Configurare AI Protection

AI Protection ti aiuta a proteggere le risorse e i flussi di lavoro di AI monitorando i modelli, i dati e l'infrastruttura correlata all'AI. Questa guida descrive come configurare AI Protection.

Prima di iniziare

  1. Recupera l'ID organizzazione.
  2. Per creare e concedere ruoli, assicurati di disporre delle autorizzazioni necessarie, ad esempio i ruoli IAM (Identity and Access Management) Role Administrator (roles/iam.roleAdmin) e Organization Administrator (roles/resourcemanager.organizationAdmin). Per saperne di più, consulta l'indice di ruoli e autorizzazioni IAM.

Ruoli obbligatori

Dopo aver completato i passaggi descritti in Prima di iniziare, segui i passaggi in una delle sezioni seguenti per configurare i ruoli richiesti per l'accesso a AI Protection:

Ruoli personalizzati

Per rispettare il principio del privilegio minimo, puoi creare ruoli IAM personalizzati che concedono solo le autorizzazioni necessarie per l'accesso come visualizzatore o amministratore.

Questo documento mostra come creare e concedere ruoli personalizzati per AI Protection.

Configurare l'accesso in visualizzazione

L'accesso come visualizzatore consente a un utente di visualizzare la dashboard e i dati di AI Protection. Per configurare l'accesso come spettatore, crea un ruolo AIP Viewer personalizzato e poi concedi questo ruolo a un utente.

Creare il ruolo personalizzato AIP Viewer

Crea un ruolo personalizzato che contenga tutte le autorizzazioni necessarie per l'accesso in sola lettura ad AI Protection.

Console

  1. Nella console Google Cloud , vai alla pagina Ruoli.

Vai a Ruoli.

  1. Fai clic su Crea ruolo.
  2. Nel campo Title (Titolo), inserisci AIP Viewer.
  3. Il campo ID viene compilato automaticamente. Se vuoi, puoi modificarlo in aip.viewer.
  4. Nel campo Descrizione, inserisci Grants permissions required to view AIP dashboard and data.
  5. Imposta Fase di avvio del ruolo su Disponibilità generale.
  6. Fai clic su Aggiungi autorizzazioni.

  7. Filtra e seleziona ciascuna delle seguenti autorizzazioni:

    • cloudasset.assets.exportResource
    • cloudasset.assets.searchAllIamPolicies
    • cloudasset.assets.searchAllResources
    • cloudasset.assets.searchEnrichmentResourceOwners
    • cloudasset.othercloudconnections.get
    • cloudasset.othercloudconnections.list
    • cloudsecuritycompliance.controlComplianceSummaries.list
    • cloudsecuritycompliance.frameworkComplianceReports.get
    • dspm.locations.computeAggregation
    • dspm.locations.fetchLineageConnections
    • monitoring.timeSeries.list
    • resourcemanager.organizations.get
    • resourcemanager.projects.get
    • securitycentermanagement.securityCommandCenter.get
    • securitycenter.assets.group
    • securitycenter.assets.list
    • securitycenter.attackpaths.list
    • securitycenter.complianceReports.aggregate
    • securitycenter.findings.group
    • securitycenter.findings.list
    • securitycenter.issues.get
    • securitycenter.issues.group
    • securitycenter.issues.list
    • securitycenter.issues.listFilterValues
    • securitycenter.simulations.get
    • securitycenter.sources.get
    • securitycenter.sources.list
    • securitycenter.userinterfacemetadata.get
    • securitycenter.valuedresources.list

  8. Fai clic su Aggiungi.

  9. Fai clic su Crea.

gcloud

  1. In un terminale, esegui il seguente comando gcloud per creare il ruolo:
gcloud iam roles create aip.viewer \
    --organization=ORGANIZATION_ID \
    --title="AIP Viewer" \
    --description="Grants permissions required to view AIP dashboard and data." \
    --permissions="cloudasset.assets.exportResource,cloudasset.assets.searchAllIamPolicies,cloudasset.assets.searchAllResources,cloudasset.assets.searchEnrichmentResourceOwners,cloudasset.othercloudconnections.get,cloudasset.othercloudconnections.list,cloudsecuritycompliance.controlComplianceSummaries.list,cloudsecuritycompliance.frameworkComplianceReports.get,dspm.locations.computeAggregation,dspm.locations.fetchLineageConnections,monitoring.timeSeries.list,resourcemanager.organizations.get,resourcemanager.projects.get,securitycentermanagement.securityCommandCenter.get,securitycenter.assets.group,securitycenter.assets.list,securitycenter.attackpaths.list,securitycenter.complianceReports.aggregate,securitycenter.findings.group,securitycenter.findings.list,securitycenter.issues.get,securitycenter.issues.group,securitycenter.issues.list,securitycenter.issues.listFilterValues,securitycenter.simulations.get,securitycenter.sources.get,securitycenter.sources.list,securitycenter.userinterfacemetadata.get,securitycenter.valuedresources.list" \

Sostituisci ORGANIZATION_ID con l'ID della tua organizzazione.

