Google aide les organisations à sécuriser leur environnement cloud, à protéger leurs données et à se conformer aux réglementations du secteur. Pour obtenir des informations générales sur la sécurité dans Google Cloud, consultez la présentation de la sécurité deGoogle Cloud .
Configurations de sécurité des utilisateurs finaux
Il est essentiel de gérer vos paramètres Identity and Access Management (IAM) dans Gemini Enterprise pour assurer la sécurité. Les ressources listées dans cette section vous aident à comprendre les autorisations et les contrôles d'accès dans Gemini Enterprise :
- Identité et autorisations
- Configurer des identités externes
- S'authentifier auprès de l'API Gemini Enterprise
- Contrôle des accès avec IAM
Les frameworks d'authentification suivants sont compatibles :
Sécurité des données Gemini Enterprise
Il est important de protéger vos données contre les menaces, les violations et l'usurpation d'identité. Gemini Enterprise est soumis aux mesures de sécurité suivantes :
- Gemini Enterprise est intégré à VPC Service Controls.
Chiffrement des données par défaut avec des clés de chiffrement gérées par le client (CMEK).
Gemini Enterprise est également compatible avec External Key Manager (EKM) ou le module de sécurité matérielle (HSM). Pour en savoir plus sur les limites qui s'appliquent aux CMEK et à EKM, consultez Limites de Cloud Key Management Service dans Gemini Enterprise.
Conformité de Gemini Enterprise
La conformité des données consiste à respecter les exigences légales et réglementaires pour le traitement des informations personnelles et sensibles. Elle régit la collecte, le stockage, l'utilisation et la sécurité des données pour garantir la confidentialité et la protection.
Les ressources listées dans cette section fournissent des informations pour vous aider à maintenir la transparence et la conformité des données :
- Activer Access Transparency
- Journaux d'audit
- Emplacements Gemini Enterprise
- Contrôles de conformité et de sécurité
- Gemini Enterprise supprime les données demandées par les utilisateurs sous 60 jours. Pour en savoir plus, consultez Suppression des données sur Google Cloud.
De plus, Gemini Enterprise est conforme à FedRAMP au niveau d'impact élevé.
Administrateurs de la fédération d'identité de personnel et des pools
Si vous utilisez la fédération des identités des employés pour authentifier vos utilisateurs, vous attribuez les rôles IAM d'administrateur de pools d'employés (roles/iam.workforcePoolAdmin) et d'éditeur de pools d'employés (roles/iam.workforcePoolEditor) à certains de vos administrateurs. Ces rôles disposent d'autorisations puissantes qui pourraient être utilisées pour se faire passer pour d'autres utilisateurs afin d'accéder à des documents et d'effectuer des actions non autorisées.
Pour cette raison, nous vous recommandons de procéder comme suit :
N'accordez ces rôles de pool de personnel qu'aux administrateurs de confiance qui en ont absolument besoin.
Utilisez Privileged Access Manager pour configurer les droits d'accès pour ces rôles et auditer leur utilisation.
API Google Cloud requises
Pour commencer à utiliser Gemini Enterprise, vous devez activer les API suivantes :
- API Vertex AI
- API Gemini Enterprise (Discovery Engine)
- API Cloud Storage
- API Identity and Access Management
Pour savoir comment faire vos premiers pas avec Gemini Enterprise, consultez la section Avant de commencer.
Pour désactiver l'API Gemini Enterprise (Discovery Engine), consultez Désactiver Gemini Enterprise.
Connecteurs tiers et points de terminaison publics
Les connecteurs tiers interagissent avec des points de terminaison publics en dehors du réseau Google (par exemple, des points de terminaison pour l'API d'un tiers pour interroger des données ou une URL de webhook pour la synchronisation en temps réel). Étant donné que VPC Service Controls est conçu pour régir les services Google Cloud , il ne bloque ni ne sécurise intrinsèquement le trafic vers ces points de terminaison externes non Google.
Pour atténuer ce risque, Gemini Enterprise s'assure que votre trafic sortant est sécurisé par des règles de pare-feu VPC précises, qui limitent les connexions sortantes aux noms de domaine complets (FQDN) du service externe que vous fournissez.