Questo documento descrive i controlli che supportano la sicurezza di Gemini Code Assist. Questi controlli possono anche aiutarti a soddisfare i requisiti di privacy e normativi applicabili alla tua attività.
La sicurezza, la privacy e la conformità per i servizi Google Cloud sono una responsabilità condivisa. Ad esempio, Google protegge l'infrastruttura su cui vengono eseguiti i servizi Google Cloud e fornisce strumenti come i controlli di accesso per consentirti di gestire chi ha accesso ai tuoi servizi e alle tue risorse. Per ulteriori informazioni su come proteggiamo l'infrastruttura, consulta la panoramica sulla progettazione della sicurezza dell'infrastruttura Google.
Architettura di Gemini Code Assist
Il seguente diagramma mostra i componenti dell'architettura di Gemini Code Assist.
I componenti includono:
- Nel tuo ambiente on-premise, gli sviluppatori di applicazioni installano l'estensione Gemini Code Assist per Visual Studio o JetBrains. Gli sviluppatori possono utilizzare questa estensione per interagire con Gemini Code Assist.
- Per impostazione predefinita, l'estensione utilizza una connessione TLS criptata su internet per connettersi dall'ambiente on-premise a Google Cloud. Per creare una connessione sicura dedicata tra il tuo ambiente on-premise e Google Cloud, puoi configurare Cloud VPN o Cloud Interconnect.
- All'interno del tuo ambiente Google Cloud, puoi configurare un perimetro di servizio dei Controlli di servizio VPC. I Controlli di servizio VPC ti consentono di definire criteri di sicurezza che impediscono l'accesso ai servizi gestiti da Google al di fuori di un perimetro attendibile, bloccano l'accesso ai dati da posizioni non attendibili e mitigano i rischi di esfiltrazione di dati.
- Il tuo progetto Google Cloud in cui hai attivato il servizio Gemini Code Assist. Gemini Code Assist utilizza l'API Gemini for Google Cloud per elaborare le conversazioni. L'API Gemini for Google Cloud non ha accesso ad altre API o risorse del progetto.
In alternativa, se la tua organizzazione utilizza Cloud Workstations, gli sviluppatori possono interagire con Gemini Code Assist nelle loro workstation. Per ulteriori informazioni, consulta Scrivere codice con Gemini Code Assist.
A differenza della maggior parte delle API Google Cloud, l'API Gemini per Google Cloud è un'API sviluppata solo per i client forniti da Google. Questa API consente a questi client di accedere ai LLM a stato nullo alla base di Gemini Code Assist. Queste istanze LLM sono condivise da tutti i clienti Google che attivano l'API Gemini for Google Cloud.
Controlli di sicurezza del deployment
Questa sezione descrive alcuni dei controlli di sicurezza per Gemini Code Assist su Google Cloud.
Autenticazione
L'Assistente codice Gemini richiede che gli sviluppatori di applicazioni si autentichino su Google Cloud per verificare la loro identità e i loro privilegi di accesso. Devi configurare ogni sviluppatore con un account utente gestito da Cloud Identity, Google Workspace o un provider di identità che hai federato con Cloud Identity o Google Workspace. Per ulteriori informazioni, consulta Panoramica della gestione di identità e accessi.
Dopo aver creato gli account, tieni a mente le seguenti best practice per la sicurezza:
- Attiva Single Sign-On durante l'autenticazione con provider di identità esterni.
- Utilizza la verifica in due passaggi per proteggere gli utenti dal furto delle password.
- Applicare e monitorare i requisiti delle password.
Controlli di accesso
Puoi utilizzare Identity and Access Management (IAM) per controllare l'accesso degli sviluppatori di applicazioni a Gemini Code Assist. Per gestire i ruoli IAM su larga scala, ti consigliamo di creare un gruppo per gli sviluppatori di applicazioni e di concedere a questo gruppo i ruoli o le autorizzazioni IAM richiesti per Gemini Code Assist. Sconsigliamo di concedere ruoli IAM ai singoli utenti perché le singole assegnazioni possono aumentare la complessità della gestione e dell'audit dei ruoli.
