Contrôles de gestion des données pour les cas d'utilisation de l'IA générative

Google Cloud recommande d'utiliser la protection des données sensibles. Les infoTypes ou les modèles de tâches que vous sélectionnez dépendent de vos systèmes spécifiques.

Restreignez l'accès aux informations d'un ensemble de données BigQuery à des utilisateurs spécifiques uniquement. Pour configurer cette protection, vous devez définir des rôles détaillés.

Limitez l'accès aux informations d'une table BigQuery à des utilisateurs spécifiques uniquement. Pour configurer cette protection, vous devez définir des rôles détaillés.

Si votre organisation exige que vous chiffriez des valeurs individuelles dans une table BigQuery, utilisez les fonctions de chiffrement AEAD (Authenticated Encryption with Associated Data).

Les vues autorisées vous permettent de partager un sous-ensemble de données d'un ensemble de données avec des utilisateurs spécifiques. Par exemple, une vue autorisée vous permet de partager des résultats de requête avec des utilisateurs et des groupes particuliers sans leur donner accès aux données sources sous-jacentes.

Utilisez la sécurité au niveau des colonnes de BigQuery pour créer des stratégies qui vérifient, au moment de la requête, si un utilisateur dispose d'un accès approprié. BigQuery fournit un accès précis aux colonnes sensibles à l'aide de tags avec stratégie ou d'une classification des données basée sur le type.

Utilisez la sécurité au niveau des lignes et les règles d'accès pour activer un contrôle d'accès précis à un sous-ensemble de données d'une table BigQuery.

Les graphiques de ressources BigQuery permettent aux administrateurs BigQuery d'observer comment leur organisation, leur dossier ou leur réservation utilisent les emplacements BigQuery et les performances de leurs requêtes.

La contrainte booléenne storage.publicAccessPrevention empêche l'accès aux buckets de stockage à partir de sources publiques sans authentification. Elle désactive et bloque les listes de contrôle des accès (LCA) et les autorisations Identity and Access Management (IAM) qui accordent l'accès à allUsers et allAuthenticatedUsers. Cette contrainte agit comme un filet de sécurité à l'échelle de l'organisation, en bloquant activement tout paramètre qui rendrait un bucket accessible au public.

La contrainte booléenne storage.uniformBucketLevelAccess exige que les buckets utilisent l'accès uniforme au niveau du bucket. L'accès uniforme au niveau du bucket vous permet d'utiliser uniquement les autorisations Identity and Access Management (IAM) au niveau du bucket pour accorder l'accès à vos ressources Cloud Storage.

Il est complexe d'utiliser deux systèmes différents et incompatibles pour gérer les autorisations sur les buckets de stockage. C'est aussi une cause fréquente de fuites de données accidentelles. Ce paramètre désactive l'ancien système (listes de contrôle des accès, ou LCA) et fait du système moderne et centralisé (IAM) la source unique fiable pour toutes les autorisations.

Une clé HMAC est un type d'identifiant à longue durée de vie associé à un compte de service ou à un compte utilisateur dans Cloud Storage. Utilisez une clé HMAC pour créer des signatures incluses dans les requêtes envoyées à Cloud Storage. Une signature prouve qu'un utilisateur ou un compte de service a autorisé une requête.

Contrairement aux identifiants éphémères (tels que Contrairement aux jetons OAuth 2.0, les clés HMAC n'expirent pas automatiquement et restent valides jusqu'à ce qu'elles soient révoquées manuellement. Les clés HMAC sont des identifiants à haut risque. Si elles sont compromises, elles permettent d'accéder de manière persistante à vos ressources. Vous devez vous assurer que des mécanismes appropriés sont en place pour les protéger.

Les comptes de service sont des identités non humaines conçues pour les applications. Leur comportement est prévisible et automatisé. En règle générale, les comptes de service n'ont pas besoin de lister les buckets, car ils sont déjà mappés. Par conséquent, si vous détectez un compte de service qui tente de récupérer la liste de tous les buckets Cloud Storage, examinez-le immédiatement. L'énumération de reconnaissance est souvent utilisée comme technique de reconnaissance par un acteur malveillant qui a obtenu l'accès au compte de service.

Configurez une alerte qui détecte lorsqu'une stratégie IAM de bucket Cloud Storage est modifiée pour accorder un accès public. Cette alerte se déclenche lorsque les comptes principaux allUsers ou allAuthenticatedUsers sont ajoutés à la stratégie IAM d'un bucket. Cette alerte est un événement critique de haute gravité, car elle peut exposer toutes les données du bucket. Examinez immédiatement cette alerte pour confirmer si la modification a été autorisée ou si elle est le signe d'une mauvaise configuration ou d'un acteur malveillant.

