Aprovisiona recursos de Security Command Center con Terraform

HashiCorp Terraform es una herramienta de infraestructura como código (IaC) que te permite aprovisionar y administrar la infraestructura de nube. Terraform proporciona complementos llamados proveedores que te permiten interactuar con proveedores de servicios en la nube y otras APIs. Puedes usar el proveedor de Terraform para Google Cloud para aprovisionar y administrar Google Cloud recursos, incluido Security Command Center.

En esta página, se presenta el uso de Terraform con Security Command Center, incluida una introducción sobre cómo funciona Terraform y algunos recursos que te ayudarán a comenzar a usar Terraform con Google Cloud. También encontrarás vínculos a documentos de referencia de Terraform para Security Command Center, ejemplos de código y guías para usar Terraform para aprovisionar Security Command Center resources.

Para obtener instrucciones sobre cómo comenzar a usar Terraform para Google Cloud, consulta Instala y configura Terraform o la guía de inicio rápido de Terraform para Google Cloud .

Cómo funciona Terraform

Terraform tiene una sintaxis declarativa y orientada a la configuración que puedes usar para describir la infraestructura que deseas aprovisionar en tu Google Cloud proyecto. Después de crear esta configuración en uno o más archivos de configuración de Terraform, puedes usar la CLI de Terraform para aplicarla a tus recursos de Security Command Center.

En los siguientes pasos, se explica cómo funciona Terraform:

Describe la infraestructura que deseas aprovisionar en un Terraform archivo de configuración. No es necesario que escribas código que describa cómo aprovisionar la infraestructura. Terraform aprovisiona la infraestructura por ti.
Ejecuta el comando terraform plan, que evalúa tu configuración y genera un plan de ejecución. Puedes revisar el plan y realizar cambios según sea necesario.
Luego, ejecuta el comando terraform apply que realiza las siguientes acciones:
1. Aprovisiona tu infraestructura según tu plan de ejecución mediante la invocación de las APIs de Security Command Center correspondientes en segundo plano.
2. Crea un archivo de estado de Terraform, que es un archivo JSON que asigna los recursos del archivo de configuración a los recursos en la infraestructura del mundo real. Terraform usa este archivo para mantener un registro del estado más reciente de la infraestructura y determinar cuándo crear, actualizar y destruir recursos.
3. Luego, cuando ejecutes terraform apply, Terraform usa la asignación en el archivo de estado para comparar la infraestructura existente con el código y realizar actualizaciones según sea necesario:
  - Si un objeto de recurso se define en el archivo de configuración, pero no existe en el archivo de estado, Terraform lo crea.
  - Si existe un objeto de recurso en el archivo de estado, pero tiene una configuración diferente de tu archivo de configuración, Terraform actualiza el recurso para que coincida con tu archivo de configuración.
  - Si un objeto de recurso en el archivo de estado coincide con tu archivo de configuración, Terraform deja el recurso sin cambios.

Recursos de Terraform para Security Command Center

Los recursos son los elementos fundamentales en el lenguaje de Terraform. Cada bloque de recursos describe uno o más objetos de infraestructura, como redes virtuales o instancias de procesamiento.

En la siguiente tabla, se enumeran los recursos de Terraform disponibles para Security Command Center:

