Configurar AI Protection

AI Protection te ayuda a proteger tus recursos y flujos de trabajo de IA monitorizando tus modelos, datos e infraestructura relacionados con la IA. En esta guía se describe cómo configurar AI Protection.

Antes de empezar

1. Obtén el ID de tu organización.
2. Para crear y asignar roles, asegúrate de tener los permisos necesarios, como los roles Administrador de roles de Gestión de Identidades y Accesos (IAM) (roles/iam.roleAdmin) y Administrador de la organización (roles/resourcemanager.organizationAdmin). Para obtener más información, consulta el índice de roles y permisos de gestión de identidades y accesos.

Roles obligatorios

Una vez que hayas completado los pasos de la sección Antes de empezar, sigue los pasos de una de las secciones siguientes para configurar los roles necesarios para acceder a Protección con IA:

• Roles personalizados
• Roles predefinidos

Roles personalizados

Para cumplir el principio de mínimos accesos, puedes crear roles de IAM personalizados que solo concedan los permisos necesarios para el acceso de lectura o de administrador.

En este documento se explica cómo crear y asignar roles personalizados para Protección con IA.

Configurar el acceso de lectura

El acceso de lector permite que un usuario vea el panel de control y los datos de Protección con IA. Para configurar el acceso de lectura, crea un rol AIP Viewer personalizado y, a continuación, asigna ese rol a un usuario.

Crear el rol personalizado Lector de AIP

Crea un rol personalizado que contenga todos los permisos necesarios para tener acceso de solo lectura a Protección con IA.

gcloud iam roles create aip.viewer \
    --organization=ORGANIZATION_ID \
    --title="AIP Viewer" \
    --description="Grants permissions required to view AIP dashboard and data." \
    --permissions="cloudasset.assets.exportResource,cloudasset.assets.searchAllIamPolicies,cloudasset.assets.searchAllResources,cloudasset.assets.searchEnrichmentResourceOwners,cloudasset.othercloudconnections.get,cloudasset.othercloudconnections.list,cloudsecuritycompliance.controlComplianceSummaries.list,cloudsecuritycompliance.frameworkComplianceReports.get,dspm.locations.computeAggregation,dspm.locations.fetchLineageConnections,monitoring.timeSeries.list,resourcemanager.organizations.get,resourcemanager.projects.get,securitycentermanagement.securityCommandCenter.get,securitycenter.assets.group,securitycenter.assets.list,securitycenter.attackpaths.list,securitycenter.complianceReports.aggregate,securitycenter.findings.group,securitycenter.findings.list,securitycenter.issues.get,securitycenter.issues.group,securitycenter.issues.list,securitycenter.issues.listFilterValues,securitycenter.simulations.get,securitycenter.sources.get,securitycenter.sources.list,securitycenter.userinterfacemetadata.get,securitycenter.valuedresources.list" \

Conceder acceso de lectura a un usuario

Después de crear el rol personalizado AIP Viewer, concédelo a los usuarios que necesiten acceso de lectura.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="organizations/ORGANIZATION_ID/roles/aip.viewer"

Configurar el acceso de administrador

El acceso de administrador permite que un usuario gestione las funciones de Protección con IA. Para configurar el acceso de administrador, primero debes crear el AIP Essentialsrol personalizado. A continuación, asigna ese rol y los roles predefinidos necesarios a un usuario.

Crear el rol personalizado de AIP Essentials

Crea un rol personalizado que contenga los permisos de asistencia esenciales necesarios para Protección con IA.

gcloud iam roles create aip.essentials \
    --organization=ORGANIZATION_ID \
    --title="AIP Essentials" \
    --description="Grants supporting permissions required to view AIP dashboard and data." \
    --permissions="cloudasset.assets.searchEnrichmentResourceOwners,cloudasset.othercloudconnections.get,cloudasset.othercloudconnections.list,resourcemanager.organizations.get,resourcemanager.projects.get,securitycentermanagement.securityCommandCenter.get,securitycenter.assets.group,securitycenter.assets.list,securitycenter.attackpaths.list,securitycenter.complianceReports.aggregate,securitycenter.findings.group,securitycenter.findings.list,securitycenter.simulations.get,securitycenter.userinterfacemetadata.get,securitycenter.valuedresources.list" \

