Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

מצב מוגדר מראש ל-AI מאובטח, מורחב

בדף הזה מתוארות המדיניות המונעת והמדיניות לגילוי איומים שכלולות בגרסה v1.0 של המצב המוגדר מראש לאבטחת AI, גרסה מורחבת. הסטטוס הזה כולל שתי קבוצות של מדיניות:

קבוצת מדיניות שכוללת מדיניות ארגון שחלה על עומסי עבודה של Vertex AI.
קבוצת מדיניות שכוללת גלאים מותאמים אישית של Security Health Analytics שחלים על עומסי עבודה ב-Vertex AI.

אתם יכולים להשתמש במצב המוגדר מראש הזה כדי להגדיר מצב אבטחה שיעזור להגן על Gemini ועל משאבי Vertex AI. אם רוצים לפרוס את המצב המוגדר מראש הזה, צריך להתאים אישית חלק מהמדיניות כדי שהיא תחול על הסביבה שלכם.

מגבלות שקשורות למדיניות הארגון

בטבלה הבאה מתוארות מדיניות הארגון שנכללות במצב האבטחה הזה.

מדיניות	תיאור	תקן תאימות
`ainotebooks.accessMode`	ההגבלה הזו מגדירה את מצבי הגישה שמותרים למסמכי notebooks ולמכונות של Vertex AI Workbench. חובה להגדיר את הערך הזה כשמשתמשים במצב האבטחה המוגדר מראש הזה.	אמצעי הבקרה NIST SP 800-53: ‏ AC-3(3) ו-AC-6(1)
`ainotebooks.disableFileDownloads`	המגבלה הזו מונעת יצירה של מכונות Vertex AI Workbench עם האפשרות להורדת קבצים. כברירת מחדל, אפשר להפעיל את האפשרות להורדת קבצים בכל מכונת Vertex AI Workbench. הערך הוא `true` כדי להשבית את ההורדה של קבצים במכונות חדשות של Vertex AI Workbench.	בקרת NIST SP 800-53: ‏ AC-3(1)
`ainotebooks.disableRootAccess`	המגבלה הזו מונעת מ-notebooks בניהול משתמשים וממופעים חדשים של Vertex AI Workbench להפעיל גישת root. כברירת מחדל, יכולה להיות גישת root מופעלת למכונות ול-notebooks בניהול משתמשים של Vertex AI Workbench. הערך הוא `true` כדי להשבית גישת root ב-notebooks חדשים בניהול המשתמשים ובמכונות של Vertex AI Workbench.	שליטה בתקן NIST SP 800-53: ‏ AC-3 ו-AC-6(2)
`ainotebooks.disableTerminal`	המגבלה הזו מונעת יצירה של מכונות Vertex AI Workbench עם מסוף מופעל. כברירת מחדל, אפשר להפעיל את הטרמינל במכונות של Vertex AI Workbench. הערך הוא `true` כדי להשבית את הטרמינל במכונות חדשות של Vertex AI Workbench.	אמצעי בקרה של NIST SP 800-53: ‏ AC-3,‏ AC-6 ו-CM-2
