Puoi scrivere una configurazione di compilazione che instruisca Cloud Build a convalidare l'infrastruttura come codice (IaC) che fa parte della tua build. La convalida dell'IaC ti consente di determinare se le definizioni delle risorse Terraform violano i criteri dell'organizzazione esistenti e i rilevatori di Security Health Analytics applicati alle risorse Google Cloud.
Per ulteriori informazioni sulla convalida dell'IaC, consulta Convalidare l'IaC in base ai criteri dell'organizzazione Google Cloud.
Prima di iniziare
Completa queste attività per iniziare a utilizzare la convalida IaC con Cloud Build.
Attiva il livello Premium o Enterprise di Security Command Center
Verifica che il livello Premium o Enterprise di Security Command Center sia attivato a livello di organizzazione.
L'attivazione di Security Command Center abilita le API securityposture.googleapis.com e
securitycentermanagement.googleapis.com.
Configurare le autorizzazioni
-
Make sure that you have the following role or roles on the organization:
- Security Posture Shift-Left Validator
- Log Writer
- Storage Writer
- Storage Reader
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
Vai a IAM - Seleziona l'organizzazione.
- Fai clic su Concedi accesso.
-
Nel campo Nuove entità, inserisci il tuo identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.
- Nell'elenco Seleziona un ruolo, seleziona un ruolo.
- Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
- Fai clic su Salva.
Per ulteriori informazioni sulle autorizzazioni di convalida IaC, consulta IAM per le attivazioni a livello di organizzazione.
Abilita l'API Cloud Build
-
Enable the Cloud Build API.
Definire i criteri
Definisci i criteri dell'organizzazione e i rivelatori di Security Health Analytics. Per definire questi criteri utilizzando una postura di sicurezza, completa le attività descritte in Creare e implementare una postura.
Crea il codice Terraform
Per le istruzioni, consulta Creare il codice Terraform.
Convalida l'IAC in Cloud Build
Aggiungi le seguenti attività al file
cloudbuild.yaml:Inizializza Terraform:
- name: hashicorp/terraform args: - '-c' - | terraform init \ -backend-config="bucket=STATE_BUCKET" \ -backend-config="prefix=REPOSITORY_NAME" \ dir: FOLDER id: Terraform Init entrypoint: shSostituisci quanto segue:
STATE_BUCKETcon il nome del bucket Cloud Storage in cui archiviare lo stato di TerraformREPOSITORY_NAMEcon il repository che ospita il tuo codice Terraform.FOLDERcon il nome della cartella in cui salvare gli elementi Terraform.
Crea un file del piano:
- name: hashicorp/terraform args: - '-c' - | terraform plan -out tf.plan dir: FOLDER id: Terraform Plan entrypoint: shConverti il file del piano in formato JSON:
- name: hashicorp/terraform args: - '-c' - | terraform show -json tf.plan > plan.json dir: FOLDER id: Terraform Show entrypoint: shCrea il report di convalida IaC:
- name: gcr.io/cloud-builders/gcloud args: - '-c' - | gcloud scc iac-validation-reports create \ organizations/ORGANIZATION_ID/locations/global --tf-plan-file=plan.json \ --format="json(response.iacValidationReport)" > IaCScanReport_$BUILD_ID.json dir: FOLDER id: Run IaC scan entrypoint: /bin/bashSostituisci
ORGANIZATION_IDcon l'ID della tua organizzazione.Se utilizzi Cloud Storage, carica il file dei risultati JSON in Cloud Storage:
- name: gcr.io/cloud-builders/gsutil args: - cp - IaCScanReport_$BUILD_ID.json - SCAN_RESULT_FILE_BUCKET dir: FOLDER id: Upload report fileSostituisci
SCAN_RESULT_FILE_BUCKETcon il bucket Cloud Storage in cui caricare il file dei risultati.Per visualizzare i risultati in formato SARIF:
Converti il file:
- name: golang args: - '-c' - | go run github.com/google/gcp-scc-iac-validation-utils/SARIFConverter@latest \ --inputFilePath=IaCScanReport_$BUILD_ID.json --outputFilePath=IaCScanReport_$BUILD_ID.sarif.json dir: FOLDER id: Convert to SARIF format entrypoint: /bin/bash(Facoltativo) Carica il file su Cloud Storage:
- name: gcr.io/cloud-builders/gsutil args: - cp - IaCScanReport_$BUILD_ID.sarif.json - SCAN_RESULT_FILE_BUCKET dir: FOLDER id: Upload report file
Convalida i risultati. Completa questo passaggio sul file JSON dei risultati che non hai convertito in formato SARIF:
- name: golang args: - '-c' - | go run github.com/google/gcp-scc-iac-validation-utils/ReportValidator@latest \ --inputFilePath=IaCScanReport_$BUILD_ID.json --failure_expression=FAILURE_CRITERIA dir: FOLDER id: Validate results entrypoint: /bin/bashSostituisci
FAILURE_CRITERIAcon i criteri della soglia di errore che determinano quando la compilazione non va a buon fine. I criteri di soglia si basano sul numero di problemi critici, di alta, media e bassa gravità rilevati dalla verifica della convalida IaC.FAILURE_CRITERIAspecifica il numero di problemi di ciascuna gravità consentiti e anche come vengono aggregati i problemi (ANDoOR). Ad esempio, se vuoi che la compilazione non vada a buon fine se viene rilevato un problema critico o un problema di gravità elevata, impostaFAILURE_CRITERIAsuCritical:1,High:1,Operator:OR. Il valore predefinito èCritical:1,High:1,Medium:1,Low:1,Operator:OR, il che significa che se la convalida IaC rileva una violazione di qualsiasi gravità, la compilazione deve non riuscire.Se la compilazione non riesce, risolvi eventuali violazioni nel codice Terraform.
Passaggi successivi
- Visualizza il report di convalida IaC in Cloud Storage.
- Esamina gli script di convalida IaC in GitHub.
- Esamina l'esempio
cloud.yaml.