Vertrauliche Daten in nutzerverwalteten Vertex AI Workbench-Notebooks schützen

Last reviewed 2021-04-29 UTC

In diesem Dokument werden Steuerungen und Sicherheitsebenen vorgeschlagen, mit denen Sie vertrauliche Daten in nutzerverwalteten Vertex AI Workbench-Notebooks schützen können. Es ist Teil einer Blueprint-Lösung, die aus Folgendem besteht:

  • Eine Übersicht über die von Ihnen implementierten Steuerungen (dieses Dokument).
  • Ein GitHub-Repository.

In diesem Dokument bezieht sich der Begriff "vertrauliche Daten" auf vertrauliche Informationen, bei denen jemand in Ihrem Unternehmen höhere Berechtigungen für den Zugriff benötigt. Dieses Dokument richtet sich an Teams, die nutzerverwaltete Notebooks verwalten.

In diesem Dokument wird davon ausgegangen, dass Sie bereits einen grundlegenden Satz an Sicherheitssteuerungen zum Schutz Ihrer Cloud-Infrastrukturbereitstellung konfiguriert haben. Mit dem Blueprint können Sie diese Sicherheitssteuerungen weiter ausbauen, um vertrauliche Daten in nutzerverwalteten Notebooks zu schützen. Weitere Informationen zu Best Practices für die Sicherheit in Ihren Google Cloud-Bereitstellungen finden Sie in der Blueprint zu den Google Cloud-Unternehmensgrundlagen.

Einführung

Wenn Sie Data Governance und Sicherheitsrichtlinien anwenden möchten, um nutzerverwaltete Notebooks mit vertraulichen Daten zu schützen, müssen Sie häufig die folgenden Ziele ausbalancieren:

  • Schutz der Daten, die von Notebookinstanzen verwendet werden. Dabei werden die gleiche Data Governance und die gleichen Sicherheitsverfahren und -steuerungen angewendet, die Sie unternehmensweit anwenden.
  • Sicherstellen, dass Data Scientists in Ihrem Unternehmen Zugriff auf die Daten haben, die sie benötigen, um aussagekräftige Informationen zu gewinnen.

Bevor Sie Data Scientists in Ihrem Unternehmen Zugriff auf Daten in nutzerverwalteten Notebooks gewähren, müssen Sie Folgendes verstehen:

  • Wie die Daten in Ihrer Umgebung fließen
  • Wer auf die Daten zugreift

Berücksichtigen Sie dabei Folgendes:

  • Wie wird Google Cloud-Ressourcenhierarchie bereitgestellt, um Daten zu isolieren
  • Welche IAM-Gruppen sind berechtigt, Daten aus BigQuery zu verwenden
  • Wie wirkt sich Ihre Data-Governance-Richtlinie auf Ihre Umgebung aus

Die Terraform-Skripts in dem mit dem Blueprint verknüpften GitHub-Repository implementieren die Sicherheitssteuerungen, die in diesem Dokument beschrieben werden. Das Repository enthält auch Beispieldaten für die Data-Governance-Praktiken. Weitere Informationen zur Data Governance in Google Cloud finden Sie unter Was ist Data Governance?.

Architektur

Das folgende Architekturdiagramm zeigt die Projekthierarchie und Ressourcen wie nutzerverwaltete Notebooks und Verschlüsselungsschlüssel.

Architektur des Blueprints.

Der Perimeter in dieser Architektur wird als höhere Vertrauensgrenze bezeichnet. Sie schützt vertrauliche Daten, die in der Virtual Private Cloud (VPC) verwendet werden. Data Scientists müssen durch die höhere Vertrauensgrenze hindurch auf Daten zugreifen. Weitere Informationen finden Sie unter VPC Service Controls.

Die höhere Vertrauensgrenze enthält alle Cloud-Ressourcen, die mit vertraulichen Daten interagieren, was Ihnen die Verwaltung Ihrer Data-Governance-Steuerungen erleichtern kann. Dienste wie nutzerverwaltete Notebooks, BigQuery und Cloud Storage haben dieselbe Vertrauensebene innerhalb der Grenze.

Die Architektur erstellt außerdem Sicherheitssteuerungen, die Sie bei Folgendem unterstützen:

  • Verringern Sie das Risiko der Daten-Exfiltration auf einem Gerät, das von Data Scientists in Ihrem Unternehmen verwendet wird.
  • Schützen Sie Ihre Notebookinstanzen vor externem Netzwerk-Traffic.
  • Beschränken Sie den Zugriff auf die VM, auf der die Notebookinstanzen gehostet werden.

Organisationsstruktur

Mit dem Resource Manager können Sie Ressourcen logisch nach Projekt, Ordner und Organisation gruppieren. Das folgende Diagramm zeigt eine Ressourcenhierarchie mit Ordnern, die für verschiedene Umgebungen wie Produktion oder Entwicklung stehen.

