מצב מוגדר מראש ל-AI מאובטח, חיוני

בדף הזה מתוארות המדיניות המונעת והמדיניות לזיהוי שכלולות בגרסה 1.0.0 של המצב המוגדר מראש לאבטחת AI, essentials. התפיסה הזו כוללת שני סטים של מדיניות:

קבוצת מדיניות שכוללת מדיניות ארגון שחלה על עומסי עבודה של Vertex AI.
קבוצת מדיניות שכוללת גלאים מותאמים אישית של Security Health Analytics שחלים על עומסי עבודה ב-Vertex AI.

אתם יכולים להשתמש במצב הזה כדי להגדיר מצב אבטחה שיעזור להגן על משאבי Gemini ו-Vertex AI. אפשר לפרוס את המצב המוגדר מראש הזה בלי לבצע שינויים.

מדיניות	תיאור	תקני תאימות
`ainotebooks.disableFileDownloads`	המגבלה הזו מונעת יצירה של מכונות Vertex AI Workbench עם האפשרות להורדת קבצים. כברירת מחדל, אפשר להפעיל את האפשרות להורדת קבצים בכל מכונת Vertex AI Workbench. הערך הוא `true` כדי להשבית את ההורדה של קבצים במכונות חדשות של Vertex AI Workbench.	בקרת NIST SP 800-53: ‏ AC-3(1)
`ainotebooks.disableRootAccess`	המגבלה הזו מונעת מ-notebooks בניהול משתמשים וממופעים חדשים של Vertex AI Workbench להפעיל גישת root. כברירת מחדל, יכולה להיות גישת root מופעלת למכונות ול-notebooks בניהול משתמשים של Vertex AI Workbench. הערך הוא `true` כדי להשבית גישת root ב-notebooks חדשים בניהול המשתמשים ובמכונות של Vertex AI Workbench.	שליטה בתקן NIST SP 800-53: ‏ AC-3 ו-AC-6(2)
`ainotebooks.disableTerminal`	המגבלה הזו מונעת יצירה של מכונות Vertex AI Workbench עם מסוף מופעל. כברירת מחדל, אפשר להפעיל את הטרמינל במכונות של Vertex AI Workbench. הערך הוא `true` כדי להשבית את הטרמינל במכונות חדשות של Vertex AI Workbench.	אמצעי בקרה של NIST SP 800-53: ‏ AC-3,‏ AC-6 ו-CM-2
`ainotebooks.requireAutoUpgradeSchedule`	ההגבלה הזו מחייבת להגדיר ל-notebooks ולמופעים חדשים בניהול משתמשים של Vertex AI Workbench לוח זמנים לשדרוג אוטומטי. הערך הוא `true` כדי לדרוש שדרוגים אוטומטיים מתוזמנים ב-notebooks ובמופעים חדשים בניהול משתמשים של Vertex AI Workbench.	אמצעי בקרה של NIST SP 800-53: ‏ AU-9,‏ CM-2 ו-CM-6
`ainotebooks.restrictPublicIp`	ההגבלה הזו מגבילה את הגישה לכתובות IP ציבוריות למכונות ולמסמכי notebook חדשים שנוצרו ב-Vertex AI Workbench. כברירת מחדל, כתובות IP ציבוריות יכולות לגשת למסמכי notebook ולמכונות של Vertex AI Workbench. הערך הוא `true` כדי להגביל את הגישה לכתובות IP ציבוריות ב-notebooks ובמכונות חדשות של Vertex AI Workbench.	בקרה של NIST SP 800-53: ‏ AC-3,‏ AC-4 ו-SC-7

גלאים ב-Security Health Analytics

בטבלה הבאה מפורטים המודולים המותאמים אישית של Security Health Analytics שנכללים במצב האבטחה המוגדר מראש.

