Controles de agentes y aplicaciones

En este documento, se incluyen las prácticas recomendadas y los lineamientos para los agentes y las aplicaciones cuando ejecutan cargas de trabajo en Google Cloud.

Configura el análisis de vulnerabilidades para artefactos

ID de control de Google AR-CO-6.2
Implementación Obligatorio
Descripción

Usa Artifact Analysis o alguna otra herramienta para analizar las imágenes y los paquetes en busca de vulnerabilidades dentro de Artifact Registry.

Si usas una herramienta de análisis de terceros, debes implementarla correctamente para analizar Artifact Registry en busca de vulnerabilidades en imágenes y paquetes.
Productos aplicables
  • Artifact Registry
  • Artifact Analysis
Ruta serviceusage.getservice
Operador =
Valor
  • containerscanning.googleapis.com
Controles relacionados de NIST-800-53
  • RA-5
  • SI-5
  • SA-5
  • SR-8
  • CA-7
Controles relacionados del perfil de CRI
  • ID-RA-1.1
  • ID-RA-1.2
  • ID-RA-3.1
  • ID-RA-3.2
  • ID-RA-3.3
  • PR.IP-7.1
  • PR.IP-8.1
  • PR.IP-12.1
  • PR.IP-12.2
  • PR.IP-12.3
  • PR.IP-12.4
  • DE.CM-8.1
  • DE.CM-8.2
  • DE.DP-4.1
  • DE-DP-4.2
  • DE-DP-5.1
  • RS.CO-3.1
  • RS.CO-3.2
  • RS.CO-5.2
  • RS.CO-5.3
  • RS.AN-5.1
  • RS.AN-5.2
  • RS-AN-5.3
  • RS.MI-3.1
  • RS-MI-3.2
Información relacionada

Cómo definir grupos privados permitidos

ID de control de Google CBD-CO-6.1
Implementación Obligatorio
Descripción

La restricción de lista cloudbuild.allowedWorkerPools te permite definir los grupos privados permitidos que puedes usar en tu organización, carpeta o proyecto.

Usa uno de los siguientes formatos para definir una lista de grupos de trabajadores permitidos o denegados:

  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/locations/REGION/workerPools/WORKER_POOL_ID
Productos aplicables
  • Servicio de políticas de la organización
  • Cloud Build
Ruta constraints/cloudbuild.allowedWorkerPools
Operador =
Tipo String
Controles relacionados de NIST-800-53
  • AC-3
  • AC-5
  • AC-6
  • AC-12
  • AC-17
  • AC-20
Controles relacionados del perfil de CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
Información relacionada

Define qué servicios externos pueden invocar activadores de compilación

ID de control de Google CBD-CO-6.2
Implementación Obligatorio
Descripción

La restricción cloudbuild.allowedIntegrations define qué servicios externos (por ejemplo, GitHub) pueden invocar activadores de compilación. Por ejemplo, si tu activador de compilación escucha los cambios en un repositorio de GitHub y se rechaza GitHub en esta restricción, el activador no se ejecutará. Puedes especificar la cantidad que desees de valores permitidos o rechazados para tu organización o proyecto.
Productos aplicables
  • Servicio de políticas de la organización
  • Cloud Build
Ruta constraints/cloudbuild.allowedIntegrations
Operador =
Tipo Lista
Controles relacionados de NIST-800-53
  • AC-3
  • AC-12
  • AC-17
  • AC-20
Controles relacionados del perfil de CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
Información relacionada

Habilita Model Armor

Implementación Obligatorio
Descripción

Habilita Model Armor para analizar el contenido dañino o malicioso en las comunicaciones en lenguaje natural, incluidas las instrucciones y respuestas de los LLM, las conexiones cliente-servidor del MCP o las comunicaciones de agentes.
Productos aplicables
  • Model Armor
Ruta serviceusage.getservice
Operador =
Valor
  • modelarmor.googleapis.com
Controles relacionados de NIST-800-53
  • AC-4
  • AU-2
  • AU-8
  • AU-14
  • CM-6
  • IR-7
  • MP-4
  • MP-6
  • PM-30
  • RA-3
  • RA-5
  • RA-10
  • SA-9
  • SA-11
  • SC-7
  • SC-18
  • SI-3
  • SI-4
  • SI-8
  • SI-10
  • SI-15
  • SI-19
Información relacionada

Configura el análisis de vulnerabilidades del entorno de ejecución

ID de control de Google AR-CO-6.3
Implementación Obligatorio
Descripción

Analiza automáticamente los sistemas operativos de contenedores y los paquetes de idiomas en tus cargas de trabajo en ejecución en busca de vulnerabilidades conocidas para obtener estrategias de mitigación prácticas.
Productos aplicables
  • GKE
Ruta workload-vulnerability-scanning
Operador ==
Valor
  • Enterprise
Controles relacionados de NIST-800-53
  • RA-5
  • SI-4
  • SA-5
Información relacionada

Crea políticas de limpieza para artefactos

ID de control de Google AR-CO-6.1
Implementación Recomendaciones basadas en el caso de uso
Descripción

Las políticas de limpieza son útiles si almacenas muchas versiones de tus artefactos, pero solo necesitas conservar las versiones específicas que lanzas para producción. Crea políticas de limpieza independientes para borrar y conservar artefactos.
Productos aplicables
  • Artifact Registry
Controles relacionados de NIST-800-53
  • SI-12
Controles relacionados del perfil de CRI
  • PR.IP-2.1
  • PR.IP-2.2
  • PR.IP-2.3
Información relacionada

¿Qué sigue?