Sie können Google Cloud Best Practices und Richtlinien für die Sicherheit verwenden, um Sicherheitsfunktionen für Ihre Arbeitslasten und unterstützenden Dienste in der Google Cloudzu ermitteln und zu implementieren.
Die Best Practices für die Sicherheit sind ein von Google entwickelter ergänzender Leitfaden zu bestehenden gesetzlichen und sicherheitsrelevanten Praktiken in Branchen wie dem Finanzdienstleistungssektor. Die Google Cloud Best Practices und Richtlinien konzentrieren sich auf grundlegende Sicherheitskontrollen für Arbeitslasten.
Diese Best Practices für die Sicherheit sollen Chief Information Security Officers (CISOs), Sicherheitsexperten sowie Risiko- und Compliance-Beauftragten dabei helfen, Arbeitslasten in der Google Cloudzu übernehmen und bereitzustellen, wobei der Schwerpunkt auf Sicherheit und Compliance liegt. Wir richten unsere Empfehlungen an den Anforderungen der Frameworks NIST 800-53 (National Institute of Standards and Technology) und CRI (Cyber Risk Institute) aus.
Diese Best Practices unterstützen auch das Fate-Sharing Modell, bei dem wir mit verschiedenen Branchen zusammenarbeiten, um eine sicherere und robustere Cloud-Infrastruktur für verschiedene Arbeitslasten zu entwickeln. Das Fate-Sharing-Modell umfasst Bereitstellung, Betrieb und Risikotransfer. Daher konzentrieren sich diese Empfehlungen auf die Bereitstellung und den Betrieb von Arbeitslasten, insbesondere im Hinblick auf die Compliance.
Wir wissen, dass die Implementierung von Compliance und Sicherheit keine einfache Aufgabe ist. Weitere Unterstützung erhalten Sie von Sicherheitsteam Google Cloud .
Struktur der Best Practices für die Sicherheit
Die Best Practices für die Sicherheit sind als Kontrollen strukturiert, die Sie prüfen und implementieren können. Jede Kontrolle ist für eine andere Ebene des KI-Stacks konzipiert. Diese Ebenen sind:
- Sichere Unternehmensgrundlage:Kernschicht für Authentifizierung, Zugriffsverwaltung, Organisation, Netzwerke, Schlüsselverwaltung, Geheimnisverwaltung, Protokollierung, Monitoring, Benachrichtigungen, Sicherheitsanalysen und Agentenoperationen.
- KI-Infrastruktur:Ebene für Container, Computing und TPUs.
- Forschung und Modelle:Ebene für die Modellentwicklung und den aktiven Schutz von Modellen.
- Datenverwaltung und Kontext:Ebene für Data Warehouses, Speicher, Datenbanken und die Verwaltung sensibler Daten.
- Tools und Inferenzplattform:Ebene für die Gemini Enterprise Agent Platform, einschließlich Model Gardens, Model Builders und Agent Builders.
- Agenten und Anwendungen:Ebene für Gemini Enterprise, Google Workspace, KI-Anwendungen und andere Softwarekontrollen.
Das folgende Diagramm zeigt, wie diese Ebenen aufeinander aufbauen.
Die Kontrollen sind wie folgt strukturiert:
Empfohlene IAM-Rollen (Identity and Access Management): Empfehlungen für IAM-Rollen, die Nutzergruppen in Ihrer Organisation zugewiesen werden sollen.
Kontrollen für die sichere Unternehmensgrundlage: Mit diesen Best Practices können Sie eine sichere Grundlage für Arbeitslasten in der Google Cloudschaffen.
**Infrastrukturkontrollen:** Mit diesen Best Practices können Sie Sicherheitskontrollen auf Computing, Container und Beschleuniger anwenden.
Kontrollen für die Datenverwaltung:Mit diesen Best Practices können Sie Sicherheitskontrollen auf Data Warehouses und Datenspeicher anwenden.
Kontrollen für Tools und Inferenz controls: Mit diesen Best Practices können Sie Sicherheitskontrollen auf Komponenten der Gemini Enterprise Agent Platform anwenden.
Kontrollen für Agenten und Anwendungen: Mit diesen Best Practices können Sie Sicherheitskontrollen auf Anwendungen anwenden, die generative KI verwenden.
Jede Empfehlung ist prüfbar und sorgt dafür, dass ein Mindestmaß an Sicherheitskontrollen erfüllt wird.
Implementierungsebenen für Kontrollen
Die Implementierungsebenen für Kontrollen sind Erforderlich, Empfohlen oder Optional. Die Ebenen helfen dabei, wichtige Aktivitäten zu identifizieren, die wir Ihnen dringend empfehlen, Aktivitäten, die Sie in Betracht ziehen sollten, und Aktivitäten, die Sie je nach Ihren spezifischen Anforderungen und Zielen in Betracht ziehen können.
In der folgenden Tabelle werden diese Ebenen beschrieben.
| Implementierungsebene | Beschreibung |
|---|---|
Erforderlich |
Implementieren Sie diese Richtlinien für Ihre Google Cloud Umgebung. |
Empfohlen |
Implementieren Sie diese Richtlinien basierend auf bestimmten Anwendungsfällen. Eine empfohlene Best Practice könnte beispielsweise sein, sensible Daten in generativen KI-Arbeitslasten zu überwachen, wenn Ihre Umgebung diese Art von Daten enthält. |
Optional |
Berücksichtigen Sie zusätzliche Richtlinien basierend auf Ihrem Anwendungsfall und Ihrer Risikobereitschaft. |