שם המזהה	משאב רלוונטי	תיאור	תקני תאימות
vertexAIDataSetCMEKDisabled	`aiplatform.googleapis.com/Dataset`	הגלאי הזה בודק אם יש מערכי נתונים שלא מוצפנים באמצעות מפתח הצפנה בניהול הלקוח (CMEK). כדי לפתור את הממצא הזה, צריך לוודא שיצרתם את המפתח ואת אוסף המפתחות, הגדרתם הרשאות וסיפקתם את המפתח כשנוצר מערך הנתונים. הוראות מפורטות במאמר הגדרת CMEK למשאבים	אמצעי בקרה NIST SP 800-53: ‏ SC-12 ו-SC-13
vertexAIModelCMEKDisabled	`aiplatform.googleapis.com/Model`	הגלאי הזה בודק אם מודל לא מוצפן באמצעות CMEK. כדי לפתור את הממצא הזה, צריך לוודא שיצרתם את המפתח ואת אוסף המפתחות, שהגדרתם הרשאות וסיפקתם את המפתח כשבניתם את המודל. הוראות מפורטות זמינות במאמר הגדרת CMEK למשאבים.	אמצעי בקרה NIST SP 800-53: ‏ SC-12 ו-SC-13
vertexAIEndpointCMEKDisabled	`aiplatform.googleapis.com/Endpoint`	הכלי הזה בודק אם נקודת קצה לא מוצפנת באמצעות CMEK. כדי לפתור את הממצא הזה, צריך לוודא שיצרתם את המפתח ואת אוסף המפתחות, הגדרתם הרשאות וסיפקתם את המפתח כשנוצרה נקודת הקצה. הוראות מפורטות זמינות במאמר הגדרת CMEK למשאבים.	אמצעי בקרה NIST SP 800-53: ‏ SC-12 ו-SC-13
vertexAITrainingPipelineCMEKDisabled	`aiplatform.googleapis.com/TrainingPipeline`	הכלי הזה בודק אם צינור עיבוד נתונים לאימון לא מוצפן באמצעות CMEK. כדי לפתור את הממצא הזה, צריך לוודא שיצרתם את המפתח ואת אוסף המפתחות, הגדרתם הרשאות וסיפקתם את המפתח כשבניתם את צינור ההדרכה. הוראות מפורטות זמינות במאמר הגדרת CMEK למשאבים.	אמצעי בקרה NIST SP 800-53: ‏ SC-12 ו-SC-13
vertexAICustomJobCMEKDisabled	`aiplatform.googleapis.com/CustomJob`	הכלי הזה בודק אם עבודה שמריצה עומס עבודה בהתאמה אישית לא מוצפנת באמצעות CMEK. כדי לפתור את הממצא הזה, צריך לוודא שיצרתם את המפתח ואת אוסף המפתחות, שהגדרתם הרשאות וסיפקתם את המפתח כשנוצר הג'וב בהתאמה אישית. הוראות מפורטות זמינות במאמר הגדרת CMEK למשאבים.	אמצעי בקרה NIST SP 800-53: ‏ SC-12 ו-SC-13
vertexAIDataLabelingJobHyperparameterTuningJobCMEKDisabled	`aiplatform.googleapis.com/HyperparameterTuningJob`	הכלי הזה בודק אם עבודת כוונון של היפר-פרמטרים לא מוצפנת באמצעות CMEK. כדי לפתור את הממצא הזה, צריך לוודא שיצרתם את המפתח ואת אוסף המפתחות, הגדרתם הרשאות וסיפקתם את המפתח כשייצרתם את משימת ההתאמה של ההיפר-פרמטרים. הוראות מפורטות זמינות במאמר הגדרת CMEK למשאבים.	אמצעי בקרה NIST SP 800-53: ‏ SC-12 ו-SC-13

הצגת תבנית המצב

כדי לראות את תבנית המצב של AI מאובטח, מהדורות Essentials:

gcloud

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

‫ORGANIZATION_ID: המזהה המספרי של הארגון

מריצים את הפקודה gcloud scc posture-templates describe:

‫Linux,‏ macOS או Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_essential

‏Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_essential

Windows‏ (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_essential

התשובה מכילה את תבנית המצב.

REST

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫ORGANIZATION_ID: המזהה המספרי של הארגון

ה-method של ה-HTTP וכתובת ה-URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_essential

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login, או באמצעות Cloud Shell שמחבר אתכם אוטומטית ל-CLI של gcloud. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_essential"

‎PowerShell (Windows)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_essential" | Select-Object -Expand Content

התשובה מכילה את תבנית המצב.

המאמרים הבאים

יצירת מצב אבטחה באמצעות המצב המוגדר מראש הזה.

מצב מוגדר מראש ל-AI מאובטח, חיוני קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

גלאים ב-Security Health Analytics

הצגת תבנית המצב

gcloud

‫Linux,‏ macOS או Cloud Shell

‏Windows (PowerShell)

Windows‏ (cmd.exe)

REST

‫Curl (Linux,‏ macOS או Cloud Shell)

‎PowerShell (Windows)

המאמרים הבאים

מצב מוגדר מראש ל-AI מאובטח, חיוני