Este documento inclui as práticas recomendadas e diretrizes para agentes e aplicativos ao executar cargas de trabalho no Cloud de Confiance by S3NS.
Configurar a verificação de vulnerabilidades para artefatos
| ID de controle do Google | AR-CO-6.2 |
|---|---|
| Implementação | Obrigatório |
| Descrição | Use o Artifact Analysis ou outra ferramenta para verificar vulnerabilidades em imagens e pacotes no Artifact Registry. Se você usar uma ferramenta de verificação de terceiros, implante-a corretamente para verificar se há vulnerabilidades em imagens e pacotes no Artifact Registry. |
| Produtos aplicáveis |
|
| Caminho | serviceusage.getservice |
| Operador | = |
| Valor |
|
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Definir pools particulares permitidos
| ID de controle do Google | CBD-CO-6.1 |
|---|---|
| Implementação | Obrigatório |
| Descrição | Com a restrição de lista Use um dos seguintes formatos para definir uma lista permitida ou negada de pools de workers:
|
| Produtos aplicáveis |
|
| Caminho | constraints/cloudbuild.allowedWorkerPools |
| Operador | = |
| Tipo | String |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Definir quais serviços externos podem invocar gatilhos de build
| ID de controle do Google | CBD-CO-6.2 |
|---|---|
| Implementação | Obrigatório |
| Descrição | A restrição |
| Produtos aplicáveis |
|
| Caminho | constraints/cloudbuild.allowedIntegrations |
| Operador | = |
| Tipo | Lista |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Ativar o Model Armor
| Implementação | Obrigatório |
|---|---|
| Descrição | Ative o Model Armor para detectar conteúdo malicioso ou prejudicial em comunicações de linguagem natural, incluindo comandos e respostas de LLMs, conexões cliente-servidor do MCP ou comunicações de agentes. |
| Produtos aplicáveis |
Model Armor |
| Caminho | serviceusage.getservice |
| Operador | = |
| Valor |
|
| Controles relacionados do NIST-800-53 |
|
| Informações relacionadas |
Configurar a verificação de vulnerabilidades de ambiente de execução
| ID de controle do Google | AR-CO-6.3 |
|---|---|
| Implementação | Obrigatório |
| Descrição | Verifique automaticamente os sistemas operacionais de contêiner e os pacotes de linguagens nas cargas de trabalho em execução em busca de vulnerabilidades conhecidas para receber estratégias de mitigação acionáveis. |
| Produtos aplicáveis |
GKE |
| Caminho | workload-vulnerability-scanning |
| Operador | == |
| Valor |
|
| Controles relacionados do NIST-800-53 |
|
| Informações relacionadas |
Criar políticas de limpeza para artefatos
| ID de controle do Google | AR-CO-6.1 |
|---|---|
| Implementação | Recomendado com base no caso de uso |
| Descrição | As políticas de limpeza são úteis se você armazena muitas versões dos seus artefatos, mas só precisa manter versões específicas que lança para produção. Crie políticas de limpeza separadas para excluir e reter artefatos. |
| Produtos aplicáveis |
Artifact Registry |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |