Configure a proteção de IA

A proteção de IA ajuda a proteger os seus recursos e fluxos de trabalho de IA monitorizando os seus modelos, dados e infraestrutura relacionados com IA. Este guia descreve como configurar a proteção de IA.

Antes de começar

  1. Obtenha o ID da organização.
  2. Para criar e conceder funções, certifique-se de que tem as autorizações necessárias, como as funções de administrador de funções da gestão de identidade e de acesso (IAM) (roles/iam.roleAdmin) e administrador da organização (roles/resourcemanager.organizationAdmin). Para mais informações, consulte o índice de funções e autorizações de IAM.

Funções necessárias

Depois de concluir os passos em Antes de começar, siga os passos numa das secções seguintes para configurar as funções necessárias para o acesso à proteção de IA:

Funções personalizadas

Para agir de acordo com o princípio do menor privilégio, pode criar funções de IAM personalizadas que concedam apenas as autorizações necessárias para o acesso de visitante ou administrador.

Este documento mostra como criar e conceder funções personalizadas para a proteção de IA.

Configure o acesso de visitante

O acesso de leitor permite que um utilizador veja o painel de controlo e os dados da proteção de IA. Para configurar o acesso de leitor, crie uma função AIP Viewerpersonalizada e, em seguida, conceda essa função a um utilizador.

Crie a função personalizada AIP Viewer

Crie uma função personalizada que contenha todas as autorizações necessárias para o acesso só de leitura à proteção de IA.

Consola

  1. Na Google Cloud consola, aceda à página Funções.

Aceda a Funções

  1. Clique em Criar função.
  2. No campo Título, introduza AIP Viewer.
  3. O campo ID é preenchido automaticamente. Opcionalmente, pode alterá-lo para aip.viewer.
  4. No campo Descrição, introduza Grants permissions required to view AIP dashboard and data.
  5. Defina o Role launch stage como General Availability.
  6. Clique em Adicionar autorizações.

  7. Filtre e selecione cada uma das seguintes autorizações:

    • cloudasset.assets.exportResource
    • cloudasset.assets.searchAllIamPolicies
    • cloudasset.assets.searchAllResources
    • cloudasset.assets.searchEnrichmentResourceOwners
    • cloudasset.othercloudconnections.get
    • cloudasset.othercloudconnections.list
    • cloudsecuritycompliance.controlComplianceSummaries.list
    • cloudsecuritycompliance.frameworkComplianceReports.get
    • dspm.locations.computeAggregation
    • dspm.locations.fetchLineageConnections
    • monitoring.timeSeries.list
    • resourcemanager.organizations.get
    • resourcemanager.projects.get
    • securitycentermanagement.securityCommandCenter.get
    • securitycenter.assets.group
    • securitycenter.assets.list
    • securitycenter.attackpaths.list
    • securitycenter.complianceReports.aggregate
    • securitycenter.findings.group
    • securitycenter.findings.list
    • securitycenter.issues.get
    • securitycenter.issues.group
    • securitycenter.issues.list
    • securitycenter.issues.listFilterValues
    • securitycenter.simulations.get
    • securitycenter.sources.get
    • securitycenter.sources.list
    • securitycenter.userinterfacemetadata.get
    • securitycenter.valuedresources.list

  8. Clique em Adicionar.

  9. Clique em Criar.

gcloud

  1. Num terminal, execute o seguinte comando gcloud para criar a função:
gcloud iam roles create aip.viewer \
    --organization=ORGANIZATION_ID \
    --title="AIP Viewer" \
    --description="Grants permissions required to view AIP dashboard and data." \
    --permissions="cloudasset.assets.exportResource,cloudasset.assets.searchAllIamPolicies,cloudasset.assets.searchAllResources,cloudasset.assets.searchEnrichmentResourceOwners,cloudasset.othercloudconnections.get,cloudasset.othercloudconnections.list,cloudsecuritycompliance.controlComplianceSummaries.list,cloudsecuritycompliance.frameworkComplianceReports.get,dspm.locations.computeAggregation,dspm.locations.fetchLineageConnections,monitoring.timeSeries.list,resourcemanager.organizations.get,resourcemanager.projects.get,securitycentermanagement.securityCommandCenter.get,securitycenter.assets.group,securitycenter.assets.list,securitycenter.attackpaths.list,securitycenter.complianceReports.aggregate,securitycenter.findings.group,securitycenter.findings.list,securitycenter.issues.get,securitycenter.issues.group,securitycenter.issues.list,securitycenter.issues.listFilterValues,securitycenter.simulations.get,securitycenter.sources.get,securitycenter.sources.list,securitycenter.userinterfacemetadata.get,securitycenter.valuedresources.list" \

Substitua ORGANIZATION_ID pelo ID da sua organização.

