Memvalidasi IaC berdasarkan kebijakan organisasi Google Cloud

Dokumen ini menjelaskan cara memvalidasi infrastructure as code (IaC) terhadap kebijakan organisasi dan detektor Security Health Analytics yang telah Anda tetapkan di organisasi Google Cloud Anda. IaC memungkinkan Anda membuat dan mengelola resource cloud menggunakan bahasa seperti Terraform sehingga Anda dapat men-deploy resource menggunakan alur kerja pengembangan. Fitur validasi IaC hanya mendukung kebijakan organisasi dan detektor Security Health Analytics.

Memvalidasi IaC memungkinkan Anda menentukan apakah definisi resource baru atau yang diubah melanggar kebijakan yang ada yang diterapkan ke resourceGoogle Cloud Anda (misalnya, cluster, bucket, atau instance). Anda dapat menentukan kebijakan ini menggunakan postur keamanan, tetapi fitur validasi IaC menganalisis kode dan membandingkan kode dengan kebijakan efektif yang ditentukan dalam postur yang di-deploy di Google Cloud organisasi Anda. Validasi IaC membantu developer Anda mengidentifikasi dan memperbaiki masalah keamanan apa pun dalam konfigurasi IaC aset atau resource sebelum diterapkan ke lingkunganGoogle Cloud Anda.

Fitur validasi IaC mendukung file rencana Terraform. Anda dapat memvalidasi rencana Terraform menggunakan Google Cloud CLI, atau mengintegrasikan proses validasi ke dalam alur kerja developer Cloud Build, Jenkins, atau GitHub Actions.

Sebelum memulai

Selesaikan tugas berikut untuk mulai menggunakan validasi IaC.

Mengaktifkan Paket Premium atau Paket Enterprise Security Command Center

Pastikan paket Premium atau Enterprise Security Command Center diaktifkan di tingkat organisasi.

Mengaktifkan Security Command Center akan mengaktifkan API securityposture.googleapis.com dan securitycentermanagement.googleapis.com.

Menyiapkan izin

Pastikan Anda memiliki peran berikut di organisasi: Validator Shift-Left Postur Keamanan

Memeriksa peran

1. Di konsol Google Cloud , buka halaman IAM.

   Buka IAM
2. Pilih organisasi.

3. Di kolom Akun utama, temukan semua baris yang mengidentifikasi Anda atau grup yang Anda ikuti. Untuk mengetahui grup mana saja yang Anda ikuti, hubungi administrator Anda.

4. Untuk semua baris yang menentukan atau menyertakan Anda, periksa kolom Peran untuk melihat apakah daftar peran menyertakan peran yang diperlukan.

Memberikan peran

1. Di konsol Google Cloud , buka halaman IAM.

   Buka IAM
2. Pilih organisasi.
3. Klik person_add Grant access.

4. Di kolom New principals, masukkan ID pengguna Anda. Biasanya, ini adalah alamat email untuk Akun Google.

5. Klik Pilih peran, lalu telusuri peran.
6. Untuk memberikan peran tambahan, klik add Add another role, lalu tambahkan tiap peran tambahan.
7. Klik Simpan.

Untuk mengetahui informasi selengkapnya tentang izin validasi IaC, lihat IAM untuk aktivasi tingkat organisasi.

Menyiapkan Google Cloud CLI

Di konsol Google Cloud , aktifkan Cloud Shell.

Aktifkan Cloud Shell

Di bagian bawah konsol Google Cloud , sesi Cloud Shell akan dimulai dan menampilkan perintah command line. Cloud Shell adalah lingkungan shell dengan Google Cloud CLI yang sudah terinstal, dan dengan nilai yang sudah ditetapkan untuk project Anda saat ini. Diperlukan waktu beberapa detik untuk melakukan inisialisasi pada sesi.

