Controlli VPC per i casi d'uso dell'AI generativa

Questo documento include le best practice e le linee guida per Virtual Private Cloud (VPC) durante l'esecuzione di carichi di lavoro di AI generativa su Google Cloud. Utilizza VPC con Vertex AI per isolare le tue risorse AI da internet in un ambiente sicuro. Questa configurazione di rete contribuisce a proteggere dati e modelli sensibili da accessi non autorizzati e potenziali attacchi informatici.

Puoi definire regole firewall e controlli dell'accesso granulari all'interno della tua rete VPC per limitare il traffico e consentire solo le connessioni autorizzate a risorse specifiche.

Organizza le risorse Vertex AI in reti VPC separate in base ai requisiti di funzionalità o sicurezza. Questo tipo di organizzazione consente di isolare le risorse e impedisce l'accesso non autorizzato tra progetti o team diversi. Puoi creare reti VPC dedicate per carichi di lavoro sensibili, ad esempio modelli di addestramento con dati riservati, assicurandoti che solo utenti e servizi autorizzati abbiano accesso alla rete.

Puoi utilizzare Cloud VPN o Cloud Interconnect per stabilire una connessione di rete sicura tra la tua infrastruttura on-premise e il tuo ambiente Vertex AI. Cloud VPN o Cloud Interconnect consentono il trasferimento e la comunicazione senza interruzioni dei dati tra la tua rete privata e le risorse Google Cloud . Prendi in considerazione questa integrazione per scenari come l'accesso ai dati on-premise per l'addestramento del modello o il deployment di modelli su risorse on-premise per l'inferenza.

Controlli VPC obbligatori

Quando utilizzi VPC, ti consigliamo vivamente di utilizzare i seguenti controlli.

Bloccare la creazione della rete predefinita

ID controllo Google	VPC-CO-6.1
Categoria	Obbligatorio
Descrizione	Il vincolo booleano compute.skipDefaultNetworkCreation ignora la creazione della rete predefinita e delle risorse correlate durante la creazione dei progetti Google Cloud . Per impostazione predefinita, viene creata automaticamente una rete con regole firewall e configurazioni di rete che potrebbero non essere considerate sicure.
Prodotti applicabili	Servizio Policy dell'organizzazione Virtual Private Cloud (VPC)
Percorso	constraints/compute.skipDefaultNetworkCreation
Valore	True
Tipo	Booleano
Controlli NIST-800-53 correlati	SC-7 SC-8
Controlli del profilo CRI correlati	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Informazioni correlate	Vincoli delle policy dell'organizzazione

Definisci l'elenco delle istanze VM a cui sono consentiti indirizzi IP esterni

ID controllo Google	VPC-CO-6.2
Categoria	Obbligatorio
Descrizione	Il vincolo dell'elenco compute.vmExternalIpAccess definisce l'insieme di istanze VM di Compute Engine che possono avere indirizzi IP esterni. Questo vincolo non è retroattivo.
Prodotti applicabili	Servizio Policy dell'organizzazione Virtual Private Cloud (VPC) Compute Engine
Percorso	constraints/compute.vmExternalIpAccess
Operatore	=
Valore	The list of VM instances in your organization that can have external IP addresses.
Tipo	Elenco
Controlli NIST-800-53 correlati	SC-7 SC-8
Controlli del profilo CRI correlati	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Informazioni correlate	Limita gli indirizzi IP esterni a istanze specifiche

Definisci le istanze VM che possono abilitare l'IP forwarding

ID controllo Google	VPC-CO-6.3
Categoria	Obbligatorio
Descrizione	Il vincolo compute.vmCanIpForward definisce le istanze VM che possono abilitare l'inoltro IP. Per impostazione predefinita, qualsiasi VM può abilitare il forwarding IP in qualsiasi rete virtuale. Specifica le istanze VM utilizzando uno dei seguenti formati: under:organizations/ORGANIZATION_ID under:folders/FOLDER_ID under:projects/PROJECT_ID projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME. Questo vincolo non è retroattivo.
Prodotti applicabili	Servizio Policy dell'organizzazione Virtual Private Cloud (VPC) Compute Engine
Percorso	constraints/compute.vmCanIpForward
Operatore	=
Valore	Your list of VM instances that can enable IP forwarding.
Tipo	Elenco
Controlli NIST-800-53 correlati	SC-7 SC-8
Controlli del profilo CRI correlati	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Informazioni correlate	Consigli Abilita l'IP forwarding per le istanze

Disattiva la virtualizzazione nidificata della VM

ID controllo Google	VPC-CO-6.6
Categoria	Obbligatorio
Descrizione	Il vincolo booleano compute.disableNestedVirtualization disattiva la virtualizzazione nidificata con accelerazione hardware per le VM Compute Engine.
Prodotti applicabili	Servizio Policy dell'organizzazione Virtual Private Cloud (VPC) Compute Engine
Percorso	constraints/compute.disableNestedVirtualization
Operatore	Is
Valore	True
Tipo	Booleano
Controlli NIST-800-53 correlati	SC-7 SC-8
Controlli del profilo CRI correlati	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
Informazioni correlate	Gestire il vincolo di virtualizzazione nidificata

Passaggi successivi

• Scopri di più sulle best practice e sulle linee guida per la sicurezza diGoogle Cloud per i carichi di lavoro di AI generativa.