Conceda acesso de visitante a um utilizador

Depois de criar a função personalizada AIP Viewer, conceda-a aos utilizadores que precisam de acesso de visualizador.

Consola

  1. Na Google Cloud consola, aceda à página IAM.

Aceda ao IAM

  1. Clique em Conceder acesso.
  2. No campo Novos membros, introduza o endereço de email do utilizador.
  3. No menu pendente Selecionar uma função, pesquise e selecione a função personalizada AIP Viewer.
  4. Clique em Guardar.

gcloud

  1. Num terminal, execute o seguinte comando gcloud:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="organizations/ORGANIZATION_ID/roles/aip.viewer"

Substitua o seguinte:

  • ORGANIZATION_ID: o ID da sua organização.
  • USER_EMAIL: o endereço de email do utilizador.

Configure o acesso de administrador

O acesso de administrador permite que um utilizador faça a gestão das funcionalidades de proteção de IA. Para configurar o acesso de administrador, primeiro cria a AIP Essentialsfunção personalizada. Em seguida, atribui essa função e as funções predefinidas necessárias a um utilizador.

Crie a função personalizada do AIP Essentials

Crie uma função personalizada que contenha as autorizações de apoio essenciais necessárias para a proteção de IA.

Consola

  1. Na Google Cloud consola, aceda à página Funções.

Aceda a Funções

  1. Clique em Criar função.
  2. No campo Título, introduza AIP Essentials.
  3. O campo ID é preenchido automaticamente. Opcionalmente, pode alterá-lo para aip.essentials.
  4. No campo Descrição, introduza Grants supporting permissions required to view AIP dashboard and data.
  5. Defina o Role launch stage como General Availability.
  6. Clique em Adicionar autorizações.

  7. Filtre e selecione cada uma das seguintes autorizações:

    • cloudasset.assets.searchEnrichmentResourceOwners
    • cloudasset.othercloudconnections.get
    • cloudasset.othercloudconnections.list
    • resourcemanager.organizations.get
    • resourcemanager.projects.get
    • securitycentermanagement.securityCommandCenter.get
    • securitycenter.assets.group
    • securitycenter.assets.list
    • securitycenter.attackpaths.list
    • securitycenter.complianceReports.aggregate
    • securitycenter.findings.group
    • securitycenter.findings.list
    • securitycenter.simulations.get
    • securitycenter.userinterfacemetadata.get
    • securitycenter.valuedresources.list

  8. Clique em Adicionar.

  9. Clique em Criar.

gcloud

  1. Num terminal, execute o seguinte comando gcloud para criar a função:
gcloud iam roles create aip.essentials \
    --organization=ORGANIZATION_ID \
    --title="AIP Essentials" \
    --description="Grants supporting permissions required to view AIP dashboard and data." \
    --permissions="cloudasset.assets.searchEnrichmentResourceOwners,cloudasset.othercloudconnections.get,cloudasset.othercloudconnections.list,resourcemanager.organizations.get,resourcemanager.projects.get,securitycentermanagement.securityCommandCenter.get,securitycenter.assets.group,securitycenter.assets.list,securitycenter.attackpaths.list,securitycenter.complianceReports.aggregate,securitycenter.findings.group,securitycenter.findings.list,securitycenter.simulations.get,securitycenter.userinterfacemetadata.get,securitycenter.valuedresources.list" \

Substitua ORGANIZATION_ID pelo ID da sua organização.

Conceda acesso de administrador a um utilizador

Depois de criar a função personalizada AIP Essentials, conceda-a, juntamente com as funções predefinidas necessárias, aos utilizadores que precisam de acesso de administrador.

