Questo documento suggerisce controlli e livelli di sicurezza che puoi utilizzare per proteggere i dati riservati nei blocchi note gestiti dall'utente di Vertex AI Workbench. Fa parte di una soluzione di progetto composta da:
- Una guida ai controlli implementati (questo documento).
- Un repository GitHub.
In questo documento, per dati riservati si intendono le informazioni sensibili a cui un utente nella tua azienda ha bisogno di livelli di privilegi più elevati per accedere. Questo documento è destinato ai team che amministrano i blocchi note gestiti dall'utente.
Questo documento presuppone che tu abbia già configurato un set di base di controlli di sicurezza per proteggere il deployment dell'infrastruttura cloud. Il progetto ti aiuta a integrare controlli aggiuntivi su questi controlli di sicurezza esistenti per proteggere i dati riservati nei blocchi note gestiti dall'utente. Per scoprire di più sulle best practice per integrare la sicurezza nei tuoi deployment Google Cloud, consulta il progetto di base per gli elementi di base aziendali di Google Cloud.
Introduzione
L'applicazione di criteri di governance dei dati e sicurezza per proteggere i blocchi note gestiti dagli utenti con dati riservati richiede spesso di bilanciare i seguenti obiettivi:
- Contribuire a proteggere i dati utilizzati dalle istanze di blocco note usando la stessa governance dei dati e le stesse pratiche e controlli di sicurezza che applichi a tutta la tua azienda.
- Garantire che i data scientist nella tua azienda abbiano accesso ai dati necessari per fornire insight significativi.
Prima di concedere ai data scientist della tua azienda l'accesso ai dati nei blocchi note gestiti dall'utente, devi comprendere quanto segue:
- Il modo in cui i dati passano nel tuo ambiente.
- Chi accede ai dati.
Per comprendere meglio:
- Eseguire il deployment della gerarchia di risorse Google Cloud per isolare i dati.
- Quali gruppi IAM sono autorizzati a utilizzare i dati di BigQuery.
- In che modo i criteri di governance dei dati influenza il tuo ambiente.
Gli script Terraform nel repository GitHub associati al progetto base implementano i controlli di sicurezza descritti in questo documento. Il repository contiene anche dati di esempio per illustrare le pratiche di governance dei dati. Per ulteriori informazioni sulla governance dei dati in Google Cloud, consulta Che cos'è la governance dei dati?
Architettura
Il seguente diagramma dell'architettura mostra la gerarchia e le risorse del progetto, come i blocchi note gestiti dall'utente e le chiavi di crittografia.
Il perimetro di questa architettura è definito confine di attendibilità superiore. Contribuisce a proteggere i dati riservati utilizzati nel Virtual Private Cloud (VPC). I data scientist devono accedere ai dati attraverso il confine di attendibilità più elevato. Per ulteriori informazioni, consulta Controlli di servizio VPC.
Il limite di attendibilità più elevato contiene ogni risorsa cloud che interagisce con i dati riservati, il che può aiutarti a gestire i controlli di governance dei dati. Servizi come blocchi note gestiti dall'utente, BigQuery e Cloud Storage hanno lo stesso livello di attendibilità all'interno dei confini.
L'architettura crea inoltre controlli di sicurezza che consentono di:
- Riduci il rischio di esfiltrazione di dati su un dispositivo utilizzato dai data scientist nella tua azienda.
- Proteggi le istanze dei blocchi note dal traffico di rete esterno.
- Limita l'accesso alla VM che ospita le istanze del blocco note.
Struttura organizzativa
Resource Manager consente di raggruppare logicamente le risorse per progetto, cartella e organizzazione. Il seguente diagramma mostra una gerarchia di risorse con cartelle che rappresentano ambienti diversi, come la produzione o lo sviluppo.
Nella cartella di produzione, crei una nuova cartella che rappresenta l'ambiente attendibile.
Aggiungi i criteri dell'organizzazione alla cartella attendibile creata. Le seguenti sezioni descrivono l'organizzazione delle informazioni all'interno di cartelle, sottocartelle e progetti.
