代理和應用程式控制選項

本文提供代理程式和應用程式最佳做法和指南，適用於在 Google Cloud上執行工作負載的情況。

設定構件的安全漏洞掃描

Google 控制項 ID	AR-CO-6.2
實作	必填
說明	使用 Artifact Analysis 或其他工具，掃描 Artifact Registry 中的映像檔和套件，檢查是否有安全漏洞。 如果您使用第三方掃描工具，請務必正確部署這些工具，掃描 Artifact Registry 中映像檔和套件的安全漏洞。
適用產品	Artifact Registry Artifact Analysis
路徑	serviceusage.getservice
運算子	=
值	containerscanning.googleapis.com
相關的 NIST-800-53 控制項	RA-5 SI-5 SA-5 SR-8 CA-7
相關的 CRI 設定檔控制項	ID-RA-1.1 ID-RA-1.2 ID-RA-3.1 ID-RA-3.2 ID-RA-3.3 PR.IP-7.1 PR.IP-8.1 PR.IP-12.1 PR.IP-12.2 PR.IP-12.3 PR.IP-12.4 DE.CM-8.1 DE.CM-8.2 DE.DP-4.1 DE-DP-4.2 DE-DP-5.1 RS.CO-3.1 RS.CO-3.2 RS.CO-5.2 RS.CO-5.3 RS.AN-5.1 RS.AN-5.2 RS-AN-5.3 RS.MI-3.1 RS-MI-3.2
相關資訊	Artifact Analysis 與安全漏洞掃描

定義允許的私人集區

Google 控制項 ID	CBD-CO-6.1
實作	必填
說明	cloudbuild.allowedWorkerPools 清單限制可讓您定義可在機構、資料夾或專案中使用的允許私人集區。 請使用下列其中一種格式，定義允許或拒絕的工作站集區清單： under:organizations/ORGANIZATION_ID under:folders/FOLDER_ID under:projects/PROJECT_ID projects/PROJECT_ID/locations/REGION/workerPools/WORKER_POOL_ID
適用產品	組織政策服務 Cloud Build
路徑	constraints/cloudbuild.allowedWorkerPools
運算子	=
類型	字串
相關的 NIST-800-53 控制項	AC-3 AC-5 AC-6 AC-12 AC-17 AC-20
相關的 CRI 設定檔控制項	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2 PR.PT-3.1 PR-PT-4.1
相關資訊	強制使用私人集區

定義可叫用建構觸發條件的外部服務

Google 控制項 ID	CBD-CO-6.2
實作	必填
說明	cloudbuild.allowedIntegrations 限制會定義哪些外部服務 (例如 GitHub) 可以叫用建構觸發條件。舉例來說，如果自動建構觸發條件會監聽 GitHub 存放區的變更，但這項限制拒絕了 GitHub，觸發條件就不會執行。您可以為機構或專案指定任意數量的允許或拒絕值。
適用產品	組織政策服務 Cloud Build
路徑	constraints/cloudbuild.allowedIntegrations
運算子	=
類型	清單
相關的 NIST-800-53 控制項	AC-3 AC-12 AC-17 AC-20
相關的 CRI 設定檔控制項	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2 PR.PT-3.1 PR-PT-4.1
相關資訊	閘道以機構政策為基礎

為構件建立清理政策

Google 控制項 ID	AR-CO-6.1
實作	依據用途建議
說明	如果您儲存許多構件版本，但只需要保留發布至正式版的特定版本，清理政策就非常實用。建立個別的清理政策，分別用於刪除構件和保留構件。
適用產品	Artifact Registry
相關的 NIST-800-53 控制項	SI-12
相關的 CRI 設定檔控制項	PR.IP-2.1 PR.IP-2.2 PR.IP-2.3
相關資訊	設定清除政策

後續步驟

• 請參閱Google Cloud 安全性最佳做法和指南。