Google hilft Unternehmen, ihre Cloud-Umgebung zu schützen, ihre Daten zu schützen und Branchenvorschriften einzuhalten. Allgemeine Informationen zur Sicherheit in allen Google Cloud-Produkten finden Sie unter Google Cloud – Übersicht über die Sicherheit.
Sicherheitskonfigurationen für Endnutzer
Die Verwaltung Ihrer IAM-Einstellungen (Identity and Access Management) in Gemini Enterprise ist entscheidend für die Sicherheit. Die in diesem Abschnitt aufgeführten Ressourcen helfen Ihnen, die Berechtigungen und Zugriffssteuerungen in Gemini Enterprise zu verstehen:
- Identität und Berechtigungen
- Externe Identitäten einrichten
- Authentifizierung für die Gemini Enterprise API
- Zugriffssteuerung mit IAM
Die folgenden Authentifizierungsframeworks werden unterstützt:
Datensicherheit bei Gemini Enterprise
Es ist wichtig, Ihre Daten vor Bedrohungen, Datenpannen und Identitätsdiebstahl zu schützen. Für Gemini Enterprise gelten die folgenden Sicherheitsmaßnahmen:
- Gemini Enterprise ist in VPC Service Controls eingebunden.
Standardmäßige Datenverschlüsselung mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK).
Gemini Enterprise unterstützt auch External Key Manager (EKM) oder Hardware Security Module (HSM). Informationen zu den Einschränkungen, die für CMEK und EKM gelten, finden Sie unter Einschränkungen des Cloud Key Management Service in Gemini Enterprise.
Gemini Enterprise-Compliance
Bei der Daten-Compliance geht es darum, die rechtlichen und behördlichen Anforderungen für den Umgang mit personenbezogenen und vertraulichen Informationen zu erfüllen. Sie regelt die Erhebung, Speicherung, Nutzung und Sicherheit von Daten, um Datenschutz und Schutz zu gewährleisten.
Die in diesem Abschnitt aufgeführten Ressourcen enthalten Informationen, die Ihnen helfen, Datentransparenz und Compliance aufrechtzuerhalten:
- Access Transparency aktivieren
- Audit-Logging
- Gemini Enterprise-Standorte
- Compliance- und Sicherheitskontrollen
- Von Nutzern angeforderte Daten werden in Gemini Enterprise innerhalb von 60 Tagen gelöscht. Weitere Informationen finden Sie unter Datenlöschung auf Google Cloud.
Außerdem ist Gemini Enterprise FedRAMP High-konform.
Administratoren von Workforce Identity-Föderation und -Pools
Wenn Sie die Mitarbeiteridentitätsföderation zur Authentifizierung Ihrer Nutzer verwenden, weisen Sie einigen Ihrer Administratoren die IAM-Rollen „IAM Workforce Identity Pool Admin“ (roles/iam.workforcePoolAdmin) und „IAM Workforce Pool Editor“ (roles/iam.workforcePoolEditor) zu. Diese Rollen haben leistungsstarke Berechtigungen, die verwendet werden könnten, um sich als andere Nutzer auszugeben, um Zugriff auf Dokumente zu erhalten und unbefugte Aktionen auszuführen.
Aus diesem Grund empfehlen wir Folgendes:
Weisen Sie diese Mitarbeiterpoolrollen nur vertrauenswürdigen Administratoren zu, die sie unbedingt benötigen.
Verwenden Sie Privileged Access Manager, um Berechtigungen für diese Rollen einzurichten und ihre Verwendung zu prüfen.
Erforderliche Google Cloud APIs
Damit Sie Gemini Enterprise verwenden können, müssen die folgenden APIs aktiviert sein:
- Vertex AI API
- Gemini Enterprise (Discovery Engine) API
- Cloud Storage API
- Identity and Access Management API
Weitere Informationen zu den ersten Schritten mit Gemini Enterprise finden Sie im Abschnitt Vorbereitung.
Informationen zum Deaktivieren der Gemini Enterprise (Discovery Engine) API finden Sie unter Gemini Enterprise deaktivieren.
Drittanbieter-Connectors und öffentliche Endpunkte
Drittanbieter-Connectors interagieren mit öffentlichen Endpunkten außerhalb des Google-Netzwerks, z. B. Endpunkten für die API eines Drittanbieters zum Abrufen von Daten oder einer Webhook-URL für die Echtzeitsynchronisierung. Da VPC Service Controls für die Steuerung von Google Cloud Diensten konzipiert sind, wird der Traffic zu diesen externen, nicht von Google stammenden Endpunkten nicht automatisch blockiert oder gesichert.
Um das Risiko zu minimieren, sorgt Gemini Enterprise dafür, dass Ihr ausgehender Traffic durch detaillierte VPC-Firewallregeln geschützt wird, die ausgehende Verbindungen auf die von Ihnen angegebenen vollständig qualifizierten Domainnamen (Fully Qualified Domain Names, FQDNs) des externen Dienstes beschränken.