Cartella attendibile
Il progetto ti aiuta a isolare i dati introducendo una nuova sottocartella all'interno della cartella di produzione per i blocchi note gestiti dall'utente e per tutti i dati che le istanze blocco note utilizzano da BigQuery. La seguente tabella descrive le relazioni delle cartelle all'interno dell'organizzazione ed elenca le cartelle utilizzate da questo progetto base.
| Cartella | Descrizione |
|---|---|
production |
Contiene progetti che includono risorse cloud testate e pronte per l'uso. |
trusted |
Contiene progetti e risorse per le istanze di blocco note con dati riservati. Questa cartella è una sottocartella secondaria della cartella production. |
Progetti all'interno dell'organizzazione
Il progetto base ti aiuta a isolare parti del tuo ambiente utilizzando i progetti. Poiché questi progetti non hanno un proprietario, devi creare associazioni di criteri IAM esplicite per i gruppi IAM appropriati.
La tabella seguente descrive dove creare i progetti necessari all'interno dell'organizzazione.
| Progetto | Cartella padre | Descrizione |
|---|---|---|
trusted-kms |
trusted |
Contiene servizi che gestiscono la chiave di crittografia che protegge i dati (ad esempio Cloud HSM). Questo progetto si trova nel confine di attendibilità più alto. |
trusted-data |
trusted |
Contiene servizi che gestiscono dati riservati (ad esempio BigQuery). Questo progetto si trova nel confine di attendibilità più alto. |
trusted-analytics |
trusted |
Contiene i blocchi note gestiti dall'utente utilizzati dai data scientist. Questo progetto si trova nel confine di attendibilità più alto. |
Informazioni sui controlli di sicurezza applicati
Questa sezione illustra i controlli di sicurezza all'interno di Google Cloud che consentono di proteggere le istanze del blocco note. L'approccio illustrato in questo documento utilizza più livelli di controllo per proteggere i dati sensibili. Ti consigliamo di adattare questi livelli di controllo in base alle esigenze della tua azienda.
Configurazione dei criteri dell'organizzazione
Il Servizio Criteri dell'organizzazione viene utilizzato per configurare limitazioni sulle risorse supportate all'interno della tua organizzazione Google Cloud. Puoi configurare i vincoli da applicare alla cartella trusted come descritto nella tabella seguente. Per ulteriori informazioni sui vincoli dei criteri, consulta la sezione Vincoli dei criteri dell'organizzazione.
| Vincolo del criterio | Descrizione | Valore consigliato |
|---|---|---|
gcp.resourceLocations |
(elenco) Definisce i vincoli relativi alle modalità di deployment delle risorse in determinate regioni. Per valori aggiuntivi, consulta la pagina sui gruppi di regioni validi. | ["in:us-locations", "in:eu-locations"] |
iam.disableServiceAccountCreation |
(booleano) Se il valore è true, impedisce la creazione di un
account di servizio. |
true |
iam.disableServiceAccountKeyCreation |
(booleano) Se il valore è true, impedisce la creazione di chiavi dell'account di servizio. |
true |
iam.automaticIamGrantsForDefaultServiceAccounts |
(booleano) Se il valore è true, impedisce che gli account di servizio predefiniti vengano concessi a qualsiasi ruolo IAM del progetto al momento della creazione degli account. |
true |
compute.requireOsLogin |
(booleano) Se il valore è true, OS Login consente l'accesso. Per ulteriori informazioni, consulta OS Login. |
true |
constraints/compute.restrictProtocolForwardingCreationForTypes |
(elenco) Limita le nuove regole di forwarding a essere solo per uso interno. | ["is:INTERNAL"] |
compute.restrictSharedVpcSubnetworks |
(elenco) Definisce l'insieme di subnet VPC condivise che le risorse idonee possono utilizzare. Specifica il nome del progetto che include la tua subnet VPC condivisa. Sostituisci la subnet VPC_SUBNET con l'ID risorsa della subnet privata che vuoi utilizzare per i blocchi note gestiti dall'utente. |
["under:projects/VPC_SUBNET"] |
compute.vmExternalIpAccess |
(elenco) Definisce l'insieme di istanze VM di Compute Engine che dispongono dell'autorizzazione per utilizzare indirizzi IP esterni. | deny all=true |
compute.skipDefaultNetworkCreation |
(booleano) Se il valore è true, Google Cloud ignora la creazione della rete predefinita e delle risorse correlate durante la creazione delle risorse Google Cloud. |
true |
compute.disableSerialPortAccess |
(booleano) Se il valore è true, impedisce alle VM di Compute Engine di accedere alla porta seriale. |
true |
compute.disableSerialPortLogging |
(booleano) Se il valore è true, impedisce il logging delle porte seriali in Cloud Logging dalle VM di Compute Engine. |
true |
Per ulteriori informazioni sui controlli dei criteri aggiuntivi, consulta il progetto di base per gli elementi di base aziendali di Google Cloud.
