Controles de VPC para casos de uso de IA generativa

En este documento, se incluyen las prácticas recomendadas y los lineamientos para la nube privada virtual (VPC) cuando se ejecutan cargas de trabajo de IA generativa enGoogle Cloud. Usa la VPC con Vertex AI para aislar tus recursos de IA de Internet en un entorno seguro. Esta configuración de red ayuda a proteger los datos y modelos sensibles del acceso no autorizado y posibles ciberataques.

Puedes definir reglas de firewall detalladas y controles de acceso dentro de tu red de VPC para restringir el tráfico y permitir solo las conexiones autorizadas a recursos específicos.

Organiza tus recursos de Vertex AI en redes de VPC independientes según los requisitos de seguridad o de función. Este tipo de organización ayuda a aislar los recursos y evita el acceso no autorizado entre diferentes proyectos o equipos. Puedes crear redes de VPC dedicadas para cargas de trabajo sensibles, como el entrenamiento de modelos con datos confidenciales, y asegurarte de que solo los usuarios y servicios autorizados tengan acceso a la red.

Puedes usar Cloud VPN o Cloud Interconnect para establecer una conexión de red segura entre tu infraestructura local y tu entorno de Vertex AI. Cloud VPN o Cloud Interconnect ayudan a habilitar la transferencia y la comunicación de datos sin problemas entre tu red privada y los recursos de Google Cloud . Considera esta integración para situaciones como acceder a datos locales para el entrenamiento de modelos o implementar modelos en recursos locales para la inferencia.

Controles de VPC obligatorios

Se recomienda encarecidamente usar los siguientes controles cuando se usa la VPC.

Bloquea la creación de la red predeterminada

ID de control de Google	VPC-CO-6.1
Categoría	Obligatorio
Descripción	La restricción booleana compute.skipDefaultNetworkCreation omite la creación de la red predeterminada y los recursos relacionados cuando se crean proyectos Google Cloud . De forma predeterminada, se crea automáticamente una red con reglas de firewall y parámetros de configuración de red que podrían no considerarse seguros.
Productos aplicables	Servicio de políticas de la organización Nube privada virtual (VPC)
Ruta	constraints/compute.skipDefaultNetworkCreation
Valor	True
Tipo	Booleano
Controles relacionados de NIST-800-53	SC-7 SC-8
Controles relacionados del perfil de CRI	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Información relacionada	Restricciones de las políticas de la organización

Define una lista de instancias de VM que tienen permitidas direcciones IP externas

ID de control de Google	VPC-CO-6.2
Categoría	Obligatorio
Descripción	La restricción de lista compute.vmExternalIpAccess define el conjunto de instancias de VM de Compute Engine que pueden tener direcciones IP externas. Esta restricción no es retroactiva.
Productos aplicables	Servicio de políticas de la organización Nube privada virtual (VPC) Compute Engine
Ruta	constraints/compute.vmExternalIpAccess
Operador	=
Valor	The list of VM instances in your organization that can have external IP addresses.
Tipo	Lista
Controles relacionados de NIST-800-53	SC-7 SC-8
Controles relacionados del perfil de CRI	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Información relacionada	Restringe direcciones IP externas a instancias específicas

Define instancias de VM que pueden habilitar el reenvío de IP

ID de control de Google	VPC-CO-6.3
Categoría	Obligatorio
Descripción	La restricción compute.vmCanIpForward define las instancias de VM que pueden habilitar el reenvío de IP. De forma predeterminada, cualquier VM puede habilitar el reenvío de IP en cualquier red virtual. Especifica las instancias de VM con uno de los siguientes formatos: under:organizations/ORGANIZATION_ID under:folders/FOLDER_ID under:projects/PROJECT_ID projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME Esta restricción no es retroactiva.
Productos aplicables	Servicio de políticas de la organización Nube privada virtual (VPC) Compute Engine
Ruta	constraints/compute.vmCanIpForward
Operador	=
Valor	Your list of VM instances that can enable IP forwarding.
Tipo	Lista
Controles relacionados de NIST-800-53	SC-7 SC-8
Controles relacionados del perfil de CRI	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Información relacionada	Recomendaciones Habilita el reenvío de IP para instancias

Inhabilita la virtualización anidada de VM

ID de control de Google	VPC-CO-6.6
Categoría	Obligatorio
Descripción	La restricción booleana compute.disableNestedVirtualization inhabilita la virtualización anidada por aceleración de hardware para las VMs de Compute Engine.
Productos aplicables	Servicio de políticas de la organización Nube privada virtual (VPC) Compute Engine
Ruta	constraints/compute.disableNestedVirtualization
Operador	Is
Valor	True
Tipo	Booleano
Controles relacionados de NIST-800-53	SC-7 SC-8
Controles relacionados del perfil de CRI	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Información relacionada	Administra la restricción de virtualización anidada

¿Qué sigue?

• Consulta más Google Cloud prácticas recomendadas y lineamientos de seguridad para las cargas de trabajo de IA generativa.