Agents et contrôles des applications

Ce document présente les bonnes pratiques et les consignes à suivre pour les agents et les applications lors de l'exécution de charges de travail sur Google Cloud.

Configurer l'analyse des failles pour les artefacts

ID de contrôle Google AR-CO-6.2
Implémentation Obligatoire
Description

Utilisez Artifact Analysis ou un autre outil pour rechercher les failles dans les images et les packages d'Artifact Registry.

Si vous utilisez un outil d'analyse tiers, vous devez le déployer correctement pour analyser les failles dans les images et les packages d'Artifact Registry.
Produits applicables
  • Artifact Registry
  • Artifact Analysis
Chemin d'accès serviceusage.getservice
Opérateur =
Valeur
  • containerscanning.googleapis.com
Contrôles NIST-800-53 associés
  • RA-5
  • SI-5
  • SA-5
  • SR-8
  • CA-7
Contrôles du profil CRI associés
  • ID-RA-1.1
  • ID-RA-1.2
  • ID-RA-3.1
  • ID-RA-3.2
  • ID-RA-3.3
  • PR.IP-7.1
  • PR.IP-8.1
  • PR.IP-12.1
  • PR.IP-12.2
  • PR.IP-12.3
  • PR.IP-12.4
  • DE.CM-8.1
  • DE.CM-8.2
  • DE.DP-4.1
  • DE-DP-4.2
  • DE-DP-5.1
  • RS.CO-3.1
  • RS.CO-3.2
  • RS.CO-5.2
  • RS.CO-5.3
  • RS.AN-5.1
  • RS.AN-5.2
  • RS-AN-5.3
  • RS.MI-3.1
  • RS-MI-3.2
Informations connexes

Définir les pools privés autorisés

ID de contrôle Google CBD-CO-6.1
Implémentation Obligatoire
Description

La contrainte de liste cloudbuild.allowedWorkerPools vous permet de définir les pools privés autorisés que vous pouvez utiliser dans votre organisation, votre dossier ou votre projet.

Utilisez l'un des formats suivants pour définir une liste autorisée ou refusée de pools de nœuds de calcul :

  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/locations/REGION/workerPools/WORKER_POOL_ID
Produits applicables
  • Service de règles d'administration
  • Cloud Build
Chemin d'accès constraints/cloudbuild.allowedWorkerPools
Opérateur =
Type Chaîne
Contrôles NIST-800-53 associés
  • AC-3
  • AC-5
  • AC-6
  • AC-12
  • AC-17
  • AC-20
Contrôles du profil CRI associés
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
Informations connexes

Définir les services externes pouvant appeler des déclencheurs de compilation

ID de contrôle Google CBD-CO-6.2
Implémentation Obligatoire
Description

La contrainte cloudbuild.allowedIntegrations définit les services externes (GitHub, par exemple) pouvant appeler des déclencheurs de compilation. Par exemple, si votre déclencheur de compilation écoute les modifications apportées à un dépôt GitHub et que GitHub est refusé dans cette contrainte, votre déclencheur ne s'exécutera pas. Vous pouvez spécifier n'importe quel nombre de valeurs autorisées ou refusées pour votre organisation ou votre projet.
Produits applicables
  • Service de règles d'administration
  • Cloud Build
Chemin d'accès constraints/cloudbuild.allowedIntegrations
Opérateur =
Type Liste
Contrôles NIST-800-53 associés
  • AC-3
  • AC-12
  • AC-17
  • AC-20
Contrôles du profil CRI associés
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
Informations connexes

Créer des règles de nettoyage pour les artefacts

ID de contrôle Google AR-CO-6.1
Implémentation Recommandée en fonction du cas d'utilisation
Description

Les règles de nettoyage sont utiles si vous stockez de nombreuses versions de vos artefacts, mais que vous n'avez besoin de conserver que les versions spécifiques que vous déployez en production. Créez des règles de nettoyage distinctes pour supprimer et conserver les artefacts.
Produits applicables
  • Artifact Registry
Contrôles NIST-800-53 associés
  • SI-12
Contrôles du profil CRI associés
  • PR.IP-2.1
  • PR.IP-2.2
  • PR.IP-2.3
Informations connexes

Étape suivante