autentica e autorizza
Il progetto base consente di stabilire i controlli IAM e i pattern di accesso che puoi applicare ai blocchi note gestiti dall'utente. Il progetto base consente di definire i pattern di accesso nei seguenti modi:
- Utilizzando un gruppo di data scientist con maggiore affidabilità. Alle identità individuali non sono assegnate autorizzazioni per accedere ai dati.
- Definizione di un ruolo IAM personalizzato denominato
restrictedDataViewer. - Utilizzare i principi del privilegio minimo per limitare l'accesso ai dati.
Utenti e gruppi
Il limite di attendibilità più elevato include due utenti tipo che sono i seguenti:
- Il proprietario dei dati, responsabile della classificazione dei dati all'interno di BigQuery.
- Il data scientist attendibile, a cui è consentito gestire dati riservati.
Devi associare questi utenti tipo ai gruppi. Puoi aggiungere un'identità che corrisponde all'utente tipo al gruppo, invece di concedere il ruolo a singole identità.
Il progetto base consente di applicare privilegio minimo definendo una mappatura one-to-one tra i data scientist e le relative istanze di blocco note in modo che solo una singola identità di data scientist possa accedere all'istanza del blocco note. Ai singoli data scientist non sono concesse autorizzazioni di editor per un'istanza di blocco note.
La tabella mostra le seguenti informazioni:
- Gli utenti tipo che assegni al gruppo.
- I ruoli IAM che assegni al gruppo a livello di progetto.
| Gruppo | Descrizione | Ruoli | Progetto |
|---|---|---|---|
data-owner@example.com |
I membri sono responsabili della classificazione e della gestione dei dati in BigQuery. | roles/bigquery.dataOwner |
trusted-data |
trusted-data-scientist@example.com |
I membri possono accedere ai dati che si trovano all'interno della cartella attendibile. | roles/restrictedDataViewer (personalizzata) |
trusted-data |
Account di servizio gestiti dall'utente
Creerai un account di servizio gestito dall'utente per i blocchi note gestiti dall'utente al posto dell'account di servizio predefinito di Compute Engine. I ruoli dell'account di servizio per le istanze di blocco note sono definiti nella tabella seguente.
| Account di servizio | Descrizione | Ruoli | Progetto |
|---|---|---|---|
sa-p-notebook-compute@trusted-analytics.iam.gserviceaccount.com |
Un account di servizio utilizzato da Vertex AI per il provisioning delle istanze di blocco note. |
|
trusted-analytics |
Il progetto ti aiuta anche a configurare l'account di servizio gestito da Google che rappresenta i tuoi blocchi note gestiti dall'utente fornendo l'accesso dell'account di servizio gestito da Google alle chiavi di crittografia gestite dal cliente (CMEK) specificate. Questa concessione specifica per le risorse applica il privilegio minimo alla chiave utilizzata dai blocchi note gestiti dall'utente.
Poiché per i progetti non è stato definito un proprietario, i data scientist non sono autorizzati a gestire le chiavi.
