Sichere Unternehmensgrundlagen für Anwendungsfälle für generative KI

Verwenden Sie die boolesche Einschränkung automaticIamGrantsForDefaultServiceAccounts, um automatische Rollenzuweisungen zu deaktivieren, wenn Google Cloud Dienste automatisch Standarddienstkonten mit zu umfangreichen Rollen erstellen.

Standardmäßig gewähren einige Systeme automatisierten Konten zu weitreichende Berechtigungen, was ein potenzielles Sicherheitsrisiko darstellt. Wenn Sie diese Einschränkung beispielsweise nicht erzwingen und ein Standarddienstkonto erstellen, erhält das Dienstkonto automatisch die Rolle „Bearbeiter“ (roles/editor) für Ihr Projekt. Wenn ein Angreifer einen einzelnen Teil des Systems manipuliert, kann er die Kontrolle über das gesamte Projekt erlangen. Diese Einschränkung deaktiviert diese automatischen Berechtigungen auf hoher Ebene und erzwingt einen sichereren, bewussten Ansatz, bei dem nur die minimal erforderlichen Berechtigungen gewährt werden.

Mit der booleschen Einschränkung iam.disableServiceAccountKeyCreation können Sie verhindern, dass externe Dienstkontoschlüssel erstellt werden. Mit dieser Einschränkung können Sie die Verwendung von nicht verwalteten, langfristigen Anmeldedaten für Dienstkonten steuern. Wenn diese Einschränkung festgelegt ist, können Sie keine von Nutzern verwalteten Anmeldedaten für Dienstkonten in Projekten erstellen, die von der Einschränkung betroffen sind.

Mit der booleschen Einschränkung iam.disableServiceAccountKeyUpload können Sie das Hochladen externer öffentlicher Schlüssel in Dienstkonten deaktivieren. Wenn diese Einschränkung festgelegt ist, können Nutzer keine öffentlichen Schlüssel in Dienstkonten in Projekten hochladen, die von der Einschränkung betroffen sind.

Google empfiehlt Titan-Sicherheitsschlüssel für die 2‑Faktor-Authentifizierung (2FA) für Super Admin-Konten. Für Anwendungsfälle, in denen dies nicht möglich ist, empfehlen wir jedoch, stattdessen einen anderen Sicherheitsschlüssel zu verwenden.

Erzwingen Sie die 2‑Faktor-Authentifizierung (2FA) für eine bestimmte Organisationseinheit oder die gesamte Organisation. Wir empfehlen, eine OE für Super Admins zu erstellen und die 2FA für diese OE zu erzwingen.

Es gibt keinen einzelnen Super Admin oder Organisationsadministrator. Erstellen Sie ein oder mehrere (bis zu 20) Administrator-Sicherungskonten. Wenn es nur einen Super Admin oder Organisationsadministrator gibt, kann es zu Aussperrungen kommen. Diese Situation birgt auch ein höheres Risiko, da eine Person plattformverändernde Änderungen vornehmen kann, möglicherweise ohne Aufsicht.

Mit Tags können Sie Annotationen für Ressourcen erstellen und in einigen Fällen Richtlinien je nachdem, ob eine Ressource ein bestimmtes Tag hat, zulassen oder ablehnen. Tags und die bedingte Erzwingung von Richtlinien ermöglichen Ihnen, die Ressourcenhierarchie genau zu steuern.

Mit Cloud-Audit-Logs können Sie Aktivitäten mit hohem Risiko überwachen, z. B. wenn Konten Rollen mit hohem Risiko wie „Administrator der Organisation“ und „Super Admin“ zugewiesen werden. Richten Sie Benachrichtigungen für diese Art von Aktivität ein.

Um zu umfangreichen Zugriff auf Google Cloudzu vermeiden, blockieren Sie den Zugriff auf Cloud Shell für von Cloud Identity verwaltete Nutzerkonten.

