Kontrol umum untuk kasus penggunaan AI generatif

Google Cloud mendukung beberapa versi protokol TLS. Untuk memenuhi persyaratan kepatuhan, Anda mungkin ingin menolak permintaan handshake dari klien yang menggunakan versi TLS yang lebih lama.

Untuk mengonfigurasi kontrol ini, gunakan batasan kebijakan organisasi Membatasi Versi TLS (gcp.restrictTLSVersion). Anda dapat menerapkan batasan ini ke organisasi, folder, atau project dalam hierarki resource. Batasan Restrict TLS Versions menggunakan daftar yang tidak diizinkan, yang menolak nilai eksplisit dan mengizinkan semua nilai lainnya. Error terjadi jika Anda mencoba menggunakan daftar yang diizinkan.

Karena perilaku evaluasi hierarki kebijakan organisasi, pembatasan versi TLS berlaku untuk node resource yang ditentukan dan semua folder serta projectnya (turunan). Misalnya, jika Anda menolak TLS versi 1.0 untuk organisasi, TLS versi 1.0 juga akan ditolak untuk semua turunan yang berasal dari organisasi tersebut.

Anda dapat mengganti pembatasan versi TLS yang diwariskan dengan memperbarui kebijakan organisasi pada resource turunan. Misalnya, jika kebijakan organisasi Anda menolak TLS 1.0 di tingkat organisasi, Anda dapat menghapus batasan untuk folder turunan dengan menetapkan kebijakan organisasi terpisah pada folder tersebut. Jika folder memiliki turunan, kebijakan folder juga akan diterapkan pada setiap resource turunan karena pewarisan kebijakan.

Untuk lebih membatasi versi TLS hanya ke TLS 1.3, Anda dapat menetapkan kebijakan ini untuk juga membatasi versi TLS 1.2. Anda harus menerapkan kontrol ini pada aplikasi yang Anda hosting di dalam Google Cloud. Misalnya, di tingkat organisasi, tetapkan:

["TLS_VERSION_1","TLS_VERSION_1.1","TLS_VERSION_1.2"]

Semua data di Google Cloud dienkripsi dalam penyimpanan secara default menggunakan algoritma yang disetujui NIST.

Pastikan Cloud Key Management Service (Cloud KMS) hanya menggunakan algoritma yang disetujui NIST untuk menyimpan kunci sensitif di lingkungan. Kontrol ini memastikan penggunaan kunci yang aman hanya dengan algoritma dan keamanan yang disetujui NIST. Kolom CryptoKeyVersionAlgorithm adalah daftar yang diizinkan yang diberikan.

Hapus algoritma yang tidak mematuhi kebijakan organisasi Anda.

Tetapkan tujuan kunci Cloud KMS ke ENCRYPT_DECRYPT agar kunci hanya digunakan untuk mengenkripsi dan mendekripsi data. Kontrol ini memblokir fungsi lain, seperti penandatanganan, dan memastikan bahwa kunci hanya digunakan untuk tujuan yang dimaksudkan. Jika Anda menggunakan kunci untuk fungsi lain, validasi kasus penggunaan tersebut dan pertimbangkan untuk membuat kunci tambahan.

Level perlindungan menunjukkan cara operasi kriptografi dilakukan. Setelah membuat kunci enkripsi yang dikelola pelanggan (CMEK), Anda tidak dapat mengubah tingkat perlindungan. Level perlindungan yang didukung adalah sebagai berikut:

• SOFTWARE: Operasi kriptografi dilakukan di software.
• HSM: Operasi kriptografi dilakukan di modul keamanan hardware (HSM).
• EKSTERNAL: Operasi kriptografi dilakukan menggunakan kunci yang disimpan di pengelola kunci eksternal yang terhubung ke Google Cloud melalui internet. Terbatas pada enkripsi simetris dan penandatanganan asimetris.
• EXTERNAL_VPC: Operasi kriptografi dilakukan menggunakan kunci yang disimpan di pengelola kunci eksternal yang terhubung ke Google Cloud melalui jaringan Virtual Private Cloud (VPC). Terbatas pada enkripsi simetris dan penandatanganan asimetris.

Pastikan periode rotasi kunci Cloud KMS Anda ditetapkan ke 90 hari. Praktik terbaik umum adalah merotasi kunci keamanan Anda secara berkala. Kontrol ini menerapkan rotasi kunci untuk kunci yang dibuat dengan layanan HSM.

Saat membuat periode rotasi ini, buat juga kebijakan dan prosedur yang sesuai untuk menangani pembuatan, penghapusan, dan modifikasi materi utama secara aman sehingga Anda dapat membantu melindungi informasi Anda dan memastikan ketersediaan. Pastikan periode ini mematuhi kebijakan perusahaan Anda untuk rotasi kunci.

Gunakan batasan kebijakan organisasi Berbagi yang dibatasi domain (iam.allowedPolicyMemberDomains) untuk menentukan satu atau beberapa ID pelanggan Cloud Identity atau Google Workspace yang pokoknya dapat ditambahkan ke kebijakan Identity and Access Management (IAM).

LayananGoogle Cloud menulis entri log audit untuk menjawab siapa yang melakukan apa, di mana, dan kapan dengan resource Google Cloud .

Aktifkan logging audit di tingkat organisasi. Anda dapat mengonfigurasi logging menggunakan pipeline yang Anda gunakan untuk menyiapkan organisasi Google Cloud .

VPC Flow Logs mencatat sampel alur jaringan yang dikirim dari dan diterima oleh instance VM, termasuk yang digunakan sebagai node Google Kubernetes Engine (GKE). Sampel biasanya berjumlah 50% atau kurang dari alur jaringan VPC.

