Controles de infraestrutura para casos de uso de IA generativa

Este documento inclui as práticas recomendadas e diretrizes para serviços do Google Cloud, como Pub/Sub, Dataflow e Cloud Run functions, ao executar cargas de trabalho de IA generativa noGoogle Cloud.

Definir instâncias de VM que podem ativar o encaminhamento de IP

ID de controle do Google VPC-CO-6.3
Implementação Obrigatório
Descrição
A restrição compute.vmCanIpForward define as instâncias de VM que podem ativar o encaminhamento de IP. Por padrão, qualquer VM pode ativar o encaminhamento de IP em qualquer rede virtual. Especifique as instâncias de VM usando um dos seguintes formatos:
  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME.
Essa restrição não é retroativa.
Produtos aplicáveis
  • Serviço de política da organização
  • Nuvem privada virtual (VPC)
  • Compute Engine
Caminho constraints/compute.vmCanIpForward
Operador =
Valor
  • Your list of VM instances that can enable IP forwarding.
Tipo Lista
Controles relacionados do NIST-800-53
  • SC-7
  • SC-8
Controles relacionados ao perfil de CRI
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informações relacionadas

Desativar a virtualização aninhada da VM

ID de controle do Google VPC-CO-6.6
Implementação Obrigatório
Descrição
A restrição booleana compute.disableNestedVirtualization desativa a virtualização aninhada acelerada por hardware para VMs do Compute Engine.
Produtos aplicáveis
  • Serviço de política da organização
  • Nuvem privada virtual (VPC)
  • Compute Engine
Caminho constraints/compute.disableNestedVirtualization
Operador Is
Valor
  • True
Tipo Booleano
Controles relacionados do NIST-800-53
  • SC-7
  • SC-8
Controles relacionados ao perfil de CRI
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informações relacionadas

Restringir endereços IP externo em VMs

ID de controle do Google VPC-CO-6.2
Implementação Obrigatório
Descrição

A menos que seja necessário, evite a criação de instâncias do Compute Engine com endereços IP públicos. A restrição de lista compute.vmExternalIpAccess define o conjunto de instâncias de VM do Compute Engine que podem ter endereços IP externo.

Impeça que as instâncias do Compute Engine tenham endereços IP externo para reduzir drasticamente a exposição delas à Internet. Qualquer instância com um endereço IP externo é imediatamente detectável e se torna um alvo direto para verificações automatizadas, ataques de força bruta e tentativas de exploração de vulnerabilidades. Em vez disso, exija que as instâncias usem endereços IP particulares e gerencie o acesso por caminhos controlados, autenticados e registrados, como o túnel do Identity-Aware Proxy (IAP) ou um Bastion Host.

Adotar essa postura de negação por padrão é uma prática recomendada de segurança fundamental que ajuda a minimizar a superfície de ataque e impõe uma abordagem de confiança zero à sua rede. Essa restrição não é retroativa.
Produtos aplicáveis
  • Serviço de política da organização
  • Nuvem privada virtual (VPC)
  • Compute Engine
Caminho constraints/compute.vmExternalIpAccess
Operador =
Valor
  • The list of VM instances in your organization that can have external IP addresses.
Tipo Lista
Controles relacionados do NIST-800-53
  • SC-7
  • SC-8
Controles relacionados ao perfil de CRI
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informações relacionadas

Definir endereços IP externo permitidos para instâncias de VM

ID de controle do Google CBD-CO-6.3
Implementação Obrigatório
Descrição

Com a restrição de lista compute.vmExternalIpAccess, é possível restringir o acesso externo às máquinas virtuais não atribuindo endereços IP externo. Configure essa restrição de lista para negar todos os endereços IP externo às máquinas virtuais.
Produtos aplicáveis
  • Serviço de política da organização
  • Compute Engine
Caminho compute.vmExternalIpAccess
Operador =
Valor
  • Deny All
Tipo Lista
Controles relacionados do NIST-800-53
  • AC-3
  • AC-12
  • AC-17
  • AC-20
Controles relacionados ao perfil de CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
Informações relacionadas

Exigir conector de VPC para funções do Cloud Run

ID de controle do Google CF-CO-4.4
Implementação Obrigatório
Descrição

A restrição booleana cloudfunctions.requireVPCConnector exige que os administradores especifiquem um conector de acesso VPC sem servidor ao implantar uma função do Cloud Run. Quando aplicada, as funções precisam especificar um conector.
Produtos aplicáveis
  • Serviço de política da organização
  • Cloud Run functions
Caminho constraints/cloudfunctions.requireVPCConnector
Operador =
Valor
  • True
Tipo Booleano
Controles relacionados do NIST-800-53
  • SC-7
  • SC-8
Controles relacionados ao perfil de CRI
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informações relacionadas

Configurar políticas de armazenamento de mensagens

ID de controle do Google PS-CO-4.1
Implementação Opcional
Descrição
Se você publicar mensagens no endpoint global do Pub/Sub, o Pub/Sub vai armazenar de modo automático as mensagens na região Google Cloud mais próxima. Para controlar em que regiões as mensagens são armazenadas, configure uma política de armazenamento de mensagens no seu tópico. Use uma das seguintes maneiras para configurar políticas de armazenamento de mensagens para tópicos:
  • Defina uma política de armazenamento de mensagens usando a restrição de política da organização de restrição de local do recurso (gcp.resourceLocations).
  • Configure uma política de armazenamento de mensagens ao criar um tópico. Exemplo:

    gcloud pubsub topics create TOPIC_ID \--message-storage-policy-allowed-regions=REGION1, REGION2
Produtos aplicáveis
  • Serviço de política da organização
  • Pub/Sub
Controles relacionados do NIST-800-53
  • AC-3
  • AC-17
  • AC-20
Controles relacionados ao perfil de CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Informações relacionadas

Desativar endereços IP externo para jobs do Dataflow

ID de controle do Google DF-CO-6.1
Implementação Opcional
Descrição

Desative os endereços IP externo para tarefas administrativas e de monitoramento relacionadas a jobs do Dataflow. Em vez disso, configure o acesso às VMs de worker do Dataflow usando SSH.

Ative o Acesso Privado do Google e especifique uma das seguintes opções no seu job do Dataflow:

  • --usePublicIps=false e --network=NETWORK-NAME
  • --subnetwork=SUBNETWORK-NAME

Em que:

  • NETWORK-NAME: o nome da sua rede do Compute Engine.
  • SUBNETWORK-NAME: o nome da sub-rede do Compute Engine.
Produtos aplicáveis
  • Compute Engine
  • Dataflow
Controles relacionados do NIST-800-53
  • SC-7
  • SC-8
Controles relacionados ao perfil de CRI
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informações relacionadas

Usar tags de rede para regras de firewall

ID de controle do Google DF-CO-6.2
Implementação Opcional
Descrição

As tags de rede são atributos de texto anexados às VMs do Compute Engine, como as VMs de worker do Dataflow. Com as tags de rede, é possível tornar regras de firewall de rede VPC e algumas rotas estáticas personalizadas aplicáveis a instâncias de VM específicas. O Dataflow é compatível com a adição de tags de rede a todas as VMs de worker que executam um job específico do Dataflow.
Produtos aplicáveis
  • Compute Engine
  • Dataflow
Controles relacionados do NIST-800-53
  • SC-7
  • SC-8
Controles relacionados ao perfil de CRI
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informações relacionadas

A seguir