Ressourcenhierarchie mit Produktions- und Entwicklerordnern

Erstellen Sie in Ihrem Produktionsordner einen neuen Ordner, der Ihre vertrauenswürdige Umgebung darstellt.

Dem von Ihnen erstellten vertrauenswürdigen Ordner fügen Sie Organisationsrichtlinien hinzu. In den folgenden Abschnitten wird beschrieben, wie Informationen im Ordner, in Unterordnern und in Projekten organisiert sind.

Vertrauenswürdiger Ordner

Der Blueprint hilft beim Isolieren von Daten. Dazu wird ein neuer Unterordner in Ihren Produktionsordner für nutzerverwaltete Notebooks und sonstige Daten eingefügt, die von den Notebook-Instanzen in BigQuery verwendet werden. In der folgenden Tabelle werden die Beziehungen der Ordner in der Organisation beschrieben und die Ordner aufgelistet, die von diesem Blueprint verwendet werden.

Ordner Beschreibung
production Enthält Projekte mit Cloud-Ressourcen, die getestet wurden und einsatzbereit sind.
trusted Enthält Projekte und Ressourcen für Notebookinstanzen mit vertraulichen Daten. Dieser Ordner ist ein Unterordner, der dem Ordner production untergeordnet ist.

Projekte innerhalb der Organisation

Mit diesem Blueprint können Sie Teile Ihrer Umgebung mithilfe von Projekten isolieren. Da diese Projekte keinen Projektinhaber haben, müssen Sie explizite IAM-Richtlinienbindungen für die entsprechenden IAM-Gruppen erstellen.

In der folgenden Tabelle wird beschrieben, wo Sie die innerhalb der Organisation erforderlichen Projekte erstellen.

Projekt Übergeordneter Ordner Beschreibung
trusted-kms trusted Enthält Dienste, die den Verschlüsselungsschlüssel zum Schutz Ihrer Daten verwalten (z. B. Cloud HSM). Dieses Projekt befindet sich in der höheren Vertrauensgrenze.
trusted-data trusted Enthält Dienste, die vertrauliche Daten verarbeiten (z. B. BigQuery). Dieses Projekt befindet sich in der höheren Vertrauensgrenze.
trusted-analytics trusted Enthält die nutzerverwalteten Notebooks, die von Data Scientists verwendet werden. Dieses Projekt befindet sich in der höheren Vertrauensgrenze.

Informationen zu den angewendeten Sicherheitssteuerungen

In diesem Abschnitt werden die Sicherheitssteuerungen in Google Cloud beschrieben, mit denen Sie Ihre Notebookinstanzen schützen können. Der in diesem Dokument erläuterte Ansatz verwendet verschiedene Steuerungsebenen, um vertrauliche Daten zu schützen. Wir empfehlen Ihnen, diese Steuerungsebenen entsprechend Ihren Anforderungen anzupassen.

Einrichtung einer Organisationsrichtlinie

Der Organisationsrichtliniendienst wird verwendet, um Einschränkungen für unterstützte Ressourcen innerhalb Ihrer Google Cloud-Organisation zu konfigurieren. Konfigurieren Sie Einschränkungen, die auf den Ordner trusted angewendet werden, wie in der folgenden Tabelle beschrieben. Weitere Informationen zu den Richtlinieneinschränkungen finden Sie unter Einschränkungen für Organisationsrichtlinien.

