Google unterstützt Unternehmen beim Schutz ihrer Cloud-Umgebung und Daten sowie beim Einhalten von Branchenvorschriften. Allgemeine Informationen zur Sicherheit überall in Google Cloudfinden Sie unter Sicherheit inGoogle Cloud – Übersicht.
Sicherheitskonfigurationen für Endnutzer
Die Verwaltung Ihrer IAM-Einstellungen (Identity and Access Management) in Gemini Enterprise ist entscheidend für die Sicherheit. Die in diesem Abschnitt aufgeführten Ressourcen helfen Ihnen beim Nachvollziehen von Berechtigungen und Zugriffssteuerungen in Gemini Enterprise:
- Identität und Berechtigungen
- Externe Identitäten einrichten
- Authentifizierung für die Gemini Enterprise API
- Zugriffssteuerung mit IAM
Die folgenden Authentifizierungsframeworks werden unterstützt:
Datensicherheit bei Gemini Enterprise
Es ist wichtig, Ihre Daten vor Bedrohungen, Datenschutzverletzungen und Identitätsdiebstahl zu schützen. Für Gemini Enterprise gelten diese Sicherheitsmaßnahmen:
- Gemini Enterprise ist in VPC Service Controls eingebunden.
Standardmäßige Datenverschlüsselung mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK)
Gemini Enterprise unterstützt auch externe Schlüsselverwalter (External Key Manager, EKM) oder Hardware-Sicherheitschip (Hardware Security Module, HSM). Weitere Informationen zu den Einschränkungen, die für CMEK und EKM gelten, finden Sie unter Einschränkungen des Cloud Key Management Service in Gemini Enterprise.
Compliance bei Gemini Enterprise
Die Daten-Compliance dient der Erfüllung der rechtlichen und behördlichen Anforderungen für den Umgang mit personenbezogenen und vertraulichen Daten. Dadurch wird die Erhebung, Speicherung, Nutzung und Sicherheit von Daten geregelt, um so für Vertraulichkeit und Schutz zu sorgen.
Die in diesem Abschnitt aufgeführten Ressourcen enthalten Informationen helfen Ihnen beim Aufrechterhalten von Datentransparenz und Compliance:
- Access Transparency aktivieren
- Audit-Logging
- Gemini Enterprise-Standorte
- Compliance- und Sicherheitskontrollen
- Von Nutzern angeforderte Daten werden in Gemini Enterprise innerhalb von 60 Tagen gelöscht. Weitere Informationen finden Sie unter Datenlöschung auf Google Cloud.
Außerdem ist Gemini Enterprise FedRAMP High-kompatibel.
Mitarbeiteridentitätsföderation und Pool-Administratoren
Wenn Sie die Mitarbeiteridentitätsföderation zur Authentifizierung Ihrer Nutzer verwenden, weisen Sie einigen Ihrer Administratoren die IAM-Rollen „IAM Workforce Identity Pool Admin“ (roles/iam.workforcePoolAdmin) und „IAM Workforce Pool Editor“ (roles/iam.workforcePoolEditor) zu. Diese Rollen verfügen über weitreichende Berechtigungen, die dazu missbraucht werden könnten, sich als andere Nutzer auszugeben, um Zugriff auf Dokumente zu erhalten und unbefugte Aktionen durchzuführen.
Deshalb empfehlen wir Folgendes:
Weisen Sie diese Mitarbeiterpoolrollen nur vertrauenswürdigen Administratoren zu, die sie unbedingt benötigen.
Mit Privileged Access Manager können Sie Berechtigungen für diese Rollen einrichten und ihre Nutzung prüfen.
Erforderliche Google Cloud APIs
Damit Sie Gemini Enterprise nutzen können, müssen die folgenden APIs aktiviert sein:
- Vertex AI API
- Gemini Enterprise (Discovery Engine) API
- Cloud Storage API
- Identity and Access Management API
Weitere Informationen zu den ersten Schritten mit Gemini Enterprise finden Sie im Abschnitt Vorbereitung.
Weitere Informationen zum Deaktivieren der Gemini Enterprise (Discovery Engine) API finden Sie unter Gemini Enterprise deaktivieren.
Drittanbieter-Connectors und öffentliche Endpunkte
Drittanbieter-Connectors interagieren mit öffentlichen Endpunkten außerhalb des Google-Netzwerks, z. B. Endpunkten für die API eines Drittanbieters zum Abrufen von Daten oder einer Webhook-URL für die Echtzeitsynchronisierung. Da VPC Service Controls für die Steuerung der Dienste von Google Cloud konzipiert sind, wird der Traffic zu diesen externen Endpunkten, die nicht von Google stammen, nicht automatisch blockiert oder gesichert.
Zur Risikominimierung sorgt Gemini Enterprise dafür, dass Ihr ausgehender Traffic durch detaillierte VPC-Firewallregeln geschützt wird, die ausgehende Verbindungen auf die von Ihnen angegebenen voll qualifizierten Domainnamen (Fully Qualified Domain Names, FQDNs) des externen Dienstes beschränken.