Quando assegni i ruoli al gruppo di sviluppatori di applicazioni, assicurati di rispettare il principio del privilegio minimo e altre best practice per la sicurezza IAM.
Utilizza le procedure del tuo provider di identità esistente per la creazione e l'appartenenza ai gruppi. Per ulteriori informazioni sulla configurazione di IAM, consulta la panoramica di IAM.
Per ulteriori informazioni sui ruoli IAM richiesti per Gemini Code Assist, consulta Configurare Gemini Code Assist per un progetto. Per informazioni sulle autorizzazioni minime richieste dagli sviluppatori di applicazioni, consulta le Attività di configurazione avanzata.
Per eseguire il controllo delle attività amministrative e di accesso, consulta Gemini per Google Cloud.
Sicurezza della rete
Per impostazione predefinita, Google applica protezioni ai dati in transito per tutti i servizi Google Cloud, incluso Gemini Code Assist.
La connessione principale è quella tra le stazioni di lavoro degli sviluppatori di applicazioni e Google Front End (GFE). GFE è il nostro sistema distribuito a livello globale che instrada il traffico tra la rete di Google e il mondo esterno. Gemini Code Assist utilizza questa connessione per ricevere e rispondere ai prompt degli sviluppatori. Per impostazione predefinita, questa connessione è protetta tramite TLS. Per ulteriori informazioni sulle protezioni di rete predefinite, consulta Crittografia dei dati in transito.
Se richiesto dalla tua organizzazione, puoi configurare controlli di sicurezza aggiuntivi per proteggere ulteriormente il traffico sulla rete Google Cloud e il traffico tra la rete Google Cloud e la tua rete aziendale.
Considera quanto segue:
- Utilizza Cloud VPN o Cloud Interconnect per massimizzare la sicurezza e l'affidabilità della connessione tra la tua rete aziendale e Google Cloud. Per ulteriori informazioni, consulta la sezione Scegliere una Connettività di rete Connectivity.
Utilizza Controlli di servizio VPC. I Controlli di servizio VPC ti consentono di controllare il movimento dei dati nei servizi Google e di configurare la sicurezza perimetrale in base al contesto. Per ulteriori informazioni sulla configurazione dei Controlli di servizio VPC, consulta Configurare i Controlli di servizio VPC per Gemini.
In Google Cloud, considera la VPC condivisa come la topologia di rete. Un VPC condiviso consente la gestione centralizzata della configurazione di rete, mantenendo al contempo la separazione degli ambienti. Per maggiori informazioni sulle topologia di rete, consulta Decidere la progettazione di rete per la zona di destinazione Google Cloud.
Per ulteriori informazioni sulle best practice per la sicurezza della rete, consulta Proteggere la rete e Decidere la progettazione della rete per la zona di destinazione Google Cloud.
Protezione dei dati e privacy
Questa sezione descrive in che modo Gemini Code Assist e le estensioni proteggono i tuoi dati e la tua privacy.
Dati del cliente
I dati del cliente sono definiti nei Termini di servizio di Google Cloud. Per informazioni su come trattiamo e proteggiamo i dati dei clienti, consulta l'Addendum per il trattamento dei dati Cloud (clienti).
Ad esempio, Gemini Code Assist e le estensioni trasmettono i seguenti dati dei clienti:
- Dati dei prompt, incluse le query degli sviluppatori
- Dati di risposta di Gemini Code Assist
- Contesto aggiuntivo, ad esempio la cronologia della conversazione corrente, snippet di file aperti nell'IDE, snippet di file archiviati accanto al file aperto e posizione del cursore nel file corrente
Poiché Gemini Code Assist è un servizio Google Cloud senza stato, non memorizza prompt e risposte in Google Cloud. Se necessario, puoi configurare Gemini Code Assist per memorizzare gli input e le risposte degli utenti in un bucket Cloud Logging. Per ulteriori informazioni, consulta la sezione Visualizzare i log di Gemini. Per monitorare l'utilizzo di Gemini Code Assist, consulta Monitorare l'utilizzo di Gemini for Google Cloud.
