生成式 AI 应用场景的Cloud Identity控制措施

本文档包含在 Google Cloud上运行生成式 AI 工作负载时 Cloud Build 的最佳实践和准则。将 Cloud Identity 与 Vertex AI 搭配使用,可为 Google Cloud统一身份、访问权限、应用和管理。

必需的 Cloud Identity 控制措施

使用 Cloud Identity 时,强烈建议您采取以下控制措施。

为超级用户账号启用两步验证

Google 控制 ID CI-CO-6.1
类别 必需
说明

Google 建议超级管理员账号使用 Titan 安全密钥进行两步验证 (2SV)。不过,如果无法使用此方法,我们建议您改用其他安全密钥。
适用的产品
  • Cloud Identity
  • Titan 安全密钥
相关 NIST-800-53 控制措施
  • IA-2
  • IA-4
  • IA-5
  • IA-7
相关 CRI 配置文件控制措施
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
相关信息

对超级用户组织部门强制执行两步验证

Google 控制 ID CI-CO-6.2
类别 必需
说明

为特定组织部门 (OU) 或整个组织强制执行两步验证 (2SV)。我们建议您为超级管理员创建一个组织单元,并对该组织单元强制执行两步验证。
适用的产品
  • Cloud Identity
相关 NIST-800-53 控制措施
  • IA-2
  • IA-4
  • IA-5
  • IA-7
相关 CRI 配置文件控制措施
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
相关信息

为主要超级用户创建专用邮箱

Google 控制 ID CI-CO-6.4
类别 必需
说明
创建一个不属于某个特定用户的邮箱,作为主要的 Cloud Identity 超级用户账号。
适用的产品
  • Cloud Identity
相关 NIST-800-53 控制措施
  • IA-2
  • IA-4
  • IA-5
相关 CRI 配置文件控制措施
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
相关信息

将审核日志发送到 Google Cloud

Google 控制 ID CI-CO-6.5
类别 必需
说明

您可以将 Google Workspace、Cloud Identity 或基本功能版账号中的数据与 Google Cloud中的服务共享。Google Workspace 会收集登录日志、管理员日志和群组日志。通过 Cloud Audit Logs 访问共享的数据。
适用的产品
  • Google Workspace
  • Cloud Logging
相关 NIST-800-53 控制措施
  • AC-2
  • AC-3
  • AC-8
  • AC-9
相关 CRI 配置文件控制措施
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
相关信息

创建备份超级用户账号

Google 控制 ID CI-CO-6.7
类别 必需
说明

创建一个或两个备份超级用户账号。一般来说,请勿使用超级用户账号执行日常管理任务。为组织设置的超级用户账号数量仅为 2 到 3 个。
适用的产品
  • Google Workspace
相关 NIST-800-53 控制措施
  • IA-2
  • IA-4
  • IA-5
相关 CRI 配置文件控制措施
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2

建议的云控制措施

无论您的具体使用情形如何,我们都建议您将以下 Cloud Identity 控制措施应用于Google Cloud 环境。

禁止 Cloud Identity 托管用户账号访问 Cloud Shell

Google 控制 ID CI-CO-6.8
类别 推荐
说明

为避免向 Google Cloud授予过度的访问权限,请为 Cloud Identity 托管用户账号阻止对 Cloud Shell 的访问。
适用的产品
  • Cloud Identity
  • Cloud Shell
相关 NIST-800-53 控制措施
  • SC-7
  • SC-8
相关 CRI 配置文件控制措施
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
相关信息

可选控制措施

您可以根据组织的要求,选择性地实现以下 Cloud Identity 控制措施。

禁止超级用户账号自行恢复

Google 控制 ID CI-CO-6.3
类别 可选
说明
攻击者可能会利用自助恢复流程重置超级用户密码。为了降低与信令系统 7 (SS7) 攻击、SIM 卡交换攻击或其他网络钓鱼攻击相关的安全风险,我们建议您关闭此功能。如需关闭此功能,请前往 Google 管理控制台中的账号恢复设置。
适用的产品
  • Cloud Identity
  • Google Workspace
相关 NIST-800-53 控制措施
  • IA-2
  • IA-4
  • IA-5
相关 CRI 配置文件控制措施
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
相关信息

关闭未使用的 Google 服务

Google 控制 ID CI-CO-6.6
类别 可选
说明
一般来说,我们建议您关闭不会使用的服务。
适用的产品
  • Cloud Identity
路径 http://admin.google.com > Apps > Additional Google Services
运算符 Setting
  • False
相关 NIST-800-53 控制措施
  • SC-7
  • SC-8
相关 CRI 配置文件控制措施
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
相关信息

后续步骤