Consola

  1. Na Google Cloud consola, aceda à página IAM.

Aceda ao IAM

  1. Clique em Conceder acesso.
  2. No campo Novos membros, introduza o endereço de email do utilizador.
  3. No menu pendente Selecionar uma função, pesquise e adicione cada uma das seguintes funções:
    • DSPM Admin (roles/dspm.admin)
    • Model Armor Admin (roles/modelarmor.admin)
    • Model Armor Floor Settings Admin (roles/modelarmor.floorSettingsAdmin)
    • Cloud Security Compliance Admin (roles/cloudsecuritycompliance.admin)
    • Security Center Findings Viewer (roles/securityCenter.findingsViewer)
    • Monitoring Viewer (roles/monitoring.viewer)
    • Cloud Asset Viewer (roles/cloudasset.viewer)
    • A função personalizada O essencial da IA que criou.
  4. Clique em Guardar.

gcloud

  1. Num terminal, execute os seguintes comandos, um para cada função:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/dspm.admin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/modelarmor.admin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/modelarmor.floorSettingsAdmin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/cloudsecuritycompliance.admin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/securityCenter.findingsViewer"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/monitoring.viewer"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/cloudasset.viewer"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="organizations/ORGANIZATION_ID/roles/aip.essentials"

Substitua o seguinte:

  • ORGANIZATION_ID: o ID da sua organização.
  • USER_EMAIL: o endereço de email do utilizador.

Funções predefinidas

Para receber as autorizações de que precisa para configurar a proteção de IA e ver os dados do painel de controlo, peça ao seu administrador para lhe conceder as seguintes funções do IAM na sua organização:

Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

Os seguintes comandos da CLI Google Cloud podem ser usados para atribuir as funções anteriores a um utilizador:

Atribua funções através da CLI gcloud

  • Para conceder a função de administrador do centro de segurança a um utilizador, execute o seguinte comando:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID
  --member=user:USER_EMAIL_ID
  --role=roles/securitycenter.admin

  • Para conceder a função Visualizador de administração do centro de segurança a um utilizador, execute o seguinte comando:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID
  --member=user:USER_EMAIL_ID
  --role=roles/securitycenter.adminViewer

    Substitua o seguinte:

    • ORGANIZATION_ID: o ID numérico da organização
    • USER_EMAIL_ID: o endereço de email do utilizador que requer acesso

Regiões suportadas

Para ver uma lista das regiões onde a proteção de IA é suportada, consulte os pontos finais regionais.

Acesso para contas de serviço

Certifique-se de que as políticas da organização não bloqueiam nenhuma conta de serviço mencionada nas secções seguintes.

Configure a proteção de IA

Conclua os passos seguintes para ativar a proteção de IA ao nível da organização:

Premium

  1. Se não ativou o Security Command Center na sua organização, ative o Security Command Center Premium.
  2. Depois de ativar o nível de serviço Premium do Security Command Center, configure a Proteção de IA acedendo a Definições > Gerir definições no cartão Proteção de IA.

    Aceda às definições da Proteção de IA

  3. Ative a descoberta dos recursos que quer proteger com a proteção de IA.
  4. Verifique o seu painel de controlo de segurança de IA acedendo a Vista geral de riscos > Segurança de IA.

Empresarial

  1. Se não ativou o Security Command Center na sua organização, ative o Security Command Center Enterprise.
  2. Depois de ativar o nível de serviço Enterprise do Security Command Center, configure a proteção de IA através das orientações no guia de configuração do SCC.

    Aceda ao guia de configuração

    1. Expanda o painel de resumo Reveja as capacidades de segurança.
    2. No painel Proteção de IA, clique em Configurar.
    3. Siga as instruções para verificar se os serviços necessários e dependentes da proteção de IA estão configurados. Para compreender o que é ativado automaticamente e o que requer configuração adicional, consulte o artigo Ative e configure Google Cloudos serviços.
  3. Ative a descoberta dos recursos que quer proteger com a proteção de IA.

Ative e configure Google Cloud serviços

Depois de ativar o Security Command Center Premium ou Enterprise, ative e configure serviços Google Cloud adicionais para usar todas as capacidades da proteção de IA.

Os seguintes serviços são ativados automaticamente:

  • Deteção de ameaças do motor do agente (pré-visualização)
  • Serviço de descoberta de IA
  • Simulações de caminhos de ataque
  • Cloud Audit Logs
  • Cloud Monitoring
  • Gestor de conformidade
  • Deteção de ameaças de eventos
  • Gestão da postura de segurança dos dados
  • Notebook Security Scanner
  • Proteção de dados confidenciais

Os seguintes serviços são necessários para a proteção de IA:

Alguns destes serviços requerem configuração adicional, conforme descrito nas secções seguintes.

Configure o serviço AI Discovery

O serviço AI Discovery é ativado automaticamente como parte da integração do Security Command Center Enterprise. A função do IAM Monitoring Viewer (roles/monitoring.viewer) é fornecida, mas verifique se está aplicada à conta de serviço da organização empresarial do Security Command Center.

