Puoi utilizzare le best practice e le linee guida per la sicurezza di Google Cloud per scoprire e implementare funzionalità di sicurezza per i tuoi carichi di lavoro e i servizi di supporto su Google Cloud.
Le best practice per la sicurezza sono una guida supplementare basata su Google alle pratiche normative e di sicurezza esistenti in settori come quello dei servizi finanziari. Le Google Cloud best practice e le linee guida si concentrano sui controlli di sicurezza dei carichi di lavoro di base.
Queste best practice per la sicurezza hanno lo scopo di aiutare i responsabili della sicurezza informatica (CISO), i professionisti della sicurezza e i responsabili di rischio e conformità ad adottare e implementare i carichi di lavoro in Google Cloud, concentrandosi su sicurezza e conformità. Allineiamo i nostri consigli ai requisiti dei framework del National Institute of Standards and Technology (NIST) 800-53 e del Cyber Risk Institute (CRI).
Queste best practice supportano anche il modello di destino condiviso, in cui ci impegniamo a collaborare con i settori per creare un'infrastruttura cloud più sicura e resiliente per vari workload. Il modello di destino condiviso include deployment, operazioni e trasferimento del rischio. Pertanto, questi consigli si concentrano sul deployment e sulle operazioni dei workload, in particolare in relazione alla conformità.
Siamo consapevoli che l'implementazione della conformità e della sicurezza non è un'operazione semplice. Per ulteriore assistenza, contatta Google Cloud Security.
Struttura per le best practice per la sicurezza
Le best practice per la sicurezza sono strutturate come controlli che puoi esaminare e implementare. Ogni controllo è progettato per intervenire su un livello diverso dello stack dell'AI. Questi livelli sono i seguenti:
- Base aziendale sicura:livello principale per autenticazione, gestione dell'accesso, organizzazione, networking, gestione delle chiavi, gestione dei secret, logging, monitoraggio, avvisi, analisi della sicurezza e operazioni agentiche.
- Infrastruttura AI:livello per container, calcolo e TPU.
- Ricerca e modelli:livello per lo sviluppo del modello e la protezione attiva del modello.
- Gestione e contesto dei dati:livello per data warehouse, spazio di archiviazione, database e gestione dei dati sensibili.
- Piattaforma di strumenti e inferenza:livello per Gemini Enterprise Agent Platform, inclusi Model Garden, Model Builder e Agent Builder.
- Agenti e applicazioni:livello per Gemini Enterprise, Google Workspace, applicazioni AI e altri controlli software.
Il seguente diagramma mostra come si sovrappongono questi livelli.
I controlli sono strutturati come segue:
Ruoli IAM (Identity and Access Management) consigliati: Consigli sui ruoli IAM da assegnare ai gruppi di utenti della tua organizzazione.
Controlli di base sicuri per l'enterprise: queste best practice ti consentono di creare una base sicura per i workload in Google Cloud.
Controlli dell'infrastruttura:queste best practice ti consentono di applicare controlli di sicurezza a calcolo, container e acceleratori.
Controlli di gestione dei dati:queste best practice ti consentono di applicare controlli di sicurezza a data warehouse e archiviazione dei dati.
Controlli di strumenti e inferenza: Queste best practice ti consentono di applicare controlli di sicurezza ai componenti di Gemini Enterprise Agent Platform.
Controlli di agenti e applicazioni: Queste best practice ti consentono di applicare controlli di sicurezza alle applicazioni che utilizzano l'AI generativa.
Ogni raccomandazione è verificabile e garantisce il rispetto di una base di controlli di sicurezza.
Livelli di implementazione dei controlli
I livelli di implementazione dei controlli sono obbligatori, consigliati o facoltativi. I livelli aiutano a identificare le attività chiave che ti consigliamo vivamente di svolgere, le attività che ti consigliamo vivamente di prendere in considerazione e le attività che potresti prendere in considerazione in base ai tuoi requisiti e obiettivi specifici.
La tabella seguente descrive questi livelli.
| Livello di implementazione | Descrizione |
|---|---|
Obbligatorio |
Implementa queste linee guida per il tuo ambiente Google Cloud . |
Consigliato |
Implementa queste linee guida in base a casi d'uso specifici. Ad esempio, una best practice consigliata potrebbe essere quella di monitorare i dati sensibili all'interno dei carichi di lavoro di AI generativa se il tuo ambiente include questo tipo di dati. |
Facoltativo |
Prendi in considerazione linee guida aggiuntive in base al tuo caso d'uso e alla tua propensione al rischio. |