Commandes courantes pour les cas d'utilisation de l'IA générative

Google Cloud est compatible avec plusieurs versions du protocole TLS. Pour répondre aux exigences de conformité, vous pouvez refuser les demandes de handshake provenant de clients qui utilisent d'anciennes versions de TLS.

Pour configurer ce contrôle, utilisez la contrainte de règle d'administration Limiter les versions TLS (gcp.restrictTLSVersion). Vous pouvez appliquer cette contrainte aux organisations, aux dossiers ou aux projets dans la hiérarchie des ressources. La contrainte Restreindre les versions TLS utilise une liste d'interdiction, qui refuse les valeurs explicites et autorise toutes les autres. Une erreur se produit si vous essayez d'utiliser une liste d'autorisation.

En raison du comportement de l'évaluation de la hiérarchie des règles d'administration, la restriction de version TLS s'applique au nœud de ressource spécifié et à tous ses dossiers et projets (enfants). Par exemple, si vous refusez la version 1.0 de TLS pour une organisation, elle est également refusée pour tous les enfants qui en dépendent.

Vous pouvez remplacer la restriction de version TLS héritée en modifiant la règle d'administration sur une ressource enfant. Par exemple, si votre règle d'administration refuse TLS 1.0 au niveau de l'organisation, vous pouvez supprimer la restriction pour un dossier enfant en définissant une règle d'administration distincte pour ce dossier. Si le dossier comporte des enfants, la règle du dossier sera également appliquée à chaque ressource enfant en raison de l'héritage des règles.

Pour limiter davantage la version TLS à TLS 1.3 uniquement, vous pouvez définir cette règle pour limiter également la version TLS 1.2. Vous devez implémenter ce contrôle sur les applications que vous hébergez dans Google Cloud. Par exemple, au niveau de l'organisation, définissez :

["TLS_VERSION_1","TLS_VERSION_1.1","TLS_VERSION_1.2"]

Toutes les données de Google Cloud sont chiffrées au repos par défaut à l'aide d'algorithmes approuvés par le NIST.

Assurez-vous que Cloud Key Management Service (Cloud KMS) n'utilise que des algorithmes approuvés par le NIST pour stocker les clés sensibles dans l'environnement. Ce contrôle garantit une utilisation sécurisée des clés en n'autorisant que les algorithmes et les mesures de sécurité approuvés par le NIST. Le champ CryptoKeyVersionAlgorithm est une liste d'autorisation fournie.

Supprimez les algorithmes qui ne respectent pas les règles de votre organisation.

Définissez l'objectif des clés Cloud KMS sur ENCRYPT_DECRYPT afin que les clés ne soient utilisées que pour chiffrer et déchiffrer les données. Ce contrôle bloque d'autres fonctions, telles que la signature, et garantit que les clés ne sont utilisées que pour l'usage prévu. Si vous utilisez des clés pour d'autres fonctions, validez ces cas d'utilisation et envisagez de créer des clés supplémentaires.

Le niveau de protection indique comment sont effectuées les opérations de chiffrement. Une fois que vous avez créé une clé de chiffrement gérée par le client (CMEK), vous ne pouvez plus modifier le niveau de protection. Voici les niveaux de protection acceptés :

• LOGICIEL : les opérations de chiffrement sont effectuées dans le logiciel.
• HSM : les opérations de chiffrement sont effectuées dans un module de sécurité matériel (HSM).
• EXTERNAL : les opérations de chiffrement sont effectuées à l'aide d'une clé stockée dans un gestionnaire de clés externe connecté à Google Cloud via Internet. Limité au chiffrement symétrique et à la signature asymétrique.
• EXTERNAL_VPC: : les opérations de chiffrement sont effectuées à l'aide d'une clé stockée dans un gestionnaire de clés externe connecté à Google Cloud via un réseau de cloud privé virtuel (VPC). Limité au chiffrement symétrique et à la signature asymétrique.

Assurez-vous que la période de rotation de vos clés Cloud KMS est définie sur 90 jours. Une bonne pratique générale consiste à alterner régulièrement vos clés de sécurité. Ce contrôle applique la rotation des clés créées avec les services HSM.

Lorsque vous créez cette période de rotation, créez également des règles et des procédures appropriées pour gérer de manière sécurisée la création, la suppression et la modification du matériel de clé afin de protéger vos informations et d'assurer leur disponibilité. Assurez-vous que cette période respecte les règles de votre entreprise concernant la rotation des clés.

Utilisez la contrainte de règle d'administration Partage restreint de domaine (iam.allowedPolicyMemberDomains) pour définir un ou plusieurs ID client Cloud Identity ou Google Workspace dont les comptes principaux peuvent être ajoutés aux stratégies Identity and Access Management (IAM).

Les servicesGoogle Cloud génèrent des entrées dans les journaux d'audit pour répondre à la question "qui a fait quoi, où et quand ?" avec les ressources Google Cloud .

Activez la journalisation d'audit au niveau de l'organisation. Vous pouvez configurer la journalisation à l'aide du pipeline que vous utilisez pour configurer l'organisation Google Cloud .

Les journaux de flux VPC enregistrent un échantillon des flux réseau envoyés et reçus par les instances de VM, y compris celles utilisées comme nœuds Google Kubernetes Engine (GKE). Il correspond généralement à 50 % ou moins des flux du réseau VPC.

Lorsque vous activez les journaux de flux VPC, vous activez la journalisation pour toutes les VM d'un sous-réseau. Cependant, vous pouvez réduire la quantité d'informations écrites dans Logging.

