Google aiuta le organizzazioni a proteggere il proprio ambiente cloud, i propri dati e a rispettare le normative di settore. Per informazioni generali sulla sicurezza in tutti i prodotti Google Cloud, consulta la Google Cloud panoramica sulla sicurezza.
Configurazioni di sicurezza dell'utente finale
La gestione delle impostazioni di Identity and Access Management (IAM) in Gemini Enterprise è fondamentale per la sicurezza. Le risorse elencate in questa sezione ti aiutano a comprendere le autorizzazioni e i controlli di accesso in Gemini Enterprise:
- Identità e autorizzazioni
- Configurare le identità esterne
- Autenticarsi all'API Gemini Enterprise
- Controllo dell'accesso con IAM
Sono supportati i seguenti framework di autenticazione:
Sicurezza dei dati di Gemini Enterprise
È importante proteggere i dati da minacce, violazioni e furti di identità. Gemini Enterprise prevede le seguenti misure di sicurezza:
- Gemini Enterprise è integrato con i Controlli di servizio VPC.
Crittografia dei dati predefinita con chiavi di crittografia gestite dal cliente (CMEK).
Gemini Enterprise supporta anche il sistema di gestione delle chiavi esterno (EKM) o il modulo di sicurezza hardware (HSM). Per informazioni sulle limitazioni applicabili a CMEK ed EKM, consulta Limitazioni di Cloud Key Management Service in Gemini Enterprise.
Conformità di Gemini Enterprise
La conformità dei dati comporta il rispetto dei requisiti legali e normativi per la gestione delle informazioni personali e sensibili. Regola la raccolta dei dati, l'archiviazione, l'utilizzo e la sicurezza per garantire la privacy e la protezione.
Le risorse elencate in questa sezione forniscono informazioni per aiutarti a mantenere la trasparenza e la conformità dei dati:
- Attivare Access Transparency
- Audit logging
- Località di Gemini Enterprise
- Certificazioni di conformità e controlli di sicurezza
- Gemini Enterprise elimina i dati richiesti dall'utente entro 60 giorni. Per saperne di più, consulta la sezione Eliminazione dei dati su Google Cloud.
Amministratori di pool e federazione delle identità per la forza lavoro
Se utilizzi la federazione delle identità per la forza lavoro per autenticare gli utenti, concedi i ruoli IAM Amministratore pool Workload Identity (roles/iam.workforcePoolAdmin) e Editor pool Workload Identity (roles/iam.workforcePoolEditor) IAM ad alcuni amministratori. Questi ruoli possono modificare i mapping degli attributi del pool di forza lavoro.
Le modifiche errate, intenzionali o accidentali, rischiano di consentire l'impersonificazione dell'utente, che può portare ad azioni e accesso non autorizzati ai documenti.
Per questo motivo, ti consigliamo di:
Concedere questi ruoli del pool di forza lavoro solo agli amministratori di fiducia che ne hanno assolutamente bisogno.
Utilizzare Privileged Access Manager per configurare i diritti per questi ruoli e per controllarne l'utilizzo.
Integrare gli audit log della federazione delle identità per la forza lavoro nella soluzione di monitoraggio della sicurezza (ad es. SIEM) per rilevare rapidamente e inviare avvisi in caso di modifiche ai mapping degli attributi o tentativi di accesso non autorizzati.
API richieste Google Cloud
Per iniziare a utilizzare Gemini Enterprise, devi abilitare le seguenti API:
- API Vertex AI
- API Gemini Enterprise (Discovery Engine)
- API Storage Cloud
- API Identity and Access Management
Per saperne di più su come iniziare a utilizzare Gemini Enterprise, consulta la sezione Prima di iniziare.
Per disattivare l'API Gemini Enterprise (Discovery Engine), consulta Disattivare Gemini Enterprise.
Connettori di terze parti ed endpoint pubblici
I connettori di terze parti interagiscono con gli endpoint pubblici esterni alla rete di Google, ad esempio gli endpoint per l'API di una terza parte per il polling dei dati o un URL webhook per la sincronizzazione in tempo reale. Poiché i Controlli di servizio VPC sono progettati per regolamentare Google Cloud i servizi, non bloccano o proteggono intrinsecamente il traffico verso questi endpoint esterni non Google.
Per risolvere questo problema, Gemini Enterprise si assicura che il traffico in uscita sia protetto da regole firewall VPC granulari, che limitano le connessioni in uscita solo ai nomi di dominio completi (FQDN) del servizio esterno che fornisci.