Controlli di agenti e applicazioni

Questo documento include le best practice e le linee guida per gli agenti e le applicazioni durante l'esecuzione dei workload su Google Cloud.

Configura analisi delle vulnerabilità per gli artefatti

ID controllo Google AR-CO-6.2
Implementazione Obbligatorio
Descrizione

Utilizza Artifact Analysis o un altro strumento per eseguire la scansione alla ricerca di vulnerabilità nelle immagini e nei pacchetti all'interno di Artifact Registry.

Se utilizzi uno strumento di analisi di terze parti, devi eseguirne il deployment corretto per analizzare Artifact Registry alla ricerca di vulnerabilità nelle immagini e nei pacchetti.
Prodotti applicabili
  • Artifact Registry
  • Artifact Analysis
Percorso serviceusage.getservice
Operatore =
Valore
  • containerscanning.googleapis.com
Controlli NIST-800-53 correlati
  • RA-5
  • SI-5
  • SA-5
  • SR-8
  • CA-7
Controlli del profilo CRI correlati
  • ID-RA-1.1
  • ID-RA-1.2
  • ID-RA-3.1
  • ID-RA-3.2
  • ID-RA-3.3
  • PR.IP-7.1
  • PR.IP-8.1
  • PR.IP-12.1
  • PR.IP-12.2
  • PR.IP-12.3
  • PR.IP-12.4
  • DE.CM-8.1
  • DE.CM-8.2
  • DE.DP-4.1
  • DE-DP-4.2
  • DE-DP-5.1
  • RS.CO-3.1
  • RS.CO-3.2
  • RS.CO-5.2
  • RS.CO-5.3
  • RS.AN-5.1
  • RS.AN-5.2
  • RS-AN-5.3
  • RS.MI-3.1
  • RS-MI-3.2
Informazioni correlate

Definisci i pool privati consentiti

ID controllo Google CBD-CO-6.1
Implementazione Obbligatorio
Descrizione

Il vincolo dell'elenco cloudbuild.allowedWorkerPools ti consente di definire i pool privati consentiti che puoi utilizzare all'interno dell'organizzazione, della cartella o del progetto.

Utilizza uno dei seguenti formati per definire un elenco consentito o negato di pool di worker:

  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/locations/REGION/workerPools/WORKER_POOL_ID
Prodotti applicabili
  • Servizio Policy dell'organizzazione
  • Cloud Build
Percorso constraints/cloudbuild.allowedWorkerPools
Operatore =
Tipo Stringa
Controlli NIST-800-53 correlati
  • AC-3
  • AC-5
  • AC-6
  • AC-12
  • AC-17
  • AC-20
Controlli del profilo CRI correlati
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
Informazioni correlate

Definisci quali servizi esterni possono richiamare i trigger di build

ID controllo Google CBD-CO-6.2
Implementazione Obbligatorio
Descrizione

Il vincolo cloudbuild.allowedIntegrations definisce quali servizi esterni (ad esempio GitHub) possono richiamare i trigger di build. Ad esempio, se il trigger di build è in attesa di modifiche a un repository GitHub e GitHub è negato in questo vincolo, il trigger non verrà eseguito. Puoi specificare un numero qualsiasi di valori consentiti o negati per la tua organizzazione o il tuo progetto.
Prodotti applicabili
  • Servizio Policy dell'organizzazione
  • Cloud Build
Percorso constraints/cloudbuild.allowedIntegrations
Operatore =
Tipo Elenco
Controlli NIST-800-53 correlati
  • AC-3
  • AC-12
  • AC-17
  • AC-20
Controlli del profilo CRI correlati
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
Informazioni correlate

Abilita Model Armor

Implementazione Obbligatorio
Descrizione

Attiva Model Armor per rilevare contenuti dannosi o pericolosi nelle comunicazioni in linguaggio naturale, inclusi prompt e risposte LLM, connessioni client-server MCP o comunicazioni agentiche.
Prodotti applicabili
  • Model Armor
Percorso serviceusage.getservice
Operatore =
Valore
  • modelarmor.googleapis.com
Controlli NIST-800-53 correlati
  • AC-4
  • AU-2
  • AU-8
  • AU-14
  • CM-6
  • IR-7
  • MP-4
  • MP-6
  • PM-30
  • RA-3
  • RA-5
  • RA-10
  • SA-9
  • SA-11
  • SC-7
  • SC-18
  • SI-3
  • SI-4
  • SI-8
  • SI-10
  • SI-15
  • SI-19
Informazioni correlate

Configura l'analisi delle vulnerabilità del runtime

ID controllo Google AR-CO-6.3
Implementazione Obbligatorio
Descrizione

Analizza automaticamente i sistemi operativi container e i pacchetti di linguaggio nei carichi di lavoro in esecuzione per individuare le vulnerabilità note e ottenere strategie di mitigazione attuabili.
Prodotti applicabili
  • GKE
Percorso workload-vulnerability-scanning
Operatore ==
Valore
  • Enterprise
Controlli NIST-800-53 correlati
  • RA-5
  • SI-4
  • SA-5
Informazioni correlate

Crea policy di pulizia per gli artefatti

ID controllo Google AR-CO-6.1
Implementazione Consigliato in base al caso d'uso
Descrizione

Le policy di pulizia sono utili se memorizzi molte versioni dei tuoi artefatti, ma devi conservare solo le versioni specifiche che rilasci in produzione. Crea policy di pulizia separate per eliminare e conservare gli artefatti.
Prodotti applicabili
  • Artifact Registry
Controlli NIST-800-53 correlati
  • SI-12
Controlli del profilo CRI correlati
  • PR.IP-2.1
  • PR.IP-2.2
  • PR.IP-2.3
Informazioni correlate

Passaggi successivi