Provisionar recursos do Security Command Center com o Terraform

Hashicorp Terraform é uma ferramenta de infraestrutura como código (IaC, na sigla em inglês) que permite provisionar e gerenciar infraestrutura em nuvem. O Terraform fornece plug-ins chamados provedores, que permitem interagir com provedores de nuvem e outras APIs. É possível usar o provedor Terraform para Google Cloud para provisionar e gerenciar recursos do Google Cloud , incluindo o Security Command Center.

Esta página apresenta o uso do Terraform com o Security Command Center, incluindo uma introdução a como o Terraform funciona e alguns recursos para ajudar você a começar a usar o Terraform com o Google Cloud. Você também vai encontrar links para documentos de referência do Terraform para o Security Command Center, exemplos de código e guias sobre como usar o Terraform para provisionar recursos do Security Command Center.

Para instruções sobre como começar a usar o Terraform para Google Cloud, consulte Instalar e configurar o Terraform ou o Início rápido do Terraform para Google Cloud .

Como o Terraform funciona

O Terraform tem uma sintaxe declarativa e orientada pela configuração, que pode ser usada para descrever a infraestrutura que você quer provisionar no projeto Google Cloud . Depois de criar essa configuração em um ou mais arquivos de configuração do Terraform, use a CLI do Terraform para aplicá-la aos recursos do Security Command Center.

As etapas a seguir explicam como o Terraform funciona:

Você descreve a infraestrutura que quer provisionar em um arquivo de configuração do Terraform. Não é preciso escrever código descrevendo como provisionar a infraestrutura. O Terraform provisiona a infraestrutura para você.
Você executa o comando terraform plan, que avalia sua configuração e gera um plano de execução. É possível analisar o plano e fazer alterações conforme necessário.
Você executará o comando terraform apply, que realiza as seguintes ações:
1. Ele provisiona sua infraestrutura com base no plano de execução invocando as APIs correspondentes do Security Command Center em segundo plano.
2. Ele cria um arquivo de estado do Terraform, que é um arquivo JSON que mapeia os recursos no arquivo de configuração aos recursos na infraestrutura do mundo real. O Terraform usa esse arquivo para manter um registro do estado mais recente da sua infraestrutura e determinar quando criar, atualizar e destruir recursos.
3. Ao executar terraform apply, o Terraform usa o mapeamento no arquivo de estado para comparar a infraestrutura atual com o código e fazer atualizações conforme necessário:
  - Se um objeto de recurso for definido no arquivo de configuração, mas não existir no arquivo de estado, o Terraform o criará.
  - Se há um objeto de recurso no arquivo de estado, mas tem uma configuração diferente do arquivo de configuração, o Terraform atualiza o recurso para corresponder ao arquivo de configuração.
  - Se um objeto de recurso no arquivo de estado corresponder ao seu arquivo de configuração, o Terraform deixará o recurso inalterado.

Recursos do Terraform para o Security Command Center

Recursos são os elementos fundamentais da linguagem do Terraform. Cada no bloco "resource", que descreve um ou mais objetos de infraestrutura, como ou instâncias de computação.

A tabela a seguir lista os recursos do Terraform disponíveis para o Security Command Center:

Serviço	Recursos do Terraform	Fontes de dados
API Security Command Center (SCC) v2	`google_scc_v2_folder_mute_config` `google_scc_v2_folder_notification_config` `google_scc_v2_folder_scc_big_query_export` `google_scc_v2_organization_mute_config` `google_scc_v2_organization_notification_config` `google_scc_v2_organization_scc_big_query_export` `google_scc_v2_organization_scc_big_query_exports` `google_scc_v2_organization_source` `google_scc_v2_organization_source_iam` `google_scc_v2_project_mute_config` `google_scc_v2_project_notification_config` `google_scc_v2_project_scc_big_query_export`	`google_scc_v2_organization_source_iam_policy`
Security Command Center (SCC) [API v1]	`google_scc_event_threat_detection_custom_module` `google_scc_folder_custom_module` `google_scc_folder_notification_config` `google_scc_folder_scc_big_query_export` `google_scc_mute_config` `google_scc_notification_config` `google_scc_organization_custom_module` `google_scc_organization_scc_big_query_export` `google_scc_project_custom_module` `google_scc_project_notification_config` `google_scc_project_scc_big_query_export` `google_scc_source` `google_scc_source_iam`	`google_scc_source_iam_policy`
Gerenciamento do Security Command Center (SCC)	`google_scc_management_folder_security_health_analytics_custom_module` `google_scc_management_organization_event_threat_detection_custom_module` `google_scc_management_organization_security_health_analytics_custom_module` `google_scc_management_project_security_health_analytics_custom_module`
Compliance Manager	`google_cloud_security_compliance_cloud_control` `google_cloud_security_compliance_framework` `google_cloud_security_compliance_framework_deployment`
Cloud Security Scanner [Web Security Scanner]	`google_security_scanner_scan_config`
Model Armor	`google_model_armor_floorsetting` `google_model_armor_template`
Postura de segurança	`google_securityposture_posture` `google_securityposture_posture_deployment`

Guias baseados no Terraform para o Security Command Center

A tabela a seguir lista os guias e tutoriais do Terraform para o Security Command Center:

Guia	Detalhes
Criar e gerenciar módulos personalizados do Event Threat Detection	Neste guia, explicamos como gerenciar módulos personalizados do Event Threat Detection. Os módulos personalizados ajudam a detectar ameaças com base nos parâmetros especificados.
Ativar as notificações de descoberta do Pub/Sub	Este guia explica como enviar notificações de descobertas novas e atualizadas do Security Command Center para um tópico do Pub/Sub.
Criar um controle de nuvem personalizado	Este guia explica como criar controles personalizados na nuvem para o Compliance Manager. Com os controles de nuvem personalizados, é possível criar suas próprias regras para detectar possíveis violações de segurança ou conformidade no ambiente do Google Cloud.
Criar e implantar frameworks	Este guia explica como criar frameworks personalizados para o Compliance Manager e implantar frameworks no seu ambiente. Os frameworks são um conjunto de controles de nuvem que você quer implantar no seu ambiente Google Cloud para detectar possíveis violações da sua intenção de segurança ou compliance.
Ignorar descobertas no Security Command Center	Este guia explica como reduzir o volume de descobertas do Security Command Center que você recebe silenciando as descobertas.
Fazer streaming das descobertas no BigQuery para análise	Este guia explica como fazer streaming de descobertas novas e atualizadas do Security Command Center para um conjunto de dados do BigQuery.
Como usar módulos personalizados com a Análise de integridade da segurança	Este guia explica como gerenciar módulos personalizados para a Análise de integridade da segurança. Os módulos personalizados ajudam a detectar ameaças com base nos parâmetros especificados.
Gerenciar uma postura de segurança	Este guia descreve como gerenciar posturas de segurança e monitorar mudanças feitas fora delas, o que causa desvio.

Módulos e blueprints do Terraform para o Security Command Center

Os módulos e modelos ajudam a automatizar o provisionamento e o gerenciamento de recursos do Google Cloud em escala. Um módulo é um conjunto reutilizável de arquivos de configuração do Terraform que cria uma abstração lógica dos recursos do Terraform. Um blueprint é um pacote de módulos implantáveis e reutilizáveis e uma política que implementa e documenta uma solução específica.

A tabela a seguir lista módulos e blueprints relacionados ao Security Command Center:

Módulo ou blueprint	Detalhes
`iam`	Gerencia vários papéis do IAM para recursos em Google Cloud
`org-policy`	Gerencia as políticas da organização Google Cloud .