Controlli di Cloud Identity per i casi d'uso dell'AI generativa

Questo documento include le best practice e le linee guida per Cloud Build quando esegui carichi di lavoro di AI generativa su Google Cloud. Utilizza Cloud Identity con Vertex AI per unificare identità, accesso, applicazioni e gestione per Google Cloud.

Controlli Cloud Identity richiesti

I seguenti controlli sono vivamente consigliati quando utilizzi Cloud Identity.

Attivare la verifica in due passaggi per gli account super amministratore

ID controllo Google	CI-CO-6.1
Categoria	Obbligatorio
Descrizione	Google consiglia i token di sicurezza Titan per la verifica in due passaggi (V2P) per gli account super amministratore. Tuttavia, per i casi d'uso in cui ciò non è possibile, consigliamo di utilizzare un altro token di sicurezza come alternativa.
Prodotti applicabili	Cloud Identity Token di sicurezza Titan
Controlli NIST-800-53 correlati	IA-2 IA-4 IA-5 IA-7
Controlli del profilo CRI correlati	PR.AC-1.1 PR.AC-1.2 PR.AC-1.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2
Informazioni correlate	Implementare la verifica in due passaggi

Applica la verifica in due passaggi all'unità organizzativa del super amministratore

ID controllo Google	CI-CO-6.2
Categoria	Obbligatorio
Descrizione	Applica la verifica in due passaggi per un'unità organizzativa specifica o per l'intera organizzazione. Ti consigliamo di creare un'unità organizzativa per i super amministratori e di applicare la verifica in due passaggi a questa unità organizzativa.
Prodotti applicabili	Cloud Identity
Controlli NIST-800-53 correlati	IA-2 IA-4 IA-5 IA-7
Controlli del profilo CRI correlati	PR.AC-1.1 PR.AC-1.2 PR.AC-1.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2
Informazioni correlate	Aggiungere un'unità organizzativa Spostare gli utenti in un'unità organizzativa

Crea un indirizzo email esclusivo per il super amministratore principale

ID controllo Google	CI-CO-6.4
Categoria	Obbligatorio
Descrizione	Crea un indirizzo email non specifico per un determinato utente come account super amministratore Cloud Identity principale.
Prodotti applicabili	Cloud Identity
Controlli NIST-800-53 correlati	IA-2 IA-4 IA-5
Controlli del profilo CRI correlati	PR.AC-1.1 PR.AC-1.2 PR.AC-1.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2
Informazioni correlate	Creare account utente di Cloud Identity

Invia audit log a Google Cloud

ID controllo Google	CI-CO-6.5
Categoria	Obbligatorio
Descrizione	Puoi condividere i dati del tuo account Google Workspace, Cloud Identity o Essentials con i servizi disponibili in Google Cloud. Google Workspace raccoglie log di accesso, log amministratore e log di gruppo. Accedi ai dati condivisi tramite Cloud Audit Logs.
Prodotti applicabili	Google Workspace Cloud Logging
Controlli NIST-800-53 correlati	AC-2 AC-3 AC-8 AC-9
Controlli del profilo CRI correlati	DM.ED-7.1 DM.ED-7.2 DM.ED-7.3 DM.ED-7.4
Informazioni correlate	Audit log per Google Workspace Condividere i dati con i servizi di Google Cloud

Creare account super amministratore di backup

ID controllo Google	CI-CO-6.7
Categoria	Obbligatorio
Descrizione	Crea uno o due account super amministratore di backup. Come regola generale, non utilizzare gli account super amministratore per le attività di gestione quotidiane. Avere solo due o tre account super amministratore per la tua organizzazione.
Prodotti applicabili	Google Workspace
Controlli NIST-800-53 correlati	IA-2 IA-4 IA-5
Controlli del profilo CRI correlati	PR.AC-1.1 PR.AC-1.2 PR.AC-1.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2

Controlli cloud consigliati

Ti consigliamo di applicare i seguenti controlli di Cloud Identity al tuo ambienteGoogle Cloud , indipendentemente dal tuo caso d'uso specifico.

Bloccare l'accesso a Cloud Shell per gli account utente gestiti di Cloud Identity

ID controllo Google	CI-CO-6.8
Categoria	Consigliato
Descrizione	Per evitare di concedere un accesso eccessivo a Google Cloud, blocca l'accesso a Cloud Shell per gli account utente gestiti Cloud Identity.
Prodotti applicabili	Cloud Identity Cloud Shell
Controlli NIST-800-53 correlati	SC-7 SC-8
Controlli del profilo CRI correlati	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Informazioni correlate	Disabilitare Cloud Shell per gli account utente gestiti

Controlli facoltativi

Puoi implementare facoltativamente i seguenti controlli di Cloud Identity in base ai requisiti della tua organizzazione.

Bloccare il recupero autonomo dell'account per gli account super amministratore

ID controllo Google	CI-CO-6.3
Categoria	Facoltativo
Descrizione	Un malintenzionato potrebbe utilizzare la procedura di recupero autonomo per reimpostare le password dei super amministratori. Per ridurre i rischi per la sicurezza associati ad attacchi Signaling System 7 (SS7), attacchi di sostituzione della SIM o altri attacchi di phishing, ti consigliamo di disattivare questa funzionalità. Per disattivare la funzionalità, vai alle impostazioni di recupero dell'account nella Console di amministrazione Google.
Prodotti applicabili	Cloud Identity Google Workspace
Controlli NIST-800-53 correlati	IA-2 IA-4 IA-5
Controlli del profilo CRI correlati	PR.AC-1.1 PR.AC-1.2 PR.AC-1.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2
Informazioni correlate	Gestisci le impostazioni di sicurezza di un utente

Disattivare i servizi Google inutilizzati

ID controllo Google	CI-CO-6.6
Categoria	Facoltativo
Descrizione	In generale, ti consigliamo di disattivare i servizi che non utilizzerai.
Prodotti applicabili	Cloud Identity
Percorso	http://admin.google.com > Apps > Additional Google Services
Operatore	Setting
Valore	False
Controlli NIST-800-53 correlati	SC-7 SC-8
Controlli del profilo CRI correlati	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Informazioni correlate	Attivare o disattivare servizi Google aggiuntivi

Passaggi successivi

• Esamina i controlli di Cloud Run Functions.

• Scopri di più sulle best practice e sulle linee guida per la sicurezza diGoogle Cloud per i carichi di lavoro di AI generativa.