Controles de base empresarial seguros para casos de uso de IA generativa

Use a restrição booleana automaticIamGrantsForDefaultServiceAccounts para desativar as concessões automáticas de papéis quando os serviços do Google Cloud criam automaticamente contas de serviço padrão com papéis excessivamente permissivos.

Por padrão, alguns sistemas concedem permissões muito amplas a contas automatizadas, o que é um possível risco à segurança. Por exemplo, se você não aplicar essa restrição e criar uma conta de serviço padrão, ela vai receber automaticamente o papel de editor (roles/editor) no projeto. Se um invasor comprometer uma única parte do sistema, ele poderá assumir o controle de todo o projeto. Essa restrição desativa as permissões automáticas de alto nível, forçando uma abordagem mais segura e deliberada em que apenas as permissões mínimas necessárias são concedidas.

Use a restrição booleana iam.disableServiceAccountKeyCreation para desativar a criação de chaves de conta de serviço externas. Com essa restrição, é possível controlar o uso de credenciais de longo prazo não gerenciadas para contas de serviço. Quando essa restrição é definida, não é possível criar credenciais gerenciadas pelo usuário para contas de serviço em projetos afetados por ela.

Use a restrição booleana iam.disableServiceAccountKeyUpload para desativar o upload de chaves públicas externas para contas de serviço. Quando essa restrição é definida, os usuários não podem fazer upload de chaves públicas para contas de serviço em projetos afetados pela restrição.

O Google recomenda as chaves de segurança Titan para a verificação em duas etapas (2SV) em contas de superadministrador. No entanto, para casos de uso em que isso não é possível, recomendamos usar outra chave de segurança como alternativa.

Aplique a verificação em duas etapas (2SV) a uma unidade organizacional (UO) específica ou a toda a organização. Recomendamos que você crie uma UO para superadministradores e implemente a verificação em duas etapas nessa UO.

Não ter um único superadministrador ou administrador da organização. Crie uma ou mais contas de administrador de backup (até 20). Um único superadministrador ou administrador da organização pode resultar em cenários de bloqueio. Essa situação também acarreta um risco maior, já que uma pessoa pode fazer mudanças que alteram a plataforma, possivelmente sem supervisão.

As tags fornecem uma maneira de criar anotações para recursos e, em alguns casos, permitir ou negar políticas condicionalmente com base em um recurso ter uma tag específica. Use tags e aplicação condicional de políticas para ter um controle refinado em toda a hierarquia de recursos.

Use os Registros de auditoria do Cloud para monitorar atividades de alto risco, como contas recebendo papéis de alto risco, como administrador da organização e superadministrador. Configure alertas para esse tipo de atividade.

Para evitar conceder acesso excessivo a Google Cloud, bloqueie o acesso ao Cloud Shell para contas de usuário gerenciadas pelo Cloud Identity.

Com o acesso baseado no contexto, é possível criar políticas de segurança de controle de acesso granulares para aplicativos com base em atributos como identidade do usuário, local, status de segurança do dispositivo e endereço IP. Recomendamos que você use o Acesso baseado no contexto para restringir o acesso ao console Google Cloud (https://console.cloud.google.com/) e ao Google Admin Console (https://admin.cloud.google.com).

OGoogle Cloud é compatível com várias versões do protocolo TLS. Para atender aos requisitos de compliance, talvez seja necessário negar solicitações de handshake de clientes que usam versões mais antigas do TLS.

Para configurar esse controle, use a restrição da política da organização Restringir versões TLS (gcp.restrictTLSVersion). É possível aplicar essa restrição a organizações, pastas ou projetos na hierarquia de recursos. A restrição Restringir versões do TLS usa uma lista de bloqueio, que nega valores explícitos e permite todos os outros. Um erro vai ocorrer se você tentar usar uma lista de permissão.

Devido ao comportamento da avaliação da hierarquia de políticas da organização, a restrição de versão do TLS se aplica ao nó de recurso especificado e a todas as pastas e projetos (filhos) dele. Por exemplo, se você negar o TLS 1.0 para uma organização, ele também será negado para todos os filhos que descendem dela.

É possível substituir a restrição de versão do TLS herdada atualizando a política da organização em um recurso filho. Por exemplo, se a política da organização negar o TLS 1.0 no nível da organização, você poderá remover a restrição de uma pasta filha definindo uma política separada nessa pasta. Se a pasta tiver filhos, a política dela também será aplicada a cada recurso filho devido à herança de política.

