Controlos do Cloud ID para exemplos de utilização da IA generativa

Este documento inclui as práticas recomendadas e as diretrizes para o Cloud Build quando executa cargas de trabalho de IA generativa no Google Cloud. Use o Cloud Identity com o Vertex AI para unificar a identidade, o acesso, a aplicação e a gestão para Google Cloud.

Controlos do Cloud ID obrigatórios

Recomendamos vivamente os seguintes controlos quando usar o Cloud Identity.

Ative a validação em dois passos para contas de superadministrador

ID de controlo da Google	CI-CO-6.1
Categoria	Obrigatória
Descrição	A Google recomenda as chaves de segurança Titan para a validação em dois passos (2SV) para contas de superadministradores. No entanto, para exemplos de utilização em que isto não é possível, recomendamos que use outra chave de segurança como alternativa.
Produtos aplicáveis	Cloud ID Chaves de segurança Titan
Controlos NIST-800-53 relacionados	IA-2 IA-4 IA-5 IA-7
Controlos do perfil de CRI relacionados	PR.AC-1.1 PR.AC-1.2 PR.AC-1.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2
Informações relacionadas	Implemente a validação em dois passos

Aplique a validação em dois passos na unidade organizacional do superadministrador

ID de controlo da Google	CI-CO-6.2
Categoria	Obrigatória
Descrição	Aplique a validação em dois passos (V2P) a uma unidade organizacional (UO) específica ou a toda a organização. Recomendamos que crie uma UO para superadministradores e aplique a validação em dois passos nessa UO.
Produtos aplicáveis	Cloud ID
Controlos NIST-800-53 relacionados	IA-2 IA-4 IA-5 IA-7
Controlos do perfil de CRI relacionados	PR.AC-1.1 PR.AC-1.2 PR.AC-1.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2
Informações relacionadas	Adicione uma unidade organizacional Mova utilizadores para uma unidade organizacional

Crie um endereço de email exclusivo para o superadministrador principal

ID de controlo da Google	CI-CO-6.4
Categoria	Obrigatória
Descrição	Crie um endereço de email que não seja específico de um utilizador em particular como a conta de superadministrador principal do Cloud ID.
Produtos aplicáveis	Cloud ID
Controlos NIST-800-53 relacionados	IA-2 IA-4 IA-5
Controlos do perfil de CRI relacionados	PR.AC-1.1 PR.AC-1.2 PR.AC-1.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2
Informações relacionadas	Crie contas de utilizador do Cloud ID

Envie registos de auditoria para Google Cloud

ID de controlo da Google	CI-CO-6.5
Categoria	Obrigatória
Descrição	Pode partilhar dados da sua conta do Google Workspace, Cloud ID ou Essentials com serviços no Google Cloud. O Google Workspace recolhe registos de início de sessão, registos de administrador e registos de grupos. Aceda aos dados partilhados através dos registos de auditoria do Cloud.
Produtos aplicáveis	Google Workspace Cloud Logging
Controlos NIST-800-53 relacionados	AC-2 AC-3 AC-8 AC-9
Controlos do perfil de CRI relacionados	DM.ED-7.1 DM.ED-7.2 DM.ED-7.3 DM.ED-7.4
Informações relacionadas	Registos de auditoria do Google Workspace Partilhe dados com Google Cloud serviços

Crie contas de superadministrador alternativas

ID de controlo da Google	CI-CO-6.7
Categoria	Obrigatória
Descrição	Crie uma ou duas contas de superadministrador alternativas. Como regra geral, não use contas de superadministrador para tarefas de gestão diárias. Ter apenas duas a três contas de superadministrador para a sua organização.
Produtos aplicáveis	Google Workspace
Controlos NIST-800-53 relacionados	IA-2 IA-4 IA-5
Controlos do perfil de CRI relacionados	PR.AC-1.1 PR.AC-1.2 PR.AC-1.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2

Controlos na nuvem recomendados

Recomendamos que aplique os seguintes controlos do Cloud Identity ao seu ambiente, independentemente do seu exemplo de utilização específico.Google Cloud

Bloqueie o acesso ao Cloud Shell para contas de utilizador geridas do Cloud ID

ID de controlo da Google	CI-CO-6.8
Categoria	Recomendado
Descrição	Para evitar conceder acesso excessivo a Google Cloud, bloqueie o acesso ao Cloud Shell para contas de utilizador geridas do Cloud Identity.
Produtos aplicáveis	Cloud ID Cloud Shell
Controlos NIST-800-53 relacionados	SC-7 SC-8
Controlos do perfil de CRI relacionados	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Informações relacionadas	Desative o Cloud Shell para contas de utilizador geridas

Controlos opcionais

Opcionalmente, pode implementar os seguintes controlos do Cloud Identity com base nos requisitos da sua organização.

Bloqueie a autorrecuperação de contas de superadministradores

ID de controlo da Google	CI-CO-6.3
Categoria	Opcional
Descrição	Um atacante pode usar o processo de recuperação automática para repor as palavras-passe de superadministradores. Para mitigar os riscos de segurança associados a ataques do sistema de sinalização n.º 7 (SS7), ataques de troca de SIM ou outros ataques de phishing, recomendamos que desative esta funcionalidade. Para desativar a funcionalidade, aceda às definições de recuperação de conta na consola do administrador Google.
Produtos aplicáveis	Cloud ID Google Workspace
Controlos NIST-800-53 relacionados	IA-2 IA-4 IA-5
Controlos do perfil de CRI relacionados	PR.AC-1.1 PR.AC-1.2 PR.AC-1.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2
Informações relacionadas	Faça a gestão das definições de segurança de um utilizador

Desative os serviços Google não utilizados

ID de controlo da Google	CI-CO-6.6
Categoria	Opcional
Descrição	Em geral, recomendamos que desative os serviços que não vai usar.
Produtos aplicáveis	Cloud ID
Caminho	http://admin.google.com > Apps > Additional Google Services
Operador	Setting
Valor	False
Controlos NIST-800-53 relacionados	SC-7 SC-8
Controlos do perfil de CRI relacionados	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Informações relacionadas	Ative ou desative serviços Google adicionais

O que se segue?

• Reveja os controlos das funções do Cloud Run.

• Veja mais Google Cloud práticas recomendadas de segurança e diretrizes para cargas de trabalho de IA generativa.