Richtlinieneinschränkung Beschreibung Empfohlener Wert
gcp.resourceLocations (Liste) Definiert Einschränkungen für die Bereitstellung von Ressourcen in bestimmten Regionen. Weitere Informationen finden Sie unter <a{: l10n-attrs-original-order="href,track-type,track-name,track-metadata-position" l10n-encrypted-href="p0QLUJkJWl022ZPF8XOpExbgk/lxGfezRLhprMa5doZN+cJCz6j1rNnG0f6zRCY5lNvENQyutzDSQoNKf6mWtw1wA7mc7xehzQW0s0VnKKA=" track-metadata-position="body" track-name="internalLink" track-type="solution" }="">gültige Regionsgruppen.</a{:> ["in:us-locations", "in:eu-locations"]
iam.disableServiceAccountCreation (Boolesch) Wenn der Wert true ist, wird die Erstellung eines <a{: l10n-attrs-original-order="href,track-type,track-name,track-metadata-position" l10n-encrypted-href="CDx+y1R+QGNLsOA+E2D9d9ou+FEz00PeI85jCLdEq5b4Kv4CQ6p1vl0x3rS9735/" track-metadata-position="body" track-name="internalLink" track-type="solution" }="">Dienstkontos verhindert.</a{:> true
iam.disableServiceAccountKeyCreation (Boolesch) Wenn der Wert true ist, wird die Erstellung von <a{: l10n-attrs-original-order="href,track-type,track-name,track-metadata-position" l10n-encrypted-href="WFRYDQtmB/86VDs7PZa96dou+FEz00PeI85jCLdEq5bHy+ezA0ewJmDnHN78IEaq/uqVRhG/IldRkC2L0Y9bBQ==" track-metadata-position="body" track-name="internalLink" track-type="solution" }="">Dienstkontoschlüsseln verhindert.</a{:> true
iam.automaticIamGrantsForDefaultServiceAccounts (Boolesch) Wenn der Wert true ist, wird verhindert, dass bei der Erstellung der Konten Standard-Dienstkonten für eine beliebige IAM-Rolle im Projekt zugewiesen werden. true
compute.requireOsLogin (Boolesch) Wenn der Wert true ist, wird OS Login aktiviert. Weitere Informationen finden Sie unter <a{: l10n-attrs-original-order="href,track-type,track-name,track-metadata-position" l10n-encrypted-href="Mh2WvN3PzmbL/6M7AMJ+U8xdrud5wj8XJuhclBrl/6o=" track-metadata-position="body" track-name="internalLink" track-type="solution" }="">OS Login.</a{:> true
constraints/compute.restrictProtocolForwardingCreationForTypes (Liste) Beschränkt neue Weiterleitungsregeln auf den internen Gebrauch. ["is:INTERNAL"]
compute.restrictSharedVpcSubnetworks (Liste) Definiert die Gruppe freigegebener VPC-Subnetzwerke, die von zulässigen Ressourcen verwendet werden können. Geben Sie den Namen des Projekts an, in dem sich Ihr freigegebenes VPC-Subnetz befindet.

Ersetzen Sie das Subnetz VPC_SUBNET durch die Ressourcen-ID des privaten Subnetzes, das von nutzerverwalteten Notebooks verwendet werden soll.		 ["under:projects/VPC_SUBNET"]
compute.vmExternalIpAccess (Liste) Definiert die Compute Engine-VM-Instanzen, die zur Verwendung externer IP-Adressen berechtigt sind. deny all=true
compute.skipDefaultNetworkCreation (Boolesch) Wenn der Wert true lautet, überspringt Google Cloud die Erstellung des Standardnetzwerks und der zugehörigen Ressourcen beim Erstellen von Google Cloud-Ressourcen. true
compute.disableSerialPortAccess (Boolesch) Wenn der Wert true ist, wird der Zugriff des seriellen Ports auf Compute Engine-VMs verhindert. true
compute.disableSerialPortLogging (Boolesch) Mit dem Wert true wird das Logging serieller Ports von Compute Engine-VMs an Cloud Logging verhindert. true

Weitere Informationen zu zusätzlichen Richtliniensteuerungen finden Sie im Blueprint zu Google Cloud-Unternehmensgrundlagen.

Authentifizierung und Autorisierung

Der Blueprint unterstützt Sie beim Festlegen von IAM-Steuerungen und Zugriffsmustern, die Sie auf nutzerverwaltete Notebooks anwenden können. Mit dem Blueprint können Sie die Zugriffsmuster auf folgende Weise definieren:

  • Gruppe mit vertrauenswürdigeren Data Scientists verwenden. Einzelne Identitäten haben keine Berechtigungen für den Zugriff auf die Daten.
  • Eine benutzerdefinierte IAM-Rolle mit dem Namen restrictedDataViewer definieren.
  • Den Grundsatz der geringsten Berechtigung verwenden, um den Zugriff auf Ihre Daten einzuschränken.

Nutzer und Gruppen

Die höhere Vertrauensgrenze hat zwei Personas:

  • Der Dateninhaber, der für die Klassifizierung der Daten in BigQuery verantwortlich ist.
  • Der vertrauenswürdige Data Scientist, der zur Verarbeitung vertraulicher Daten berechtigt ist.

Sie verknüpfen diese Personas mit Gruppen. Sie fügen dann eine Identität, die der Persona entspricht, der Gruppe hinzu, anstatt die Rolle einzelnen Identitäten zuzuweisen.

Der Blueprint hilft Ihnen, die geringsten Berechtigungen durchzusetzen, indem er eine 1:1-Zuordnung zwischen Data Scientists und ihren Notebookinstanzen definiert, sodass nur eine einzige Data-Scientist-Identität auf die Notebookinstanz zugreifen kann. Einzelne Data Scientists erhalten keine Bearbeiterberechtigungen für eine Notebookinstanz.

