Integra la convalida di IaC con Jenkins

Puoi utilizzare il plug-in Google Analyze Code Security per Jenkins per convalidare l'infrastruttura come codice (IaC) che fa parte del tuo progetto Jenkins. La convalida dell'infrastruttura come codice ti consente di determinare se le definizioni delle risorse Terraform violano le policy dell'organizzazione esistenti e i rilevatori di Security Health Analytics applicati alle tue risorse Google Cloud .

Per saperne di più sulla convalida dell'IaC, consulta Convalidare l'IaC in base ai criteri della tua organizzazione. Google Cloud

La convalida IaC funziona solo con i progetti Jenkins freestyle.

Prima di iniziare

Completa queste attività per iniziare a utilizzare la convalida dell'IaC con Jenkins.

Attiva il livello Premium o Enterprise di Security Command Center

Verifica che il livello Security Command Center Premium o Enterprise sia attivato a livello di organizzazione.

L'attivazione di Security Command Center abilita le API securityposture.googleapis.com e securitycentermanagement.googleapis.com.

Crea un account di servizio

Crea un account di servizio che puoi utilizzare per il plug-in Google Analyze Code Security per Jenkins.

    Crea un service account:

    1. Assicurati di disporre del ruolo IAM Creazione account di servizio (roles/iam.serviceAccountCreator) e del ruolo Amministratore IAM progetto (roles/resourcemanager.projectIamAdmin). Scopri come concedere i ruoli.

    2. Nella console Google Cloud vai a Crea service account.

      Vai a Crea service account
    3. Seleziona il progetto.

    4. Nel campo Nome service account, inserisci un nome. La console Google Cloud compila il campo ID service account in base a questo nome.

      Nel campo Descrizione service account, inserisci una descrizione. Ad esempio, Service account for quickstart.

    5. Fai clic su Crea e continua.

    6. Concedi il ruolo Security Posture Shift-Left Validator al account di servizio.

      Per concedere il ruolo, trova l'elenco Seleziona un ruolo, quindi seleziona Security Posture Shift-Left Validator.

    7. Fai clic su Continua.

    8. Fai clic su Fine per completare la creazione del service account.

      Non chiudere la finestra del browser. Lo utilizzerai nel prossimo passaggio.

    Crea una chiave dell'account di servizio:

    1. Nella console Google Cloud , fai clic sull'indirizzo email del account di servizio che hai creato.
    2. Fai clic su Chiavi.
    3. Fai clic su Aggiungi chiave, poi su Crea nuova chiave.
    4. Fai clic su Crea. Un file della chiave JSON viene scaricato sul computer.
    5. Fai clic su Chiudi.

Per saperne di più sulle autorizzazioni di convalida dell'IaC, consulta IAM per le attivazioni a livello di organizzazione.

Definisci le tue policy

Definisci le policy dell'organizzazione e i rilevatori di Security Health Analytics. Per definire queste policy utilizzando una postura di sicurezza, completa le attività descritte in Creare e implementare una postura.

Installare e configurare il plug-in

  1. Nella console Jenkins, fai clic su Manage Jenkins (Gestisci Jenkins) > Manage Plugins (Gestisci plug-in).
  2. Nella scheda Disponibile, cerca google-analyze-code-security.
  3. Completa i passaggi di installazione.
  4. Fai clic su Manage Jenkins (Gestisci Jenkins) > Configure System (Configura sistema).
  5. Nella sezione Google Analyze Code Security, fai clic su Aggiungi credenziale.
  6. In ID organizzazione, inserisci l'ID organizzazione dell'organizzazione Google Cloud che include le risorse Terraform che vuoi creare o modificare.
  7. In Credenziali di Security Command Center, aggiungi la chiave del account di servizio.
  8. Testa la connessione per verificare le credenziali del account di servizio.
  9. Fai clic su Salva.

Crea il file JSON del piano Terraform

  1. Crea il codice Terraform. Per istruzioni, vedi Creare il codice Terraform.

  2. Installa il plug-in Terraform per Jenkins.

  3. Nella console Jenkins, nel progetto Jenkins freestyle, vai alla pagina Configurazione.

  4. Fai clic su Gestione codice sorgente.

  5. In URL repository, inserisci l'URL del codice Terraform che hai creato.

  6. Fai clic su Passaggi per la creazione.

  7. Aggiungi i seguenti passaggi:

    1. Inizializza Terraform:

      terraform init

    2. Crea un file di piano Terraform.

      terraform plan -out=TF_PLAN_FILE

      Sostituisci TF_PLAN_FILE con il nome del file di piano Terraform. Ad esempio, myplan.tfplan.

    3. Converti il file del piano in formato JSON:

      terraform show -no-color -json TF_PLAN_FILE > TF_PLAN_JSON_FILE

      Sostituisci TF_PLAN_JSON_FILE con il nome del file di piano Terraform, in formato JSON. Ad esempio, mytfplan.json.

Aggiungere il plug-in al progetto Jenkins

  1. Nella console Jenkins, nel progetto Jenkins freestyle, vai alla pagina Configurazione.
  2. In Passaggi di build, fai clic su Aggiungi passaggio di build > Esegui scansione del codice durante la build.
  3. Inserisci l'ID organizzazione.
  4. Fornisci il percorso del file di piano Terraform in formato JSON.

  5. (Facoltativo) Imposta i criteri di errore di compilazione. I criteri di errore si basano sul numero di problemi di gravità critica, alta, media e bassa rilevati dalla scansione di convalida dell'infrastruttura come codice. Puoi specificare il numero di problemi di ogni gravità consentiti e la modalità di aggregazione dei problemi (AND o OR).

    1. Fai clic su Errore per violazione delle risorse.

    2. Se vuoi che la build non vada a buon fine solo se viene raggiunto il conteggio dei problemi di tutti i livelli di gravità, seleziona E. Se vuoi che la build non vada a buon fine se viene raggiunto il conteggio dei problemi di qualsiasi livello di gravità, seleziona OR. Ad esempio, se vuoi che la build non vada a buon fine se rileva un problema critico o un problema di gravità elevata, imposta il valore aggregato su OR.

    3. Indica il numero di problemi nei vari livelli di gravità che vuoi consentire prima che la build non vada a buon fine.

    Se non vuoi specificare un criterio di errore, seleziona Ignora violazione risorsa.

  6. Fai clic su Salva.

Ora puoi eseguire la build per convalidare il file di piano Terraform.

Visualizzare il report sulle violazioni dell'IaC

  1. Nella console Jenkins, fai clic sul workflow più recente per la build.

  2. Fai clic su Stato. I seguenti file HTML sono disponibili come artefatti di build:

    • Se il plug-in è stato eseguito, il report sulle violazioni (GoogleAnalyzeCodeSecurity_ViolationSummary.html)

    Il report raggruppa le violazioni in base alla gravità. La sezione relativa alla violazione descrive quale regola non è stata rispettata e l'ID risorsa del piano Terraform che ha violato la regola.

    • Se la build non è riuscita, un report di riepilogo degli errori

  3. Risolvi eventuali violazioni nel codice Terraform prima di applicarlo.

Passaggi successivi