas (ANDoOR). Por ejemplo, si desean que la compilación falle si encuentra un problema crítico o un error grave, estableceFAILURE_CRITERIAenCritical:1,High:1,Operator:OREl valor predeterminado esCritical:1,High:1,Medium:1,Low:1,Operator:OR, lo que significa que, si la IaC de validación detecta una infracción de cualquier gravedad, la compilación debe fallar.Si la compilación falla, resuelve cualquier incumplimiento en tu código de Terraform.
¿Qué sigue?
- Consulta el informe de validación de la IaC en Cloud Storage.
- Revisa las secuencias de comandos de validación de la IaC en GitHub.
- Revisa la muestra de
cloud.yaml.