Die Tabelle enthält die folgenden Informationen:

  • Die Personas, die Sie der Gruppe zuweisen.
  • Die IAM-Rollen, die Sie der Gruppe auf Projektebene zuweisen.
Gruppe Beschreibung Rollen Projekt
data-owner@example.com Mitglieder sind dafür verantwortlich, Daten in BigQuery zu klassifizieren und zu verwalten. <a{: l10n-attrs-original-order="href,track-type,track-name,track-metadata-position" l10n-encrypted-href="qZGUxiLwMwSqAayYOaEAYsqqqBP4p/061BE24HsZBYzqnuNSkSxnVKwqYjVml1pv" track-metadata-position="body" track-name="internalLink" track-type="solution" }="">roles/bigquery.dataOwner</a{:> trusted-data
trusted-data-scientist@example.com Mitglieder dürfen auf Daten zugreifen, die sich im vertrauenswürdigen Ordner befinden. roles/restrictedDataViewer (benutzerdefiniert) trusted-data

Nutzerverwaltete Dienstkonten

Sie erstellen ein nutzerverwaltetes Dienstkonto, das nutzerverwaltete Notebooks anstelle des Compute Engine-Standarddienstkontos verwenden sollen. Die Rollen für das Dienstkonto für Notebookinstanzen sind in der folgenden Tabelle definiert.

Dienstkonto Beschreibung Rollen Projekt
sa-p-notebook-compute@trusted-analytics.iam.gserviceaccount.com Ein Dienstkonto, das von Vertex AI zur Bereitstellung von Notebookinstanzen verwendet wird.
  • roles/restrictedDataViewer (benutzerdefiniert)
  • <a{: l10n-attrs-original-order="href,track-type,track-name,track-metadata-position" l10n-encrypted-href="qZGUxiLwMwSqAayYOaEAYsqqqBP4p/061BE24HsZBYzqnuNSkSxnVKwqYjVml1pv" track-metadata-position="body" track-name="internalLink" track-type="solution" }="">roles/bigquery.jobUser</a{:>
  • <a{: l10n-attrs-original-order="href,track-type,track-name,track-metadata-position" l10n-encrypted-href="F09OE/SDdsh4rSUv6kg1NJzBt276nqedo2zyLe4cxCi9OImFy9Pn6CEbIlOwglwwkXtNx3LSV4gEFf1hFSv84Q==" track-metadata-position="body" track-name="internalLink" track-type="solution" }="">roles/cloudkms.cryptoKeyEncrypterDecrypter</a{:>
  • roles/compute.instanceAdmin
  • roles/notebooks.viewer
 trusted-analytics

Mithilfe dieses Blueprints können Sie auch das von Google verwaltete Dienstkonto konfigurieren, das nutzerverwaltete Notebooks darstellt. Dazu gewähren Sie dem von Google verwalteten Dienstkonto Zugriff auf die angegebenen vom Kunden verwalteten Verschlüsselungsschlüssel (Customer-managed Encryption Keys, CMEKs). Diese ressourcenspezifische Zuweisung gewährt die geringsten Berechtigungen für den Schlüssel, der von nutzerverwalteten Notebooks verwendet wird.

Da für die Projekte kein Projektinhaber definiert wurde, dürfen Data Scientists die Schlüssel nicht verwalten.

Benutzerdefinierte Rollen

Im Blueprint erstellen Sie eine benutzerdefinierte Rolle roles/restrictedDataViewer, indem Sie die Exportberechtigung entfernen. Die benutzerdefinierte Rolle basiert auf der vordefinierten BigQuery-dataViewer-Rolle, mit der Nutzer Daten aus der BigQuery-Tabelle lesen können. Sie weisen diese Rolle der Gruppe trusted-data-scientists@example.com zu. In der folgenden Tabelle sind die Berechtigungen aufgeführt, die von der Rolle roles/restrictedDataViewer verwendet werden.

Name der benutzerdefinierten Rolle Beschreibung Berechtigungen
roles/restrictedDataViewer Ermöglicht Notebookinstanzen innerhalb der höheren Vertrauensgrenze, vertrauliche Daten aus BigQuery abzurufen.

Basiert auf der <a{: l10n-attrs-original-order="href,track-type,track-name,track-metadata-position" l10n-encrypted-href="qZGUxiLwMwSqAayYOaEAYsqqqBP4p/061BE24HsZBYzqnuNSkSxnVKwqYjVml1pv" track-metadata-position="body" track-name="internalLink" track-type="solution" }="">Rolle roles/bigquery.dataViewer
ohne die Exportberechtigung (z. B. bigquery.models.export).</a{:>		 bigquery.datasets.get
bigquery.datasets.getIamPolicy
bigquery.models.getData
bigquery.models.getMetadata
bigquery.models.list
bigquery.routines.get
bigquery.routines.list
bigquery.tables.get
bigquery.tables.getData
bigquery.tables.getIamPolicy
bigquery.tables.list
resourcemanager.projects.get
resourcemanager.projects.list

Geringste Berechtigung

Mit dem Blueprint können Sie Rollen mit minimalen Berechtigungen zuweisen. Beispiel: Sie müssen eine 1:1-Zuordnung zwischen einer einzelnen Data-Scientist-Identität und einer Notebookinstanz konfigurieren, statt einer freigegebenen Zuordnung mit einem Dienstkonto. Durch die Beschränkung der Berechtigung können Sie verhindern, dass Data Scientists sich direkt bei den Instanzen anmelden, auf denen ihre Notebookinstanz gehostet wird.

