En este documento, se incluyen las prácticas recomendadas y los lineamientos para Cloud Build cuando se ejecutan cargas de trabajo de IA generativa en Google Cloud. Usa Cloud Identity con Vertex AI para unificar la identidad, el acceso, la aplicación y la administración de Google Cloud.
Controles obligatorios de Cloud Identity
Se recomienda encarecidamente usar los siguientes controles cuando se utiliza Cloud Identity.
Habilita la verificación en 2 pasos para las cuentas de administrador avanzado
| ID de control de Google | CI-CO-6.1 |
|---|---|
| Categoría | Obligatorio |
| Descripción | Google recomienda las llaves de seguridad Titan para la verificación en 2 pasos (2SV) de las cuentas de administrador avanzado. Sin embargo, para los casos de uso en los que esto no es posible, te recomendamos que uses otra llave de seguridad como alternativa. |
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Aplica la verificación en 2 pasos en la unidad organizacional del administrador avanzado
| ID de control de Google | CI-CO-6.2 |
|---|---|
| Categoría | Obligatorio |
| Descripción | Aplicar la verificación en 2 pasos (2SV) a una unidad organizativa (UO) específica o a toda la organización Te recomendamos que crees una UO para los administradores avanzados y que apliques la 2SV en ella. |
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Crea una dirección de correo electrónico exclusiva para el administrador avanzado principal
| ID de control de Google | CI-CO-6.4 |
|---|---|
| Categoría | Obligatorio |
| Descripción | Crea una dirección de correo electrónico que no sea específica de un usuario en particular como la cuenta principal de administrador avanzado de Cloud Identity. |
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Enviar registros de auditoría a Google Cloud
| ID de control de Google | CI-CO-6.5 |
|---|---|
| Categoría | Obligatorio |
| Descripción | Puedes compartir datos de tu cuenta de Google Workspace, Cloud Identity o Essentials con los servicios de Google Cloud. Google Workspace recopila registros de acceso, registros de administrador y registros de grupo. Accede a los datos compartidos a través de los registros de auditoría de Cloud. |
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Crea cuentas de administrador avanzado de copia de seguridad
| ID de control de Google | CI-CO-6.7 |
|---|---|
| Categoría | Obligatorio |
| Descripción | Crea una o dos cuentas de administrador avanzado de copia de seguridad. Como regla general, no uses las cuentas de administrador avanzado para las tareas de administración diarias. Ten solo dos o tres cuentas de administrador avanzado para tu organización. |
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
Controles de la nube recomendados
Te recomendamos que apliques los siguientes controles de Cloud Identity a tu entorno deGoogle Cloud , independientemente de tu caso de uso específico.
Bloquea el acceso a Cloud Shell para las cuentas de usuario administradas de Cloud Identity
| ID de control de Google | CI-CO-6.8 |
|---|---|
| Categoría | Recomendado |
| Descripción | Para evitar otorgar acceso excesivo a Google Cloud, bloquea el acceso a Cloud Shell para las cuentas de usuario administradas de Cloud Identity. |
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Controles opcionales
De manera opcional, puedes implementar los siguientes controles de Cloud Identity según los requisitos de tu organización.
Bloquea la recuperación automática de cuentas para las cuentas de administrador avanzado
| ID de control de Google | CI-CO-6.3 |
|---|---|
| Categoría | Opcional |
| Descripción | Un atacante podría usar el proceso de recuperación automática para restablecer las contraseñas de administrador avanzado. Para mitigar los riesgos de seguridad asociados con los ataques al Sistema de señalización núm. 7 (SS7), los ataques de intercambio de SIM o cualquier otro ataque de phishing, te recomendamos que desactives esta función. Para desactivar la función, ve a la configuración de recuperación de la cuenta en la Consola del administrador de Google. |
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Desactiva los servicios de Google que no uses
| ID de control de Google | CI-CO-6.6 |
|---|---|
| Categoría | Opcional |
| Descripción | En general, te recomendamos que desactives los servicios que no usarás. |
| Productos aplicables |
|
| Ruta | http://admin.google.com > Apps > Additional Google Services |
| Operador | Setting |
| Valor |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
¿Qué sigue?
Revisa los controles de Cloud Run Functions.
Consulta más Google Cloud prácticas recomendadas y lineamientos de seguridad para las cargas de trabajo de IA generativa.