Puedes usar las Google Cloud prácticas recomendadas y los lineamientos de seguridad para la IA generativa para descubrir e implementar funciones de seguridad para tus cargas de trabajo de IA generativa y los servicios compatibles en Google Cloud.
Las prácticas recomendadas de seguridad son una guía complementaria de Google para las prácticas de seguridad y reglamentarias existentes en industrias como el sector de servicios financieros. Las Google Cloud prácticas recomendadas y los lineamientos se enfocan en los controles de seguridad de cargas de trabajo fundamentales y las consideraciones únicas que son específicas de las cargas de trabajo de IA generativa.
El objetivo de estas prácticas recomendadas de seguridad es ayudar a los directores de seguridad de la información (CISO), los profesionales de seguridad y los responsables de riesgos y cumplimiento a adoptar e implementar cargas de trabajo en Google Cloud, mientras se enfocan en la seguridad y el cumplimiento. Alineamos nuestras recomendaciones con los requisitos de los frameworks del Instituto Nacional de Estándares y Tecnología (NIST) 800-53 y del Cyber Risk Institute (CRI).
Estas prácticas recomendadas también admiten el modelo de destino compartido, en el que nos esforzamos por colaborar con las industrias para crear una infraestructura de nube más segura y resistente para varias cargas de trabajo. El modelo de destino compartido incluye la implementación, las operaciones y la transferencia de riesgos. Por lo tanto, estas recomendaciones se enfocan en la implementación y las operaciones de las cargas de trabajo, en particular en relación con el cumplimiento.
Entendemos que implementar el cumplimiento y la seguridad no es un ejercicio sencillo. Si necesitas más ayuda, comunícate Google Cloud con el equipo de seguridad.
Estructura de las prácticas recomendadas de seguridad
Las prácticas recomendadas de seguridad se estructuran como controles que puedes revisar e implementar. Cada control está diseñado para abordar un nivel diferente de la pila de IA. Estos niveles son los siguientes:
- Base empresarial segura: Es la capa principal para la autenticación, la administración de acceso, la organización, las redes, la administración de claves, la administración de secretos, el registro, la supervisión, las alertas, el análisis de seguridad y las operaciones de agentes.
- Infraestructura de IA: Es la capa para contenedores, procesamiento y TPU.
- Investigación y modelos: Es la capa para el desarrollo de modelos y la protección activa de modelos.
- Administración y contexto de datos: Es la capa para almacenes de datos, almacenamiento, bases de datos y administración de datos sensibles.
- Herramientas y plataforma de inferencia: Es la capa para la plataforma de agentes, incluidos los Model Garden, los Model Builder y los Agent Builder.
- Agentes y aplicaciones: Es la capa para Gemini Enterprise, Google Workspace, las aplicaciones de IA y otros controles de software.
En el siguiente diagrama, se muestra cómo se apilan estos niveles entre sí.
Los controles se estructuran de la siguiente manera:
Funciones recomendadas de Identity and Access Management (IAM) roles: Recomendaciones para las funciones de IAM que se deben asignar a los grupos de usuarios de tu organización.
Controles de base empresarial segura:Estas prácticas recomendadas te permiten crear una base segura para las cargas de trabajo de IA generativa enGoogle Cloud.
Controles de infraestructura: Estas prácticas recomendadas te permiten aplicar controles de seguridad al procesamiento, los contenedores, y los aceleradores a las cargas de trabajo de IA generativa.
Controles de administración de datos:Estas prácticas recomendadas te permiten aplicar controles de seguridad a los almacenes de datos y al almacenamiento de datos que usas con las cargas de trabajo de IA generativa.
Controles de herramientas y de inferencia:Estas prácticas recomendadas te permiten aplicar controles de seguridad a los componentes de Vertex AI.
Controles de agentes y aplicaciones: Estas prácticas recomendadas te permiten aplicar controles de seguridad a las aplicaciones que usan IA generativa.
Cada recomendación es auditable y garantiza que se cumpla una línea de base de los controles de seguridad.
Niveles de implementación de control
Los niveles de implementación de control son Obligatorio, Recomendado o Opcional. Los niveles ayudan a identificar las actividades clave que te recomendamos que realices, las actividades que te recomendamos que consideres y las actividades que puedes considerar según tus requisitos y objetivos específicos.
En la siguiente tabla, se describen estos niveles.
| Nivel de implementación | Descripción |
|---|---|
Obligatorio |
Implementa estos lineamientos para tu Google Cloud entorno. |
Recomendado |
Implementa estos lineamientos según casos de uso, como la supervisión de datos sensibles dentro de las cargas de trabajo de IA generativa si tu entorno incluye ese tipo de datos. |
Opcional |
Considera lineamientos adicionales según tu caso de uso y tu tolerancia al riesgo. |