Controlli dell'infrastruttura per i casi d'uso dell'AI generativa

Questo documento include le best practice e le linee guida per Google Cloud servizi come Pub/Sub, Dataflow e Cloud Run Functions quando esegui carichi di lavoro di AI generativa su Google Cloud.

Definisci le istanze VM che possono abilitare l'IP forwarding

ID controllo Google	VPC-CO-6.3
Implementazione	Obbligatorio
Descrizione	Il vincolo `compute.vmCanIpForward` definisce le istanze VM che possono abilitare l'inoltro IP. Per impostazione predefinita, qualsiasi VM può abilitare il forwarding IP in qualsiasi rete virtuale. Specifica le istanze VM utilizzando uno dei seguenti formati: `under:organizations/ORGANIZATION_ID` `under:folders/FOLDER_ID` `under:projects/PROJECT_ID` `projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME`. Questo vincolo non è retroattivo.
Prodotti applicabili	Servizio Policy dell'organizzazione Virtual Private Cloud (VPC) Compute Engine
Percorso	`constraints/compute.vmCanIpForward`
Operatore	`=`
Valore	`Your list of VM instances that can enable IP forwarding.`
Tipo	Elenco
Controlli NIST-800-53 correlati	SC-7 SC-8
Controlli del profilo CRI correlati	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Informazioni correlate	Consigli Abilita l'IP forwarding per le istanze

Disattiva la virtualizzazione nidificata della VM

ID controllo Google	VPC-CO-6.6
Implementazione	Obbligatorio
Descrizione	Il vincolo booleano `compute.disableNestedVirtualization` disattiva la virtualizzazione nidificata con accelerazione hardware per le VM Compute Engine.
Prodotti applicabili	Servizio Policy dell'organizzazione Virtual Private Cloud (VPC) Compute Engine
Percorso	`constraints/compute.disableNestedVirtualization`
Operatore	`Is`
Valore	`True`
Tipo	Booleano
Controlli NIST-800-53 correlati	SC-7 SC-8
Controlli del profilo CRI correlati	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Informazioni correlate	Gestisci il vincolo di virtualizzazione nidificata

Limita gli indirizzi IP esterni sulle VM

ID controllo Google	VPC-CO-6.2
Implementazione	Obbligatorio
Descrizione	Se non necessario, impedisci la creazione di istanze Compute Engine con indirizzi IP pubblici. Il vincolo dell'elenco `compute.vmExternalIpAccess` definisce l'insieme di istanze VM di Compute Engine che possono avere indirizzi IP esterni. Impedisci alle istanze Compute Engine di avere indirizzi IP esterni per ridurre drasticamente la loro esposizione a internet. Qualsiasi istanza con un indirizzo IP esterno è immediatamente rilevabile e diventa un obiettivo diretto per scansioni automatizzate, attacchi di tipo brute force e tentativi di sfruttamento delle vulnerabilità. Richiedi invece alle istanze di utilizzare indirizzi IP privati e gestisci l'accesso tramite percorsi controllati, autenticati e registrati come il tunnel Identity-Aware Proxy (IAP) o un bastion host. L'adozione di questa postura di negazione predefinita è una best practice di sicurezza fondamentale che contribuisce a ridurre al minimo la superficie di attacco e applica un approccio zero-trust alla tua rete. Questo vincolo non è retroattivo.
Prodotti applicabili	Servizio Policy dell'organizzazione Virtual Private Cloud (VPC) Compute Engine
Percorso	`constraints/compute.vmExternalIpAccess`
Operatore	`=`
Valore	`The list of VM instances in your organization that can have external IP addresses.`
Tipo	Elenco
Controlli NIST-800-53 correlati	SC-7 SC-8
Controlli del profilo CRI correlati	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Informazioni correlate	Limita gli indirizzi IP esterni a istanze specifiche

Definisci gli indirizzi IP esterni consentiti per le istanze VM

ID controllo Google	CBD-CO-6.3
Implementazione	Obbligatorio
Descrizione	Il vincolo dell'elenco `compute.vmExternalIpAccess` consente di limitare l'accesso esterno alle macchine virtuali non assegnando indirizzi IP esterni. Configura questo vincolo dell'elenco per negare tutti gli indirizzi IP esterni alle macchine virtuali.
Prodotti applicabili	Servizio Policy dell'organizzazione Compute Engine
Percorso	`compute.vmExternalIpAccess`
Operatore	`=`
Valore	`Deny All`
Tipo	Elenco
Controlli NIST-800-53 correlati	AC-3 AC-12 AC-17 AC-20
Controlli del profilo CRI correlati	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2 PR.PT-3.1 PR-PT-4.1
Informazioni correlate	Limita gli indirizzi IP esterni a istanze specifiche

