בדף הזה מתוארת המדיניות המונעת והמדיניות לגילוי איומים שכלולות בגרסה v1.0.0 של תבנית המצב המוגדרת מראש לאבטחת AI, essentials. תבנית המצב הזו כוללת שתי קבוצות מדיניות:
קבוצת מדיניות שכוללת מדיניות ארגונית שחלה על עומסי עבודה של Gemini Enterprise Agent Platform.
קבוצת מדיניות שכוללת גלאים מותאמים אישית של Security Health Analytics שחלים על עומסי עבודה של Gemini Enterprise Agent Platform.
אתם יכולים להשתמש בתבנית הזו של מצב האבטחה כדי להגדיר מצב אבטחה שיעזור להגן על המשאבים של Gemini ושל Gemini Enterprise Agent Platform. אפשר לפרוס את תבנית המצב המוגדרת מראש הזו בלי לבצע שינויים.
| מדיניות | תיאור | תקני תאימות |
|---|---|---|
ainotebooks.disableFileDownloads |
המגבלה הזו מונעת יצירה של מכונות Vertex AI Workbench עם האפשרות להורדת קבצים. כברירת מחדל, אפשר להפעיל את האפשרות להורדת קבצים בכל מכונה של Vertex AI Workbench. הערך הוא |
אמצעי בקרה של NIST SP 800-53: AC-3(1) |
ainotebooks.disableRootAccess |
המגבלה הזו מונעת מ-notebooks וממכונות חדשות בניהול משתמשים של Vertex AI Workbench להפעיל גישת root. כברירת מחדל, יכולה להיות למכונות ול-notebooks בניהול משתמשים של Vertex AI Workbench גישת root. הערך הוא
|
אמצעי בקרה NIST SP 800-53: AC-3 ו-AC-6(2) |
ainotebooks.disableTerminal |
האילוץ הזה מונע יצירה של מכונות Vertex AI Workbench עם מסוף מופעל. כברירת מחדל, אפשר להפעיל את הטרמינל במכונות של Vertex AI Workbench. הערך הוא |
אמצעי בקרה של NIST SP 800-53: AC-3, AC-6 ו-CM-2 |
ainotebooks.requireAutoUpgradeSchedule |
ההגבלה הזו מחייבת להגדיר ל-notebooks ולמכונות חדשות בניהול משתמשים של Vertex AI Workbench לוח זמנים לשדרוג אוטומטי. הערך הוא
|
אמצעי הבקרה NIST SP 800-53: AU-9, CM-2 ו-CM-6 |
ainotebooks.restrictPublicIp |
ההגבלה הזו מונעת גישה לכתובות IP ציבוריות למסמכי notebooks ולמכונות חדשות שנוצרו ב-Vertex AI Workbench. כברירת מחדל, כתובות IP ציבוריות יכולות לגשת למסמכי notebook ולמכונות של Vertex AI Workbench. הערך הוא |
בקרה של NIST SP 800-53: AC-3, AC-4 ו-SC-7 |
גלאים ב-Security Health Analytics
בטבלה הבאה מפורטים המודולים המותאמים אישית של Security Health Analytics שכלולים בתבנית המצב המוגדרת מראש.
| שם המזהה | משאב רלוונטי | תיאור | תקני תאימות |
|---|---|---|---|
| vertexAIDataSetCMEKDisabled | aiplatform.googleapis.com/Dataset |
הגלאי הזה בודק אם יש מערכי נתונים שלא מוצפנים באמצעות מפתח הצפנה בניהול הלקוח (CMEK). כדי לפתור את הממצא הזה, צריך לוודא שיצרתם את המפתח ואת אוסף המפתחות, הגדרתם הרשאות וסיפקתם את המפתח כשנוצר מערך הנתונים. הוראות מפורטות זמינות במאמר הגדרת CMEK למשאבים |
אמצעי הבקרה NIST SP 800-53: SC-12 ו-SC-13 |
| vertexAIModelCMEKDisabled | aiplatform.googleapis.com/Model |
הגלאי הזה בודק אם מודל לא מוצפן באמצעות CMEK. כדי לפתור את הממצא, צריך לוודא שיצרתם את המפתח ואת אוסף המפתחות, הגדרתם הרשאות וסיפקתם את המפתח כשבניתם את המודל. הוראות מפורטות זמינות במאמר הגדרת CMEK למשאבים. |
אמצעי הבקרה NIST SP 800-53: SC-12 ו-SC-13 |
| vertexAIEndpointCMEKDisabled | aiplatform.googleapis.com/Endpoint |
המזהה הזה בודק אם נקודת קצה לא מוצפנת באמצעות CMEK. כדי לפתור את הממצא הזה, צריך לוודא שיצרתם את המפתח ואת אוסף המפתחות, הגדרתם הרשאות וסיפקתם את המפתח כשנוצרה נקודת הקצה. הוראות מפורטות זמינות במאמר הגדרת CMEK למשאבים. |
אמצעי הבקרה NIST SP 800-53: SC-12 ו-SC-13 |
| vertexAITrainingPipelineCMEKDisabled | aiplatform.googleapis.com/TrainingPipeline |
הכלי הזה בודק אם צינור עיבוד נתונים לאימון לא מוצפן באמצעות CMEK. כדי לפתור את הממצא הזה, צריך לוודא שיצרתם את המפתח ואת אוסף המפתחות, הגדרתם הרשאות וסיפקתם את המפתח כשבניתם את פייפליין ההכשרה. הוראות מפורטות זמינות במאמר הגדרת CMEK למשאבים. |
אמצעי הבקרה NIST SP 800-53: SC-12 ו-SC-13 |
| vertexAICustomJobCMEKDisabled | aiplatform.googleapis.com/CustomJob |
הכלי הזה בודק אם עבודה שמריצה עומס עבודה בהתאמה אישית לא מוצפנת באמצעות CMEK. כדי לפתור את הממצא הזה, צריך לוודא שיצרתם את המפתח ואת אוסף המפתחות, שהגדרתם הרשאות וסיפקתם את המפתח כשנוצר הג'וב בהתאמה אישית. הוראות מפורטות זמינות במאמר הגדרת CMEK למשאבים. |
אמצעי הבקרה NIST SP 800-53: SC-12 ו-SC-13 |
| vertexAIDataLabelingJobHyperparameterTuningJobCMEKDisabled | aiplatform.googleapis.com/HyperparameterTuningJob |
הגלאי הזה בודק אם עבודת כוונון של היפר-פרמטרים לא מוצפנת באמצעות CMEK. כדי לפתור את הממצא הזה, צריך לוודא שיצרתם את המפתח ואת אוסף המפתחות, שהגדרתם הרשאות וסיפקתם את המפתח כשנוצר תהליך כוונון היפר-פרמטרים. הוראות מפורטות זמינות במאמר הגדרת CMEK למשאבים. |
אמצעי הבקרה NIST SP 800-53: SC-12 ו-SC-13 |
הצגת תבנית המצב
כדי לראות את תבנית המצב של AI מאובטח, מהדורות Essentials:
gcloud
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
-
ORGANIZATION_ID: המזהה המספרי של הארגון.
מריצים את הפקודה gcloud scc posture-templates
describe:
Linux, macOS או Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_essential
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_essential
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_essential
התשובה מכילה את תבנית המצב.
REST
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
-
ORGANIZATION_ID: המזהה המספרי של הארגון.
ה-method של ה-HTTP וכתובת ה-URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_essential
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
התשובה מכילה את תבנית המצב.