Protege tu app con los Controles del servicio de VPC

Para proteger correctamente una app de Gemini Enterprise y mitigar el riesgo de robo de datos, debes configurar un perímetro de Controles del servicio de VPC. Con los Controles del servicio de VPC y el Administrador de contextos de acceso, puedes proteger y controlar el acceso a tu app de Gemini Enterprise y a los datos empresariales conectados.

Configura los Controles del servicio de VPC con Gemini Enterprise

Para proteger tus recursos de Gemini Enterprise con los Controles del servicio de VPC, haz lo siguiente:

  1. Asegúrate de tener configurado un perímetro de Controles del servicio de VPC. Puedes crear un perímetro nuevo específicamente para tu app de Gemini Enterprise o usar un perímetro existente que contenga recursos relacionados.

    Para obtener información sobre los perímetros de servicio, consulta Configuración y detalles del perímetro de servicio.

  2. Agrega el proyecto Google Cloud que contiene tu app de Gemini Enterprise a la lista de recursos protegidos dentro del perímetro de servicio.

  3. Agrega las siguientes APIs a la lista de servicios restringidos para el perímetro:

    • API de Discovery Engine: discoveryengine.googleapis.com

Una vez que se habilita el perímetro de servicio y la API de Discovery Engine aparece como un servicio restringido, los Controles del servicio de VPC implementan las siguientes medidas de seguridad:

  • Ya no se puede acceder a la API de discoveryengine.googleapis.com desde Internet pública.

  • Se bloquea el acceso a la interfaz de usuario de Gemini Enterprise, excepto cuando lo permiten las reglas de entrada.

  • Las acciones de Gemini Enterprise están bloqueadas y no se pueden crear ni usar hasta que te comuniques con tu representante de Google y le pidas que agregue cada servicio a la lista de entidades permitidas. Para obtener más información, consulta Usa acciones después de habilitar los Controles del servicio de VPC.

Restringe el acceso público con Access Context Manager

Las aplicaciones de Gemini Enterprise son de acceso público a través de Internet. De forma predeterminada, Gemini Enterprise requiere que los usuarios se autentiquen y autoricen el acceso. Los Controles del servicio de VPC y Access Context Manager proporcionan controles adicionales que puedes usar para restringir el acceso.

Con Access Context Manager, puedes definir un control de acceso detallado basado en atributos para proyectos y recursos en Google Cloud. Para ello, debes definir una política de acceso, que es un contenedor en toda la organización para los niveles de acceso y los perímetros de servicio.

Los niveles de acceso describen los requisitos que se deben cumplir para que se respete una solicitud. Por ejemplo, puedes restringir las solicitudes según lo siguiente:

  • Tipo de dispositivo y sistema operativo (requiere una licencia de Chrome Enterprise Premium)
  • Dirección IP
  • Identidad de usuario
Arquitectura de referencia que usa los Controles del servicio de VPC.
Arquitectura de referencia que usa los Controles del servicio de VPC para proteger Gemini Enterprise.

En esta arquitectura de referencia, se usa un nivel de acceso a la subred de IP pública para compilar la política de acceso de los Controles del servicio de VPC.

Para restringir el acceso a Gemini Enterprise con Access Context Manager, sigue las instrucciones que se encuentran en Crea un nivel de acceso básico para crear un nivel de acceso básico. Especifica las siguientes opciones:

  1. En Crear condiciones en, elige Modo básico.

  2. En el campo Título del nivel de acceso ingresa corp-public-block.

  3. En la sección Condiciones, para Cuando se cumple la condición, devolver, selecciona TRUE.

  4. En Subredes de IP, selecciona IP pública.

  5. Para el rango de direcciones IP, especifica tu dirección IP externa.

Acciones que se deben realizar después de habilitar los Controles del servicio de VPC

El objetivo principal de los Controles del servicio de VPC es evitar el robo de datos mediante la creación de un perímetro de servicio seguro alrededor de tus proyectos y recursos. Las acciones de Gemini Enterprise, como enviar un correo electrónico o crear un ticket de Jira, se consideran posibles rutas para que los datos salgan de este perímetro seguro. Debido a que estas acciones pueden interactuar con servicios externos o acceder a datos sensibles, los Controles del servicio de VPC las bloquean para garantizar la integridad de tu límite de seguridad.

Por lo tanto, cuando habilitas los Controles del servicio de VPC en un proyecto que contiene una app de Gemini Enterprise, la capacidad de crear y usar acciones del asistente de Gemini Enterprise se bloquea de forma predeterminada, y la IU te impide crear una acción nueva. Google Cloud Si deseas habilitar las acciones del asistente para un servicio en particular en tu app de Gemini Enterprise protegida por los Controles del servicio de VPC, comunícate con tu representante de Google y solicita que se agregue el servicio a una lista de entidades permitidas y se habilite para su uso dentro de tu perímetro de servicio.