Agenten- und Anwendungssteuerung

Dieses Dokument enthält die Best Practices und Richtlinien für Agenten und Anwendungen, wenn Arbeitslasten auf Google Cloudausgeführt werden.

Scannen von Artefakten auf Sicherheitslücken konfigurieren

Google-Einstellungs-ID AR-CO-6.2
Implementierung Erforderlich
Beschreibung

Verwenden Sie die Artefaktanalyse oder ein anderes Tool, um in Images und Paketen in Artifact Registry nach Sicherheitslücken zu suchen.

Wenn Sie ein Drittanbietertool zum Scannen verwenden, müssen Sie es richtig bereitstellen, um Artifact Registry nach Sicherheitslücken in Images und Paketen zu durchsuchen.
Entsprechende Produkte
  • Artifact Registry
  • Artefaktanalyse
Pfad serviceusage.getservice
Operator =
Wert
  • containerscanning.googleapis.com
Zugehörige NIST-800-53-Kontrollen
  • RA-5
  • SI-5
  • SA-5
  • SR-8
  • CA-7
Zugehörige CRI-Profileinstellungen
  • ID-RA-1.1
  • ID-RA-1.2
  • ID-RA-3.1
  • ID-RA-3.2
  • ID-RA-3.3
  • PR.IP-7.1
  • PR.IP-8.1
  • PR.IP-12.1
  • PR.IP-12.2
  • PR.IP-12.3
  • PR.IP-12.4
  • DE.CM-8.1
  • DE.CM-8.2
  • DE.DP-4.1
  • DE-DP-4.2
  • DE-DP-5.1
  • RS.CO-3.1
  • RS.CO-3.2
  • RS.CO-5.2
  • RS.CO-5.3
  • RS.AN-5.1
  • RS.AN-5.2
  • RS-AN-5.3
  • RS.MI-3.1
  • RS-MI-3.2
Weitere Informationen

Zulässige private Pools definieren

Google-Einstellungs-ID CBD-CO-6.1
Implementierung Erforderlich
Beschreibung

Mit der Listeneinschränkung cloudbuild.allowedWorkerPools können Sie die zulässigen privaten Pools definieren, die Sie in Ihrer Organisation, Ihrem Ordner oder Ihrem Projekt verwenden können.

Verwenden Sie eines der folgenden Formate, um eine Liste zulässiger oder nicht zulässiger Worker-Pools zu definieren:

  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/locations/REGION/workerPools/WORKER_POOL_ID
Entsprechende Produkte
  • Organisationsrichtliniendienst
  • Cloud Build
Pfad constraints/cloudbuild.allowedWorkerPools
Operator =
Typ String
Zugehörige NIST-800-53-Kontrollen
  • AC-3
  • AC-5
  • AC-6
  • AC-12
  • AC-17
  • AC-20
Zugehörige CRI-Profileinstellungen
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
Weitere Informationen

Definieren, welche externen Dienste Build-Trigger aufrufen können

Google-Einstellungs-ID CBD-CO-6.2
Implementierung Erforderlich
Beschreibung

Mit der Einschränkung cloudbuild.allowedIntegrations wird definiert, welche externen Dienste (z. B. GitHub) Build-Trigger aufrufen können. Wenn Ihr Build-Trigger beispielsweise auf Änderungen an einem GitHub-Repository wartet und GitHub in dieser Einschränkung verweigert wird, wird Ihr Trigger nicht ausgeführt. Sie können eine beliebige Anzahl von zulässigen oder verbotenen Werten für Ihre Organisation oder Ihr Projekt angeben.
Entsprechende Produkte
  • Organisationsrichtliniendienst
  • Cloud Build
Pfad constraints/cloudbuild.allowedIntegrations
Operator =
Typ Liste
Zugehörige NIST-800-53-Kontrollen
  • AC-3
  • AC-12
  • AC-17
  • AC-20
Zugehörige CRI-Profileinstellungen
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
Weitere Informationen

Model Armor aktivieren

Implementierung Erforderlich
Beschreibung

Aktivieren Sie Model Armor, um in der Kommunikation in natürlicher Sprache nach schädlichen oder schädlichen Inhalten zu suchen, einschließlich LLM-Prompts und -Antworten, MCP-Server-Client-Verbindungen oder Agent-Kommunikation.
Entsprechende Produkte
  • Model Armor
Pfad serviceusage.getservice
Operator =
Wert
  • modelarmor.googleapis.com
Zugehörige NIST-800-53-Kontrollen
  • AC-4
  • AU-2
  • AU-8
  • AU-14
  • CM-6
  • IR-7
  • MP-4
  • MP-6
  • PM-30
  • RA-3
  • RA-5
  • RA-10
  • SA-9
  • SA-11
  • SC-7
  • SC-18
  • SI-3
  • SI-4
  • SI-8
  • SI-10
  • SI-15
  • SI-19
Weitere Informationen

Laufzeit-Scannen auf Sicherheitslücken konfigurieren

Google-Einstellungs-ID AR-CO-6.3
Implementierung Erforderlich
Beschreibung

Containerbetriebssysteme und Sprachpakete in Ihren laufenden Arbeitslasten automatisch auf bekannte Sicherheitslücken scannen, um umsetzbare Strategien zur Risikominderung zu erhalten.
Entsprechende Produkte
  • GKE
Pfad workload-vulnerability-scanning
Operator ==
Wert
  • Enterprise
Zugehörige NIST-800-53-Kontrollen
  • RA-5
  • SI-4
  • SA-5
Weitere Informationen

Bereinigungsrichtlinien für Artefakte erstellen

Google-Einstellungs-ID AR-CO-6.1
Implementierung Empfohlen basierend auf dem Anwendungsfall
Beschreibung

Bereinigungsrichtlinien sind nützlich, wenn Sie viele Versionen Ihrer Artefakte speichern, aber nur bestimmte Versionen behalten müssen, die Sie in der Produktion veröffentlichen. Erstellen Sie separate Bereinigungsrichtlinien zum Löschen und Beibehalten von Artefakten.
Entsprechende Produkte
  • Artifact Registry
Zugehörige NIST-800-53-Kontrollen
  • SI-12
Zugehörige CRI-Profileinstellungen
  • PR.IP-2.1
  • PR.IP-2.2
  • PR.IP-2.3
Weitere Informationen

Nächste Schritte