Nota:questa documentazione si applica alle versioni Standard, Plus e Frontline di Gemini Enterprise. Per informazioni sulla versione Business, consulta il Centro assistenza Gemini Enterprise - Business edition.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Proteggere l'app con i Controlli di servizio VPC

Per proteggere correttamente un'app Gemini Enterprise e ridurre il rischio di esfiltrazione di dati, devi configurare un perimetro dei Controlli di servizio VPC. Utilizzando Controlli di servizio VPC e Gestore contesto accesso, puoi proteggere e controllare l'accesso all'app Gemini Enterprise e ai dati aziendali connessi.

Configurare i Controlli di servizio VPC con Gemini Enterprise

Per proteggere le risorse Gemini Enterprise utilizzando i Controlli di servizio VPC:

Assicurati di aver configurato un perimetro dei Controlli di servizio VPC. Puoi creare un nuovo perimetro appositamente per l'app Gemini Enterprise o utilizzare un perimetro esistente che ospita le risorse correlate.

Per informazioni sui perimetri di servizio, consulta Dettagli e configurazione del perimetro di servizio.
Aggiungi il Google Cloud progetto che contiene l'app Gemini Enterprise a ll'elenco delle risorse protette all'interno del perimetro di servizio.
Aggiungi le seguenti API all'elenco dei servizi limitati per il perimetro:
- API Discovery Engine: discoveryengine.googleapis.com

Dopo aver abilitato il perimetro di servizio e aver elencato l'API Discovery Engine come servizio limitato, i Controlli di servizio VPC adottano le seguenti misure di sicurezza:

Non è più possibile accedere all'API discoveryengine.googleapis.com dalla rete internet pubblica.
L'accesso all'interfaccia utente di Gemini Enterprise è bloccato, tranne nei casi consentiti dalle regole del traffico in entrata.
Le azioni di Gemini Enterprise sono bloccate e non possono essere create o utilizzate finché non contatti il tuo rappresentante di Google e chiedi di aggiungere ogni servizio alla lista consentita. Per saperne di più, consulta Utilizzare le azioni dopo aver abilitato i Controlli di servizio VPC.

Limitare l'accesso pubblico utilizzando Gestore contesto accesso

Le applicazioni Gemini Enterprise sono rese accessibili pubblicamente alla rete internet pubblica. Per impostazione predefinita, Gemini Enterprise richiede agli utenti di autenticarsi e di avere l'autorizzazione per l'accesso. I Controlli di servizio VPC e Gestore contesto accesso forniscono controlli aggiuntivi che puoi utilizzare per limitare l'accesso.

Utilizzando Gestore contesto accesso, puoi definire un controllo dell'accesso granulare e basato sugli attributi per progetti e risorse in Google Cloud. Per farlo, devi definire una policy di accesso, ovvero un container a livello di organizzazione per i livelli di accesso e i perimetri di servizio.

I livelli di accesso descrivono i requisiti che devono essere soddisfatti affinché una richiesta venga accettata. Ad esempio, puoi limitare le richieste in base a:

Tipo di dispositivo e sistema operativo (richiede una Chrome Enterprise Premium licenza)
Indirizzo IP
Identità utente

Architettura di riferimento che utilizza i Controlli di servizio VPC. — Architettura di riferimento che utilizza i Controlli di servizio VPC per proteggere Gemini Enterprise.

In questa architettura di riferimento, viene utilizzato un livello di accesso alla subnet IP pubblica per creare la policy di accesso dei Controlli di servizio VPC.

Per limitare l'accesso a Gemini Enterprise utilizzando Gestore contesto accesso, segui le istruzioni riportate in Creare un livello di accesso di base per creare un livello di accesso di base. Specifica le seguenti opzioni:

Per Crea condizioni in, scegli Modalità di base.
Nel campo Titolo livello di accesso, inserisci corp-public-block.
Nella sezione Condizioni, per Quando la condizione è soddisfatta, restituisci, seleziona TRUE.
Per Subnet IP, seleziona IP pubblico.
Per l'intervallo di indirizzi IP, specifica il tuo indirizzo IP esterno.

Applicare i Controlli di servizio VPC ai datastore esistenti

L'applicazione di un perimetro dei Controlli di servizio VPC a un progetto con datastore esistenti non è supportata.

Per applicare i Controlli di servizio VPC a un datastore esistente:

Elimina e poi ricrea il datastore.

In questo modo, i controlli di servizio vengono applicati e il traffico può fluire correttamente.

Utilizzare le azioni dopo aver abilitato i Controlli di servizio VPC

L'obiettivo principale dei Controlli di servizio VPC è impedire l'esfiltrazione di dati creando un perimetro di servizio sicuro attorno a progetti e risorse. Le azioni di Gemini Enterprise, come l'invio di un'email o la creazione di un ticket Jira, sono considerate potenziali percorsi per l'uscita dei dati da questo perimetro sicuro. Poiché queste azioni possono interagire con servizi esterni o accedere a dati sensibili, i Controlli di servizio VPC le bloccano per garantire l'integrità del limite di sicurezza.

Quando abiliti i Controlli di servizio VPC in un Google Cloud progetto contenente un' app Gemini Enterprise, la creazione e l'utilizzo delle azioni dell'assistente Gemini Enterprise vengono bloccati per impostazione predefinita e l'interfaccia utente impedisce la creazione di nuove azioni. Contatta il tuo rappresentante di Google e chiedi che il servizio venga aggiunto a una lista consentita e abilitato per l'utilizzo all'interno del perimetro di servizio.

Solo i datastore e i domini nella lista consentita di un progetto possono eseguire ed effettuare chiamate di rete in uscita dal perimetro sicuro. È fondamentale che l'aggiunta di una connessione alla lista consentita aggiunga anche domini noti ed essenziali richiesti dal datastore, come graph.microsoft.com e api.atlassian.com.

Anche i domini univoci, come your-company.atlassian.net o your-company.com, richiedono una voce nella lista consentita. Devi fornire questi domini quando contatti il tuo rappresentante di Google per aggiungerli alla lista consentita.