AI Protection은 모델, 데이터, AI 관련 인프라를 모니터링하여 AI 애셋과 워크플로를 보호합니다. 이 가이드에서는 AI 보호를 구성하는 방법을 설명합니다.
필요한 역할
AI 보호를 구성하고 대시보드 데이터를 보는 데 필요한 권한을 얻으려면 관리자에게 조직에 대한 다음 IAM 역할을 부여해 달라고 요청하세요.
-
AI 보호 구성 및 대시보드 데이터 보기:
보안 센터 관리자 (
roles/securitycenter.admin) -
대시보드 데이터만 보기:
보안 센터 관리자 뷰어 (
roles/securitycenter.adminViewer)
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.
다음 Google Cloud CLI 명령어를 사용하여 사용자에게 위의 역할을 할당할 수 있습니다.
gcloud CLI를 사용하여 역할 할당
사용자에게 보안 센터 관리자 뷰어 역할을 부여하려면 다음 명령어를 실행합니다.
gcloud organizations add-iam-policy-binding ORGANIZATION_ID --member=user:USER_EMAIL_ID --role=roles/securitycenter.admin사용자에게 보안 센터 관리자 뷰어 역할을 부여하려면 다음 명령어를 실행합니다.
gcloud organizations add-iam-policy-binding ORGANIZATION_ID --member=user:USER_EMAIL_ID --role=roles/securitycenter.adminViewer다음을 바꿉니다.
- ORGANIZATION_ID: 숫자로 된 조직 ID
- USER_EMAIL_ID: 액세스가 필요한 사용자의 이메일 주소
지원되는 리전
AI 보호가 지원되는 리전 목록은 리전 엔드포인트를 참고하세요.
서비스 계정 액세스
다음 섹션에 언급된 모든 서비스 계정이 조직 정책에 의해 차단되지 않았는지 확인합니다.
AI Protection 설정
조직 수준에서 AI Protection을 사용 설정하려면 다음을 완료하세요.
- 조직에서 Security Command Center를 활성화하지 않은 경우 Security Command Center Enterprise를 활성화합니다.
- Security Command Center의 Enterprise 서비스 등급을 활성화한 후 SCC 설정 가이드의 안내에 따라 AI Protection을 설정합니다.
- 보안 기능 검토 요약 패널을 펼칩니다.
- AI 보호 패널에서 설정을 클릭합니다.
- 안내에 따라 AI 보호에 필요한 서비스와 종속 서비스가 구성되어 있는지 확인합니다. 자동으로 사용 설정되는 항목과 추가 구성이 필요한 항목에 대한 자세한 내용은 서비스 활성화 및 구성 Google Cloud을 참고하세요.
- AI 보호로 보호하려는 리소스의 검색을 사용 설정합니다.
Google Cloud 서비스 활성화 및 구성
Security Command Center Enterprise를 활성화한 후 AI 보호의 모든 기능을 사용하려면 추가Google Cloud 서비스를 활성화하고 구성하세요.
다음 서비스는 자동으로 활성화됩니다.
- AI 탐색 서비스
- 공격 경로 시뮬레이션
- Cloud 감사 로그
- Cloud Monitoring
- 규정 준수 관리자
- Event Threat Detection
- 데이터 보안 상황 관리
- Notebook Security Scanner
- Sensitive Data Protection
AI Protection에는 다음 서비스가 필요합니다.
이러한 서비스 중 일부에는 다음 섹션에 설명된 대로 추가 구성이 필요합니다.
AI 검색 서비스 구성
AI Discovery 서비스는 Security Command Center Enterprise 온보딩의 일부로 자동으로 활성화됩니다. 모니터링 뷰어(roles/monitoring.viewer) IAM 역할이 제공되지만, 이 역할이 Security Command Center Enterprise 조직 서비스 계정에 적용되었는지 확인합니다.
Google Cloud 콘솔에서 IAM 페이지로 이동합니다.
액세스 권한 부여를 클릭합니다.
