Controlos comuns para exemplos de utilização da IA generativa

Google Cloud Suporta várias versões do protocolo TLS. Para cumprir os requisitos de conformidade, recomendamos que recuse pedidos de handshake de clientes que usam versões TLS mais antigas.

Para configurar este controlo, use a restrição da política da organização Restringir versões do TLS (gcp.restrictTLSVersion). Pode aplicar esta restrição a organizações, pastas ou projetos na hierarquia de recursos. A restrição Restringir versões de TLS usa uma lista de recusa, que recusa valores explícitos e permite todos os outros. Ocorre um erro se tentar usar uma lista de autorizações.

Devido ao comportamento da avaliação da hierarquia de políticas da organização, a restrição da versão de TLS aplica-se ao nó de recurso especificado e a todas as respetivas pastas e projetos (elementos secundários). Por exemplo, se negar a versão 1.0 do TLS para uma organização, esta também é negada para todos os descendentes dessa organização.

Pode substituir a restrição da versão de TLS herdada atualizando a política da organização num recurso secundário. Por exemplo, se a política da organização negar o TLS 1.0 ao nível da organização, pode remover a restrição para uma pasta secundária definindo uma política da organização separada nessa pasta. Se a pasta tiver recursos filhos, a política da pasta também é aplicada a cada recurso filho devido à herança de políticas.

Para restringir ainda mais a versão do TLS apenas ao TLS 1.3, pode definir esta política para restringir também a versão 1.2 do TLS. Tem de implementar este controlo em aplicações alojadas no Google Cloud. Por exemplo, ao nível da organização, defina:

["TLS_VERSION_1","TLS_VERSION_1.1","TLS_VERSION_1.2"]

Todos os dados no Google Cloud são encriptados em repouso por predefinição através de algoritmos aprovados pelo NIST.

Certifique-se de que o Cloud Key Management Service (Cloud KMS) usa apenas algoritmos aprovados pelo NIST para armazenar chaves confidenciais no ambiente. Este controlo garante a utilização segura de chaves apenas por algoritmos e segurança aprovados pelo NIST. O campo CryptoKeyVersionAlgorithm é uma lista de autorizações fornecida.

Remova os algoritmos que não estão em conformidade com as políticas da sua organização.

Defina a finalidade das chaves do Cloud KMS como ENCRYPT_DECRYPT para que as chaves sejam usadas apenas para encriptar e desencriptar dados. Este controlo bloqueia outras funções, como a assinatura, e garante que as chaves são usadas apenas para o fim a que se destinam. Se usar teclas para outras funções, valide esses exemplos de utilização e pondere criar teclas adicionais.

O nível de proteção indica como as operações criptográficas são realizadas. Depois de criar uma chave de encriptação gerida pelo cliente (CMEK), não pode alterar o nível de proteção. Os níveis de proteção suportados são os seguintes:

• SOFTWARE: as operações criptográficas são realizadas em software.
• HSM: as operações criptográficas são realizadas num módulo de segurança de hardware (HSM).
• EXTERNAL: as operações criptográficas são realizadas através de uma chave armazenada num gestor de chaves externo que está ligado Google Cloud através da Internet. Limitado à encriptação simétrica e à assinatura assimétrica.
• EXTERNAL_VPC: as operações criptográficas são realizadas através de uma chave armazenada num gestor de chaves externo que está ligado Google Cloud através de uma rede da nuvem virtual privada (VPC). Limitado à encriptação simétrica e à assinatura assimétrica.

Certifique-se de que o período de rotação das chaves do Cloud KMS está definido como 90 dias. Uma prática recomendada geral é alternar as chaves de segurança a intervalos regulares. Este controlo aplica a rotação de chaves para chaves criadas com serviços de HSM.

Quando criar este período de rotação, também deve criar políticas e procedimentos adequados para processar de forma segura a criação, a eliminação e a modificação do material de chaves, de modo a ajudar a proteger as suas informações e garantir a disponibilidade. Certifique-se de que este período cumpre as políticas empresariais de rotação de chaves.

Use a restrição da política da organização Partilha restrita ao domínio (iam.allowedPolicyMemberDomains) para definir um ou mais IDs de clientes do Cloud ID ou do Google Workspace cujos diretores podem ser adicionados a políticas de gestão de identidade e de acesso (IAM).

OsGoogle Cloud serviços escrevem entradas do registo de auditoria para responder a quem fez o quê, onde e quando com os Google Cloud recursos.

Ative o registo de auditoria ao nível da organização. Pode configurar o registo através do pipeline que usa para configurar a Google Cloud organização.

Os registos de fluxo da VPC registam uma amostra de fluxos de rede que são enviados e recebidos por instâncias de VMs, incluindo as usadas como nós do Google Kubernetes Engine (GKE). Normalmente, a amostra é de 50% ou menos dos fluxos da rede da VPC.

Quando ativa os registos de fluxo de VPC, ativa o registo para todas as VMs numa sub-rede. No entanto, pode reduzir a quantidade de informações escritas no registo.