Per informazioni su come Google Cloud cripta i dati at-rest, consulta Crittografia at-rest predefinita.
Dati di servizio
I Dati di servizio sono definiti nell'Informativa sulla privacy di Google Cloud.
Ecco alcuni esempi di dati di servizio raccolti da Gemini Code Assist:
- Dati e analisi utente (dati sulle azioni dello sviluppatore)
- Dati di telemetria
- Feedback di Google
I dati di telemetria includono i dati che descrivono il funzionamento tecnico del prodotto. Ecco alcuni esempi di dati di telemetria:
- Un evento che indica che è stata effettuata una richiesta (ma non i contenuti della richiesta)
- Un evento che indica che è stata ricevuta una risposta (ma non i contenuti della risposta)
- La reazione di un utente alla risposta (ad esempio, se l'utente ha accettato o rifiutato la risposta)
- La lunghezza in caratteri dei suggerimenti accettati
- L'interazione di un utente con vari elementi dell'interfaccia utente
I tecnici di Gemini Code Assist hanno accesso ai dati di telemetria per contribuire al miglioramento continuo del prodotto.
Puoi personalizzare le informazioni che scegli di includere nel modulo di feedback di Google (inclusa la possibilità di condividere o trattenere log specifici). Per visualizzare la cronologia dei feedback, consulta I tuoi report sui feedback.
Dove vengono trattati i dati
Gemini Code Assist utilizza la rete di edge di Google a livello globale per ricevere i dati da elaborare. In genere, l'elaborazione avviene nel data center più vicino all'origine geografica della richiesta, ma la regionalità non è garantita.
Privacy dei dati
Per contribuire a proteggere la privacy dei tuoi dati, Gemini Code Assist si conforma al impegno di Google in materia di privacy con le tecnologie di AI generativa. Questo impegno include elementi come:
- Google non utilizza i tuoi dati per addestrare i nostri modelli senza la tua autorizzazione.
- Integriamo i principi della privacy nello sviluppo di Gemini Code Assist, ad esempio quelli descritti nei Common Privacy Principles.
Per saperne di più sui nostri principi AI;IA, consulta Principi dell'IA di Google.
Gemini Code Assist agisce in qualità di responsabile del trattamento dei dati per tutti i Dati del cliente, ad esempio per la personalizzazione di esperienze e consigli, la risoluzione dei problemi e la manutenzione del servizio. Google agisce anche in qualità di titolare del trattamento dei dati per informazioni quali fatturazione, gestione dell'account e rilevamento di abusi. Per ulteriori informazioni, consulta l'Informativa sulla privacy di Google Cloud.
Certificazioni
Gemini Code Assist ha ricevuto le seguenti certificazioni:
- International Organization for Standardization (ISO) 27001, ISO 27017, ISO 27018, e ISO 27701
- SOC 1, SOC 2 e SOC 3
Per ulteriori informazioni sulla conformità di Google Cloud a diversi quadri normativi e certificazioni, consulta il Centro risorse per la conformità.
Utilizzare Gemini Code Assist in modo sicuro
In generale, Google consiglia di utilizzare un ciclo di vita dello sviluppo software (SDLC) sicuro per lo sviluppo di applicazioni, indipendentemente dal fatto che tu stia utilizzando l'assistenza per la codifica dell'AI. Per ulteriori informazioni sulle best practice del ciclo di vita del software, consulta Che cos'è DevOps? Ricerca e soluzioni e SLSA.
Gemini Code Assist è un servizio di IA generativa indennizzato. Se dovessi ricevere una contestazione per motivi di copyright dopo aver utilizzato i contenuti generati da Gemini Code Assist, ci assumiamo una certa responsabilità per i potenziali rischi legali associati. Per informazioni dettagliate sull'indennizzo, consulta i nostri Termini di servizio specifici o leggi il nostro post del blog su questo problema.
Passaggi successivi
Scopri di più sull'IA AI, sulla privacy e su Google Cloud (PDF).