您可以根据 Google Cloud 生成式 AI 的安全最佳实践和指南,在Google Cloud上为生成式 AI 工作负载和支持服务发现并实现安全功能。
安全最佳实践是 Google 推出的一份补充指南,旨在为金融服务等行业的现有监管和安全实践提供指导。 Google Cloud 最佳实践和准则侧重于基础工作负载安全控制措施以及生成式 AI 工作负载特有的注意事项。
这些安全最佳实践旨在帮助首席信息安全官 (CISO)、安全从业人员以及风险和合规专员在 Google Cloud中采用和部署工作负载,同时专注于安全性和合规性。我们的建议符合美国国家标准与技术研究院 (NIST) 800-53 和网络风险研究所 (CRI) 框架的要求。
这些最佳实践还支持命运共同体模式,在该模式下,我们致力于与各行业合作,为各种工作负载构建更安全、更具弹性的云基础架构。“命运共同体”模式包括部署、运营和风险转移。因此,这些建议侧重于工作负载部署和运营,尤其是在合规性方面。
我们知道,实现合规性和安全性并非易事。如需更多帮助,请与 Google Cloud安全团队联系。
安全最佳实践的结构
安全最佳实践以控制措施的形式呈现,您可以查看并实施这些控制措施。控制措施如下:
建议的 IAM 角色:建议为组织中的用户群组分配的 IAM 角色。
通用控制措施:这些最佳实践适用于Google Cloud中的所有生成式 AI 工作负载。
特定于服务的控制措施:这些最佳实践适用于使用以下 Google Cloud 服务的生成式 AI 工作负载:
- Vertex AI 控制措施
- Artifact Registry 控制措施
- BigQuery 控制措施
- Cloud Billing 控制措施
- Cloud Build 控制措施
- Cloud DNS 控制措施
- Cloud Identity 控制措施
- Cloud Run functions 控制措施
- Cloud Storage 控制措施
- Dataflow 控制措施
- Identity and Access Management 控制措施
- 组织政策服务控制措施
- Pub/Sub 控制措施
- Resource Manager 控制措施
- Secret Manager 控制措施
- Security Command Center 控制措施
- 虚拟私有云控制措施
每项建议都可接受审核,并确保满足安全控制的基本要求。
控制类别
控制类别的属性为必需、推荐或可选。这些类别有助于确定我们强烈建议您执行的关键活动、我们强烈建议您考虑的活动,以及您可以根据具体要求和目标考虑的活动。
下表介绍了这些类别。
| 类别 | 说明 |
|---|---|
必需 |
为您的 Google Cloud 环境实施这些准则。 |
推荐 |
根据用例(例如监控生成式 AI 工作负载中的敏感数据)来实现这些准则(如果您的环境包含此类数据)。 |
可选 |
根据您的使用情形和风险偏好,考虑其他准则。 |
生成式 AI 架构示例
下图展示了使用 Vertex AI 的典型生成式 AI 架构中包含的 Google Cloud 服务。
后续步骤
- 查看建议的 IAM 角色。