`ainotebooks.environmentOptions`	ההגבלה הזו מגדירה את האפשרויות של VM וקובצי אימג' של קונטיינרים שמשתמש יכול לבחור כשיוצרים מחברות ומקרים חדשים של Vertex AI Workbench שבהם ההגבלה הזו נאכפת. צריך לציין במפורש את האפשרויות שרוצים לאשר או לדחות. הערכים האפשריים הם: policy_rules: - values: allowed_values: - is:ainotebooks-vm/deeplearning-platform-release/image-family/tf-1-15-cpu - is:ainotebooks-vm/deeplearning-platform-release/image-family/tf-2-1-cpu - is:ainotebooks-vm/deeplearning-platform-release/image-family/tf-1-15-gpu - is:ainotebooks-vm/deeplearning-platform-release/image-family/tf-2-1-gpu - is:ainotebooks-vm/deeplearning-platform-release/image-family/caffe1-latest-cpu-experimental - is:ainotebooks-vm/deeplearning-platform-release/image-name/r-3-6-cpu-experimental-20200617 - is:ainotebooks-vm/deeplearning-platform-release/image-name/tf2-ent-2-1-cpu-20200613 - is:ainotebooks-vm/deeplearning-platform-release/image-name/tf2-2-2-cu101-20200616 - is:ainotebooks-vm/deeplearning-platform-release/image-name/tf-1-15-cu100-20200615 - is:ainotebooks-vm/deeplearning-platform-release/image-name/pytorch-latest-cpu-20200615 - is:ainotebooks-container/gcr.io/deeplearning-platform-release/tf-gpu.1-15 - is:ainotebooks-container/gcr.io/deeplearning-platform-release/tf-cpu.1-15:latest - is:ainotebooks-container/gcr.io/deeplearning-platform-release/tf-cpu.1-15:m48 - is:ainotebooks-container/gcr.io/deeplearning-platform-release/tf-cpu.1-15:m46 - is:ainotebooks-container/custom-container:latest	אמצעי בקרה של NIST SP 800-53: ‏ AC-3,‏ AC-6 ו-CM-2
`ainotebooks.requireAutoUpgradeSchedule`	ההגבלה הזו מחייבת להגדיר ל-notebooks ולמופעים חדשים בניהול משתמשים של Vertex AI Workbench לוח זמנים לשדרוג אוטומטי. הערך הוא `true` כדי לדרוש שדרוגים אוטומטיים מתוזמנים ב-notebooks ובמופעים חדשים בניהול משתמשים של Vertex AI Workbench.	אמצעי בקרה של NIST SP 800-53: ‏ AU-9,‏ CM-2 ו-CM-6
`ainotebooks.restrictPublicIp`	ההגבלה הזו מגבילה את הגישה לכתובות IP ציבוריות למכונות ולמסמכי notebook חדשים שנוצרו ב-Vertex AI Workbench. כברירת מחדל, כתובות IP ציבוריות יכולות לגשת למסמכי notebook ולמכונות של Vertex AI Workbench. הערך הוא `true` כדי להגביל את הגישה לכתובות IP ציבוריות ב-notebooks ובמכונות חדשות של Vertex AI Workbench.	בקרה של NIST SP 800-53: ‏ AC-3,‏ AC-4 ו-SC-7
`ainotebooks.restrictVpcNetworks`	הרשימה הזו מגדירה את רשתות ה-VPC שמשתמש יכול לבחור כשיוצרים מופעים חדשים של Vertex AI Workbench שבהם האילוץ הזה נאכף. חובה להגדיר את הערך הזה כשמשתמשים במצב האבטחה המוגדר מראש הזה.	אמצעי הבקרה NIST SP 800-53: ‏ AC-3,‏ AC-4 ו-CM-2

