Infrastrukturkontrollen für Anwendungsfälle für generative KI

Dieses Dokument enthält die Best Practices und Richtlinien für Google Cloud-Dienste wie Pub/Sub, Dataflow und Cloud Run Functions, wenn generative KI-Arbeitslasten aufGoogle Cloudausgeführt werden.

VM-Instanzen definieren, die die IP-Weiterleitung aktivieren können

Google-Einstellungs-ID	VPC-CO-6.3
Implementierung	Erforderlich
Beschreibung	Mit der Einschränkung `compute.vmCanIpForward` werden die VM-Instanzen definiert, die die IP-Weiterleitung aktivieren können. Standardmäßig kann jede VM die IP-Weiterleitung in jedem virtuellen Netzwerk aktivieren. Geben Sie VM-Instanzen in einem der folgenden Formate an: `under:organizations/ORGANIZATION_ID` `under:folders/FOLDER_ID` `under:projects/PROJECT_ID` `projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME`. Diese Einschränkung ist nicht rückwirkend.
Entsprechende Produkte	Organisationsrichtliniendienst Virtual Private Cloud (VPC) Compute Engine
Pfad	`constraints/compute.vmCanIpForward`
Operator	`=`
Wert	`Your list of VM instances that can enable IP forwarding.`
Typ	Liste
Zugehörige NIST-800-53-Kontrollen	SC-7 SC-8
Zugehörige CRI-Profileinstellungen	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Weitere Informationen	Empfehlungen IP-Weiterleitung für Instanzen aktivieren

Verschachtelte Virtualisierung für VM deaktivieren

Google-Einstellungs-ID	VPC-CO-6.6
Implementierung	Erforderlich
Beschreibung	Die boolesche Einschränkung `compute.disableNestedVirtualization` deaktiviert die hardwarebeschleunigte verschachtelte Virtualisierung für Compute Engine-VMs.
Entsprechende Produkte	Organisationsrichtliniendienst Virtual Private Cloud (VPC) Compute Engine
Pfad	`constraints/compute.disableNestedVirtualization`
Operator	`Is`
Wert	`True`
Typ	Boolesch
Zugehörige NIST-800-53-Kontrollen	SC-7 SC-8
Zugehörige CRI-Profileinstellungen	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Weitere Informationen	Einschränkung der verschachtelten Virtualisierung verwalten

Externe IP-Adressen auf VMs einschränken

Google-Einstellungs-ID	VPC-CO-6.2
Implementierung	Erforderlich
Beschreibung	Verhindern Sie, sofern nicht erforderlich, das Erstellen von Compute Engine-Instanzen mit öffentlichen IP-Adressen. Die Listeneinschränkung `compute.vmExternalIpAccess` definiert die Gruppe von Compute Engine-VM-Instanzen, die externe IP-Adressen haben können. Verhindern Sie, dass Compute Engine-Instanzen externe IP-Adressen haben, um ihre Gefährdung durch das Internet drastisch zu reduzieren. Jede Instanz mit einer externen IP-Adresse ist sofort auffindbar und wird zu einem direkten Ziel für automatisierte Scans, Brute-Force-Angriffe und Versuche, Sicherheitslücken auszunutzen. Stattdessen sollten Sie festlegen, dass Instanzen private IP-Adressen verwenden müssen, und den Zugriff über kontrollierte, authentifizierte und protokollierte Pfade wie den Identity-Aware Proxy (IAP)-Tunnel oder einen Bastion-Host verwalten. Diese Standardeinstellung ist eine grundlegende Best Practice für die Sicherheit, mit der Sie Ihre Angriffsfläche minimieren und einen Zero-Trust-Ansatz für Ihr Netzwerk erzwingen. Diese Einschränkung ist nicht rückwirkend.
Entsprechende Produkte	Organisationsrichtliniendienst Virtual Private Cloud (VPC) Compute Engine
Pfad	`constraints/compute.vmExternalIpAccess`
Operator	`=`
Wert	`The list of VM instances in your organization that can have external IP addresses.`
Typ	Liste
Zugehörige NIST-800-53-Kontrollen	SC-7 SC-8
Zugehörige CRI-Profileinstellungen	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Weitere Informationen	Externe IP-Adressen auf bestimmte Instanzen beschränken

Zulässige externe IP-Adressen für VM-Instanzen definieren

Google-Einstellungs-ID	CBD-CO-6.3
Implementierung	Erforderlich
Beschreibung	Mit der Listeneinschränkung `compute.vmExternalIpAccess` können Sie den externen Zugriff auf virtuelle Maschinen einschränken, indem Sie keine externen IP-Adressen zuweisen. Konfigurieren Sie diese Listeneinschränkung, um allen VMs die Verwendung externer IP-Adressen zu verweigern.
Entsprechende Produkte	Organisationsrichtliniendienst Compute Engine
Pfad	`compute.vmExternalIpAccess`
Operator	`=`
Wert	`Deny All`
Typ	Liste
Zugehörige NIST-800-53-Kontrollen	AC-3 AC-12 AC-17 AC-20
Zugehörige CRI-Profileinstellungen	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2 PR.PT-3.1 PR-PT-4.1
Weitere Informationen	Externe IP-Adressen auf bestimmte Instanzen beschränken