Concedere l'accesso in visualizzazione a un utente

Dopo aver creato il ruolo personalizzato AIP Viewer, concedilo agli utenti che hanno bisogno dell'accesso con privilegi di visualizzazione.

Console

  1. Nella console Google Cloud , vai alla pagina IAM.

Vai a IAM

  1. Fai clic su Concedi l'accesso.
  2. Nel campo Nuove entità, inserisci l'indirizzo email dell'utente.
  3. Nel menu a discesa Seleziona un ruolo, cerca e seleziona il ruolo personalizzato Visualizzatore AIP.
  4. Fai clic su Salva.

gcloud

  1. In un terminale, esegui il seguente comando gcloud:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="organizations/ORGANIZATION_ID/roles/aip.viewer"

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID della tua organizzazione.
  • USER_EMAIL: l'indirizzo email dell'utente.

Configura l'accesso amministratore

L'accesso amministratore consente a un utente di gestire le funzionalità di AI Protection. Per configurare l'accesso amministratore, devi prima creare il ruolo personalizzato AIP Essentials. Poi, concedi questo ruolo e i ruoli predefiniti richiesti a un utente.

Creare il ruolo personalizzato AIP Essentials

Crea un ruolo personalizzato che contenga le autorizzazioni di supporto essenziali richieste per la protezione AI.

Console

  1. Nella console Google Cloud , vai alla pagina Ruoli.

Vai a Ruoli.

  1. Fai clic su Crea ruolo.
  2. Nel campo Title (Titolo), inserisci AIP Essentials.
  3. Il campo ID viene compilato automaticamente. Se vuoi, puoi modificarlo in aip.essentials.
  4. Nel campo Descrizione, inserisci Grants supporting permissions required to view AIP dashboard and data.
  5. Imposta Fase di avvio del ruolo su Disponibilità generale.
  6. Fai clic su Aggiungi autorizzazioni.

  7. Filtra e seleziona ciascuna delle seguenti autorizzazioni:

    • cloudasset.assets.searchEnrichmentResourceOwners
    • cloudasset.othercloudconnections.get
    • cloudasset.othercloudconnections.list
    • resourcemanager.organizations.get
    • resourcemanager.projects.get
    • securitycentermanagement.securityCommandCenter.get
    • securitycenter.assets.group
    • securitycenter.assets.list
    • securitycenter.attackpaths.list
    • securitycenter.complianceReports.aggregate
    • securitycenter.findings.group
    • securitycenter.findings.list
    • securitycenter.simulations.get
    • securitycenter.userinterfacemetadata.get
    • securitycenter.valuedresources.list

  8. Fai clic su Aggiungi.

  9. Fai clic su Crea.

gcloud

  1. In un terminale, esegui il seguente comando gcloud per creare il ruolo:
gcloud iam roles create aip.essentials \
    --organization=ORGANIZATION_ID \
    --title="AIP Essentials" \
    --description="Grants supporting permissions required to view AIP dashboard and data." \
    --permissions="cloudasset.assets.searchEnrichmentResourceOwners,cloudasset.othercloudconnections.get,cloudasset.othercloudconnections.list,resourcemanager.organizations.get,resourcemanager.projects.get,securitycentermanagement.securityCommandCenter.get,securitycenter.assets.group,securitycenter.assets.list,securitycenter.attackpaths.list,securitycenter.complianceReports.aggregate,securitycenter.findings.group,securitycenter.findings.list,securitycenter.simulations.get,securitycenter.userinterfacemetadata.get,securitycenter.valuedresources.list" \

Sostituisci ORGANIZATION_ID con l'ID della tua organizzazione.

Concedere l'accesso amministratore a un utente

Dopo aver creato il ruolo personalizzato AIP Essentials, concedilo insieme ai ruoli predefiniti richiesti agli utenti che necessitano dell'accesso amministrativo.

