הגדרת ניהול סיכונים במערכות AI

התכונה 'הגנה על AI' עוזרת לכם לאבטח את נכסי ה-AI ואת תהליכי העבודה שלכם על ידי מעקב אחרי המודלים, הנתונים והתשתית שקשורים ל-AI. במדריך הזה מוסבר איך להגדיר את AI Protection.

לפני שמתחילים

  1. מוצאים את מזהה הארגון.
  2. כדי ליצור תפקידים ולהעניק אותם, צריך לוודא שיש לכם את ההרשאות הנדרשות, כמו התפקידים אדמין תפקידים (roles/iam.roleAdmin) ואדמין ארגוני (roles/resourcemanager.organizationAdmin) בניהול הזהויות והרשאות הגישה (IAM). למידע נוסף, אפשר לעיין באינדקס של תפקידים והרשאות ב-IAM.

התפקידים הנדרשים

אחרי שמבצעים את השלבים שבקטע לפני שמתחילים, פועלים לפי השלבים באחד מהקטעים הבאים כדי להגדיר את התפקידים הנדרשים לגישה להגנה מבוססת-AI:

תפקידים מוגדרים מראש

כדי לקבל את ההרשאות שדרושות להגדרה של ניהול סיכונים במערכות AI ולהצגת נתונים בלוח הבקרה, אתם צריכים לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בארגון:

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

אפשר להשתמש בפקודות הבאות של Google Cloud CLI כדי להקצות למשתמש את התפקידים שצוינו למעלה:

הקצאת תפקידים באמצעות ה-CLI של gcloud

  • כדי להקצות למשתמש את תפקיד האדמין של Security Center, מריצים את הפקודה הבאה:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID
      --member=user:USER_EMAIL_ID
      --role=roles/securitycenter.admin
    
  • כדי להעניק למשתמש את התפקיד Security Center Admin Viewer, מריצים את הפקודה הבאה:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID
      --member=user:USER_EMAIL_ID
      --role=roles/securitycenter.adminViewer
    

    מחליפים את מה שכתוב בשדות הבאים:

    • ORGANIZATION_ID: מזהה הארגון (מספרי)
    • USER_EMAIL_ID: כתובת האימייל של המשתמש שזקוק לגישה

תפקידים בהתאמה אישית

כדי לפעול בהתאם לעיקרון של הרשאות מינימליות, אתם יכולים ליצור תפקידים בהתאמה אישית ב-IAM שמעניקים רק את ההרשאות הדרושות לגישת צפייה או לגישת אדמין.

במאמר הזה מוסבר איך ליצור ולהקצות תפקידים בהתאמה אישית להגנה מבוססת-AI.

הגדרת גישת צפייה

גישת צפייה מאפשרת למשתמש לצפות במרכז הבקרה ובנתונים של AI Protection. כדי להגדיר גישת צפייה, יוצרים תפקיד מותאם אישית AIP Viewer ומקצים אותו למשתמש.

יצירת תפקיד מותאם אישית של AIP Viewer

יוצרים תפקיד בהתאמה אישית שכולל את כל ההרשאות שנדרשות לגישה לקריאה בלבד ל-AI Protection.

המסוף

  1. נכנסים לדף Roles במסוף Google Cloud .

לדף Roles

  1. לוחצים על יצירת תפקיד.
  2. בשדה Title, מזינים AIP Viewer.
  3. השדה מזהה מתמלא אוטומטית. אפשר לשנות אותו ל-aip.viewer.
  4. בשדה Description (תיאור) מזינים Grants permissions required to view AIP dashboard and data.
  5. מגדירים את שלב ההשקה של התפקיד לזמינות לכלל המשתמשים (GA).
  6. לוחצים על הוספת הרשאות.
  7. מסננים את ההרשאות הבאות ובוחרים אותן:

