Catálogo de prácticas recomendadas de seguridad de Google Cloud

Puedes usar Google Cloud las prácticas recomendadas y los lineamientos de seguridad para descubrir e implementar funciones de seguridad para tus cargas de trabajo y servicios de asistencia enGoogle Cloud.

Las prácticas recomendadas de seguridad son una guía complementaria impulsada por Google para las prácticas regulatorias y de seguridad existentes en industrias como el sector de servicios financieros. Las Google Cloud prácticas recomendadas y los lineamientos se enfocan en los controles de seguridad fundamentales de las cargas de trabajo.

Estas prácticas recomendadas de seguridad tienen como objetivo ayudar a los directores de seguridad de la información (CISO), los profesionales de seguridad y los oficiales de cumplimiento y riesgo a adoptar e implementar cargas de trabajo en Google Cloud, al mismo tiempo que se enfocan en la seguridad, la protección y el cumplimiento. Alineamos nuestras recomendaciones con los requisitos de los frameworks del Instituto Nacional de Estándares y Tecnología (NIST) 800-53 y del Cyber Risk Institute (CRI).

Estas prácticas recomendadas también admiten el modelo de destino compartido, en el que nos esforzamos por colaborar con las industrias para crear una infraestructura de nube más segura y resiliente para diversas cargas de trabajo. El modelo de destino compartido incluye la implementación, las operaciones y la transferencia de riesgos. Por lo tanto, estas recomendaciones se enfocan en la implementación y las operaciones de las cargas de trabajo, en particular en relación con el cumplimiento.

Comprendemos que implementar el cumplimiento y la seguridad no es un ejercicio sencillo. Si necesitas más ayuda, comunícate con Google Cloud Seguridad.

Estructura de las prácticas recomendadas de seguridad

Las prácticas recomendadas de seguridad se estructuran como controles que puedes revisar e implementar. Cada control está diseñado para abordar un nivel diferente de la pila de IA. Estos niveles son los siguientes:

  • Base empresarial segura: Capa principal para la autenticación, la administración de accesos, la organización, las redes, la administración de claves, la administración de secretos, el registro, la supervisión, las alertas, el análisis de seguridad y las operaciones de agentes.
  • Infraestructura de IA: Capa para contenedores, procesamiento y TPU.
  • Investigación y modelos: Capa para el desarrollo de modelos y la protección activa de modelos
  • Capa de administración y contexto de datos: para almacenes de datos, almacenamiento, bases de datos y administración de datos sensibles.
  • Plataforma de herramientas y de inferencia: Es la capa de la Agent Platform de Gemini Enterprise que incluye Model Gardens, Model Builders y Agent Builders.
  • Agentes y aplicaciones: Capa para Gemini Enterprise, Google Workspace, aplicaciones basadas en IA y otros controles de software.

En el siguiente diagrama, se muestra cómo se apilan estos niveles.

Pila de IA del catálogo.

Los controles están estructurados de la siguiente manera:

Cada recomendación se puede auditar y garantiza que se cumpla un nivel básico de controles de seguridad.

Niveles de control de implementación

Los niveles de implementación de controles son Obligatorio, Recomendado o Opcional. Los niveles ayudan a identificar actividades clave que te recomendamos que realices, actividades que te aconsejamos que consideres y actividades que podrías considerar según tus requisitos y objetivos específicos.

En la siguiente tabla, se describen estos niveles.

Nivel de implementación Descripción

Obligatorio

Implementa estos lineamientos para tu entorno de Google Cloud .

Recomendado

Implementa estos lineamientos según casos de uso específicos. Por ejemplo, una práctica recomendada podría ser supervisar los datos sensibles dentro de las cargas de trabajo de IA generativa si tu entorno incluye ese tipo de datos.

Opcional

Considera lineamientos adicionales según tu caso de uso y tu tolerancia al riesgo.

¿Qué sigue?