Questa pagina è stata tradotta dall'API Cloud Translation.

Postura predefinita per l'AI sicura, elementi essenziali

In questa pagina vengono descritte le norme di prevenzione e indagine incluse in la versione v1.0.0 della postura predefinita per AI sicura, elementi essenziali. Questa postura include due insiemi di criteri:

Un insieme di criteri che include i criteri dell'organizzazione che si applicano ai carichi di lavoro Vertex AI.
Un insieme di criteri che include rilevatori Security Health Analytics personalizzati che si applicano ai carichi di lavoro Vertex AI.

Puoi utilizzare questa postura per configurare una strategia di sicurezza che aiuti a proteggere Gemini e alle risorse di Vertex AI. Puoi implementare questa postura predefinita senza apportare modifiche.

Norme	Descrizione	Standard di conformità
`ainotebooks.disableFileDownloads`	Questo vincolo impedisce la creazione di istanze di Vertex AI Workbench con l'opzione Download file abilitata. Per impostazione predefinita, l'opzione di download di file può essere attivata su qualsiasi istanza di Vertex AI Workbench. Il valore va da `true` a e disattivare i download dei file sulle nuove istanze di Vertex AI Workbench.	Controllo NIST SP 800-53: AC-3(1)
`ainotebooks.disableRootAccess`	Questo vincolo impedisce istanze e blocchi note gestiti dall'utente di Vertex AI Workbench appena creati di abilitare l'accesso root. Per impostazione predefinita, Vertex AI Workbench è gestito dall'utente blocchi note e istanze possono avere l'accesso root abilitato. Il valore è `true` per disattivare l'accesso root alle nuove istanze e ai nuovi notebook gestiti dall'utente di Vertex AI Workbench.	Controllo NIST SP 800-53: AC-3 e AC-6(2)
`ainotebooks.disableTerminal`	Questo vincolo impedisce la creazione di istanze di Vertex AI Workbench con il terminale abilitato. Per impostazione predefinita, il terminale può essere abilitato di Vertex AI Workbench. Il valore va da `true` a e disattivare il terminale sulle nuove istanze di Vertex AI Workbench.	Controllo NIST SP 800-53: AC-3, AC-6 e CM-2
`ainotebooks.requireAutoUpgradeSchedule`	Questo vincolo richiede che nelle nuove istanze e nei nuovi blocchi note gestiti dall'utente di Vertex AI Workbench sia impostata una pianificazione automatica degli upgrade. Il valore è `true` per richiedere upgrade automatici pianificati sui nuovi Istanze e blocchi note gestiti dall'utente di Vertex AI Workbench.	Controllo NIST SP 800-53: AU-9, CM-2 e CM-6
`ainotebooks.restrictPublicIp`	Questo vincolo limita l'accesso degli IP pubblici a istanze e notebook di Vertex AI Workbench appena creati. Per impostazione predefinita, gli indirizzi IP pubblici possono accedere ai blocchi note di Vertex AI Workbench e istanze di blocco note. Il valore è `true` per limitare l'accesso IP pubblico su nuovi blocchi note e istanze di Vertex AI Workbench.	Controllo NIST SP 800-53: AC-3, AC-4 e SC-7

Rilevamento di Security Health Analytics

La tabella seguente descrive i moduli personalizzati per Security Health Analytics inclusi nella postura predefinita.

