IaC-Validierung in Jenkins einbinden

Mit dem Google Analyze Code Security-Plug-in für Jenkins können Sie die Infrastruktur als Code (Infrastructure as Code, IaC) validieren, die Teil Ihres Jenkins-Projekts ist. Durch die Validierung von IaC können Sie feststellen, ob Ihre Terraform-Ressourcendefinitionen gegen die vorhandenen Organisationsrichtlinien und Security Health Analytics-Detektoren verstoßen, die auf Ihre Google Cloud Ressourcen angewendet werden.

Weitere Informationen zur IaC-Validierung finden Sie unter IaC anhand der Richtlinien Ihrer Google Cloud Organisation validieren.

Die IaC-Validierung funktioniert nur mit Jenkins-Freestyle- Projekten.

Hinweis

Führen Sie diese Aufgaben aus, um mit der IaC-Validierung mit Jenkins zu beginnen.

Security Command Center Premium oder Enterprise aktivieren

Prüfen Sie, ob das Security Command Center Premium- oder Enterprise-Tier auf Organisationsebene aktiviert ist.

Durch die Aktivierung von Security Command Center werden die APIs securityposture.googleapis.com und securitycentermanagement.googleapis.com aktiviert.

Dienstkonto erstellen

Erstellen Sie ein Dienstkonto, das Sie für das Google Analyze Code Security-Plug-in für Jenkins verwenden können.

    So erstellen Sie ein Dienstkonto:

    1. Sie benötigen die IAM-Rolle „Dienstkonten erstellen“ (roles/iam.serviceAccountCreator) und die IAM-Rolle „Projekt-IAM-Administrator“ (roles/resourcemanager.projectIamAdmin). Informationen zum Zuweisen von Rollen.

    2. Wechseln Sie in der Google Cloud Console zur Seite Dienstkonto erstellen.

      Zur Seite „Dienstkonto erstellen“
    3. Wählen Sie Ihr Projekt aus.

    4. Geben Sie im Feld Dienstkontoname einen Namen ein. Die Google Cloud Console füllt das Feld Dienstkonto-ID anhand dieses Namens aus.

      Geben Sie im Feld Dienstkontobeschreibung eine Beschreibung ein. Beispiel: Service account for quickstart.

    5. Klicken Sie auf Erstellen und fortfahren.

    6. Weisen Sie dem Dienstkonto die Rolle Security Posture Shift-Left Validator zu.

      Wenn Sie die Rolle zuweisen möchten, suchen Sie die Rolle auswählen-Liste und wählen Sie Security Posture Shift-Left Validator aus.

    7. Klicken Sie auf Weiter.

    8. Klicken Sie auf Fertig, um das Erstellen des Dienstkontos abzuschließen.

      Schließen Sie das Browserfenster nicht. Sie verwenden es in der nächsten Aufgabe.

    Erstellen Sie einen Dienstkontoschlüssel:

    1. Klicken Sie in der Google Cloud Console auf die E-Mail-Adresse des von Ihnen erstellten Dienstkontos.
    2. Klicken Sie auf Schlüssel.
    3. Klicken Sie auf Schlüssel hinzufügen und dann auf Neuen Schlüssel erstellen.
    4. Klicken Sie auf Erstellen. Daraufhin wird eine JSON-Schlüsseldatei auf Ihren Computer heruntergeladen.
    5. Klicken Sie auf Schließen.

Weitere Informationen zu Berechtigungen für die IaC-Validierung finden Sie unter IAM für Aktivierungen auf Organisationsebene.

Richtlinien definieren

Definieren Sie Ihre Organisationsrichtlinien und Security Health Analytics-Detektoren. Wenn Sie diese Richtlinien mit einer Sicherheitskonfiguration definieren möchten, führen Sie die Aufgaben unter Sicherheitskonfiguration erstellen und bereitstellen aus.

Plug-in installieren und konfigurieren

  1. Klicken Sie in der Jenkins-Console auf Manage Jenkins > Manage Plugins.
  2. Suchen Sie auf dem Tab Available nach google-analyze-code-security.
  3. Führen Sie die Installationsschritte aus.
  4. Klicken Sie auf Manage Jenkins > Configure System.
  5. Klicken Sie im Bereich Google Analyze Code Security auf Add credential.
  6. Geben Sie unter Organization ID die Organisations-ID für die Google Cloud Organisation ein, die die Terraform-Ressourcen enthält, die Sie erstellen oder ändern möchten.
  7. Fügen Sie unter Security Command Center Credential den Dienstkontoschlüssel hinzu.
  8. Testen Sie die Verbindung, um die Anmeldedaten des Dienstkontos zu prüfen.
  9. Klicken Sie auf Speichern.