גלאים ב-Security Health Analytics

בטבלה הבאה מפורטים המודולים המותאמים אישית של Security Health Analytics שנכללים במצב האבטחה המוגדר מראש.

שם המזהה	משאב רלוונטי	תיאור	תקני תאימות
vertexAIDataSetCMEKDisabled	`aiplatform.googleapis.com/Dataset`	הגלאי הזה בודק אם יש מערכי נתונים שלא מוצפנים באמצעות מפתח הצפנה בניהול הלקוח (CMEK). כדי לפתור את הממצא הזה, צריך לוודא שיצרתם את המפתח ואת אוסף המפתחות, הגדרתם הרשאות וסיפקתם את המפתח כשנוצר מערך הנתונים. הוראות מפורטות זמינות במאמר הגדרת CMEK למשאבים.	אמצעי בקרה NIST SP 800-53: ‏ SC-12 ו-SC-13
vertexAIModelCMEKDisabled	`aiplatform.googleapis.com/Model`	הגלאי הזה בודק אם מודל לא מוצפן באמצעות CMEK. כדי לפתור את הממצא הזה, צריך לוודא שיצרתם את המפתח ואת אוסף המפתחות, שהגדרתם הרשאות וסיפקתם את המפתח כשבניתם את המודל. הוראות מפורטות זמינות במאמר הגדרת CMEK למשאבים.	אמצעי בקרה NIST SP 800-53: ‏ SC-12 ו-SC-13
vertexAIEndpointCMEKDisabled	`aiplatform.googleapis.com/Endpoint`	הכלי הזה בודק אם נקודת קצה לא מוצפנת באמצעות CMEK. כדי לפתור את הממצא הזה, צריך לוודא שיצרתם את המפתח ואת אוסף המפתחות, הגדרתם הרשאות וסיפקתם את המפתח כשנוצרה נקודת הקצה. הוראות מפורטות זמינות במאמר הגדרת CMEK למשאבים.	אמצעי בקרה NIST SP 800-53: ‏ SC-12 ו-SC-13
vertexAITrainingPipelineCMEKDisabled	`aiplatform.googleapis.com/TrainingPipeline`	הכלי הזה בודק אם צינור עיבוד נתונים לאימון לא מוצפן באמצעות CMEK. כדי לפתור את הממצא הזה, צריך לוודא שיצרתם את המפתח ואת אוסף המפתחות, הגדרתם הרשאות וסיפקתם את המפתח כשבניתם את צינור ההדרכה. הוראות מפורטות זמינות במאמר הגדרת CMEK למשאבים.	אמצעי בקרה NIST SP 800-53: ‏ SC-12 ו-SC-13
vertexAICustomJobCMEKDisabled	`aiplatform.googleapis.com/CustomJob`	הכלי הזה בודק אם עבודה שמריצה עומס עבודה בהתאמה אישית לא מוצפנת באמצעות CMEK. כדי לפתור את הממצא הזה, צריך לוודא שיצרתם את המפתח ואת אוסף המפתחות, שהגדרתם הרשאות וסיפקתם את המפתח כשנוצר הג'וב בהתאמה אישית. הוראות מפורטות זמינות במאמר הגדרת CMEK למשאבים.	אמצעי בקרה NIST SP 800-53: ‏ SC-12 ו-SC-13
vertexAIDataLabelingJobHyperparameterTuningJobCMEKDisabled	`aiplatform.googleapis.com/HyperparameterTuningJob`	הכלי הזה בודק אם עבודת כוונון של היפר-פרמטרים לא מוצפנת באמצעות CMEK. כדי לפתור את הממצא הזה, צריך לוודא שיצרתם את המפתח ואת אוסף המפתחות, הגדרתם הרשאות וסיפקתם את המפתח כשייצרתם את משימת ההתאמה של ההיפר-פרמטרים. הוראות מפורטות זמינות במאמר הגדרת CMEK למשאבים.	אמצעי בקרה NIST SP 800-53: ‏ SC-12 ו-SC-13

הצגת תבנית המצב

כדי לראות את תבנית המצב של AI מאובטח, מורחב:

gcloud

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

‫ORGANIZATION_ID: המזהה המספרי של הארגון

מריצים את הפקודה gcloud scc posture-templates describe:

‫Linux,‏ macOS או Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_extended

‏Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_extended

Windows‏ (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_extended

התשובה מכילה את תבנית המצב.

REST

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫ORGANIZATION_ID: המזהה המספרי של הארגון

ה-method של ה-HTTP וכתובת ה-URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_extended

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login, או באמצעות Cloud Shell שמחבר אתכם אוטומטית ל-CLI של gcloud. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_extended"

‎PowerShell (Windows)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_extended" | Select-Object -Expand Content

התשובה מכילה את תבנית המצב.

המאמרים הבאים

יצירת מצב אבטחה באמצעות המצב המוגדר מראש הזה.

מצב מוגדר מראש ל-AI מאובטח, מורחב קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

מגבלות שקשורות למדיניות הארגון

גלאים ב-Security Health Analytics

הצגת תבנית המצב

gcloud

‫Linux,‏ macOS או Cloud Shell

‏Windows (PowerShell)

Windows‏ (cmd.exe)

REST

‫Curl (Linux,‏ macOS או Cloud Shell)

‎PowerShell (Windows)

המאמרים הבאים

מצב מוגדר מראש ל-AI מאובטח, מורחב