Zugriffsrechte

Nutzer der vertrauenswürdigeren Data-Scientist-Gruppe mit dem Namen trusted-data-scientists@example.com haben privilegierten Zugriff. Diese Zugriffsebene bedeutet, dass diese Nutzer Identitäten haben, die auf vertrauliche Daten zugreifen können. Stellen Sie gemeinsam mit Ihrem Identitätsteam Hardware-Sicherheitsschlüssel mit aktiviertem 2SV für diese Data-Scientist-Identitäten bereit.

Netzwerk

Sie geben eine freigegebene VPC-Umgebung für Ihre Notebooks an, z. B. eine Umgebung, die von den Google Cloud-Unternehmensgrundlagen-Netzwerkskripts definiert wurde.

Das Netzwerk für die Notebookinstanzen hat die folgenden Eigenschaften:

  • Eine freigegebene VPC mit einem privaten eingeschränkten Netzwerk ohne externe IP-Adresse.
  • Einschränkende Firewallregeln.
  • Ein VPC Service Controls-Perimeter, der alle Dienste und Projekte umfasst, mit denen Ihre nutzerverwalteten Notebooks interagieren.
  • Eine Access Context Manager-Richtlinie.

Eingeschränkte freigegebene VPC

Sie konfigurieren nutzerverwaltete Notebooks für die Verwendung der von Ihnen angegebenen freigegebenen VPC. Da OS Login erforderlich ist, minimiert Ihre freigegebene VPC den Zugriff auf die Notebookinstanzen. Sie können den expliziten Zugriff für Ihre Data Scientists mit Identity-Aware Proxy (IAP) konfigurieren.

Außerdem konfigurieren Sie die private Verbindung zu Google APIs und Google-Diensten in Ihrer freigegebenen VPC mithilfe der Domain restricted.googleapis.com. Mit dieser Konfiguration können die Dienste in Ihrer Umgebung VPC Service Controls unterstützen.

Ein Beispiel für das Einrichten einer freigegebenen eingeschränkten VPC finden Sie in den Terraform-Skripts zur Netzwerkkonfiguration des Blueprints zu den Sicherheitsgrundlagen.

VPC Service Controls-Perimeter

Mit dem Blueprint können Sie die höhere Vertrauensgrenze für Ihre vertrauenswürdige Umgebung mithilfe von VPC Service Controls festlegen.

Dienstperimeter sind eine Steuerung auf Organisationsebene, mit der Sie Google Cloud-Dienste in Ihren Projekten schützen können, indem Sie das Risiko von Daten-Exfiltration verringern.

In der folgenden Tabelle wird beschrieben, wie Sie Ihren VPC Service Control-Perimeter konfigurieren.

Attribut Kaufbereitschaft Wert
projects Schließen Sie alle Projekte mit Daten ein, auf die Data Scientists zugreifen, die nutzerverwaltete Notebooks verwenden, einschließlich Schlüsseln. ["trusted-kms"
"trusted-data"
"trusted-analytics"]
services Fügen Sie bei Bedarf weitere Dienste hinzu. ["compute.googleapis.com",
"storage.googleapis.com",
"notebooks.googleapis.com",
"bigquery.googleapis.com",
"datacatalog.googleapis.com",
"dataflow.googleapis.com",
"dlp.googleapis.com",
"cloudkms.googleapis.com",
"secretmanager.googleapis.com",
"cloudasset.googleapis.com",
"cloudfunctions.googleapis.com",
"pubsub.googleapis.com",
"monitoring.googleapis.com",
"logging.googleapis.com"]
access_level Fügen Sie <a{: l10n-attrs-original-order="href,track-type,track-name,track-metadata-position" l10n-encrypted-href="lusaVihyw0i6CzgawuRRYyk10Dou6dGBPtPXPAqkVYhqg3ciWN7dEYftf8SKI5K5" track-metadata-position="body" track-name="internalLink" track-type="solution" }="">Access Context Manager-Richtlinien hinzu, die Ihren Sicherheitsanforderungen entsprechen und fügen Sie weitere detaillierte <a{: l10n-attrs-original-order="href,track-type,track-name,track-metadata-position" l10n-encrypted-href="ZRmADm/vo/JQ2+/D/vUUr0WE0NcjMCq0U/gbksCiqgf1jsdW/MbrYpK1/gdk16L117PUzYIUuMKSr0A78yDcsQ==" track-metadata-position="body" track-name="internalLink" track-type="solution" }="">Endpunktprüfungsrichtlinien hinzu.</a{:></a{:> ACCESS_POLICIES
Weitere Informationen finden Sie unter <a{: l10n-attrs-original-order="href,track-type,track-name,track-metadata-position" l10n-encrypted-href="RD1gsl2tw43oA/PJKkk1nXjCRwUobSSsbtnFJlSTCBLjoLksm7evman24//KLCurKSqCdTDqIF3jaY3PSD/AkaFbN8pCOwuaC/vIQ9/k+Vf+HXbWtslLzKBVhXD8qB/Z" track-metadata-position="body" track-name="internalLink" track-type="solution" }="">Access Context Manager
</a{:>

