Sécuriser votre application avec VPC Service Controls

Pour sécuriser correctement une application Gemini Enterprise et limiter le risque d'exfiltration de données, vous devez configurer un périmètre VPC Service Controls. Grâce à VPC Service Controls et à Access Context Manager, vous pouvez protéger votre application Gemini Enterprise et les données d'entreprise connectées, et contrôler l'accès à ces éléments.

Configurer VPC Service Controls avec Gemini Enterprise

Pour protéger vos ressources Gemini Enterprise à l'aide de VPC Service Controls, procédez comme suit :

  1. Assurez-vous qu'un périmètre VPC Service Controls est configuré. Vous pouvez créer un périmètre spécifiquement pour votre application Gemini Enterprise ou utiliser un périmètre existant qui héberge des ressources associées.

    Pour en savoir plus sur les périmètres de service, consultez la page Périmètres de service : détails et configuration.

  2. Ajoutez le Google Cloud projet contenant votre application Gemini Enterprise à la liste des ressources protégées dans le périmètre de service.

  3. Ajoutez les API suivantes à la liste des services limités pour le périmètre :

    • API Discovery Engine : discoveryengine.googleapis.com

Une fois le périmètre de service activé et l'API Discovery Engine répertoriée comme service limité, VPC Service Controls met en place les mesures de sécurité suivantes :

  • L'API discoveryengine.googleapis.com n'est plus accessible depuis l'Internet public.

  • L'accès à l'interface utilisateur de Gemini Enterprise est bloqué, sauf lorsque les règles d'entrée l'autorisent.

  • Les actions Gemini Enterprise sont bloquées et ne peuvent pas être créées ni utilisées tant que vous n'avez pas contacté votre représentant Google et demandé à ce que chaque service soit ajouté à la liste d'autorisation. Pour en savoir plus, consultez la section Utiliser des actions après avoir activé VPC Service Controls.

Restreindre l'accès public à l'aide d'Access Context Manager

Les applications Gemini Enterprise sont accessibles publiquement sur l'Internet public. Par défaut, Gemini Enterprise exige que les utilisateurs s'authentifient et soient autorisés à accéder aux données. VPC Service Controls et Access Context Manager fournissent des contrôles supplémentaires que vous pouvez utiliser pour limiter l'accès.

Access Context Manager vous permet de définir un contrôle d'accès précis basé sur des attributs pour les projets et les ressources Google Cloud. Pour ce faire, vous devez définir une règle d'accès, qui est un conteneur à l'échelle de l'organisation pour les niveaux d'accès et les périmètres de service.

Les niveaux d'accès décrivent les conditions à remplir pour qu'une requête soit honorée. Par exemple, vous pouvez limiter les requêtes en fonction des éléments suivants :

Architecture de référence utilisant VPC Service Controls.
Architecture de référence utilisant VPC Service Controls pour protéger Gemini Enterprise.

Dans cette architecture de référence, un niveau d'accès au sous-réseau IP public est utilisé pour créer la règle d'accès VPC Service Controls.

Pour limiter l'accès à Gemini Enterprise à l'aide d'Access Context Manager, suivez les instructions de la section Créer un niveau d'accès de base pour créer un niveau d'accès de base. Spécifiez les options suivantes :

  1. Pour Créer des conditions en, sélectionnez Mode de base.

  2. Dans le champ Titre du niveau d'accès, saisissez corp-public-block.

  3. Dans la section Conditions, pour Lorsque la condition est remplie, renvoyer, sélectionnez VRAI.

  4. Pour Sous-réseaux IP, sélectionnez IP publique.

  5. Pour la plage d'adresses IP, spécifiez votre adresse IP externe.

Appliquer VPC Service Controls aux magasins de données existants

L'application d'un périmètre VPC Service Controls à un projet comportant des magasins de données existants n'est pas compatible.

Pour appliquer VPC Service Controls à un data store existant :

  1. Supprimez le data store, puis recréez-le.

    Cela applique les contrôles de service et permet au trafic de circuler correctement.

Utiliser des actions après avoir activé VPC Service Controls

L'objectif principal de VPC Service Controls est d'empêcher l'exfiltration de données en créant un périmètre de service sécurisé autour de vos projets et ressources. Les actions Gemini Enterprise, telles que l'envoi d'un e-mail ou la création d'un ticket Jira, sont considérées comme des chemins potentiels pour que les données quittent ce périmètre sécurisé. Étant donné que ces actions peuvent interagir avec des services externes ou accéder à des données sensibles, VPC Service Controls les bloque pour garantir l'intégrité de votre limite de sécurité.

Lorsque vous activez VPC Service Controls sur un Google Cloud projet contenant une application Gemini Enterprise, la création et l'utilisation d'actions d'assistant Gemini Enterprise sont bloquées par défaut, et l'interface utilisateur vous empêche de créer de nouvelles actions. Contactez votre représentant Google et demandez à ce que le service soit ajouté à une liste d'autorisation et activé pour être utilisé dans votre périmètre de service.

Seuls les magasins de données et les domaines figurant sur la liste d'autorisation d'un projet peuvent s'exécuter et effectuer des appels réseau qui sortent du périmètre sécurisé. Il est essentiel de noter que l'ajout d'une connexion à la liste d'autorisation ajoute également les domaines connus et essentiels requis par ce data store, tels que graph.microsoft.com et api.atlassian.com.

Les domaines qui vous sont propres, tels que your-company.atlassian.net ou your-company.com, nécessitent également une entrée dans la liste d'autorisation. Vous devez fournir ces domaines lorsque vous contactez votre représentant Google pour les ajouter à la liste d'autorisation.