Configura AI Protection

AI Protection ti aiuta a proteggere le risorse e i flussi di lavoro di AI monitorando i modelli, i dati e l'infrastruttura correlata all'AI. Questa guida descrive come configurare AI Protection.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per configurare AI Protection e visualizzare i dati della dashboard, chiedi all'amministratore di concederti i seguenti ruoli IAM nella tua organizzazione:

Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Per assegnare i ruoli precedenti a un utente, puoi utilizzare i seguenti comandi Google Cloud CLI:

Assegnare ruoli utilizzando gcloud CLI

  • Per concedere il ruolo Visualizzatore amministratore di Security Center a un utente, esegui questo comando:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID
  --member=user:USER_EMAIL_ID
  --role=roles/securitycenter.admin

  • Per concedere il ruolo Visualizzatore amministratore di Security Center a un utente, esegui questo comando:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID
  --member=user:USER_EMAIL_ID
  --role=roles/securitycenter.adminViewer

    Sostituisci quanto segue:

    • ORGANIZATION_ID: l'ID numerico dell'organizzazione
    • USER_EMAIL_ID: l'indirizzo email dell'utente che richiede l'accesso

Aree geografiche supportate

Per un elenco delle regioni in cui è supportata AI Protection, consulta Endpoint regionali.

Accesso per i service account

Assicurati che tutti i service account menzionati nelle sezioni seguenti non siano bloccati da un criterio dell'organizzazione.

Configurare AI Protection

Per attivare AI Protection a livello di organizzazione:

  1. Se non hai attivato Security Command Center nella tua organizzazione, fai clic su Attiva Security Command Center Enterprise.
  2. Dopo aver attivato il livello di servizio Enterprise di Security Command Center, configura AI Protection seguendo le indicazioni della Guida alla configurazione di SCC:
    1. Espandi il riquadro di riepilogo Esamina le funzionalità di sicurezza.
    2. Nel riquadro Protezione AI, fai clic su Configura.
    3. Segui le istruzioni per verificare se i servizi richiesti e dipendenti per AI Protection sono configurati. Per saperne di più su quali servizi vengono attivati automaticamente e quali richiedono una configurazione aggiuntiva, consulta Attivare e configurare Google Cloud i servizi.
  3. Attiva il rilevamento delle risorse che vuoi proteggere con AI Protection.

Attivare e configurare i Google Cloud servizi

Dopo aver attivato Security Command Center Enterprise, attiva e configura serviziGoogle Cloud aggiuntivi per utilizzare tutte le funzionalità di AI Protection.

I seguenti servizi vengono attivati automaticamente:

  • Servizio AI Discovery
  • Simulazioni del percorso di attacco
  • Cloud Audit Logs
  • Cloud Monitoring
  • Compliance Manager
  • Event Threat Detection
  • Gestione della security posture dei dati
  • Notebook Security Scanner
  • Sensitive Data Protection

Per AI Protection sono necessari i seguenti servizi:

Alcuni di questi servizi richiedono una configurazione aggiuntiva, come descritto nelle sezioni seguenti.

Configura il servizio AI Discovery

Il servizio AI Discovery viene attivato automaticamente nell'ambito dell'onboarding di Security Command Center Enterprise. Il ruolo IAM Visualizzatore Monitoring (roles/monitoring.viewer) è fornito, ma verifica che sia applicato al account di servizio dell'organizzazione Security Command Center Enterprise.

  1. Nella console Google Cloud , vai alla pagina IAM.

    Vai a IAM

  2. Fai clic su Concedi l'accesso.

  3. Nel campo Nuove entità, inserisci il account di servizio dell'organizzazione Security Command Center Enterprise. Il account di servizio utilizza il formato service-org-ORG_ID@security-center-api.gserviceaccount.com Sostituisci ORG_ID con l'ID della tua organizzazione.

  4. Nel campo Seleziona un ruolo, seleziona Visualizzatore Monitoring.

  5. Fai clic su Salva.

Configurare i controlli cloud DSPM avanzati

Configura DSPM con controlli cloud avanzati per l'accesso, il flusso e la protezione dei dati. Per saperne di più, vedi Eseguire il deployment dei controlli cloud avanzati per la sicurezza dei dati.

Quando crei un framework personalizzato che si applica ai workload di AI, aggiungi questi controlli cloud al framework:

  • Data Access Governance: limita l'accesso ai dati sensibili a entità specifiche, come utenti o gruppi. Specifichi le entità consentite utilizzando la sintassi dell'identificatore dell'entità IAM v2. Ad esempio, puoi creare un criterio per consentire solo ai membri di gdpr-processing-team@example.com di accedere a risorse specifiche.
  • Governance del flusso di dati: limita il flusso di dati a regioni specifiche. Ad esempio, puoi creare un criterio per consentire l'accesso ai dati solo dagli Stati Uniti o dall'UE. Specifichi i codici paese consentiti utilizzando Unicode Common Locale Data Repository (CLDR).
  • Protezione dei dati (con CMEK): identifica le risorse create senza chiavi di crittografia gestite dal cliente (CMEK) e ricevi consigli. Ad esempio, puoi creare una policy per rilevare le risorse create senza CMEK per storage.googleapis.com e bigquery.googleapis.com. Questo criterio rileva gli asset non criptati, ma non ne impedisce la creazione.

Configura Model Armor

  1. Attiva il servizio modelarmor.googleapis.com per ogni progetto che utilizza l'attività di AI generativa. Per saperne di più, consulta la sezione Inizia a utilizzare Model Armor.
  2. Configura le seguenti impostazioni per definire le impostazioni di sicurezza per prompt e risposte del modello linguistico di grandi dimensioni (LLM):
    • Modelli Model Armor: crea un modello Model Armor. Questi modelli definiscono i tipi di rischi da rilevare, ad esempio dati sensibili, prompt injection e rilevamento di jailbreak. Definiscono anche le soglie minime per questi filtri.
    • Filtri: Model Armor utilizza vari filtri per identificare i rischi, tra cui il rilevamento di URL dannosi, il rilevamento di prompt injection e jailbreak e la protezione dei dati sensibili.
    • Impostazioni di base: configura le impostazioni di base a livello di progetto per stabilire la protezione predefinita per tutti i modelli Gemini.

Configura Notebook Security Scanner

  1. Attiva il servizio Notebook Security Scanner per la tua organizzazione. Per maggiori informazioni, vedi Abilitare Notebook Security Scanner.
  2. Concedi il ruolo Visualizzatore Dataform (roles/dataform.viewer) a notebook-security-scanner-prod@system.gserviceaccount.com su tutti i progetti che contengono Notebooks.

Configura Sensitive Data Protection

Abilita l'API dlp.googleapis.com per il tuo progetto e configura Sensitive Data Protection per la scansione dei dati sensibili.

  1. Enable the Data Loss Prevention API.

    Enable the API

  2. Concedi i ruoli DLP Reader e DLP Data Profiles Admin agli utenti di AI Protection.

  3. Configura Sensitive Data Protection per eseguire la scansione dei dati sensibili.

(Facoltativo) Configurare altre risorse di alto valore

Per creare una configurazione del valore delle risorse, segui i passaggi descritti in Creare una configurazione del valore delle risorse.

Quando viene eseguita la successiva simulazione del percorso di attacco, questa copre il set di risorse di alto valore e genera i percorsi di attacco.

Passaggi successivi