Servicio	Recursos de Terraform	Fuentes de datos
API de Security Command Center (SCC) v2	`google_scc_v2_folder_mute_config` `google_scc_v2_folder_notification_config` `google_scc_v2_folder_scc_big_query_export` `google_scc_v2_organization_mute_config` `google_scc_v2_organization_notification_config` `google_scc_v2_organization_scc_big_query_export` `google_scc_v2_organization_scc_big_query_exports` `google_scc_v2_organization_source` `google_scc_v2_organization_source_iam` `google_scc_v2_project_mute_config` `google_scc_v2_project_notification_config` `google_scc_v2_project_scc_big_query_export`	`google_scc_v2_organization_source_iam_policy`
Security Command Center (SCC) [API v1]	`google_scc_event_threat_detection_custom_module` `google_scc_folder_custom_module` `google_scc_folder_notification_config` `google_scc_folder_scc_big_query_export` `google_scc_mute_config` `google_scc_notification_config` `google_scc_organization_custom_module` `google_scc_organization_scc_big_query_export` `google_scc_project_custom_module` `google_scc_project_notification_config` `google_scc_project_scc_big_query_export` `google_scc_source` `google_scc_source_iam`	`google_scc_source_iam_policy`
Administración de Security Command Center (SCC)	`google_scc_management_folder_security_health_analytics_custom_module` `google_scc_management_organization_event_threat_detection_custom_module` `google_scc_management_organization_security_health_analytics_custom_module` `google_scc_management_project_security_health_analytics_custom_module`
Compliance Manager	`google_cloud_security_compliance_cloud_control` `google_cloud_security_compliance_framework` `google_cloud_security_compliance_framework_deployment`
Cloud Security Scanner [Web Security Scanner]	`google_security_scanner_scan_config`
Model Armor	`google_model_armor_floorsetting` `google_model_armor_template`
Postura de seguridad	`google_securityposture_posture` `google_securityposture_posture_deployment`

Guías basadas en Terraform para Security Command Center

En la siguiente tabla, se enumeran las guías prácticas y los instructivos basados en Terraform para Security Command Center:

Guía	Detalles
Crea y administra módulos personalizados para Event Threat Detection	En esta guía, se explica cómo administrar módulos personalizados para Event Threat Detection. Los módulos personalizados te ayudan a detectar amenazas en función de los parámetros que tú especifiques.
Habilita las notificaciones de hallazgos para Pub/Sub	En esta guía, se explica cómo enviar notificaciones de resultados nuevos y actualizados de Security Command Center a un tema de Pub/Sub.
Crea un control de la nube personalizado	En esta guía, se explica cómo crear controles de la nube personalizados para Compliance Manager. Los controles de la nube personalizados te permiten crear tus propias reglas que te permiten detectar posibles incumplimientos de tu intención de seguridad o cumplimiento en tu Google Cloud entorno.
Crea e implementa frameworks	En esta guía, se explica cómo crear frameworks personalizados para Administrador de cumplimiento y cómo implementarlos en tu entorno. Los frameworks son una colección de controles de la nube que deseas implementar en tu Google Cloud entorno para detectar posibles incumplimientos de tu intención de seguridad o cumplimiento.
Silenciar resultados en Security Command Center	En esta guía, se explica cómo reducir el volumen de resultados de Security Command Center que recibes silenciando los resultados.
Transmite los resultados a BigQuery para su análisis	En esta guía, se explica cómo transmitir resultados nuevos y actualizados de Security Command Center hallazgos a un conjunto de datos de BigQuery.
Usa módulos personalizados con Security Health Analytics	En esta guía, se explica cómo administrar módulos personalizados para Security Health Analytics. Los módulos personalizados te ayudan a detectar amenazas en función de los parámetros que tú especifiques.
Administra una postura de seguridad	En esta guía, se describe cómo administrar las posturas de seguridad y supervisar los cambios que se realizan fuera de las posturas de seguridad, lo que provoca una desviación.

Planos y módulos de Terraform para Security Command Center

Los módulos y los planos te ayudan a automatizar el aprovisionamiento y la administración de Google Cloud recursos a gran escala. Un módulo es un conjunto reutilizable de archivos de configuración de Terraform que crea una abstracción lógica de los recursos de Terraform. Un plano es un paquete de módulos implementables y reutilizables y una política que implementa y documenta una solución específica.

En la siguiente tabla, se enumeran los módulos y planos relacionados con Security Command Center:

Módulo o plano	Detalles
`iam`	Administra varios roles de IAM para recursos en Google Cloud
`org-policy`	Administra las políticas de la organización Google Cloud