Häufige Einstellungen für Anwendungsfälle für generative KI

Google Cloud unterstützt mehrere TLS-Protokollversionen. Um Compliance-Anforderungen zu erfüllen, sollten Sie Handshake-Anfragen von Clients, die ältere TLS-Versionen verwenden, ablehnen.

Verwenden Sie zum Konfigurieren dieses Steuerelements die Einschränkung der Organisationsrichtlinie TLS-Versionen einschränken (gcp.restrictTLSVersion). Sie können diese Einschränkung auf Organisationen, Ordner oder Projekte in der Ressourcenhierarchie anwenden. Für die Einschränkung TLS-Versionen einschränken wird eine Sperrliste verwendet, in der explizite Werte abgelehnt und alle anderen zugelassen werden. Wenn Sie versuchen, eine Zulassungsliste zu verwenden, tritt ein Fehler auf.

Aufgrund der hierarchischen Auswertung von Organisationsrichtlinien gilt die Einschränkung der TLS-Version für den angegebenen Ressourcenknoten und alle zugehörigen Ordner und Projekte (untergeordnete Elemente). Wenn Sie beispielsweise die TLS-Version 1.0 für eine Organisation ablehnen, wird diese auch für alle untergeordneten Elemente abgelehnt, die von dieser Organisation abstammen.

Sie können die übernommene TLS-Versionsbeschränkung überschreiben, indem Sie die Organisationsrichtlinie für eine untergeordnete Ressource aktualisieren. Wenn in Ihrer Organisationsrichtlinie beispielsweise TLS 1.0 auf Organisationsebene abgelehnt wird, können Sie die Einschränkung für einen untergeordneten Ordner entfernen, indem Sie eine separate Organisationsrichtlinie für diesen Ordner festlegen. Wenn der Ordner untergeordnete Elemente hat, wird die Richtlinie des Ordners aufgrund der Richtlinienübernahme auch auf jede untergeordnete Ressource angewendet.

Wenn Sie die TLS-Version weiter auf TLS 1.3 beschränken möchten, können Sie diese Richtlinie so festlegen, dass auch TLS-Version 1.2 eingeschränkt wird. Sie müssen diese Steuerung in Anwendungen implementieren, die Sie in Google Cloudhosten. Legen Sie beispielsweise auf Organisationsebene Folgendes fest:

["TLS_VERSION_1","TLS_VERSION_1.1","TLS_VERSION_1.2"]

Alle Daten in Google Cloud werden standardmäßig mit NIST-genehmigten Algorithmen verschlüsselt.

Achten Sie darauf, dass im Cloud Key Management Service (Cloud KMS) nur von NIST genehmigte Algorithmen zum Speichern vertraulicher Schlüssel in der Umgebung verwendet werden. Diese Steuerung sorgt für eine sichere Schlüsselverwendung, indem nur NIST-genehmigte Algorithmen und Sicherheitsmaßnahmen verwendet werden. Das Feld CryptoKeyVersionAlgorithm ist eine bereitgestellte Zulassungsliste.

Entfernen Sie Algorithmen, die nicht den Richtlinien Ihrer Organisation entsprechen.

Legen Sie den Zweck für Cloud KMS-Schlüssel auf ENCRYPT_DECRYPT fest, damit Schlüssel nur zum Ver- und Entschlüsseln von Daten verwendet werden. Diese Steuerung blockiert andere Funktionen wie das Signieren und sorgt dafür, dass Schlüssel nur für den vorgesehenen Zweck verwendet werden. Wenn Sie Schlüssel für andere Funktionen verwenden, sollten Sie diese Anwendungsfälle validieren und in Erwägung ziehen, zusätzliche Schlüssel zu erstellen.

Das Schutzniveau gibt an, wie kryptografische Vorgänge ausgeführt werden. Nachdem Sie einen vom Kunden verwalteten Verschlüsselungsschlüssel (Customer-Managed Encryption Key, CMEK) erstellt haben, können Sie das Schutzniveau nicht mehr ändern. Folgende Schutzniveaus werden unterstützt:

• SOFTWARE:Kryptografische Vorgänge werden in Software ausgeführt.
• HSM:Kryptografische Vorgänge werden in einem Hardware-Sicherheitsmodul (HSM) ausgeführt.
• EXTERN:Kryptografische Vorgänge werden mit einem Schlüssel ausgeführt, der in einem externen Schlüsselverwaltungssystem gespeichert ist, das über das Internet mit Google Cloud verbunden ist. Auf symmetrische Verschlüsselung und asymmetrische Signierung beschränkt.
• EXTERNAL_VPC::Kryptografische Vorgänge werden mit einem Schlüssel ausgeführt, der in einem externen Schlüsselverwaltungssystem gespeichert ist, das über ein VPC-Netzwerk (Virtual Private Cloud) mit Google Cloud verbunden ist. Auf symmetrische Verschlüsselung und asymmetrische Signierung beschränkt.

