Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Controles de infraestructura para casos de uso de IA generativa

En este documento, se incluyen las prácticas recomendadas y los lineamientos para los servicios de Google Cloud, como Pub/Sub, Dataflow y Cloud Run Functions, cuando se ejecutan cargas de trabajo de IA generativa enGoogle Cloud.

Define instancias de VM que pueden habilitar el reenvío de IP

ID de control de Google	VPC-CO-6.3
Implementación	Obligatorio
Descripción	La restricción `compute.vmCanIpForward` define las instancias de VM que pueden habilitar el reenvío de IP. De forma predeterminada, cualquier VM puede habilitar el reenvío de IP en cualquier red virtual. Especifica las instancias de VM con uno de los siguientes formatos: `under:organizations/ORGANIZATION_ID` `under:folders/FOLDER_ID` `under:projects/PROJECT_ID` `projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME` Esta restricción no es retroactiva.
Productos aplicables	Servicio de políticas de la organización Nube privada virtual (VPC) Compute Engine
Ruta	`constraints/compute.vmCanIpForward`
Operador	`=`
Valor	`Your list of VM instances that can enable IP forwarding.`
Tipo	Lista
Controles relacionados de NIST-800-53	SC-7 SC-8
Controles relacionados con el perfil de CRI	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Información relacionada	Recomendaciones Habilita el reenvío de IP para las instancias

Inhabilita la virtualización anidada de VM

ID de control de Google	VPC-CO-6.6
Implementación	Obligatorio
Descripción	La restricción booleana `compute.disableNestedVirtualization` inhabilita la virtualización anidada por aceleración de hardware para las VMs de Compute Engine.
Productos aplicables	Servicio de políticas de la organización Nube privada virtual (VPC) Compute Engine
Ruta	`constraints/compute.disableNestedVirtualization`
Operador	`Is`
Valor	`True`
Tipo	Booleano
Controles relacionados de NIST-800-53	SC-7 SC-8
Controles relacionados con el perfil de CRI	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Información relacionada	Administra la restricción de virtualización anidada

Restringe direcciones IP externas en VMs

ID de control de Google	VPC-CO-6.2
Implementación	Obligatorio
Descripción	A menos que sea necesario, impide la creación de instancias de Compute Engine con direcciones IP públicas. La restricción de lista `compute.vmExternalIpAccess` define el conjunto de instancias de VM de Compute Engine que pueden tener direcciones IP externas. Evita que las instancias de Compute Engine tengan direcciones IP externas para reducir drásticamente su exposición a Internet. Cualquier instancia con una dirección IP externa se puede descubrir de inmediato y se convierte en un objetivo directo para los análisis automatizados, los ataques de fuerza bruta y los intentos de aprovechar vulnerabilidades. En cambio, exige que las instancias usen direcciones IP privadas y administra el acceso a través de rutas controladas, autenticadas y registradas, como el túnel de Identity-Aware Proxy (IAP) o un host de bastión. Adoptar esta postura de denegación predeterminada es una práctica recomendada de seguridad fundamental que ayuda a minimizar la superficie de ataque y aplica un enfoque de confianza cero a tu red. Esta restricción no es retroactiva.
Productos aplicables	Servicio de políticas de la organización Nube privada virtual (VPC) Compute Engine
Ruta	`constraints/compute.vmExternalIpAccess`
Operador	`=`
Valor	`The list of VM instances in your organization that can have external IP addresses.`
Tipo	Lista
Controles relacionados de NIST-800-53	SC-7 SC-8
Controles relacionados con el perfil de CRI	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Información relacionada	Restringe direcciones IP externas a instancias específicas

Define direcciones IP externas permitidas para instancias de VM

ID de control de Google	CBD-CO-6.3
Implementación	Obligatorio
Descripción	La restricción de lista `compute.vmExternalIpAccess` te permite restringir el acceso externo a las máquinas virtuales al no asignar direcciones IP externas. Configura esta restricción de lista para rechazar todas las direcciones IP externas a las máquinas virtuales.
Productos aplicables	Servicio de políticas de la organización Compute Engine
Ruta	`compute.vmExternalIpAccess`
Operador	`=`
Valor	`Deny All`
Tipo	Lista
Controles relacionados de NIST-800-53	AC-3 AC-12 AC-17 AC-20
Controles relacionados con el perfil de CRI	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2 PR.PT-3.1 PR-PT-4.1
Información relacionada	Restringe direcciones IP externas a instancias específicas

