生成 AI ユースケースの Cloud DNS コントロール

このドキュメントでは、 Google Cloudで生成 AI ワークロードを実行する際の Cloud DNS のベスト プラクティスとガイドラインについて説明します。Vertex AI で Cloud DNS を使用して、ドメインの登録、管理、提供を行います。

必要な Cloud DNS コントロール

Cloud DNS を使用する場合は、次のコントロールを実装することを強くおすすめします。

DNS Security Extensions を有効にする

Google コントロール ID	DNS-CO-6.1
カテゴリ	必須
説明	DNSSEC（Domain Name System Security Extensions）は、ドメイン名のルックアップに対するレスポンスを認証するドメイン ネーム システム（DNS）の機能です。これらのルックアップに対するプライバシー保護は行いませんが、DNS リクエストに対するレスポンスの改ざんや汚染を防ぎます。 Cloud DNS 内の次の場所で DNSSEC を有効にします。 DNS ゾーン トップレベル ドメイン（TLD） DNS の解決
対象プロダクト	Cloud DNS
関連する NIST-800-53 コントロール	SC-7 SC-8
関連する CRI プロファイル コントロール	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
関連情報	該当なし

オプションの Cloud DNS コントロール

生成 AI ワークロードを含むフォルダに、次のセキュリティ コントロールを実装することをおすすめします。

ゾーン DNS を使用する

Google コントロール ID	DNS-CO-4.1
カテゴリ	オプション
説明	compute.setNewProjectDefaultToZonalDNSOnly ブール値制約を使用すると、新しいプロジェクトの内部 DNS 設定をゾーン DNS のみに設定できます。ゾーン DNS を使用します。ゾーン DNS は DNS 登録で発生する障害を隔離するため、個々のゾーンよりも信頼性が高くなります。
対象プロダクト	組織のポリシー
パス	constraints/compute.setNewProjectDefaultToZonalDNSOnly
演算子	=
値	True
型	ブール値
関連する NIST-800-53 コントロール	AC-3 AC-17 AC-20
関連する CRI プロファイル コントロール	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.PT-3.1 PR.PT-4.1
関連情報	ゾーンおよびグローバルの内部 DNS 名

次のステップ

• Cloud Identity コントロールを確認する。

• Google Cloud 生成 AI ワークロードのセキュリティに関するベスト プラクティスとガイドラインを確認する。