כדי לאבטח כמו שצריך אפליקציית Gemini Enterprise ולצמצם את הסיכון לזליגת נתונים, צריך להגדיר מתחם היקפי של VPC Service Controls. אתם יכולים להשתמש ב-VPC Service Controls וב-Access Context Manager כדי להגן על אפליקציית Gemini Enterprise ולשלוט בגישה אליה, וגם על נתונים ארגוניים שמחוברים אליה.
הגדרת VPC Service Controls עם Gemini Enterprise
כדי להגן על המשאבים של Gemini Enterprise באמצעות VPC Service Controls, צריך לבצע את הפעולות הבאות:
מוודאים שהגדרתם גבול גזרה של VPC Service Controls. אתם יכולים ליצור גבולות גזרה חדשים במיוחד לאפליקציית Gemini Enterprise, או להשתמש בגבולות גזרה קיימים שכוללים משאבים קשורים.
מידע על גבולות גזרה לשירות זמין במאמר פרטים והגדרה של גבולות גזרה לשירות.
מוסיפים את Google Cloud הפרויקט שמכיל את אפליקציית Gemini Enterprise לרשימת המשאבים המוגנים בתוך גבולות גזרה לשירות.
מוסיפים את ממשקי ה-API הבאים לרשימת השירותים המוגבלים להיקף:
- Discovery Engine API:
discoveryengine.googleapis.com
- Discovery Engine API:
אחרי שגבולות גזרה לשירות מופעלים וממשק Discovery Engine API מופיע כשירות מוגבל, VPC Service Controls מפעיל את אמצעי האבטחה הבאים:
אי אפשר יותר לגשת אל
discoveryengine.googleapis.comAPI מהאינטרנט הציבורי.הגישה לממשק המשתמש של Gemini Enterprise חסומה, אלא אם היא מותרת על ידי כללי כניסה.
פעולות ב-Gemini Enterprise חסומות ואי אפשר ליצור או להשתמש בהן עד שיוצרים קשר עם הנציג של Google ומבקשים להוסיף כל שירות לרשימת ההיתרים. מידע נוסף זמין במאמר שימוש בפעולות אחרי הפעלת VPC Service Controls.
הגבלת גישה ציבורית באמצעות Access Context Manager
אפליקציות Gemini Enterprise נגישות לציבור באינטרנט. כברירת מחדל, כדי לגשת ל-Gemini Enterprise, המשתמשים צריכים לעבור אימות ולקבל הרשאה. VPC Service Controls ו-Access Context Manager מספקים אמצעי בקרה נוספים שבהם אפשר להשתמש כדי להגביל את הגישה.
בעזרת Access Context Manager, אתם יכולים להגדיר בקרת גישה פרטנית שמבוססת על מאפיינים לפרויקטים ולמשאבים ב- Google Cloud. כדי לעשות זאת, צריך להגדיר מדיניות גישה, שהיא מאגר ברמת הארגון של רמות גישה ושל היקפי שירות.
רמות הגישה מתארות את הדרישות שצריך לעמוד בהן כדי שבקשה תאושר. לדוגמה, אתם יכולים להגביל בקשות על סמך:
- סוג המכשיר ומערכת ההפעלה (נדרש רישיון ל-Chrome Enterprise Premium)
- כתובת IP
- זהות המשתמש
בארכיטקטורת ההפניה הזו, נעשה שימוש ברמת גישה של תת-רשת עם כתובת IP ציבורית כדי ליצור את מדיניות הגישה של VPC Service Controls.
כדי להגביל את הגישה ל-Gemini Enterprise באמצעות Access Context Manager, צריך לפעול לפי ההוראות שבמאמר יצירת רמת גישה בסיסית. מציינים את האפשרויות הבאות:
בקטע יצירת תנאים ב, בוחרים באפשרות מצב בסיסי.
בשדה שם רמת הגישה מזינים
corp-public-block.בקטע תנאים, באפשרות כשהתנאי מתקיים, מחזירים, בוחרים באפשרות TRUE.
בקטע IP Subnetworks (רשתות משנה של כתובות IP), בוחרים באפשרות Public IP (כתובת IP גלויה לכולם).
בטווח כתובות ה-IP, מציינים את כתובת ה-IP החיצונית.
שימוש בפעולות אחרי הפעלת VPC Service Controls
המטרה העיקרית של VPC Service Controls היא למנוע זליגת נתונים על ידי יצירת גבולות גזרה לשירות מסביב לפרויקטים ולמשאבים שלכם. פעולות ב-Gemini Enterprise, כמו שליחת אימייל או יצירת כרטיס Jira, נחשבות לנתיבים פוטנציאליים להוצאת נתונים מגבולות הגזרה המאובטחים האלה. הפעולות האלה יכולות ליצור אינטראקציה עם שירותים חיצוניים או לגשת לנתונים רגישים, ולכן VPC Service Controls חוסם אותן כדי לשמור על השלמות של גבולות האבטחה.
כשמפעילים את VPC Service Controls ב Google Cloud פרויקט שמכיל אפליקציית Gemini Enterprise, יצירה ושימוש בפעולות של עוזר Gemini Enterprise נחסמים כברירת מחדל, וממשק המשתמש מונע יצירה של פעולות חדשות. פנו לנציג Google שלכם ובקשו להוסיף את השירות לרשימת ההיתרים ולהפעיל אותו לשימוש בתוך גבולות גזרה לשירות.
רק מאגרי הנתונים והדומיינים ברשימת ההיתרים של פרויקט יכולים לפעול ולבצע קריאות לרשת שיוצאות מההיקף המאובטח. חשוב לדעת: הוספת חיבור לרשימת ההיתרים מוסיפה גם דומיינים מוכרים וחיוניים שנדרשים על ידי מאגר הנתונים הזה, כמו graph.microsoft.com ו-api.atlassian.com.
גם דומיינים ייחודיים לכם, כמו your-company.atlassian.net או your-company.com, דורשים הוספה לרשימת ההיתרים. כדי להוסיף את הדומיינים האלה לרשימת ההיתרים, צריך לציין אותם כשפונים לנציג Google.