Kontrol infrastruktur untuk kasus penggunaan AI generatif

Dokumen ini mencakup praktik terbaik dan panduan untuk Google Cloud layanan seperti Pub/Sub, Dataflow, dan fungsi Cloud Run saat menjalankan beban kerja AI generatif di Google Cloud.

Menentukan instance VM yang dapat mengaktifkan penerusan IP

ID kontrol Google	VPC-CO-6.3
Penerapan	Wajib
Deskripsi	Batasan `compute.vmCanIpForward` menentukan instance VM yang dapat mengaktifkan penerusan IP. Secara default, semua VM dapat mengaktifkan penerusan IP di jaringan virtual mana pun. Tentukan instance VM menggunakan salah satu format berikut: `under:organizations/ORGANIZATION_ID` `under:folders/FOLDER_ID` `under:projects/PROJECT_ID` `projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME`. Batasan ini tidak berlaku surut.
Produk yang berlaku	Organization Policy Service Virtual Private Cloud (VPC) Compute Engine
Jalur	`constraints/compute.vmCanIpForward`
Operator	`=`
Nilai	`Your list of VM instances that can enable IP forwarding.`
Jenis	Daftar
Kontrol NIST-800-53 terkait	SC-7 SC-8
Kontrol profil CRI terkait	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Informasi terkait	Rekomendasi Mengaktifkan penerusan IP untuk instance

Menonaktifkan virtualisasi bertingkat VM

ID kontrol Google	VPC-CO-6.6
Penerapan	Wajib
Deskripsi	Batasan boolean `compute.disableNestedVirtualization` menonaktifkan virtualisasi bertingkat dengan akselerasi hardware untuk VM Compute Engine.
Produk yang berlaku	Organization Policy Service Virtual Private Cloud (VPC) Compute Engine
Jalur	`constraints/compute.disableNestedVirtualization`
Operator	`Is`
Nilai	`True`
Jenis	Boolean
Kontrol NIST-800-53 terkait	SC-7 SC-8
Kontrol profil CRI terkait	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Informasi terkait	Mengelola batasan virtualisasi bertingkat

Membatasi alamat IP eksternal pada VM

ID kontrol Google	VPC-CO-6.2
Penerapan	Wajib
Deskripsi	Kecuali jika diperlukan, cegah pembuatan instance Compute Engine dengan alamat IP publik. Batasan daftar `compute.vmExternalIpAccess` menentukan kumpulan instance VM Compute Engine yang dapat memiliki alamat IP eksternal. Mencegah instance Compute Engine memiliki alamat IP eksternal untuk secara drastis mengurangi eksposurnya ke internet. Setiap instance dengan alamat IP eksternal dapat langsung ditemukan dan menjadi target langsung untuk pemindaian otomatis, serangan brute force, dan upaya untuk mengeksploitasi kerentanan. Sebagai gantinya, mewajibkan instance menggunakan alamat IP pribadi dan mengelola akses melalui jalur yang terkontrol, diautentikasi, dan dicatat seperti tunnel Identity-Aware Proxy (IAP) atau host bastion. Mengadopsi postur tolak secara default ini adalah praktik terbaik keamanan mendasar yang membantu meminimalkan permukaan serangan Anda dan menerapkan pendekatan zero-trust ke jaringan Anda. Batasan ini tidak berlaku surut.
Produk yang berlaku	Organization Policy Service Virtual Private Cloud (VPC) Compute Engine
Jalur	`constraints/compute.vmExternalIpAccess`
Operator	`=`
Nilai	`The list of VM instances in your organization that can have external IP addresses.`
Jenis	Daftar
Kontrol NIST-800-53 terkait	SC-7 SC-8
Kontrol profil CRI terkait	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Informasi terkait	Membatasi alamat IP eksternal ke instance tertentu

Menentukan alamat IP eksternal yang diizinkan untuk instance VM

ID kontrol Google	CBD-CO-6.3
Penerapan	Wajib
Deskripsi	Batasan daftar `compute.vmExternalIpAccess` memungkinkan Anda membatasi akses eksternal ke mesin virtual dengan tidak menetapkan alamat IP eksternal. Konfigurasi batasan daftar ini untuk menolak semua alamat IP eksternal ke mesin virtual.
Produk yang berlaku	Organization Policy Service Compute Engine
Jalur	`compute.vmExternalIpAccess`
Operator	`=`
Nilai	`Deny All`
Jenis	Daftar
Kontrol NIST-800-53 terkait	AC-3 AC-12 AC-17 AC-20
Kontrol profil CRI terkait	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2 PR.PT-3.1 PR-PT-4.1
Informasi terkait	Membatasi alamat IP eksternal ke instance tertentu