Para restringir ainda mais a versão do TLS apenas ao TLS 1.3, defina essa política para também restringir a versão 1.2 do TLS. É preciso implementar esse controle em aplicativos hospedados no Google Cloud. Por exemplo, no nível da organização, defina:

["TLS_VERSION_1","TLS_VERSION_1.1","TLS_VERSION_1.2"]

Verifique se apenas as identidades da sua organização são permitidas no ambiente Google Cloud . Use a restrição de política da organização Compartilhamento restrito de domínio (iam.allowedPolicyMemberDomains) ou iam.managed.allowedPolicyMembers para definir um ou mais IDs de cliente do Cloud Identity ou do Google Workspace com principais que podem ser adicionados às políticas do Identity and Access Management (IAM).

Essas restrições ajudam a impedir que os funcionários concedam acesso a contas externas fora do controle da sua organização que não seguem as políticas de segurança para autenticação multifator (MFA) ou gerenciamento de senhas. Esse controle é essencial para evitar o acesso não autorizado e garantir que apenas identidades corporativas confiáveis e gerenciadas possam ser usadas.

A restrição gcp.restrictServiceUsage garante que apenas os serviços aprovados Google Cloud sejam usados nos lugares certos. Por exemplo, uma pasta de produção ou altamente sensível tem uma pequena lista de serviços Google Cloud aprovados para armazenar dados. Uma pasta de sandbox pode ter uma lista maior de serviços e controles de segurança de dados para ajudar a evitar a exfiltração de dados. O valor é específico para seus sistemas e corresponde à sua lista aprovada de serviços e dependências para pastas e projetos específicos.

Com essa restrição, sua organização pode criar uma lista de permissões de serviços aprovados, o que ajuda a impedir que os funcionários usem serviços não testados.

A restrição de local do recurso (gcp.resourceLocations) garante que apenas as regiões Google Cloud aprovadas sejam usadas para armazenar dados. O valor é específico para seus sistemas e corresponde à lista aprovada de regiões da sua organização para residência de dados.

Com essa restrição, sua organização pode garantir que os recursos e dados sejam criados e salvos apenas em regiões geográficas específicas e aprovadas.

A restrição booleana compute.skipDefaultNetworkCreation pula a criação da rede padrão e dos recursos relacionados ao criar projetos Google Cloud .

A rede padrão é uma rede de nuvem privada virtual (VPC) de modo automático com regras de firewall IPv4 já preenchidas para permitir caminhos de comunicação internos. Em geral, essa configuração não é uma postura de segurança recomendada para ambientes de produção.

As extensões de segurança do Sistema de Nomes de Domínio (DNSSEC) são um recurso do Sistema de Nomes de Domínio (DNS) que autentica respostas a pesquisas de nome de domínio. Ela não fornece proteções de privacidade para as pesquisas, mas impede que invasores manipulem ou envenenem as respostas a solicitações de DNS.

No Cloud DNS, ative o DNSSEC nos seguintes locais:

• Zona de DNS
• Domínio de nível superior (TLD)
• Resolução DNS

Para cada perímetro de serviço, confirme no console Google Cloud se o tipo de perímetro está definido como "regular".

Para cada perímetro de serviço, use o Access Context Manager para confirmar se ele está protegendo a API.

A restrição booleana compute.setNewProjectDefaultToZonalDNSOnly permite definir a configuração do DNS interno para que novos projetos usem apenas o DNS zonal. Use o DNS zonal porque ele oferece mais confiabilidade em comparação com zonas individuais, já que isola falhas no registro de DNS .

Se você usa o Cloud Identity, compartilhe os registros de auditoria dele com Google Cloud.

Os registros de auditoria de atividade de administrador do Google Workspace ou do Cloud Identity geralmente são gerenciados e visualizados no Google Admin Console, separadamente dos registros no seu ambiente Google Cloud . Esses registros contêm informações relevantes para seu ambiente do Google Cloud , como eventos de login do usuário.

Recomendamos que você compartilhe os registros de auditoria do Cloud Identity com o ambiente Google Cloud para gerenciar de maneira centralizada registros de todas as fontes.

Os serviços doGoogle Cloud gravam entradas de registro de auditoria para responder quem fez o quê, onde e quando com os recursos do Google Cloud .

Ative a geração de registros de auditoria no nível da organização. É possível configurar o registro em log usando o pipeline que você usa para configurar a organização do Google Cloud .

