Controlli di agenti e applicazioni

Questo documento include le best practice e le linee guida per gli agenti e le applicazioni durante l'esecuzione dei workload su Cloud de Confiance by S3NS.

Configura analisi delle vulnerabilità per gli artefatti

ID controllo Google AR-CO-6.2
Implementazione Obbligatorio
Descrizione

Utilizza Artifact Analysis o un altro strumento per eseguire la scansione alla ricerca di vulnerabilità nelle immagini e nei pacchetti all'interno di Artifact Registry.

Se utilizzi uno strumento di analisi di terze parti, devi eseguirne il deployment corretto per analizzare Artifact Registry alla ricerca di vulnerabilità nelle immagini e nei pacchetti.

Prodotti applicabili
  • Artifact Registry
  • Artifact Analysis
Percorso serviceusage.getservice
Operatore =
Valore

containerscanning.googleapis.com

Controlli NIST-800-53 correlati
  • RA-5
  • SI-5
  • SA-5
  • SR-8
  • CA-7
Controlli correlati del profilo CRI
  • ID-RA-1.1
  • ID-RA-1.2
  • ID-RA-3.1
  • ID-RA-3.2
  • ID-RA-3.3
  • PR.IP-7.1
  • PR.IP-8.1
  • PR.IP-12.1
  • PR.IP-12.2
  • PR.IP-12.3
  • PR.IP-12.4
  • DE.CM-8.1
  • DE.CM-8.2
  • DE.DP-4.1
  • DE-DP-4.2
  • DE-DP-5.1
  • RS.CO-3.1
  • RS.CO-3.2
  • RS.CO-5.2
  • RS.CO-5.3
  • RS.AN-5.1
  • RS.AN-5.2
  • RS-AN-5.3
  • RS.MI-3.1
  • RS-MI-3.2
Informazioni correlate

Definisci i pool privati consentiti

ID controllo Google CBD-CO-6.1
Implementazione Obbligatorio
Descrizione

Il vincolo dell'elenco cloudbuild.allowedWorkerPools ti consente di definire i pool privati consentiti che puoi utilizzare all'interno dell'organizzazione, della cartella o del progetto.

Utilizza uno dei seguenti formati per definire un elenco consentito o negato di pool di worker:

  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/locations/REGION/workerPools/WORKER_POOL_ID
Prodotti applicabili
  • Servizio Policy dell'organizzazione
  • Cloud Build
Percorso constraints/cloudbuild.allowedWorkerPools
Operatore =
Tipo Stringa
Controlli NIST-800-53 correlati
  • AC-3
  • AC-5
  • AC-6
  • AC-12
  • AC-17
  • AC-20
Controlli correlati del profilo CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
Informazioni correlate

Definisci quali servizi esterni possono richiamare i trigger di build

ID controllo Google CBD-CO-6.2
Implementazione Obbligatorio
Descrizione

Il vincolo cloudbuild.allowedIntegrations definisce quali servizi esterni (ad esempio GitHub) possono richiamare i trigger di build. Ad esempio, se il trigger di build è in attesa di modifiche a un repository GitHub e GitHub è negato in questo vincolo, il trigger non verrà eseguito. Puoi specificare un numero qualsiasi di valori consentiti o negati per la tua organizzazione o il tuo progetto.

Prodotti applicabili
  • Servizio Policy dell'organizzazione
  • Cloud Build
Percorso constraints/cloudbuild.allowedIntegrations
Operatore =
Tipo Elenco
Controlli NIST-800-53 correlati
  • AC-3
  • AC-12
  • AC-17
  • AC-20
Controlli correlati del profilo CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
Informazioni correlate

Abilita Model Armor

Implementazione Obbligatorio
Descrizione

Attiva Model Armor per rilevare contenuti dannosi o pericolosi nelle comunicazioni in linguaggio naturale, inclusi prompt e risposte LLM, connessioni client-server MCP o comunicazioni agentiche.

Prodotti applicabili

Model Armor

Percorso serviceusage.getservice
Operatore =
Valore

modelarmor.googleapis.com

Controlli NIST-800-53 correlati
  • AC-4
  • AU-2
  • AU-8
  • AU-14
  • CM-6
  • IR-7
  • MP-4
  • MP-6
  • PM-30
  • RA-3
  • RA-5
  • RA-10
  • SA-9
  • SA-11
  • SC-7
  • SC-18
  • SI-3
  • SI-4
  • SI-8
  • SI-10
  • SI-15
  • SI-19
Informazioni correlate

Configura l'analisi delle vulnerabilità del runtime

ID controllo Google AR-CO-6.3
Implementazione Obbligatorio
Descrizione

Analizza automaticamente i sistemi operativi container e i pacchetti di linguaggio nei carichi di lavoro in esecuzione per individuare le vulnerabilità note e ottenere strategie di mitigazione attuabili.

Prodotti applicabili

GKE

Percorso workload-vulnerability-scanning
Operatore ==
Valore

Enterprise

Controlli NIST-800-53 correlati
  • RA-5
  • SI-4
  • SA-5
Informazioni correlate

Crea policy di pulizia per gli artefatti

ID controllo Google AR-CO-6.1
Implementazione Consigliato in base al caso d'uso
Descrizione

Le norme di pulizia sono utili se memorizzi molte versioni dei tuoi artefatti, ma devi conservare solo le versioni specifiche che rilasci in produzione. Crea criteri di pulizia separati per l'eliminazione e la conservazione degli artefatti.

Prodotti applicabili

Artifact Registry

Controlli NIST-800-53 correlati
  • SI-12
Controlli correlati del profilo CRI
  • PR.IP-2.1
  • PR.IP-2.2
  • PR.IP-2.3
Informazioni correlate

Passaggi successivi