生成式 AI 用途的 Cloud DNS 控制項

本文提供 Cloud DNS 最佳做法和指南,適用於在 Google Cloud上執行生成式 AI 工作負載的情況。Cloud DNS 可以搭配 Vertex AI,用於註冊、管理及提供網域。

必要的 Cloud DNS 控制項

使用 Cloud DNS 時,強烈建議您採用下列控制項。

啟用 DNS 安全性擴充功能

Google 控制項 ID DNS-CO-6.1
類別 必要
說明

網域名稱系統安全擴充功能 (DNSSEC) 是網域名稱系統 (DNS) 的一項功能,可驗證網域名稱查詢的回應。這項功能不會為這些查詢提供隱私保護服務,但可防止攻擊者操縱或汙染 DNS 要求的回應。

請在 Cloud DNS 的下列位置啟用 DNSSEC:

  • DNS 區域
  • 頂層網域 (TLD)
  • DNS 解析
適用產品
  • Cloud DNS
相關的 NIST-800-53 控制項
  • SC-7
  • SC-8
相關的 CRI 設定檔控制項
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
相關資訊

選用的 Cloud DNS 控制項

建議您在含有生成式 AI 工作負載的資料夾中,導入下列安全控制措施。

使用區域性 DNS

Google 控制項 ID DNS-CO-4.1
類別 選用
說明

您可以透過 compute.setNewProjectDefaultToZonalDNSOnly 布林值限制,將新專案的內部 DNS 設定設為僅限區域性 DNS。請使用區域性 DNS,因為與個別區域相比,區域性 DNS 可隔離 DNS 註冊中的失敗,因此可靠性較高。
適用產品
  • 組織政策
路徑 constraints/compute.setNewProjectDefaultToZonalDNSOnly
運算子 =
  • True
類型 布林值
相關的 NIST-800-53 控制項
  • AC-3
  • AC-17
  • AC-20
相關的 CRI 設定檔控制項
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
相關資訊

後續步驟