Os registros de fluxo de VPC registram uma amostra de fluxos de rede enviados e recebidos por instâncias de VM, incluindo aquelas usadas como nós do Google Kubernetes Engine (GKE). A amostra geralmente é de 50% ou menos dos fluxos de rede VPC.

Quando ativados, os registros funcionam em todas as VMs de uma sub-rede. No entanto, é possível reduzir a quantidade de informações gravadas na geração de registros.

Ative os registros de fluxo de VPC para cada sub-rede de VPC. É possível configurar o registro em registros usando um pipeline que você usa para criar um projeto.

Por padrão, as regras de firewall não gravam registros automaticamente.A geração de registros de regras de firewall permite auditar, verificar e analisar os efeitos das suas regras de firewall. Por exemplo, é possível determinar se uma regra de firewall criada para negar tráfego está funcionando conforme o esperado. A geração de registros também é útil quando é preciso determinar quantas conexões são afetadas por uma determinada regra de firewall.

Ative a geração de registros para cada regra de firewall. É possível configurar a geração de registros usando um pipeline que você usa para criar um firewall.

Para rastrear quem acessou dados no seu ambiente Google Cloud , ative os registros de auditoria de acesso a dados. Esses registros gravam chamadas de API que leem, criam ou modificam dados do usuário, bem como chamadas de API que leem configurações de recursos.

Recomendamos ativar os registros de auditoria de acesso a dados para modelos de IA generativa e dados sensíveis para garantir que você possa auditar quem leu as informações. Para usar os registros de auditoria de acesso a dados, configure sua própria lógica de detecção personalizada para atividades específicas, como logins de superadministrador.

O volume de registros de auditoria de acesso a dados pode ser grande. Ativar os registros de acesso a dados pode resultar em uma cobrança no projeto Google Cloud referente ao uso de registros adicionais.

Evite surpresas na sua fatura criando orçamentos do Cloud Billing para monitorar todas as cobranças do Google Cloud em um só lugar. Depois de definir um valor de orçamento, defina regras de limite de alerta de orçamento por projeto para acionar notificações por e-mail. Essas notificações ajudam você a acompanhar os gastos em relação ao orçamento. Também é possível usar os orçamentos do Cloud Billing para automatizar as respostas de controle de custos.

Os registros padrão mostram o que os usuários da sua organização estão fazendo, mas os registros de transparência no acesso mostram o que a equipe de suporte do Google faz ao acessar a conta. Esse acesso geralmente só acontece em resposta a uma solicitação de suporte. Os registros da Transparência no acesso fornecem uma trilha de auditoria completa e verificável de todos os acessos, o que é essencial para atender a requisitos rigorosos de conformidade e governança de dados.

É possível ativar a Transparência no acesso no nível da organização.

Para mais análises de faturamento, exporte Google Cloud dados de faturamento para o BigQuery ou um arquivo JSON. Por exemplo, você pode exportar automaticamente dados detalhados, como uso, estimativas de custo e preços, ao longo do dia para um conjunto de dados do BigQuery especificado. Em seguida, é possível acessar os dados do Cloud Billing pelo BigQuery para análise detalhada ou usar uma ferramenta como o Looker Studio para visualizar seus dados.

Todos os dados em Google Cloud são criptografados em repouso por padrão usando algoritmos aprovados pelo NIST.

Verifique se o Cloud Key Management Service (Cloud KMS) usa apenas algoritmos aprovados pelo NIST para armazenar chaves sensíveis no ambiente. Esse controle garante o uso seguro de chaves apenas por algoritmos e segurança aprovados pelo NIST. O campo CryptoKeyVersionAlgorithm é uma lista de permissões fornecida.

Remova algoritmos que não estejam em conformidade com as políticas da sua organização.

Defina a finalidade das chaves do Cloud KMS como ENCRYPT_DECRYPT para que elas sejam usadas apenas para criptografar e descriptografar dados. Esse controle bloqueia outras funções, como a assinatura, e garante que as chaves sejam usadas apenas para a finalidade pretendida. Se você usa chaves para outras funções, valide esses casos de uso e considere criar chaves adicionais.

