Google ayuda a las organizaciones a proteger su entorno de nube, proteger sus datos y cumplir con las reglamentaciones del sector. Para obtener información general sobre la seguridad en todo Google Cloud, consulta la descripción general de seguridad deGoogle Cloud .
Configuraciones de seguridad para el usuario final
Administrar la configuración de Identity and Access Management (IAM) en Gemini Enterprise es fundamental para la seguridad. Los recursos que se enumeran en esta sección te ayudan a comprender los permisos y los controles de acceso en Gemini Enterprise:
- Identidad y permisos
- Configura identidades externas
- Autenticación en la API de Gemini Enterprise
- Control de acceso con IAM
Se admiten los siguientes frameworks de autenticación:
Seguridad de los datos de Gemini Enterprise
Es importante proteger tus datos de amenazas, violaciones de seguridad y robo de identidad. Gemini Enterprise cuenta con las siguientes medidas de seguridad:
- Gemini Enterprise se integra con los Controles del servicio de VPC.
Encriptación de datos predeterminada con claves de encriptación administradas por el cliente (CMEK).
Gemini Enterprise también admite el administrador de claves externas (EKM) o el módulo de seguridad de hardware (HSM). Para obtener información sobre las limitaciones que se aplican a CMEK y EKM, consulta Limitaciones de Cloud Key Management Service en Gemini Enterprise.
Cumplimiento de Gemini Enterprise
El cumplimiento de las normas de datos implica satisfacer los requisitos legales y reglamentarios para el manejo de información personal y sensible. Rige la recopilación, el almacenamiento, el uso y la seguridad de los datos para garantizar la privacidad y la protección.
Los recursos que se enumeran en esta sección proporcionan información para ayudarte a mantener la transparencia y el cumplimiento de los datos:
- Habilitar transparencia de acceso
- Registros de auditoría
- Ubicaciones de Gemini Enterprise
- Controles de cumplimiento y seguridad
- Gemini Enterprise borra los datos solicitados por el usuario en un plazo de 60 días. Para obtener más información, consulta Eliminación de datos en Google Cloud.
Además, Gemini Enterprise cumple con los requisitos de FedRAMP High.
Administradores de grupos y de la federación de identidades del personal
Si usas la federación de identidades de personal para autenticar a tus usuarios, otorga los roles de IAM de administrador de grupos de trabajadores de IAM (roles/iam.workforcePoolAdmin) y editor de grupos de trabajadores de IAM (roles/iam.workforcePoolEditor) a algunos de tus administradores. Estos roles tienen permisos potentes que se podrían usar para suplantar la identidad de otros usuarios y obtener acceso a documentos, así como realizar acciones no autorizadas.
Por este motivo, te recomendamos lo siguiente:
Solo otorga estos roles del grupo de personal a los administradores de confianza que los necesiten de forma absoluta.
Usa Privileged Access Manager para configurar derechos para estos roles y auditar su uso.
APIs Google Cloud requeridas
Para comenzar a usar Gemini Enterprise, se deben habilitar las siguientes APIs:
- La API de Vertex AI
- API de Gemini Enterprise (Discovery Engine)
- API de Cloud Storage
- API de Identity and Access Management
Para obtener más información sobre cómo comenzar a usar Gemini Enterprise, consulta la sección Antes de comenzar.
Para inhabilitar la API de Gemini Enterprise (Discovery Engine), consulta Cómo desactivar Gemini Enterprise.
Conectores de terceros y extremos públicos
Los conectores de terceros interactúan con extremos públicos fuera de la red de Google; por ejemplo, extremos para la API de un tercero para sondear datos o una URL de webhook para la sincronización en tiempo real. Dado que los Controles del servicio de VPC están diseñados para regir Google Cloud servicios, no bloquean ni protegen de forma inherente el tráfico hacia estos extremos externos que no son de Google.
Para mitigar este riesgo, Gemini Enterprise se asegura de que tu tráfico de salida esté protegido por reglas de firewall de VPC detalladas, que restringen las conexiones salientes solo a los nombres de dominio completamente calificados (FQDN) del servicio externo que proporcionas.