Controlli comuni per i casi d'uso dell'AI generativa

Google Cloud supporta più versioni del protocollo TLS. Per soddisfare i requisiti di conformità, potresti voler rifiutare le richieste di handshake dai client che utilizzano versioni TLS precedenti.

Per configurare questo controllo, utilizza il vincolo della policy dell'organizzazione Limita versioni TLS (gcp.restrictTLSVersion). Puoi applicare questo vincolo a organizzazioni, cartelle o progetti nella gerarchia delle risorse. Il vincolo Limita versioni TLS utilizza una lista nera, che nega i valori espliciti e consente tutti gli altri. Si verifica un errore se provi a utilizzare una lista consentita.

A causa del comportamento della valutazione della gerarchia delle policy dell'organizzazione, la limitazione della versione TLS si applica al nodo risorsa specificato e a tutte le relative cartelle e progetti (elementi secondari). Ad esempio, se neghi la versione TLS 1.0 per un'organizzazione, viene negata anche per tutti i suoi discendenti.

Puoi ignorare la limitazione della versione TLS ereditata aggiornando la policy dell'organizzazione su una risorsa secondaria. Ad esempio, se la policy dell'organizzazione nega TLS 1.0 a livello di organizzazione, puoi rimuovere la limitazione per una cartella secondaria impostando una policy dell'organizzazione separata per quella cartella. Se la cartella ha elementi secondari, il criterio della cartella verrà applicato anche a ogni risorsa secondaria a causa dell'ereditarietà dei criteri.

Per limitare ulteriormente la versione TLS solo a TLS 1.3, puoi impostare questo criterio in modo che limiti anche la versione TLS 1.2. Devi implementare questo controllo sulle applicazioni che ospiti all'interno di Google Cloud. Ad esempio, a livello di organizzazione, imposta:

["TLS_VERSION_1","TLS_VERSION_1.1","TLS_VERSION_1.2"]

Tutti i dati in Google Cloud sono criptati at-rest per impostazione predefinita utilizzando algoritmi approvati dal NIST.

Assicurati che Cloud Key Management Service (Cloud KMS) utilizzi solo algoritmi approvati dal NIST per archiviare le chiavi sensibili nell'ambiente. Questo controllo garantisce l'utilizzo sicuro delle chiavi solo da parte di algoritmi e sicurezza approvati dal NIST. Il campo CryptoKeyVersionAlgorithm è un elenco consentito fornito.

Rimuovi gli algoritmi che non rispettano le norme della tua organizzazione.

Imposta lo scopo delle chiavi Cloud KMS su ENCRYPT_DECRYPT in modo che le chiavi vengano utilizzate solo per criptare e decriptare i dati. Questo controllo blocca altre funzioni, come la firma, e garantisce che le chiavi vengano utilizzate solo per lo scopo previsto. Se utilizzi chiavi per altre funzioni, convalida questi casi d'uso e valuta la possibilità di creare chiavi aggiuntive.

Il livello di protezione indica il modo in cui vengono eseguite le operazioni crittografiche. Dopo aver creato una chiave di crittografia gestita dal cliente (CMEK), non puoi modificare il livello di protezione. I livelli di protezione supportati sono i seguenti:

• SOFTWARE: le operazioni di crittografia vengono eseguite nel software.
• HSM:le operazioni di crittografia vengono eseguite in un modulo di sicurezza hardware (HSM).
• ESTERNO:le operazioni di crittografia vengono eseguite utilizzando una chiave archiviata in un gestore di chiavi esterno connesso a Google Cloud tramite internet. Limitato alla crittografia simmetrica e alla firma asimmetrica.
• EXTERNAL_VPC::le operazioni di crittografia vengono eseguite utilizzando una chiave archiviata in un gestore di chiavi esterno connesso a Google Cloud tramite una rete Virtual Private Cloud (VPC). Limitato alla crittografia simmetrica e alla firma asimmetrica.

Assicurati che il periodo di rotazione delle chiavi Cloud KMS sia impostato su 90 giorni. Una best practice generale è ruotare le chiavi di sicurezza a intervalli regolari. Questo controllo applica rotazione della chiave per le chiavi create con i servizi HSM.

Quando crei questo periodo di rotazione, crea anche criteri e procedure appropriati per gestire in modo sicuro la creazione, l'eliminazione e la modifica del materiale di generazione delle chiavi, in modo da proteggere le tue informazioni e garantire la disponibilità. Assicurati che questo periodo rispetti le norme aziendali per rotazione della chiave.

Utilizza il vincolo dei criteri dell'organizzazione Condivisione con limitazioni del dominio (iam.allowedPolicyMemberDomains) per definire uno o più ID cliente di Cloud Identity o Google Workspace le cui entità possono essere aggiunte ai criteri di Identity and Access Management (IAM).

I serviziGoogle Cloud scrivono voci di audit log per rispondere alla domanda "Chi ha fatto cosa, dove e quando?" con le risorse Google Cloud .

Abilita l'audit logging a livello di organizzazione. Puoi configurare la registrazione utilizzando la pipeline che utilizzi per configurare l'organizzazione Google Cloud .

I log di flusso VPC registrano un campione di flussi di rete inviati e ricevuti dalle istanze VM, incluse quelle utilizzate come nodi Google Kubernetes Engine (GKE). Il campione è in genere pari al 50% o meno dei flussi di rete VPC.

Quando abiliti i log di flusso VPC, abiliti la registrazione per tutte le VM in una subnet. Tuttavia, puoi ridurre la quantità di informazioni scritte nel logging.