Dans l'alerte, définissez l'attribut JSON data.protoPayload.serviceData.policyData.bindingDeltas.member sur allUsers ou allAuthenticatedUsers, et l'action sur ADD.

En fonction de vos exigences réglementaires, assurez-vous que la règle de conservation de chaque bucket Cloud Storage est verrouillée. Définissez la durée de conservation sur une période qui répond à vos besoins.

Appliquez des règles de cycle de vie à chaque bucket Cloud Storage dont le type d'action est SetStorageClass.

Assurez-vous que la gestion du cycle de vie de Cloud Storage est activée et configurée. Le contrôle du cycle de vie contient la configuration du cycle de vie du stockage. Vérifiez que les règles de ce paramètre correspondent à vos exigences.

Assurez-vous que les règles de gestion du cycle de vie pour Cloud Storage sont activées et configurées. Le contrôle des règles contient la configuration du cycle de vie du stockage. Vérifiez que les règles de ce paramètre correspondent à vos exigences.

Identifiez tous les objets pour lesquels temporaryHold est défini sur TRUE, puis lancez un processus d'investigation et de validation. Cette évaluation convient aux cas d'utilisation suivants :

• Préservation à titre conservatoire : pour respecter les exigences légales concernant le stockage des données, vous pouvez utiliser une préservation temporaire afin d'empêcher la suppression de données sensibles pouvant être pertinentes pour des enquêtes ou des litiges en cours.
• Protection contre la perte de données : pour éviter la suppression accidentelle de données importantes, vous pouvez utiliser une conservation temporaire comme mesure de sécurité afin de protéger les informations critiques pour votre activité.
• Modération de contenu : pour examiner les contenus potentiellement sensibles ou inappropriés avant qu'ils ne deviennent accessibles au public, appliquez une suspension temporaire aux contenus importés dans Cloud Storage afin de les inspecter plus en détail et de prendre une décision de modération.

Assurez-vous que tous les buckets Cloud Storage disposent d'une règle de conservation.

La classification des données est un élément fondamental de tout programme de gouvernance et de sécurité des données. Il est essentiel d'appliquer un libellé de classification avec des valeurs telles que "public", "interne", "confidentiel" ou "limité" à chaque bucket.

Vérifiez que google_storage_bucket.labels comporte une expression pour la classification et créez un cas de non-respect si ce n'est pas le cas.

Assurez-vous que chaque bucket Cloud Storage inclut un bucket de journaux.

Dans Cloud Storage, storage.buckets/lifecycle.rule.action.type fait référence au type d'action à effectuer sur un objet spécifique en fonction d'une règle de cycle de vie dans un bucket. Cette configuration permet d'automatiser la gestion et le cycle de vie de vos données stockées dans le cloud.

Configurez storage.buckets/lifecycle.rule.action.type pour vous assurer que les objets sont définitivement supprimés du bucket.

Pour les règles de suppression, assurez-vous que la condition isLive de la règle est définie sur false.

Dans Cloud Storage, storage.buckets/lifecycle.rule.condition.isLive est une condition booléenne utilisée dans les règles de cycle de vie pour déterminer si un objet est considéré comme actif. Ce filtre permet de s'assurer que les actions d'une règle de cycle de vie ne sont appliquées qu'aux objets souhaités en fonction de leur état actif.

Cas d'utilisation :

• Archiver les versions historiques : archivez uniquement les versions obsolètes des objets pour réduire les coûts de stockage tout en gardant la dernière version facilement accessible.
• Nettoyer les objets supprimés : automatisez la suppression définitive des objets supprimés par les utilisateurs pour libérer de l'espace dans le bucket.
• Protéger les données actives : assurez-vous que les actions telles que la définition de préservations temporaires ne s'appliquent qu'aux objets actifs, ce qui évite toute modification accidentelle des versions archivées ou supprimées.

Assurez-vous que la gestion des versions est activée pour tous les buckets Cloud Storage. Voici quelques cas d'utilisation :

• Protection et récupération des données : protégez-vous contre la perte accidentelle de données en empêchant l'écrasement et en permettant la récupération des données supprimées ou modifiées.
• Conformité et audit : conservez un historique de toutes les modifications apportées aux objets à des fins de conformité réglementaire ou d'audit interne.
• Contrôle des versions : suivez les modifications apportées aux fichiers et aux ensembles de données, ce qui permet la collaboration et le retour aux versions précédentes si nécessaire.

Assurez-vous que google_storage_bucket.labels comporte une expression pour un propriétaire.

Activez la journalisation supplémentaire autour d'objets de stockage spécifiques en fonction de leur cas d'utilisation. Par exemple, enregistrez l'accès aux buckets de données sensibles pour pouvoir savoir qui y a accédé et quand. Lorsque vous activez la journalisation supplémentaire, tenez compte du volume de journaux que vous pourriez générer.