Mit dem kontextsensitiven Zugriff können Sie detaillierte Sicherheitsrichtlinien für Anwendungen auf Grundlage von Attributen wie Nutzer-ID, Standort, Sicherheitsstatus des Geräts oder IP-Adresse erstellen, mit denen sich die Zugriffssteuerung steuern lässt. Wir empfehlen, den Zugriff auf die Google Cloud -Konsole (https://console.cloud.google.com/) und die Google Admin-Konsole (https://admin.cloud.google.com) mit dem kontextsensitiven Zugriff einzuschränken.

Google Cloud unterstützt mehrere TLS-Protokollversionen. Um Compliance-Anforderungen zu erfüllen, sollten Sie Handshake-Anfragen von Clients, die ältere TLS-Versionen verwenden, ablehnen.

Verwenden Sie zum Konfigurieren dieses Steuerelements die Einschränkung der Organisationsrichtlinie TLS-Versionen einschränken (gcp.restrictTLSVersion). Sie können diese Einschränkung auf Organisationen, Ordner oder Projekte in der Ressourcenhierarchie anwenden. Für die Einschränkung TLS-Versionen einschränken wird eine Sperrliste verwendet, in der explizite Werte abgelehnt und alle anderen zugelassen werden. Wenn Sie versuchen, eine Zulassungsliste zu verwenden, tritt ein Fehler auf.

Aufgrund der hierarchischen Auswertung von Organisationsrichtlinien gilt die Einschränkung der TLS-Version für den angegebenen Ressourcenknoten und alle zugehörigen Ordner und Projekte (untergeordnete Elemente). Wenn Sie beispielsweise die TLS-Version 1.0 für eine Organisation ablehnen, wird diese auch für alle untergeordneten Elemente abgelehnt, die von dieser Organisation abstammen.

Sie können die übernommene TLS-Versionsbeschränkung überschreiben, indem Sie die Organisationsrichtlinie für eine untergeordnete Ressource aktualisieren. Wenn in Ihrer Organisationsrichtlinie beispielsweise TLS 1.0 auf Organisationsebene abgelehnt wird, können Sie die Einschränkung für einen untergeordneten Ordner entfernen, indem Sie eine separate Organisationsrichtlinie für diesen Ordner festlegen. Wenn der Ordner untergeordnete Elemente hat, wird die Richtlinie des Ordners aufgrund der Richtlinienübernahme auch auf jede untergeordnete Ressource angewendet.

Wenn Sie die TLS-Version weiter auf TLS 1.3 beschränken möchten, können Sie diese Richtlinie so festlegen, dass auch TLS-Version 1.2 eingeschränkt wird. Sie müssen diese Steuerung in Anwendungen implementieren, die Sie in Google Cloudhosten. Legen Sie beispielsweise auf Organisationsebene Folgendes fest:

["TLS_VERSION_1","TLS_VERSION_1.1","TLS_VERSION_1.2"]

Sorgen Sie dafür, dass nur Identitäten aus Ihrer Organisation in Ihrer Google Cloud Umgebung zugelassen sind. Verwenden Sie die Organisationsrichtlinieneinschränkung Domaineingeschränkte Freigabe (iam.allowedPolicyMemberDomains) oder iam.managed.allowedPolicyMembers, um mindestens eine Cloud Identity- oder Google Workspace-Kundennummer zu definieren, deren Prinzipale IAM-Richtlinien (Identity and Access Management) hinzugefügt werden können.

Diese Einschränkungen helfen, zu verhindern, dass Mitarbeiter Zugriff auf externe Konten gewähren, die nicht der Kontrolle Ihrer Organisation unterliegen und nicht Ihren Sicherheitsrichtlinien für die Multi-Faktor-Authentifizierung (MFA) oder die Passwortverwaltung entsprechen. Diese Einstellung ist entscheidend, um unbefugten Zugriff zu verhindern und dafür zu sorgen, dass nur vertrauenswürdige, verwaltete Unternehmensidentitäten verwendet werden können.

