本文档包含在 Cloud de Confiance by S3NS上运行工作负载时,代理和应用的最佳实践和准则。
为制品配置漏洞扫描
| Google 控制 ID | AR-CO-6.2 |
|---|---|
| 实现 | 必需 |
| 说明 | 使用 Artifact Analysis 或其他工具扫描 Artifact Registry 中的映像和软件包是否存在漏洞。 如果您使用第三方扫描工具,则必须正确部署这些工具,以便扫描 Artifact Registry 中的映像和软件包是否存在漏洞。 |
| 适用的产品 |
|
| 路径 | serviceusage.getservice |
| 运算符 | = |
| 值 |
|
| 相关 NIST-800-53 控制措施 |
|
| 相关 CRI 配置文件控制 |
|
| 相关信息 |
定义允许的专用池
| Google 控制 ID | CBD-CO-6.1 |
|---|---|
| 实现 | 必需 |
| 说明 | 借助 使用以下格式之一定义允许或拒绝的工作器池列表:
|
| 适用的产品 |
|
| 路径 | constraints/cloudbuild.allowedWorkerPools |
| 运算符 | = |
| 类型 | 字符串 |
| 相关 NIST-800-53 控制 |
|
| 相关 CRI 配置文件控制措施 |
|
| 相关信息 |
定义哪些外部服务可以调用构建触发器
| Google 控制 ID | CBD-CO-6.2 |
|---|---|
| 实现 | 必需 |
| 说明 |
|
| 适用的产品 |
|
| 路径 | constraints/cloudbuild.allowedIntegrations |
| 运算符 | = |
| 类型 | 列表 |
| 相关 NIST-800-53 控制 |
|
| 相关 CRI 配置文件控制措施 |
|
| 相关信息 |
启用 Model Armor
| 实现 | 必需 |
|---|---|
| 说明 | 启用 Model Armor 以筛查自然语言通信中的恶意或有害内容,包括 LLM 提示和回答、MCP 服务器-客户端连接或代理通信。 |
| 适用的产品 |
Model Armor |
| 路径 | serviceusage.getservice |
| 运算符 | = |
| 值 |
|
| 相关 NIST-800-53 控制措施 |
|
| 相关信息 |
配置运行时漏洞扫描
| Google 控制 ID | AR-CO-6.3 |
|---|---|
| 实现 | 必需 |
| 说明 | 自动扫描正在运行的工作负载中的容器操作系统和语言包以查找已知漏洞,从而获取切实可行的缓解策略。 |
| 适用的产品 |
GKE |
| 路径 | workload-vulnerability-scanning |
| 运算符 | == |
| 值 |
|
| 相关 NIST-800-53 控制措施 |
|
| 相关信息 |
为制品创建清理政策
| Google 控制 ID | AR-CO-6.1 |
|---|---|
| 实现 | 根据使用情形推荐 |
| 说明 | 如果您存储了许多版本的制品,但只需要保留发布到正式版的特定版本,那么清理政策会很有用。创建用于删除制品和保留制品的单独清理政策。 |
| 适用的产品 |
Artifact Registry |
| 相关 NIST-800-53 控制措施 |
|
| 相关 CRI 配置文件控制措施 |
|
| 相关信息 |