Este documento descreve os controles que oferecem suporte à segurança do Gemini Code Assist. Esses controles também podem ajudar a atender aos requisitos de privacidade e regulamentares aplicáveis à sua empresa.
A segurança, a privacidade e a conformidade dos serviços do Google Cloud são uma responsabilidade compartilhada. Por exemplo, o Google protege a infraestrutura em que os serviços do Google Cloud são executados e oferece ferramentas, como controles de acesso, para gerenciar quem tem acesso aos seus serviços e recursos. Para mais informações sobre como protegemos a infraestrutura, consulte a Visão geral do design de segurança da infraestrutura do Google.
Arquitetura do Gemini Code Assist
O diagrama a seguir mostra os componentes da arquitetura do Gemini Code Assist.
Os componentes incluem:
- No ambiente local, os desenvolvedores de aplicativos instalam a extensão Gemini Code Assist para Visual Studio ou JetBrains. Os desenvolvedores podem usar essa extensão para interagir com o Gemini Code Assist.
- Por padrão, a extensão usa uma conexão TLS criptografada pela Internet para se conectar do ambiente local ao Google Cloud. Para criar uma conexão segura dedicada entre seu ambiente local e o Google Cloud, configure o Cloud VPN ou o Cloud Interconnect.
- No seu ambiente do Google Cloud, é possível configurar um perímetro de serviço do VPC Service Controls. O VPC Service Controls permite definir políticas de segurança que impedem o acesso a serviços gerenciados pelo Google fora de um perímetro confiável, bloqueiam o acesso a dados em locais não confiáveis e reduzem os riscos de exfiltração de dados.
- Seu projeto do Google Cloud em que você ativou o serviço Gemini Code Assist. O Gemini Code Assist usa a API Gemini para Google Cloud para processar conversas. A API Gemini para a API Google Cloud não tem acesso a nenhuma das outras APIs ou recursos do seu projeto.
Como alternativa, se a sua organização usa estações de trabalho do Cloud, os desenvolvedores podem interagir com o Gemini Code Assist nas estações de trabalho. Para mais informações, consulte Programar com o Gemini Code Assist.
Ao contrário da maioria das APIs do Google Cloud, a API Gemini para Google Cloud é uma API desenvolvida apenas para clientes fornecidos pelo Google. Essa API permite que esses clientes acessem os LLMs sem estado que alimentam o Gemini Code Assist. Essas instâncias de LLM são compartilhadas por todos os clientes do Google que ativam a API Gemini para Google Cloud.
Controles de segurança da implantação
Esta seção descreve alguns dos controles de segurança do Gemini Code Assist no Google Cloud.
Autenticação
O Gemini Code Assist exige que os desenvolvedores de aplicativos se autentiquem no Google Cloud para verificar a identidade e os privilégios de acesso. É necessário configurar cada desenvolvedor com uma conta de usuário gerenciada pelo Cloud Identity, pelo Google Workspace ou por um provedor de identidade federado com o Cloud Identity ou o Google Workspace. Para mais informações, consulte Visão geral do gerenciamento de identidade e acesso.
Depois de criar as contas, considere as seguintes práticas recomendadas de segurança:
- Ative o logon único ao autenticar com provedores de identidade externos.
- Use a verificação em duas etapas para ajudar a proteger os usuários contra senhas roubadas.
- Aplicar e monitorar requisitos de senha.
Controles de acesso
É possível usar o Identity and Access Management (IAM) para controlar o acesso do desenvolvedor de aplicativos ao Gemini Code Assist. Para gerenciar papéis do IAM em escala, recomendamos que você crie um grupo para os desenvolvedores de aplicativos e conceda a esse grupo os papéis ou as permissões do IAM necessários para o Gemini Code Assist. Não recomendamos conceder papéis do IAM a usuários individuais, porque as atribuições individuais podem aumentar a complexidade do gerenciamento e da auditoria de papéis.
Ao atribuir papéis ao grupo de desenvolvedores de aplicativos, siga o princípio de privilégio mínimo e outras práticas recomendadas de segurança do IAM.
Use os processos no seu provedor de identidade atual para criação e associação de grupos. Para mais informações sobre a configuração do IAM, consulte a Visão geral do IAM.
Para mais informações sobre os papéis do IAM necessários para o Gemini Code Assist, consulte Configurar o Gemini Code Assist para um projeto. Para informações sobre as permissões mínimas necessárias para os desenvolvedores de aplicativos, consulte Tarefas de configuração avançadas.
Para auditar atividades administrativas e de acesso, consulte Gemini para Google Cloud.
Segurança de rede
Por padrão, o Google aplica proteções aos dados em trânsito para todos os serviços do Google Cloud, incluindo o Gemini Code Assist.
A conexão principal é a conexão entre as estações de trabalho do desenvolvedor do aplicativo e o Google Front End (GFE). O GFE é nosso sistema distribuído globalmente que encaminha o tráfego entre a rede do Google e o mundo exterior. O Gemini Code Assist usa essa conexão para receber e responder a comandos do desenvolvedor. Por padrão, essa conexão é protegida usando TLS. Para mais informações sobre as proteções de rede padrão, consulte Criptografia em trânsito.
Se for necessário, você pode configurar outros controles de segurança para proteger ainda mais o tráfego na rede do Google Cloud e entre a rede do Google Cloud e a rede corporativa.
Considere o seguinte:
- Use o Cloud VPN ou o Cloud Interconnect para maximizar a segurança e a confiabilidade da conexão entre sua rede corporativa e o Google Cloud. Para mais informações, consulte Como escolher um produto de conectividade de rede.