  1. Na Google Cloud consola, aceda à página IAM.

    Aceda ao IAM

  2. Clique em Conceder acesso.

  3. No campo Novos membros, introduza a conta de serviço da organização do Security Command Center Enterprise. A conta de serviço usa o formato service-org-ORG_ID@security-center-api.gserviceaccount.com Substitua ORG_ID pelo ID da sua organização.

  4. No campo Selecionar uma função, selecione Visitante de monitorização.

  5. Clique em Guardar.

Configure controlos de nuvem DSPM avançados

Configure a DSPM com controlos avançados na nuvem para o acesso, o fluxo e a proteção de dados. Para mais informações, consulte o artigo Implemente controlos na nuvem de segurança de dados avançada.

Quando criar uma framework personalizada que se aplique a cargas de trabalho de IA, inclua estes controlos na nuvem:

  • Governança do acesso aos dados: restrinja o acesso a dados confidenciais a responsáveis específicos, como utilizadores ou grupos. Especifica os principais permitidos através da sintaxe do identificador principal do IAM v2. Por exemplo, pode criar uma política para permitir que apenas os membros de gdpr-processing-team@example.com acedam a recursos específicos.
  • Governança do fluxo de dados: restrinja o fluxo de dados a regiões específicas. Por exemplo, pode criar uma política para permitir o acesso aos dados apenas a partir dos EUA ou da UE. Especifica os códigos de países permitidos através do Unicode Common Locale Data Repository (CLDR).
  • Proteção de dados (com CMEK): identifique recursos criados sem chaves de encriptação geridas pelo cliente (CMEK) e receba recomendações. Por exemplo, pode criar uma política para detetar recursos criados sem CMEK para storage.googleapis.com e bigquery.googleapis.com. Esta política deteta recursos não encriptados, mas não impede a respetiva criação.

Configure o Model Armor

  1. Ative o serviço modelarmor.googleapis.com para cada projeto que usa a atividade de IA generativa. Para mais informações, consulte o artigo Comece a usar o Model Armor.
  2. Configure as seguintes definições para definir as definições de segurança para pedidos e respostas do modelo de linguagem grande (LLM):
    • Model Armor templates: crie um modelo do Model Armor. Estes modelos definem os tipos de riscos a detetar, como dados confidenciais, injeções de comandos e deteção de jailbreak. Também definem os limites mínimos para esses filtros.
    • Filtros: o Model Armor usa vários filtros para identificar riscos, incluindo a deteção de URLs maliciosos, a injeção de comandos e a deteção de jailbreak, bem como a proteção de dados confidenciais.
    • Definições de limite mínimo: configure as definições de limite mínimo ao nível do projeto para estabelecer a proteção predefinida para todos os modelos do Gemini.

Configure o verificador de segurança do notebook

  1. Ative o serviço Notebook Security Scanner para a sua organização. Para mais informações, consulte o artigo Ative o Scanner de segurança do Notebook.
  2. Conceda a função de visitante do Dataform (roles/dataform.viewer) a notebook-security-scanner-prod@system.gserviceaccount.com em todos os projetos que contenham blocos de notas.

Configure a Proteção de dados confidenciais

Ative a API dlp.googleapis.com para o seu projeto e configure a proteção de dados confidenciais para analisar dados confidenciais.

  1. Enable the Data Loss Prevention API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  2. Conceda as funções DLP Reader e DLP Data Profiles Admin aos utilizadores da proteção de IA.

  3. Configure a proteção de dados confidenciais para procurar dados confidenciais.

Opcional: configure recursos de elevado valor adicionais

Para criar uma configuração de valor do recurso, siga os passos descritos no artigo Crie uma configuração de valor do recurso.

Quando a próxima simulação de caminho de ataque for executada, abrange o conjunto de recursos de elevado valor e gera caminhos de ataque.

Limitações

Premium

A proteção de IA para o nível Security Command Center Premium tem as seguintes limitações para ambientes ativados para residência de dados:

  • A proteção de IA requer ativação manual. A proteção de IA não procura ameaças nem oferece proteção contra ameaças para estes ambientes até ser ativada.
  • Não pode aceder ao painel de controlo de segurança de IA nem à página de recursos de IA. Ambas as opções estão desativadas para estes ambientes.

Para mais informações sobre a residência de dados, consulte o artigo Planeamento da residência de dados.

O que se segue?