Google ayuda a las organizaciones a proteger su entorno en la nube, sus datos y a cumplir las normativas del sector. Para obtener información general sobre la seguridad en todos los productos de Google Cloud, consulta la Google Cloud descripción general de la seguridad.
Configuraciones de seguridad de usuario final
Gestionar los ajustes de Gestión de Identidades y Accesos (IAM) en Gemini Enterprise es fundamental para la seguridad. Los recursos que se indican en esta sección te ayudarán a comprender los permisos y los controles de acceso de Gemini Enterprise:
- Identidad y permisos
- Configurar identidades externas
- Autenticar la API de Gemini Enterprise
- Control de acceso con la gestión de identidades y accesos
Se admiten los siguientes frameworks de autenticación:
Seguridad de los datos de Gemini Enterprise
Es importante proteger tus datos frente a amenazas, brechas de seguridad y robos de identidad. Gemini Enterprise cuenta con las siguientes medidas de seguridad:
- Gemini Enterprise está integrado con Controles de Servicio de VPC.
Cifrado de datos predeterminado con claves de cifrado gestionadas por el cliente (CMEK).
Gemini Enterprise también admite External Key Manager (EKM) o módulos de seguridad de hardware (HSM). Para obtener información sobre las limitaciones que se aplican a CMEK y EKM, consulta Limitaciones de Cloud Key Management Service en Gemini Enterprise.
Cumplimiento de Gemini Enterprise
El cumplimiento de los datos implica cumplir los requisitos legales y normativos para tratar información personal y sensible. Regula la recogida, el almacenamiento, el uso y la seguridad de los datos para garantizar la privacidad y la protección.
Los recursos que se indican en esta sección proporcionan información para ayudarte a mantener la transparencia y el cumplimiento de los requisitos relacionados con los datos:
- Habilitar Transparencia de acceso
- Registros de auditoría
- Ubicaciones de Gemini Enterprise
- Controles de cumplimiento y seguridad
- Gemini Enterprise elimina los datos solicitados por los usuarios en un plazo de 60 días. Para obtener más información, consulta Eliminación de datos en Google Cloud.
Además, Gemini Enterprise cumple los requisitos de nivel alto de FedRAMP.
Administradores de grupos y de Workforce Identity Federation
Si usas Workforce Identity Federation para autenticar a tus usuarios, debes asignar los roles de IAM Administrador de grupos de identidades de Workforce (roles/iam.workforcePoolAdmin) y Editor de grupos de Workforce de IAM (roles/iam.workforcePoolEditor) a algunos de tus administradores. Estos roles tienen permisos potentes que se podrían usar para suplantar la identidad de otros usuarios y obtener acceso a documentos, así como para llevar a cabo acciones no autorizadas.
Por este motivo, te recomendamos lo siguiente:
Solo debes conceder estos roles de grupo de trabajadores a administradores de confianza que los necesiten.
Usa Privileged Access Manager para configurar los derechos de estos roles y auditar su uso.
APIs obligatorias Google Cloud
Para empezar a usar Gemini Enterprise, debes habilitar las siguientes APIs:
- API de Vertex AI
- API Gemini Enterprise (Discovery Engine)
- API de Cloud Storage
- API de gestión de identidades y accesos
Para obtener más información sobre cómo empezar a usar Gemini Enterprise, consulta la sección Antes de empezar.
Para inhabilitar la API de Gemini Enterprise (Discovery Engine), consulta Desactivar Gemini Enterprise.
Conectores de terceros y endpoints públicos
Los conectores de terceros interactúan con endpoints públicos fuera de la red de Google. Por ejemplo, endpoints de la API de un tercero para sondear datos o una URL de webhook para la sincronización en tiempo real. Como los Controles de Servicio de VPC se han diseñado para gestionar servicios, no bloquean ni protegen de forma inherente el tráfico hacia estos endpoints externos que no son de Google. Google Cloud
Para mitigar este riesgo, Gemini Enterprise se asegura de que tu tráfico de salida esté protegido por reglas de cortafuegos de VPC granulares, que restringen las conexiones salientes únicamente a los nombres de dominio completos (FQDNs) del servicio externo que proporciones.