    • גילוי נכסים וחיבורים לענן (cloudasset.*):
      • cloudasset.assets.exportResource
      • cloudasset.assets.searchAllIamPolicies
      • cloudasset.assets.searchAllResources
      • cloudasset.assets.searchEnrichmentResourceOwners
      • cloudasset.othercloudconnections.get
      • cloudasset.othercloudconnections.list
    • סיכומי תאימות (cloudsecuritycompliance.*):
      • cloudsecuritycompliance.controlComplianceSummaries.list
      • cloudsecuritycompliance.frameworkComplianceReports.get
    • ניהול מצב אבטחת נתונים (dspm.*):
      • dspm.locations.computeAggregation
      • dspm.locations.fetchLineageConnections
    • מעקב (monitoring.*):
      • monitoring.timeSeries.list
    • ניהול משאבים (resourcemanager.*):
      • resourcemanager.organizations.get
      • resourcemanager.projects.get
    • ניהול Security Command Center (securitycentermanagement.*):
      • securitycentermanagement.securityCommandCenter.get
    • צפייה ב-Security Command Center (securitycenter.*):
      • securitycenter.assets.group
      • securitycenter.assets.list
      • securitycenter.attackpaths.list
      • securitycenter.complianceReports.aggregate
      • securitycenter.findings.group
      • securitycenter.findings.list
      • securitycenter.issues.get
      • securitycenter.issues.group
      • securitycenter.issues.list
      • securitycenter.issues.listFilterValues
      • securitycenter.simulations.get
      • securitycenter.sources.get
      • securitycenter.sources.list
      • securitycenter.userinterfacemetadata.get
      • securitycenter.valuedresources.list
  8. לוחצים על הוספה.

  9. לוחצים על יצירה.

gcloud

  1. בטרמינל, מריצים את הפקודה gcloud הבאה כדי ליצור את התפקיד:
gcloud iam roles create aip.viewer \
    --organization=ORGANIZATION_ID \
    --title="AIP Viewer" \
    --description="Grants permissions required to view AIP dashboard and data." \
    --permissions="cloudasset.assets.exportResource,cloudasset.assets.searchAllIamPolicies,cloudasset.assets.searchAllResources,cloudasset.assets.searchEnrichmentResourceOwners,cloudasset.othercloudconnections.get,cloudasset.othercloudconnections.list,cloudsecuritycompliance.controlComplianceSummaries.list,cloudsecuritycompliance.frameworkComplianceReports.get,dspm.locations.computeAggregation,dspm.locations.fetchLineageConnections,monitoring.timeSeries.list,resourcemanager.organizations.get,resourcemanager.projects.get,securitycentermanagement.securityCommandCenter.get,securitycenter.assets.group,securitycenter.assets.list,securitycenter.attackpaths.list,securitycenter.complianceReports.aggregate,securitycenter.findings.group,securitycenter.findings.list,securitycenter.issues.get,securitycenter.issues.group,securitycenter.issues.list,securitycenter.issues.listFilterValues,securitycenter.simulations.get,securitycenter.sources.get,securitycenter.sources.list,securitycenter.userinterfacemetadata.get,securitycenter.valuedresources.list" \

מחליפים את ORGANIZATION_ID במזהה הארגון.

הענקת גישת צפייה למשתמש

אחרי שיוצרים את AIP Viewer התפקיד בהתאמה אישית, מקצים אותו למשתמשים שצריכים גישת צפייה.

המסוף

  1. נכנסים לדף IAM במסוף Google Cloud .

כניסה לדף IAM

  1. לוחצים על הענקת גישה.
  2. בשדה New principals, מזינים את כתובת האימייל של המשתמש.
  3. בתפריט הנפתח Select a role, מחפשים את התפקיד בהתאמה אישית AIP Viewer ובוחרים בו.
  4. לוחצים על Save.

gcloud

  1. בטרמינל, מריצים את הפקודה הבאה של gcloud:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="organizations/ORGANIZATION_ID/roles/aip.viewer"

מחליפים את מה שכתוב בשדות הבאים:

  • ORGANIZATION_ID: מזהה הארגון.
  • USER_EMAIL: כתובת האימייל של המשתמש.

