Controles comunes para los casos prácticos de IA generativa

Google Cloud admite varias versiones del protocolo TLS. Para cumplir los requisitos, puede que quieras rechazar las solicitudes de handshake de los clientes que usen versiones anteriores de TLS.

Para configurar este control, usa la restricción de política de organización Restringir versiones de TLS (gcp.restrictTLSVersion). Puedes aplicar esta restricción a organizaciones, carpetas o proyectos de la jerarquía de recursos. La restricción Restringir versiones de TLS usa una lista de denegación, que rechaza valores explícitos y permite todos los demás. Se produce un error si intentas usar una lista de permitidos.

Debido al comportamiento de la evaluación de la jerarquía de políticas de organización, la restricción de versiones de TLS se aplica al nodo de recurso especificado y a todas sus carpetas y proyectos (elementos secundarios). Por ejemplo, si deniegas la versión 1.0 de TLS en una organización, también se deniega en todas las organizaciones secundarias de esa organización.

Puedes anular la restricción de versiones de TLS heredada actualizando la política de organización en un recurso secundario. Por ejemplo, si tu política de organización deniega TLS 1.0 a nivel de organización, puedes quitar la restricción de una carpeta secundaria configurando una política de organización independiente en esa carpeta. Si la carpeta tiene elementos secundarios, la política de la carpeta también se aplicará a cada recurso secundario debido a la herencia de políticas.

Para restringir aún más la versión de TLS a TLS 1.3, puedes definir esta política para que también restrinja la versión 1.2 de TLS. Debes implementar este control en las aplicaciones que alojes en Google Cloud. Por ejemplo, a nivel de organización, define lo siguiente:

["TLS_VERSION_1","TLS_VERSION_1.1","TLS_VERSION_1.2"]

Todos los datos de Google Cloud se cifran en reposo de forma predeterminada mediante algoritmos aprobados por el NIST.

Asegúrate de que Cloud Key Management Service (Cloud KMS) solo use algoritmos aprobados por el NIST para almacenar claves sensibles en el entorno. Este control garantiza el uso seguro de las claves mediante algoritmos y medidas de seguridad aprobados por el NIST. El campo CryptoKeyVersionAlgorithm es una lista de permitidos proporcionada.

Elimina los algoritmos que no cumplan las políticas de tu organización.

Define el propósito de las claves de Cloud KMS como ENCRYPT_DECRYPT para que las claves solo se usen para cifrar y descifrar datos. Este control bloquea otras funciones, como la firma, y asegura que las claves solo se usen para el propósito previsto. Si usas claves para otras funciones, valida esos casos prácticos y considera la posibilidad de crear claves adicionales.

El nivel de protección indica cómo se llevan a cabo las operaciones criptográficas. Una vez que hayas creado una clave de cifrado gestionada por el cliente (CMEK), no podrás cambiar el nivel de protección. Los niveles de protección admitidos son los siguientes:

• SOFTWARE: las operaciones criptográficas se realizan en software.
• HSM: las operaciones criptográficas se realizan en un módulo de seguridad de hardware (HSM).
• EXTERNO: las operaciones criptográficas se realizan con una clave almacenada en un gestor de claves externo conectado a Google Cloud a través de Internet. Limitado al cifrado simétrico y a la firma asimétrica.
• EXTERNAL_VPC: las operaciones criptográficas se realizan con una clave almacenada en un gestor de claves externo conectado a Google Cloud a través de una red de nube privada virtual (VPC). Limitado al cifrado simétrico y a la firma asimétrica.

Asegúrate de que el periodo de rotación de tus claves de Cloud KMS sea de 90 días. Una práctica recomendada general es rotar las claves de seguridad a intervalos regulares. Este control aplica la rotación de claves creadas con servicios HSM.

Cuando crees este periodo de rotación, también debes crear las políticas y los procedimientos adecuados para gestionar de forma segura la creación, la eliminación y la modificación del material de claves. De esta forma, podrás proteger tu información y asegurar su disponibilidad. Asegúrate de que este periodo cumpla las políticas de tu empresa sobre la rotación de claves.

Usa la restricción de la política de la organización Compartir con dominio restringido (iam.allowedPolicyMemberDomains) para definir uno o varios IDs de cliente de Cloud Identity o Google Workspace cuyos principales se puedan añadir a las políticas de gestión de identidades y accesos (IAM).

Los serviciosGoogle Cloud escriben entradas de registro de auditoría para responder a las preguntas sobre quién hizo qué, dónde y cuándo con los Google Cloud recursos.

Habilita el registro de auditoría a nivel de organización. Puedes configurar el registro mediante la canalización que usas para configurar la Google Cloud organización.

Registros de flujo de VPC guarda una muestra de los flujos de red enviados y recibidos en las instancias de VM, incluidas las que se usan como nodos de Google Kubernetes Engine (GKE). La muestra suele ser del 50% o menos de los flujos de la red de VPC.

Cuando habilitas los registros de flujo de VPC, habilitas el registro de todas las VMs de una subred. Sin embargo, puedes reducir la cantidad de información que se escribe en los registros.