Nome rilevatore	Risorsa applicabile	Descrizione	Standard di conformità
vertexAIDataSetCMEKDisabled	`aiplatform.googleapis.com/Dataset`	Questo rilevatore verifica se Qualsiasi set di dati non sia criptato utilizzando una chiave di crittografia gestita dal cliente (CMEK). Per risolvere questo risultato, verifica di aver creato la chiave e keyring, configurato le autorizzazioni e fornito la chiave al momento del set di dati. Per le istruzioni, vedi Configurare CMEK per	Controllo NIST SP 800-53: SC12 e SC13
vertexAIModelCMEKDisabled	`aiplatform.googleapis.com/Model`	Questo rilevatore controlla se un modello non è criptato utilizzando una CMEK. Per risolvere questo risultato, verifica di aver creato la chiave e keyring, configurato le autorizzazioni e fornito la chiave al momento un modello di machine learning. Per le istruzioni, vedi Configurare CMEK per Google Cloud.	Controllo NIST SP 800-53: SC12 e SC13
vertexAIEndpointCMEKDisabled	`aiplatform.googleapis.com/Endpoint`	Questo rilevatore controlla se un endpoint non è criptato con una CMEK. Per risolvere questo problema, verifica di aver creato la chiave e il keyring, di aver configurato le autorizzazioni e di aver fornito la chiave quando hai creato l'endpoint. Per le istruzioni, vedi Configurare CMEK per Google Cloud.	Controllo NIST SP 800-53: SC12 e SC13
vertexAITrainingPipelineCMEKDisabled	`aiplatform.googleapis.com/TrainingPipeline`	Questo rilevatore controlla se una pipeline di addestramento non è criptata utilizzando una chiave CMEK. Per risolvere questo problema, verifica di aver creato la chiave e il keyring, di aver configurato le autorizzazioni e di aver fornito la chiave quando hai creato la pipeline di addestramento. Per le istruzioni, consulta Configurare CMEK per le tue risorse.	Controllo NIST SP 800-53: SC12 e SC13
vertexAIDataLabelingJobCMEKDisabled	`aiplatform.googleapis.com/DataLabelingJob`	Questo rilevatore controlla se un'etichetta dati non è criptata utilizzando una CMEK. Per risolvere questo problema, verifica di aver creato la chiave e il portachiavi, di aver configurato le autorizzazioni e di aver fornito la chiave quando hai creato l'etichetta dei dati. Per le istruzioni, vedi Configurare CMEK per Google Cloud.	Controllo NIST SP 800-53: SC12 e SC13
vertexAICustomJobCMEKDisabled	`aiplatform.googleapis.com/CustomJob`	Questo rilevatore controlla se un job che esegue un carico di lavoro personalizzato non è criptato utilizzando una CMEK. Per risolvere questo problema, verifica di aver creato la chiave e il keyring, di aver configurato le autorizzazioni e di aver fornito la chiave quando hai creato il job personalizzato. Per le istruzioni, vedi Configurare CMEK per Google Cloud.	Controllo NIST SP 800-53: SC12 e SC13
vertexAIDataLabelingJobHyperparameterTuningJobCMEKDisabled	`aiplatform.googleapis.com/HyperparameterTuningJob`	Questo rilevatore controlla se un job di ottimizzazione degli iperparametri non è criptato usando una CMEK. Per risolvere questo risultato, verifica di aver creato la chiave e keyring, configurato le autorizzazioni e fornito la chiave al momento un job di ottimizzazione degli iperparametri. Per le istruzioni, vedi Configurare CMEK per Google Cloud.	Controllo NIST SP 800-53: SC12 e SC13

Visualizza il modello di postura

Per visualizzare il modello di postura per AI sicura (elementi essenziali), segui questi passaggi:

gcloud

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

ORGANIZATION_ID: l'ID numerico dell'organizzazione

Esegui la gcloud scc posture-templates describe :

Linux, macOS o Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_essential

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_essential

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_essential

La risposta contiene il modello di postura.

REST

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

ORGANIZATION_ID: l'ID numerico dell'organizzazione

Metodo HTTP e URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_essential

Per inviare la richiesta, espandi una delle seguenti opzioni:

curl (Linux, macOS o Cloud Shell)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che ti consente di accedere automaticamente all'interfaccia a riga di comando gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_essential"

PowerShell (Windows)

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso alla CLI gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_essential" | Select-Object -Expand Content

La risposta contiene il modello di postura.

Passaggi successivi

Crea una strategia di sicurezza utilizzando questa strategia predefinita.