Activez les journaux de flux VPC pour chaque sous-réseau VPC. Vous pouvez configurer la journalisation à l'aide d'un pipeline que vous utilisez pour créer un projet.

La journalisation des règles de pare-feu crée un enregistrement chaque fois qu'une règle de pare-feu autorise ou refuse le trafic.

Activez la journalisation pour chaque règle de pare-feu. Vous pouvez configurer la journalisation à l'aide d'un pipeline que vous utilisez pour créer un pare-feu.

Utilisez la contrainte de règle d'administration Limiter les projets susceptibles de fournir des CryptoKeys de services de gestion des clés comme CMEK (gcp.restrictCmekCryptoKeyProjects) pour définir les projets pouvant stocker des clés de chiffrement gérées par le client (CMEK). Cette contrainte vous permet de centraliser la gouvernance et la gestion des clés de chiffrement. Si une clé sélectionnée ne respecte pas cette contrainte, la création de la ressource échoue.

Pour modifier cette contrainte, les administrateurs ont besoin du rôle IAM Administrateur des règles d'administration (roles/orgpolicy.policyAdmin).

Si vous souhaitez ajouter une deuxième couche de protection, comme "apportez votre propre clé", modifiez cette contrainte pour représenter les noms de clés de la clé CMEK activée.

Spécificités du produit :

• Dans Vertex AI, vous stockez vos clés dans le projet PROJETS DE CLÉS.

Si vous avez besoin de davantage de contrôle sur les opérations de clé que ne le permet Google-owned and Google-managed encryption keys , vous pouvez utiliser les clés de chiffrement gérées par le client (CMEK). Ces clés sont créées et gérées à l'aide de Cloud KMS. Stockez les clés sous forme de clés logicielles, dans un cluster HSM ou dans un système de gestion de clés externe.

Les taux de chiffrement et de déchiffrement de Cloud KMS sont soumis à des quotas.

Spécificités de Cloud Storage

Dans Cloud Storage, utilisez des CMEK sur des objets individuels ou configurez vos buckets Cloud Storage pour qu'ils utilisent une CMEK par défaut sur tous les nouveaux objets ajoutés à un bucket. Lorsque vous utilisez une clé CMEK, un objet est chiffré avec la clé par Cloud Storage au moment de son stockage dans un bucket. L'objet est automatiquement déchiffré par Cloud Storage lorsqu'il est destiné aux demandeurs.

Les restrictions suivantes s'appliquent lorsque vous utilisez des clés CMEK avec Cloud Storage :

• Vous ne pouvez pas chiffrer un objet avec une clé CMEK en mettant à jour les métadonnées de cet objet. À la place, incluez la clé dans le cadre d'une réécriture de l'objet.
• Votre Cloud Storage utilise la commande d'actualisation des objets pour définir des clés de chiffrement sur les objets, mais la commande réécrit l'objet dans le cadre de la requête.
• Vous devez créer le trousseau de clés Cloud KMS au même emplacement que celui des données que vous souhaitez chiffrer. Par exemple, si votre bucket est situé dans us-east1, les trousseaux de clés utilisés pour chiffrer des objets dans ce bucket doivent également être créés dans us-east1.
• Pour la plupart des régions doubles, vous devez créer le trousseau de clés Cloud KMS dans la région multirégionale associée. Par exemple, si votre bucket est situé dans la paire us-east1, us-west1, tout trousseau de clés utilisé pour chiffrer des objets dans ce bucket doit être créé dans la multirégion États-Unis.
• Pour les emplacements birégionaux prédéfinis asia1, eur4 et nam4, vous devez créer le trousseau de clés dans l'emplacement birégional prédéfini.
• La somme de contrôle CRC32C et le hachage MD5 des objets chiffrés avec des clés CMEK ne sont pas renvoyés lorsque vous listez des objets avec l'API JSON.
• L'utilisation d'outils tels que Cloud Storage pour effectuer des requêtes GET de métadonnées supplémentaires sur chaque objet de chiffrement afin de récupérer les informations CRC32C et MD5 peut réduire considérablement la durée de l'opération de listage. Cloud Storage ne peut pas utiliser la partie servant au déchiffrement des clés asymétriques stockées dans Cloud KMS pour déchiffrer automatiquement les objets concernés de la même manière que les CMEK.

Google Cloud recommande d'utiliser la protection des données sensibles. Les infoTypes ou les modèles de tâches que vous sélectionnez dépendent de vos systèmes spécifiques.

Pour savoir qui a accédé aux données dans votre environnement Google Cloud , activez les journaux d'audit des accès aux données. Ces journaux enregistrent les appels d'API qui lisent, créent ou modifient les données utilisateur, ainsi que les appels d'API qui lisent les configurations de ressources.

Nous vous recommandons vivement d'activer les journaux d'audit d'accès aux données pour les modèles d'IA générative et les données sensibles afin de pouvoir vérifier qui a lu les informations. Pour utiliser les journaux d'audit pour l'accès aux données, vous devez configurer votre propre logique de détection personnalisée pour des activités spécifiques, comme les connexions des super-administrateurs.

Le volume des journaux d'audit pour l'accès aux données peut être important. Lorsque vous activez les journaux d'accès aux données, l'utilisation de journaux supplémentaires peut être facturée pour votre projet Google Cloud .

Pour chaque périmètre de service, vérifiez dans la console Google Cloud que le type de périmètre est défini sur "Standard".

Pour chaque périmètre de service, utilisez Access Context Manager pour confirmer que le périmètre protège l'API.

Access Transparency fournit des journaux qui capturent les actions réalisées par le personnel de Google lorsqu'il accède à votre contenu.

Vous pouvez activer Access Transparency au niveau de l'organisation.