Controlli di gestione dei dati per i casi d'uso dell'AI generativa

Google Cloud consiglia di utilizzare Sensitive Data Protection. Gli infoType o i modelli di job che selezioni dipendono dai tuoi sistemi specifici.

Limita l'accesso alle informazioni in un set di dati BigQuery solo a utenti specifici. Per configurare questa protezione, devi configurare ruoli dettagliati.

Limita l'accesso alle informazioni in una tabella BigQuery solo a utenti specifici. Per configurare questa protezione, devi configurare ruoli dettagliati.

Se la tua organizzazione richiede la crittografia dei singoli valori all'interno di una tabella BigQuery, utilizza le funzioni di crittografia AEAD (Authenticated Encryption with Associated Data).

Le viste autorizzate ti consentono di condividere un sottoinsieme di dati in un set di dati con utenti specifici. Ad esempio, una vista autorizzata ti consente di condividere i risultati di una query con utenti e gruppi specifici senza concedere loro l'accesso ai dati di origine sottostanti.

Utilizza la sicurezza a livello di colonna BigQuery per creare criteri che controllano al momento della query se un utente dispone dell'accesso corretto. BigQuery fornisce un accesso granulare alle colonne sensibili utilizzando i tag di criteri o la classificazione basata sui tipi di dati.

Utilizza la sicurezza a livello di riga e i criteri di accesso per abilitare il controllo dell'accesso granulare a un sottoinsieme di dati in una tabella BigQuery.

I grafici delle risorse BigQuery consentono agli amministratori BigQuery di osservare in che modo la loro organizzazione, cartella o prenotazione utilizza gli slot BigQuery e il rendimento delle query.

Il vincolo booleano storage.publicAccessPrevention impedisce l'accesso ai bucket di archiviazione da origini pubbliche senza autenticazione. Disattiva e blocca gli elenchi di controllo dell'accesso dell'accesso (ACL) e le autorizzazioni Identity and Access Management (IAM) che concedono l'accesso a allUsers e allAuthenticatedUsers. Questo vincolo funge da rete di sicurezza a livello di organizzazione che blocca attivamente qualsiasi impostazione che renderebbe un bucket accessibile pubblicamente.

Il vincolo booleano storage.uniformBucketLevelAccess richiede che i bucket utilizzino un accesso uniforme a livello di bucket. L'accesso uniforme a livello di bucket consente di utilizzare solo le autorizzazioni Identity and Access Management (IAM) a livello di bucket per concedere l'accesso alle risorse Cloud Storage.

L'utilizzo di due sistemi diversi e in conflitto per gestire le autorizzazioni sui bucket di archiviazione è complesso e una causa comune di perdite accidentali di dati. Questa impostazione disattiva il sistema legacy (elenchi di controllo dell'accesso o ACL) e rende il sistema moderno e centralizzato (IAM) l'unica fonte di riferimento per tutte le autorizzazioni.

Una chiave HMAC è un tipo di credenziale a lunga durata associata a un account di servizio o a un account utente in Cloud Storage. Utilizza una chiave HMAC per creare firme incluse nelle richieste a Cloud Storage. Una firma dimostra che un utente o un account di servizio ha autorizzato una richiesta.

A differenza delle credenziali di breve durata (ad es. token OAuth 2.0), le chiavi HMAC non scadono automaticamente e rimangono valide finché non vengono revocate manualmente. Le chiavi HMAC sono credenziali ad alto rischio: se compromesse, forniscono un accesso permanente alle tue risorse. Devi assicurarti che siano in atto meccanismi adeguati per proteggerli.

Gli account di servizio sono identità non umane progettate per le applicazioni e il loro comportamento è prevedibile e automatizzato. In genere, i service account non devono elencare i bucket, in quanto sono già mappati. Pertanto, se rilevi un account di servizio che tenta di recuperare un elenco di tutti i bucket Cloud Storage, esegui immediatamente un'indagine. L'enumerazione di ricognizione viene spesso utilizzata come tecnica di ricognizione da un malintenzionato che ha ottenuto l'accesso al account di servizio.

Configura un avviso che rileva quando la policy IAM di un bucket Cloud Storage viene modificata per concedere l'accesso pubblico. Questo avviso viene attivato quando le entità allUsers o allAuthenticatedUsers vengono aggiunte al criterio IAM di un bucket. Questo avviso è un evento critico di gravità elevata perché può esporre tutti i dati nel bucket. Esamina immediatamente questo avviso per verificare se la modifica è stata autorizzata o se è un segno di una configurazione errata o di un attore malintenzionato.

Nell'avviso, imposta l'attributo JSON data.protoPayload.serviceData.policyData.bindingDeltas.member su allUsers o allAuthenticatedUsers e l'azione su ADD.

