A Google ajuda as organizações a protegerem o respetivo ambiente na nuvem, protegerem os respetivos dados e agirem em conformidade com os regulamentos da indústria. Para informações gerais sobre a segurança em todos os produtos Google Cloud, consulte a Google Cloud descrição geral de segurança.
Configurações de segurança do utilizador final
A gestão das definições de gestão de identidade e de acesso (IAM) no Gemini Enterprise é fundamental para a segurança. Os recursos indicados nesta secção ajudam a compreender as autorizações e os controlos de acesso no Gemini Enterprise:
- Identidade e autorizações
- Configure identidades externas
- Autentique-se na API Gemini Enterprise
- Controlo de acesso com o IAM
São suportados os seguintes frameworks de autenticação:
Segurança dos dados do Gemini Enterprise
A proteção dos seus dados contra ameaças, violações e roubo de identidade é importante. O Gemini Enterprise tem as seguintes medidas de segurança em vigor:
- O Gemini Enterprise está integrado com os VPC Service Controls.
Encriptação de dados predefinida com chaves de encriptação geridas pelo cliente (CMEK).
O Gemini Enterprise também suporta o gestor de chaves externo (EKM) ou o módulo de segurança de hardware (HSM). Para informações sobre as limitações aplicáveis à CMEK e à EKM, consulte o artigo Limitações do Serviço de gestão de chaves na nuvem no Gemini Enterprise.
Conformidade do Gemini Enterprise
A conformidade com os dados envolve o cumprimento dos requisitos legais e regulamentares para o tratamento de informações pessoais e confidenciais. Regula a recolha, o armazenamento, a utilização e a segurança de dados para garantir a privacidade e a proteção.
Os recursos indicados nesta secção fornecem informações para ajudar a manter a transparência e a conformidade dos dados:
- Ative a transparência de acesso
- Registo de auditoria
- Localizações do Gemini Enterprise
- Controlos de conformidade e segurança
- O Gemini Enterprise elimina os dados pedidos pelo utilizador no prazo de 60 dias. Para mais informações, consulte o artigo Eliminação de dados no Google Cloud.
Além disso, o Gemini Enterprise está em conformidade com a FedRAMP High.
Administradores do Workload Identity Federation e do conjunto
Se usar a federação de identidades de força de trabalho para autenticar os seus utilizadores, concede as funções de IAM de administrador do conjunto de identidades de força de trabalho (roles/iam.workforcePoolAdmin) e editor do conjunto de trabalhadores de IAM (roles/iam.workforcePoolEditor) a alguns dos seus administradores. Estas funções têm autorizações poderosas que podem ser usadas para assumir a identidade de outros utilizadores para obter acesso a documentos e realizar ações não autorizadas.
Por este motivo, recomendamos o seguinte:
Conceda estas funções do conjunto de recursos humanos apenas a administradores fidedignos que delas necessitem absolutamente.
Use o Privileged Access Manager para configurar concessões para estas funções e auditar a respetiva utilização.
APIs Google Cloud obrigatórias
Para começar a usar o Gemini Enterprise, tem de ativar as seguintes APIs:
- API Vertex AI
- API Gemini Enterprise (Discovery Engine)
- API Cloud Storage
- API Identity and Access Management
Para mais informações sobre como começar a usar o Gemini Enterprise, consulte a secção Antes de começar.
Para desativar a API Gemini Enterprise (Discovery Engine), consulte o artigo Desative o Gemini Enterprise.
Conetores de terceiros e pontos finais públicos
Os conetores de terceiros interagem com pontos finais públicos fora da rede da Google; por exemplo, pontos finais para a API de um terceiro para sondar dados ou um URL de webhook para sincronização em tempo real. Uma vez que os VPC Service Controls são concebidos para regimentar Google Cloud serviços, não bloqueiam nem protegem inerentemente o tráfego para estes pontos finais externos que não são da Google.
Para mitigar, o Gemini Enterprise garante que o seu tráfego de saída está protegido por regras de firewall da VPC detalhadas, que restringem as ligações de saída apenas aos nomes de domínio totalmente qualificados (FQDNs) do serviço externo que fornece.