Cette page a été traduite par l'API Cloud Translation.

Configurer VPC Service Controls pour Gemini

Ce document explique comment configurer VPC Service Controls pour prendre en charge Gemini, un collaborateur de Google Cloud basé sur l'IA. Pour terminer cette configuration, procédez comme suit:

Mettez à jour le périmètre de service de votre organisation pour inclure Gemini. Dans ce document, nous partons du principe que vous disposez déjà d'un périmètre de service au niveau de l'organisation. Pour en savoir plus sur les périmètres de service, consultez la page Détails et configuration du périmètre de service.
Dans les projets pour lesquels vous avez activé l'accès à Gemini, configurez les réseaux VPC pour bloquer le trafic sortant, à l'exception du trafic vers la plage VIP limitée.

Avant de commencer

Assurez-vous que Gemini est configuré pour votre compte utilisateur et votre projet Google Cloud.
Assurez-vous de disposer des rôles Identity and Access Management (IAM) requis pour configurer et administrer VPC Service Controls.
Assurez-vous de disposer d'un périmètre de service au niveau de l'organisation que vous pouvez utiliser pour configurer Gemini. Si vous n'avez pas de périmètre de service à ce niveau, vous pouvez en créer un.

Ajouter Gemini à votre périmètre de service

Pour utiliser VPC Service Controls avec Gemini, vous devez ajouter Gemini au périmètre de service au niveau de l'organisation. Le périmètre de service doit inclure tous les services que vous utilisez avec Gemini et les autres services Google Cloud que vous souhaitez protéger.

Pour ajouter Gemini à votre périmètre de service, procédez comme suit:

Dans Google Cloud Console, accédez à la page VPC Service Controls.

Accéder à VPC Service Controls
Sélectionnez votre organisation.
Sur la page VPC Service Controls, cliquez sur le nom de votre périmètre.
Cliquez sur Add Resources (Ajouter des ressources), puis procédez comme suit:
1. Pour chaque projet dans lequel vous avez activé Gemini, cliquez sur Ajouter un projet dans le volet Ajouter des ressources, puis procédez comme suit:
  1. Dans la boîte de dialogue Ajouter des projets, sélectionnez les projets que vous souhaitez ajouter.
    
    Si vous utilisez un VPC partagé, ajoutez le projet hôte et les projets de service au périmètre de service.
  2. Cliquez sur Ajouter les ressources sélectionnées. Les projets ajoutés apparaissent dans la section Projets.
2. Pour chaque réseau VPC de vos projets, dans le volet Ajouter des ressources, cliquez sur Ajouter un réseau VPC, puis procédez comme suit:
  1. Dans la liste des projets, cliquez sur le projet contenant le réseau VPC.
  2. Dans la boîte de dialogue Ajouter des ressources, cochez la case du réseau VPC.
  3. Cliquez sur Ajouter les ressources sélectionnées. Le réseau ajouté apparaît dans la section Réseaux VPC.
Cliquez sur Services restreints, puis procédez comme suit:
1. Dans le volet Services restreints, cliquez sur Ajouter des services.
2. Dans la boîte de dialogue Spécifier les services à limiter, sélectionnez API Cloud AI Companion comme service que vous souhaitez sécuriser dans le périmètre.
  
  Remarque :Nous vous recommandons de restreindre tous les services lorsque vous créez un périmètre afin de limiter le risque d'exfiltration de données à partir des services Google Cloud.
3. Cliquez sur Ajouter des services n, où n correspond au nombre de services que vous avez sélectionnés à l'étape précédente.
Facultatif: si vos développeurs doivent utiliser Gemini dans le périmètre du plug-in Cloud Code dans leurs IDE, vous devez ajouter l'API Cloud Code à la liste des services restreints et configurer la règle d'entrée.

L'activation de VPC Service Controls pour Gemini empêche tout accès depuis l'extérieur du périmètre, y compris l'exécution des extensions IDE Cloud Code à partir d'ordinateurs extérieurs au périmètre, tels que les ordinateurs portables de l'entreprise. Par conséquent, ces étapes sont nécessaires si vous souhaitez utiliser Genmini avec le plug-in Cloud Code.
1. Dans le volet Services restreints, cliquez sur Ajouter des services.
2. Dans la boîte de dialogue Spécifier les services à limiter, sélectionnez API Cloud Code comme service que vous souhaitez sécuriser au sein du périmètre.
3. Cliquez sur Ajouter des services n, où n correspond au nombre de services que vous avez sélectionnés à l'étape précédente.
4. Cliquez sur Règle d'entrée.
5. Dans le volet Règles d'entrée, cliquez sur Ajouter une règle.
6. Dans Attributs "De" du client API, spécifiez les sources extérieures au périmètre nécessitant un accès. Vous pouvez spécifier des projets, des niveaux d'accès et des réseaux VPC en tant que sources.
7. Dans la section Attributs "À" des ressources/services Google Cloud, spécifiez le nom du service de Gemini et de l'API Cloud Code.
  
