Diese Seite wurde von der Cloud Translation API übersetzt.

App mit VPC Service Controls schützen

Um eine Gemini Enterprise-App richtig zu schützen und das Risiko einer Daten-Exfiltration zu minimieren, müssen Sie einen VPC Service Controls-Perimeter konfigurieren. Mit VPC Service Controls und Access Context Manager können Sie den Zugriff auf Ihre Gemini Enterprise-App und die verbundenen Unternehmensdaten schützen und steuern.

VPC Service Controls mit Gemini Enterprise einrichten

So schützen Sie Ihre Gemini Enterprise-Ressourcen mit VPC Service Controls:

Prüfen Sie, ob ein VPC Service Controls-Perimeter konfiguriert ist. Sie können einen neuen Perimeter speziell für Ihre Gemini Enterprise-App erstellen oder einen vorhandenen Perimeter verwenden, der zugehörige Ressourcen enthält.

Weitere Informationen zu Dienstperimetern finden Sie unter Informationen zu Dienstperimetern und deren Konfiguration.
Fügen Sie das Google Cloud Projekt, das Ihre Gemini Enterprise-App enthält, der Liste der geschützten Ressourcen im Dienstperimeter hinzu.
Fügen Sie die folgenden APIs der Liste der eingeschränkten Dienste für den Perimeter hinzu:
- Discovery Engine API: discoveryengine.googleapis.com

Sobald der Dienstperimeter aktiviert ist und die Discovery Engine API als eingeschränkter Dienst aufgeführt wird, werden durch VPC Service Controls die folgenden Sicherheitsmaßnahmen ergriffen:

Auf die discoveryengine.googleapis.com API kann nicht mehr über das öffentliche Internet zugegriffen werden.
Der Zugriff auf die Gemini Enterprise-Benutzeroberfläche ist blockiert, sofern er nicht durch Ingress-Regeln zugelassen wird.
Gemini Enterprise-Aktionen werden blockiert und können erst erstellt oder verwendet werden, wenn Sie Ihren Google-Ansprechpartner kontaktieren und darum bitten, dass jeder Dienst auf die Zulassungsliste gesetzt wird. Weitere Informationen finden Sie unter Aktionen nach dem Aktivieren von VPC Service Controls verwenden.

Öffentlichen Zugriff mit Access Context Manager einschränken

Gemini Enterprise-Anwendungen sind öffentlich im Internet zugänglich. Standardmäßig müssen sich Nutzer bei Gemini Enterprise authentifizieren und der Zugriff muss autorisiert werden. VPC Service Controls und Access Context Manager bieten zusätzliche Steuerelemente, mit denen Sie den Zugriff einschränken können.

Mit Access Context Manager können Sie eine differenzierte, attributbasierte Zugriffssteuerung für Projekte und Ressourcen in Google Clouddefinieren. Dazu müssen Sie eine Zugriffsrichtlinie definieren. Dies ist ein organisationsweiter Container für Zugriffsebenen und Dienstperimeter.

Zugriffsebenen beschreiben die Anforderungen, die erfüllt sein müssen, damit eine Anfrage berücksichtigt wird. Sie können Anfragen beispielsweise anhand der folgenden Kriterien einschränken:

Gerätetyp und Betriebssystem (erfordert eine Chrome Enterprise Premium-Lizenz)
IP-Adresse
Nutzeridentität

Referenzarchitektur mit VPC Service Controls. — Referenzarchitektur mit VPC Service Controls zum Schutz von Gemini Enterprise.

In dieser Referenzarchitektur wird eine Zugriffsebene für öffentliche IP-Subnetze verwendet, um die VPC Service Controls-Zugriffsrichtlinie zu erstellen.

Wenn Sie den Zugriff auf Gemini Enterprise mit Access Context Manager einschränken möchten, folgen Sie der Anleitung unter Einfache Zugriffsebene erstellen. Geben Sie die folgenden Optionen an:

Wählen Sie unter Bedingungen erstellen in die Option Basismodus aus.
Geben Sie in das Feld Titel der Zugriffsebene corp-public-block ein.
Wählen Sie im Abschnitt Bedingungen für Wenn Bedingung erfüllt ist, folgenden Wert zurückgeben die Option WAHR aus.
Wählen Sie unter IP-Subnetzwerke die Option Öffentliche IP aus.
Geben Sie für den IP-Adressbereich Ihre externe IP-Adresse an.

Aktionen nach dem Aktivieren von VPC Service Controls verwenden

VPC Service Controls soll in erster Linie Daten-Exfiltration verhindern, indem ein sicherer Dienstperimeter für Ihre Projekte und Ressourcen erstellt wird. Gemini Enterprise-Aktionen wie das Senden einer E‑Mail oder das Erstellen eines Jira-Tickets gelten als potenzielle Wege, über die Daten diesen sicheren Perimeter verlassen können. Da diese Aktionen mit externen Diensten interagieren oder auf sensible Daten zugreifen können, werden sie von VPC Service Controls blockiert, um die Integrität Ihrer Sicherheitsgrenze zu gewährleisten.

Wenn Sie VPC Service Controls für ein Google Cloud Projekt mit einer Gemini Enterprise-App aktivieren, wird die Möglichkeit, Gemini Enterprise-Assistentenaktionen zu erstellen und zu verwenden, standardmäßig blockiert. In der Benutzeroberfläche können Sie keine neue Aktion erstellen. Wenn Sie Assistant-Aktionen für einen bestimmten Dienst in Ihrer Gemini Enterprise-App aktivieren möchten, die durch VPC Service Controls geschützt ist, wenden Sie sich an Ihren Google-Ansprechpartner und bitten Sie ihn, den Dienst auf die Zulassungsliste zu setzen und für die Verwendung in Ihrem Dienstperimeter zu aktivieren.