Mengintegrasikan validasi IaC dengan GitHub Actions

Anda dapat menggunakan tindakan Analyze Code Security untuk memvalidasi infrastructure as code (IaC) yang merupakan bagian dari alur kerja GitHub Actions Anda. Memvalidasi IaC memungkinkan Anda menentukan apakah definisi resource Terraform Anda melanggar kebijakan organisasi dan detektor Security Health Analytics yang ada yang diterapkan ke resource Anda. Google Cloud

Untuk mengetahui informasi selengkapnya tentang validasi IaC, lihat Memvalidasi IaC terhadap kebijakan organisasi Google Cloud .

Sebelum memulai

Selesaikan tugas ini untuk mulai menggunakan validasi IaC dengan GitHub Actions.

Mengaktifkan Paket Premium atau Paket Enterprise Security Command Center

Pastikan paket Premium atau Enterprise Security Command Center diaktifkan di tingkat organisasi.

Mengaktifkan Security Command Center akan mengaktifkan API securityposture.googleapis.com dan securitycentermanagement.googleapis.com.

Membuat akun layanan

Buat akun layanan yang dapat Anda gunakan untuk tindakan Analyze Code Security.

    Pastikan Anda memiliki peran IAM Create Service Accounts (roles/iam.serviceAccountCreator) dan peran Project IAM Admin (roles/resourcemanager.projectIamAdmin). Pelajari cara memberikan peran.

  1. Di konsol Google Cloud , buka halaman Buat akun layanan.

    Buka Create service account
  2. Pilih project Anda.

  3. Di kolom Nama akun layanan, masukkan nama. Konsol Google Cloud akan mengisi kolom ID akun layanan berdasarkan nama ini.

    Di kolom Deskripsi akun layanan, masukkan sebuah deskripsi. Sebagai contoh, Service account for quickstart.

  4. Klik Create and continue.

  5. Berikan peran Security Posture Shift-Left Validator ke akun layanan.

    Untuk memberikan peran, temukan daftar Pilih peran, lalu pilih Security Posture Shift-Left Validator.

  6. Klik Lanjutkan.

  7. Klik Selesai untuk menyelesaikan pembuatan akun layanan.

Untuk mengetahui informasi selengkapnya tentang izin validasi IaC, lihat IAM untuk aktivasi tingkat organisasi.

Menyiapkan autentikasi

  1. Konfigurasi Workload Identity Federation dengan penyedia identitas GitHub Anda. Untuk mendapatkan petunjuk, lihat Workload Identity Federation.

  2. Dapatkan URL untuk token ID Workload Identity Federation Anda. Misalnya, https://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID.

    Pertimbangkan hal berikut:

    • PROJECT_NUMBER adalah nomor project untuk projectGoogle Cloud tempat Anda menyiapkan Workload Identity Federation.
    • POOL_ID adalah nama pool.
    • PROVIDER_ID adalah nama penyedia identitas Anda.

  3. Tambahkan Authenticate to Google Cloud action ke alur kerja Anda untuk mengautentikasi tindakan validasi IaC.

Menentukan kebijakan Anda

Tentukan kebijakan organisasi dan detektor Security Health Analytics. Untuk menentukan kebijakan ini menggunakan postur keamanan, selesaikan tugas di Membuat dan men-deploy postur.

Buat file JSON rencana Terraform Anda

  1. Buat kode Terraform Anda. Untuk mengetahui petunjuknya, lihat Membuat kode Terraform.

  2. Di GitHub Actions, lakukan inisialisasi Terraform. Misalnya, jika Anda menggunakan HashiCorp - Setup Terraform action, jalankan perintah berikut:

    - name: Terraform Init
  id: init
  run: terraform init

  3. Buat file rencana Terraform:

    - name: Create Terraform Plan
  id: plan
  run: terraform plan -out=TF_PLAN_FILE

    Ganti TF_PLAN_FILE dengan nama untuk file rencana Terraform. Contoh, myplan.tfplan.

  4. Konversikan file rencana Anda ke dalam format JSON:

    - name: Convert Terraform Plan to JSON
  id: convert
  run: terraform show -no-color -json TF_PLAN_FILE > TF_PLAN_JSON_FILE

    Ganti TF_PLAN_JSON_FILE dengan nama untuk file rencana Terraform, dalam format JSON. Contoh, mytfplan.json.

Menambahkan tindakan ke alur kerja GitHub Actions Anda

  1. Di repositori GitHub, buka alur kerja Anda.
  2. Buka editor alur kerja.
  3. Di sidebar GitHub Marketplace, telusuri Analyze Code Security.
  4. Di bagian Penginstalan, salin sintaksisnya.
  5. Tempelkan sintaksis sebagai langkah baru ke dalam alur kerja Anda.

  6. Ganti nilai berikut:

    • workload_identity_provider dengan link ke URL untuk token ID Workload Identity Federation Anda.
    • service_account dengan alamat email akun layanan yang Anda buat untuk tindakan tersebut.
    • organization_id dengan ID organisasi Google Cloud Anda.
    • scan_file_ref dengan jalur ke file rencana Terraform Anda, dalam format JSON.
    • failure_criteria dengan kriteria batas kegagalan yang menentukan kapan tindakan gagal. Kriteria nilai minimum didasarkan pada jumlah masalah tingkat keseriusan kritis, tinggi, sedang, dan rendah yang ditemukan oleh pemindaian validasi IaC. failure_criteria menentukan jumlah masalah dengan setiap tingkat keparahan yang diizinkan dan cara masalah diagregasi (baik AND maupun OR). Misalnya, jika Anda ingin tindakan gagal jika menemukan satu masalah kritis atau satu masalah dengan tingkat keparahan tinggi, tetapkan failure_criteria ke Critical:1,High:1,Operator:OR. Defaultnya adalah Critical:1,High:1,Medium:1,Low:1,Operator:OR, yang berarti bahwa jika pemindaian validasi IaC menemukan masalah, tindakan harus gagal.

Sekarang Anda dapat menjalankan alur kerja untuk memvalidasi file rencana Terraform. Untuk menjalankan alur kerja secara manual, lihat Menjalankan alur kerja secara manual.

Melihat laporan pelanggaran IaC

  1. Di repositori GitHub Anda, klik Actions, lalu pilih alur kerja Anda.

  2. Klik eksekusi terbaru untuk alur kerja Anda.

    Di bagian Artefak, laporan pelanggaran (ias-scan-sarif.json) tersedia dalam file zip. Laporan ini mencakup kolom berikut:

    • Kolom rules yang menjelaskan kebijakan mana yang dilanggar oleh rencana Terraform. Setiap aturan menyertakan ruleID yang dapat Anda cocokkan dengan hasil yang disertakan dalam laporan.
    • Kolom results yang menjelaskan usulan modifikasi aset yang melanggar aturan tertentu.

  3. Selesaikan pelanggaran apa pun dalam kode Terraform Anda sebelum menerapkannya.

Langkah berikutnya