Controles comunes para casos de uso de IA generativa

Google Cloud admite varias versiones del protocolo TLS. Para cumplir con los requisitos de cumplimiento, es posible que desees rechazar las solicitudes de protocolo de enlace de los clientes que usan versiones anteriores de TLS.

Para configurar este control, usa la restricción de la política de la organización Restrict TLS Versions (gcp.restrictTLSVersion). Puedes aplicar esta restricción a organizaciones, carpetas o proyectos en la jerarquía de recursos. La restricción Restrict TLS Versions usa una lista de entidades denegadas, que rechaza valores explícitos y permite todos los demás. Se produce un error si intentas usar una lista de entidades permitidas.

Debido al comportamiento de la evaluación de la jerarquía de políticas de la organización, la restricción de la versión de TLS se aplica al nodo de recursos especificado y a todas sus carpetas y proyectos (elementos secundarios). Por ejemplo, si rechazas la versión 1.0 de TLS para una organización, también se rechazará en todos los elementos secundarios que desciendan de esa organización.

Puedes anular la restricción de la versión de TLS heredada actualizando la política de la organización en un recurso secundario. Por ejemplo, si tu política de la organización rechaza TLS 1.0 a nivel de la organización, puedes quitar la restricción para una carpeta secundaria configurando una política de la organización independiente en esa carpeta. Si la carpeta tiene elementos secundarios, la política de la carpeta también se aplicará a cada recurso secundario debido a la herencia de políticas.

Para restringir aún más la versión de TLS solo a TLS 1.3, puedes configurar esta política para que también restrinja la versión de TLS 1.2. Debes implementar este control en las aplicaciones que alojes dentro de Google Cloud. Por ejemplo, a nivel de la organización, establece lo siguiente:

["TLS_VERSION_1","TLS_VERSION_1.1","TLS_VERSION_1.2"]

Todos los datos en Google Cloud se encriptan en reposo de forma predeterminada con algoritmos aprobados por el NIST.

Asegúrate de que Cloud Key Management Service (Cloud KMS) solo use algoritmos aprobados por el NIST para almacenar claves sensibles en el entorno. Este control garantiza el uso seguro de las claves solo con algoritmos y seguridad aprobados por el NIST. El campo CryptoKeyVersionAlgorithm es una lista de entidades permitidas proporcionada.

Quita los algoritmos que no cumplan con las políticas de tu organización.

Establece el propósito de las claves de Cloud KMS en ENCRYPT_DECRYPT para que las claves solo se usen para encriptar y desencriptar datos. Este control bloquea otras funciones, como la firma, y garantiza que las claves solo se usen para el propósito previsto. Si usas claves para otras funciones, valida esos casos de uso y considera crear claves adicionales.

El nivel de protección indica cómo se realizan las operaciones criptográficas. Después de crear una clave de encriptación administrada por el cliente (CMEK), no puedes cambiar el nivel de protección. Los niveles de protección admitidos son los siguientes:

• SOFTWARE: Las operaciones criptográficas se realizan en software.
• HSM: Las operaciones criptográficas se realizan en un módulo de seguridad de hardware (HSM).
• EXTERNO: Las operaciones criptográficas se realizan con una clave almacenada en un administrador de claves externo que está conectado a Google Cloud a través de Internet. Se limita a la encriptación simétrica y la firma asimétrica.
• EXTERNAL_VPC: Las operaciones criptográficas se realizan con una clave almacenada en un administrador de claves externo que está conectado a Google Cloud a través de una red de nube privada virtual (VPC). Se limita a la encriptación simétrica y la firma asimétrica.

Asegúrate de que el período de rotación de tus claves de Cloud KMS esté establecido en 90 días. Una práctica recomendada general es rotar las claves de seguridad a intervalos regulares. Este control aplica la rotación de claves para las claves que se crean con los servicios de HSM.

Cuando crees este período de rotación, también crea políticas y procedimientos adecuados para manejar de forma segura la creación, el borrado y la modificación del material de claves, de modo que puedas proteger tu información y garantizar la disponibilidad. Asegúrate de que este período cumpla con las políticas corporativas de rotación de claves.

Usa la restricción de la política de la organización Uso compartido restringido al dominio (iam.allowedPolicyMemberDomains) para definir uno o más IDs de cliente de Cloud Identity o Google Workspace cuyas principales se pueden agregar a las políticas de Identity and Access Management (IAM).

Los servicios deGoogle Cloud escriben entradas de registro de auditoría para responder quién hizo qué, dónde y cuándo con los recursos de Google Cloud .

Habilita el registro de auditoría a nivel de la organización. Puedes configurar el registro con la canalización que usas para configurar la organización de Google Cloud .

Los registros de flujo de VPC registran una muestra de flujos de red que envían y reciben las instancias de VM, incluidas las que se usan como nodos de Google Kubernetes Engine (GKE). Por lo general, la muestra es del 50% o menos de los flujos de red de VPC.

Cuando habilitas los registros de flujo de VPC, se habilita el registro en todas las VMs de una subred. Sin embargo, puedes reducir la cantidad de información que se escribe en el registro.