Mewajibkan konektor VPC untuk fungsi Cloud Run

ID kontrol Google	CF-CO-4.4
Penerapan	Wajib
Deskripsi	Batasan boolean `cloudfunctions.requireVPCConnector` mewajibkan administrator menentukan konektor Akses VPC Serverless saat men-deploy fungsi Cloud Run. Jika diterapkan, fungsi harus menentukan konektor.
Produk yang berlaku	Organization Policy Service Cloud Run Functions
Jalur	`constraints/cloudfunctions.requireVPCConnector`
Operator	`=`
Nilai	`True`
Jenis	Boolean
Kontrol NIST-800-53 terkait	SC-7 SC-8
Kontrol profil CRI terkait	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Informasi terkait	Menghubungkan ke jaringan VPC

Mengonfigurasi kebijakan penyimpanan pesan

ID kontrol Google	PS-CO-4.1
Penerapan	Opsional
Deskripsi	Jika Anda memublikasikan pesan ke endpoint Pub/Sub global, Pub/Sub akan otomatis menyimpan pesan di region Google Cloud terdekat. Untuk mengontrol region tempat pesan Anda disimpan, konfigurasi kebijakan penyimpanan pesan di topik Anda. Gunakan salah satu cara berikut untuk mengonfigurasi kebijakan penyimpanan pesan untuk topik: Tetapkan kebijakan penyimpanan pesan menggunakan batasan kebijakan organisasi Pembatasan Lokasi Resource (`gcp.resourceLocations`). Konfigurasi kebijakan penyimpanan pesan saat membuat topik. Contoh: `gcloud pubsub topics create TOPIC_ID \--message-storage-policy-allowed-regions=REGION1, REGION2`
Produk yang berlaku	Organization Policy Service Pub/Sub
Kontrol NIST-800-53 terkait	AC-3 AC-17 AC-20
Kontrol profil CRI terkait	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1
Informasi terkait	Mengonfigurasi kebijakan penyimpanan pesan

Menonaktifkan alamat IP eksternal untuk tugas Dataflow

ID kontrol Google	DF-CO-6.1
Penerapan	Opsional
Deskripsi	Nonaktifkan alamat IP eksternal untuk tugas administratif dan pemantauan yang terkait dengan tugas Dataflow. Sebagai gantinya, konfigurasi akses ke VM pekerja Dataflow Anda menggunakan SSH. Aktifkan Akses Google Pribadi dan tentukan salah satu opsi berikut dalam tugas Dataflow Anda: `--usePublicIps=false` dan `--network=NETWORK-NAME` `--subnetwork=SUBNETWORK-NAME` Dengan: `NETWORK-NAME`: Nama jaringan Compute Engine Anda. `SUBNETWORK-NAME`: Nama subnetwork Compute Engine Anda.
Produk yang berlaku	Compute Engine Dataflow
Kontrol NIST-800-53 terkait	SC-7 SC-8
Kontrol profil CRI terkait	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Informasi terkait	Memilih metode akses Mengonfigurasi Akses Google Pribadi

Menggunakan tag jaringan untuk aturan firewall

ID kontrol Google	DF-CO-6.2
Penerapan	Opsional
Deskripsi	Tag jaringan adalah atribut teks yang terpasang ke VM Compute Engine seperti VM pekerja Dataflow. Dengan tag jaringan, Anda dapat membuat aturan firewall jaringan VPC dan beberapa rute statis kustom yang berlaku untuk instance VM tertentu. Dataflow mendukung penambahan tag jaringan ke semua VM pekerja yang menjalankan tugas Dataflow tertentu.
Produk yang berlaku	Compute Engine Dataflow
Kontrol NIST-800-53 terkait	SC-7 SC-8
Kontrol profil CRI terkait	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Informasi terkait	Tag jaringan untuk Dataflow

Langkah berikutnya

Tinjau kontrol pengelolaan data.
Lihat Google Cloud praktik terbaik dan panduan keamanan untuk beban kerja AI generatif lainnya.

Kecuali dinyatakan lain, konten di halaman ini dilisensikan berdasarkan Lisensi Creative Commons Attribution 4.0, sedangkan contoh kode dilisensikan berdasarkan Lisensi Apache 2.0. Untuk mengetahui informasi selengkapnya, lihat Kebijakan Situs Google Developers. Java adalah merek dagang terdaftar dari Oracle dan/atau afiliasinya.

Terakhir diperbarui pada 2026-04-09 UTC.