הגדרת גישת אדמין

גישת אדמין מאפשרת למשתמש לנהל את התכונות של AI Protection. כדי להגדיר גישת אדמין, קודם צריך ליצור AIP Essentialsתפקיד מותאם אישית. לאחר מכן, מקצים את התפקיד הזה ואת התפקידים הנדרשים שמוגדרים מראש למשתמש.

יצירת תפקיד מותאם אישית של AIP Essentials

יוצרים תפקיד בהתאמה אישית שכולל את הרשאות התמיכה החיוניות שנדרשות להגנה באמצעות AI.

המסוף

  1. נכנסים לדף Roles במסוף Google Cloud .

לדף Roles

  1. לוחצים על יצירת תפקיד.
  2. בשדה Title, מזינים AIP Essentials.
  3. השדה מזהה מתמלא אוטומטית. אפשר לשנות אותו ל-aip.essentials.
  4. בשדה Description (תיאור) מזינים Grants supporting permissions required to view AIP dashboard and data.
  5. מגדירים את שלב ההשקה של התפקיד לזמינות לכלל המשתמשים (GA).
  6. לוחצים על הוספת הרשאות.
  7. מסננים את ההרשאות הבאות ובוחרים אותן:

    • גילוי נכסים וחיבורים לענן (cloudasset.*):
      • cloudasset.assets.searchEnrichmentResourceOwners
      • cloudasset.othercloudconnections.get
      • cloudasset.othercloudconnections.list
    • ניהול משאבים (resourcemanager.*):
      • resourcemanager.organizations.get
      • resourcemanager.projects.get
    • ניהול Security Command Center (securitycentermanagement.*):
      • securitycentermanagement.securityCommandCenter.get
    • צפייה ב-Security Command Center (securitycenter.*):
      • securitycenter.assets.group
      • securitycenter.assets.list
      • securitycenter.attackpaths.list
      • securitycenter.complianceReports.aggregate
      • securitycenter.findings.group
      • securitycenter.findings.list
      • securitycenter.simulations.get
      • securitycenter.userinterfacemetadata.get
      • securitycenter.valuedresources.list
  8. לוחצים על הוספה.

  9. לוחצים על יצירה.

gcloud

  1. בטרמינל, מריצים את הפקודה gcloud הבאה כדי ליצור את התפקיד:
gcloud iam roles create aip.essentials \
    --organization=ORGANIZATION_ID \
    --title="AIP Essentials" \
    --description="Grants supporting permissions required to view AIP dashboard and data." \
    --permissions="cloudasset.assets.searchEnrichmentResourceOwners,cloudasset.othercloudconnections.get,cloudasset.othercloudconnections.list,resourcemanager.organizations.get,resourcemanager.projects.get,securitycentermanagement.securityCommandCenter.get,securitycenter.assets.group,securitycenter.assets.list,securitycenter.attackpaths.list,securitycenter.complianceReports.aggregate,securitycenter.findings.group,securitycenter.findings.list,securitycenter.simulations.get,securitycenter.userinterfacemetadata.get,securitycenter.valuedresources.list" \

מחליפים את ORGANIZATION_ID במזהה הארגון.

הענקת גישת אדמין למשתמש

אחרי שיוצרים את התפקיד בהתאמה אישית AIP Essentials, מקצים אותו יחד עם התפקידים המוגדרים מראש שנדרשים למשתמשים שזקוקים לגישת אדמין.

המסוף

  1. נכנסים לדף IAM במסוף Google Cloud .

כניסה לדף IAM

  1. לוחצים על הענקת גישה.
  2. בשדה New principals, מזינים את כתובת האימייל של המשתמש.
  3. בתפריט הנפתח Select a role, מחפשים ומוסיפים את כל אחד מהתפקידים הבאים:
    • DSPM Admin (roles/dspm.admin)
    • Model Armor Admin (roles/modelarmor.admin)
    • Model Armor Floor Settings Admin (roles/modelarmor.floorSettingsAdmin)
    • Cloud Security Compliance Admin (roles/cloudsecuritycompliance.admin)
    • Security Center Findings Viewer (roles/securityCenter.findingsViewer)
    • Monitoring Viewer (roles/monitoring.viewer)
    • Cloud Asset Viewer (roles/cloudasset.viewer)
    • תפקיד AIP Essentials בהתאמה אישית שיצרתם.
  4. לוחצים על Save.

