Memvalidasi IaC berdasarkan kebijakan organisasi Google Cloud

Dokumen ini menjelaskan cara memvalidasi infrastruktur sebagai kode (IaC)terhadap kebijakan organisasi dan detektor Security Health Analytics yang telah Anda tetapkan di organisasi Google Cloud . IaC memungkinkan Anda membuat dan mengelola resource cloud menggunakan bahasa seperti Terraform sehingga Anda dapat men-deploy resource menggunakan alur kerja pengembangan. Fitur validasi IaC hanya mendukung kebijakan organisasi dan detektor Security Health Analytics.

Memvalidasi IaC memungkinkan Anda menentukan apakah definisi resource baru atau yang diubah melanggar kebijakan yang ada yang diterapkan ke resourceGoogle Cloud Anda (misalnya, cluster, bucket, atau instance). Anda dapat menentukan kebijakan ini menggunakan postur keamanan, tetapi fitur validasi IaC menganalisis kode dan membandingkan kode dengan kebijakan efektif yang ditetapkan dalam postur yang di-deploy di Google Cloud organisasi Anda. Validasi IaC membantu developer Anda mengidentifikasi dan memperbaiki masalah keamanan apa pun dalam konfigurasi IaC aset atau resource sebelum diterapkan ke lingkunganGoogle Cloud Anda.

Fitur validasi IaC mendukung file rencana Terraform. Anda dapat memvalidasi rencana Terraform menggunakan Google Cloud CLI, atau mengintegrasikan proses validasi ke dalam alur kerja developer Cloud Build, Jenkins, atau GitHub Actions.

Sebelum memulai

Selesaikan tugas berikut untuk mulai menggunakan validasi IaC.

Mengaktifkan paket Premium atau Enterprise Security Command Center

Pastikan paket Premium atau Enterprise Security Command Center diaktifkan di tingkat organisasi.

Mengaktifkan Security Command Center akan mengaktifkan API securityposture.googleapis.com dan securitycentermanagement.googleapis.com.

Siapkan izin

1. Make sure that you have the following role or roles on the organization: Security Posture Shift-Left Validator

   Check for the roles

   1. In the Google Cloud console, go to the IAM page.

      Go to IAM
   2. Select the organization.

   3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

   4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

   Grant the roles

   1. In the Google Cloud console, go to the IAM page.

      Buka IAM
   2. Pilih organisasi.
   3. Klik person_add Berikan akses.

   4. Di kolom Akun utama baru, masukkan ID pengguna Anda. Biasanya berupa alamat email untuk Akun Google.

   5. Di daftar Pilih peran, pilih peran.
   6. Untuk memberikan peran tambahan, klik add Tambahkan peran lain, lalu tambahkan setiap peran tambahan.
   7. Klik Simpan.

   Untuk mengetahui informasi selengkapnya tentang izin validasi IaC, lihat IAM untuk aktivasi tingkat organisasi.

   Menyiapkan Google Cloud CLI

   In the Google Cloud console, activate Cloud Shell.

   Activate Cloud Shell

   At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

   Untuk menyiapkan gcloud CLI agar menggunakan peniruan akun layanan untuk mengautentikasi ke Google API, alih-alih kredensial pengguna Anda, jalankan perintah berikut:

   gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

   Untuk informasi selengkapnya, lihat Peniruan akun layanan.

   Menentukan kebijakan Anda

   Tentukan kebijakan organisasi dan detektor Security Health Analytics. Untuk menentukan kebijakan ini menggunakan postur keamanan, selesaikan tugas di Membuat dan men-deploy postur.

   Buat kode Terraform Anda

   Gunakan alur kerja dan alat developer Anda untuk membuat file Terraform yang menyertakan aset Google Cloud yang ingin Anda buat atau ubah.

   Pertimbangkan hal berikut:

   • Isi atribut induk (project, folder, atau organisasi) setiap resource atau aset dalam konfigurasi Terraform.
   • Ubah aset dan kebijakan secara terpisah. API tidak mendukung validasi file rencana Terraform yang mengubah aset dan kebijakan secara bersamaan.
   • Hanya gunakan jenis aset dan kebijakan yang didukung. Untuk mengetahui daftar jenis aset dan kebijakan yang didukung, lihat Jenis aset dan kebijakan yang didukung untuk validasi IaC.
   • Tinjau batasan untuk validasi IaC.
   • Jangan sertakan informasi sensitif seperti sandi atau informasi identitas pribadi lainnya dalam file rencana Terraform Anda. Jika fitur validasi menemukan kolom yang ditandai sebagai sensitif dalam perubahan resource, kolom tersebut akan dihapus.

   Setelah membuat kode Terraform, Anda dapat menjalankan laporan validasi IaC. Anda dapat menggunakan gcloud CLI, Cloud Build, Jenkins, atau GitHub Actions.

   Menggunakan Google Cloud CLI untuk membuat laporan validasi IaC

   Untuk membuat laporan validasi IaC, selesaikan langkah-langkah berikut:

   1. Di gcloud CLI, jalankan terraform init.

      Pastikan Anda menjalankan penyedia Terraform versi v5.5 atau yang lebih baru. Jika diperlukan, upgrade ke versi penyedia Google terbaru:

      terraform init -upgrade
      

   2. Konversikan file rencana Terraform ke format JSON:

      terraform plan -out TF_PLAN_FILENAME
      terraform show -json TF_PLAN_FILENAME > TF_PLAN_JSON_FILENAME.json
      

      Ganti kode berikut:

      • TF_PLAN_FILENAME: Nama untuk file rencana Terraform.
      • TF_PLAN_JSON_FILENAME: Nama file yang akan berisi rencana Terraform dalam format JSON.

   3. Buat laporan validasi IaC:

      gcloud scc iac-validation-reports create PARENT \
        --tf-plan-file=TF_PLAN_JSON_FILENAME.json
      

      Ganti kode berikut:

      • PARENT: Organisasi Google Cloud tempat laporan Validasi IaC akan dibuat. Formatnya adalah organizations/ORGANIZATION_ID/locations/LOCATION. LOCATION adalah global.
      • TF_PLAN_JSON_FILENAME: Jalur ke file JSON yang berisi rencana IaC yang ingin Anda validasi.

      Misalnya, untuk membuat laporan validasi IaC di organisasi organizations/3589215982/locations/global dengan rencana IaC yang disertakan dalam planFile.json, jalankan perintah berikut:

      gcloud scc iac-validation-reports create organizations/3589215982/locations/global --tf-plan-file=planFile.json
      

      Perintah ini menampilkan detail operasi untuk membuat laporan validasi IAC. Untuk mendapatkan informasi tentang operasi, lihat Melihat informasi tentang operasi deployment postur.

   Langkah berikutnya

   • Tinjau contoh tutorial.
   • Integrasikan validasi IaC dengan alur kerja Cloud Build Anda.
   • Integrasikan validasi IaC dengan GitHub Actions atau project Jenkins Anda.
   • Mengelola postur keamanan Anda.