La Protección contra IA te ayuda a proteger tus recursos y flujos de trabajo de IA supervisando tus modelos, datos y la infraestructura relacionada con la IA. En esta guía, se describe cómo configurar la Protección contra IA.
Roles requeridos
Para obtener los permisos que necesitas para configurar la Protección con IA y ver los datos del panel, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu organización:
-
Configurar la Protección basada en IA y ver los datos del panel:
Administrador del Centro de seguridad (
roles/securitycenter.admin) -
Solo ver datos del panel:
Visualizador administrador del centro de seguridad (
roles/securitycenter.adminViewer)
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.
Se pueden usar los siguientes comandos de Google Cloud CLI para asignar los roles anteriores a un usuario:
Asigna roles con gcloud CLI
Para otorgar el rol de visualizador administrador del Centro de seguridad a un usuario, ejecuta el siguiente comando:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID --member=user:USER_EMAIL_ID --role=roles/securitycenter.adminPara otorgar el rol de visualizador administrador del Centro de seguridad a un usuario, ejecuta el siguiente comando:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID --member=user:USER_EMAIL_ID --role=roles/securitycenter.adminViewerReemplaza lo siguiente:
- ORGANIZATION_ID: el ID numérico de la organización
- USER_EMAIL_ID: La dirección de correo electrónico del usuario que requiere acceso
Regiones admitidas
Para obtener una lista de las regiones en las que se admite la Protección contra IA, consulta Extremos regionales.
Acceso para cuentas de servicio
Asegúrate de que ninguna de las cuentas de servicio mencionadas en las siguientes secciones esté bloqueada por una política de la organización.
Cómo configurar la Protección de la IA
Para habilitar AI Protection a nivel de la organización, completa los siguientes pasos:
- Si no activaste Security Command Center en tu organización, activa Security Command Center Enterprise.
- Después de activar el nivel de servicio Enterprise de Security Command Center, configura la Protección basada en IA siguiendo las instrucciones de la Guía de configuración de SCC:
- Expande el panel de resumen Revisa las funciones de seguridad.
- En el panel Protección con IA, haz clic en Configurar.
- Sigue las instrucciones para verificar si los servicios requeridos y dependientes de la Protección contra IA están configurados. Consulta Activa y configura Google Cloudservicios para obtener más información sobre lo que se habilita automáticamente y lo que requiere configuración adicional.
- Habilita el descubrimiento de los recursos que deseas proteger con la Protección basada en IA.
Activa y configura Google Cloud servicios
Después de activar Security Command Center Enterprise, activa y configura serviciosGoogle Cloud adicionales para usar todas las capacidades de AI Protection.
Los siguientes servicios se activan automáticamente:
- Servicio de AI Discovery
- Simulaciones de rutas de ataque
- Registros de auditoría de Cloud
- Cloud Monitoring
- Administrador de cumplimiento
- Event Threat Detection
- Administración de la postura de seguridad de los datos
- Notebook Security Scanner
- Protección de datos sensibles
Los siguientes servicios son necesarios para la Protección contra IA:
Algunos de estos servicios requieren configuración adicional, como se describe en las siguientes secciones.
Configura el servicio de AI Discovery
El servicio de AI Discovery se activa automáticamente como parte de la integración de Security Command Center Enterprise. Se proporciona el rol de IAM de visualizador de Monitoring (roles/monitoring.viewer), pero verifica que se aplique a la cuenta de servicio de la organización de Security Command Center Enterprise.
En la consola de Google Cloud , ve a la página IAM.
Haz clic en Otorgar acceso.
En el campo Principales nuevas, ingresa la cuenta de servicio de la organización de Security Command Center Enterprise. La cuenta de servicio usa el formato
service-org-ORG_ID@security-center-api.gserviceaccount.com. Reemplaza ORG_ID por el ID de tu organización.En el campo Selecciona un rol, selecciona Visualizador de Monitoring.
Haz clic en Guardar.
Configura los controles avanzados de DSPM en la nube
Configura DSPM con controles avanzados de la nube para el acceso, el flujo y la protección de datos. Para obtener más información, consulta Implementa controles avanzados de seguridad de los datos en la nube.
Cuando crees un framework personalizado que se aplique a las cargas de trabajo de IA, agrega estos controles de la nube al framework:
- Gobernanza del acceso a los datos: Restringe el acceso a datos sensibles a principales específicos, como usuarios o grupos. Especificas los principales permitidos con la sintaxis del identificador principal de IAM v2. Por ejemplo, puedes crear una política para permitir que solo los miembros de
gdpr-processing-team@example.comaccedan a recursos específicos. - Gobernanza del flujo de datos: Restringe el flujo de datos a regiones específicas. Por ejemplo, puedes crear una política para permitir que se acceda a los datos solo desde EE.UU. o la UE. Especifica los códigos de país permitidos con el repositorio de datos de configuración regional común (CLDR) de Unicode.
- Protección de datos (con CMEK): Identifica los recursos creados sin claves de encriptación administradas por el cliente (CMEK) y recibe recomendaciones. Por ejemplo, puedes crear una política para detectar recursos creados sin CMEK para
storage.googleapis.comybigquery.googleapis.com. Esta política detecta los recursos sin encriptar, pero no impide que se creen.
Configura Model Armor
- Habilita el servicio
modelarmor.googleapis.compara cada proyecto que use actividad de IA generativa. Para obtener más información, consulta Primeros pasos con Model Armor. - Configura los siguientes parámetros para definir la configuración de seguridad de las instrucciones y respuestas de los modelos de lenguaje grandes (LLM):
- Plantillas de Model Armor: Crea una plantilla de Model Armor. Estas plantillas definen los tipos de riesgos que se deben detectar, como datos sensibles, inyecciones de instrucciones y detección de jailbreak. También definen los umbrales mínimos para esos filtros.
- Filtros: Model Armor usa varios filtros para identificar riesgos, como la detección de URLs maliciosas, la detección de inyección de instrucciones y jailbreak, y la protección de datos sensibles.
- Configuración de límites: Configura los parámetros de configuración de límites a nivel del proyecto para establecer la protección predeterminada de todos los modelos de Gemini.
Configura Notebook Security Scanner
- Habilita el servicio Notebook Security Scanner para tu organización. Para obtener más información, consulta Habilita Notebook Security Scanner.
- Otorga el rol de visualizador de Dataform (
roles/dataform.viewer) anotebook-security-scanner-prod@system.gserviceaccount.comen todos los proyectos que contengan notebooks.
Configurar la protección de datos sensibles
Habilita la API de dlp.googleapis.com para tu proyecto y configura Sensitive Data Protection para que analice los datos sensibles.
-
Enable the Data Loss Prevention API.
Otorga los roles
DLP ReaderyDLP Data Profiles Admina los usuarios de Protección contra IA.Configura Sensitive Data Protection para analizar en busca de datos sensibles.
Opcional: Configura recursos adicionales valiosos
Para crear una configuración del valor del recurso, sigue los pasos que se indican en Crea una configuración del valor del recurso.
Cuando se ejecute la próxima simulación de ruta de ataque, se abarcará el conjunto de recursos de alto valor y se generarán rutas de ataque.
¿Qué sigue?
- Descripción general de AI Protection
- Administración de la postura de seguridad de los datos
- Configura Model Armor