Integra la validación de IaC con Jenkins

Puedes usar el complemento Google Analyze Code Security para Jenkins para validar la infraestructura como código (IaC) que forma parte de tu proyecto de Jenkins. La validación de la IaC permite determinar si las definiciones de recursos de Terraform infringen las políticas de la organización existentes y los detectores de Security Health Analytics que se aplican a tus recursos de Google Cloud .

Para obtener más información sobre la validación de la IaC, consulta Valida tu IaC en función de las políticas de tu organización de Google Cloud .

La validación de IaC solo funciona con proyectos de estilo libre de Jenkins.

Antes de comenzar

Completa estas tareas para comenzar a usar la validación de IaC con Jenkins.

Activa el nivel Premium o Enterprise de Security Command Center

Verifica que el nivel Premium o Enterprise de Security Command Center esté activado a nivel de la organización.

Si activas Security Command Center, se habilitarán las APIs de securityposture.googleapis.com y securitycentermanagement.googleapis.com.

Crea una cuenta de servicio

Crea una cuenta de servicio que puedas usar para el complemento de Google Analyze Code Security para Jenkins.

  1. Crea una cuenta de servicio:

    1. Asegúrate de tener los roles de IAM de creador de cuentas de servicio (roles/iam.serviceAccountCreator) y administrador de IAM del proyecto (roles/resourcemanager.projectIamAdmin). Obtén más información para otorgar roles.

    2. En la consola de Google Cloud , ve a la página Crear cuenta de servicio.

      Ve a Crear cuenta de servicio
    3. Elige tu proyecto.

    4. Escribe un nombre en el campo Nombre de cuenta de servicio. La consola de Google Cloud completa el campo ID de cuenta de servicio según este nombre.

      Opcional: en el campo Descripción de la cuenta de servicio, escribe una descripción. Por ejemplo, Service account for quickstart.

    5. Haz clic en Crear y continuar.

    6. Otorga el rol de Validador de detección temprana de la postura de seguridad a la cuenta de servicio.

      Para otorgar el rol, busca la lista Seleccionar un rol y, luego, selecciona Security Posture Shift-Left Validator.

    7. Haz clic en Continuar.

    8. Haz clic en Listo para terminar de crear la cuenta de servicio.

      No cierres la ventana del navegador, ya que La usarás en la próxima tarea.

  2. Para crear una clave de cuenta de servicio, haz lo siguiente:

    1. En la consola de Google Cloud , haz clic en la dirección de correo electrónico de la cuenta de servicio que creaste.
    2. Haz clic en Claves.
    3. Haz clic en Agregar clave y, luego, en Crear clave nueva.
    4. Haga clic en Crear. Se descargará un archivo de claves JSON en tu computadora.
    5. Haz clic en Cerrar.

Para obtener más información sobre los permisos de validación de la IaC, consulta IAM para activaciones a nivel de la organización.

Define las políticas

Define las políticas de tu organización y los detectores de Security Health Analytics. Para definir estas políticas con una postura de seguridad, completa las tareas que figuran en Crea e implementa una postura.

Instala y configura el complemento

  1. En la consola de Jenkins, haz clic en Manage Jenkins > Manage Plugins.
  2. En la pestaña Available, busca google-analyze-code-security.
  3. Completa los pasos de instalación.
  4. Haz clic en Administrar Jenkins > Configurar sistema.
  5. En la sección Google Analyze Code Security, haz clic en Agregar credencial.
  6. En ID de organización, ingresa el ID de la organización de Google Cloudque incluye los recursos de Terraform que deseas crear o modificar.
  7. En Credencial de Security Command Center, agrega la clave de la cuenta de servicio.
  8. Prueba la conexión para verificar las credenciales de la cuenta de servicio.
  9. Haz clic en Guardar.

Crea tu archivo JSON del plan de Terraform

  1. Crea tu código de Terraform. Para obtener instrucciones, consulta Crea tu código de Terraform.

  2. Instala el complemento de Terraform para Jenkins.

  3. En la consola de Jenkins, en tu proyecto de formato libre de Jenkins, ve a la página Configuration.

  4. Haz clic en Administración del código fuente.

  5. En URL del repositorio, ingresa la URL del código de Terraform que creaste.

  6. Haz clic en Build steps.

  7. Agrega los siguientes pasos:

    1. Inicializa Terraform mediante este comando:

      terraform init

    2. Crea un archivo de plan de Terraform.

      terraform plan -out=TF_PLAN_FILE

      Reemplaza TF_PLAN_FILE por el nombre del archivo del plan de Terraform. Por ejemplo, myplan.tfplan

    3. Convierte tu archivo de plan al formato JSON:

      terraform show -no-color -json TF_PLAN_FILE > TF_PLAN_JSON_FILE

      Reemplaza TF_PLAN_JSON_FILE por el nombre del archivo de plan de Terraform, en formato JSON. Por ejemplo, mytfplan.json

Agrega el complemento a tu proyecto de Jenkins

  1. En la consola de Jenkins, en tu proyecto de formato libre de Jenkins, ve a la página Configuration.
  2. En Build Steps, haz clic en Add build step > Perform Code Scan during Build.
  3. Ingresa el ID de tu organización.
  4. Proporciona la ruta de acceso a tu archivo de plan de Terraform en formato JSON.

  5. Opcional: Establece los criterios de falla de la compilación. Los criterios de falla se basan en la cantidad de problemas de gravedad crítica, alta, media y baja que encuentra el análisis de validación de la IaC. Puedes especificar cuántos problemas de cada gravedad se permiten y cómo se agregan (con AND o OR).

    1. Haz clic en Fail on Asset Violation.

    2. Si quieres que la compilación falle solo si se alcanza el recuento de problemas de todos los niveles de gravedad, selecciona AND. Si quieres que la compilación falle si se alcanza el recuento de problemas de cualquier nivel de gravedad, selecciona OR. Por ejemplo, si quieres que la compilación falle si encuentra un problema crítico o un problema de gravedad alta, establece el valor agregado en OR.

    3. Indica la cantidad de problemas en los distintos niveles de gravedad que deseas permitir antes de que falle la compilación.

    Si no quieres especificar un criterio de incumplimiento, selecciona Ignorar incumplimiento del activo.

  6. Haz clic en Guardar.

Ahora puedes ejecutar la compilación para validar tu archivo de plan de Terraform.

Consulta el informe de incumplimiento de la IaC

  1. En la consola de Jenkins, haz clic en el flujo de trabajo más reciente de tu compilación.

  2. Haz clic en Estado. Los siguientes archivos HTML están disponibles como artefactos de compilación:

    • Si se ejecutó el complemento, el informe de incumplimiento (GoogleAnalyzeCodeSecurity_ViolationSummary.html)

    El informe agrupa los incumplimientos por gravedad. En la sección de incumplimiento, se describe qué regla no se cumplió y el ID del activo del plan de Terraform que incumplió la regla.

    • Si falló la compilación, un informe de resumen de errores

  3. Resuelve los incumplimientos en tu código de Terraform antes de aplicarlo.

¿Qué sigue?