Controles de Cloud Identity para casos prácticos de IA generativa

En este documento se incluyen las prácticas recomendadas y las directrices de Cloud Build para ejecutar cargas de trabajo de IA generativa en Google Cloud. Usa Cloud Identity con Vertex AI para unificar la identidad, el acceso, las aplicaciones y la gestión de Google Cloud.

Controles de Cloud Identity obligatorios

Te recomendamos que uses los siguientes controles cuando utilices Cloud Identity.

Habilitar la verificación en dos pasos en las cuentas de superadministrador

ID de control de Google CI-CO-6.1
Categoría Obligatorio
Descripción

Google recomienda las llaves de seguridad Titan para la verificación en dos pasos (V2P) de las cuentas de superadministrador. Sin embargo, en los casos en los que no sea posible, te recomendamos que uses otra llave de seguridad como alternativa.
Productos aplicables
  • Cloud Identity
  • Llaves de seguridad Titan
Controles relacionados de NIST 800-53
  • IA-2
  • IA-4
  • IA-5
  • IA-7
Controles relacionados con el perfil de CRI
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
Información relacionada

Implementar la verificación en dos pasos en la unidad organizativa del superadministrador

ID de control de Google CI-CO-6.2
Categoría Obligatorio
Descripción

Implementar la verificación en dos pasos en una unidad organizativa concreta o en toda la organización. Te recomendamos que crees una unidad organizativa para los superadministradores y que apliques la verificación en dos pasos en esa unidad organizativa.
Productos aplicables
  • Cloud Identity
Controles relacionados de NIST 800-53
  • IA-2
  • IA-4
  • IA-5
  • IA-7
Controles relacionados con el perfil de CRI
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
Información relacionada

Crear una dirección de correo exclusiva para el superadministrador principal

ID de control de Google CI-CO-6.4
Categoría Obligatorio
Descripción
Crea una dirección de correo que no sea específica de un usuario concreto como cuenta de superadministrador principal de Cloud Identity.
Productos aplicables
  • Cloud Identity
Controles relacionados de NIST 800-53
  • IA-2
  • IA-4
  • IA-5
Controles relacionados con el perfil de CRI
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
Información relacionada

Enviar registros de auditoría a Google Cloud

ID de control de Google CI-CO-6.5
Categoría Obligatorio
Descripción

Puedes compartir datos de tu cuenta de Google Workspace, Cloud Identity o Essentials con los servicios de Google Cloud. Google Workspace recoge registros de inicio de sesión, registros de administrador y registros de grupos. Accede a los datos compartidos a través de los registros de auditoría de Cloud.
Productos aplicables
  • Google Workspace
  • Cloud Logging
Controles relacionados de NIST 800-53
  • AC-2
  • AC-3
  • AC-8
  • AC-9
Controles relacionados con el perfil de CRI
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
Información relacionada

Crear cuentas de superadministrador alternativas

ID de control de Google CI-CO-6.7
Categoría Obligatorio
Descripción

Crea una o dos cuentas de superadministrador alternativas. Por lo general, no utilices cuentas de superadministrador para las tareas de gestión diarias. Tener solo entre dos y tres cuentas de superadministrador en tu organización.
Productos aplicables
  • Google Workspace
Controles relacionados de NIST 800-53
  • IA-2
  • IA-4
  • IA-5
Controles relacionados con el perfil de CRI
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2

Controles de la nube recomendados

Te recomendamos que apliques los siguientes controles de Cloud Identity a tu entorno deGoogle Cloud , independientemente de tu caso de uso específico.

Bloquear el acceso a Cloud Shell para cuentas de usuario gestionadas de Cloud Identity

ID de control de Google CI-CO-6.8
Categoría Recomendado
Descripción

Para evitar que se conceda un acceso excesivo a Google Cloud, bloquea el acceso a Cloud Shell para las cuentas de usuario gestionadas de Cloud Identity.
Productos aplicables
  • Cloud Identity
  • Cloud Shell
Controles relacionados de NIST 800-53
  • SC-7
  • SC-8
Controles relacionados con el perfil de CRI
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Información relacionada

Controles opcionales

También puedes implementar los siguientes controles de Cloud Identity en función de los requisitos de tu organización.

Bloquear la recuperación automática de cuentas de superadministrador

ID de control de Google CI-CO-6.3
Categoría Opcional
Descripción
Un atacante podría usar el proceso de recuperación automática para cambiar las contraseñas de los superadministradores. Para mitigar los riesgos de seguridad asociados a los ataques del sistema de señalización 7 (SS7), los ataques de cambio de SIM u otros ataques de phishing, te recomendamos que desactives esta función. Para desactivar la función, ve a la configuración de recuperación de la cuenta en la consola de administración de Google.
Productos aplicables
  • Cloud Identity
  • Google Workspace
Controles relacionados de NIST 800-53
  • IA-2
  • IA-4
  • IA-5
Controles relacionados con el perfil de CRI
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
Información relacionada

Desactivar los servicios de Google que no uses

ID de control de Google CI-CO-6.6
Categoría Opcional
Descripción
En general, te recomendamos que desactives los servicios que no vayas a usar.
Productos aplicables
  • Cloud Identity
Ruta http://admin.google.com > Apps > Additional Google Services
Operador Setting
Valor
  • False
Controles relacionados de NIST 800-53
  • SC-7
  • SC-8
Controles relacionados con el perfil de CRI
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Información relacionada

Siguientes pasos