Untuk menyiapkan gcloud CLI agar menggunakan peniruan akun layanan untuk mengautentikasi ke Google API, alih-alih kredensial pengguna Anda, jalankan perintah berikut:

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

Untuk informasi selengkapnya, lihat Peniruan akun layanan.

Menentukan kebijakan Anda

Tentukan kebijakan organisasi dan detektor Security Health Analytics. Untuk menentukan kebijakan ini menggunakan postur keamanan, selesaikan tugas di Membuat dan men-deploy postur.

Buat kode Terraform Anda

Gunakan alur kerja dan alat developer Anda untuk membuat file Terraform yang menyertakan aset Google Cloud yang ingin Anda buat atau ubah.

Pertimbangkan hal berikut:

• Isi atribut induk (project, folder, atau organisasi) setiap resource atau aset dalam konfigurasi Terraform.
• Ubah aset dan kebijakan secara terpisah. API tidak mendukung validasi file rencana Terraform yang mengubah aset dan kebijakan secara bersamaan.
• Hanya gunakan jenis aset dan kebijakan yang didukung. Untuk mengetahui daftar jenis dan kebijakan aset yang didukung, lihat Jenis dan kebijakan aset yang didukung untuk validasi IaC.
• Tinjau batasan untuk validasi IaC.
• Jangan sertakan informasi sensitif seperti sandi atau informasi identitas pribadi lainnya dalam file rencana Terraform Anda. Jika fitur validasi menemukan kolom yang ditandai sebagai sensitif dalam perubahan resource, kolom tersebut akan dihapus.

Setelah membuat kode Terraform, Anda dapat menjalankan laporan validasi IaC. Anda dapat menggunakan gcloud CLI, Cloud Build, Jenkins, atau GitHub Actions.

Menggunakan Google Cloud CLI untuk membuat laporan validasi IaC

Untuk membuat laporan validasi IaC, selesaikan langkah-langkah berikut:

1. Di gcloud CLI, jalankan terraform init.

   Pastikan Anda menjalankan penyedia Terraform versi v5.5 atau yang lebih baru. Jika diperlukan, upgrade ke versi penyedia Google terbaru:

   terraform init -upgrade
   

2. Konversikan file rencana Terraform ke format JSON:

   terraform plan -out TF_PLAN_FILENAME
   terraform show -json TF_PLAN_FILENAME > TF_PLAN_JSON_FILENAME.json
   

   Ganti kode berikut:

   • TF_PLAN_FILENAME: Nama untuk file rencana Terraform.
   • TF_PLAN_JSON_FILENAME: Nama file yang akan berisi rencana Terraform dalam format JSON.

3. Buat laporan validasi IaC:

   gcloud scc iac-validation-reports create PARENT \
     --tf-plan-file=TF_PLAN_JSON_FILENAME.json
   

   Ganti kode berikut:

   • PARENT: Organisasi Google Cloud tempat laporan Validasi IaC akan dibuat. Formatnya adalah organizations/ORGANIZATION_ID/locations/LOCATION. LOCATION adalah global.
   • TF_PLAN_JSON_FILENAME: Jalur ke file JSON yang berisi rencana IaC yang ingin Anda validasi.

   Misalnya, untuk membuat laporan validasi IaC di organisasi organizations/3589215982/locations/global dengan rencana IaC yang disertakan dalam planFile.json, jalankan perintah berikut:

   gcloud scc iac-validation-reports create organizations/3589215982/locations/global --tf-plan-file=planFile.json
   

   Perintah ini menampilkan detail operasi untuk membuat laporan validasi IAC. Untuk mendapatkan informasi tentang operasi, lihat Melihat informasi tentang operasi deployment postur.

Langkah berikutnya

• Tinjau contoh tutorial.
• Integrasikan validasi IaC dengan alur kerja Cloud Build Anda.
• Integrasikan validasi IaC dengan GitHub Actions atau project Jenkins Anda.
• Mengelola postur keamanan Anda.