Console

  1. Nella console Google Cloud , vai alla pagina IAM.

Vai a IAM

  1. Fai clic su Concedi l'accesso.
  2. Nel campo Nuove entità, inserisci l'indirizzo email dell'utente.
  3. Nel menu a discesa Seleziona un ruolo, cerca e aggiungi ciascuno dei seguenti ruoli:
    • DSPM Admin (roles/dspm.admin)
    • Model Armor Admin (roles/modelarmor.admin)
    • Model Armor Floor Settings Admin (roles/modelarmor.floorSettingsAdmin)
    • Cloud Security Compliance Admin (roles/cloudsecuritycompliance.admin)
    • Security Center Findings Viewer (roles/securityCenter.findingsViewer)
    • Monitoring Viewer (roles/monitoring.viewer)
    • Cloud Asset Viewer (roles/cloudasset.viewer)
    • Il ruolo personalizzato AIP Essentials che hai creato.
  4. Fai clic su Salva.

gcloud

  1. In un terminale, esegui i seguenti comandi, uno per ogni ruolo:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/dspm.admin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/modelarmor.admin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/modelarmor.floorSettingsAdmin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/cloudsecuritycompliance.admin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/securityCenter.findingsViewer"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/monitoring.viewer"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/cloudasset.viewer"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="organizations/ORGANIZATION_ID/roles/aip.essentials"

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID della tua organizzazione.
  • USER_EMAIL: l'indirizzo email dell'utente.

Ruoli predefiniti

Per ottenere le autorizzazioni necessarie per configurare AI Protection e visualizzare i dati della dashboard, chiedi all'amministratore di concederti i seguenti ruoli IAM nella tua organizzazione:

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

I seguenti comandi Google Cloud CLI possono essere utilizzati per assegnare i ruoli precedenti a un utente:

Assegnare ruoli utilizzando gcloud CLI

  • Per concedere il ruolo Amministratore Security Center a un utente, esegui questo comando:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID
  --member=user:USER_EMAIL_ID
  --role=roles/securitycenter.admin

  • Per concedere il ruolo Visualizzatore amministratore di Security Center a un utente, esegui questo comando:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID
  --member=user:USER_EMAIL_ID
  --role=roles/securitycenter.adminViewer

    Sostituisci quanto segue:

    • ORGANIZATION_ID: l'ID numerico dell'organizzazione
    • USER_EMAIL_ID: l'indirizzo email dell'utente che richiede l'accesso

Aree geografiche supportate

Per un elenco delle regioni in cui è supportata AI Protection, consulta Endpoint regionali.

Accesso per i service account

Assicurati che i criteri dell'organizzazione non blocchino i service account menzionati nelle sezioni seguenti.

Configurare AI Protection

Completa i seguenti passaggi per attivare AI Protection a livello di organizzazione:

Premium

  1. Se non hai attivato Security Command Center nella tua organizzazione, attiva Security Command Center Premium.
  2. Dopo aver attivato il livello di servizio Premium di Security Command Center, configura AI Protection andando su Impostazioni > Gestisci impostazioni nella scheda AI Protection.

    Vai alle impostazioni di AI Protection

  3. Attiva il rilevamento delle risorse che vuoi proteggere con Protezione AI.
  4. Controlla la dashboard di AI Security andando a Panoramica dei rischi > AI Security.

Aziende

  1. Se non hai attivato Security Command Center nella tua organizzazione, attiva Security Command Center Enterprise.
  2. Dopo aver attivato il livello di servizio Enterprise di Security Command Center, configura AI Protection seguendo le indicazioni della guida alla configurazione di SCC.

    Vai alla Guida alla configurazione

    1. Espandi il riquadro di riepilogo Esamina le funzionalità di sicurezza.
    2. Nel riquadro Protezione AI, fai clic su Configura.
    3. Segui le istruzioni per verificare se i servizi richiesti e dipendenti per AI Protection sono configurati. Per capire cosa viene attivato automaticamente e cosa richiede una configurazione aggiuntiva, vedi Attivare e configurare Google Cloud i servizi.
  3. Attiva il rilevamento delle risorse che vuoi proteggere con Protezione AI.

Attivare e configurare i Google Cloud servizi

Dopo aver attivato Security Command Center Premium o Enterprise, attiva e configura serviziGoogle Cloud aggiuntivi per utilizzare tutte le funzionalità di AI Protection.

I seguenti servizi vengono attivati automaticamente:

  • Agent Engine Threat Detection (anteprima)
  • Servizio AI Discovery
  • Simulazioni del percorso di attacco
  • Cloud Audit Logs
  • Cloud Monitoring
  • Compliance Manager
  • Event Threat Detection
  • Gestione della security posture dei dati
  • Notebook Security Scanner
  • Sensitive Data Protection

Per AI Protection sono necessari i seguenti servizi:

Alcuni di questi servizi richiedono una configurazione aggiuntiva, come descritto nelle sezioni seguenti.

Configura il servizio AI Discovery

Il servizio AI Discovery viene attivato automaticamente nell'ambito dell'onboarding di Security Command Center Enterprise. Il ruolo IAM Visualizzatore Monitoring (roles/monitoring.viewer) è fornito, ma verifica che sia applicato al account di servizio dell'organizzazione Security Command Center Enterprise.