Achten Sie darauf, dass der Rotationszeitraum Ihrer Cloud KMS-Schlüssel auf 90 Tage festgelegt ist. Es empfiehlt sich, Ihre Sicherheitsschlüssel in regelmäßigen Abständen zu rotieren. Mit dieser Steuerung wird die Schlüsselrotation für Schlüssel erzwungen, die mit HSM-Diensten erstellt wurden.

Wenn Sie diesen Rotationszeitraum erstellen, sollten Sie auch geeignete Richtlinien und Verfahren für die sichere Erstellung, Löschung und Änderung von Schlüsselmaterial erstellen, damit Sie Ihre Informationen schützen und die Verfügbarkeit sicherstellen können. Achten Sie darauf, dass dieser Zeitraum den Unternehmensrichtlinien für die Schlüsselrotation entspricht.

Verwenden Sie die Organisationsrichtlinieneinschränkung Domänenbeschränkte Freigabe (iam.allowedPolicyMemberDomains), um mindestens eine Cloud Identity- oder Google Workspace-Kundennummer zu definieren, deren Hauptkonten IAM-Richtlinien (Identity and Access Management) hinzugefügt werden können.

Google Cloud -Dienste schreiben Audit-Logeinträge, um die Frage zu beantworten, wer was, wo und wann mit Google Cloud -Ressourcen getan hat.

Aktivieren Sie das Audit-Logging auf Organisationsebene. Sie können das Logging mit der Pipeline konfigurieren, die Sie zum Einrichten der Google Cloud -Organisation verwenden.

In VPC-Flusslogs wird eine Stichprobe von Netzwerkflüssen erfasst, die von VM-Instanzen gesendet und empfangen werden, darunter Instanzen, die als Google Kubernetes Engine-Knoten (GKE) verwendet werden. Die Stichprobe beträgt in der Regel 50% oder weniger der VPC-Netzwerkflüsse.

Wenn Sie VPC-Fluss-Logs aktivieren, aktivieren Sie Logging für alle VMs in einem Subnetz. Sie können jedoch die Menge der in Logging geschriebenen Informationen reduzieren.

Aktivieren Sie VPC-Flusslogs für jedes VPC-Subnetz. Sie können die Protokollierung mit einer Pipeline konfigurieren, mit der Sie ein Projekt erstellen.

Beim Logging von Firewallregeln wird jedes Mal ein Datensatz erstellt, wenn eine Firewallregel Traffic zulässt oder ablehnt.

Aktivieren Sie das Logging für jede Firewallregel. Sie können das Logging mit einer Pipeline konfigurieren, mit der Sie eine Firewall erstellen.

Mit der Einschränkung für Organisationsrichtlinien Einschränken, welche Projekte KMS-CryptoKeys für CMEK bereitstellen können (gcp.restrictCmekCryptoKeyProjects) können Sie definieren, in welchen Projekten kundenverwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEKs) gespeichert werden können. Mit dieser Einschränkung können Sie die Verwaltung und Steuerung von Verschlüsselungsschlüsseln zentralisieren. Wenn ein ausgewählter Schlüssel diese Einschränkung nicht erfüllt, schlägt die Ressourcenerstellung fehl.

Zum Ändern dieser Einschränkung benötigen Administratoren die IAM-Rolle Administrator für Organisationsrichtlinien (roles/orgpolicy.policyAdmin).

Wenn Sie eine zweite Schutzebene hinzufügen möchten, z. B. „Bring Your Own Key“, ändern Sie diese Einschränkung so, dass sie die Schlüsselnamen des aktivierten CMEK darstellt.

Produktspezifische Informationen:

• In Vertex AI speichern Sie Ihre Schlüssel im Projekt KEY PROJECTS.

Wenn Sie mehr Kontrolle über Schlüsselvorgänge benötigen, als Google-owned and Google-managed encryption keys zulässt, können Sie kundenverwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEKs) verwenden. Diese Schlüssel werden mit Cloud KMS erstellt und verwaltet. Speichern Sie die Schlüssel als Softwareschlüssel, in einem HSM-Cluster oder in einem externen Schlüsselverwaltungssystem.

Verschlüsselungs- und Entschlüsselungsraten für Cloud KMS unterliegen Kontingenten.

