Controles de administración de datos para casos de uso de IA generativa

Google Cloud recomienda usar la Protección de datos sensibles. Los infoTypes o las plantillas de trabajo que selecciones dependerán de tus sistemas particulares.

Restringe el acceso a la información de un conjunto de datos de BigQuery solo a usuarios específicos. Para configurar esta protección, debes establecer roles detallados.

Restringe el acceso a la información de una tabla de BigQuery solo a usuarios específicos. Para configurar esta protección, debes establecer roles detallados.

Si tu organización requiere que encriptes valores individuales dentro de una tabla de BigQuery, usa las funciones de encriptación de la encriptación autenticada con datos asociados (AEAD).

Las vistas autorizadas te permiten compartir un subconjunto de datos en un conjunto de datos con usuarios específicos. Por ejemplo, una vista autorizada te permite compartir resultados de consultas con usuarios y grupos específicos sin darles acceso a los datos de origen subyacentes.

Usa la seguridad a nivel de la columna de BigQuery para crear políticas que verifiquen, en el momento de la consulta, si un usuario tiene acceso adecuado. BigQuery proporciona acceso detallado a columnas sensibles con etiquetas de política o clasificación basada en tipos de datos.

Usa la seguridad a nivel de las filas y las políticas de acceso para habilitar el control de acceso detallado a un subconjunto de datos en una tabla de BigQuery.

Los gráficos de recursos de BigQuery permiten que los administradores de BigQuery observen cómo sus organizaciones, carpetas o reservas usan ranuras de BigQuery y el rendimiento de sus consultas.

La restricción booleana storage.publicAccessPrevention impide que se acceda a los buckets de almacenamiento desde fuentes públicas sin autenticación. Inhabilita y bloquea las listas de control de acceso (LCA) y los permisos de Identity and Access Management (IAM) que otorgan acceso a allUsers y allAuthenticatedUsers. Esta restricción actúa como una red de seguridad en toda la organización que bloquea de forma activa cualquier parámetro de configuración que haga que un bucket sea accesible de forma pública.

La restricción booleana storage.uniformBucketLevelAccess requiere que los buckets usen el acceso uniforme a nivel de bucket. El acceso uniforme a nivel de bucket te permite usar solo permisos de Identity and Access Management (IAM) a nivel del bucket para otorgar acceso a tus recursos de Cloud Storage.

Usar dos sistemas diferentes y contradictorios para administrar los permisos en los buckets de almacenamiento es complejo y una causa común de filtraciones accidentales de datos. Este parámetro de configuración desactiva el sistema heredado (listas de control de acceso o LCA) y convierte el sistema moderno y centralizado (IAM) en la única fuente de información para todos los permisos.

Una clave HMAC es un tipo de credencial de larga duración que se asocia con una cuenta de servicio o una cuenta de usuario en Cloud Storage. Usa una clave HMAC para crear firmas que se incluyen en las solicitudes a Cloud Storage. Una firma demuestra que un usuario o una cuenta de servicio autorizaron una solicitud.

A diferencia de las credenciales de corta duración (como A diferencia de los tokens de OAuth 2.0, las claves HMAC no vencen automáticamente y siguen siendo válidas hasta que se revocan de forma manual. Las claves HMAC son credenciales de alto riesgo: si se ven comprometidas, proporcionan acceso persistente a tus recursos. Debes asegurarte de que existan los mecanismos adecuados para protegerlos.

Las cuentas de servicio son identidades no humanas diseñadas para aplicaciones, y su comportamiento es predecible y automatizado. Por lo general, las cuentas de servicio no necesitan detallar los buckets, ya que ya están asignados. Por lo tanto, si detectas que una cuenta de servicio intenta recuperar una lista de todos los buckets de Cloud Storage, investiga el caso de inmediato. La enumeración de reconocimiento suele ser utilizada como técnica de reconocimiento por un agente malicioso que obtuvo acceso a la cuenta de servicio.

Configura una alerta que detecte cuando se modifique la política de IAM de un bucket de Cloud Storage para otorgar acceso público. Esta alerta se activa cuando los principales allUsers o allAuthenticatedUsers se agregan a la política de IAM de un bucket. Esta alerta es un evento crítico de gravedad alta porque puede exponer todos los datos del bucket. Investiga esta alerta de inmediato para confirmar si el cambio se autorizó o si es un signo de una configuración incorrecta o de un actor malicioso.

En la alerta, establece el atributo JSON data.protoPayload.serviceData.policyData.bindingDeltas.member en allUsers o allAuthenticatedUsers, y la acción en ADD.