A seconda dei requisiti normativi, assicurati che ogni criterio di conservazione dei bucket Cloud Storage sia bloccato. Imposta il periodo di conservazione su un intervallo di tempo che soddisfi i tuoi requisiti.

Applica le regole del ciclo di vita a ogni bucket Cloud Storage con un tipo di azione SetStorageClass.

Assicurati che la gestione del ciclo di vita di Cloud Storage sia abilitata e configurata. Il controllo del ciclo di vita contiene la configurazione per il ciclo di vita dell'archiviazione. Verifica che le norme in questa impostazione corrispondano ai tuoi requisiti.

Assicurati che le regole di gestione del ciclo di vita per Cloud Storage siano abilitate e configurate. Il controllo delle regole contiene la configurazione per il ciclo di vita dell'archiviazione. Verifica che le norme in questa impostazione corrispondano ai tuoi requisiti.

Identifica tutti gli oggetti in cui temporaryHold è impostato su TRUE e avvia una procedura di indagine e convalida. Questa valutazione è adatta ai seguenti casi d'uso:

• Archiviazione a fini legali:per rispettare i requisiti legali per l'archiviazione dei dati, è possibile utilizzare un blocco temporaneo per impedire l'eliminazione di dati sensibili che potrebbero essere pertinenti a indagini o controversie in corso.
• Prevenzione della perdita di dati:per evitare l'eliminazione accidentale di dati importanti, la sospensione temporanea può essere utilizzata come misura di sicurezza per proteggere le informazioni sull'attività critiche.
• Moderazione dei contenuti:per esaminare i contenuti potenzialmente sensibili o inappropriati prima che diventino accessibili pubblicamente, applica un blocco temporaneo ai contenuti caricati su Cloud Storage per ulteriori ispezioni e decisioni di moderazione.

Assicurati che tutti i bucket Cloud Storage abbiano un criterio di conservazione.

La classificazione dei dati è un componente fondamentale di qualsiasi programma di governance e sicurezza dei dati. È essenziale applicare un'etichetta di classificazione con valori come pubblico, interno, riservato o limitato a ogni bucket.

Verifica che google_storage_bucket.labels abbia un'espressione per la classificazione e crea una violazione in caso contrario.

Assicurati che ogni bucket Cloud Storage includa un bucket di log.

In Cloud Storage, storage.buckets/lifecycle.rule.action.type si riferisce al tipo di azione da intraprendere su un oggetto specifico in base a una regola del ciclo di vita all'interno di un bucket. Questa configurazione consente di automatizzare la gestione e il ciclo di vita dei dati archiviati nel cloud.

Configura storage.buckets/lifecycle.rule.action.type per assicurarti che gli oggetti vengano eliminati definitivamente dal bucket.

Per le regole di eliminazione, assicurati che la condizione isLive della regola sia impostata su false.

In Cloud Storage, storage.buckets/lifecycle.rule.condition.isLive è una condizione booleana utilizzata nelle regole del ciclo di vita per determinare se un oggetto è considerato attivo. Questo filtro contribuisce a garantire che le azioni all'interno di una regola del ciclo di vita vengano applicate solo agli oggetti desiderati in base al loro stato live.

Casi d'uso:

• Archivia le versioni storiche:archivia solo le versioni non correnti degli oggetti per risparmiare sui costi di archiviazione, mantenendo al contempo facilmente accessibile l'ultima versione.
• Ripulisci gli oggetti eliminati:automatizza l'eliminazione definitiva degli oggetti eliminati dagli utenti, liberando spazio nel bucket.
• Proteggi i dati attivi:assicurati che azioni come l'impostazione di blocchi temporanei vengano applicate solo agli oggetti attivi, impedendo la modifica accidentale di versioni archiviate o eliminate

Assicurati che il controllo delle versioni sia abilitato per tutti i bucket Cloud Storage. I casi d'uso includono:

• Protezione e recupero dei dati:proteggiti dalla perdita di dati accidentale impedendo le sovrascritture e consentendo il recupero dei dati eliminati o modificati.
• Conformità e audit:conserva una cronologia di tutte le modifiche agli oggetti a fini di conformità legale o audit interno.
• Controllo delle versioni: monitora le modifiche apportate a file e set di dati, consentendo la collaborazione e il rollback alle versioni precedenti, se necessario.

Assicurati che google_storage_bucket.labels abbia un'espressione per un proprietario.

Abilita la registrazione aggiuntiva di determinati oggetti di archiviazione in base al caso d'uso. Ad esempio, registra l'accesso ai bucket di dati sensibili in modo da poter tracciare chi ha ottenuto l'accesso e quando. Quando abiliti la registrazione aggiuntiva, considera il volume di log che potresti generare.