Cloud Identity-Funktionen für Anwendungsfälle für generative KI

Dieses Dokument enthält die Best Practices und Richtlinien für Cloud Build beim Ausführen von generativen KI-Arbeitslasten auf Google Cloud. Verwenden Sie Cloud Identity mit Vertex AI, um Identität, Zugriff, Anwendung und Verwaltung für Google Cloudzu vereinheitlichen.

Erforderliche Cloud Identity-Einstellungen

Die folgenden Kontrollen werden bei der Verwendung von Cloud Identity dringend empfohlen.

2-Faktor-Authentifizierung für Super Admin-Konten aktivieren

Google-Einstellungs-ID CI-CO-6.1
Kategorie Erforderlich
Beschreibung

Google empfiehlt Titan-Sicherheitsschlüssel für die 2‑Faktor-Authentifizierung (2FA) für Super Admin-Konten. Für Anwendungsfälle, in denen dies nicht möglich ist, empfehlen wir jedoch, stattdessen einen anderen Sicherheitsschlüssel zu verwenden.
Entsprechende Produkte
  • Cloud Identity
  • Titan-Sicherheitsschlüssel
Zugehörige NIST-800-53-Kontrollen
  • IA-2
  • IA-4
  • IA-5
  • IA-7
Zugehörige CRI-Profileinstellungen
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
Weitere Informationen

2‑Faktor-Authentifizierung für die Organisationseinheit des Super Admins erzwingen

Google-Einstellungs-ID CI-CO-6.2
Kategorie Erforderlich
Beschreibung

Erzwingen Sie die 2‑Faktor-Authentifizierung (2FA) für eine bestimmte Organisationseinheit oder die gesamte Organisation. Wir empfehlen, eine Organisationseinheit für Super Admins zu erstellen und die Bestätigung in zwei Schritten für diese Organisationseinheit zu erzwingen.
Entsprechende Produkte
  • Cloud Identity
Zugehörige NIST-800-53-Kontrollen
  • IA-2
  • IA-4
  • IA-5
  • IA-7
Zugehörige CRI-Profileinstellungen
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
Weitere Informationen

E‑Mail-Adresse für den primären Super Admin erstellen

Google-Einstellungs-ID CI-CO-6.4
Kategorie Erforderlich
Beschreibung
Erstellen Sie eine E-Mail-Adresse, die nicht für einen bestimmten Nutzer als primäres Cloud Identity-Super Admin-Konto spezifisch ist.
Entsprechende Produkte
  • Cloud Identity
Zugehörige NIST-800-53-Kontrollen
  • IA-2
  • IA-4
  • IA-5
Zugehörige CRI-Profileinstellungen
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
Weitere Informationen

Audit-Logs senden an Google Cloud

Google-Einstellungs-ID CI-CO-6.5
Kategorie Erforderlich
Beschreibung

Sie können Daten aus Ihrem Google Workspace-, Cloud Identity- oder Essentials-Konto für Dienste in Google Cloudfreigeben. Google Workspace erfasst Anmeldelogs, Administratorlogs und Gruppenlogs. Der Zugriff auf die freigegebenen Daten erfolgt über die Cloud-Audit-Logs.
Entsprechende Produkte
  • Google Workspace
  • Cloud Logging
Zugehörige NIST-800-53-Kontrollen
  • AC-2
  • AC-3
  • AC-8
  • AC-9
Zugehörige CRI-Profileinstellungen
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
Weitere Informationen

Super Admin-Konten für die Sicherung erstellen

Google-Einstellungs-ID CI-CO-6.7
Kategorie Erforderlich
Beschreibung

Erstellen Sie ein oder zwei zusätzliche Super Admin-Konten. Super Admin-Konten sollten grundsätzlich nicht für alltägliche Verwaltungsaufgaben verwendet werden. Ihre Organisation sollte nur zwei bis drei Super Admin-Konten haben.
Entsprechende Produkte
  • Google Workspace
Zugehörige NIST-800-53-Kontrollen
  • IA-2
  • IA-4
  • IA-5
Zugehörige CRI-Profileinstellungen
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2

Empfohlene Cloud-Kontrollen

Wir empfehlen, die folgenden Cloud Identity-Einstellungen auf IhreGoogle Cloud -Umgebung anzuwenden, unabhängig von Ihrem spezifischen Anwendungsfall.

Zugriff auf Cloud Shell für von Cloud Identity verwaltete Nutzerkonten blockieren

Google-Einstellungs-ID CI-CO-6.8
Kategorie Empfohlen
Beschreibung

Um zu umfangreichen Zugriff auf Google Cloudzu vermeiden, können Sie den Zugriff auf Cloud Shell für von Cloud Identity verwaltete Nutzerkonten blockieren.
Entsprechende Produkte
  • Cloud Identity
  • Cloud Shell
Zugehörige NIST-800-53-Kontrollen
  • SC-7
  • SC-8
Zugehörige CRI-Profileinstellungen
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Weitere Informationen

Optionale Steuerelemente

Sie können optional die folgenden Cloud Identity-Einstellungen entsprechend den Anforderungen Ihrer Organisation implementieren.

Eigenständige Kontowiederherstellung für Super Admin-Konten blockieren

Google-Einstellungs-ID CI-CO-6.3
Kategorie Optional
Beschreibung
Ein Angreifer könnte das Verfahren zur Selbstwiederherstellung verwenden, um Super Admin-Passwörter zurückzusetzen. Um die Sicherheitsrisiken zu minimieren, die mit SS7-Angriffen (Signaling System 7), SIM-Swap-Angriffen oder anderen Phishing-Angriffen verbunden sind, empfehlen wir, diese Funktion zu deaktivieren. Wenn Sie die Funktion deaktivieren möchten, rufen Sie in der Google Admin-Konsole die Einstellungen zur Kontowiederherstellung auf.
Entsprechende Produkte
  • Cloud Identity
  • Google Workspace
Zugehörige NIST-800-53-Kontrollen
  • IA-2
  • IA-4
  • IA-5
Zugehörige CRI-Profileinstellungen
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
Weitere Informationen

Nicht verwendete Google-Dienste deaktivieren

Google-Einstellungs-ID CI-CO-6.6
Kategorie Optional
Beschreibung
Im Allgemeinen empfehlen wir, die Dienste zu deaktivieren, die Sie nicht verwenden.
Entsprechende Produkte
  • Cloud Identity
Pfad http://admin.google.com > Apps > Additional Google Services
Operator Setting
Wert
  • False
Zugehörige NIST-800-53-Kontrollen
  • SC-7
  • SC-8
Zugehörige CRI-Profileinstellungen
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Weitere Informationen

Nächste Schritte