Cloud Storage-Besonderheiten

In Cloud Storage können Sie CMEKs für einzelne Objekte verwenden oder Ihre Cloud Storage-Buckets so konfigurieren, dass ein CMEK standardmäßig für alle neuen Objekte verwendet wird, die einem Bucket hinzugefügt werden. Wenn Sie einen vom Kunden verwalteten Verschlüsselungsschlüssel verwenden, wird ein Objekt von Cloud Storage zum Zeitpunkt der Speicherung in einem Bucket mit dem Schlüssel verschlüsselt. Das Objekt wird während der Speicherung automatisch von Cloud Storage entschlüsselt, wenn es für Anfragende bereitgestellt wird.

Bei der Verwendung von CMEKs mit Cloud Storage gelten die folgenden Einschränkungen:

• Sie können ein Objekt nicht mit einem CMEK verschlüsseln, indem Sie seine Metadaten aktualisieren. Fügen Sie den Schlüssel stattdessen hinzu, während Sie das Objekt neu schreiben.
• Cloud Storage verwendet den Befehl zum Aktualisieren von Objekten, um Verschlüsselungsschlüssel für Objekte festzulegen, aber der Befehl schreibt das Objekt als Teil der Anfrage neu.
• Sie müssen den Cloud KMS-Schlüsselbund am selben Ort wie die Daten erstellen, die Sie verschlüsseln möchten. Wenn sich Ihr Bucket beispielsweise in us-east1 befindet, muss jeder Schlüsselbund, der zum Verschlüsseln von Objekten in diesem Bucket verwendet wird, ebenfalls in us-east1 erstellt werden.
• Für die meisten Dual-Regionen müssen Sie den Cloud KMS-Schlüsselbund in der zugehörigen Multiregion erstellen. Wenn sich Ihr Bucket beispielsweise im Paar us-east1, us-west1 befindet, muss jeder Schlüsselbund, der zum Verschlüsseln von Objekten in diesem Bucket verwendet wird, in der Multiregion USA erstellt werden.
• Für die vordefinierten Dual-Regionen asia1, eur4 und nam4 müssen Sie den Schlüsselbund in derselben vordefinierten Dual-Region erstellen.
• Die CRC32C-Prüfsumme und der MD5-Hash von Objekten, die mit CMEKs verschlüsselt sind, werden nicht zurückgegeben, wenn Objekte mit der JSON API aufgelistet werden.
• Wenn Sie Tools wie Cloud Storage verwenden, um zusätzliche Metadatenanfragen GET für jedes Verschlüsselungsobjekt auszuführen, um die CRC32C- und MD5-Informationen abzurufen, kann die Auflistung wesentlich kürzer sein. Cloud Storage kann den Entschlüsselungsabschnitt von asymmetrischen Schlüsseln, die in Cloud KMS gespeichert sind, nicht verwenden, um relevante Objekte automatisch auf dieselbe Weise zu entschlüsseln wie CMEKs.

Google Cloud empfiehlt die Verwendung von Sensitive Data Protection. Die von Ihnen ausgewählten infoTypes oder Jobvorlagen hängen von Ihren jeweiligen Systemen ab.

Wenn Sie nachverfolgen möchten, wer auf Daten in Ihrer Google Cloud -Umgebung zugegriffen hat, aktivieren Sie Audit-Logs zum Datenzugriff. In diesen Logs werden API-Aufrufe aufgezeichnet, mit denen Nutzerdaten gelesen, erstellt oder geändert werden, sowie API-Aufrufe, mit denen Ressourcenkonfigurationen gelesen werden.

Wir empfehlen dringend, Audit-Logs zum Datenzugriff für generative KI-Modelle und sensible Daten zu aktivieren, damit Sie prüfen können, wer die Informationen gelesen hat. Wenn Sie Audit-Logs zum Datenzugriff verwenden möchten, müssen Sie Ihre eigene benutzerdefinierte Erkennungslogik für bestimmte Aktivitäten wie Super Admin-Anmeldungen einrichten.

Audit-Logs zum Datenzugriff können sehr groß sein. Durch Aktivieren von Datenzugriffslogs können Gebühren für die zusätzliche Lognutzung im Google Cloud -Projekt anfallen.

Prüfen Sie für jeden Dienstperimeter in der Google Cloud Konsole, ob der Perimetertyp auf „Regulär“ festgelegt ist.

Verwenden Sie Access Context Manager, um für jeden Dienstperimeter zu bestätigen, dass der Perimeter die API schützt.

Mit Access Transparency erhalten Sie Logs, in denen die Aktionen erfasst werden, die Google-Mitarbeiter beim Zugriff auf Ihre Inhalte ausführen.

Sie können Access Transparency auf Organisationsebene aktivieren.