Ative os registos de fluxo da VPC para cada sub-rede da VPC. Pode configurar o registo através de um pipeline que usa para criar um projeto.

O registo de regras de firewall cria um registo sempre que uma regra de firewall permite ou nega tráfego.

Ative o registo para cada regra de firewall. Pode configurar o registo através de um pipeline que usa para criar uma firewall.

Use a restrição da política da organização Restrinja os projetos que podem fornecer CryptoKeys do KMS para CMEK (gcp.restrictCmekCryptoKeyProjects) para definir que projetos podem armazenar chaves de encriptação geridas pelo cliente (CMEKs). Esta restrição permite-lhe centralizar a governação e a gestão das chaves de encriptação. Quando uma chave selecionada não cumpre esta restrição, a criação de recursos falha.

Para modificar esta restrição, os administradores precisam da função de IAM Administrador da política da organização (roles/orgpolicy.policyAdmin).

Se quiser adicionar uma segunda camada de proteção, como a funcionalidade "Traga a sua própria chave", altere esta restrição para representar os nomes das chaves da CMEK ativada.

Especificidades do produto:

• No Vertex AI, armazena as suas chaves no projeto KEY PROJECTS.

Se precisar de mais controlo sobre as operações de chaves do que o que Google-owned and Google-managed encryption keys permite, pode usar chaves de encriptação geridas pelo cliente (CMEKs). Estas chaves são criadas e geridas através do Cloud KMS. Armazenar as chaves como chaves de software, num cluster de HSM ou num sistema de gestão de chaves externo.

As taxas de encriptação e desencriptação do Cloud KMS estão sujeitas a quotas.

Especificidades do Cloud Storage

No Cloud Storage, use CMEKs em objetos individuais ou configure os seus contentores do Cloud Storage para usar uma CMEK por predefinição em todos os novos objetos adicionados a um contentor. Quando usa uma CMEK, um objeto é encriptado com a chave pelo Cloud Storage no momento em que é armazenado num contentor, e o objeto é desencriptado automaticamente pelo Cloud Storage quando é publicado para os requerentes.

Aplicam-se as seguintes restrições quando usa CMEKs com o Cloud Storage:

• Não pode encriptar um objeto com uma CMEK atualizando os metadados do objeto. Em alternativa, inclua a chave como parte de uma reescrita do objeto.
• O Cloud Storage usa o comando de atualização de objetos para definir chaves de encriptação em objetos, mas o comando reescreve o objeto como parte do pedido.
• Tem de criar o conjunto de chaves do Cloud KMS na mesma localização que os dados que pretende encriptar. Por exemplo, se o seu contentor estiver localizado em us-east1, qualquer anel de chaves usado para encriptar objetos nesse contentor também tem de ser criado em us-east1.
• Para a maioria das regiões duplas, tem de criar o conjunto de chaves do Cloud KMS na multirregião associada. Por exemplo, se o seu contentor estiver localizado no par us-east1, us-west1, qualquer anel de chaves usado para encriptar objetos nesse contentor tem de ser criado na multirregião dos EUA.
• Para as regiões duplas predefinidas asia1, eur4 e nam4, tem de criar o conjunto de chaves na mesma região dupla predefinida.
• A soma de verificação CRC32C e o hash MD5 de objetos encriptados com CMEKs não são devolvidos quando se listam objetos com a API JSON.
• A utilização de ferramentas como o Cloud Storage para realizar pedidos de metadados GET adicionais em cada objeto de encriptação para obter as informações CRC32C e MD5 pode tornar a listagem substancialmente mais curta. O Cloud Storage não pode usar a parte de desencriptação das chaves assimétricas armazenadas no Cloud KMS para desencriptar automaticamente objetos relevantes da mesma forma que as CMEKs.

Google Cloud recomenda a utilização da Proteção de dados confidenciais. Os infoTypes ou os modelos de tarefas que selecionar dependem dos seus sistemas específicos.

Para acompanhar quem acedeu aos dados no seu Google Cloud ambiente, ative os registos de auditoria de acesso a dados. Estes registos registam chamadas API que leem, criam ou modificam dados do utilizador, bem como chamadas API que leem configurações de recursos.

Recomendamos vivamente que ative os registos de auditoria de acesso a dados para modelos de IA generativa e dados confidenciais para garantir que pode auditar quem leu as informações. Para usar os registos de auditoria de acesso aos dados, tem de configurar a sua própria lógica de deteção personalizada para atividades específicas, como inícios de sessão de superadministradores.

O volume de registos de auditoria de acesso a dados pode ser elevado. A ativação dos registos de acesso a dados pode resultar na cobrança ao seu projeto Google Cloud pela utilização de registos adicionais.

Para cada perímetro de serviço, confirme na Google Cloud consola que o tipo de perímetro está definido como regular.

Para cada perímetro de serviço, use o Gestor de contexto de acesso para confirmar que o perímetro está a proteger a API.

A Transparência de acesso fornece registos que captam as ações realizadas pelo pessoal da Google quando acede ao seu conteúdo.

Pode ativar a transparência de acesso ao nível da organização.