הקצאת משאבים של Security Command Center באמצעות Terraform

‫

‫HashiCorp Terraform הוא כלי מסוג תשתית כקוד (IaC) שמאפשר להקצות ולנהל תשתית ענן. ‫Terraform מספקת פלאגינים שנקראים providers, שמאפשרים לכם ליצור אינטראקציה עם ספקי ענן וממשקי API אחרים. אתם יכולים להשתמש בספק Terraform ל- Google Cloud כדי להקצות ולנהל משאבים של Google Cloud , כולל Security Command Center.

במאמר הזה נסביר איך להשתמש ב-Terraform עם Security Command Center. נספק גם הסבר על אופן הפעולה של Terraform ומשאבים שיעזרו לכם להתחיל להשתמש ב-Terraform עם Google Cloud. בנוסף, תמצאו קישורים למסמכי עזר של Terraform בנושא Security Command Center, דוגמאות קוד ומדריכים לשימוש ב-Terraform כדי להקצות משאבים של Security Command Center.

הוראות לתחילת העבודה עם Terraform ל- Google Cloudזמינות במאמרים התקנה והגדרה של Terraform או מדריך למתחילים של Terraform ל- Google Cloud .

איך Terraform פועל

ל-Terraform יש תחביר הצהרתי ומבוסס-הגדרות, שאפשר להשתמש בו כדי לתאר את התשתית שרוצים להקצות בפרויקט Google Cloud . אחרי שיוצרים את התצורה הזו בקובץ תצורה אחד או יותר של Terraform, אפשר להשתמש ב-Terraform CLI כדי להחיל את התצורה הזו על המשאבים של Security Command Center.

בשלבים הבאים מוסבר איך Terraform פועל:

אתם מתארים את התשתית שאתם רוצים להקצות בקובץ תצורה של Terraform. אין צורך לכתוב קוד שמתאר איך להקצות את התשתית. ‫Terraform מקצה את התשתית בשבילכם.
מריצים את הפקודה terraform plan, שמעריכה את ההגדרות ומפיקה תוכנית ביצוע. אפשר לבדוק את התוכנית ולבצע שינויים לפי הצורך.
מריצים את הפקודה terraform apply, שמבצעת את הפעולות הבאות:
1. הוא מקצה את התשתית על סמך תוכנית הביצוע על ידי הפעלת ממשקי ה-API המתאימים של Security Command Center ברקע.
2. הפקודה יוצרת קובץ מצב של Terraform, שהוא קובץ JSON שממפה את המשאבים בקובץ ההגדרות למשאבים בתשתית בעולם האמיתי. ‫Terraform משתמש בקובץ הזה כדי לשמור תיעוד של המצב האחרון של התשתית, וכדי לקבוע מתי ליצור, לעדכן ולכבות משאבים.
3. כשמריצים את הפקודה terraform apply, ‏ Terraform משתמש במיפוי שבקובץ המצב כדי להשוות בין התשתית הקיימת לבין הקוד, ומבצע עדכונים לפי הצורך:
  - אם אובייקט של משאב מוגדר בקובץ התצורה, אבל לא קיים בקובץ המצב, Terraform יוצר אותו.
  - אם אובייקט משאב קיים בקובץ המצב, אבל יש לו הגדרה שונה מזו שבקובץ התצורה, Terraform מעדכן את המשאב כך שיתאים לקובץ התצורה.
  - אם אובייקט משאב בקובץ המצב תואם לקובץ התצורה, Terraform לא משנה את המשאב.

משאבים של Terraform ל-Security Command Center

משאבים הם הרכיבים הבסיסיים בשפת Terraform. כל בלוק של משאבים מתאר אובייקט תשתית אחד או יותר, כמו רשתות וירטואליות או מופעי מחשוב.

