Google ayuda a las organizaciones a proteger su entorno de nube, a proteger sus datos y a cumplir con las reglamentaciones del sector. Para obtener información general sobre la seguridad en todos los productos de Google Cloud Google Cloud, consulta Google Cloud la descripción general de seguridad.
Configuraciones de seguridad del usuario final
Administrar la configuración de Identity and Access Management (IAM) en Gemini Enterprise es fundamental para la seguridad. Los recursos que se enumeran en esta sección te ayudan a comprender los permisos y los controles de acceso en Gemini Enterprise:
- Identidad y permisos
- Configura identidades externas
- Autenticación en la API de Gemini Enterprise
- Control de acceso con IAM
Se admiten los siguientes frameworks de autenticación:
Seguridad de los datos de Gemini Enterprise
Es importante proteger tus datos de amenazas, violaciones de seguridad y robos de identidad. Gemini Enterprise cuenta con las siguientes medidas de seguridad:
- Gemini Enterprise está integrado con los Controles del servicio de VPC.
Encriptación de datos predeterminada con claves de encriptación administradas por el cliente (CMEK).
Gemini Enterprise también admite el administrador de claves externas (EKM) o el módulo de seguridad de hardware (HSM). Para obtener información sobre las limitaciones que se aplican a CMEK y EKM, consulta Limitaciones de Cloud Key Management Service en Gemini Enterprise.
Cumplimiento de Gemini Enterprise
El cumplimiento de los datos implica cumplir con los requisitos legales y reglamentarios para controlar la información personal y sensible. Rige la recopilación, el almacenamiento, el uso y la seguridad de los datos para garantizar la privacidad y la protección.
Los recursos que se enumeran en esta sección proporcionan información para ayudarte a mantener la transparencia y el cumplimiento de los datos:
- Habilitar transparencia de acceso
- Registros de auditoría
- Ubicaciones de Gemini Enterprise
- Certificaciones de cumplimiento y controles de seguridad
- Gemini Enterprise borra los datos solicitados por el usuario en un plazo de 60 días. Para obtener más información, consulta Borrado de datos en Google Cloud.
Federación de identidades de personal y administradores de grupos
Si usas la federación de identidades de personal para autenticar a tus usuarios, otorgas los roles de IAM Administrador de grupos de trabajadores de IAM (roles/iam.workforcePoolAdmin) y Editor de grupos de trabajadores de IAM (roles/iam.workforcePoolEditor) a algunos de tus administradores. Estos roles pueden modificar las asignaciones de atributos del grupo de trabajadores.
Los cambios incorrectos, ya sean intencionales o accidentales, pueden permitir la suplantación de usuarios, lo que puede generar acciones y acceso no autorizados a documentos.
Por este motivo, te recomendamos lo siguiente:
Solo otorga estos roles de grupo de trabajadores a administradores de confianza que los necesiten.
Usa Privileged Access Manager para configurar derechos para estos roles y auditar su uso.
Integra los registros de auditoría de la federación de identidades de personal en tu solución de supervisión de seguridad (por ejemplo, SIEM) para detectar y alertar rápidamente sobre cualquier cambio en las asignaciones de atributos o intentos de acceso no autorizados.
Required Google Cloud APIs
Para comenzar a usar Gemini Enterprise, se deben habilitar las siguientes APIs:
- La API de Vertex AI
- API de Gemini Enterprise (Discovery Engine)
- API de Cloud Storage
- API de Identity and Access Management
Para obtener más información para comenzar a usar Gemini Enterprise, consulta la sección Antes de comenzar.
Para inhabilitar la API de Gemini Enterprise (Discovery Engine), consulta Inhabilita Gemini Enterprise.
Conectores de terceros y extremos públicos
Los conectores de terceros interactúan con extremos públicos fuera de la red de Google; por ejemplo, extremos para la API de un tercero para sondear datos o una URL de webhook para la sincronización en tiempo real. Debido a que los Controles del servicio de VPC están diseñados para regir Google Cloud los servicios, no bloquean ni protegen de forma inherente el tráfico a estos extremos externos que no son de Google.
Para mitigar esto, Gemini Enterprise se asegura de que tu tráfico de salida esté protegido por reglas de firewall de VPC detalladas, que restringen las conexiones salientes solo a los nombres de dominio completamente calificados (FQDN) del servicio externo que proporcionas.