Exige un conector de VPC para las funciones de Cloud Run

ID de control de Google	CF-CO-4.4
Implementación	Obligatorio
Descripción	La restricción booleana `cloudfunctions.requireVPCConnector` requiere que los administradores especifiquen un conector de Acceso a VPC sin servidores cuando implementan una función de Cloud Run. Cuando se aplique, las funciones deberán especificar un conector.
Productos aplicables	Servicio de políticas de la organización Cloud Run Functions
Ruta	`constraints/cloudfunctions.requireVPCConnector`
Operador	`=`
Valor	`True`
Tipo	Booleano
Controles relacionados de NIST-800-53	SC-7 SC-8
Controles relacionados con el perfil de CRI	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Información relacionada	Conéctate a una red de VPC

Configura políticas de almacenamiento de mensajes

ID de control de Google	PS-CO-4.1
Implementación	Opcional
Descripción	Si publicas mensajes en el extremo global de Pub/Sub, Pub/Sub almacena automáticamente los mensajes en la región de Google Cloud más cercana. Para controlar en qué regiones se almacenan tus mensajes, configura una política de almacenamiento de mensajes en tu tema. Usa una de las siguientes formas para configurar las políticas de almacenamiento de mensajes para temas: Establece una política de almacenamiento de mensajes con la restricción de política de la organización Restricción de ubicación de recursos (`gcp.resourceLocations`). Configura una política de almacenamiento de mensajes cuando crees un tema. Por ejemplo: `gcloud pubsub topics create TOPIC_ID \--message-storage-policy-allowed-regions=REGION1, REGION2`
Productos aplicables	Servicio de políticas de la organización Pub/Sub
Controles relacionados de NIST-800-53	AC-3 AC-17 AC-20
Controles relacionados con el perfil de CRI	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1
Información relacionada	Configura políticas de almacenamiento de mensajes

Desactiva las direcciones IP externas para los trabajos de Dataflow

ID de control de Google	DF-CO-6.1
Implementación	Opcional
Descripción	Desactiva las direcciones IP externas para las tareas administrativas y de supervisión relacionadas con los trabajos de Dataflow. En su lugar, configura el acceso a tus VMs de trabajador de Dataflow con SSH. Habilita el Acceso privado a Google y especifica una de las siguientes opciones en tu trabajo de Dataflow: `--usePublicIps=false` y `--network=NETWORK-NAME` `--subnetwork=SUBNETWORK-NAME` Aquí: `NETWORK-NAME`: Es el nombre de tu red de Compute Engine. `SUBNETWORK-NAME`: Es el nombre de tu subred de Compute Engine.
Productos aplicables	Compute Engine Dataflow
Controles relacionados de NIST-800-53	SC-7 SC-8
Controles relacionados con el perfil de CRI	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Información relacionada	Elige un método de acceso Configura el Acceso privado a Google

Usa etiquetas de red para las reglas de firewall

ID de control de Google	DF-CO-6.2
Implementación	Opcional
Descripción	Las etiquetas de red son atributos de texto que se adjuntan a las VMs de Compute Engine, como las VMs de trabajador de Dataflow. Las etiquetas de red te permiten hacer que las reglas de firewall de la red de VPC y algunas rutas estáticas personalizadas se puedan aplicar a instancias de VM específicas. Dataflow admite la adición de etiquetas de red a todas las VMs de trabajador que ejecutan un trabajo de Dataflow en particular.
Productos aplicables	Compute Engine Dataflow
Controles relacionados de NIST-800-53	SC-7 SC-8
Controles relacionados con el perfil de CRI	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Información relacionada	Etiquetas de red para Dataflow

¿Qué sigue?

Revisa los controles de administración de datos.
Consulta más Google Cloud prácticas recomendadas y lineamientos de seguridad para las cargas de trabajo de IA generativa.

Controles de infraestructura para casos de uso de IA generativa Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.