代理和應用程式控制選項

本文提供代理程式和應用程式最佳做法和指南,適用於在 Google Cloud上執行工作負載的情況。

設定構件的安全漏洞掃描功能

Google 控制項 ID AR-CO-6.2
實作 必填
說明

使用 Artifact Analysis 或其他工具,掃描 Artifact Registry 中的映像檔和套件,檢查是否有安全漏洞。

如果您使用第三方掃描工具,請務必正確部署這些工具,掃描 Artifact Registry 映像檔和套件中的安全漏洞。
適用產品
  • Artifact Registry
  • Artifact Analysis
路徑 serviceusage.getservice
運算子 =
  • containerscanning.googleapis.com
相關的 NIST-800-53 控制項
  • RA-5
  • SI-5
  • SA-5
  • SR-8
  • CA-7
相關的 CRI 設定檔控制項
  • ID-RA-1.1
  • ID-RA-1.2
  • ID-RA-3.1
  • ID-RA-3.2
  • ID-RA-3.3
  • PR.IP-7.1
  • PR.IP-8.1
  • PR.IP-12.1
  • PR.IP-12.2
  • PR.IP-12.3
  • PR.IP-12.4
  • DE.CM-8.1
  • DE.CM-8.2
  • DE.DP-4.1
  • DE-DP-4.2
  • DE-DP-5.1
  • RS.CO-3.1
  • RS.CO-3.2
  • RS.CO-5.2
  • RS.CO-5.3
  • RS.AN-5.1
  • RS.AN-5.2
  • RS-AN-5.3
  • RS.MI-3.1
  • RS-MI-3.2
相關資訊

定義允許的私人集區

Google 控制項 ID CBD-CO-6.1
實作 必填
說明

cloudbuild.allowedWorkerPools 清單限制可讓您定義可在機構、資料夾或專案中使用的允許私人集區。

請使用下列其中一種格式,定義允許或拒絕的工作站集區清單:

  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/locations/REGION/workerPools/WORKER_POOL_ID
適用產品
  • 組織政策服務
  • Cloud Build
路徑 constraints/cloudbuild.allowedWorkerPools
運算子 =
類型 字串
相關的 NIST-800-53 控制項
  • AC-3
  • AC-5
  • AC-6
  • AC-12
  • AC-17
  • AC-20
相關的 CRI 設定檔控制項
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
相關資訊

定義可叫用建構觸發條件的外部服務

Google 控制項 ID CBD-CO-6.2
實作 必填
說明

cloudbuild.allowedIntegrations 限制會定義哪些外部服務 (例如 GitHub) 可以叫用建構觸發條件。舉例來說,如果建構觸發條件監聽 GitHub 存放區的變更,但這項限制拒絕 GitHub,觸發條件就不會執行。您可以為機構或專案指定任意數量的允許或拒絕值。
適用產品
  • 組織政策服務
  • Cloud Build
路徑 constraints/cloudbuild.allowedIntegrations
運算子 =
類型 清單
相關的 NIST-800-53 控制項
  • AC-3
  • AC-12
  • AC-17
  • AC-20
相關的 CRI 設定檔控制項
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
相關資訊

啟用 Model Armor

實作 必填
說明

啟用 Model Armor,篩選自然語言通訊中的惡意或有害內容,包括 LLM 提示詞和回覆、MCP 伺服器與用戶端連線,或代理通訊。
適用產品
  • Model Armor
路徑 serviceusage.getservice
運算子 =
  • modelarmor.googleapis.com
相關的 NIST-800-53 控制項
  • AC-4
  • AU-2
  • AU-8
  • AU-14
  • CM-6
  • IR-7
  • MP-4
  • MP-6
  • PM-30
  • RA-3
  • RA-5
  • RA-10
  • SA-9
  • SA-11
  • SC-7
  • SC-18
  • SI-3
  • SI-4
  • SI-8
  • SI-10
  • SI-15
  • SI-19
相關資訊

設定執行階段安全漏洞掃描

Google 控制項 ID AR-CO-6.3
實作 必填
說明

自動掃描運作中工作負載的容器作業系統和語言套件,找出已知安全漏洞,並取得可行的緩解策略。
適用產品
  • GKE
路徑 workload-vulnerability-scanning
運算子 ==
  • Enterprise
相關的 NIST-800-53 控制項
  • RA-5
  • SI-4
  • SA-5
相關資訊

為構件建立清理政策

Google 控制項 ID AR-CO-6.1
實作 根據用途建議
說明

如果您儲存了許多版本的構件,但只需要保留發布至正式版的特定版本,就可以使用清理政策。您可以建立不同的清理政策,分別用於刪除和保留構件。
適用產品
  • Artifact Registry
相關的 NIST-800-53 控制項
  • SI-12
相關的 CRI 設定檔控制項
  • PR.IP-2.1
  • PR.IP-2.2
  • PR.IP-2.3
相關資訊

後續步驟