IaCのコンプライアンス評価

CloudGuardポスチャマネジメントルールセットは、TerraformやAWS CloudFormationなどのコード(IaC)プランとしてインフラストラクチャに適用できます。これにより、環境で作成および展開する前に、コンプライアンスを評価できます。このようにして、ソースでの設定ミスやその他のポスチャの問題を解消できます。

GSLアセスメントの実行

実際のクラウドVPC を評価するのと同じ方法で、IaC プランでGSL コンプライアンス評価を実行できます。次に、評価レポートで結果を確認できます。

  1. Posture Management メニューのRulesets ページに移動します。

  2. ビューをフィルタリングしてIaC ルールセットを表示します(たとえば、フィルタバーでPlatform: Terraform を選択します)。

  3. ルールセットを選択し、RUN ASSESSMENT をクリックします。

  4. UPLOAD をクリックして、Terraformソリューションまたは実行プランをCloudGuardにアップロードして評価する。ソリューションがすでにアップロードされている場合は、Recently Used タブに切り替えて、リストからソリューションを選択します。

  5. ファイルを参照して選択します。ファイルは次のいずれかになります。

    • v0.11(バイナリファイル)またはv0.12(JSONファイル)のTerraform実行計画を含むZIPファイル。実行計画ファイルは、場所に関係なく、どのような場合でもスキャンされます。

      ベストプラクティス-Check Pointは、評価にプランファイルを使用することをお勧めします。この方法は、参照される外部ファイルだけでなく、プロジェクト内の変数やその他の構造を処理できるため、より正確です。

    • Terraformソリューションファイルを含むフォルダのZIPファイルで、フォルダにサブフォルダを含めることができます。いずれかのフォルダには、Terraformコードファイル(.TF)が含まれている必要があります。参照されるソリューションファイルは、プロジェクトの一部であり、同じZIP ファイルにある場合にのみスキャンできます。

  6. - CloudGuard にアップロードできるTerraformプロジェクトのサイズは30MB 未満である必要があります。プロジェクトサイズが30MB を超える場合は、アップロードする前に「*.terraform」ファイルをフォルダから削除できます。

  7. Terraformソリューションファイルの場合は、一覧からソリューションへのエントリポイントを選択します。フォルダ内のファイルの1つです。選択しない場合、ルートフォルダが選択され、コードファイルがこのフォルダにある必要があります。

  8. オプションで、ソリューションファイルで使用される変数の値を入力します。

  9. SELECTをクリックします。

    10. 選択したソリューションファイルにルールセットが適用されます。

  10. 評価が完了すると、CloudGuardに結果が表示されます。他のルールセットレポートと同様に、結果のサマリと、各ルールの「合格」または「不合格」の詳細を確認できます。

ShiftLeft CLI ツールを使用して、CLI からGSL コンプライアンス評価を実行できます。これについては、 を参照してください。

IaC ファイルのGSL ルールの作成

GSL Builderを使用すると、クラウドプラットフォームのルールを構築するのと同じ方法で、TerraformプランまたはCloudFormationテンプレートのGSLポスチャー管理ルールを構築できます。次に、特定のソリューションでルールをテストし、最後のルール文をルールセットに追加して、後で他のIaC ソリューションに適用します。

  1. Posture Management メニューのGSL Builder ページに移動します。

  2. Terraform を選択し、SELECT INFRASTRUCTURE をクリックします。

  3. UPLOAD をクリックして、Terraformソリューションまたは実行プランをCloudGuardにアップロードして評価する。ソリューションがすでにアップロードされている場合は、Recently Used タブに切り替えて、リストからソリューションを選択します。

  4. ファイルを参照して選択します。ファイルは次のいずれかになります。

    • v0.11(バイナリファイル)またはv0.12(JSONファイル)のTerraform実行計画を含むZIPファイル。実行計画ファイルは、場所に関係なく、どのような場合でもスキャンされます。

      ベストプラクティス-Check Pointは、評価にプランファイルを使用することをお勧めします。この方法は、参照される外部ファイルだけでなく、プロジェクト内の変数やその他の構造を処理できるため、より正確です。

    • Terraformソリューションファイルを含むフォルダのZIPファイルで、フォルダにサブフォルダを含めることができます。いずれかのフォルダには、Terraformコードファイル(.TF)が含まれている必要があります。参照されるソリューションファイルは、プロジェクトの一部であり、同じZIP ファイルにある場合にのみスキャンできます。

  5. - CloudGuard にアップロードできるTerraformプロジェクトのサイズは30MB 未満である必要があります。プロジェクトサイズが30MB を超える場合は、アップロードする前に「*.terraform」ファイルをフォルダから削除できます。

  6. Terraformソリューションファイルの場合は、一覧からソリューションへのエントリポイントを選択します。フォルダ内のファイルの1つです。選択しない場合、ルートフォルダが選択され、コードファイルがこのフォルダにある必要があります。

  7. オプションで、ソリューションファイルで使用される変数の値を入力します。

  8. SELECTをクリックします。

    9. CloudGuardは、選択したインフラストラクチャのリソースを一覧表示します。各リソースは、GSLルールのオブジェクトとして機能できます。

  9. リスト内のいずれかのリソースを選択し、ルールの構築を続行します(ガバナンス仕様言語(GSL)を参照)。

  10. 選択したインフラストラクチャのルールをテストするには、TEST をクリックします。

  11. インフラストラクチャファイルを変更するには、SELECT INFRASTRUCTURE をクリックします。