Ruoli personalizzati
Nel progetto base, crei un ruolo personalizzato roles/restrictedDataViewer rimuovendo l'autorizzazione di esportazione. Il ruolo personalizzato si basa sul ruolo dataViewer di BigQuery predefinito che consente agli utenti di leggere i dati dalla tabella BigQuery. Assegnerai questo ruolo al gruppo trusted-data-scientists@example.com. La tabella seguente mostra le autorizzazioni utilizzate dal ruolo roles/restrictedDataViewer.
| Nome ruolo personalizzato | Descrizione | Autorizzazioni |
|---|---|---|
roles/restrictedDataViewer |
Consente alle istanze di blocco note all'interno del limite di attendibilità superiore di visualizzare i dati sensibili da BigQuery. Basato sul ruolo roles/bigquery.dataViewersenza l'autorizzazione di esportazione (ad esempio, bigquery.models.export). |
bigquery.datasets.getbigquery.datasets.getIamPolicybigquery.models.getDatabigquery.models.getMetadatabigquery.models.listbigquery.routines.getbigquery.routines.listbigquery.tables.getbigquery.tables.getDatabigquery.tables.getIamPolicybigquery.tables.listresourcemanager.projects.getresourcemanager.projects.list |
Privilegio minimo
Il progetto base consente di concedere i ruoli con il livello minimo di privilegi. Ad esempio, devi configurare una mappatura one-to-one tra una singola identità di data scientist e un'istanza di blocco note, anziché una mappatura condivisa con un account di servizio. La limitazione dei privilegi consente di impedire ai data scientist di accedere direttamente alle istanze che ospitano la loro istanza di blocco note.
Accesso privilegiato
Gli utenti del gruppo di data scientist di maggiore attendibilità denominato trusted-data-scientists@example.com
hanno accesso con privilegi. Questo livello di accesso indica che gli utenti hanno
identità che possono accedere a dati riservati. Collabora con il team dedicato alle identità per fornire token di sicurezza hardware con V2P abilitata per queste identità di data scientist.
Networking
Devi specificare un ambiente VPC condiviso per i tuoi blocchi note, ad esempio uno definito dagli script di rete degli elementi di base di Google Cloud.
La rete per le istanze di blocco note ha le seguenti proprietà:
- Un VPC condiviso che utilizza una rete privata limitata senza indirizzo IP esterno.
- Regole firewall restrittive.
- Un perimetro dei Controlli di servizio VPC che comprende tutti i servizi e i progetti con cui interagiscono i blocchi note gestiti dall'utente.
- Un criterio di Gestore contesto accesso.
VPC condiviso limitato
Puoi configurare i blocchi note gestiti dall'utente in modo che utilizzino il VPC condiviso specificato. Poiché è richiesto OS Login, il VPC condiviso riduce al minimo l'accesso alle istanze del blocco note. Puoi configurare l'accesso esplicito per i data scientist utilizzando Identity-Aware Proxy (IAP).
Puoi inoltre configurare la connettività privata alle API e ai servizi Google nel VPC condiviso utilizzando il dominio restricted.googleapis.com. Questa configurazione consente ai servizi nel tuo ambiente di supportare i Controlli di servizio VPC.
Per un esempio di come configurare il VPC condiviso limitato, consulta il progetto di base per la sicurezza degli script Terraform per la configurazione di rete.
Perimetro dei Controlli di servizio VPC
Il progetto base consente di stabilire il limite di attendibilità più elevato per l'ambiente attendibile utilizzando i Controlli di servizio VPC.
I perimetri di servizio sono un controllo a livello di organizzazione che puoi utilizzare per proteggere i servizi Google Cloud nei tuoi progetti riducendo il rischio di esfiltrazione di dati.
