Puoi utilizzare Google Cloud le best practice e le linee guida per la sicurezza dell' AI generativa per scoprire e implementare funzionalità di sicurezza per i workload di AI generativa e i servizi di supporto su Google Cloud.
Le best practice per la sicurezza sono una guida supplementare basata su Google alle pratiche normative e di sicurezza esistenti in settori come quello dei servizi finanziari. Le Google Cloud best practice e le linee guida si concentrano sui controlli di sicurezza dei workload di base e sulle considerazioni uniche specifiche per i workload di AI generativa.
Queste best practice per la sicurezza sono pensate per aiutare i responsabili della sicurezza informatica (CISO), i professionisti della sicurezza e i responsabili della gestione dei rischi e della conformità ad adottare ed eseguire il deployment dei workload in Google Cloud, concentrandosi su sicurezza, protezione e conformità. Allineiamo i nostri consigli ai requisiti dei framework NIST (National Institute of Standards and Technology) 800-53 e CRI (Cyber Risk Institute).
Queste best practice supportano anche il modello di destino condiviso, in cui ci impegniamo a collaborare con i settori per creare un'infrastruttura cloud più sicura e resiliente per vari workload. Il modello di destino condiviso include deployment, operazioni e trasferimento del rischio. Pertanto, questi consigli si concentrano sul deployment e sulle operazioni dei workload, in particolare in relazione alla conformità.
Sappiamo che l'implementazione della conformità e della sicurezza non è un'operazione semplice. Per ulteriore assistenza, contatta Google Cloud il team di sicurezza.
Struttura delle best practice per la sicurezza
Le best practice per la sicurezza sono strutturate come controlli che puoi esaminare e implementare. Ogni controllo è progettato per affrontare un livello diverso dello stack AI. Questi livelli sono i seguenti:
- Base aziendale sicura: livello principale per autenticazione, gestione degli accessi, organizzazione, networking, gestione delle chiavi, gestione dei secret, logging, monitoraggio, avvisi, analisi della sicurezza e operazioni agentiche.
- Infrastruttura AI: livello per container, calcolo e TPU.
- Ricerca e modelli: livello per lo sviluppo di modelli e la protezione attiva dei prototipi di modelli.
- Gestione dei dati e contesto: livello per data warehouse, spazio di archiviazione, database e gestione dei dati sensibili.
- Strumenti e piattaforma di inferenza: livello per la piattaforma agentica, inclusi Model Garden, Model Builder e Agent Builder.
- Agenti e applicazioni: livello per Gemini Enterprise, Google Workspace, applicazioni AI e altri controlli software.
Il seguente diagramma mostra come questi livelli si sovrappongono.
I controlli sono strutturati come segue:
Ruoli IAM (Identity and Access Management) consigliati: consigli sui ruoli IAM da assegnare ai gruppi di utenti nella tua organizzazione.
Controlli della base aziendale sicura:queste best practice ti consentono di creare una base sicura per i workload di AI generativa Google Cloud.
Controlli dell'infrastruttura: Queste best practice ti consentono di applicare controlli di sicurezza a calcolo, container, e acceleratori per i workload di AI generativa.
Controlli di gestione dei dati:queste best practice ti consentono di applicare controlli di sicurezza ai data warehouse e allo spazio di archiviazione dei dati che utilizzi con i workload di AI generativa.
Controlli di strumenti e inferenza:Queste best practice ti consentono di applicare controlli di sicurezza ai componenti della piattaforma agentica di Gemini Enterprise.
Controlli di agenti e applicazioni:queste best practice ti consentono di applicare controlli di sicurezza alle applicazioni che utilizzano l'AI generativa.
Ogni consiglio è controllabile e garantisce il rispetto di una base di controlli di sicurezza.
Livelli di implementazione dei controlli
I livelli di implementazione dei controlli sono Obbligatorio, Consigliato o Facoltativo. I livelli consentono di identificare le attività chiave che ti consigliamo vivamente di eseguire, le attività che ti consigliamo vivamente di prendere in considerazione e le attività che potresti prendere in considerazione in base ai tuoi requisiti e obiettivi specifici.
La seguente tabella descrive questi livelli.
| Livello di implementazione | Descrizione |
|---|---|
Obbligatorio |
Implementa queste linee guida per il tuo Google Cloud ambiente. |
Consigliato |
Implementa queste linee guida in base a casi d'uso come il monitoraggio dei dati sensibili all'interno dei workload di AI generativa, se il tuo ambiente include questo tipo di dati. |
Facoltativo |
Valuta linee guida aggiuntive in base al tuo caso d'uso e alla tua propensione al rischio. |