gcloud

  1. במסוף, מריצים את הפקודות הבאות, אחת לכל תפקיד:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/dspm.admin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/modelarmor.admin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/modelarmor.floorSettingsAdmin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/cloudsecuritycompliance.admin"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/securityCenter.findingsViewer"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/monitoring.viewer"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="roles/cloudasset.viewer"

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:USER_EMAIL" \
    --role="organizations/ORGANIZATION_ID/roles/aip.essentials"

מחליפים את מה שכתוב בשדות הבאים:

  • ORGANIZATION_ID: מזהה הארגון.
  • USER_EMAIL: כתובת האימייל של המשתמש.

אזורים נתמכים

רשימת האזורים שבהם יש תמיכה בניהול סיכונים במערכות AI מופיעה במאמר בנושא נקודות קצה אזוריות.

גישה לחשבונות שירות

מוודאים שמדיניות הארגון לא חוסמת אף אחד מחשבונות השירות שמוזכרים בקטעים הבאים.

הגדרת ניהול סיכונים במערכות AI

כדי להפעיל את AI Protection ברמת הארגון:

פרימיום

  1. אם לא הפעלתם את Security Command Center בארגון, צריך להפעיל את Security Command Center Premium.
  2. אחרי שמפעילים את רמת השירות Premium של Security Command Center, מגדירים את ניהול סיכונים במערכות AI. לשם כך, עוברים אל הגדרות > ניהול הגדרות בכרטיס ניהול סיכונים במערכות AI.

    מעבר להגדרות של AI Protection

  3. מפעילים את האפשרות לגילוי של המשאבים שרוצים להגן עליהם באמצעות AI Protection.
  4. כדי לבדוק את לוח הבקרה של אבטחת ה-AI, עוברים אל סקירת סיכונים > אבטחת AI.
Google Cloud

Enterprise

  1. אם לא הפעלתם את Security Command Center בארגון, צריך להפעיל את Security Command Center Enterprise.
  2. אחרי שמפעילים את רמת השירות Enterprise של Security Command Center, מגדירים את ניהול סיכונים במערכות AI באמצעות ההנחיות שבמדריך ההגדרה של SCC.

    מעבר למדריך ההגדרה

    1. מרחיבים את חלונית הסיכום Review security capabilities (בדיקת יכולות האבטחה).
    2. בחלונית AI protection (הגנה באמצעות AI), לוחצים על Set up (הגדרה).
    3. פועלים לפי ההוראות כדי לבדוק אם השירותים הנדרשים והתלויים ב-AI Protection מוגדרים. כדי להבין אילו שירותים מופעלים באופן אוטומטי ואילו שירותים דורשים הגדרה נוספת, אפשר לעיין במאמר הפעלה והגדרה של שירותי Google Cloud.
  3. מפעילים את האפשרות לגילוי של המשאבים שרוצים להגן עליהם באמצעות AI Protection.

הגדרת Google Cloud שירותים להגנה מבוססת-AI

אחרי שמפעילים את רמות השירות Premium ו-Enterprise, צריך להגדירGoogle Cloud שירותים נוספים כדי להשתמש בכל היכולות של ניהול סיכונים במערכות AI.

השירותים הבאים מופעלים אוטומטית בשתי הרמות, אלא אם צוין אחרת:

  • זיהוי איומים ב-Agent Platform (תצוגה מקדימה)
  • שירות AI Discovery
  • סימולציות של נתיבי התקפה
  • יומני ביקורת של Cloud
  • Cloud Monitoring
  • Compliance Manager
  • Event Threat Detection
  • Data Security Posture Management
  • ‫Notebook Security Scanner (תצוגה מקדימה), מופעל באופן אוטומטי ברמת השירות Enterprise.
  • Sensitive Data Protection
  • הערכת פגיעות בפלטפורמת הסוכנים (תצוגה מקדימה), מופעלת אוטומטית בהפעלות חדשות של AI Protection.

