Configure a proteção de IA

A proteção de IA ajuda a proteger os seus recursos e fluxos de trabalho de IA monitorizando os seus modelos, dados e infraestrutura relacionada com IA. Este guia descreve como configurar a proteção de IA.

Funções necessárias

Para receber as autorizações de que precisa para configurar a proteção de IA e ver os dados do painel de controlo, peça ao seu administrador para lhe conceder as seguintes funções do IAM na sua organização:

Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

Os seguintes comandos da CLI Google Cloud podem ser usados para atribuir as funções anteriores a um utilizador:

Atribua funções através da CLI gcloud

  • Para conceder a função Visualizador de administração do centro de segurança a um utilizador, execute o seguinte comando:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID
  --member=user:USER_EMAIL_ID
  --role=roles/securitycenter.admin

  • Para conceder a função Visualizador de administração do centro de segurança a um utilizador, execute o seguinte comando:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID
  --member=user:USER_EMAIL_ID
  --role=roles/securitycenter.adminViewer

    Substitua o seguinte:

    • ORGANIZATION_ID: o ID numérico da organização
    • USER_EMAIL_ID: o endereço de email do utilizador que requer acesso

Regiões suportadas

Para ver uma lista das regiões onde a proteção de IA é suportada, consulte os pontos finais regionais.

Acesso para contas de serviço

Certifique-se de que todas as contas de serviço mencionadas nas secções seguintes não estão bloqueadas por uma política da organização.

Configure a proteção de IA

Conclua os passos seguintes para ativar a proteção de IA ao nível da organização:

  1. Se não ativou o Security Command Center na sua organização, ative o Security Command Center Enterprise.
  2. Depois de ativar o nível de serviço Enterprise do Security Command Center, configure a proteção de IA através das orientações no guia de configuração do SCC:
    1. Expanda o painel de resumo Reveja as capacidades de segurança.
    2. No painel Proteção de IA, clique em Configurar.
    3. Siga as instruções para verificar se os serviços necessários e dependentes da proteção de IA estão configurados. Consulte Ative e configure Google Cloud serviços para mais informações sobre o que é ativado automaticamente e o que requer configuração adicional.
  3. Ative a deteção dos recursos que quer proteger com a proteção de IA.

Ative e configure Google Cloud serviços

Depois de ativar o Security Command Center Enterprise, ative e configure Google Cloud serviços adicionais para usar todas as capacidades da Proteção de IA.

Os seguintes serviços são ativados automaticamente:

  • Serviço de descoberta de IA
  • Simulações de caminhos de ataque
  • Cloud Audit Logs
  • Cloud Monitoring
  • Gestor de conformidade
  • Deteção de ameaças de eventos
  • Gestão da postura de segurança dos dados
  • Notebook Security Scanner
  • Proteção de dados confidenciais

Os seguintes serviços são necessários para a proteção de IA:

Alguns destes serviços requerem configuração adicional, conforme descrito nas secções seguintes.

Configure o serviço AI Discovery

O serviço AI Discovery é ativado automaticamente como parte da integração do Security Command Center Enterprise. A função do IAM leitor de monitorização (roles/monitoring.viewer) é fornecida, mas verifique se está aplicada à conta de serviço da organização empresarial do Security Command Center.

  1. Na Google Cloud consola, aceda à página IAM.

    Aceda ao IAM

  2. Clique em Conceder acesso.

  3. No campo Novos membros, introduza a conta de serviço da organização do Security Command Center Enterprise. A conta de serviço usa o formato service-org-ORG_ID@security-center-api.gserviceaccount.com Substitua ORG_ID pelo ID da sua organização.

  4. No campo Selecionar uma função, selecione Visitante de monitorização.

  5. Clique em Guardar.

Configure controlos de nuvem DSPM avançados

Configure a DSPM com controlos avançados na nuvem para o acesso, o fluxo e a proteção de dados. Para mais informações, consulte o artigo Implemente controlos de nuvem de segurança de dados avançados.

Quando criar uma framework personalizada que se aplique a cargas de trabalho de IA, adicione estes controlos da nuvem à framework:

  • Governança do acesso aos dados: restrinja o acesso a dados confidenciais a responsáveis específicos, como utilizadores ou grupos. Especifica os principais permitidos através da sintaxe do identificador principal da IAM v2. Por exemplo, pode criar uma política para permitir que apenas os membros de gdpr-processing-team@example.com acedam a recursos específicos.
  • Governança do fluxo de dados: restrinja o fluxo de dados a regiões específicas. Por exemplo, pode criar uma política para permitir o acesso aos dados apenas a partir dos EUA ou da UE. Especifica os códigos de países permitidos através do Unicode Common Locale Data Repository (CLDR).
  • Proteção de dados (com CMEK): identifique recursos criados sem chaves de encriptação geridas pelo cliente (CMEK) e receba recomendações. Por exemplo, pode criar uma política para detetar recursos criados sem CMEK para storage.googleapis.com e bigquery.googleapis.com. Esta política deteta recursos não encriptados, mas não impede a respetiva criação.

Configure o Model Armor

  1. Ative o serviço modelarmor.googleapis.com para cada projeto que usa a atividade de IA generativa. Para mais informações, consulte o artigo Comece a usar o Model Armor.
  2. Configure as seguintes definições para definir as definições de segurança para comandos e respostas do grande modelo de linguagem (GML):
    • Model Armor templates: crie um modelo do Model Armor. Estes modelos definem os tipos de riscos a detetar, como dados confidenciais, injeções de comandos e deteção de jailbreak. Também definem os limites mínimos para esses filtros.
    • Filtros: o Model Armor usa vários filtros para identificar riscos, incluindo a deteção de URLs maliciosos, a injeção de comandos e a deteção de jailbreak, bem como a proteção de dados confidenciais.
    • Definições de limite mínimo: configure as definições de limite mínimo ao nível do projeto para estabelecer a proteção predefinida para todos os modelos do Gemini.

Configure o verificador de segurança do notebook

  1. Ative o serviço Notebook Security Scanner para a sua organização. Para mais informações, consulte o artigo Ative o Scanner de segurança do bloco de notas para mais informações.
  2. Conceda a função de visitante do Dataform (roles/dataform.viewer) a notebook-security-scanner-prod@system.gserviceaccount.com em todos os projetos que contenham blocos de notas.

Configure a Proteção de dados confidenciais

Ative a API dlp.googleapis.com para o seu projeto e configure a proteção de dados confidenciais para analisar dados confidenciais.

  1. Enable the Data Loss Prevention API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  2. Conceda as funções DLP Reader e DLP Data Profiles Admin aos utilizadores da proteção de IA.

  3. Configure a proteção de dados confidenciais para procurar dados confidenciais.

Opcional: configure recursos de elevado valor adicionais

Para criar uma configuração de valor do recurso, siga os passos descritos no artigo Crie uma configuração de valor do recurso.

Quando a próxima simulação de caminho de ataque for executada, abrange o conjunto de recursos de elevado valor e gera caminhos de ataque.

O que se segue?