Questa pagina è stata tradotta dall'API Cloud Translation.

Proteggere l'app con i Controlli di servizio VPC

Per proteggere correttamente un'app Gemini Enterprise e mitigare il rischio di esfiltrazione di dati, devi configurare un perimetro dei Controlli di servizio VPC. Utilizzando Controlli di servizio VPC e Gestore contesto accesso, puoi proteggere e controllare l'accesso alla tua app Gemini Enterprise e ai dati aziendali connessi.

Configura i Controlli di servizio VPC con Gemini Enterprise

Per proteggere le risorse Gemini Enterprise utilizzando i Controlli di servizio VPC:

Assicurati di aver configurato un perimetro dei Controlli di servizio VPC. Puoi creare un nuovo perimetro appositamente per la tua app Gemini Enterprise oppure utilizzare un perimetro esistente che contenga risorse correlate.

Per informazioni sui perimetri di servizio, vedi Dettagli e configurazione dei perimetri di servizio.
Aggiungi il Google Cloud progetto che contiene l'app Gemini Enterprise all'elenco delle risorse protette all'interno del perimetro di servizio.
Aggiungi le seguenti API all'elenco dei servizi limitati per il perimetro:
- API Discovery Engine: discoveryengine.googleapis.com

Una volta attivato il perimetro di servizio e l'API Discovery Engine è elencata come servizio con limitazioni, Controlli di servizio VPC adotta le seguenti misure di sicurezza:

Non è più possibile accedere all'API discoveryengine.googleapis.com da internet pubblico.
L'accesso all'interfaccia utente di Gemini Enterprise è bloccato, tranne nei casi consentiti dalle regole in entrata.
Le azioni di Gemini Enterprise sono bloccate e non possono essere create o utilizzate finché non contatti il tuo rappresentante Google e chiedi che ogni servizio venga aggiunto alla lista consentita. Per maggiori informazioni, consulta Utilizzare le azioni dopo aver attivato i Controlli di servizio VPC.

Limitare l'accesso pubblico utilizzando Gestore contesto accesso

Le applicazioni Gemini Enterprise sono rese pubblicamente accessibili a internet. Per impostazione predefinita, Gemini Enterprise richiede l'autenticazione degli utenti e l'autorizzazione per l'accesso. Controlli di servizio VPC e Gestore contesto accesso forniscono controlli aggiuntivi che puoi utilizzare per limitare l'accesso.

Utilizzando Gestore contesto accesso, puoi definire un controllo dell'accesso granulare e basato sugli attributi per progetti e risorse in Google Cloud. A questo scopo, devi definire un criterio di accesso, ovvero un contenitore a livello di organizzazione per i livelli di accesso e i perimetri di servizio.

I livelli di accesso descrivono i requisiti che devono essere soddisfatti affinché una richiesta venga onorata. Ad esempio, puoi limitare le richieste in base a quanto segue:

Tipo di dispositivo e sistema operativo (richiede una licenza Chrome Enterprise Premium)
Indirizzo IP
Identità utente

Architettura di riferimento che utilizza i Controlli di servizio VPC. — Architettura di riferimento che utilizza i Controlli di servizio VPC per proteggere Gemini Enterprise.

In questa architettura di riferimento, viene utilizzato un livello di accesso alla subnet IP pubblica per creare il criterio di accesso Controlli di servizio VPC.

Per controllare l'accesso a Gemini Enterprise utilizzando Gestore contesto accesso, segui le istruzioni riportate in Creazione di un livello di accesso di base per creare un livello di accesso di base. Specifica le seguenti opzioni:

Per Crea condizioni in, scegli Modalità di base.
Nel campo Titolo livello di accesso, inserisci corp-public-block.
Nella sezione Condizioni, per Se la condizione è soddisfatta, restituisci, seleziona TRUE.
In Subnet IP, seleziona IP pubblico.
Per l'intervallo di indirizzi IP, specifica il tuo indirizzo IP esterno.

Utilizzare le azioni dopo aver abilitato i Controlli di servizio VPC

Lo scopo principale dei Controlli di servizio VPC è impedire l'esfiltrazione di dati creando un perimetro di servizio sicuro attorno ai tuoi progetti e alle tue risorse. Le azioni di Gemini Enterprise, come l'invio di un'email o la creazione di un ticket Jira, sono considerate potenziali percorsi per l'uscita dei dati da questo perimetro sicuro. Poiché queste azioni possono interagire con servizi esterni o accedere a dati sensibili, i Controlli di servizio VPC le bloccano per garantire l'integrità del perimetro di sicurezza.

Di conseguenza, quando abiliti i Controlli di servizio VPC in un progetto Google Cloud contenente un'app Gemini Enterprise, la possibilità di creare e utilizzare le azioni dell'assistente Gemini Enterprise è bloccata per impostazione predefinita e la UI impedisce la creazione di una nuova azione. Se vuoi attivare le azioni dell'assistente per un servizio specifico nella tua app Gemini Enterprise protetta dai controlli di servizio VPC, contatta il tuo rappresentante di Google e richiedi che il servizio venga aggiunto a una lista consentita e attivato per l'utilizzo all'interno del perimetro di servizio.