O Google ajuda as organizações a proteger o ambiente de nuvem e os dados, além de obedecer às regulamentações do setor. Para informações gerais sobre segurança em todos os produtos do Google Cloud Google Cloud, consulte a Google Cloud visão geral da segurança.
Configurações de segurança do usuário final
Gerenciar as configurações do Identity and Access Management (IAM) no Gemini Enterprise é fundamental para a segurança. Os recursos listados nesta seção ajudam você a entender as permissões e os controles de acesso no Gemini Enterprise:
- Identidade e permissões
- Configurar identidades externas
- Autenticar na API Gemini Enterprise
- Controle de acesso com o IAM
Há suporte para as seguintes estruturas de autenticação:
Segurança de dados do Gemini Enterprise
É importante proteger seus dados contra ameaças, violações e roubo de identidade. O Gemini Enterprise tem as seguintes medidas de segurança:
- O Gemini Enterprise está integrado ao VPC Service Controls.
Criptografia de dados padrão com chaves de criptografia gerenciadas pelo cliente (CMEK).
O Gemini Enterprise também oferece suporte ao gerenciador de chaves externas (EKM, na sigla em inglês) ou ao módulo de segurança de hardware (HSM, na sigla em inglês). Para informações sobre as limitações aplicadas ao CMEK e ao EKM, consulte Limitações do Cloud Key Management Service no Gemini Enterprise.
Conformidade do Gemini Enterprise
A conformidade de dados envolve atender aos requisitos legais e regulamentares para o tratamento de informações pessoais e sensíveis. Ela rege a coleta de dados, o armazenamento, o uso e a segurança para garantir a privacidade e a proteção.
Os recursos listados nesta seção fornecem informações para ajudar você a manter a transparência e a conformidade dos dados:
- Ativar transparência no acesso
- Registro de auditoria
- Locais do Gemini Enterprise
- Certificações de conformidade e controles de segurança
- O Gemini Enterprise exclui os dados solicitados pelo usuário em até 60 dias. Para mais informações, consulte Exclusão de dados no Google Cloud.
Federação de identidade de colaboradores e administradores de pool
Se você usar a federação de identidade de colaboradores para autenticar seus usuários, conceda os papéis do IAM Administrador de pool de identidades de colaboradores (roles/iam.workforcePoolAdmin) e Editor de pool de colaboradores (roles/iam.workforcePoolEditor) a alguns dos seus administradores. Esses papéis podem modificar os mapeamentos de atributos do pool de colaboradores.
Mudanças incorretas, intencionais ou acidentais, correm o risco de permitir a representação de usuários, o que pode levar a ações e acesso não autorizados a documentos.
Por esse motivo, recomendamos o seguinte:
Conceda esses papéis de pool de colaboradores apenas a administradores confiáveis que realmente precisem deles.
Use o Privileged Access Manager para configurar direitos para esses papéis e auditar o uso deles.
Integre os registros de auditoria da federação de identidade de colaboradores à sua solução de monitoramento de segurança (por exemplo, SIEM) para detectar e alertar rapidamente sobre mudanças nos mapeamentos de atributos ou tentativas de acesso não autorizadas.
Required Google Cloud APIs
Para começar a usar o Gemini Enterprise, as seguintes APIs precisam ser ativadas:
- API Vertex AI
- API Gemini Enterprise (Discovery Engine)
- API Cloud Storage
- API Identity and Access Management
Para mais informações sobre como começar a usar o Gemini Enterprise, consulte a seção Antes de começar.
Para desativar a API Gemini Enterprise (Discovery Engine), consulte Desativar o Gemini Enterprise.
Conectores de terceiros e endpoints públicos
Os conectores de terceiros interagem com endpoints públicos fora da rede do Google. Por exemplo, endpoints para a API de um terceiro para dados de pesquisa ou um URL do webhook para sincronização em tempo real. Como o VPC Service Controls foi projetado para reger Google Cloud serviços, ele não bloqueia nem protege inerentemente o tráfego para esses endpoints externos que não são do Google.
Para mitigar isso, o Gemini Enterprise garante que o tráfego de saída seja protegido por regras detalhadas de firewall da VPC, que restringem as conexões de saída apenas aos nomes de domínio totalmente qualificados (FQDNs, na sigla em inglês) do serviço externo fornecido.