La tabella seguente descrive come configurare il perimetro dei Controlli di servizio VPC.
| Attributo | Considerazione | Valore |
|---|---|---|
projects |
Includi tutti i progetti che contengono dati a cui hanno accesso i data scientist che utilizzano blocchi note gestiti dall'utente, incluse le chiavi. | ["trusted-kms""trusted-data""trusted-analytics"]
|
services |
Se necessario, aggiungi ulteriori servizi. | ["compute.googleapis.com","storage.googleapis.com","notebooks.googleapis.com","bigquery.googleapis.com","datacatalog.googleapis.com","dataflow.googleapis.com","dlp.googleapis.com","cloudkms.googleapis.com","secretmanager.googleapis.com","cloudasset.googleapis.com","cloudfunctions.googleapis.com","pubsub.googleapis.com","monitoring.googleapis.com","logging.googleapis.com"] |
access_level |
Aggiungi criteri di Gestore contesto accesso in linea con i tuoi requisiti di sicurezza e aggiungi criteri più dettagliati per la verifica degli endpoint. | ACCESS_POLICIES
Per saperne di più, consulta Gestore contesto accesso |
Gestore contesto accesso
Il progetto base ti aiuta a configurare Gestore contesto accesso con il tuo perimetro dei Controlli di servizio VPC. Gestore contesto accesso consente di definire un controllo dell'accesso granulare e basato su attributi per progetti e risorse. Utilizzi la Verifica degli endpoint e configuri i criteri in modo che siano in linea con i requisiti di governance aziendale per l'accesso ai dati. Collabora con l'amministratore per creare un criterio di accesso per i data scientist della tua azienda.
Ti consigliamo di utilizzare i valori mostrati nella seguente tabella per il tuo criterio di accesso.
| Condizione | Considerazione | Valori |
|---|---|---|
ip_subnetworks |
Utilizza intervalli IP considerati attendibili dalla tua azienda. | (elenco) Intervalli CIDR consentiti per l'accesso alle risorse all'interno del perimetro. |
members |
Aggiungi utenti con privilegi elevati che possono accedere al perimetro. | (elenco) Identità con privilegi di data scientist e account di servizio Terraform per il provisioning. |
device_policy.require_screen_lock |
Sul dispositivo deve essere attivato il blocco schermo. | true |
device_policy.require_corp_owned |
Consenti solo ai dispositivi aziendali di accedere ai blocchi note gestiti dall'utente. | true |
device_policy.allowed_encryption_statuses |
Consenti ai data scientist di utilizzare solo dispositivi che criptano i dati at-rest. | (elenco) ENCRYPTED |
regions |
Mantieni la regionalizzazione in cui i data scientist possono accedere alle loro istanze di blocco note. Limitati al numero minimo di regioni in cui prevedi di lavorare i data scientist. |
Codici regione validi (elenco) |
Privilegio minimo BigQuery
Il progetto mostra come configurare l'accesso in BigQuery ai set di dati utilizzati dai data scientist. Nella configurazione impostata, i data scientist devono avere un'istanza di blocco note per accedere ai set di dati in BigQuery.
La configurazione che imposti aiuta anche ad aggiungere livelli di sicurezza ai set di dati in BigQuery nei seguenti modi:
- Concessione dell'accesso all'account di servizio dell'istanza di blocco note. I data scientist devono avere un'istanza di blocco note per accedere direttamente ai set di dati in BigQuery.
- Mitigare il rischio che i data scientist creino copie di dati che non soddisfano i requisiti di governance dei dati della tua azienda. I data scientist che devono interagire direttamente con BigQuery devono essere aggiunti al gruppo
trusted-data-scientists@example.com.
In alternativa, per fornire un accesso limitato a BigQuery ai data scientist, puoi utilizzare controlli dell'accesso granulari come la sicurezza a livello di colonna. Il proprietario dei dati deve collaborare con i team di governance per creare una tassonomia appropriata. I proprietari dei dati possono quindi utilizzare Sensitive Data Protection per eseguire la scansione dei set di dati per classificare e taggare il set di dati in modo che corrisponda alla tassonomia.