O nível de proteção indica como as operações criptográficas são realizadas. Depois de criar uma chave de criptografia gerenciada pelo cliente (CMEK), não é possível mudar o nível de proteção. Os níveis de proteção compatíveis são os seguintes:

• SOFTWARE:as operações criptográficas são realizadas em software.
• HSM:as operações criptográficas são realizadas em um módulo de segurança de hardware (HSM).
• EXTERNO:as operações criptográficas são realizadas usando uma chave armazenada em um gerenciador de chaves externo conectado ao Google Cloud pela Internet. Limitado à criptografia simétrica e à assinatura assimétrica.
• EXTERNAL_VPC::as operações criptográficas são realizadas com uma chave armazenada em um gerenciador de chaves externo conectado a Google Cloud por uma rede de nuvem privada virtual (VPC). Limitado à criptografia simétrica e à assinatura assimétrica.

Verifique se o período de rotação das chaves do Cloud KMS está definido como 90 dias. Uma prática recomendada geral é alternar as chaves de segurança em intervalos regulares. Esse controle exige a rotação de chaves criadas com serviços de HSM.

Ao criar esse período de rotação, também crie políticas e procedimentos adequados para lidar com segurança com a criação, exclusão e modificação de material de chaves. Assim, você ajuda a proteger suas informações e garante a disponibilidade. Verifique se esse período obedece às políticas corporativas de rotação de chaves.

Use a restrição da política da organização Restringir quais projetos podem fornecer CryptoKeys do KMS para CMEK (gcp.restrictCmekCryptoKeyProjects) para definir quais projetos podem armazenar chaves de criptografia gerenciadas pelo cliente (CMEKs). Com essa restrição, é possível centralizar a governança e o gerenciamento das chaves de criptografia. Quando uma chave selecionada não atende a essa restrição, a criação de recursos falha.

Para modificar essa restrição, os administradores precisam do papel do IAM de Administrador da política da organização (roles/orgpolicy.policyAdmin).

Se você quiser adicionar uma segunda camada de proteção, como trazer sua própria chave, mude essa restrição para representar os nomes das chaves da CMEK ativada.

Especificações do produto:

• Na Vertex AI, você armazena as chaves no projeto KEY PROJECTS.

Se você precisar de mais controle sobre as operações de chaves do que o permitido por Google-owned and Google-managed encryption keys , use as chaves de criptografia gerenciadas pelo cliente (CMEKs). Essas chaves são criadas e gerenciadas usando o Cloud KMS. Armazene as chaves como chaves de software, em um cluster do HSM ou em um sistema externo de gerenciamento de chaves.

As taxas de criptografia e descriptografia do Cloud KMS estão sujeitas a cotas.

Especificidades do Cloud Storage

No Cloud Storage, use CMEKs em objetos individuais ou configure os buckets do Cloud Storage para usar uma CMEK por padrão em todos os novos objetos adicionados a um bucket. Ao usar uma CMEK, um objeto é criptografado com a chave pelo Cloud Storage no momento em que é armazenado em um bucket, e o objeto é descriptografado automaticamente pelo Cloud Storage quando o objeto é veiculado aos solicitantes.

As seguintes restrições se aplicam ao usar CMEKs com o Cloud Storage:

• Não é possível atualizar os metadados de um objeto com uma CMEK. Inclua a chave como parte da regravação do objeto.
• O Cloud Storage usa o comando de atualização de objetos para definir chaves de criptografia em objetos, mas o comando reescreve o objeto como parte da solicitação.
• Você precisa criar o keyring do Cloud KMS no mesmo local dos dados que pretende criptografar. Por exemplo, se o bucket estiver localizado em us-east1, qualquer keyring usado para criptografar objetos nesse bucket também precisará ser criado em us-east1.
• Para a maioria das birregiões, você precisa criar o keyring do Cloud KMS na multirregião associada. Por exemplo, se o bucket estiver localizado no par us-east1, us-west1, qualquer keyring usado para criptografar objetos nesse bucket precisará ser criado na multirregião dos EUA.
• Para as regiões birregionais predefinidas asia1, eur4 e nam4, é necessário criar o keyring na mesma região dupla predefinida.
• A soma de verificação CRC32C e o hash MD5 de objetos criptografados com CMEKs não são retornados ao listar objetos com a API JSON.
• Usar ferramentas como o Cloud Storage para realizar solicitações GET de metadados adicionais em cada objeto de criptografia para recuperar as informações CRC32C e MD5 pode reduzir bastante a listagem. O Cloud Storage não pode usar a parte de descriptografia de chaves assimétricas armazenadas no Cloud KMS para descriptografar automaticamente objetos relevantes da mesma maneira que as CMEKs.