IaC anhand der Richtlinien Ihrer Google Cloud-Organisation prüfen

In diesem Dokument wird beschrieben, wie Sie Ihre Infrastruktur als Code (Infrastructure as Code, IaC) anhand der Organisationsrichtlinien und Security Health Analytics-Detektoren validieren, die Sie in Ihrer Google Cloud Organisation definiert haben. Mit IaC können Sie Ihre Cloud-Ressourcen mit Sprachen wie Terraform erstellen und verwalten, sodass Sie die Ressourcen mit einem Entwicklungsworkflow bereitstellen können. Die IaC-Validierungsfunktion unterstützt nur Organisationsrichtlinien und Security Health Analytics-Detektoren.

Durch die Validierung von IaC können Sie feststellen, ob Ihre neuen oder geänderten Ressourcendefinitionen gegen die vorhandenen Richtlinien verstoßen, die auf Ihre Google Cloud Ressourcen angewendet werden (z. B. Cluster, Bucket oder Instanz). Sie können diese Richtlinien mit Sicherheits status definieren. Die IaC-Validierungs funktion analysiert jedoch den Code und vergleicht ihn mit allen effektiven Richtlinien, die in Status definiert sind, die in Ihrer Google Cloud Organisation bereitgestellt werden. Mit der IaC-Validierung können Ihre Entwickler Sicherheitsprobleme in der IaC-Konfiguration von Assets oder Ressourcen erkennen und beheben, bevor sie auf Ihre Google Cloud Umgebung angewendet werden.

Die IaC-Validierungsfunktion unterstützt Terraform-plandateien. Sie können Ihren Terraform-Plan mit der Google Cloud CLI validieren oder den Validierungsprozess in Ihren Cloud Build-, Jenkins- oder GitHub Actions-Entwicklungsworkflow einbinden.

Hinweis

Führen Sie diese Aufgaben aus, um mit der IaC-Validierung zu beginnen.

Security Command Center Premium oder Enterprise aktivieren

Prüfen Sie, ob das Security Command Center Premium- oder Enterprise-Tier auf Organisationsebene aktiviert ist.

Durch die Aktivierung von Security Command Center werden die APIs securityposture.googleapis.com und securitycentermanagement.googleapis.com aktiviert.

Berechtigungen einrichten

Prüfen Sie, ob Sie die folgende Rolle oder die folgenden Rollen für die Organisation haben: „Security Posture Shift-Left Validator“

Rollen prüfen

Rufen Sie in der Google Cloud Console die Seite IAM auf.
IAM aufrufen
Wählen Sie die Organisation aus.
Suchen Sie in der Spalte Hauptkonto nach allen Zeilen, in denen Sie oder eine Gruppe, zu der Sie gehören, angegeben sind. Fragen Sie Ihren Administrator, zu welchen Gruppen Sie gehören.
Prüfen Sie in allen Zeilen, in denen Sie angegeben oder enthalten sind, die Rolle Spalte , um zu sehen, ob die Liste der Rollen die erforderlichen Rollen enthält.

Rollen zuweisen

Rufen Sie in der Google Cloud Console die Seite IAM auf.
IAM aufrufen
Wählen Sie die Organisation aus.
Klicken Sie auf „“ Zugriffsrechte erteilen.
Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Das ist in der Regel die E‑Mail-Adresse eines Google-Kontos.
Klicken Sie auf Rolle auswählen und suchen Sie nach der Rolle.
Klicken Sie auf Add another role, wenn Sie weitere Rollen zuweisen möchten.
Klicken Sie auf Speichern.

Weitere Informationen zu Berechtigungen für die IaC-Validierung finden Sie unter IAM für Aktivierungen auf Organisationsebene.

Google Cloud CLI einrichten

Aktivieren Sie Cloud Shell in der Google Cloud Console.

Cloud Shell aktivieren

Unten in der Google Cloud Console wird eine Cloud Shell Sitzung gestartet und eine Eingabeaufforderung angezeigt. Cloud Shell ist eine Shell-Umgebung in der das Google Cloud CLI bereits installiert ist und Werte für Ihr aktuelles Projekt bereits festgelegt sind. Das Initialisieren der Sitzung kann einige Sekunden dauern.