Use o VPC Service Controls. Com o VPC Service Controls, é possível controlar a movimentação de dados nos serviços do Google e configurar a segurança de perímetro baseada em contexto. Para mais informações sobre como configurar o VPC Service Controls, consulte Configurar o VPC Service Controls para Gemini.
No Google Cloud, considere a VPC compartilhada como sua topologia de rede. A VPC compartilhada oferece gerenciamento centralizado de configuração de rede e mantém a separação de ambientes. Para mais informações sobre topologias de rede, consulte Decidir o design da rede para sua zona de destino do Google Cloud.
Para mais informações sobre as práticas recomendadas de segurança de rede, consulte Proteger sua rede e Decidir o design da rede para sua zona de destino do Google Cloud.
privacidade e proteção de dados
Esta seção descreve como o Gemini Code Assist e as extensões protegem seus dados e sua privacidade.
Dados do cliente
Os dados do cliente são definidos nos Termos de Serviço do Google Cloud. Para informações sobre como processamos e protegemos os dados do cliente, consulte o Adendo sobre processamento de dados do Cloud (clientes).
Por exemplo, o Gemini Code Assist e as extensões transmitem os seguintes dados do cliente:
- Dados de comando, que incluem consultas de desenvolvedores
- Dados de resposta do Gemini Code Assist
- Contexto adicional, como o histórico de conversas atual, snippets de arquivos abertos no ambiente de desenvolvimento integrado, snippets de arquivos armazenados adjacentes ao arquivo aberto e a localização do cursor no arquivo atual
Como o Gemini Code Assist é um serviço sem estado do Google Cloud, ele não armazena comandos e respostas no Google Cloud. Se necessário, configure o Gemini Code Assist para armazenar a entrada do usuário e as respostas em um bucket do Cloud Logging. Para mais informações, consulte Acessar os registros do Gemini. Para monitorar o uso do Gemini Code Assist, consulte Monitorar o uso do Gemini para o Google Cloud.
Para informações sobre como o Google Cloud criptografa dados em repouso, consulte Criptografia em repouso padrão.
Dados de serviço
Os dados de serviço são definidos no Aviso de privacidade do Google Cloud.
Exemplos de dados de serviço coletados pelo Gemini Code Assist:
- Análises de usuários (dados sobre as ações do desenvolvedor)
- Dados de telemetria
- Feedback do Google
Os dados de telemetria incluem dados que descrevem a operação técnica do produto. Exemplos de dados de telemetria incluem:
- Um evento que indica que uma solicitação foi feita (mas não o conteúdo dela)
- Um evento que indica que uma resposta foi recebida (mas não o conteúdo da resposta)
- A reação de um usuário à resposta (por exemplo, se o usuário aceitou ou rejeitou a resposta)
- A contagem de caracteres das sugestões aceitas
- A interação de um usuário com vários elementos da UI
Os engenheiros do Gemini Code Assist têm acesso a dados de telemetria para ajudar nas melhorias contínuas do produto.
Você pode personalizar as informações que vai incluir no formulário de feedback do Google, incluindo a opção de compartilhar ou reter registros específicos. Para conferir seu histórico de feedback, consulte Seus relatórios de feedback.
Onde os dados são processados
O Gemini Code Assist usa a rede global do Google Edge para receber dados para processamento. Normalmente, o processamento ocorre no data center mais próximo da origem geográfica da solicitação, mas a regionalidade não é garantida.
Privacidade dos dados
Para ajudar a proteger a privacidade dos seus dados, o Gemini Code Assist está em conformidade com o compromisso de privacidade do Google com tecnologias de IA generativa. Esse compromisso inclui itens como os seguintes:
- O Google não usa seus dados para treinar nossos modelos sem sua permissão.
- Incorporamos princípios de privacidade ao desenvolvimento do Gemini Code Assist, como os descritos em Princípios de privacidade comuns.
Para mais informações sobre nossos princípios de IA, consulte Princípios de IA do Google.
O Gemini Code Assist atua como um operador de dados para todos os dados do cliente, por exemplo, ao personalizar experiências e recomendações, resolver problemas e manter o serviço. O Google também atua como controlador de dados para informações como faturamento e gerenciamento de contas e detecções de abuso. Para mais informações, consulte o Aviso de privacidade do Google Cloud.
Certificações
O Gemini Code Assist recebeu as seguintes certificações:
- Organização Internacional de Normalização (ISO) 27001, ISO 27017, ISO 27018 e ISO 27701
- SOC 1, SOC 2 e SOC 3
Para mais informações sobre a conformidade do Google Cloud com diferentes certificações e estruturas regulamentares, consulte a Central de recursos de compliance.
Como usar o Gemini Code Assist com segurança
Em geral, o Google recomenda usar um ciclo de vida de desenvolvimento de software seguro (SDLC, na sigla em inglês) para desenvolver aplicativos, mesmo que você esteja usando a assistência de programação de IA. Para mais informações sobre as práticas recomendadas do SDLC, consulte O que é DevOps? Pesquisa e soluções e SLSA.
O Gemini Code Assist é um serviço de IA generativa indenizado. Caso você receba uma contestação de direitos autorais após usar conteúdo gerado pelo Gemini Code Assist, vamos assumir certa responsabilidade pelos possíveis riscos jurídicos envolvidos. Para conferir todos os detalhes sobre a indenização, consulte nossos Termos específicos do serviço ou leia nossa postagem do blog sobre o assunto.
A seguir
Saiba mais sobre IA generativa, privacidade e Google Cloud (PDF).