Controles do Cloud Identity para casos de uso da IA generativa

Este documento inclui as práticas recomendadas e as diretrizes do Cloud Build ao executar cargas de trabalho de IA generativa no Google Cloud. Use o Cloud Identity com a Vertex AI para unificar identidade, acesso, aplicativo e gerenciamento para Google Cloud.

Controles obrigatórios do Cloud Identity

Recomendamos usar os seguintes controles ao usar o Cloud Identity.

Ativar a verificação em duas etapas para contas de superadministrador

ID de controle do Google	CI-CO-6.1
Categoria	Obrigatório
Descrição	O Google recomenda as chaves de segurança Titan para a verificação em duas etapas (2SV) em contas de superadministrador. No entanto, para casos de uso em que isso não é possível, recomendamos usar outra chave de segurança como alternativa.
Produtos aplicáveis	Cloud Identity Chaves de segurança Titan
Controles relacionados do NIST-800-53	IA-2 IA-4 IA-5 IA-7
Controles relacionados ao perfil de CRI	PR.AC-1.1 PR.AC-1.2 PR.AC-1.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2
Informações relacionadas	Implantar a verificação em duas etapas

Aplicar a verificação em duas etapas na unidade organizacional do superadministrador

ID de controle do Google	CI-CO-6.2
Categoria	Obrigatório
Descrição	Aplique a verificação em duas etapas (2SV) a uma unidade organizacional (UO) específica ou a toda a organização. Recomendamos que você crie uma UO para superadministradores e aplique a verificação em duas etapas nessa UO.
Produtos aplicáveis	Cloud Identity
Controles relacionados do NIST-800-53	IA-2 IA-4 IA-5 IA-7
Controles relacionados ao perfil de CRI	PR.AC-1.1 PR.AC-1.2 PR.AC-1.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2
Informações relacionadas	Adicionar uma unidade organizacional Mover usuários para uma unidade organizacional

Criar um endereço de e-mail exclusivo para o superadministrador principal

ID de controle do Google	CI-CO-6.4
Categoria	Obrigatório
Descrição	Crie um endereço de e-mail que não seja específico de um usuário como a conta principal de superadministrador do Cloud Identity.
Produtos aplicáveis	Cloud Identity
Controles relacionados do NIST-800-53	IA-2 IA-4 IA-5
Controles relacionados ao perfil de CRI	PR.AC-1.1 PR.AC-1.2 PR.AC-1.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2
Informações relacionadas	Criar contas de usuário do Cloud Identity

Enviar registros de auditoria para Google Cloud

ID de controle do Google	CI-CO-6.5
Categoria	Obrigatório
Descrição	Você pode compartilhar dados da sua conta do Google Workspace, Cloud Identity ou Essentials com os serviços em Google Cloud. O Google Workspace coleta registros de login, de administrador e de grupo. Acesse os dados pessoais compartilhados nos registros de auditoria do Cloud.
Produtos aplicáveis	Google Workspace Cloud Logging
Controles relacionados do NIST-800-53	AC-2 AC-3 AC-8 AC-9
Controles relacionados ao perfil de CRI	DM.ED-7.1 DM.ED-7.2 DM.ED-7.3 DM.ED-7.4
Informações relacionadas	Registros de auditoria do Google Workspace Compartilhar dados com os serviços do Google Cloud

Criar contas de superadministrador de backup

ID de controle do Google	CI-CO-6.7
Categoria	Obrigatório
Descrição	Crie uma ou duas contas de superadministrador de backup. Como regra geral, não use contas de superadministrador para tarefas de gerenciamento diárias. Tenha apenas duas ou três contas de superadministrador na sua organização.
Produtos aplicáveis	Google Workspace
Controles relacionados do NIST-800-53	IA-2 IA-4 IA-5
Controles relacionados ao perfil de CRI	PR.AC-1.1 PR.AC-1.2 PR.AC-1.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2

Controles de nuvem recomendados

Recomendamos que você aplique os seguintes controles do Cloud Identity ao seu ambienteGoogle Cloud , independente do seu caso de uso específico.

Bloquear o acesso ao Cloud Shell para contas de usuário gerenciadas do Cloud Identity

ID de controle do Google	CI-CO-6.8
Categoria	Recomendado
Descrição	Para evitar conceder acesso excessivo a Google Cloud, bloqueie o acesso ao Cloud Shell para contas de usuário gerenciadas pelo Cloud Identity.
Produtos aplicáveis	Cloud Identity Cloud Shell
Controles relacionados do NIST-800-53	SC-7 SC-8
Controles relacionados ao perfil de CRI	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Informações relacionadas	Desativar o Cloud Shell em contas de usuário gerenciadas

Controles opcionais

Você pode implementar os seguintes controles do Cloud Identity com base nos requisitos da sua organização.

Bloquear a recuperação de conta para superadministradores

ID de controle do Google	CI-CO-6.3
Categoria	Opcional
Descrição	Um invasor pode usar o processo de autorecuperação para redefinir senhas de superadministradores. Para reduzir os riscos de segurança associados a ataques do Sistema de Sinalização 7 (SS7), de troca de chip ou outros ataques de phishing, recomendamos que você desative esse recurso. Para desativar o recurso, acesse as configurações de recuperação de conta no Google Admin Console.
Produtos aplicáveis	Cloud Identity Google Workspace
Controles relacionados do NIST-800-53	IA-2 IA-4 IA-5
Controles relacionados ao perfil de CRI	PR.AC-1.1 PR.AC-1.2 PR.AC-1.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2
Informações relacionadas	Gerenciar as configurações de segurança dos usuários

Desativar os Serviços do Google que não são usados

ID de controle do Google	CI-CO-6.6
Categoria	Opcional
Descrição	Em geral, recomendamos desativar os serviços que você não vai usar.
Produtos aplicáveis	Cloud Identity
Caminho	http://admin.google.com > Apps > Additional Google Services
Operador	Setting
Valor	False
Controles relacionados do NIST-800-53	SC-7 SC-8
Controles relacionados ao perfil de CRI	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Informações relacionadas	Ativar ou desativar serviços adicionais do Google

A seguir

• Consulte os controles do Cloud Run functions.

• Confira mais Google Cloud práticas recomendadas e diretrizes de segurança para cargas de trabalho de IA generativa.