Catalogo delle best practice per la sicurezza di Google Cloud

Puoi utilizzare le best practice e le linee guida per la sicurezza di Google Cloud per scoprire e implementare funzionalità di sicurezza per i tuoi carichi di lavoro e i servizi di supporto su Google Cloud.

Le best practice per la sicurezza sono una guida supplementare basata su Google alle pratiche normative e di sicurezza esistenti in settori come quello dei servizi finanziari. Le Google Cloud best practice e le linee guida si concentrano sui controlli di sicurezza dei carichi di lavoro di base.

Queste best practice per la sicurezza hanno lo scopo di aiutare i responsabili della sicurezza informatica (CISO), i professionisti della sicurezza e i responsabili di rischio e conformità ad adottare e implementare i carichi di lavoro in Google Cloud, concentrandosi su sicurezza e conformità. Allineiamo i nostri consigli ai requisiti dei framework del National Institute of Standards and Technology (NIST) 800-53 e del Cyber Risk Institute (CRI).

Queste best practice supportano anche il modello di destino condiviso, in cui ci impegniamo a collaborare con i settori per creare un'infrastruttura cloud più sicura e resiliente per vari workload. Il modello di destino condiviso include deployment, operazioni e trasferimento del rischio. Pertanto, questi consigli si concentrano sul deployment e sulle operazioni dei workload, in particolare in relazione alla conformità.

Siamo consapevoli che l'implementazione della conformità e della sicurezza non è un'operazione semplice. Per ulteriore assistenza, contatta Google Cloud Security.

Struttura per le best practice per la sicurezza

Le best practice per la sicurezza sono strutturate come controlli che puoi esaminare e implementare. Ogni controllo è progettato per intervenire su un livello diverso dello stack dell'AI. Questi livelli sono i seguenti:

  • Base aziendale sicura:livello principale per autenticazione, gestione dell'accesso, organizzazione, networking, gestione delle chiavi, gestione dei secret, logging, monitoraggio, avvisi, analisi della sicurezza e operazioni agentiche.
  • Infrastruttura AI:livello per container, calcolo e TPU.
  • Ricerca e modelli:livello per lo sviluppo del modello e la protezione attiva del modello.
  • Gestione e contesto dei dati:livello per data warehouse, spazio di archiviazione, database e gestione dei dati sensibili.
  • Piattaforma di strumenti e inferenza:livello per Gemini Enterprise Agent Platform, inclusi Model Garden, Model Builder e Agent Builder.
  • Agenti e applicazioni:livello per Gemini Enterprise, Google Workspace, applicazioni AI e altri controlli software.

Il seguente diagramma mostra come si sovrappongono questi livelli.

Stack AI del catalogo.

I controlli sono strutturati come segue:

Ogni raccomandazione è verificabile e garantisce il rispetto di una base di controlli di sicurezza.

Livelli di implementazione dei controlli

I livelli di implementazione dei controlli sono obbligatori, consigliati o facoltativi. I livelli aiutano a identificare le attività chiave che ti consigliamo vivamente di svolgere, le attività che ti consigliamo vivamente di prendere in considerazione e le attività che potresti prendere in considerazione in base ai tuoi requisiti e obiettivi specifici.

La tabella seguente descrive questi livelli.

Livello di implementazione Descrizione

Obbligatorio

Implementa queste linee guida per il tuo ambiente Google Cloud .

Consigliato

Implementa queste linee guida in base a casi d'uso specifici. Ad esempio, una best practice consigliata potrebbe essere quella di monitorare i dati sensibili all'interno dei carichi di lavoro di AI generativa se il tuo ambiente include questo tipo di dati.

Facoltativo

Prendi in considerazione linee guida aggiuntive in base al tuo caso d'uso e alla tua propensione al rischio.

Passaggi successivi