Dengan mengaktifkan Log Alur VPC, Anda mengaktifkan logging untuk semua VM di subnet. Namun, Anda dapat mengurangi jumlah informasi yang ditulis ke logging.

Aktifkan VPC Flow Logs untuk setiap subnet VPC. Anda dapat mengonfigurasi logging menggunakan pipeline yang Anda gunakan untuk membuat project.

Firewall Rules Logging membuat catatan setiap kali aturan firewall mengizinkan atau menolak traffic.

Aktifkan logging untuk setiap aturan firewall. Anda dapat mengonfigurasi logging menggunakan pipeline yang Anda gunakan untuk membuat firewall.

Gunakan batasan kebijakan organisasi Batasi project mana yang dapat menyediakan CryptoKey KMS untuk CMEK (gcp.restrictCmekCryptoKeyProjects) untuk menentukan project mana yang dapat menyimpan kunci enkripsi yang dikelola pelanggan (CMEK). Batasan ini memungkinkan Anda memusatkan tata kelola dan pengelolaan kunci enkripsi. Jika kunci yang dipilih tidak memenuhi batasan ini, pembuatan resource akan gagal.

Untuk mengubah batasan ini, administrator memerlukan peran IAM Organization Policy Administrator (roles/orgpolicy.policyAdmin).

Jika Anda ingin menambahkan lapisan perlindungan kedua, seperti menggunakan kunci Anda sendiri, ubah batasan ini untuk merepresentasikan nama kunci CMEK yang diaktifkan.

Detail produk:

• Di Vertex AI, Anda menyimpan kunci di project KEY PROJECTS.

Jika memerlukan kontrol lebih besar atas operasi kunci daripada yang diizinkan oleh Google-owned and Google-managed encryption keys , Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Kunci ini dibuat dan dikelola menggunakan Cloud KMS. Simpan kunci sebagai kunci software, di cluster HSM, atau di sistem pengelolaan kunci eksternal.

Tingkat enkripsi dan dekripsi Cloud KMS bergantung pada kuota.

Detail Cloud Storage

Di Cloud Storage, gunakan CMEK pada setiap objek, atau konfigurasi bucket Cloud Storage Anda untuk menggunakan CMEK secara default pada semua objek baru yang ditambahkan ke bucket. Saat menggunakan CMEK, objek dienkripsi dengan kunci tersebut oleh Cloud Storage pada saat disimpan dalam bucket, dan objek secara otomatis didekripsi oleh Cloud Storage saat objek disajikan kepada pemohon.

Batasan berikut berlaku saat menggunakan CMEK dengan Cloud Storage:

• Anda tidak dapat mengenkripsi objek dengan CMEK dengan memperbarui metadata objek. Sertakan kunci sebagai bagian dari penulisan ulang objek.
• Cloud Storage Anda menggunakan perintah update objek untuk menetapkan kunci enkripsi pada objek, tetapi perintah tersebut akan menulis ulang objek sebagai bagian dari permintaan.
• Anda harus membuat key ring Cloud KMS di lokasi yang sama dengan data yang ingin Anda enkripsi. Misalnya, jika bucket Anda berada di us-east1, key ring apa pun yang digunakan untuk mengenkripsi objek di bucket tersebut juga harus dibuat di us-east1.
• Untuk sebagian besar dual-region, Anda harus membuat key ring Cloud KMS di multi-region yang terkait. Misalnya, jika bucket Anda berada di pasangan us-east1, us-west1, key ring apa pun yang digunakan untuk mengenkripsi objek di bucket tersebut harus dibuat di multi-region Amerika Serikat.
• Untuk dual-region asia1, eur4, dan nam4 yang telah ditetapkan sebelumnya, Anda harus membuat key ring di dual-region yang sama yang telah ditetapkan sebelumnya.
• Checksum CRC32C dan hash MD5 objek yang dienkripsi dengan CMEK tidak ditampilkan saat mencantumkan objek dengan JSON API.
• Menggunakan alat seperti Cloud Storage untuk melakukan permintaan GET metadata tambahan pada setiap objek enkripsi guna mengambil informasi CRC32C dan MD5 dapat membuat daftar menjadi jauh lebih pendek. Cloud Storage tidak dapat menggunakan bagian dekripsi dari kunci asimetris yang disimpan di Cloud KMS untuk secara otomatis mendekripsi objek yang relevan dengan cara yang sama seperti yang dilakukan oleh CMEK.

Google Cloud merekomendasikan penggunaan Sensitive Data Protection. InfoType atau template tugas yang Anda pilih bergantung pada sistem tertentu Anda.

Untuk melacak siapa yang mengakses data di lingkungan Google Cloud Anda, aktifkan log audit Akses Data. Log ini mencatat panggilan API yang membaca, membuat, atau mengubah data pengguna, serta panggilan API yang membaca konfigurasi resource.

Sebaiknya aktifkan log audit Akses Data untuk model AI generatif dan data sensitif guna memastikan Anda dapat mengaudit siapa yang telah membaca informasi tersebut. Untuk menggunakan log audit Akses Data, Anda harus menyiapkan logika deteksi kustom sendiri untuk aktivitas tertentu, seperti login admin super.

Volume log audit Akses Data bisa besar. Mengaktifkan log Akses Data dapat menyebabkan project Google Cloud Anda dikenai biaya untuk penggunaan log tambahan.

Untuk setiap perimeter layanan, konfirmasi di konsol Google Cloud bahwa jenis perimeter ditetapkan ke reguler.

Untuk setiap perimeter layanan, gunakan Access Context Manager untuk mengonfirmasi bahwa perimeter melindungi API.

Transparansi Akses memberikan log yang mencatat tindakan yang dilakukan personel Google saat mengakses konten Anda.

Anda dapat mengaktifkan Transparansi Akses di tingkat organisasi.