Catálogo de práticas recomendadas de segurança do Google Cloud

Você pode usar as práticas recomendadas e diretrizes de segurança do Google Cloud para descobrir e implementar recursos de segurança para suas cargas de trabalho e serviços de suporte noGoogle Cloud.

As práticas recomendadas de segurança são um guia complementar do Google para as práticas regulatórias e de segurança atuais em setores como o de serviços financeiros. As práticas recomendadas e diretrizes se concentram em controles básicos de segurança de carga de trabalho. Google Cloud

Essas práticas recomendadas de segurança têm como objetivo ajudar os diretores de segurança da informação (CISO), profissionais de segurança e agentes de risco e conformidade a adotar e implantar cargas de trabalho no Google Cloud, com foco em segurança e conformidade. Alinhamos nossas recomendações aos requisitos dos frameworks do Instituto Nacional de Padrões e Tecnologia (NIST) 800-53 e do Cyber Risk Institute (CRI).

Essas práticas recomendadas também oferecem suporte ao modelo de destino compartilhado, em que nos esforçamos para colaborar com setores e criar uma infraestrutura em nuvem mais segura e resiliente para várias cargas de trabalho. O modelo de destino compartilhado inclui implantação, operações e transferência de risco. Portanto, essas recomendações se concentram na implantação e nas operações de carga de trabalho, principalmente em relação à conformidade.

Entendemos que implementar compliance e segurança não é um exercício simples. Se precisar de mais ajuda, entre em contato com a Google Cloud Segurança.

Estrutura para práticas recomendadas de segurança

As práticas recomendadas de segurança são estruturadas como controles que você pode revisar e implementar. Cada controle foi projetado para abordar um nível diferente da pilha de IA. Estes são os níveis:

  • Base empresarial segura:camada principal para autenticação, gerenciamento de acesso, organização, rede, gerenciamento de chaves e de secrets, geração de registros, monitoramento, alertas, análise de segurança e operações de agentes.
  • Infraestrutura de IA:camada para contêineres, computação e TPUs.
  • Pesquisa e modelos:camada para desenvolvimento de modelos e proteção ativa de modelos.
  • Gerenciamento e contexto de dados:camada para data warehouses, armazenamento, bancos de dados e gerenciamento de dados sensíveis.
  • Ferramentas e plataforma de inferência:camada da Gemini Enterprise Agent Platform, incluindo Model Garden, criadores de modelos e criadores de agentes.
  • Agentes e aplicativos:camada para o Gemini Enterprise, o Google Workspace, aplicativos de IA e outros controles de software.

O diagrama a seguir mostra como esses níveis se sobrepõem.

Conjunto de soluções de IA do catálogo.

Os controles são estruturados da seguinte maneira:

Cada recomendação é auditável e garante que uma base de controles de segurança seja atendida.

Controlar os níveis de implementação

Os níveis de implementação de controle são obrigatórios, recomendados ou opcionais. Eles ajudam a identificar atividades importantes que recomendamos muito que você faça, atividades que aconselhamos que você considere e atividades que você pode considerar com base nos seus requisitos e metas específicos.

A tabela a seguir descreve esses níveis.

Nível de implementação Descrição

Obrigatório

Implemente essas diretrizes no seu ambiente Google Cloud .

Recomendado

Implemente essas diretrizes com base em casos de uso específicos. Por exemplo, uma prática recomendada pode ser monitorar dados sensíveis em cargas de trabalho de IA generativa se o ambiente incluir esse tipo de dado.

Opcional

Considere outras diretrizes com base no seu caso de uso e apetite por risco.

A seguir