Según tus requisitos reglamentarios, asegúrate de que cada política de retención de bucket de Cloud Storage esté bloqueada. Establece el período de retención en un período que cumpla con tus requisitos.

Aplica reglas de ciclo de vida a cada bucket de Cloud Storage que tenga un tipo de acción SetStorageClass.

Asegúrate de que la administración del ciclo de vida de Cloud Storage esté habilitada y configurada. El control del ciclo de vida contiene la configuración del ciclo de vida del almacenamiento. Verifica que las políticas de este parámetro de configuración coincidan con tus requisitos.

Asegúrate de que las reglas de administración del ciclo de vida de Cloud Storage estén habilitadas y configuradas. El control de reglas contiene la configuración del ciclo de vida del almacenamiento. Verifica que las políticas de este parámetro de configuración coincidan con tus requisitos.

Identifica todos los objetos en los que temporaryHold está establecido como TRUE y comienza un proceso de investigación y validación. Esta evaluación es adecuada para los siguientes casos de uso:

• Conservación legal: Para cumplir con los requisitos legales de almacenamiento de datos, se puede usar la conservación temporal para evitar el borrado de datos sensibles que puedan ser relevantes para investigaciones o litigios en curso.
• Prevención de pérdida de datos: Para evitar la eliminación accidental de datos importantes, la conservación temporal se puede usar como medida de seguridad para proteger la información comercial crítica.
• Moderación de contenido: Para revisar el contenido potencialmente sensible o inapropiado antes de que sea accesible de forma pública, aplica una retención temporal al contenido subido a Cloud Storage para su posterior inspección y decisiones de moderación.

Asegúrate de que todos los buckets de Cloud Storage tengan una política de retención.

La clasificación de datos es un componente fundamental de cualquier programa de administración y seguridad de datos. Es fundamental aplicar una etiqueta de clasificación con valores como público, interno, confidencial o restringido a cada bucket.

Confirma que google_storage_bucket.labels tenga una expresión para la clasificación y crea un incumplimiento si no la tiene.

Asegúrate de que cada bucket de Cloud Storage incluya un bucket de registros.

En Cloud Storage, storage.buckets/lifecycle.rule.action.type hace referencia al tipo de acción que se debe realizar en un objeto específico según una regla del ciclo de vida dentro de un bucket. Esta configuración ayuda a automatizar la administración y el ciclo de vida de tus datos almacenados en la nube.

Configura storage.buckets/lifecycle.rule.action.type para garantizar que los objetos se borren de forma permanente del bucket.

En el caso de las reglas de eliminación, asegúrate de que la condición isLive de la regla esté establecida en false.

En Cloud Storage, storage.buckets/lifecycle.rule.condition.isLive es una condición booleana que se usa en las reglas de ciclo de vida para determinar si un objeto se considera activo. Este filtro ayuda a garantizar que las acciones dentro de una regla del ciclo de vida se apliquen solo a los objetos deseados según su estado activo.

Casos de uso:

• Archiva versiones históricas: Archiva solo las versiones no actuales de los objetos para ahorrar costos de almacenamiento y, al mismo tiempo, mantener la versión más reciente fácilmente accesible.
• Limpiar los objetos borrados: Automatiza la eliminación permanente de los objetos que borraron los usuarios, lo que libera espacio en el bucket.
• Protege los datos activos: Asegúrate de que las acciones, como establecer conservaciones temporales, se apliquen solo a los objetos activos, lo que evita la modificación accidental de las versiones archivadas o borradas.

Asegúrate de que todos los buckets de Cloud Storage tengan habilitado el control de versiones. Los casos de uso incluyen lo siguiente:

• Protección y recuperación de datos: Protege contra la pérdida accidental de datos evitando el reemplazo y permitiendo la recuperación de datos borrados o modificados.
• Cumplimiento y auditoría: Mantén un historial de todas las ediciones de objetos para fines de cumplimiento normativo o auditoría interna.
• Control de versiones: Realiza un seguimiento de los cambios en los archivos y los conjuntos de datos, lo que permite la colaboración y la reversión a versiones anteriores si es necesario.

Asegúrate de que google_storage_bucket.labels tenga una expresión para un propietario.

Habilita el registro adicional en torno a objetos de almacenamiento particulares según su caso de uso. Por ejemplo, registra el acceso a los buckets de datos sensibles para que puedas rastrear quién obtuvo acceso y cuándo. Cuando habilites el registro adicional, considera el volumen de registros que podrías generar.