새 주 구성원 필드에 Security Command Center Enterprise 조직 서비스 계정을 입력합니다. 서비스 계정은
service-org-ORG_ID@security-center-api.gserviceaccount.com형식을 사용합니다. ORG_ID를 조직 ID로 바꿉니다.역할 선택 필드에서 모니터링 뷰어를 선택합니다.
저장을 클릭합니다.
고급 DSPM 클라우드 제어 구성
데이터 액세스, 흐름, 보호를 위한 고급 클라우드 제어를 사용하여 DSPM을 구성합니다. 자세한 내용은 고급 데이터 보안 클라우드 제어 배포를 참고하세요.
AI 워크로드에 적용되는 맞춤 프레임워크를 만들 때는 다음 클라우드 컨트롤을 프레임워크에 추가하세요.
- 데이터 액세스 거버넌스: 사용자 또는 그룹과 같은 특정 주 구성원에 대한 민감한 정보 액세스를 제한합니다. IAM v2 주 구성원 식별자 구문을 사용하여 허용된 주 구성원을 지정합니다. 예를 들어
gdpr-processing-team@example.com의 구성원만 특정 리소스에 액세스하도록 허용하는 정책을 만들 수 있습니다. - 데이터 흐름 거버넌스: 데이터 흐름을 특정 리전으로 제한합니다. 예를 들어 미국 또는 EU에서만 데이터에 액세스할 수 있도록 하는 정책을 만들 수 있습니다. 유니코드 Common Locale Data Repository (CLDR)를 사용하여 허용된 국가 코드를 지정합니다.
- 데이터 보호 (CMEK 사용): 고객 관리 암호화 키 (CMEK) 없이 생성된 리소스를 식별하고 추천을 받습니다. 예를 들어
storage.googleapis.com및bigquery.googleapis.com에 CMEK 없이 생성된 리소스를 감지하는 정책을 만들 수 있습니다. 이 정책은 암호화되지 않은 애셋을 감지하지만 애셋이 생성되는 것을 방지하지는 않습니다.
Model Armor 구성
- 생성형 AI 활동을 사용하는 각 프로젝트에 대해
modelarmor.googleapis.com서비스를 사용 설정합니다. 자세한 내용은 Model Armor 시작하기를 참고하세요. - 다음 설정을 구성하여 대규모 언어 모델 (LLM) 프롬프트와 응답의 보안 및 안전 설정을 정의합니다.
- Model Armor 템플릿: Model Armor 템플릿을 만듭니다. 이러한 템플릿은 민감한 정보, 프롬프트 인젝션, 브레이크아웃 감지와 같이 감지할 위험 유형을 정의합니다. 또한 이러한 필터의 최소 기준점을 정의합니다.
- 필터: Model Armor는 악성 URL 감지, 프롬프트 인젝션 및 탈옥 감지, 민감한 정보 보호 등 다양한 필터를 사용하여 위험을 식별합니다.
- 최소 기준 설정: 프로젝트 수준 최소 기준 설정을 구성하여 모든 Gemini 모델의 기본 보호를 설정합니다.
Notebook Security Scanner 구성
- 조직에 Notebook Security Scanner 서비스를 사용 설정합니다. 자세한 내용은 Notebook Security Scanner 사용 설정을 참고하세요.
- 노트북이 포함된 모든 프로젝트에서
notebook-security-scanner-prod@system.gserviceaccount.com에 Dataform 뷰어 역할 (roles/dataform.viewer)을 부여합니다.
Sensitive Data Protection 구성
프로젝트에 dlp.googleapis.com API를 사용 설정하고 민감한 정보를 스캔하도록 Sensitive Data Protection을 구성합니다.
-
Enable the Data Loss Prevention API.
AI 보호 사용자에게
DLP Reader및DLP Data Profiles Admin역할을 부여합니다.민감한 정보를 스캔하도록 Sensitive Data Protection을 구성합니다.
선택사항: 추가 고가치 리소스 구성
리소스 값 구성을 만들려면 리소스 값 구성 만들기의 단계를 따르세요.
다음 공격 경로 시뮬레이션을 실행하면 고가치 리소스 세트를 다루고 공격 경로를 생성합니다.