Configurer la protection de l'IA

AI Protection vous aide à sécuriser vos ressources et workflows d'IA en surveillant vos modèles, vos données et votre infrastructure liée à l'IA. Ce guide explique comment configurer AI Protection.

Rôles requis

Pour obtenir les autorisations nécessaires pour configurer AI Protection et afficher les données du tableau de bord, demandez à votre administrateur de vous accorder les rôles IAM suivants dans votre organisation :

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Les commandes Google Cloud CLI suivantes peuvent être utilisées pour attribuer les rôles précédents à un utilisateur :

Attribuer des rôles à l'aide de la gcloud CLI

  • Pour attribuer le rôle Lecteur administrateur du centre de sécurité à un utilisateur, exécutez la commande suivante :

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID
  --member=user:USER_EMAIL_ID
  --role=roles/securitycenter.admin

  • Pour attribuer le rôle Lecteur administrateur du centre de sécurité à un utilisateur, exécutez la commande suivante :

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID
  --member=user:USER_EMAIL_ID
  --role=roles/securitycenter.adminViewer

    Remplacez les éléments suivants :

    • ORGANIZATION_ID : ID numérique d'organisation
    • USER_EMAIL_ID : adresse e-mail de l'utilisateur qui demande l'accès

Régions où le service est disponible

Pour obtenir la liste des régions dans lesquelles AI Protection est disponible, consultez la section Points de terminaison régionaux.

Accès pour les comptes de service

Assurez-vous que tous les comptes de service mentionnés dans les sections suivantes ne sont pas bloqués par une règle d'administration.

Configurer la protection de l'IA

Pour activer la protection de l'IA au niveau de l'organisation, procédez comme suit :

  1. Si vous n'avez pas activé Security Command Center dans votre organisation, activez Security Command Center Enterprise.
  2. Après avoir activé le niveau de service Enterprise de Security Command Center, configurez la protection de l'IA en suivant les instructions du guide de configuration SCC :
    1. Développez le panneau récapitulatif Examiner les fonctionnalités de sécurité.
    2. Dans le panneau Protection par IA, cliquez sur Configurer.
    3. Suivez les instructions pour vérifier si les services requis et dépendants pour AI Protection sont configurés. Pour en savoir plus sur les services qui sont activés automatiquement et ceux qui nécessitent une configuration supplémentaire, consultez Activer et configurer les services Google Cloud.
  3. Activez la découverte des ressources que vous souhaitez protéger avec AI Protection.

Activer et configurer les services Google Cloud

Après avoir activé Security Command Center Enterprise, activez et configurez d'autres servicesGoogle Cloud pour utiliser toutes les fonctionnalités de la protection de l'IA.

Les services suivants sont activés automatiquement :

  • Service Discovery AI
  • Simulations de chemins d'attaque
  • Cloud Audit Logs
  • Cloud Monitoring
  • Responsable de la conformité
  • Event Threat Detection
  • Gestion de la stratégie de sécurité des données
  • Notebook Security Scanner
  • Sensitive Data Protection

Les services suivants sont requis pour la protection par IA :

Certains de ces services nécessitent une configuration supplémentaire, comme indiqué dans les sections suivantes.

Configurer le service AI Discovery

Le service AI Discovery est automatiquement activé lors de l'intégration de Security Command Center Enterprise. Le rôle IAM Lecteur Monitoring (roles/monitoring.viewer) est fourni, mais vérifiez qu'il est appliqué au compte de service de l'organisation Security Command Center Enterprise.

  1. Dans la console Google Cloud , accédez à la page IAM.

    Accéder à IAM

  2. Cliquez sur Accorder l'accès.

  3. Dans le champ Nouveaux comptes principaux, saisissez le compte de service de l'organisation Security Command Center Enterprise. Le compte de service utilise le format service-org-ORG_ID@security-center-api.gserviceaccount.com. Remplacez ORG_ID par l'ID de votre organisation.

  4. Dans le champ Sélectionner un rôle, sélectionnez Lecteur Monitoring.

  5. Cliquez sur Enregistrer.

Configurer les contrôles cloud DSPM avancés

Configurez DSPM avec des contrôles cloud avancés pour l'accès aux données, leur flux et leur protection. Pour en savoir plus, consultez Déployer des contrôles cloud avancés pour la sécurité des données.

Lorsque vous créez un framework personnalisé qui s'applique aux charges de travail d'IA, ajoutez-y les contrôles cloud suivants :

  • Gouvernance des accès aux données : limitez l'accès aux données sensibles à des comptes principaux spécifiques, tels que des utilisateurs ou des groupes. Vous spécifiez les comptes principaux autorisés à l'aide de la syntaxe des identifiants des comptes principaux IAM v2. Par exemple, vous pouvez créer une règle pour autoriser uniquement les membres de gdpr-processing-team@example.com à accéder à des ressources spécifiques.
  • Gouvernance du flux de données : limitez le flux de données à des régions spécifiques. Par exemple, vous pouvez créer une règle pour autoriser l'accès aux données uniquement depuis les États-Unis ou l'UE. Vous spécifiez les codes pays autorisés à l'aide du projet CLDR (Common Locale Data Repository) Unicode.
  • Protection des données (avec CMEK) : identifiez les ressources créées sans clés de chiffrement gérées par le client (CMEK) et recevez des recommandations. Par exemple, vous pouvez créer une règle pour détecter les ressources créées sans CMEK pour storage.googleapis.com et bigquery.googleapis.com. Cette règle détecte les composants non chiffrés, mais ne les empêche pas d'être créés.

Configurez Model Armor

  1. Activez le service modelarmor.googleapis.com pour chaque projet qui utilise l'activité d'IA générative. Pour en savoir plus, consultez Premiers pas avec Model Armor.
  2. Configurez les paramètres suivants pour définir les paramètres de sécurité des requêtes et des réponses des grands modèles de langage (LLM) :
    • Modèles Model Armor : créez un modèle Model Armor. Ces modèles définissent les types de risques à détecter, tels que les données sensibles, les injections de code et la détection de jailbreak. Ils définissent également les seuils minimaux pour ces filtres.
    • Filtres : Model Armor utilise différents filtres pour identifier les risques, y compris la détection des URL malveillantes, la détection de l'injection de requêtes et du jailbreaking, et la protection des données sensibles.
    • Paramètres de plancher : configurez les paramètres de plancher au niveau du projet pour établir une protection par défaut pour tous les modèles Gemini.

Configurer Notebook Security Scanner

  1. Activez le service Notebook Security Scanner pour votre organisation. Pour en savoir plus, consultez Activer Notebook Security Scanner.
  2. Attribuez le rôle Lecteur Dataform (roles/dataform.viewer) à notebook-security-scanner-prod@system.gserviceaccount.com dans tous les projets contenant des notebooks.

Configurer la protection des données sensibles

Activez l'API dlp.googleapis.com pour votre projet et configurez Sensitive Data Protection pour qu'il recherche les données sensibles.

  1. Enable the Data Loss Prevention API.

    Enable the API

  2. Attribuez les rôles DLP Reader et DLP Data Profiles Admin aux utilisateurs d'AI Protection.

  3. Configurez la protection des données sensibles pour analyser les données sensibles.

Facultatif : Configurer des ressources à forte valeur ajoutée supplémentaires

Pour créer une configuration des valeurs de ressource, suivez les étapes décrites dans Créer une configuration des valeurs de ressource.

Lors de la prochaine simulation de chemins d'attaque, l'ensemble de ressources à forte valeur sera couvert et des chemins d'attaque seront générés.

Étapes suivantes