Access Context Manager

Mit diesem Blueprint können Sie Access Context Manager mit dem VPC Service Controls-Perimeter konfigurieren. Mit Access Context Manager können Sie eine differenzierte, attributbasierte Zugriffssteuerung für Projekte und Ressourcen definieren. Verwenden Sie die Endpunktprüfung und konfigurieren Sie die Richtlinie so, dass sie den Anforderungen der Unternehmensverwaltung für den Datenzugriff entspricht. Wenden Sie sich an Ihren Administrator, um eine Zugriffsrichtlinie für die Data Scientists in Ihrem Unternehmen zu erstellen.

Wir empfehlen, die in der folgenden Tabelle aufgeführten Werte für Ihre Zugriffsrichtlinie zu verwenden.

Bedingung Kaufbereitschaft Werte
ip_subnetworks Nutzen Sie IP-Bereiche, die von Ihrem Unternehmen als vertrauenswürdig eingestuft wurden. (Liste) CIDR-Bereiche, die Zugriff auf Ressourcen im Perimeter erhalten haben.
members Fügen Sie hoch privilegierte Nutzer hinzu, die auf den Perimeter zugreifen können. (Liste) Privilegierte Identitäten von Data Scientists und Terraform-Dienstkonten für die Bereitstellung.
device_policy.require_screen_lock Auf Geräten muss die Displaysperre aktiviert sein. true
device_policy.require_corp_owned Gewähren Sie nur Unternehmensgeräten den Zugriff auf nutzerverwaltete Notebooks. true
device_policy.allowed_encryption_statuses Data Scientists dürfen nur Geräte verwenden, die inaktive Daten verschlüsseln. (Liste) ENCRYPTED
regions Pflegen Sie die Regionalisierung, damit Data Scientists auf ihre Notebookinstanzen zugreifen können.

Beschränken Sie sich auf den kleinsten Satz von Regionen, in denen Data Scientists voraussichtlich arbeiten.		 <a{: l10n-attrs-original-order="href,track-type,track-name,track-metadata-position" l10n-encrypted-href="8N5kFK1nMdX9Lm9PBXn1Gik10Dou6dGBPtPXPAqkVYhCA27lJ8v3AtKljasH4ygRJI82FsX3O5bO4YFtCsDjBg==" track-metadata-position="body" track-name="internalLink" track-type="solution" }="">Gültige Regionscodes
(Liste) </a{:>

Geringste Berechtigung für BigQuery

Der Blueprint zeigt Ihnen, wie Sie den Zugriff auf Datasets in BigQuery konfigurieren, die von Data Scientists verwendet werden. In der von Ihnen festgelegten Konfiguration müssen Data Scientists eine Notebookinstanz haben, um auf Datasets in BigQuery zugreifen zu können.

Mit der von Ihnen festgelegten Konfiguration können Sie auch die Sicherheit von Datasets in BigQuery auf folgende Weise erhöhen:

  • Zugriff auf das Dienstkonto der Notebookinstanz gewähren. Data Scientists benötigen eine Notebookinstanz, um direkt auf Datasets in BigQuery zuzugreifen.
  • Minimieren des Risikos, dass Data Scientists Kopien von Daten erstellen, die die Anforderungen des Unternehmens für die Data Governance nicht erfüllen. Data Scientists, die direkt mit BigQuery interagieren müssen, müssen der Gruppe trusted-data-scientists@example.com hinzugefügt werden.

Wenn Sie außerdem für Data Scientists eingeschränkten Zugriff auf BigQuery gewähren möchten, können Sie detaillierte Zugriffssteuerungen wie die Sicherheit auf Spaltenebene verwenden. Der Dateninhaber muss mit den Governance-Teams zusammenarbeiten, um eine geeignete Taxonomie zu erstellen. Dateninhaber können dann den Schutz sensibler Daten verwenden, um Datasets zu scannen, um das Dataset zu klassifizieren und entsprechend der Taxonomie zu taggen.

Schlüsselverwaltung

Zum Schutz Ihrer Daten verwenden nutzerverwaltete Notebooks Verschlüsselungsschlüssel. Die Schlüssel werden durch Cloud HSM gemäß FIPS 140-2 Level 3 unterstützt. Die Schlüssel, die Sie in der Umgebung erstellen, schützen Ihre Daten folgendermaßen:

  • CMEK ist für alle Dienste aktiviert, die sich innerhalb der höheren Vertrauensgrenze befinden.
  • Die Schlüsselverfügbarkeit kann nach Region konfiguriert werden.
  • Die Schlüsselrotation ist konfigurierbar.
  • Der Schlüsselzugriff ist eingeschränkt.