Führen Sie den folgenden Befehl aus, um die gcloud CLI so einzurichten, dass die Authentifizierung bei Google APIs über die Identitätsübernahme des Dienstkontos anstelle Ihrer Nutzeranmeldedaten erfolgt:

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

Weitere Informationen finden Sie unter Identitätsübernahme des Dienstkontos.

Richtlinien definieren

Definieren Sie Ihre Organisationsrichtlinien und Security Health Analytics-Detektoren. Wenn Sie diese Richtlinien mit einem Sicherheitsstatus definieren möchten, führen Sie die Aufgaben unter Status erstellen und bereitstellen aus.

Terraform-Code erstellen

Verwenden Sie Ihre Entwicklungsworkflows und -tools, um eine Terraform-Datei zu erstellen, die die Google Cloud Assets enthält, die Sie erstellen oder ändern möchten.

Berücksichtige Folgendes:

Füllen Sie das übergeordnete Attribut (das Projekt, den Ordner oder die Organisation) jeder Ressource oder jedes Assets in der Terraform-Konfiguration aus.
Ändern Sie Assets und Richtlinien separat. Die API unterstützt keine Validierung von Terraform-plandateien, mit denen sowohl Assets als auch Richtlinien gleichzeitig geändert werden.
Verwenden Sie nur unterstützte Asset-Typen und Richtlinien. Eine Liste der unterstützten Asset-Typen und Richtlinien finden Sie unter Unterstützte Asset-Typen und Richtlinien für die IaC-Validierung.
Prüfen Sie die Einschränkungen für die IaC-Validierung.
Nehmen Sie keine vertraulichen Informationen wie Passwörter oder andere personenbezogene Informationen in Ihre Terraform-plandatei auf. Wenn die Validierungsfunktion Felder findet, die in den Ressourcenänderungen als vertraulich gekennzeichnet sind, werden die Felder entfernt.

Nachdem Sie Ihren Terraform-Code erstellt haben, können Sie den IaC-Validierungsbericht ausführen. Sie können die gcloud CLI, Cloud Build, Jenkins oder GitHub Actions verwenden.

Mit der Google Cloud CLI einen IaC-Validierungsbericht erstellen

So erstellen Sie einen IaC-Validierungsbericht:

Führen Sie in der gcloud CLI terraform init aus.

Prüfen Sie, ob Sie die Terraform-Anbieterversion 5.5 oder höher verwenden. Aktualisieren Sie bei Bedarf auf die neueste Google-Anbieterversion:
```
terraform init -upgrade
```
Konvertieren Sie die Terraform-plandatei in das JSON-Format:
```
terraform plan -out TF_PLAN_FILENAME
terraform show -json TF_PLAN_FILENAME > TF_PLAN_JSON_FILENAME.json
```
Ersetzen Sie Folgendes:
- TF_PLAN_FILENAME: Der Name der Terraform-plandatei.
- TF_PLAN_JSON_FILENAME: Der Name der Datei, die den Terraform-Plan im JSON-Format enthält.
Erstellen Sie den IaC-Validierungsbericht:
```
gcloud scc iac-validation-reports create PARENT \
  --tf-plan-file=TF_PLAN_JSON_FILENAME.json
```
Ersetzen Sie Folgendes:
- PARENT: Die Google Cloud Organisation, in der der IaC-Validierungsbericht erstellt werden soll. Das Format ist organizations/ORGANIZATION_ID/locations/LOCATION. LOCATION ist global.
- TF_PLAN_JSON_FILENAME: Der Pfad zur JSON-Datei, die den zu validierenden IaC-Plan enthält.
Wenn Sie beispielsweise einen IaC-Validierungsbericht in der Organisation organizations/3589215982/locations/global mit einem IaC-Plan in planFile.json erstellen möchten, führen Sie den folgenden Befehl aus:
```
gcloud scc iac-validation-reports create organizations/3589215982/locations/global --tf-plan-file=planFile.json
```
Dieser Befehl gibt die Vorgangsdetails für die Erstellung des IaC-Validierungsberichts zurück. Informationen zum Vorgang finden Sie unter Informationen zu einem Vorgang zur Bereitstellung eines Sicherheitsstatus ansehen.

Nächste Schritte

Sehen Sie sich das Beispiel-Tutorial an.
Binden Sie die IaC-Validierung in Ihren Cloud Build-Workflow ein.
Binden Sie die IaC-Validierung in Ihr GitHub Actions oder Ihr Jenkins-Projekt ein.
Sicherheitsstatus verwalten.