Conceder acceso de administrador a un usuario

Después de crear el AIP Essentials rol personalizado, concédelo junto con los roles predefinidos necesarios a los usuarios que necesiten acceso de administrador.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/dspm.admin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/modelarmor.admin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/modelarmor.floorSettingsAdmin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/cloudsecuritycompliance.admin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/securityCenter.findingsViewer"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/monitoring.viewer"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/cloudasset.viewer"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="organizations/ORGANIZATION_ID/roles/aip.essentials"

Funciones predefinidas

Para obtener los permisos que necesitas para configurar Protección con IA y ver los datos del panel de control, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en tu organización:

• Configurar Protección con IA y ver los datos del panel de control: Administrador del Centro de Seguridad (roles/securitycenter.admin)
• Ver solo los datos del panel de control: Lector de administración del Centro de Seguridad (roles/securitycenter.adminViewer)

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar acceso a proyectos, carpetas y organizaciones.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Puedes usar los siguientes comandos de la CLI de Google Cloud para asignar los roles anteriores a un usuario:

Asignar roles con gcloud CLI

• Para asignar el rol Administrador de Security Center a un usuario, ejecuta el siguiente comando:

  gcloud organizations add-iam-policy-binding ORGANIZATION_ID
    --member=user:USER_EMAIL_ID
    --role=roles/securitycenter.admin
  

• Para asignar el rol Lector administrador de Security Center a un usuario, ejecuta el siguiente comando:

  gcloud organizations add-iam-policy-binding ORGANIZATION_ID
    --member=user:USER_EMAIL_ID
    --role=roles/securitycenter.adminViewer
  

  Haz los cambios siguientes:

  • ORGANIZATION_ID: el ID numérico de la organización
  • USER_EMAIL_ID: la dirección de correo del usuario que necesita acceso

Regiones disponibles

Para ver una lista de las regiones en las que se admite Protección con IA, consulta Endpoints regionales.

Acceso para cuentas de servicio

Asegúrate de que las políticas de la organización no bloqueen ninguna de las cuentas de servicio mencionadas en las siguientes secciones.

Configurar AI Protection

Para habilitar AI Protection a nivel de organización, sigue estos pasos:

Activar y configurar Google Cloud servicios

Después de activar Security Command Center Premium o Enterprise, activa y configura servicios adicionales deGoogle Cloud para usar todas las funciones de AI Protection.

Los siguientes servicios se activan automáticamente:

• Detección de amenazas del motor del agente (vista previa)
• Servicio de Discovery AI
• Simulaciones de rutas de ataque
• Registros de auditoría de Cloud
• Cloud Monitoring
• Administrador de Cumplimiento
• Event Threat Detection
• Gestión de la posición de seguridad de los datos
• Notebook Security Scanner
• Protección de datos sensibles

Se necesitan los siguientes servicios para AI Protection:

• Marco de protección de la IA a través de Gestor de Cumplimiento
• Model Armor

Algunos de estos servicios requieren una configuración adicional, como se indica en las secciones siguientes.

Configurar el servicio AI Discovery

El servicio AI Discovery se activa automáticamente como parte de la incorporación a Security Command Center Enterprise. Se proporciona el rol de gestión de identidades y accesos Lector de Monitoring (roles/monitoring.viewer), pero comprueba que se haya aplicado a la cuenta de servicio de la organización Enterprise de Security Command Center.

1. En la consola, ve a la página Gestión de identidades y accesos. Google Cloud

   Ir a IAM

2. Haz clic en Conceder acceso.

3. En el campo Nuevos principales, introduce la cuenta de servicio de la organización de Security Command Center Enterprise. La cuenta de servicio usa el formato service-org-ORG_ID@security-center-api.gserviceaccount.com Sustituye ORG_ID por tu ID de organización.

4. En el campo Selecciona un rol, elige Lector de Monitoring.

5. Haz clic en Guardar.

Configurar controles de DSPM avanzados en la nube

Configura la DSPM con controles avanzados en la nube para el acceso, el flujo y la protección de datos. Para obtener más información, consulta el artículo Implementar controles en la nube de seguridad de datos avanzada.