Die Einschränkung gcp.restrictServiceUsagesorgt dafür, dass nur Ihre genehmigten Google Cloud Dienste an den richtigen Stellen verwendet werden. Beispiel: Ein Produktions- oder sehr vertraulicher Ordner hat eine kleine Liste von Google Cloud Diensten, die zum Speichern von Daten zugelassen sind. Ein Sandbox-Ordner kann eine längere Liste von Diensten und zugehörigen Datensicherheitskontrollen enthalten, um Daten-Exfiltration zu verhindern. Der Wert ist spezifisch für Ihre Systeme und entspricht Ihrer genehmigten Liste von Diensten und Abhängigkeiten für bestimmte Ordner und Projekte.

Mit dieser Einschränkung kann Ihre Organisation eine Zulassungsliste mit genehmigten Diensten erstellen, um zu verhindern, dass Mitarbeiter nicht geprüfte Dienste verwenden.

Die Einschränkung für Ressourcenstandorte (gcp.resourceLocations) sorgt dafür, dass nur Ihre genehmigten Google Cloud Regionen zum Speichern von Daten verwendet werden. Der Wert ist spezifisch für Ihre Systeme und entspricht der genehmigten Liste der Regionen für den Datenstandort Ihrer Organisation.

Mit dieser Einschränkung kann Ihre Organisation erzwingen, dass Ihre Ressourcen und Daten nur in bestimmten, genehmigten geografischen Regionen erstellt und gespeichert werden.

Die boolesche Einschränkung compute.skipDefaultNetworkCreation überspringt die Erstellung des Standardnetzwerks und der zugehörigen Ressourcen beim Erstellen von Google Cloud Projekten.

Das Standardnetzwerk ist ein VPC-Netzwerk (Virtual Private Cloud) im automatischen Modus mit vorkonfigurierten IPv4-Firewallregeln, die interne Kommunikationspfade zulassen. Im Allgemeinen ist diese Einrichtung keine empfohlene Sicherheitskonfiguration für Produktionsumgebungen.

DNSSEC (Domain Name System Security Extensions) ist ein Feature des Domain Name System (DNS), mit dem Antworten auf Domainnamenabfragen authentifiziert werden können. Sie bietet keinen Datenschutz für diese Suchvorgänge, verhindert jedoch, dass Angreifer die Antworten auf DNS-Anfragen verfälschen oder manipulieren.

Aktivieren Sie DNSSEC in Cloud DNS an den folgenden Stellen:

• DNS-Zone
• Top-Level-Domain (TLD)
• DNS-Auflösung

Prüfen Sie für jeden Dienstperimeter in der Google Cloud Konsole, ob der Perimetertyp auf „Regulär“ festgelegt ist.

Verwenden Sie Access Context Manager, um für jeden Dienstperimeter zu bestätigen, dass der Perimeter die API schützt.

Mit der booleschen Einschränkung compute.setNewProjectDefaultToZonalDNSOnly können Sie die interne DNS-Einstellung für neue Projekte so festlegen, dass nur zonales DNS verwendet wird. Verwenden Sie zonales DNS, da es im Vergleich zu einzelnen Zonen eine höhere Zuverlässigkeit bietet, weil Fehler bei der DNS-Registrierung isoliert werden .

Wenn Sie Cloud Identity verwenden, geben Sie Audit-Logs aus Cloud Identity für Google Cloudfrei.

Audit-Logs zur Administratoraktivität von Google Workspace oder Cloud Identity werden normalerweise in der Google Admin-Konsole verwaltet und angezeigt, separat von Ihren Logs in der Google Cloud -Umgebung. Diese Logs enthalten Informationen, die für Ihre Google Cloud Umgebung relevant sind, z. B. Nutzeranmeldeereignisse.

Wir empfehlen, Cloud Identity-Audit-Logs für Ihre Google Cloud Umgebung freizugeben, um Logs aus allen Quellen zentral zu verwalten.

Google Cloud -Dienste schreiben Audit-Logeinträge, um die Frage zu beantworten, wer was, wo und wann mit Google Cloud -Ressourcen getan hat.

Aktivieren Sie das Audit-Logging auf Organisationsebene. Sie können das Logging mit der Pipeline konfigurieren, die Sie zum Einrichten der Google Cloud -Organisation verwenden.

