Google Cloud 安全性最佳做法和指南，適用於生成式 AI 工作負載

您可以運用 Google Cloud 生成式 AI 適用的安全性最佳做法和指南，在Google Cloud上探索及導入生成式 AI 工作負載和支援服務的安全性功能。

這份安全防護最佳做法指南由 Google 製作，旨在補充金融服務等產業現有的法規和安全防護做法。 Google Cloud 最佳做法和指南著重於基礎工作負載安全控制措施，以及生成式 AI 工作負載特有的考量事項。

這些安全性最佳做法旨在協助資訊安全長 (CISO)、安全從業人員，以及風險與法規遵循主管在 Google Cloud中採用及部署工作負載，同時著重於安全、安全性和法規遵循。我們的建議符合美國國家標準暨技術研究院 (NIST) 800-53 和 Cyber Risk Institute (CRI) 架構的要求。

這些最佳做法也支援命運共同體模式，我們致力於與各產業合作，為各種工作負載建構更安全且具備復原能力的雲端基礎架構。命運共同體模式包括部署、營運和風險轉移。因此，這些建議著重於工作負載部署和作業，特別是與法規遵循相關的作業。

我們瞭解落實法規遵循和安全措施並非易事，如需其他協助，請與 Google Cloud 安全性團隊聯絡。

安全性最佳做法的結構

安全防護最佳做法會以「控管措施」的形式呈現，方便您查看及實作。控管機制如下：

• 建議的 IAM 角色：建議指派給貴機構使用者群組的 IAM 角色。

• 常見控制項： 這些最佳做法適用於Google Cloud中的所有生成式 AI 工作負載。

• 服務專屬控制項：這些最佳做法適用於使用下列 Google Cloud 服務的生成式 AI 工作負載：

  • Vertex AI 控制項
  • Artifact Registry 控制項
  • BigQuery 控制項
  • Cloud Billing 控制項
  • Cloud Build 控制項
  • Cloud DNS 控制項
  • Cloud Identity 控制選項
  • Cloud Run functions 控制項
  • Cloud Storage 控制項
  • 資料流控制
  • 身分與存取權管理控制項
  • 機構政策服務控制項
  • Pub/Sub 控制項
  • Resource Manager 控制項
  • Secret Manager 控制項
  • Security Command Center 控制項
  • 虛擬私有雲控制項

每項建議都可供稽核，確保符合安全控管措施的基準。

控制項類別

控制項類別為「必要」、「建議」或「選用」。這些類別可協助您找出我們強烈建議執行的重要活動、我們強烈建議考慮的活動，以及您可根據特定需求和目標考慮的活動。

下表說明這些類別。

類別	說明
必填	請為 Google Cloud 環境導入這些規範。
建議	如果您的環境包含這類資料，請根據用途 (例如監控生成式 AI 工作負載中的機密資料) 導入這些指南。
選用	請根據您的用途和風險承受度，考慮採用其他指南。

生成式 AI 架構範例

下圖顯示使用 Vertex AI 的一般生成式 AI 架構中包含的 Google Cloud 服務。

後續步驟

• 查看建議的 IAM 角色。