Cuando crees un framework personalizado que se aplique a las cargas de trabajo de IA, incluye estos controles de nube:

• Gobernanza del acceso a los datos: restringe el acceso a datos sensibles a principales específicos, como usuarios o grupos. Para especificar las entidades principales permitidas, usa la sintaxis del identificador de entidad principal de la versión 2 de gestión de identidades y accesos. Por ejemplo, puedes crear una política para permitir que solo los miembros de gdpr-processing-team@example.com accedan a recursos específicos.
• Control del flujo de datos: restringe el flujo de datos a regiones específicas. Por ejemplo, puede crear una política para permitir que se acceda a los datos solo desde EE. UU. o la UE. Para especificar los códigos de país permitidos, se usa el repositorio de datos de configuración regional común de Unicode (CLDR).
• Protección de datos (con CMEK): identifica los recursos creados sin claves de cifrado gestionadas por el cliente (CMEK) y recibe recomendaciones. Por ejemplo, puedes crear una política para detectar recursos creados sin CMEK para storage.googleapis.com y bigquery.googleapis.com. Esta política detecta los recursos sin cifrar, pero no impide que se creen.

Configurar Model Armor

1. Habilita el servicio modelarmor.googleapis.com en cada proyecto que use la actividad de IA generativa. Para obtener más información, consulta el artículo Empezar a usar Model Armor.
2. Configura los siguientes ajustes para definir los ajustes de seguridad de las peticiones y respuestas de los modelos de lenguaje extensos (LLMs):
   • Plantillas de Model Armor: crea una plantilla de Model Armor. Estas plantillas definen los tipos de riesgos que se van a detectar, como datos sensibles, inyecciones de peticiones y detección de jailbreak. También definen los umbrales mínimos de esos filtros.
   • Filtros: Model Armor usa varios filtros para identificar riesgos, como la detección de URLs maliciosas, la detección de inyección de peticiones y jailbreaking, y la protección de datos sensibles.
   • Ajustes de la planta: configura los ajustes de la planta a nivel de proyecto para establecer una protección predeterminada para todos los modelos de Gemini.

Configurar Notebook Security Scanner

1. Habilita el servicio Notebook Security Scanner en tu organización. Para obtener más información, consulta Habilitar el escáner de seguridad de Notebook.
2. Asigna el rol Lector de Dataform (roles/dataform.viewer) a notebook-security-scanner-prod@system.gserviceaccount.com en todos los proyectos que contengan cuadernos.

Configurar Protección de Datos Sensibles

Habilita la API dlp.googleapis.com en tu proyecto y configura Protección de Datos Sensibles para buscar datos sensibles.

1. Enable the Data Loss Prevention API.

   Roles required to enable APIs

   To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

   Enable the API

2. Concede los roles DLP Reader y DLP Data Profiles Admin a los usuarios de Protección con IA.

3. Configura Protección de Datos Sensibles para buscar datos sensibles.

Opcional: Configurar recursos de alto valor adicionales

Para crear una configuración de valor de recurso, siga los pasos que se indican en Crear una configuración de valor de recurso.

Cuando se ejecute la siguiente simulación de ruta de ataque, abarcará el conjunto de recursos de alto valor y generará rutas de ataque.

Limitaciones

La protección con IA del nivel Premium de Security Command Center tiene las siguientes limitaciones en los entornos en los que está habilitada la residencia de datos:

• La protección con IA requiere activación manual. AI Protection no analiza las amenazas ni ofrece protección contra ellas en estos entornos hasta que se activa.
• No puedes acceder al panel de control Seguridad de la IA ni a la página Recursos de IA. Ambas opciones están inhabilitadas en estos entornos.

Para obtener más información sobre la residencia de datos, consulta el artículo Planificar la residencia de datos.

Siguientes pasos

• Introducción a la protección de IA
• Gestión de la posición de seguridad de los datos
• Configurar Model Armor
• Información sobre la detección de amenazas de Agent Engine