Gestione delle chiavi
Per aiutarti a proteggere i tuoi dati, i blocchi note gestiti dall'utente utilizzano chiavi di crittografia. Le chiavi sono supportate da Cloud HSM FIPS 140-2 livello 3. Le chiavi create nell'ambiente consentono di proteggere i dati nei seguenti modi:
- La CMEK è abilitata per tutti i servizi all'interno del confine di attendibilità superiore.
- La disponibilità della chiave è configurabile in base alla regione.
- La rotazione della chiave è configurabile.
- L'accesso alla chiave è limitato.
CMEK
Il progetto base ti aiuta a utilizzare CMEK, che crea un confine di crittografia per tutti i dati utilizzando una chiave che gestisci. Il tuo ambiente utilizza la stessa chiave CMEK per tutti i servizi che si trovano all'interno del confine di attendibilità più elevato. Un altro vantaggio dell'utilizzo di CMEK è che puoi eliminare la chiave utilizzata per proteggere le istanze dei blocchi note quando l'istanza non è più necessaria.
Disponibilità e rotazione della chiave
Puoi ottenere una disponibilità maggiore creando un keyring multiregionale che aumenta la disponibilità delle chiavi.
In questo progetto, creerai chiavi con un valore di rotazione automatica. Per impostare il valore di rotazione, segui il criterio di sicurezza impostato dalla tua azienda. Puoi modificare il valore predefinito in modo che corrisponda al criterio di sicurezza o ruotare le chiavi più spesso, se necessario.
La tabella seguente descrive gli attributi che configuri per le tue chiavi.
| Attributo | Considerazione | Valori |
|---|---|---|
rotation |
Corrisponde al valore impostato dal criterio di rotazione per conformità della tua azienda. | 45 giorni |
location |
Utilizza un keyring che utilizzi località con più regioni per promuovere una maggiore disponibilità. | Selezionato automaticamente in base alla configurazione della zona dei blocchi note gestiti dall'utente. |
protection level |
Utilizza il livello di protezione specificato dalla tua azienda. | HSM |
Accesso alla chiave
Il progetto base ti aiuta a proteggere le chiavi posizionandole in un modulo Cloud HSM in una cartella separata dalle risorse dati. Utilizzi questo approccio per i seguenti motivi:
- Le chiavi di crittografia sono necessarie prima che qualsiasi risorsa possa utilizzare la chiave.
- I team di gestione delle chiavi vengono mantenuti separati dai proprietari dei dati.
- Sono necessari controlli e monitoraggio aggiuntivi per le chiavi. L'utilizzo di una cartella separata consente di gestire i criteri per le chiavi indipendenti dai dati.
Controlli di sicurezza dei blocchi note gestiti dall'utente
I controlli descritti in questa sezione proteggono i dati utilizzati nei blocchi note gestiti dall'utente. Il progetto base consente di configurare i controlli di sicurezza dei blocchi note gestiti dall'utente nel modo seguente:
- Mitigare il rischio di esfiltrazione di dati.
- Limitazione dell'escalation dei privilegi.
Gestione del download dei dati
Per impostazione predefinita, le istanze di blocco note consentono ai data scientist di scaricare o esportare i dati nelle loro macchine. Lo script di avvio installato dal progetto ti aiuta a impedire le seguenti azioni:
- L'esportazione e il download dei dati su dispositivi locali.
- È possibile stampare valori di output calcolati da istanze di blocco note.
Lo script viene creato nel progetto trusted_kms. Il progetto base ti aiuta a proteggere il bucket che archivia lo script limitando l'accesso e configurando CMEK. Anche separare gli script dal progetto per i blocchi note gestiti dall'utente contribuisce a ridurre il rischio che codice non approvato venga aggiunto agli script di avvio.
Poiché configuri i blocchi note gestiti dall'utente in modo che utilizzino la subnet VPC privata limitata, le istanze dei blocchi note non possono accedere alle reti pubbliche. Questa configurazione consente di impedire ai data scientist di installare moduli esterni, di accedere a origini dati esterne e di accedere ai repository di codice pubblico. Anziché le risorse esterne, ti consigliamo di configurare un repository privato di artefatti, ad esempio Artifact Registry per i data scientist della tua azienda.
