הערה: התיעוד הזה רלוונטי למהדורות Standard,‏ Plus ו-Frontline של Gemini Enterprise. מידע על מהדורת Business זמין במרכז העזרה של Gemini Enterprise – מהדורת Business.

סקירה כללית של האבטחה ב-Gemini Enterprise

‫Google עוזרת לארגונים לאבטח את סביבת הענן שלהם, להגן על הנתונים ולעמוד בתקנות של התעשייה. למידע כללי על אבטחה בכל שירותי Google Cloud, אפשר לעיין בסקירה הכללית על אבטחה.Google Cloud

הגדרות אבטחה למשתמשי קצה

ניהול ההגדרות של ניהול הזהויות והרשאות הגישה (IAM) ב-Gemini Enterprise הוא חיוני לאבטחה. המשאבים שמפורטים בקטע הזה יעזרו לכם להבין את ההרשאות ואת אמצעי בקרת הגישה ב-Gemini Enterprise:

יש תמיכה במסגרות האימות הבאות:

איחוד שירותי אימות הזהות של כוח עבודה

הערה: כששולחים נתונים ל-Gemini Enterprise באמצעות מחבר של צד שלישי, מומלץ להשתמש באיחוד זהויות של כוח עבודה (WIF).
Google Identity
איחוד שירותי אימות הזהות של עומסי עבודה

אבטחת מידע ב-Gemini Enterprise

חשוב להגן על הנתונים מפני איומים, פרצות אבטחה וגניבת זהות. ‫Gemini Enterprise כולל את אמצעי האבטחה הבאים:

‫Gemini Enterprise משולב עם VPC Service Controls.
הצפנת נתונים כברירת מחדל באמצעות מפתחות הצפנה בניהול הלקוח (CMEK).

‫Gemini Enterprise תומך גם במנהל מפתחות חיצוני (EKM) או במודול אבטחה לחומרה (HSM). מידע על המגבלות שחלות על CMEK ו-EKM מופיע במאמר מגבלות של Cloud Key Management Service ב-Gemini Enterprise.

תאימות של Gemini Enterprise

התאמה לדרישות בנוגע לנתונים כוללת עמידה בדרישות משפטיות ורגולטוריות לטיפול במידע אישי ורגיש. התקנות האלה מסדירות את איסוף הנתונים, האחסון, השימוש והאבטחה שלהם כדי להבטיח פרטיות והגנה.

המקורות שמפורטים בקטע הזה מספקים מידע שיעזור לכם לשמור על שקיפות הנתונים ועל תאימות:

הפעלת Access Transparency
רישום ביומן ביקורת
המיקומים של Gemini Enterprise
אישורי תאימות ואמצעי אבטחה
‫Gemini Enterprise מוחק נתונים שהמשתמשים ביקשו למחוק תוך 60 יום. מידע נוסף זמין במאמר מחיקת נתונים ב- Google Cloud.

איחוד שירותי אימות הזהות של כוח העבודה ואדמינים של מאגרי זהויות

אם אתם משתמשים באיחוד שירותי אימות הזהות של כוח העבודה כדי לאמת את המשתמשים, אתם מקצים לחלק מהאדמינים שלכם את תפקידי ה-IAM‏ 'אדמין של מאגר זהויות של כוח עבודה ב-IAM' (roles/iam.workforcePoolAdmin) ו'עורך של מאגר זהויות של כוח עבודה ב-IAM' (roles/iam.workforcePoolEditor). לתפקידים האלה יש הרשאות חזקות שאפשר להשתמש בהן כדי להתחזות למשתמשים אחרים, לקבל גישה למסמכים ולבצע פעולות לא מורשות.

לכן, אנחנו ממליצים:

כדאי להקצות את התפקידים האלה במאגר הזהויות של כוח העבודה רק לאדמינים מהימנים שבאמת צריכים אותם.
אפשר להשתמש ב-Privileged Access Manager כדי להגדיר הרשאות לתפקידים האלה ולבצע ביקורת על השימוש בהן.

ממשקי ה-API Google Cloud הנדרשים

כדי להתחיל להשתמש ב-Gemini Enterprise, צריך להפעיל את ממשקי ה-API הבאים:

Vertex AI API
‫Gemini Enterprise (Discovery Engine) API
Cloud Storage API
Identity and Access Management API

מידע נוסף על תחילת העבודה עם Gemini Enterprise זמין בקטע לפני שמתחילים.

כדי להשבית את Gemini Enterprise (Discovery Engine) API, אפשר לעיין במאמר השבתה של Gemini Enterprise.

מחברים של צד שלישי ונקודות קצה ציבוריות

מחברים של צד שלישי יוצרים אינטראקציה עם נקודות קצה ציבוריות מחוץ לרשת של Google. לדוגמה, נקודות קצה של API של צד שלישי לנתוני דגימה או webhook URL לסנכרון בזמן אמת. מכיוון ש-VPC Service Controls נועד לנהל Google Cloud שירותים, הוא לא חוסם או מאבטח באופן מובנה תנועה לנקודות הקצה החיצוניות האלה שאינן של Google.

כדי לצמצם את הסיכון, Gemini Enterprise מוודא שתעבורת הנתונים היוצאת מאובטחת באמצעות כללים מפורטים של חומת אש ב-VPC, שמגבילים את החיבורים היוצאים רק לשמות הדומיין המלאים (FQDN) של השירות החיצוני שאתם מספקים.