בטבלה הבאה מפורטים המשאבים של Terraform שזמינים ל-Security Command Center:

שירות	משאבי Terraform	מקורות נתונים
‫Security Command Center (SCC) v2 API	`google_scc_v2_folder_mute_config` `google_scc_v2_folder_notification_config` `google_scc_v2_folder_scc_big_query_export` `google_scc_v2_organization_mute_config` `google_scc_v2_organization_notification_config` `google_scc_v2_organization_scc_big_query_export` `google_scc_v2_organization_scc_big_query_exports` `google_scc_v2_organization_source` `google_scc_v2_organization_source_iam` `google_scc_v2_project_mute_config` `google_scc_v2_project_notification_config` `google_scc_v2_project_scc_big_query_export`	`google_scc_v2_organization_source_iam_policy`
Security Command Center (SCC) [v1 API]	`google_scc_event_threat_detection_custom_module` `google_scc_folder_custom_module` `google_scc_folder_notification_config` `google_scc_folder_scc_big_query_export` `google_scc_mute_config` `google_scc_notification_config` `google_scc_organization_custom_module` `google_scc_organization_scc_big_query_export` `google_scc_project_custom_module` `google_scc_project_notification_config` `google_scc_project_scc_big_query_export` `google_scc_source` `google_scc_source_iam`	`google_scc_source_iam_policy`
ניהול של Security Command Center‏ (SCC)	`google_scc_management_folder_security_health_analytics_custom_module` `google_scc_management_organization_event_threat_detection_custom_module` `google_scc_management_organization_security_health_analytics_custom_module` `google_scc_management_project_security_health_analytics_custom_module`
מצב אבטחה	`google_securityposture_posture` `google_securityposture_posture_deployment`
Cloud Security Scanner [Web Security Scanner]	`google_security_scanner_scan_config`
Model Armor	`google_model_armor_floorsetting` `google_model_armor_template`

מדריכים ל-Security Command Center שמבוססים על Terraform

בטבלה הבאה מפורטים מדריכים ומדריכים למתחילים שמבוססים על Terraform לשימוש ב-Security Command Center:

מדריך	פרטים
יצירה וניהול של מודולים מותאמים אישית ל-Event Threat Detection	במדריך הזה מוסבר איך לנהל מודולים בהתאמה אישית ל-Event Threat Detection. מודולים מותאמים אישית עוזרים לכם לזהות איומים על סמך פרמטרים שאתם מציינים.
הפעלת התראות על ממצאים ב-Pub/Sub	במדריך הזה מוסבר איך לשלוח התראות לגבי ממצאים חדשים ומעודכנים של Security Command Center לנושא Pub/Sub.
ניהול של מצב אבטחה	במדריך הזה מוסבר איך לנהל את מצבי האבטחה ולעקוב אחרי שינויים שמתבצעים מחוץ למצבי האבטחה, וגורמים לסחף.
השתקת ממצאים ב-Security Command Center	במדריך הזה מוסבר איך להשתיק ממצאים כדי לצמצם את נפח הממצאים שמתקבלים מ-Security Command Center.
הזרמת ממצאים ל-BigQuery לצורך ניתוח	במדריך הזה מוסבר איך להזרים ממצאים חדשים ומעודכנים של Security Command Center למערך נתונים ב-BigQuery.
שימוש במודולים מותאמים אישית ב-Security Health Analytics	במדריך הזה מוסבר איך לנהל מודולים בהתאמה אישית ב-Security Health Analytics. מודולים מותאמים אישית עוזרים לכם לזהות איומים על סמך פרמטרים שאתם מציינים.

מודולים ותוכניות לניהול של Terraform ל-Security Command Center

מודולים ותוכניות לניהול מאפשרים לנהל באופן אוטומטי את הקצאת ההרשאות והמשאבים ב- Google Cloud בקנה מידה רחב. מודול הוא קבוצה של קובצי תצורה לשימוש חוזר ב-Terraform שיוצרים הפשטה לוגית של המשאבים ב-Terraform. תוכנית לניהול היא חבילה של מודולים לשימוש חוזר שאפשר לפרוס, והיא מיישמת ומתעדת פתרון מקובע מסוים.

בטבלה הבאה מפורטים מודולים ותוכניות שקשורים ל-Security Command Center:

מודול או תוכנית ניהול	פרטים
`iam`	ניהול של כמה תפקידי IAM של משאבים ב- Google Cloud
`org-policy`	ניהול Google Cloud מדיניות הארגון