CMEK

Der Blueprint hilft Ihnen, die CMEKs zu verwenden, wodurch eine kryptografische Grenze für alle Daten erstellt wird, die den von Ihnen verwalteten Schlüssel verwenden. Ihre Umgebung verwendet für alle Dienste, die sich innerhalb der höheren Vertrauensgrenze befinden, denselben CMEK-Schlüssel. Ein weiterer Vorteil von CMEK besteht darin, dass Sie den Schlüssel löschen können, mit dem Sie Ihre Notebookinstanzen schützen, wenn die Notebookinstanz nicht mehr benötigt wird.

Schlüsselverfügbarkeit und -rotation

Sie können eine höhere Verfügbarkeit erreichen, indem Sie einen multiregionalen Schlüsselbund erstellen, wodurch die Verfügbarkeit Ihrer Schlüssel erhöht wird.

In diesem Blueprint erstellen Sie Schlüssel mit einem automatischen Rotationswert. Um den Rotationswert festzulegen, folgen Sie den von Ihrem Unternehmen festgelegten Sicherheitsrichtlinien. Sie können den Standardwert ändern, damit er der Sicherheitsrichtlinie entspricht, oder Schlüssel bei Bedarf häufiger rotieren.

In der folgenden Tabelle werden die Attribute beschrieben, die Sie für Ihre Schlüssel konfigurieren.

Attribut Kaufbereitschaft Werte
rotation Muss dem durch die Compliance-Rotationsrichtlinie Ihres Unternehmens festgelegten Wert entsprechen. 45 Tage
location Verwenden Sie einen Schlüsselbund, der <a{: l10n-attrs-original-order="href,track-type,track-name,track-metadata-position" l10n-encrypted-href="Z98fpOVAlHdfgDS3sMyCXJRrt04oQqGzq1Aef2125xKSjPY+/eF9aEsSeoGJf8A6" track-metadata-position="body" track-name="internalLink" track-type="solution" }="">multiregionale Standorte verwendet, um eine höhere Verfügbarkeit zu ermöglichen.</a{:> Wird basierend auf Ihrer Zonenkonfiguration für nutzerverwaltete Notebooks automatisch ausgewählt.
protection level Verwenden Sie das von Ihrem Unternehmen festgelegte Schutzniveau. HSM

Schlüsselzugriff

Mit dem Blueprint können Sie Ihre Schlüssel schützen, indem Sie sie in einem Cloud HSM-Modul in einem separaten Ordner Ihrer Datenressourcen speichern. Sie verwenden diesen Ansatz aus folgenden Gründen:

  • Verschlüsselungsschlüssel sind erforderlich, damit Ressourcen den Schlüssel verwenden können.
  • Die Teams für die Schlüsselverwaltung werden von Dateninhabern getrennt gehalten.
  • Es sind zusätzliche Steuerungen und Monitoring für Schlüssel erforderlich. Wenn Sie einen separaten Ordner verwenden, können Sie Richtlinien für die Schlüssel unabhängig von Ihren Daten verwalten.

Sicherheitssteuerungen für nutzerverwaltete Notebooks

Die in diesem Abschnitt beschriebenen Steuerungen schützen die in nutzerverwalteten Notebooks verwendeten Daten. Mit dem Blueprint können Sie die Sicherheitssteuerungen für nutzerverwaltete Notebooks so konfigurieren:

  • Risiko der Daten-Exfiltration minimieren.
  • Rechteausweitung einschränken.

Downloadverwaltung für Daten

Standardmäßig können Data Scientists mit Notebookinstanzen Daten auf ihre Rechner herunterladen oder exportieren. Das durch den Blueprint installierte Startskript verhindert die folgenden Aktionen:

  • Den Export und Download von Daten auf lokale Geräte.
  • Die Möglichkeit, Ausgabewerte zu drucken, die von Notebookinstanzen berechnet wurden.

Das Skript wird im Projekt trusted_kms erstellt. Mit dem Blueprint können Sie den Bucket schützen, in dem das Skript gespeichert wird. Dazu begrenzen Sie den Zugriff und konfigurieren den CMEK. Durch das Trennen der Skripts vom Projekt für nutzerverwaltete Notebooks kann außerdem das Risiko reduziert werden, dass nicht genehmigter Code zu Startskripts hinzugefügt wird.

Da Sie nutzerverwaltete Notebooks für die Verwendung Ihres privaten eingeschränkten VPC-Subnetzes konfigurieren, können Ihre Notebook-Instanzen nicht auf öffentliche Netzwerke zugreifen. Diese Konfiguration verhindert, dass Data Scientists externe Module installieren, auf externe Datenquellen zugreifen und auf öffentliche Code-Repositories zugreifen. Anstatt externer Ressourcen empfehlen wir, dass Sie für die Data Scientists in Ihrem Unternehmen ein privates Artefakt-Repository wie Artifact Registry einrichten.