In VPC-Flusslogs wird eine Stichprobe von Netzwerkflüssen erfasst, die von VM-Instanzen gesendet und empfangen werden, darunter Instanzen, die als Google Kubernetes Engine-Knoten (GKE) verwendet werden. Die Stichprobe beträgt in der Regel 50% oder weniger der VPC-Netzwerkflüsse.

Wenn Sie VPC-Fluss-Logs aktivieren, aktivieren Sie Logging für alle VMs in einem Subnetz. Sie können jedoch die Menge der in Logging geschriebenen Informationen reduzieren.

Aktivieren Sie VPC-Flusslogs für jedes VPC-Subnetz. Sie können die Protokollierung mit einer Pipeline konfigurieren, mit der Sie ein Projekt erstellen.

Standardmäßig werden durch Firewallregeln nicht automatisch Logs geschrieben.Mit dem Logging von Firewallregeln können Sie die Auswirkungen Ihrer Firewallregeln überwachen, überprüfen und analysieren. Sie können beispielsweise feststellen, ob eine Firewallregel, die Traffic abweisen soll, wie vorgesehen funktioniert. Logging ist auch nützlich, wenn Sie ermitteln möchten, wie viele Verbindungen von einer bestimmten Firewallregel betroffen sind.

Aktivieren Sie das Logging für jede Firewallregel. Sie können das Logging mit einer Pipeline konfigurieren, mit der Sie eine Firewall erstellen.

Wenn Sie nachverfolgen möchten, wer auf Daten in Ihrer Google Cloud -Umgebung zugegriffen hat, aktivieren Sie Audit-Logs zum Datenzugriff. In diesen Logs werden API-Aufrufe aufgezeichnet, mit denen Nutzerdaten gelesen, erstellt oder geändert werden, sowie API-Aufrufe, mit denen Ressourcenkonfigurationen gelesen werden.

Wir empfehlen dringend, Audit-Logs zum Datenzugriff für generative KI-Modelle und sensible Daten zu aktivieren, damit Sie prüfen können, wer die Informationen gelesen hat. Wenn Sie Audit-Logs zum Datenzugriff verwenden möchten, müssen Sie Ihre eigene benutzerdefinierte Erkennungslogik für bestimmte Aktivitäten wie Super Admin-Anmeldungen einrichten.

Audit-Logs zum Datenzugriff können sehr groß sein. Durch Aktivieren von Datenzugriffslogs können Gebühren für die zusätzliche Lognutzung im Google Cloud -Projekt anfallen.

Sie können Cloud Billing-Budgets erstellen, um alle Google Cloud -Gebühren zentral zu überwachen. Damit verhindern Sie, dass Ihre Kosten den Rahmen sprengen. Nachdem Sie einen Budgetbetrag festgelegt haben, legen Sie projektbezogene Schwellenwertregelungen für die Budgetbenachrichtigungen fest, die zum Auslösen von E-Mail-Benachrichtigungen verwendet werden. Mithilfe dieser Benachrichtigungen können Sie Ihre Ausgaben im Verhältnis zu Ihrem Budget im Blick behalten. Mit Cloud Billing-Budgets können Sie auch die Antworten zur Kostenkontrolle automatisieren.

In Standard-Logs sehen Sie, was die Nutzer Ihrer Organisation tun. In Access Transparency-Logs sehen Sie, was Google-Supportmitarbeiter tun, wenn sie auf das Konto zugreifen. Dieser Zugriff erfolgt in der Regel nur als Reaktion auf eine Supportanfrage. Access Transparency-Logs bieten einen vollständigen und überprüfbaren Audit-Trail für alle Zugriffe, was für die Einhaltung strenger Compliance- und Data Governance-Anforderungen unerlässlich ist.

Sie können Access Transparency auf Organisationsebene aktivieren.

Für weitere Abrechnungsanalysen können Sie Google Cloud Abrechnungsdaten in BigQuery oder eine JSON-Datei exportieren. Sie können beispielsweise detaillierte Daten wie Nutzung, Kostenschätzungen und Preise den ganzen Tag automatisch in ein von Ihnen festgelegtes BigQuery-Dataset exportieren. Anschließend haben Sie die Möglichkeit, über BigQuery auf Ihre Cloud Billing-Daten zuzugreifen und eine detaillierte Analyse auszuführen oder mit einem Tool wie Data Studio Daten zu visualisieren.

