Mengintegrasikan validasi IaC dengan Jenkins

Anda dapat menggunakan plugin Google Analyze Code Security untuk Jenkins guna memvalidasi Infrastructure as Code (IaC) yang merupakan bagian dari project Jenkins Anda. Memvalidasi IaC memungkinkan Anda menentukan apakah definisi resource Terraform Anda melanggar kebijakan organisasi dan detektor Security Health Analytics yang ada yang diterapkan ke resource Anda. Google Cloud

Untuk mengetahui informasi selengkapnya tentang validasi IaC, lihat Memvalidasi IaC terhadap kebijakan organisasi Anda. Google Cloud

Validasi IaC hanya berfungsi dengan project freestyle Jenkins.

Sebelum memulai

Selesaikan tugas berikut untuk mulai menggunakan validasi IaC dengan Jenkins.

Mengaktifkan paket Premium atau Enterprise Security Command Center

Pastikan paket Premium atau Enterprise Security Command Center diaktifkan di tingkat organisasi.

Mengaktifkan Security Command Center akan mengaktifkan API securityposture.googleapis.com dan securitycentermanagement.googleapis.com.

Membuat akun layanan

Buat akun layanan yang dapat Anda gunakan untuk plugin Google Analyze Code Security untuk Jenkins.

  1. Create a service account:

    1. In the Google Cloud console, go to the Create service account page.

      Go to Create service account
    2. Select your project.

    3. In the Service account name field, enter a name. The Google Cloud console fills in the Service account ID field based on this name.

      In the Service account description field, enter a description. For example, Service account for quickstart.

    4. Click Create and continue.

    5. Grant the Security Posture Shift-Left Validator role to the service account.

      To grant the role, find the Select a role list, then select Security Posture Shift-Left Validator.

    6. Click Continue.

    7. Click Done to finish creating the service account.

      Do not close your browser window. You will use it in the next step.

  2. Create a service account key:

    1. In the Google Cloud console, click the email address for the service account that you created.
    2. Click Keys.
    3. Click Add key, and then click Create new key.
    4. Click Create. A JSON key file is downloaded to your computer.
    5. Click Close.

Untuk mengetahui informasi selengkapnya tentang izin validasi IaC, lihat IAM untuk aktivasi tingkat organisasi.

Menentukan kebijakan Anda

Tentukan kebijakan organisasi dan detektor Security Health Analytics. Untuk menentukan kebijakan ini menggunakan postur keamanan, selesaikan tugas di Membuat dan men-deploy postur.

Menginstal dan mengonfigurasi plug-in

  1. Di konsol Jenkins, klik Manage Jenkins > Manage Plugins.
  2. Di tab Tersedia, telusuri google-analyze-code-security.
  3. Selesaikan langkah-langkah penginstalan.
  4. Klik Manage Jenkins > Configure System.
  5. Di bagian Google Analyze Code Security, klik Add credential.
  6. Di Organization ID, masukkan ID organisasi untuk organisasi Google Cloud yang mencakup resource Terraform yang ingin Anda buat atau ubah.
  7. Di Kredensial Security Command Center, tambahkan kunci akun layanan.
  8. Uji koneksi untuk memverifikasi kredensial akun layanan.
  9. Klik Simpan.

Membuat file JSON rencana Terraform

  1. Buat kode Terraform Anda. Untuk mengetahui petunjuknya, lihat Membuat kode Terraform.

  2. Instal plugin Terraform untuk Jenkins.

  3. Di konsol Jenkins, di project freestyle Jenkins Anda, buka halaman Configuration.

  4. Klik Source Code Management.

  5. Di Repository URL, masukkan URL ke kode Terraform yang Anda buat.

  6. Klik Build steps.

  7. Tambahkan langkah-langkah berikut:

    1. Lakukan inisialisasi Terraform:

      terraform init

    2. Buat file rencana Terraform.

      terraform plan -out=TF_PLAN_FILE

      Ganti TF_PLAN_FILE dengan nama untuk file rencana Terraform. Contoh, myplan.tfplan.

    3. Konversikan file rencana Anda ke dalam format JSON:

      terraform show -no-color -json TF_PLAN_FILE > TF_PLAN_JSON_FILE

      Ganti TF_PLAN_JSON_FILE dengan nama untuk file rencana Terraform, dalam format JSON. Contoh, mytfplan.json.

Menambahkan plug-in ke project Jenkins Anda

  1. Di konsol Jenkins, di project freestyle Jenkins Anda, buka halaman Configuration.
  2. Di Build Steps, klik Add build step > Perform Code Scan during Build.
  3. Masukkan ID organisasi Anda.
  4. Berikan jalur ke file rencana Terraform Anda, dalam format JSON.

  5. Opsional: Tetapkan kriteria kegagalan build. Kriteria kegagalan didasarkan pada jumlah masalah tingkat keseriusan kritis, tinggi, sedang, dan rendah yang ditemukan oleh pemindaian validasi IaC. Anda dapat menentukan jumlah masalah dengan setiap tingkat keparahan yang diizinkan dan cara masalah diagregasi (baik AND atau OR).

    1. Klik Fail on Asset Violation.

    2. Jika Anda ingin build gagal hanya jika jumlah masalah dari semua tingkat keparahan tercapai, pilih AND. Jika Anda ingin build gagal jika jumlah masalah dari tingkat keparahan apa pun tercapai, pilih OR. Misalnya, jika Anda ingin build gagal jika menemukan satu masalah kritis atau satu masalah dengan tingkat keparahan tinggi, tetapkan nilai gabungan ke OR.

    3. Menunjukkan jumlah masalah pada berbagai tingkat keparahan yang ingin Anda izinkan sebelum build gagal.

    Jika Anda tidak ingin menentukan kriteria kegagalan, pilih Abaikan Pelanggaran Aset.

  6. Klik Simpan.

Sekarang Anda dapat menjalankan build untuk memvalidasi file rencana Terraform.

Melihat laporan pelanggaran IaC

  1. Di konsol Jenkins, klik alur kerja terbaru untuk build Anda.

  2. Klik Status. File HTML berikut tersedia sebagai artefak build:

    • Jika plugin berjalan, laporan pelanggaran (GoogleAnalyzeCodeSecurity_ViolationSummary.html)

    Laporan mengelompokkan pelanggaran berdasarkan tingkat keseriusan. Bagian pelanggaran menjelaskan aturan yang tidak dipenuhi dan ID aset dari rencana Terraform yang melanggar aturan tersebut.

    • Jika build gagal, laporan ringkasan error

  3. Selesaikan pelanggaran apa pun dalam kode Terraform Anda sebelum menerapkannya.

Langkah berikutnya