App mit VPC Service Controls schützen

Um eine Gemini Enterprise-Anwendung richtig zu schützen und das Risiko einer Daten-Exfiltration zu minimieren, müssen Sie einen VPC Service Controls-Perimeter konfigurieren. Mit VPC Service Controls und Access Context Manager können Sie den Zugriff auf Ihre Gemini Enterprise-Anwendung und die verbundenen Unternehmensdaten schützen und steuern.

VPC Service Controls mit Gemini Enterprise einrichten

So schützen Sie Ihre Gemini Enterprise-Ressourcen mit VPC Service Controls:

  1. Prüfen Sie, ob ein VPC Service Controls-Perimeter konfiguriert ist. Sie können einen neuen Perimeter speziell für Ihre Gemini Enterprise-Anwendung erstellen oder einen vorhandenen Perimeter verwenden, in dem sich zugehörige Ressourcen befinden.

    Weitere Informationen zu Dienstperimetern finden Sie unter Informationen zu Dienstperimetern und deren Konfiguration.

  2. Fügen Sie das Google Cloud Projekt, das Ihre Gemini Enterprise-Anwendung enthält, der Liste der geschützten Ressourcen im Dienstperimeter hinzu.

  3. Fügen Sie die folgenden APIs der Liste der eingeschränkten Dienste für den Perimeter hinzu:

    • Discovery Engine API: discoveryengine.googleapis.com

Nachdem der Dienstperimeter aktiviert wurde und die Discovery Engine API als eingeschränkter Dienst aufgeführt ist, werden durch VPC Service Controls die folgenden Sicherheitsmaßnahmen ergriffen:

  • Auf die discoveryengine.googleapis.com API kann nicht mehr über das öffentliche Internet zugegriffen werden.

  • Der Zugriff auf die Gemini Enterprise-Benutzeroberfläche ist blockiert, sofern er nicht durch Regeln für eingehenden Traffic zugelassen wird.

  • Gemini Enterprise-Aktionen sind blockiert und können erst erstellt oder verwendet werden, wenn Sie sich an Ihren Google-Ansprechpartner wenden und darum bitten, dass jeder Dienst auf die Zulassungsliste gesetzt wird. Weitere Informationen finden Sie unter Aktionen nach dem Aktivieren von VPC Service Controls verwenden.

Öffentlichen Zugriff mit Access Context Manager einschränken

Gemini Enterprise-Anwendungen werden öffentlich im Internet zugänglich gemacht. Standardmäßig müssen sich Nutzer bei Gemini Enterprise authentifizieren und der Zugriff muss autorisiert werden. VPC Service Controls und Access Context Manager bieten zusätzliche Steuerelemente, mit denen Sie den Zugriff kontrollieren können.

Mit Access Context Manager können Sie eine differenzierte, attributbasierte Zugriffssteuerung für Projekte und Ressourcen in Google Clouddefinieren. Dazu müssen Sie eine Zugriffsrichtlinie definieren. Dies ist ein organisationsweiter Container für Zugriffsebenen und Dienstperimeter.

Zugriffsebenen beschreiben die Anforderungen, die erfüllt sein müssen, damit eine Anfrage berücksichtigt wird. Sie können Anfragen beispielsweise anhand der folgenden Kriterien einschränken:

Referenzarchitektur mit VPC Service Controls.
Referenzarchitektur mit VPC Service Controls zum Schutz von Gemini Enterprise.

In dieser Referenzarchitektur wird eine Zugriffsebene für öffentliche IP-Subnetze verwendet, um die VPC Service Controls-Zugriffsrichtlinie zu erstellen.

Wenn Sie den Zugriff auf Gemini Enterprise mit Access Context Manager kontrollieren möchten, folgen Sie der Anleitung unter Einfache Zugriffsebene erstellen. Geben Sie die folgenden Optionen an:

  1. Wählen Sie unter Bedingungen erstellen in die Option Standardmodus aus.

  2. Geben Sie in das Feld Titel der Zugriffsebene corp-public-block ein.

  3. Wählen Sie im Abschnitt Bedingungen für Bei erfüllter Bedingung Folgendes zurückgeben die Option WAHR aus.

  4. Wählen Sie für IP-Subnetzwerke die Option Öffentliche IP aus.

  5. Geben Sie für den IP-Adressbereich Ihre externe IP-Adresse an.

Aktionen nach dem Aktivieren von VPC Service Controls verwenden

VPC Service Controls soll in erster Linie Daten-Exfiltration verhindern, indem ein sicherer Dienstperimeter für Ihre Projekte und Ressourcen erstellt wird. Gemini Enterprise-Aktionen wie das Senden einer E‑Mail oder das Erstellen eines Jira-Tickets gelten als potenzielle Wege, über die Daten diesen sicheren Perimeter verlassen können. Da diese Aktionen mit externen Diensten interagieren oder auf sensible Daten zugreifen können, werden sie von VPC Service Controls blockiert, um die Integrität Ihrer Sicherheitsgrenze zu gewährleisten.

Wenn Sie VPC Service Controls für ein Google Cloud Projekt aktivieren, das eine Gemini Enterprise-Anwendung enthält, wird die Möglichkeit, Gemini Enterprise-Assistentenaktionen zu erstellen und zu verwenden, standardmäßig blockiert. Außerdem wird in der Benutzeroberfläche verhindert, dass Sie eine neue Aktion erstellen. Wenn Sie Assistentenaktionen für einen bestimmten Dienst in Ihrer Gemini Enterprise-Anwendung aktivieren möchten, die durch VPC Service Controls geschützt ist, wenden Sie sich an Ihren Google-Ansprechpartner und bitten Sie ihn, den Dienst auf eine Zulassungsliste zu setzen und für die Verwendung innerhalb Ihres Dienstperimeters zu aktivieren.