生成式 AI 用途的 Cloud Identity 控制項

本文提供 Cloud Build 最佳做法和指南,適用於在 Google Cloud上執行生成式 AI 工作負載的情況。搭配 Vertex AI 使用 Cloud Identity,統一管理 Google Cloud的身分、存取權、應用程式和管理作業。

必要的 Cloud Identity 控制項

使用 Cloud Identity 時,強烈建議您採用下列控制項。

為超級管理員帳戶啟用兩步驟驗證

Google 控制項 ID CI-CO-6.1
類別 必要
說明

Google 建議超級管理員帳戶使用 Titan 安全金鑰進行兩步驟驗證 (2SV)。不過,如果無法這麼做,建議改用其他安全金鑰。
適用產品
  • Cloud Identity
  • Titan 安全金鑰
相關的 NIST-800-53 控制項
  • IA-2
  • IA-4
  • IA-5
  • IA-7
相關的 CRI 設定檔控制項
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
相關資訊

對超級管理員機構單位強制執行兩步驟驗證

Google 控制項 ID CI-CO-6.2
類別 必要
說明

為特定機構單位 (OU) 或整個機構強制執行兩步驟驗證。建議您為超級管理員建立機構單位,並對該機構單位強制執行兩步驟驗證。
適用產品
  • Cloud Identity
相關的 NIST-800-53 控制項
  • IA-2
  • IA-4
  • IA-5
  • IA-7
相關的 CRI 設定檔控制項
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
相關資訊

為主要超級管理員建立專屬電子郵件地址

Google 控制項 ID CI-CO-6.4
類別 必要
說明
建立一個非特定使用者的電子郵件地址,做為主要的 Cloud Identity 超級管理員帳戶。
適用產品
  • Cloud Identity
相關的 NIST-800-53 控制項
  • IA-2
  • IA-4
  • IA-5
相關的 CRI 設定檔控制項
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
相關資訊

將稽核記錄傳送至 Google Cloud

Google 控制項 ID CI-CO-6.5
類別 必要
說明

您可以將 Google Workspace、Cloud Identity 或 Essentials 帳戶的資料,與 Google CloudGoogle Workspace 會收集登入記錄、管理員記錄和群組記錄。透過 Cloud 稽核記錄存取共用資料。
適用產品
  • Google Workspace
  • Cloud Logging
相關的 NIST-800-53 控制項
  • AC-2
  • AC-3
  • AC-8
  • AC-9
相關的 CRI 設定檔控制項
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
相關資訊

建立備份超級管理員帳戶

Google 控制項 ID CI-CO-6.7
類別 必要
說明

建立一或兩個備用超級管理員帳戶。一般來說,請勿使用超級管理員帳戶執行日常管理工作。為貴機構設定兩到三個超級管理員帳戶。
適用產品
  • Google Workspace
相關的 NIST-800-53 控制項
  • IA-2
  • IA-4
  • IA-5
相關的 CRI 設定檔控制項
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2

建議使用的雲端控管機制

無論具體用途為何,我們都建議您在Google Cloud 環境中套用下列 Cloud Identity 控制項。

封鎖 Cloud Identity 代管使用者帳戶的 Cloud Shell 存取權

Google 控制項 ID CI-CO-6.8
類別 建議
說明

為避免授予過多存取權給 Google Cloud,請封鎖 Cloud Identity 管理的使用者帳戶對 Cloud Shell 的存取權。
適用產品
  • Cloud Identity
  • Cloud Shell
相關的 NIST-800-53 控制項
  • SC-7
  • SC-8
相關的 CRI 設定檔控制項
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
相關資訊

選用控制項

您可以視貴機構需求,選擇導入下列 Cloud Identity 控制項。

禁止超級管理員帳戶自助式救援

Google 控制項 ID CI-CO-6.3
類別 選用
說明
攻擊者可能會利用自助救援程序重設超級管理員密碼。為降低與第 7 號信號系統 (SS7) 攻擊、SIM 卡調換攻擊或其他網路釣魚攻擊相關的安全風險,建議您關閉這項功能。如要關閉這項功能,請前往 Google 管理控制台中的帳戶救援設定。
適用產品
  • Cloud Identity
  • Google Workspace
相關的 NIST-800-53 控制項
  • IA-2
  • IA-4
  • IA-5
相關的 CRI 設定檔控制項
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
相關資訊

關閉未使用的 Google 服務

Google 控制項 ID CI-CO-6.6
類別 選用
說明
一般來說,建議您關閉不會使用的服務。
適用產品
  • Cloud Identity
路徑 http://admin.google.com > Apps > Additional Google Services
運算子 Setting
  • False
相關的 NIST-800-53 控制項
  • SC-7
  • SC-8
相關的 CRI 設定檔控制項
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
相關資訊

後續步驟