Mengintegrasikan validasi IaC dengan GitHub Actions

Anda dapat menggunakan tindakan Analyze Code Security untuk memvalidasi infrastruktur sebagai kode (IaC) yang merupakan bagian dari alur kerja GitHub Actions Anda. Memvalidasi IaC memungkinkan Anda menentukan apakah definisi resource Terraform Anda melanggar kebijakan organisasi dan detektor Security Health Analytics yang ada yang diterapkan ke resource Google Cloud Anda.

Untuk mengetahui informasi selengkapnya tentang validasi IaC, lihat Memvalidasi IaC terhadap kebijakan organisasi Anda. Google Cloud

Sebelum memulai

Selesaikan tugas berikut untuk mulai menggunakan validasi IaC dengan GitHub Actions.

Mengaktifkan paket Premium atau Enterprise Security Command Center

Pastikan paket Premium atau Enterprise Security Command Center diaktifkan di tingkat organisasi.

Mengaktifkan Security Command Center akan mengaktifkan API securityposture.googleapis.com dan securitycentermanagement.googleapis.com.

Membuat akun layanan

Buat akun layanan yang dapat Anda gunakan untuk tindakan Analisis Keamanan Kode.

  1. In the Google Cloud console, go to the Create service account page.

    Go to Create service account
  2. Select your project.

  3. In the Service account name field, enter a name. The Google Cloud console fills in the Service account ID field based on this name.

    In the Service account description field, enter a description. For example, Service account for quickstart.

  4. Click Create and continue.

  5. Grant the Security Posture Shift-Left Validator role to the service account.

    To grant the role, find the Select a role list, then select Security Posture Shift-Left Validator.

  6. Click Continue.

  7. Click Done to finish creating the service account.

Untuk mengetahui informasi selengkapnya tentang izin validasi IaC, lihat IAM untuk aktivasi tingkat organisasi.

Menyiapkan autentikasi

  1. Konfigurasi Workload Identity Federation dengan penyedia identitas GitHub Anda. Untuk mendapatkan petunjuk, lihat Workload Identity Federation.

  2. Dapatkan URL untuk token ID Workload Identity Federation Anda. Misalnya, https://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID.

    Pertimbangkan hal berikut:

    • PROJECT_NUMBER adalah nomor project untuk projectGoogle Cloud tempat Anda menyiapkan Workload Identity Federation.
    • POOL_ID adalah nama pool.
    • PROVIDER_ID adalah nama penyedia identitas Anda.

  3. Tambahkan Authenticate to Google Cloud action ke alur kerja Anda untuk mengautentikasi tindakan validasi IaC.

Menentukan kebijakan Anda

Tentukan kebijakan organisasi dan detektor Security Health Analytics. Untuk menentukan kebijakan ini menggunakan postur keamanan, selesaikan tugas di Membuat dan men-deploy postur.

Membuat file JSON rencana Terraform

  1. Buat kode Terraform Anda. Untuk mengetahui petunjuknya, lihat Membuat kode Terraform.

  2. Di GitHub Actions, lakukan inisialisasi Terraform. Misalnya, jika Anda menggunakan tindakan HashiCorp - Setup Terraform, jalankan perintah berikut:

    - name: Terraform Init
  id: init
  run: terraform init

  3. Buat file rencana Terraform:

    - name: Create Terraform Plan
  id: plan
  run: terraform plan -out=TF_PLAN_FILE

    Ganti TF_PLAN_FILE dengan nama untuk file rencana Terraform. Contoh, myplan.tfplan.

  4. Konversikan file rencana Anda ke dalam format JSON:

    - name: Convert Terraform Plan to JSON
  id: convert
  run: terraform show -no-color -json TF_PLAN_FILE > TF_PLAN_JSON_FILE

    Ganti TF_PLAN_JSON_FILE dengan nama untuk file rencana Terraform, dalam format JSON. Contoh, mytfplan.json.

Menambahkan tindakan ke alur kerja GitHub Actions Anda

  1. Di repositori GitHub, buka alur kerja Anda.
  2. Buka editor alur kerja.
  3. Di sidebar GitHub Marketplace, telusuri Analyze Code Security.
  4. Di bagian Penginstalan, salin sintaksisnya.
  5. Tempelkan sintaksis sebagai langkah baru ke dalam alur kerja Anda.

  6. Ganti nilai berikut:

    • workload_identity_provider dengan link ke URL untuk token ID Federasi Identitas Beban Kerja Anda.
    • service_account dengan alamat email akun layanan yang Anda buat untuk tindakan tersebut.
    • organization_id dengan ID organisasi Google Cloud Anda.
    • scan_file_ref dengan jalur ke file rencana Terraform Anda, dalam format JSON.
    • failure_criteria dengan kriteria batas kegagalan yang menentukan kapan tindakan gagal. Kriteria nilai minimum didasarkan pada jumlah masalah dengan tingkat keparahan kritis, tinggi, sedang, dan rendah yang ditemukan oleh pemindaian validasi IaC. failure_criteria menentukan jumlah masalah dengan setiap tingkat keparahan yang diizinkan dan cara masalah diagregasi (baik AND maupun OR). Misalnya, jika Anda ingin tindakan gagal jika menemukan satu masalah kritis atau satu masalah dengan tingkat keparahan tinggi, tetapkan failure_criteria ke Critical:1,High:1,Operator:OR. Defaultnya adalah Critical:1,High:1,Medium:1,Low:1,Operator:OR, yang berarti bahwa jika pemindaian validasi IaC menemukan masalah, tindakan harus gagal.

Sekarang Anda dapat menjalankan alur kerja untuk memvalidasi file rencana Terraform. Untuk menjalankan alur kerja secara manual, lihat Menjalankan alur kerja secara manual.

Melihat laporan pelanggaran IaC

  1. Di repositori GitHub Anda, klik Actions, lalu pilih alur kerja Anda.

  2. Klik eksekusi terbaru untuk alur kerja Anda.

    Di bagian Artefak, laporan pelanggaran (ias-scan-sarif.json) tersedia dalam file zip. Laporan ini mencakup kolom berikut:

    • Kolom rules yang menjelaskan kebijakan mana yang dilanggar oleh rencana Terraform. Setiap aturan menyertakan ruleID yang dapat Anda cocokkan dengan hasil yang disertakan dalam laporan.
    • Kolom results yang menjelaskan usulan modifikasi aset yang melanggar aturan tertentu.

  3. Selesaikan pelanggaran apa pun dalam kode Terraform Anda sebelum menerapkannya.

Langkah berikutnya