Richiedere il connettore VPC per Cloud Run Functions

ID controllo Google	CF-CO-4.4
Implementazione	Obbligatorio
Descrizione	Il vincolo booleano `cloudfunctions.requireVPCConnector` richiede che gli amministratori specifichino un connettore di accesso VPC serverless quando eseguono il deployment di una funzione Cloud Run. Quando viene applicato, le funzioni devono specificare un connettore.
Prodotti applicabili	Servizio Policy dell'organizzazione Cloud Run Functions
Percorso	`constraints/cloudfunctions.requireVPCConnector`
Operatore	`=`
Valore	`True`
Tipo	Booleano
Controlli NIST-800-53 correlati	SC-7 SC-8
Controlli del profilo CRI correlati	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Informazioni correlate	Connettiti a una rete VPC

Configurare i criteri di archiviazione dei messaggi

ID controllo Google	PS-CO-4.1
Implementazione	Facoltativo
Descrizione	Se pubblichi messaggi nell'endpoint Pub/Sub globale, Pub/Sub li archivia automaticamente nella regione Google Cloud più vicina. Per controllare le regioni in cui vengono archiviati i messaggi, configura una policy di archiviazione dei messaggi nell'argomento. Utilizza uno dei seguenti modi per configurare i criteri di archiviazione dei messaggi per gli argomenti: Imposta una policy di archiviazione dei messaggi utilizzando il vincolo delle policy dell'organizzazione Restrizione sulla località delle risorse (`gcp.resourceLocations`). Configura una policy di archiviazione dei messaggi durante la creazione di un argomento. Ad esempio: `gcloud pubsub topics create TOPIC_ID \--message-storage-policy-allowed-regions=REGION1, REGION2`
Prodotti applicabili	Servizio Policy dell'organizzazione Pub/Sub
Controlli NIST-800-53 correlati	AC-3 AC-17 AC-20
Controlli del profilo CRI correlati	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1
Informazioni correlate	Configurare i criteri di archiviazione dei messaggi

Disattiva gli indirizzi IP esterni per i job Dataflow

ID controllo Google	DF-CO-6.1
Implementazione	Facoltativo
Descrizione	Disattiva gli indirizzi IP esterni per le attività amministrative e di monitoraggio correlate ai job Dataflow. Configura invece l'accesso alle VM worker Dataflow utilizzando SSH. Abilita l'accesso privato Google e specifica una delle seguenti opzioni nel job Dataflow: `--usePublicIps=false` e `--network=NETWORK-NAME` `--subnetwork=SUBNETWORK-NAME` Dove: `NETWORK-NAME`: il nome della tua rete Compute Engine. `SUBNETWORK-NAME`: il nome della subnet Compute Engine.
Prodotti applicabili	Compute Engine Dataflow
Controlli NIST-800-53 correlati	SC-7 SC-8
Controlli del profilo CRI correlati	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Informazioni correlate	Scegliere un metodo di accesso Configurare l'accesso privato Google

Utilizzare i tag di rete per le regole firewall

ID controllo Google	DF-CO-6.2
Implementazione	Facoltativo
Descrizione	I tag di rete sono attributi di testo che vengono collegati alle VM Compute Engine, come le VM worker Dataflow. I tag di rete consentono di applicare regole firewall di rete VPC e alcune route statiche personalizzate a istanze VM specifiche. Dataflow supporta l'aggiunta di tag di rete a tutte le VM worker che eseguono un determinato job Dataflow.
Prodotti applicabili	Compute Engine Dataflow
Controlli NIST-800-53 correlati	SC-7 SC-8
Controlli del profilo CRI correlati	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Informazioni correlate	Tag di rete per Dataflow

Passaggi successivi

Esamina i controlli di gestione dei dati.
Scopri altre best practice e linee guida per la sicurezza diGoogle Cloud per i workload AI generativa.

Salvo quando diversamente specificato, i contenuti di questa pagina sono concessi in base alla licenza Creative Commons Attribution 4.0, mentre gli esempi di codice sono concessi in base alla licenza Apache 2.0. Per ulteriori dettagli, consulta le norme del sito di Google Developers. Java è un marchio registrato di Oracle e/o delle sue consociate.

Ultimo aggiornamento 2026-04-09 UTC.