VPC-Connector für Cloud Run Functions erforderlich

Google-Einstellungs-ID	CF-CO-4.4
Implementierung	Erforderlich
Beschreibung	Die boolesche Einschränkung `cloudfunctions.requireVPCConnector` erfordert, dass Administratoren einen Connector für Serverloser VPC-Zugriff angeben, wenn sie eine Cloud Run-Funktion bereitstellen. Wenn die Einschränkung erzwungen wird, muss für Funktionen ein Connector angegeben werden.
Entsprechende Produkte	Organisationsrichtliniendienst Cloud Run-Funktionen
Pfad	`constraints/cloudfunctions.requireVPCConnector`
Operator	`=`
Wert	`True`
Typ	Boolesch
Zugehörige NIST-800-53-Kontrollen	SC-7 SC-8
Zugehörige CRI-Profileinstellungen	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Weitere Informationen	Verbindung zu einem VPC-Netzwerk herstellen

Richtlinien für den Nachrichtenspeicher konfigurieren

Google-Einstellungs-ID	PS-CO-4.1
Implementierung	Optional
Beschreibung	Wenn Sie Nachrichten im globalen Pub/Sub-Endpunkt veröffentlichen, speichert Pub/Sub die Nachrichten automatisch in der nächstgelegenen Google Cloud -Region. Wenn Sie steuern möchten, in welchen Regionen Ihre Nachrichten gespeichert werden, konfigurieren Sie eine Richtlinie für die Speicherung von Nachrichten in Ihrem Thema. Sie haben folgende Möglichkeiten, Richtlinien für die Speicherung von Nachrichten für Themen zu konfigurieren: Legen Sie eine Nachrichtenspeicherrichtlinie mit der Organisationsrichtlinieneinschränkung „Beschränkung für Ressourcenstandorte“ (`gcp.resourceLocations`) fest. Konfigurieren Sie eine Richtlinie für den Nachrichtenspeicher, wenn Sie ein Thema erstellen. Beispiel: `gcloud pubsub topics create TOPIC_ID \--message-storage-policy-allowed-regions=REGION1, REGION2`
Entsprechende Produkte	Organisationsrichtliniendienst Pub/Sub
Zugehörige NIST-800-53-Kontrollen	AC-3 AC-17 AC-20
Zugehörige CRI-Profileinstellungen	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1
Weitere Informationen	Richtlinien für den Nachrichtenspeicher konfigurieren

Externe IP-Adressen für Dataflow-Jobs deaktivieren

Google-Einstellungs-ID	DF-CO-6.1
Implementierung	Optional
Beschreibung	Deaktivieren Sie externe IP-Adressen für Verwaltungs- und Monitoringaufgaben, die mit Dataflow-Jobs zusammenhängen. Konfigurieren Sie stattdessen den Zugriff auf Ihre Dataflow-Worker-VMs über SSH. Aktivieren Sie den privaten Google-Zugriff und geben Sie eine der folgenden Optionen in Ihrem Dataflow-Job an: `--usePublicIps=false` und `--network=NETWORK-NAME` `--subnetwork=SUBNETWORK-NAME` Wobei: `NETWORK-NAME`: Der Name Ihres Compute Engine-Netzwerks. `SUBNETWORK-NAME`: Der Name Ihres Compute Engine-Subnetzwerks.
Entsprechende Produkte	Compute Engine Dataflow
Zugehörige NIST-800-53-Kontrollen	SC-7 SC-8
Zugehörige CRI-Profileinstellungen	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Weitere Informationen	Zugriffsmethode auswählen Privaten Google-Zugriff konfigurieren

Netzwerktags für Firewallregeln verwenden

Google-Einstellungs-ID	DF-CO-6.2
Implementierung	Optional
Beschreibung	Netzwerk-Tags sind Textattribute, die an Compute Engine-VMs wie Dataflow-Worker-VMs angehängt werden. Mit Netzwerk-Tags können Sie VPC-Netzwerk-Firewallregeln und bestimmte benutzerdefinierte statische Routen für bestimmte VM-Instanzen festlegen. Dataflow unterstützt das Hinzufügen von Netzwerk-Tags zu allen Worker-VMs, die einen bestimmten Dataflow-Job ausführen.
Entsprechende Produkte	Compute Engine Dataflow
Zugehörige NIST-800-53-Kontrollen	SC-7 SC-8
Zugehörige CRI-Profileinstellungen	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Weitere Informationen	Netzwerk-Tags für Dataflow

Nächste Schritte

Sofern nicht anders angegeben, sind die Inhalte dieser Seite unter der Creative Commons Attribution 4.0 License und Codebeispiele unter der Apache 2.0 License lizenziert. Weitere Informationen finden Sie in den Websiterichtlinien von Google Developers. Java ist eine eingetragene Marke von Oracle und/oder seinen Partnern.

Zuletzt aktualisiert: 2026-04-09 (UTC).