Controles de agentes e aplicativos

Este documento inclui as práticas recomendadas e diretrizes para agentes e aplicativos ao executar cargas de trabalho no Cloud de Confiance by S3NS.

Configurar a verificação de vulnerabilidades para artefatos

ID de controle do Google AR-CO-6.2
Implementação Obrigatório
Descrição

Use o Artifact Analysis ou outra ferramenta para verificar vulnerabilidades em imagens e pacotes no Artifact Registry.

Se você usar uma ferramenta de verificação de terceiros, implante-a corretamente para verificar se há vulnerabilidades em imagens e pacotes no Artifact Registry.

Produtos aplicáveis
  • Artifact Registry
  • Artifact Analysis
Caminho serviceusage.getservice
Operador =
Valor

containerscanning.googleapis.com

Controles relacionados do NIST-800-53
  • RA-5
  • SI-5
  • SA-5
  • SR-8
  • CA-7
Controles relacionados ao perfil da CRI
  • ID-RA-1.1
  • ID-RA-1.2
  • ID-RA-3.1
  • ID-RA-3.2
  • ID-RA-3.3
  • PR.IP-7.1
  • PR.IP-8.1
  • PR.IP-12.1
  • PR.IP-12.2
  • PR.IP-12.3
  • PR.IP-12.4
  • DE.CM-8.1
  • DE.CM-8.2
  • DE.DP-4.1
  • DE-DP-4.2
  • DE-DP-5.1
  • RS.CO-3.1
  • RS.CO-3.2
  • RS.CO-5.2
  • RS.CO-5.3
  • RS.AN-5.1
  • RS.AN-5.2
  • RS-AN-5.3
  • RS.MI-3.1
  • RS-MI-3.2
Informações relacionadas

Definir pools particulares permitidos

ID de controle do Google CBD-CO-6.1
Implementação Obrigatório
Descrição

Com a restrição de lista cloudbuild.allowedWorkerPools, é possível definir os pools particulares permitidos que podem ser usados na sua organização, pasta ou projeto.

Use um dos seguintes formatos para definir uma lista permitida ou negada de pools de workers:

  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/locations/REGION/workerPools/WORKER_POOL_ID
Produtos aplicáveis
  • Serviço de política da organização
  • Cloud Build
Caminho constraints/cloudbuild.allowedWorkerPools
Operador =
Tipo String
Controles relacionados do NIST-800-53
  • AC-3
  • AC-5
  • AC-6
  • AC-12
  • AC-17
  • AC-20
Controles relacionados ao perfil da CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
Informações relacionadas

Definir quais serviços externos podem invocar gatilhos de build

ID de controle do Google CBD-CO-6.2
Implementação Obrigatório
Descrição

A restrição cloudbuild.allowedIntegrations define quais serviços externos (por exemplo, GitHub) podem invocar acionadores de build. Por exemplo, se o gatilho de compilação detectar mudanças em um repositório do GitHub e o GitHub for negado nessa restrição, o gatilho não será executado. É possível especificar qualquer número de valores permitidos ou negados para sua organização ou projeto.

Produtos aplicáveis
  • Serviço de política da organização
  • Cloud Build
Caminho constraints/cloudbuild.allowedIntegrations
Operador =
Tipo Lista
Controles relacionados do NIST-800-53
  • AC-3
  • AC-12
  • AC-17
  • AC-20
Controles relacionados ao perfil da CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
Informações relacionadas

Ativar o Model Armor

Implementação Obrigatório
Descrição

Ative o Model Armor para detectar conteúdo malicioso ou prejudicial em comunicações de linguagem natural, incluindo comandos e respostas de LLMs, conexões cliente-servidor do MCP ou comunicações de agentes.

Produtos aplicáveis

Model Armor

Caminho serviceusage.getservice
Operador =
Valor

modelarmor.googleapis.com

Controles relacionados do NIST-800-53
  • AC-4
  • AU-2
  • AU-8
  • AU-14
  • CM-6
  • IR-7
  • MP-4
  • MP-6
  • PM-30
  • RA-3
  • RA-5
  • RA-10
  • SA-9
  • SA-11
  • SC-7
  • SC-18
  • SI-3
  • SI-4
  • SI-8
  • SI-10
  • SI-15
  • SI-19
Informações relacionadas

Configurar a verificação de vulnerabilidades de ambiente de execução

ID de controle do Google AR-CO-6.3
Implementação Obrigatório
Descrição

Verifique automaticamente os sistemas operacionais de contêiner e os pacotes de linguagens nas cargas de trabalho em execução em busca de vulnerabilidades conhecidas para receber estratégias de mitigação acionáveis.

Produtos aplicáveis

GKE

Caminho workload-vulnerability-scanning
Operador ==
Valor

Enterprise

Controles relacionados do NIST-800-53
  • RA-5
  • SI-4
  • SA-5
Informações relacionadas

Criar políticas de limpeza para artefatos

ID de controle do Google AR-CO-6.1
Implementação Recomendado com base no caso de uso
Descrição

As políticas de limpeza são úteis se você armazena muitas versões dos seus artefatos, mas só precisa manter versões específicas que lança para produção. Crie políticas de limpeza separadas para excluir e reter artefatos.

Produtos aplicáveis

Artifact Registry

Controles relacionados do NIST-800-53
  • SI-12
Controles relacionados ao perfil da CRI
  • PR.IP-2.1
  • PR.IP-2.2
  • PR.IP-2.3
Informações relacionadas

A seguir