Berechtigungsverwaltung

Mit dem Blueprint können Sie die Berechtigungen beschränken, die der Gruppe trusted-data-scientists@example.com zugewiesen sind. Der Gruppe wurde beispielsweise keine Rolle zum Erstellen von Snapshots nichtflüchtiger Speicher zugewiesen, da das lokale Dateisystem für den Snapshot Notebookinstanzen enthalten kann, die Daten aus Ihrem Unternehmen enthalten.

Außerdem verhindern Sie die Verwendung von sudo-Befehlen in der Befehlszeile der Notebookinstanz, um zu verhindern, dass Data Scientists privilegierten Zugriff erhalten. Dadurch wird verhindert, dass Data Scientists die in der Notebookinstanz installierten Steuerungen wie genehmigte Pakete oder Logging ändern.

Betriebssicherheit

Zusätzlich zu den Sicherheitssteuerungen, die Sie mit dem Blueprint festlegen, müssen Sie die folgenden Betriebssicherheitsrichtlinien konfigurieren, um sicherzustellen, dass die Daten kontinuierlich in Notebooks geschützt sind, die von Ihrem Unternehmen verwendet werden:

  • Logging- und Monitoring-Konfiguration.
  • Richtlinien für die Sicherheitslückenverwaltung.
  • Sichtbarkeit von Assets.

Logging und Monitoring

Sobald eine Hierarchie erstellt wurde, müssen Sie die Logging- und Aufdeckungssteuerungen konfigurieren, die Sie für neue Projekte verwenden. Weitere Informationen zur Konfiguration dieser Steuerungen finden Sie in den Logging-Skripts des Blueprints zu den Sicherheitsgrundlagen.

Sicherheitslückenverwaltung

Deep-Learning-VM-Images werden regelmäßig aktualisiert. Es wird empfohlen, die Images in vorhandenen Notebookinstanzen mit der gleichen Häufigkeit zu aktualisieren wie beim Zeitplan Ihres Sicherheitslückenscans. Sie können das API-Ergebnis isUpgradeable prüfen und über die upgrade API ein Upgrade initiieren.

Sichtbarkeit von Risiken

Mit dem Security Command Center erhalten Sie einen Einblick in Ihre Assets, Sicherheitslücken, Risiken und Richtlinien. Das Security Command Center scannt Ihre Bereitstellung, um Ihre Umgebung anhand relevanter Compliance-Frameworks zu bewerten.

Zusammenfassung

So implementieren Sie die in diesem Dokument beschriebene Architektur:

  1. Erstellen Sie Ihren vertrauenswürdigen Ordner und Ihre vertrauenswürdigen Projekte gemäß dem Abschnitt Organisationsstruktur.
  2. Konfigurieren Sie Logging- und Monitoring-Steuerungen für diese Projekte gemäß Ihrer Sicherheitsrichtlinie. Ein Beispiel finden Sie in der Logging-Konfiguration des Blueprints zu den Sicherheitsgrundlagen.
  3. Erstellen Sie Ihre IAM-Gruppen und fügen Sie die Gruppe der vertrauenswürdigen Data Scientists der entsprechenden Gruppe hinzu, wie unter Nutzer und Gruppen beschrieben.
  4. Richten Sie Ihr Netzwerk wie in Netzwerk beschrieben mit einer freigegebenen eingeschränkten VPC und einem Subnetz ein.
  5. Erstellen Sie Ihre Access Context Manager-Richtlinie, wie unter Access Context Manager beschrieben.
  6. Klonen Sie das GitHub-Repository für diesen Blueprint:
  7. Erstellen Sie Ihre Terraform-Umgebungsvariablendatei mit den erforderlichen Eingaben.
  8. Wenden Sie die Terraform-Skripts auf Ihre Umgebung an, um die in diesem Blueprint beschriebenen Steuerungen zu erstellen.
  9. Prüfen Sie Ihre vertrauenswürdige Umgebung hinsichtlich Ihrer Sicherheits- und Data-Governance-Anforderungen. Sie können die neu erstellten Projekte anhand der Compliance-Frameworks von Security Command Center überprüfen.
  10. Erstellen Sie in BigQuery ein Dataset im Projekt trusted-data oder verwenden Sie das Beispiel aus dem GitHub-Repository-Modul data.
  11. Arbeiten Sie mit einem Data Scientist in Ihrem Unternehmen zusammen, um den Zugriff auf die neu erstellte Notebookinstanz zu testen.
  12. Testen Sie in der nutzerverwalteten Notebook-Umgebung, ob ein Data Scientist mit den Daten aus BigQuery auf die erwartete Weise interagieren kann. Sie können den BigQuery-Beispielbefehl im zugehörigen GitHub-Repository verwenden.

Ressourcen