Habilita los registros de flujo de VPC en cada subred de VPC. Puedes configurar el registro mediante una canalización que uses para crear un proyecto.

El almacenamiento de registros de reglas de cortafuegos crea un registro cada vez que una regla de cortafuegos permite o deniega el tráfico.

Habilita el registro de cada regla de cortafuegos. Puedes configurar el registro mediante una canalización que uses para crear un cortafuegos.

Usa la restricción de la política de organización Restringe los proyectos que pueden proporcionar CryptoKeys de KMS para CMEK (gcp.restrictCmekCryptoKeyProjects) para definir qué proyectos pueden almacenar claves de cifrado gestionadas por el cliente (CMEKs). Esta restricción te permite centralizar la gobernanza y la gestión de las claves de cifrado. Si una clave seleccionada no cumple esta restricción, no se podrá crear el recurso.

Para modificar esta restricción, los administradores necesitan el rol de gestión de identidades y accesos Administrador de políticas de la organización (roles/orgpolicy.policyAdmin).

Si quieres añadir una segunda capa de protección, como la opción de usar tu propia clave, cambia esta restricción para que represente los nombres de las claves de CMEK habilitadas.

Especificaciones del producto:

• En Vertex AI, las claves se almacenan en el proyecto KEY PROJECTS.

Si necesitas más control sobre las operaciones de las claves que el que Google-owned and Google-managed encryption keys permite, puedes usar claves de cifrado gestionadas por el cliente (CMEKs). Estas claves se crean y gestionan con Cloud KMS. Almacena las claves como claves de software, en un clúster de HSM o en un sistema de gestión de claves externo.

Las tasas de cifrado y descifrado de Cloud KMS están sujetas a cuotas.

Especificaciones de Cloud Storage

En Cloud Storage, usa CMEKs en objetos concretos o configura tus segmentos de Cloud Storage para que usen una CMEK de forma predeterminada en todos los objetos nuevos que se añadan a un segmento. Cuando se usa una CMEK, Cloud Storage cifra un objeto con la clave en el momento en que se almacena en un segmento y lo descifra automáticamente cuando se sirve a los solicitantes.

Se aplican las siguientes restricciones al usar CMEKs con Cloud Storage:

• No puedes cifrar un objeto con una CMEK actualizando sus metadatos. Incluye la clave como parte de una reescritura del objeto.
• Cloud Storage usa el comando de actualización de objetos para definir claves de cifrado en los objetos, pero el comando vuelve a escribir el objeto como parte de la solicitud.
• Debes crear el conjunto de claves de Cloud KMS en la misma ubicación que los datos que quieras cifrar. Por ejemplo, si su segmento está ubicado en us-east1, cualquier conjunto de claves que se utilice para cifrar objetos en ese segmento también debe crearse en us-east1.
• En la mayoría de las birregiones, debes crear el conjunto de claves de Cloud KMS en la multirregión asociada. Por ejemplo, si tu segmento está ubicado en el par us-east1, us-west1, cualquier conjunto de claves que se utilice para cifrar objetos en ese segmento debe crearse en la multirregión de EE. UU.
• En el caso de las regiones duales predefinidas asia1, eur4 y nam4, debes crear el conjunto de claves en la misma región dual predefinida.
• La suma de comprobación CRC32C y el hash MD5 de los objetos cifrados con CMEKs no se devuelven al enumerar objetos con la API JSON.
• Si se usan herramientas como Cloud Storage para hacer solicitudes GET de metadatos adicionales en cada objeto de cifrado con el fin de obtener la información de CRC32C y MD5, la lista puede ser mucho más corta. Cloud Storage no puede usar la parte de descifrado de las claves asimétricas almacenadas en Cloud KMS para descifrar automáticamente los objetos pertinentes de la misma forma que lo hacen las CMEKs.

Google Cloud recomienda usar Protección de Datos Sensibles. Los infoTypes o las plantillas de trabajo que selecciones dependerán de tus sistemas.

Para hacer un seguimiento de quién ha accedido a los datos de tu entorno de Google Cloud , habilita los registros de auditoría de acceso a datos. Estos registros registran las llamadas a la API que leen, crean o modifican datos de usuario, así como las llamadas a la API que leen configuraciones de recursos.

Te recomendamos que habilites los registros de auditoría de acceso a datos en los modelos de IA generativa y los datos sensibles para poder auditar quién ha leído la información. Para usar los registros de auditoría de acceso a datos, debes configurar tu propia lógica de detección personalizada para actividades específicas, como los inicios de sesión de superadministradores.

El volumen de los registros de auditoría de acceso a datos puede ser grande. Si habilitas los registros de acceso a los datos, es posible que se te cobre por el uso adicional de registros de tu Google Cloud proyecto.

En cada perímetro de servicio, confirma en la Google Cloud consola que el tipo de perímetro sea regular.

En cada perímetro de servicio, usa Access Context Manager para confirmar que el perímetro protege la API.

Transparencia de acceso proporciona registros donde constan las acciones que lleva a cabo el personal de Google cuando accede a tu contenido.

Puedes habilitar Transparencia de acceso a nivel de organización.