Alle Daten in Google Cloud werden standardmäßig mit NIST-genehmigten Algorithmen verschlüsselt.

Achten Sie darauf, dass im Cloud Key Management Service (Cloud KMS) nur von NIST genehmigte Algorithmen zum Speichern vertraulicher Schlüssel in der Umgebung verwendet werden. Diese Steuerung sorgt für eine sichere Schlüsselverwendung, indem nur NIST-genehmigte Algorithmen und Sicherheitsmaßnahmen verwendet werden. Das Feld CryptoKeyVersionAlgorithm ist eine bereitgestellte Zulassungsliste.

Entfernen Sie Algorithmen, die nicht den Richtlinien Ihrer Organisation entsprechen.

Legen Sie den Zweck für Cloud KMS-Schlüssel auf ENCRYPT_DECRYPT fest, damit Schlüssel nur zum Ver- und Entschlüsseln von Daten verwendet werden. Diese Steuerung blockiert andere Funktionen wie das Signieren und sorgt dafür, dass Schlüssel nur für den vorgesehenen Zweck verwendet werden. Wenn Sie Schlüssel für andere Funktionen verwenden, sollten Sie diese Anwendungsfälle validieren und in Erwägung ziehen, zusätzliche Schlüssel zu erstellen.

Das Schutzniveau gibt an, wie kryptografische Vorgänge ausgeführt werden. Nachdem Sie einen kundenverwalteten Verschlüsselungsschlüssel (CMEK) erstellt haben, können Sie das Schutzniveau nicht mehr ändern. Folgende Schutzniveaus werden unterstützt:

• SOFTWARE:Kryptografische Vorgänge werden in Software ausgeführt.
• HSM:Kryptografische Vorgänge werden in einem Hardware-Sicherheitsmodul (HSM) ausgeführt.
• EXTERN:Kryptografische Vorgänge werden mit einem Schlüssel ausgeführt, der in einem externen Schlüsselverwaltungssystem gespeichert ist, das über das Internet mit Google Cloud verbunden ist. Auf symmetrische Verschlüsselung und asymmetrische Signierung beschränkt.
• EXTERNAL_VPC::Kryptografische Vorgänge werden mit einem Schlüssel ausgeführt, der in einem externen Schlüsselverwaltungssystem gespeichert ist, das über ein VPC-Netzwerk (Virtual Private Cloud) mit Google Cloud verbunden ist. Auf symmetrische Verschlüsselung und asymmetrische Signierung beschränkt.

Achten Sie darauf, dass der Rotationszeitraum Ihrer Cloud KMS-Schlüssel auf 90 Tage festgelegt ist. Es empfiehlt sich, Ihre Sicherheitsschlüssel in regelmäßigen Abständen zu rotieren. Mit dieser Steuerung wird die Schlüsselrotation für Schlüssel erzwungen, die mit HSM-Diensten erstellt werden.

Wenn Sie diesen Rotationszeitraum erstellen, sollten Sie auch geeignete Richtlinien und Verfahren für die sichere Erstellung, Löschung und Änderung von Schlüsselmaterial erstellen, damit Sie Ihre Informationen schützen und die Verfügbarkeit sicherstellen können. Achten Sie darauf, dass dieser Zeitraum den Unternehmensrichtlinien für die Schlüsselrotation entspricht.

Mit der Einschränkung für Organisationsrichtlinien Einschränken, welche Projekte KMS-CryptoKeys für CMEK bereitstellen können (gcp.restrictCmekCryptoKeyProjects) können Sie definieren, in welchen Projekten kundenverwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEKs) gespeichert werden können. Mit dieser Einschränkung können Sie die Verwaltung von Verschlüsselungsschlüsseln zentralisieren. Wenn ein ausgewählter Schlüssel diese Einschränkung nicht erfüllt, schlägt die Ressourcenerstellung fehl.