  Pour obtenir la liste des attributs de règle d'entrée, consultez la documentation de référence sur les règles d'entrée.
Facultatif: Si votre organisation utilise Access Context Manager et que vous souhaitez permettre aux développeurs d'accéder à des ressources protégées depuis l'extérieur du périmètre, définissez des niveaux d'accès:
1. Cliquez sur Niveaux d'accès.
2. Dans le volet Règle d'entrée: Niveaux d'accès, sélectionnez le champ Choisir le niveau d'accès.
3. Cochez les cases correspondant aux niveaux d'accès que vous souhaitez appliquer au périmètre.
Cliquez sur Enregistrer.

Une fois ces étapes terminées, VPC Service Controls vérifie tous les appels à l'API Cloud AI Companion pour s'assurer qu'ils proviennent du même périmètre.

Configurer les réseaux VPC

Vous devez configurer vos réseaux VPC de sorte que les requêtes envoyées à l'adresse IP virtuelle googleapis.com standard soient automatiquement acheminées vers la plage d'adresses IP virtuelles (VIP) restreintes, 199.36.153.4/30 (restricted.googleapis.com), où votre service Gemini est diffusé. Vous n'avez pas besoin de modifier les configurations dans les extensions IDE de Cloud Code.

Pour chaque réseau VPC de votre projet, procédez comme suit pour bloquer le trafic sortant, à l'exception du trafic à destination de la plage VIP restreinte:

Activez l'accès privé à Google sur les sous-réseaux hébergeant vos ressources de réseau VPC.
Configurez des règles de pare-feu pour empêcher les données de quitter le réseau VPC.

Attention :Une mauvaise configuration des règles de pare-feu peut rendre vos services vulnérables à l'exfiltration de données.
1. Créez une règle de refus de sortie, qui bloque tout le trafic sortant.
  
  Remarque :Assurez-vous que la règle de pare-feu "Tout refuser" a une priorité après 1000. Sinon, le trafic du connecteur d'accès au VPC sans serveur à votre service sera bloqué.
2. Créez une règle de sortie autorisée qui autorise le trafic vers 199.36.153.4/30 sur le port TCP 443. Assurez-vous que la règle de sortie autorisée a une priorité avant la règle de refus de sortie que vous venez de créer. Ainsi, les sorties vers la plage VIP restreinte sont les seules autorisées.
Créez une stratégie de réponse Cloud DNS.
Créez une règle pour la stratégie de réponse afin de résoudre *.googleapis.com en restricted.googleapis.com avec les valeurs suivantes:
- Nom DNS: *.googleapis.com.
- Données locales: restricted.googleapis.com.
- Type d'enregistrement: A
- Valeur TTL: 300
- Données RR: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7
  
  La plage d'adresses IP de restricted.googleapis.com est 199.36.153.4/30.

Une fois ces étapes terminées, les requêtes provenant du réseau VPC ne peuvent pas quitter le réseau VPC, ce qui empêche la sortie en dehors du périmètre de service. Ces requêtes ne peuvent atteindre que les API et les services Google qui vérifient VPC Service Controls, ce qui empêche l'exfiltration via les API Google.

Configurations supplémentaires

En fonction des produits Google Cloud que vous utilisez avec Gemini, vous devez prendre en compte les éléments suivants:

Machines clientes connectées au périmètre. Les machines situées à l'intérieur du périmètre VPC Service Controls peuvent accéder à toutes les expériences Gemini. Vous pouvez également étendre le périmètre à un réseau Cloud VPN ou Cloud Interconnect autorisé à partir d'un réseau externe.
Machines clientes situées en dehors du périmètre. Lorsque vous disposez de machines clientes situées en dehors du périmètre de service, vous pouvez accorder un accès contrôlé au service Gemini limité.
- Pour en savoir plus, consultez la section Autoriser l'accès aux ressources protégées depuis l'extérieur d'un périmètre.
- Pour obtenir un exemple de création d'un niveau d'accès sur un réseau d'entreprise, consultez la section Limiter l'accès sur un réseau d'entreprise.
- Consultez les limites lors de l'utilisation de VPC Service Controls avec Gemini.
Gemini Code Assist. Pour assurer la conformité avec VPC Service Controls, assurez-vous que l'IDE ou la station de travail que vous utilisez n'a pas accès à https://www.google.com/tools/feedback/mobile via des stratégies de pare-feu.
Cloud Workstations. Si vous utilisez Cloud Workstations, suivez les instructions de la section Configurer VPC Service Controls et des clusters privés.

Étapes suivantes

Pour en savoir plus sur les offres de conformité de Google Cloud, consultez le Centre de ressources pour la conformité.