  1. Nella console Google Cloud , vai alla pagina IAM.

    Vai a IAM

  2. Fai clic su Concedi l'accesso.

  3. Nel campo Nuove entità, inserisci il account di servizio dell'organizzazione Security Command Center Enterprise. Il account di servizio utilizza il formato service-org-ORG_ID@security-center-api.gserviceaccount.com Sostituisci ORG_ID con l'ID della tua organizzazione.

  4. Nel campo Seleziona un ruolo, seleziona Visualizzatore Monitoring.

  5. Fai clic su Salva.

Configurare i controlli cloud DSPM avanzati

Configura DSPM con controlli cloud avanzati per l'accesso, il flusso e la protezione dei dati. Per saperne di più, vedi Eseguire il deployment dei controlli cloud avanzati per la sicurezza dei dati.

Quando crei un framework personalizzato che si applica ai workload AI, includi questi controlli cloud:

  • Data Access Governance: limita l'accesso ai dati sensibili a entità specifiche, come utenti o gruppi. Specifichi le entità consentite utilizzando la sintassi dell'identificatore dell'entità IAM v2. Ad esempio, puoi creare una policy per consentire solo ai membri di gdpr-processing-team@example.com di accedere a risorse specifiche.
  • Governance del flusso di dati: limita il flusso di dati a regioni specifiche. Ad esempio, puoi creare una policy per consentire l'accesso ai dati solo dagli Stati Uniti o dall'UE. Specifichi i codici paese consentiti utilizzando Unicode Common Locale Data Repository (CLDR).
  • Protezione dei dati (con CMEK): identifica le risorse create senza chiavi di crittografia gestite dal cliente (CMEK) e ricevi consigli. Ad esempio, puoi creare una policy per rilevare le risorse create senza CMEK per storage.googleapis.com e bigquery.googleapis.com. Questo criterio rileva gli asset non criptati, ma non ne impedisce la creazione.

Configura Model Armor

  1. Attiva il servizio modelarmor.googleapis.com per ogni progetto che utilizza l'attività di AI generativa. Per saperne di più, consulta la sezione Inizia a utilizzare Model Armor.
  2. Configura le seguenti impostazioni per definire le impostazioni di sicurezza per prompt e risposte del modello linguistico di grandi dimensioni (LLM):
    • Modelli Model Armor: crea un modello Model Armor. Questi modelli definiscono i tipi di rischi da rilevare, ad esempio dati sensibili, prompt injection e rilevamento di jailbreak. Definiscono anche le soglie minime per questi filtri.
    • Filtri: Model Armor utilizza vari filtri per identificare i rischi, tra cui il rilevamento di URL dannosi, il rilevamento di prompt injection e jailbreak e la protezione dei dati sensibili.
    • Impostazioni di base: configura le impostazioni di base a livello di progetto per stabilire la protezione predefinita per tutti i modelli Gemini.

Configura Notebook Security Scanner

  1. Attiva il servizio Notebook Security Scanner per la tua organizzazione. Per maggiori informazioni, consulta Attivare Notebook Security Scanner.
  2. Concedi il ruolo Visualizzatore Dataform (roles/dataform.viewer) a notebook-security-scanner-prod@system.gserviceaccount.com su tutti i progetti che contengono Notebooks.

Configura Sensitive Data Protection

Abilita l'API dlp.googleapis.com per il tuo progetto e configura Sensitive Data Protection per la scansione dei dati sensibili.

  1. Enable the Data Loss Prevention API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  2. Concedi i ruoli DLP Reader e DLP Data Profiles Admin agli utenti di AI Protection.

  3. Configura Sensitive Data Protection per eseguire la scansione dei dati sensibili.

(Facoltativo) Configurare altre risorse di alto valore

Per creare una configurazione del valore delle risorse, segui i passaggi descritti in Crea una configurazione del valore delle risorse.

Quando viene eseguita la successiva simulazione del percorso di attacco, questa copre il set di risorse di alto valore e genera i percorsi di attacco.

Limitazioni

AI Protection per il livello Premium di Security Command Center presenta le seguenti limitazioni per gli ambienti in cui è abilitata la residenza dei dati:

  • Protezione AI richiede l'attivazione manuale. AI Protection non esegue la scansione alla ricerca di minacce né fornisce protezione dalle minacce per questi ambienti fino all'attivazione.
  • Non puoi accedere alla dashboard AI Security o alla pagina Asset AI. Entrambi sono disabilitati per questi ambienti.

Per saperne di più sulla residenza dei dati, vedi Pianificare la residenza dei dati.

Passaggi successivi