Zum Ändern dieser Einschränkung benötigen Administratoren die IAM-Rolle Administrator für Organisationsrichtlinien (roles/orgpolicy.policyAdmin).

Wenn Sie eine zweite Schutzebene hinzufügen möchten, z. B. „Bring Your Own Key“, ändern Sie diese Beschränkung so, dass sie die Schlüsselnamen des aktivierten CMEK enthält.

Produktspezifische Informationen:

• In der Gemini Enterprise Agent Platform speichern Sie Ihre Schlüssel im Projekt KEY PROJECTS.

Wenn Sie mehr Kontrolle über Schlüsselvorgänge benötigen, als Google-owned and Google-managed encryption keys zulässt, können Sie kundenverwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEKs) verwenden. Diese Schlüssel werden mit Cloud KMS erstellt und verwaltet. Speichern Sie die Schlüssel als Softwareschlüssel, in einem HSM-Cluster oder in einem externen Schlüsselverwaltungssystem.

Verschlüsselungs- und Entschlüsselungsraten für Cloud KMS unterliegen Kontingenten.

Cloud Storage-Besonderheiten

In Cloud Storage können Sie CMEKs für einzelne Objekte verwenden oder Ihre Cloud Storage-Buckets so konfigurieren, dass ein CMEK standardmäßig für alle neuen Objekte verwendet wird, die einem Bucket hinzugefügt werden. Wenn Sie einen vom Kunden verwalteten Verschlüsselungsschlüssel verwenden, wird ein Objekt von Cloud Storage zum Zeitpunkt der Speicherung in einem Bucket mit dem Schlüssel verschlüsselt. Das Objekt wird während der Speicherung automatisch von Cloud Storage entschlüsselt, wenn es für Anfragende bereitgestellt wird.

Bei der Verwendung von CMEKs mit Cloud Storage gelten die folgenden Einschränkungen:

• Sie können ein Objekt nicht mit einem CMEK verschlüsseln, indem Sie seine Metadaten aktualisieren. Fügen Sie den Schlüssel stattdessen hinzu, während Sie das Objekt neu schreiben.
• Cloud Storage verwendet den Befehl zum Aktualisieren von Objekten, um Verschlüsselungsschlüssel für Objekte festzulegen, aber der Befehl schreibt das Objekt als Teil der Anfrage neu.
• Sie müssen den Cloud KMS-Schlüsselbund am selben Ort wie die Daten erstellen, die Sie verschlüsseln möchten. Wenn sich Ihr Bucket beispielsweise in us-east1 befindet, muss jeder Schlüsselbund, der zum Verschlüsseln von Objekten in diesem Bucket verwendet wird, ebenfalls in us-east1 erstellt werden.
• Für die meisten Dual-Regionen müssen Sie den Cloud KMS-Schlüsselbund in der zugehörigen Multiregion erstellen. Wenn sich Ihr Bucket beispielsweise im Paar us-east1, us-west1 befindet, muss jeder Schlüsselbund, der zum Verschlüsseln von Objekten in diesem Bucket verwendet wird, in der Multiregion USA erstellt werden.
• Für die vordefinierten Dual-Regionen asia1, eur4 und nam4 müssen Sie den Schlüsselbund in derselben vordefinierten Dual-Region erstellen.
• Die CRC32C-Prüfsumme und der MD5-Hash von Objekten, die mit CMEKs verschlüsselt sind, werden nicht zurückgegeben, wenn Objekte mit der JSON API aufgelistet werden.
• Wenn Sie Tools wie Cloud Storage verwenden, um zusätzliche Metadatenanfragen GET für jedes Verschlüsselungsobjekt auszuführen, um die CRC32C- und MD5-Informationen abzurufen, kann die Auflistung wesentlich kürzer sein. Cloud Storage kann den Entschlüsselungsabschnitt von asymmetrischen Schlüsseln, die in Cloud KMS gespeichert sind, nicht verwenden, um relevante Objekte automatisch auf dieselbe Weise zu entschlüsseln wie CMEKs.