Controles de gerenciamento de dados para casos de uso da IA generativa

Google Cloud recomenda usar a Proteção de dados sensíveis. Os infoTypes ou modelos de job selecionados dependem dos seus sistemas específicos.

Restrinja o acesso às informações em um conjunto de dados do BigQuery apenas a usuários específicos. Para configurar essa proteção, é necessário definir papéis detalhados.

Restrinja o acesso às informações em uma tabela do BigQuery apenas a usuários específicos. Para configurar essa proteção, é necessário definir papéis detalhados.

Se a sua organização exigir que você criptografe valores individuais em uma tabela do BigQuery, use as funções de criptografia autenticada com dados associados (AEAD).

Com as visualizações autorizadas, é possível compartilhar um subconjunto de dados em um conjunto de dados com usuários específicos. Por exemplo, uma visualização autorizada permite compartilhar resultados de consultas com determinados usuários e grupos sem que eles tenham acesso aos dados de origem subjacentes.

Use a segurança no nível da coluna do BigQuery para criar políticas que verifiquem no momento da consulta se um usuário tem o acesso adequado. O BigQuery fornece acesso detalhado a colunas com dados sensíveis usando tags de política ou classificação de dados baseada em tipos.

Use a segurança no nível da linha e as políticas de acesso para ativar o controle de acesso detalhado a um subconjunto de dados em uma tabela do BigQuery.

Com os gráficos de recursos do BigQuery, os administradores podem observar como a organização, pasta ou reserva usam slots do BigQuery e o desempenho das consultas.

A restrição booleana storage.publicAccessPrevention impede que buckets de armazenamento sejam acessados de fontes públicas sem autenticação. Ele desativa e bloqueia as listas de controle de acesso (ACLs) e as permissões do Identity and Access Management (IAM) que concedem acesso a allUsers e allAuthenticatedUsers. Essa restrição funciona como uma rede de segurança em toda a organização, bloqueando ativamente qualquer configuração que torne um bucket acessível publicamente.

A restrição booleana storage.uniformBucketLevelAccess exige que os buckets usem o acesso uniforme no nível do bucket. Com o acesso uniforme no nível do bucket, você só usa permissões do Identity and Access Management (IAM) no nível do bucket para conceder acesso aos recursos do Cloud Storage.

Usar dois sistemas diferentes e conflitantes para gerenciar permissões em buckets de armazenamento é complexo e uma causa comum de vazamentos acidentais de dados. Essa configuração desativa o sistema legado (listas de controle de acesso ou ACLs) e faz com que o sistema moderno e centralizado (IAM) seja a única fonte de verdade para todas as permissões.

Uma chave HMAC é um tipo de credencial de longa duração associada a uma conta de serviço ou de usuário no Cloud Storage. Use uma chave HMAC para criar assinaturas que são incluídas em solicitações ao Cloud Storage. Uma assinatura prova que um usuário ou uma conta de serviço autorizou uma solicitação.

Ao contrário das credenciais de curta duração (como. Os tokens OAuth 2.0 e as chaves HMAC não expiram automaticamente e permanecem válidos até serem revogados manualmente. As chaves HMAC são credenciais de alto risco. Se forem comprometidas, elas vão fornecer acesso persistente aos seus recursos. É preciso garantir que mecanismos adequados estejam em vigor para ajudar a protegê-los.

As contas de serviço são identidades não humanas projetadas para aplicativos, e o comportamento delas é previsível e automatizado. Normalmente, as contas de serviço não precisam detalhar os intervalos, porque já estão mapeados. Portanto, se você detectar uma conta de serviço tentando recuperar uma lista de todos os buckets do Cloud Storage, investigue imediatamente. A enumeração de reconhecimento é usada com frequência como uma técnica de reconhecimento por um agente malicioso que teve acesso à conta de serviço.

Configure um alerta que detecte quando a política do IAM de um bucket do Cloud Storage for modificada para conceder acesso público. Esse alerta é acionado quando os principais allUsers ou allAuthenticatedUsers são adicionados à política do IAM de um bucket. Esse alerta é um evento crítico de alta gravidade porque pode expor todos os dados no bucket. Investigue esse alerta imediatamente para confirmar se a mudança foi autorizada ou se é um sinal de configuração incorreta ou de um usuário malicioso.

No alerta, defina o atributo JSON data.protoPayload.serviceData.policyData.bindingDeltas.member como allUsers ou allAuthenticatedUsers e a ação como ADD.

