代理和应用控制

本文档包含在 Google Cloud上运行工作负载时，代理和应用的最佳实践和准则。

为制品配置漏洞扫描

Google 控制 ID	AR-CO-6.2
实现	必需
说明	使用 Artifact Analysis 或其他工具扫描 Artifact Registry 中的映像和软件包是否存在漏洞。 如果您使用第三方扫描工具，则必须正确部署这些工具，以便扫描 Artifact Registry 中的映像和软件包是否存在漏洞。
适用的产品	Artifact Registry Artifact Analysis
路径	serviceusage.getservice
运算符	=
值	containerscanning.googleapis.com
相关 NIST-800-53 控制措施	RA-5 SI-5 SA-5 SR-8 CA-7
相关 CRI 配置文件控制	ID-RA-1.1 ID-RA-1.2 ID-RA-3.1 ID-RA-3.2 ID-RA-3.3 PR.IP-7.1 PR.IP-8.1 PR.IP-12.1 PR.IP-12.2 PR.IP-12.3 PR.IP-12.4 DE.CM-8.1 DE.CM-8.2 DE.DP-4.1 DE-DP-4.2 DE-DP-5.1 RS.CO-3.1 RS.CO-3.2 RS.CO-5.2 RS.CO-5.3 RS.AN-5.1 RS.AN-5.2 RS-AN-5.3 RS.MI-3.1 RS-MI-3.2
相关信息	Artifact Analysis 和漏洞扫描

定义允许的专用池

Google 控制 ID	CBD-CO-6.1
实现	必需
说明	借助 cloudbuild.allowedWorkerPools 列表限制条件，您可以定义组织、文件夹或项目内允许使用的专用池。 使用以下格式之一定义允许或拒绝的工作器池列表： under:organizations/ORGANIZATION_ID under:folders/FOLDER_ID under:projects/PROJECT_ID projects/PROJECT_ID/locations/REGION/workerPools/WORKER_POOL_ID
适用的产品	组织政策服务 Cloud Build
路径	constraints/cloudbuild.allowedWorkerPools
运算符	=
类型	字符串
相关 NIST-800-53 控制	AC-3 AC-5 AC-6 AC-12 AC-17 AC-20
相关 CRI 配置文件控制措施	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2 PR.PT-3.1 PR-PT-4.1
相关信息	强制使用专用池

定义哪些外部服务可以调用构建触发器

Google 控制 ID	CBD-CO-6.2
实现	必需
说明	cloudbuild.allowedIntegrations 限制条件用于定义哪些外部服务（例如 GitHub）可以调用构建触发器。例如，如果构建触发器监听 GitHub 仓库的更改，但此限制条件中拒绝了 GitHub，则触发器将不会运行。您可以为组织或项目指定任意数量的允许值或拒绝值。
适用的产品	组织政策服务 Cloud Build
路径	constraints/cloudbuild.allowedIntegrations
运算符	=
类型	列表
相关 NIST-800-53 控制	AC-3 AC-12 AC-17 AC-20
相关 CRI 配置文件控制措施	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2 PR.PT-3.1 PR-PT-4.1
相关信息	根据组织政策控制构建

为制品创建清理政策

Google 控制 ID	AR-CO-6.1
实现	根据使用情形推荐
说明	如果您存储了许多版本的制品，但只需要保留发布到正式版的特定版本，那么清理政策会很有用。创建用于删除制品和保留制品的单独清理政策。
适用的产品	Artifact Registry
相关 NIST-800-53 控制措施	SI-12
相关 CRI 配置文件控制措施	PR.IP-2.1 PR.IP-2.2 PR.IP-2.3
相关信息	配置清理政策

后续步骤

• 详细了解Google Cloud 安全防护最佳实践和指南。