Abilita i log di flusso VPC per ogni subnet VPC. Puoi configurare la registrazione utilizzando una pipeline che utilizzi per creare un progetto.

Il logging delle regole firewall crea un record ogni volta che una regola firewall consente o nega il traffico.

Attiva la registrazione per ogni regola firewall. Puoi configurare la registrazione utilizzando una pipeline che utilizzi per creare un firewall.

Utilizza il vincolo della policy dell'organizzazione Limita i progetti che possono fornire CryptoKey KMS per CMEK (gcp.restrictCmekCryptoKeyProjects) per definire i progetti che possono archiviare le chiavi di crittografia gestite dal cliente (CMEK). Questo vincolo ti consente di centralizzare la governance e la gestione delle chiavi di crittografia. Quando una chiave selezionata non soddisfa questo vincolo, la creazione della risorsa non va a buon fine.

Per modificare questo vincolo, gli amministratori devono disporre del ruolo IAM Organization Policy Administrator (roles/orgpolicy.policyAdmin).

Se vuoi aggiungere un secondo livello di protezione, ad esempio Bring Your Own Key, modifica questo vincolo in modo che rappresenti i nomi delle chiavi CMEK abilitate.

Specifiche del prodotto:

• In Vertex AI, memorizzi le chiavi nel progetto PROGETTI CHIAVE.

Se hai bisogno di un maggiore controllo sulle operazioni con le chiavi rispetto a quanto consentito dalle chiavi di crittografia gestite dal cliente (CMEK), puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK). Google-owned and Google-managed encryption keys Queste chiavi vengono create e gestite utilizzando Cloud KMS. Memorizza le chiavi come chiavi software, in un cluster HSM o in un sistema di gestione delle chiavi esterno.

Le velocità di crittografia e decrittografia di Cloud KMS sono soggette a quote.

Specifiche di Cloud Storage

In Cloud Storage, utilizza le chiavi CMEK su singoli oggetti o configura i bucket Cloud Storage in modo che utilizzino una chiave CMEK per impostazione predefinita su tutti i nuovi oggetti aggiunti a un bucket. Quando utilizzi una CMEK, un oggetto viene criptato con la chiave da Cloud Storage al momento dell'archiviazione in un bucket e viene decriptato automaticamente da Cloud Storage quando viene inviato ai richiedenti.

Quando utilizzi le chiavi CMEK con Cloud Storage, si applicano le seguenti limitazioni:

• Non puoi criptare un oggetto con una CMEK aggiornando i metadati dell'oggetto. Includi la chiave come parte della riscrittura dell'oggetto.
• Cloud Storage utilizza il comando di aggiornamento degli oggetti per impostare le chiavi di crittografia sugli oggetti, ma il comando riscrive l'oggetto nell'ambito della richiesta.
• Devi creare il keyring Cloud KMS nella stessa posizione dei dati che intendi criptare. Ad esempio, se il bucket si trova in us-east1, qualsiasi portachiavi utilizzato per criptare gli oggetti in quel bucket deve essere creato anche in us-east1.
• Per la maggior parte delle doppie regioni, devi creare il keyring Cloud KMS nella multiregione associata. Ad esempio, se il bucket si trova nella coppia us-east1, us-west1, qualsiasi portachiavi utilizzato per criptare gli oggetti in quel bucket deve essere creato nella multiregione Stati Uniti.
• Per le doppie regioni predefinite asia1, eur4 e nam4, devi creare il keyring nella stessa doppia regione predefinita.
• Il checksum CRC32C e l'hash MD5 degli oggetti criptati con CMEK non vengono restituiti quando vengono elencati oggetti con l'API JSON.
• L'utilizzo di strumenti come Cloud Storage per eseguire ulteriori richieste GET di metadati su ogni oggetto di crittografia per recuperare le informazioni CRC32C e MD5 può rendere l'elenco molto più breve. Cloud Storage non può utilizzare la parte di decrittografia delle chiavi asimmetriche archiviate in Cloud KMS per decriptare automaticamente gli oggetti pertinenti nello stesso modo in cui lo fanno le CMEK.

Google Cloud consiglia di utilizzare Sensitive Data Protection. Gli infoType o i modelli di job che selezioni dipendono dai tuoi sistemi specifici.

Per monitorare chi ha avuto accesso ai dati nel tuo ambiente Google Cloud , attiva gli audit log di accesso ai dati. Questi log registrano le chiamate API che leggono, creano o modificano i dati utente, nonché le chiamate API che leggono le configurazioni delle risorse.

Ti consigliamo vivamente di attivare gli audit log di accesso ai dati per i modelli di AI generativa e i dati sensibili per assicurarti di poter controllare chi ha letto le informazioni. Per utilizzare i log di controllo dell'accesso ai dati, devi configurare una logica di rilevamento personalizzata per attività specifiche, come gli accessi dei super amministratori.

Il volume degli audit log di accesso ai dati può essere elevato. L'abilitazione dei log di accesso ai dati potrebbe comportare l'addebito di costi aggiuntivi per l'utilizzo dei log nel tuo progetto Google Cloud .

Per ogni perimetro di servizio, verifica nella console Google Cloud che il tipo di perimetro sia impostato su normale.

Per ogni perimetro di servizio, utilizza Gestore contesto accesso per verificare che il perimetro protegga l'API.

Access Transparency fornisce log che acquisiscono le azioni intraprese dal personale di Google quando accede ai tuoi contenuti.

Puoi attivare Access Transparency a livello di organizzazione.