Dependendo dos seus requisitos regulamentares, verifique se cada política de retenção de bucket do Cloud Storage está bloqueada. Defina o período de armazenamento para um intervalo de tempo que atenda aos seus requisitos.

Aplique regras de ciclo de vida a cada bucket do Cloud Storage que tenha um tipo de ação SetStorageClass.

Verifique se o gerenciamento do ciclo de vida do Cloud Storage está ativado e configurado. O controle do ciclo de vida contém a configuração do ciclo de vida do armazenamento. Verifique se as políticas nessa configuração atendem aos seus requisitos.

Verifique se as regras de gerenciamento do ciclo de vida do Cloud Storage estão ativadas e configuradas. O controle de regras contém a configuração do ciclo de vida do armazenamento. Verifique se as políticas nessa configuração atendem aos seus requisitos.

Identifique todos os objetos em que "temporaryHold" está definido como "TRUE" e inicie um processo de investigação e validação. Essa avaliação é adequada para os seguintes casos de uso:

• Guarda de documentos:para obedecer aos requisitos legais de armazenamento de dados, uma retenção temporária pode ser usada para evitar a exclusão de dados sensíveis que podem ser relevantes para investigações ou litígios em andamento.
• Prevenção contra perda de dados:para evitar a exclusão acidental de dados importantes, a retenção temporária pode ser usada como uma medida de segurança para proteger informações comerciais críticas.
• Moderação de conteúdo:para revisar conteúdo potencialmente sensível ou inadequado antes que ele se torne acessível ao público, aplique uma retenção temporária ao conteúdo enviado para o Cloud Storage para inspeção e decisões de moderação.

Verifique se todos os buckets do Cloud Storage têm uma política de retenção.

A classificação de dados é um componente fundamental de qualquer programa de governança de dados e segurança. É essencial aplicar um rótulo de classificação com valores como público, interno, confidencial ou restrito a cada bucket.

Confirme se google_storage_bucket.labels tem uma expressão para classificação e crie uma violação se não tiver.

Verifique se cada bucket do Cloud Storage inclui um bucket de registros.

No Cloud Storage, storage.buckets/lifecycle.rule.action.type se refere ao tipo de ação a ser realizada em um objeto específico com base em uma regra de ciclo de vida em um bucket. Essa configuração ajuda a automatizar o gerenciamento e o ciclo de vida dos dados armazenados na nuvem.

Configure o storage.buckets/lifecycle.rule.action.type para garantir que os objetos sejam excluídos permanentemente do bucket.

Para regras de exclusão, verifique se a condição isLive da regra está definida como false.

No Cloud Storage, storage.buckets/lifecycle.rule.condition.isLive é uma condição booleana usada em regras de ciclo de vida para determinar se um objeto é considerado ativo. Esse filtro ajuda a garantir que as ações em uma regra de ciclo de vida sejam aplicadas apenas aos objetos desejados com base no status ativo deles.

Casos de uso:

• Arquivar versões históricas:arquive apenas versões não atuais de objetos para economizar custos de armazenamento e manter a versão mais recente facilmente acessível.
• Limpar objetos excluídos:automatize a exclusão permanente de objetos que foram excluídos pelos usuários, liberando espaço no bucket.
• Proteja dados ativos:garanta que ações como a definição de retenções temporárias sejam aplicadas apenas a objetos ativos, evitando a modificação acidental de versões arquivadas ou excluídas.

Verifique se todos os buckets do Cloud Storage têm o controle de versão ativado. Os casos de uso incluem o seguinte:

• Proteção e recuperação de dados:proteja-se contra a perda acidental de dados evitando substituições e permitindo a recuperação de dados excluídos ou modificados.
• Compliance e auditoria:mantenha um histórico de todas as edições de objetos para fins de compliance regulatório ou auditoria interna.
• Controle de versões:rastreie mudanças em arquivos e conjuntos de dados, permitindo a colaboração e a reversão para versões anteriores, se necessário.

Verifique se google_storage_bucket.labels tem uma expressão para um proprietário.

Ative o registro adicional em torno de objetos de armazenamento específicos com base no caso de uso deles. Por exemplo, registre o acesso a buckets de dados sensíveis para rastrear quem teve acesso e quando. Ao ativar o registro em log adicional, considere o volume de registros que você pode gerar.