סוכנים ואמצעי בקרה של אפליקציות

במסמך הזה מפורטות שיטות מומלצות והנחיות לסוכנים ולאפליקציות כשמריצים עומסי עבודה ב- Cloud de Confiance by S3NS.

הגדרת סריקה של נקודות חולשה בארטיפקטים

מזהה הבקרה של Google AR-CO-6.2
הטמעה חובה
תיאור

אפשר להשתמש ב-Artifact Analysis או בכלי אחר כדי לסרוק חבילות ותמונות ב-Artifact Registry ולחפש בהן נקודות חולשה.

אם אתם משתמשים בכלי סריקה של צד שלישי, אתם צריכים לפרוס את הכלים האלה בצורה נכונה כדי לסרוק את Artifact Registry ולחפש פגיעויות בתמונות ובחבילות.

מוצרים רלוונטיים
  • Artifact Registry
  • Artifact Analysis
נתיב serviceusage.getservice
אופרטור =
ערך

containerscanning.googleapis.com

אמצעי בקרה קשורים בתקן NIST-800-53
  • RA-5
  • SI-5
  • SA-5
  • SR-8
  • CA-7
הגדרות קשורות בפרופיל CRI
  • ID-RA-1.1
  • ID-RA-1.2
  • ID-RA-3.1
  • ID-RA-3.2
  • ID-RA-3.3
  • PR.IP-7.1
  • PR.IP-8.1
  • PR.IP-12.1
  • PR.IP-12.2
  • PR.IP-12.3
  • PR.IP-12.4
  • DE.CM-8.1
  • DE.CM-8.2
  • DE.DP-4.1
  • DE-DP-4.2
  • DE-DP-5.1
  • RS.CO-3.1
  • RS.CO-3.2
  • RS.CO-5.2
  • RS.CO-5.3
  • RS.AN-5.1
  • RS.AN-5.2
  • RS-AN-5.3
  • RS.MI-3.1
  • RS-MI-3.2
מידע קשור

הגדרת בריכות פרטיות מותרות

מזהה הבקרה של Google CBD-CO-6.1
הטמעה חובה
תיאור

האילוץ cloudbuild.allowedWorkerPools list מאפשר להגדיר את המאגרים הפרטיים המורשים שבהם אפשר להשתמש בארגון, בתיקייה או בפרויקט.

כדי להגדיר רשימה של מאגרי עובדים שאפשר להשתמש בהם או שאי אפשר להשתמש בהם, צריך להשתמש באחד מהפורמטים הבאים:

  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/locations/REGION/workerPools/WORKER_POOL_ID
מוצרים רלוונטיים
  • Organization Policy Service
  • Cloud Build
נתיב constraints/cloudbuild.allowedWorkerPools
אופרטור =
סוג String
אמצעי בקרה קשורים בתקן NIST-800-53
  • AC-3
  • AC-5
  • AC-6
  • AC-12
  • AC-17
  • AC-20
הגדרות קשורות בפרופיל CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
מידע קשור

הגדרת השירותים החיצוניים שיכולים להפעיל טריגרים של בנייה

מזהה הבקרה של Google CBD-CO-6.2
הטמעה חובה
תיאור

האילוץ cloudbuild.allowedIntegrations מגדיר אילו שירותים חיצוניים (לדוגמה, GitHub) יכולים להפעיל טריגרים של build. לדוגמה, אם טריגר לפיתוח גרסת Build מאזין לשינויים במאגר GitHub, ו-GitHub נדחה במגבלה הזו, הטריגר לא יפעל. אתם יכולים לציין כל מספר של ערכים מותרים או אסורים לארגון או לפרויקט.

מוצרים רלוונטיים
  • Organization Policy Service
  • Cloud Build
נתיב constraints/cloudbuild.allowedIntegrations
אופרטור =
סוג רשימה
אמצעי בקרה קשורים בתקן NIST-800-53
  • AC-3
  • AC-12
  • AC-17
  • AC-20
הגדרות קשורות בפרופיל CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
מידע קשור

הפעלת הגנה מוגברת על המודל

הטמעה חובה
תיאור

אפשר להפעיל את הגנה מוגברת על המודל כדי לסרוק תוכן זדוני או פוגעני בתקשורת בשפה טבעית, כולל הנחיות ותשובות של LLM, חיבורי שרת-לקוח של MCP או תקשורת סוכנים.

מוצרים רלוונטיים

הגנה מוגברת על המודל

נתיב serviceusage.getservice
אופרטור =
ערך

modelarmor.googleapis.com

אמצעי בקרה קשורים בתקן NIST-800-53
  • AC-4
  • AU-2
  • AU-8
  • AU-14
  • CM-6
  • IR-7
  • MP-4
  • MP-6
  • PM-30
  • RA-3
  • RA-5
  • RA-10
  • SA-9
  • SA-11
  • SC-7
  • SC-18
  • SI-3
  • SI-4
  • SI-8
  • SI-10
  • SI-15
  • SI-19
מידע קשור

הגדרת סריקה של נקודות חולשה בזמן ריצה

מזהה הבקרה של Google AR-CO-6.3
הטמעה חובה
תיאור

סריקה אוטומטית של מערכות ההפעלה של הקונטיינרים וחבילות השפה בעומסי העבודה הפעילים כדי לקבל אסטרטגיות פעולה להפחתת הסיכון.

מוצרים רלוונטיים

GKE

נתיב workload-vulnerability-scanning
אופרטור ==
ערך

Enterprise

אמצעי בקרה קשורים בתקן NIST-800-53
  • RA-5
  • SI-4
  • SA-5
מידע קשור

יצירת מדיניות לניקוי ארטיפקטים

מזהה הבקרה של Google AR-CO-6.1
הטמעה המלצות על סמך תרחיש השימוש
תיאור

מדיניות ניקוי שימושית אם אתם מאחסנים הרבה גרסאות של הארטיפקטים שלכם, אבל אתם צריכים לשמור רק גרסאות ספציפיות שאתם מפרסמים בייצור. צריך ליצור מדיניות ניקוי נפרדת למחיקת ארטיפקטים ולשמירת ארטיפקטים.

מוצרים רלוונטיים

Artifact Registry

אמצעי בקרה קשורים בתקן NIST-800-53
  • SI-12
הגדרות קשורות בפרופיל CRI
  • PR.IP-2.1
  • PR.IP-2.2
  • PR.IP-2.3
מידע קשור

המאמרים הבאים