השירותים הבאים נדרשים להפעלת AI Protection:

חלק מהשירותים האלה דורשים הגדרה נוספת, כפי שמתואר בקטעים הבאים.

הגדרת שירות AI Discovery

שירות AI Discovery מופעל אוטומטית כחלק מתהליך ההצטרפות ל-Security Command Center Enterprise. תפקיד ה-IAM ‏Monitoring Viewer (roles/monitoring.viewer) מסופק, אבל צריך לוודא שהוא מוקצה לחשבון השירות של הארגון Security Command Center Enterprise.

  1. נכנסים לדף IAM במסוף Google Cloud .

    כניסה לדף IAM

  2. לוחצים על הענקת גישה.

  3. בשדה New principals, מזינים את חשבון השירות של הארגון ב-Security Command Center Enterprise. חשבון השירות משתמש בפורמט service-org-ORG_ID@security-center-api.gserviceaccount.com מחליפים את ORG_ID במזהה הארגון.

  4. בשדה Select a role (בחירת תפקיד), בוחרים באפשרות Monitoring Viewer (צפייה בנתוני המוניטורינג).

  5. לוחצים על Save.

הגדרה של אמצעי בקרה מתקדמים בענן ל-DSPM

הגדרת DSPM עם אמצעי בקרה מתקדמים בענן לגישה לנתונים, לזרימת נתונים ולהגנה על נתונים. מידע נוסף זמין במאמר בנושא פריסת אמצעי בקרה מתקדמים לאבטחת מידע בענן.

כשיוצרים מסגרת בהתאמה אישית שחלה על עומסי עבודה של AI, צריך לכלול את אמצעי הבקרה הבאים בענן:

  • Access Governance: הגבלת הגישה למידע אישי רגיש לישויות מורשות ספציפיות, כגון משתמשים או קבוצות. מציינים את החשבונות הראשיים המורשים באמצעות תחביר של מזהי חשבונות ראשיים ב-IAM v2. לדוגמה, אפשר ליצור מדיניות שתאפשר רק לחברים ב-gdpr-processing-team@example.com לגשת למשאבים ספציפיים.
  • שליטה בזרימת הנתונים: הגבלת זרימת הנתונים לאזורים ספציפיים. לדוגמה, אפשר ליצור מדיניות שתאפשר גישה לנתונים רק מארה"ב או מהאיחוד האירופי. אתם מציינים את קודי המדינות המותרים באמצעות מאגר ה-Unicode Common Locale Data Repository ‏ (CLDR).
  • הגנה על נתונים (עם CMEK): זיהוי משאבים שנוצרו ללא מפתחות הצפנה בניהול הלקוח (CMEK) וקבלת המלצות. לדוגמה, אתם יכולים ליצור מדיניות לזיהוי משאבים שנוצרו בלי CMEK עבור storage.googleapis.com ו-bigquery.googleapis.com. המדיניות הזו מזהה נכסים לא מוצפנים, אבל לא מונעת את היצירה שלהם.

הגדרת הגנה מוגברת על המודל

  1. מפעילים את שירות modelarmor.googleapis.com לכל פרויקט שבו נעשה שימוש בפעילות של AI גנרטיבי. מידע נוסף זמין במאמר תחילת השימוש ב-Model Armor.
  2. כדי להגדיר הגדרות אבטחה ובטיחות להנחיות ולתשובות של מודלים גדולים של שפה (LLM), קובעים את ההגדרות הבאות:
    • תבניות של הגנה מוגברת על המודל: יצירת תבנית של הגנה מוגברת על המודל. התבניות האלה מגדירות את סוגי הסיכונים שצריך לזהות, כמו מידע אישי רגיש, הזרקת הנחיות ופריצה. הם גם מגדירים את ערכי הסף המינימליים של המסננים האלה.
    • מסננים: Model Armor משתמש במסננים שונים כדי לזהות סיכונים, כולל זיהוי של כתובות URL זדוניות, הזרקת הנחיות וזיהוי של פריצה למודל, והגנה על נתונים רגישים.
    • הגדרות אבטחה מינימליות: מגדירים את הגדרות אבטחה מינימליות ברמת הפרויקט כדי ליצור הגנה כברירת מחדל לכל המודלים של Gemini.

