Sécuriser votre application avec VPC Service Controls

Pour sécuriser correctement une application Gemini Enterprise et limiter le risque d'exfiltration de données, vous devez configurer un périmètre VPC Service Controls. En utilisant VPC Service Controls et Access Context Manager, vous pouvez protéger l'accès à votre application Gemini Enterprise et aux données d'entreprise associées, et le contrôler.

Configurer VPC Service Controls avec Gemini Enterprise

Pour protéger vos ressources Gemini Enterprise à l'aide de VPC Service Controls, procédez comme suit :

  1. Assurez-vous d'avoir configuré un périmètre VPC Service Controls. Vous pouvez créer un périmètre spécifiquement pour votre application Gemini Enterprise ou utiliser un périmètre existant qui héberge des ressources associées.

    Pour en savoir plus sur les périmètres de service, consultez Périmètres de service : détails et configuration.

  2. Ajoutez le projet Google Cloud contenant votre application Gemini Enterprise à la liste des ressources protégées dans le périmètre de service.

  3. Ajoutez les API suivantes à la liste des services restreints pour le périmètre :

    • API Discovery Engine : discoveryengine.googleapis.com

Une fois le périmètre de service activé et l'API DiscoveryEngine répertoriée comme service restreint, VPC Service Controls met en place les mesures de sécurité suivantes :

  • L'API discoveryengine.googleapis.com n'est plus accessible depuis l'Internet public.

  • L'accès à l'interface utilisateur Gemini Enterprise est bloqué, sauf si les règles d'entrée l'autorisent.

  • Les actions Gemini Enterprise sont bloquées et ne peuvent pas être créées ni utilisées tant que vous n'avez pas contacté votre représentant Google pour demander que chaque service soit ajouté à la liste d'autorisation. Pour en savoir plus, consultez Utiliser des actions après avoir activé VPC Service Controls.

Limiter l'accès public à l'aide d'Access Context Manager

Les applications Gemini Enterprise sont accessibles publiquement sur Internet. Par défaut, Gemini Enterprise exige que les utilisateurs s'authentifient et autorisent l'accès. VPC Service Controls et Access Context Manager fournissent des contrôles supplémentaires que vous pouvez utiliser pour limiter l'accès.

Access Context Manager vous permet de définir un contrôle d'accès précis basé sur des attributs pour les projets et les ressources dans Google Cloud. Pour ce faire, vous devez définir une règle d'accès, qui est un conteneur à l'échelle de l'organisation pour les niveaux d'accès et les périmètres de service.

Les niveaux d'accès décrivent les conditions à remplir pour qu'une requête soit honorée. Par exemple, vous pouvez limiter les demandes en fonction des éléments suivants :

  • Type d'appareil et système d'exploitation (nécessite une licence Chrome Enterprise Premium)
  • Adresse IP
  • Identité des utilisateurs
Architecture de référence utilisant VPC Service Controls.
Architecture de référence utilisant les VPC Service Controls pour protéger Gemini Enterprise.

Dans cette architecture de référence, un niveau d'accès au sous-réseau IP public est utilisé pour créer la règle d'accès VPC Service Controls.

Pour limiter l'accès à Gemini Enterprise à l'aide d'Access Context Manager, suivez les instructions de la section Créer un niveau d'accès de base. Spécifiez les options suivantes :

  1. Pour Créer des conditions en, sélectionnez Mode de base.

  2. Dans le champ Titre du niveau d'accès, saisissez corp-public-block.

  3. Dans la section Conditions, pour Lorsque la condition est remplie, renvoyer, sélectionnez TRUE.

  4. Pour Sous-réseaux IP, sélectionnez Adresse IP publique.

  5. Pour la plage d'adresses IP, spécifiez votre adresse IP externe.

Utiliser des actions après avoir activé VPC Service Controls

VPC Service Controls vise principalement à empêcher l'exfiltration de données en créant un périmètre de service sécurisé autour de vos projets et ressources. Les actions Gemini Enterprise, telles que l'envoi d'un e-mail ou la création d'un ticket Jira, sont considérées comme des chemins potentiels pour que les données quittent ce périmètre sécurisé. Étant donné que ces actions peuvent interagir avec des services externes ou accéder à des données sensibles, VPC Service Controls les bloque pour garantir l'intégrité de votre limite de sécurité.

Par conséquent, lorsque vous activez VPC Service Controls sur un projet Google Cloud contenant une application Gemini Enterprise, la possibilité de créer et d'utiliser des actions d'assistant Gemini Enterprise est bloquée par défaut, et l'UI vous empêche de créer une action. Si vous souhaitez activer les actions de l'assistant pour un service spécifique dans votre application Gemini Enterprise protégée par VPC Service Controls, contactez votre représentant Google et demandez à ce que le service soit ajouté à une liste d'autorisation et activé pour être utilisé dans votre périmètre de service.