Práticas recomendadas e diretrizes de segurança do Google Cloud para cargas de trabalho de IA generativa

Você pode usar Google Cloud práticas recomendadas e diretrizes de segurança para IA generativa para descobrir e implementar recursos de segurança para suas cargas de trabalho de IA generativa e serviços de suporte no Google Cloud.

As práticas recomendadas de segurança são um guia complementar do Google para as práticas regulatórias e de segurança atuais em setores como o de serviços financeiros. As Google Cloud práticas recomendadas e diretrizes se concentram em controles básicos de segurança de cargas de trabalho e considerações exclusivas que são específicas para cargas de trabalho de IA generativa.

Essas práticas recomendadas de segurança têm como objetivo ajudar os diretores de segurança da informação (CISOs), profissionais de segurança e agentes de risco e compliance a adotar e implantar cargas de trabalho no Google Cloud, com foco em segurança e compliance. Alinhamos nossas recomendações aos requisitos dos frameworks do Instituto Nacional de Padrões e Tecnologia (NIST) 800-53 e do Cyber Risk Institute (CRI).

Essas práticas recomendadas também oferecem suporte ao modelo de destino compartilhado, em que nos esforçamos para colaborar com setores para criar uma infraestrutura em nuvem mais segura e resiliente para várias cargas de trabalho. O modelo de destino compartilhado inclui implantação, operações e transferência de risco. Portanto, essas recomendações se concentram na implantação e nas operações de cargas de trabalho, principalmente em relação à compliance.

Entendemos que a implementação de compliance e segurança não é um exercício simples. Para mais ajuda, entre em contato com a equipe de segurança Google Cloud .

Estrutura para práticas recomendadas de segurança

As práticas recomendadas de segurança são estruturadas como controles que você pode revisar e implementar. Cada controle foi projetado para abordar um nível diferente do conjunto de soluções de IA. Esses níveis são os seguintes:

  • Base empresarial segura:camada principal para autenticação, gerenciamento de acesso, organização, rede, gerenciamento de chaves, gerenciamento de secrets, registro, monitoramento, alertas, análise de segurança e operações de agentes.
  • Infraestrutura de IA:camada para contêineres, computação e TPUs.
  • Pesquisa e modelos:camada para desenvolvimento de modelos e proteção de modelos ativos.
  • Gerenciamento e contexto de dados:camada para data warehouses, armazenamento, bancos de dados e gerenciamento de dados sensíveis.
  • Ferramentas e plataforma de inferência:camada para a plataforma de agentes, incluindo Model Garden, Model Builder e Agent Builder.
  • Agentes e aplicativos:camada para o Gemini Enterprise, o Google Workspace, aplicativos de IA e outros controles de software.

O diagrama a seguir mostra como esses níveis são empilhados uns sobre os outros.

Conjunto de soluções de IA generativa.

Os controles são estruturados da seguinte maneira:

Cada recomendação é auditável e garante que um conjunto básico de controles de segurança seja atendido.

Níveis de implementação de controle

Os níveis de implementação de controle são obrigatório, recomendado ou opcional. Os níveis ajudam a identificar as principais atividades que recomendamos que você faça, atividades que aconselhamos que você considere e atividades que você pode considerar com base nos seus requisitos e metas específicos.

A tabela a seguir descreve esses níveis.

Nível de implementação Descrição

Obrigatório

Implemente estas diretrizes para seu Google Cloud ambiente.

Recomendado

Implemente essas diretrizes com base em casos de uso, como o monitoramento de dados sensíveis em cargas de trabalho de IA generativa, se o ambiente incluir esse tipo de dado.

Opcional

Considere outras diretrizes com base no seu caso de uso e tolerância a riscos.

A seguir