הגדרת Notebook Security Scanner

  1. רמת שירות Premium: הפעלת שירות סורק האבטחה של מחברות ה-Notebook בארגון. מידע נוסף זמין במאמר בנושא הפעלת סורק האבטחה של מחברות.
  2. מעניקים לחשבון notebook-security-scanner-prod@system.gserviceaccount.com את התפקיד Dataform Viewer‏ (roles/dataform.viewer) בכל הפרויקטים שמכילים מחברות.

הגדרת Sensitive Data Protection

מפעילים את dlp.googleapis.com API בפרויקט ומגדירים את Sensitive Data Protection כך שיסרוק מידע אישי רגיש.

  1. מפעילים את Data Loss Prevention API.

    תפקידים שנדרשים להפעלת ממשקי API

    כדי להפעיל ממשקי API, צריך את תפקיד ה-IAM 'אדמין של Service Usage' (roles/serviceusage.serviceUsageAdmin), שכולל את ההרשאה serviceusage.services.enable. איך מקצים תפקידים

    להפעלת ה-API

  2. נותנים למשתמשים בניהול סיכונים במערכות AI את התפקידים DLP Reader ו-DLP Data Profiles Admin.

  3. הגדרת Sensitive Data Protection לסריקה של מידע אישי רגיש.

הגדרת הערכת נקודות חולשה ב-Agent Platform

הכלי Agent Platform Vulnerability Assessment (הערכת נקודות חולשה ב-Agent Platform) מזהה נקודות חולשה בתוכנה (CVE) בעומסי עבודה סוכני שנפרסו באמצעות Gemini Enterprise Agent Platform. בהפעלות חדשות של AI Protection, התכונה Agent Platform Vulnerability Assessment מופעלת כברירת מחדל.

אם אתם לקוחות קיימים, אתם יכולים להפעיל את הסורק בדף הגדרות ההגנה באמצעות AI, שזמין רק בתצוגה ברמת הארגון.

  1. במסוף Google Cloud , עוברים אל הגדרות > ניהול הגדרות בכרטיס 'הגנה באמצעות AI'.

    מעבר להגדרות של AI Protection

  2. בקטע Vulnerability Assessment for Agent Platform (הערכת פגיעות בפלטפורמת הסוכנים), לוחצים על Manage settings (ניהול ההגדרות).

  3. מפעילים את השירות בארגון.

הגדרת מרכז האפליקציות למלאי שרתי MCP

כדי לראות את השרתים של Model Context Protocol‏ (MCP) בלוח הבקרה של AI Security, צריך להפעיל את {app_hub_api} ‏(apphub.googleapis.com) בכל פרויקט שמארח שרתי MCP.

מידע נוסף מופיע במאמר בנושא הגדרת מרכז האפליקציות.

אופציונלי: הגדרת משאבים נוספים בעלי ערך גבוה

כדי ליצור הגדרת ערך משאב, פועלים לפי השלבים במאמר יצירת הגדרת ערך משאב.

הגדרת היקף ההרשאות של סוכני AI

כדי להגדיר את ערך המשאב למשאבים שמבוססים על סוכנים, כמו סוכנים או שרתים של פרוטוקול הקשר של המודל (MCP), בוחרים סוג משאב שמבוסס על סוכנים בתפריט Select resource type (לדוגמה, aiplatform.googleapis.com/ReasoningEngine), או מציינים תוויות או תגים שמזהים משאבים שמבוססים על סוכנים בארגון.

כשסימולציית נתיבי התקיפה הבאה תפעל, היא תכלול את קבוצת המשאבים בעלי הערך הגבוה ותיצור נתיבי תקיפה.

המאמרים הבאים