Habilita los registros de flujo de VPC para cada subred de VPC. Puedes configurar el registro con una canalización que uses para crear un proyecto.

El registro de reglas de firewall crea un registro cada vez que una regla de firewall permite o deniega el tráfico.

Habilita el registro para cada regla de firewall. Puedes configurar el registro con una canalización que uses para crear un firewall.

Usa la restricción de la política de la organización Restringe los proyectos que pueden proporcionar CryptoKeys de KMS para CMEK (gcp.restrictCmekCryptoKeyProjects) para definir qué proyectos pueden almacenar claves de encriptación administradas por el cliente (CMEK). Esta restricción te permite centralizar la administración y el control de las claves de encriptación. Cuando una clave seleccionada no cumple con esta restricción, falla la creación del recurso.

Para modificar esta restricción, los administradores necesitan el rol de IAM de Administrador de políticas de la organización (roles/orgpolicy.policyAdmin).

Si deseas agregar una segunda capa de protección, como la opción de usar tu propia clave, cambia esta restricción para que represente los nombres de las claves de la CMEK habilitada.

Detalles del producto:

• En Vertex AI, almacenas tus claves en el proyecto KEY PROJECTS.

Si necesitas más control sobre las operaciones de clave que el que permite Google-owned and Google-managed encryption keys , puedes usar claves de encriptación administradas por el cliente (CMEK). Estas claves se crean y administran con Cloud KMS. Almacenar las claves como claves de software, en un clúster de HSM o en un sistema de administración de claves externo

Los índices de encriptación y desencriptación de Cloud KMS están sujetos a cuotas.

Detalles específicos de Cloud Storage

En Cloud Storage, usa CMEK en objetos individuales o configura tus buckets de Cloud Storage para usar una CMEK de forma predeterminada en todos los objetos nuevos que se agreguen a un bucket. Cuando se usa una CMEK, Cloud Storage encripta un objeto con la clave en el momento en el que se almacena en un bucket, y Cloud Storage lo desencripta automáticamente cuando el objeto se entrega a los solicitantes.

Las siguientes restricciones se aplican cuando se usan CMEK con Cloud Storage:

• No puedes encriptar un objeto con una CMEK cuando actualizas los metadatos del objeto. Incluye la clave como parte de una reescritura del objeto en su lugar.
• Tu Cloud Storage usa el comando de actualización de objetos para establecer claves de encriptación en los objetos, pero el comando reescribe el objeto como parte de la solicitud.
• Debes crear el llavero de claves de Cloud KMS en la misma ubicación que los datos que deseas encriptar. Por ejemplo, si tu bucket está ubicado en us-east1, cualquier llavero de claves usado para encriptar objetos en ese bucket también debe crearse en us-east1.
• Para la mayoría de las regiones dobles, debes crear el llavero de claves de Cloud KMS en la multirregión asociada. Por ejemplo, si tu bucket está ubicado en el par us-east1, us-west1, cualquier llavero de claves usado para encriptar objetos en ese bucket debe crearse en la multirregión de EE.UU.
• Para las regiones dobles predefinidas asia1, eur4 y nam4, debes crear el llavero de claves en la misma región doble predefinida.
• La suma de comprobación CRC32C y el hash MD5 de los objetos encriptados con CMEK no se muestran cuando se enumeran objetos con la API de JSON.
• Usar herramientas como Cloud Storage para realizar solicitudes GET de metadatos adicionales en cada objeto de encriptación para recuperar la información de CRC32C y MD5 puede hacer que la enumeración sea mucho más corta. Cloud Storage no puede usar la parte de desencriptación de las claves asimétricas almacenadas en Cloud KMS para desencriptar automáticamente objetos relevantes de la misma manera que las CMEK.

Google Cloud recomienda usar la Protección de datos sensibles. Los infoTypes o las plantillas de trabajo que selecciones dependerán de tus sistemas particulares.

Para hacer un seguimiento de quién accedió a los datos en tu entorno de Google Cloud , habilita los registros de auditoría de acceso a los datos. Estos registros graban las llamadas a la API que leen, crean o modifican datos del usuario, así como las llamadas a la API que leen la configuración de los recursos.

Te recomendamos que habilites los registros de auditoría de acceso a los datos para los modelos de IA generativa y los datos sensibles para asegurarte de que puedas auditar quién leyó la información. Para usar los registros de auditoría de acceso a los datos, debes configurar tu propia lógica de detección personalizada para actividades específicas, como los accesos de administrador avanzado.

El volumen de los registros de auditoría de acceso a los datos puede ser grande. Habilitar los registros de acceso a los datos podría generar cargos en tu Google Cloud proyecto por el uso de registros adicionales.

Para cada perímetro de servicio, confirma en la consola de Google Cloud que el tipo de perímetro esté establecido como regular.

Para cada perímetro de servicio, usa Access Context Manager para confirmar que el perímetro protege la API.

La Transparencia de acceso proporciona registros que captan las acciones que realizan los empleados de Google cuando acceden a tu contenido.

Puedes habilitar la Transparencia de acceso a nivel de la organización.