Para proteger adequadamente um app do Gemini Enterprise e reduzir o risco de exfiltração de dados, configure um perímetro do VPC Service Controls. Usando o VPC Service Controls e o Access Context Manager, é possível proteger e controlar o acesso ao app Gemini Enterprise e aos dados corporativos conectados.
Configurar o VPC Service Controls com o Gemini Enterprise
Para proteger seus recursos do Gemini Enterprise usando o VPC Service Controls, faça o seguinte:
Verifique se você tem um perímetro do VPC Service Controls configurado. Você pode criar um perímetro específico para o app Gemini Enterprise ou usar um perímetro atual que contenha recursos relacionados.
Para informações sobre perímetros de serviço, consulte Detalhes e configuração do perímetro de serviço.
Adicione o projeto Google Cloud que contém seu app Gemini Enterprise à lista de recursos protegidos no perímetro de serviço.
Adicione as seguintes APIs à lista de serviços restritos do perímetro:
- API Discovery Engine:
discoveryengine.googleapis.com
- API Discovery Engine:
Depois que o perímetro de serviço é ativado e a API DiscoveryEngine é listada como um serviço restrito, o VPC Service Controls implementa as seguintes medidas de segurança:
A API
discoveryengine.googleapis.comnão pode mais ser acessada pela Internet pública.O acesso à interface do usuário do Gemini Enterprise é bloqueado, exceto quando permitido pelas regras de entrada.
As ações do Gemini Enterprise são bloqueadas e não podem ser criadas ou usadas até que você entre em contato com seu representante do Google e peça para cada serviço ser adicionado à lista de permissões. Para mais informações, consulte Usar ações depois de ativar o VPC Service Controls.
Restringir o acesso público usando o Access Context Manager
Os aplicativos do Gemini Enterprise são disponibilizados publicamente na Internet. Por padrão, o Gemini Enterprise exige que os usuários façam a autenticação e autorização para acesso. O VPC Service Controls e o Access Context Manager oferecem controles adicionais que podem ser usados para restringir o acesso.
Com o Access Context Manager, é possível definir um controle de acesso refinado e baseado em atributos para projetos e recursos no Google Cloud. Para fazer isso, defina uma política de acesso, que é um contêiner de toda a organização para níveis de acesso e perímetros de serviço.
Os níveis de acesso descrevem os requisitos que precisam ser atendidos para que uma solicitação seja atendida. Por exemplo, é possível restringir solicitações com base no seguinte:
- Tipo de dispositivo e sistema operacional (requer uma licença do Chrome Enterprise Premium)
- Endereço IP
- Identidade do usuário
Nesta arquitetura de referência, um nível de acesso de sub-rede de IP público é usado para criar a política de acesso do VPC Service Controls.
Para restringir o acesso ao Gemini Enterprise usando o Access Context Manager, siga as instruções em Como criar um nível de acesso básico. Especifique as seguintes opções:
Em Criar condições em, escolha Modo básico.
No campo Título do nível de acesso, insira
corp-public-block.Na seção Condições, em Se a condição for atendida, retorne, selecione TRUE.
Em Sub-redes de IP, selecione IP público.
Para o intervalo de endereços IP, especifique seu endereço IP externo.
Usar ações depois de ativar o VPC Service Controls
O objetivo principal do VPC Service Controls é evitar a exfiltração de dados criando um perímetro de serviço seguro em torno dos seus projetos e recursos. As ações do Gemini Enterprise, como enviar um e-mail ou criar um tíquete do Jira, são consideradas caminhos potenciais para que os dados saiam desse perímetro seguro. Como essas ações podem interagir com serviços externos ou acessar dados sensíveis, o VPC Service Controls as bloqueia para garantir a integridade do limite de segurança.
Assim, quando você ativa o VPC Service Controls em um projeto do Google Cloud que contém um app do Gemini Enterprise, a capacidade de criar e usar ações do assistente do Gemini Enterprise é bloqueada por padrão, e a UI impede a criação de uma nova ação. Se você quiser ativar as ações do assistente para um serviço específico no app Gemini Enterprise protegido pelo VPC Service Controls, entre em contato com seu representante do Google e peça para adicionar o serviço a uma lista de permissões e ativá-lo para uso no perímetro de serviço.