Gestione dei privilegi
Il progetto base consente di limitare le autorizzazioni assegnate al gruppo trusted-data-scientists@example.com. Ad esempio, al gruppo non è assegnato un ruolo per la creazione di snapshot di disco permanente, perché il file system locale per lo snapshot potrebbe contenere istanze di blocco note che contengono dati della tua azienda.
Inoltre, per impedire ai data scientist di ottenere l'accesso privilegiato, impedisci l'utilizzo dei comandi sudo dalla riga di comando dell'istanza del blocco note. Questa azione aiuta a impedire ai data scientist di modificare i controlli installati nell'istanza del blocco note, come i pacchetti approvati o il logging.
Sicurezza operativa
Insieme ai controlli di sicurezza che stabilisci con il progetto base, devi configurare i seguenti criteri di sicurezza operativa per garantire che i dati siano costantemente protetti nei blocchi note utilizzati dalla tua azienda:
- Configurazione di Logging e monitoraggio.
- Criteri di gestione delle vulnerabilità.
- Visibilità delle risorse.
Logging e monitoraggio
Una volta creata una gerarchia, devi configurare i controlli di logging e rilevamento da utilizzare per i nuovi progetti. Per ulteriori informazioni su come configurare questi controlli, consulta gli script di logging del progetto di base per la sicurezza.
Gestione delle vulnerabilità
Le immagini delle Deep Learning VM
vengono aggiornate regolarmente. Ti consigliamo di aggiornare le immagini nelle istanze di blocco note esistenti con la stessa frequenza della tua pianificazione di analisi delle vulnerabilità. Puoi controllare il risultato dell'API isUpgradeable e avviare un upgrade tramite l'API upgrade.
Visibilità dei rischi
Ti consigliamo di utilizzare Security Command Center per avere visibilità su asset, vulnerabilità, rischi e criteri. Security Command Center analizza il deployment per valutare l'ambiente in base ai framework di conformità pertinenti.
Riepilogo
Per implementare l'architettura descritta in questo documento:
- Crea le cartelle e i progetti attendibili in base alla sezione sulla struttura organizzativa.
- Configura i controlli di logging e monitoraggio per i progetti in base ai tuoi criteri di sicurezza. Per un esempio, consulta il progetto di base per la sicurezza alla configurazione del logging.
- Crea i tuoi gruppi IAM e aggiungi le tue identità di data scientist attendibili al gruppo appropriato, come descritto in Utenti e gruppi.
- Configura la rete con un VPC e una subnet limitati condivisi, come descritto in Networking.
- Crea il criterio di Gestore contesto accesso, come descritto in Gestore contesto accesso.
- Clona il repository GitHub per questo progetto.
- Crea il file della variabile di ambiente Terraform utilizzando gli input richiesti.
- Applica gli script Terraform al tuo ambiente per creare i controlli discussi in questo progetto base.
- Esamina il tuo ambiente affidabile in base ai requisiti di sicurezza e governance dei dati. Puoi analizzare i progetti appena creati in base ai framework di conformità di Security Command Center.
- Crea un set di dati in BigQuery all'interno del progetto
trusted-datao utilizza l'esempio fornito nel modulo del repository GitHub didata. - Collabora con un data scientist nella tua azienda per testare il suo accesso alla sua nuova istanza di blocco note.
- Nell'ambiente dei blocchi note gestiti dall'utente, esegui dei test per verificare se un data scientist può interagire con i dati di BigQuery nel modo previsto. Puoi utilizzare il comando BigQuery di esempio nel repository GitHub associato.
Risorse
- Progetto delle basi aziendali di Google Cloud
- Repository Terraform per le basi aziendali di Google Cloud
- Blocchi note gestiti dall'utente
- Macchine virtuali per il deep learning
- Vertex AI di Google Cloud
- Centro best practice per la sicurezza Cloud