JSON-Datei für den Terraform-Plan erstellen

  1. Erstellen Sie Ihren Terraform-Code. Eine Anleitung finden Sie unter Terraform-Code erstellen.

  2. Installieren Sie das Terraform-Plug-in für Jenkins.

  3. Rufen Sie in der Jenkins-Console in Ihrem Jenkins-Freestyle-Projekt die Seite Configuration auf.

  4. Klicken Sie auf Source Code Management.

  5. Geben Sie unter Repository URL die URL zum erstellten Terraform-Code ein.

  6. Klicken Sie auf Build steps.

  7. Fügen Sie die folgenden Schritte hinzu:

    1. Initialisieren Sie Terraform:

      terraform init

    2. Erstellen Sie eine Terraform-Plandatei.

      terraform plan -out=TF_PLAN_FILE

      Ersetzen Sie TF_PLAN_FILE durch den Namen der Terraform-Plandatei. Beispiel: myplan.tfplan.

    3. Konvertieren Sie die Plandatei in das JSON-Format:

      terraform show -no-color -json TF_PLAN_FILE > TF_PLAN_JSON_FILE

      Ersetzen Sie TF_PLAN_JSON_FILE durch den Namen der Terraform-Plandatei im JSON-Format. Beispiel: mytfplan.json.

Plug-in zu Ihrem Jenkins-Projekt hinzufügen

  1. Rufen Sie in der Jenkins-Console in Ihrem Jenkins-Freestyle-Projekt die Seite Configuration auf.
  2. Klicken Sie unter Build Steps auf Add build step > Perform Code Scan during Build.
  3. Geben Sie Ihre Organisations-ID ein.
  4. Geben Sie den Pfad zur Terraform-Plandatei im JSON-Format an.

  5. Optional: Legen Sie die Kriterien für den Build-Fehler fest. Die Fehlerkriterien basieren auf der Anzahl der Probleme mit kritischem, hohem, mittlerem und niedrigem Schweregrad, die beim IaC-Validierungsscan gefunden werden. Sie können angeben, wie viele Probleme mit jedem Schweregrad zulässig sind und wie die Probleme zusammengefasst werden (entweder UND oder ODER).

    1. Klicken Sie auf Fail on Asset Violation.

    2. Wenn der Build nur fehlschlagen soll, wenn die Anzahl der Probleme aller Schweregrade erreicht ist, wählen Sie UND aus. Wenn der Build fehlschlagen soll, wenn die Anzahl der Probleme eines Schweregrads erreicht ist, wählen Sie ODER aus. Wenn der Build beispielsweise fehlschlagen soll, wenn ein kritisches oder ein Problem mit hohem Schweregrad gefunden wird, legen Sie den Aggregatwert auf ODER fest.

    3. Geben Sie die Anzahl der Probleme mit den verschiedenen Schweregraden an, die zulässig sind, bevor der Build fehlschlägt.

    Wenn Sie keine Fehlerkriterien angeben möchten, wählen Sie Ignore Asset Violation aus.

  6. Klicken Sie auf Speichern.

Sie können jetzt den Build ausführen, um die Terraform-Plandatei zu validieren.

Bericht zu IaC-Verstößen ansehen

  1. Klicken Sie in der Jenkins-Console auf den letzten Workflow für Ihren Build.

  2. Klicken Sie auf Status. Die folgenden HTML-Dateien sind als Build-Artefakte verfügbar:

    • Wenn das Plug-in ausgeführt wurde, der Bericht zu Verstößen (GoogleAnalyzeCodeSecurity_ViolationSummary.html)

    Im Bericht werden Verstöße nach Schweregrad gruppiert. Im Abschnitt zu Verstößen wird beschrieben, welche Regel nicht erfüllt wurde, und die Asset-ID aus dem Terraform-Plan, die gegen die Regel verstößt.

    • Wenn der Build fehlgeschlagen ist, ein Bericht zur Fehlerzusammenfassung

  3. Beheben Sie alle Verstöße in Ihrem Terraform-Code, bevor Sie ihn anwenden.

Nächste Schritte