In diesem Dokument werden die Steuerelemente beschrieben, die die Sicherheit von Gemini Code Assist unterstützen. Mit diesen Einstellungen können Sie auch die Datenschutz- und behördlichen Anforderungen erfüllen, die für Ihr Unternehmen gelten.
Für Sicherheit, Datenschutz und Compliance bei Google Cloud-Diensten tragen wir gemeinsam die Verantwortung. Google sichert beispielsweise die Infrastruktur, auf der Google Cloud-Dienste ausgeführt werden, und stellt Ihnen Tools wie Zugriffssteuerungen zur Verfügung, mit denen Sie verwalten können, wer Zugriff auf Ihre Dienste und Ressourcen hat. Weitere Informationen zur Sicherheit der Infrastruktur finden Sie in der Übersicht über das Sicherheitsdesign der Infrastruktur von Google.
Gemini Code Assist-Architektur
Das folgende Diagramm zeigt die Komponenten der Gemini Code Assist-Architektur.
Zu den Komponenten gehören:
- Ihre Anwendungsentwickler installieren in Ihrer lokalen Umgebung die Gemini Code Assist-Erweiterung für Visual Studio oder JetBrains. Entwickler können diese Erweiterung verwenden, um mit Gemini Code Assist zu interagieren.
- Standardmäßig verwendet die Erweiterung eine verschlüsselte TLS-Verbindung über das Internet, um eine Verbindung von Ihrer lokalen Umgebung zu Google Cloud herzustellen. Wenn Sie eine dedizierte, sichere Verbindung zwischen Ihrer lokalen Umgebung und Google Cloud herstellen möchten, können Sie Cloud VPN oder Cloud Interconnect konfigurieren.
- In Ihrer Google Cloud-Umgebung können Sie einen VPC Service Controls-Dienstperimeter einrichten. Mit VPC Service Controls können Sie Sicherheitsrichtlinien definieren, die den Zugriff auf von Google verwaltete Dienste außerhalb eines vertrauenswürdigen Perimeters verhindern, den Zugriff auf Daten von nicht vertrauenswürdigen Standorten blockieren und das Risiko der Daten-Exfiltration verringern.
- Ihr Google Cloud-Projekt, in dem Sie den Gemini Code Assist-Dienst aktiviert haben. Gemini Code Assist verwendet die Gemini for Google Cloud API, um Unterhaltungen zu verarbeiten. Die Gemini for Google Cloud API hat keinen Zugriff auf andere APIs oder Ressourcen in Ihrem Projekt.
Wenn Ihre Organisation Cloud-Arbeitsstationen verwendet, können Entwickler auf ihren Workstations mit Gemini Code Assist interagieren. Weitere Informationen finden Sie unter Code mit Gemini Code Assist schreiben.
Im Gegensatz zu den meisten Google Cloud APIs ist die Gemini for Google Cloud API eine API, die nur für von Google bereitgestellte Clients entwickelt wurde. Über diese API können diese Clients auf die zustandslosen LLMs zugreifen, die Gemini Code Assist unterstützen. Diese LLM-Instanzen werden von allen Google-Kunden gemeinsam genutzt, die die Gemini for Google Cloud API aktivieren.
Sicherheitskontrollen bei der Bereitstellung
In diesem Abschnitt werden einige der Sicherheitsfunktionen für Gemini Code Assist in Google Cloud beschrieben.
Authentifizierung
Für Gemini Code Assist müssen sich Ihre App-Entwickler bei Google Cloud authentifizieren, um ihre Identität und Zugriffsberechtigungen zu bestätigen. Sie müssen für jeden Entwickler ein Nutzerkonto einrichten, das von Cloud Identity, Google Workspace oder einem Identitätsanbieter verwaltet wird, den Sie mit Cloud Identity oder Google Workspace verbunden haben. Weitere Informationen finden Sie unter Übersicht über die Identitäts- und Zugriffsverwaltung.
Beachten Sie nach dem Erstellen der Konten die folgenden Best Practices für die Sicherheit:
- Aktivieren Sie Single Sign-On, wenn Sie sich bei externen Identitätsanbietern authentifizieren.
- Mit der 2-Faktor-Authentifizierung können Sie Nutzer vor gestohlenen Passwörtern schützen.
- Passwortanforderungen durchsetzen und beobachten
Zugriffssteuerung
Sie können die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) verwenden, um den Zugriff von App-Entwicklern auf Gemini Code Assist zu steuern. Wenn Sie IAM-Rollen in großem Umfang verwalten möchten, sollten Sie eine Gruppe für Ihre Anwendungsentwickler erstellen und dieser Gruppe die IAM-Rollen oder Berechtigungen zuweisen, die für Gemini Code Assist erforderlich sind. Wir empfehlen nicht, einzelnen Nutzern IAM-Rollen zu gewähren, da die Verwaltung und Prüfung von Rollen durch individuelle Zuweisungen erschwert werden kann.
Achten Sie beim Zuweisen von Rollen an Ihre Gruppe von Anwendungsentwicklern darauf, das Prinzip der geringsten Berechtigung und andere Best Practices für die IAM-Sicherheit einzuhalten.
Verwenden Sie die Prozesse in Ihrem vorhandenen Identitätsanbieter für die Gruppenerstellung und -mitgliedschaft. Weitere Informationen zum Einrichten von IAM finden Sie in der IAM-Übersicht.
Weitere Informationen zu den für Gemini Code Assist erforderlichen IAM-Rollen finden Sie unter Gemini Code Assist für ein Projekt einrichten. Informationen zu den Mindestberechtigungen, die Ihre App-Entwickler benötigen, finden Sie unter Erweiterte Einrichtungsaufgaben.
Informationen zum Prüfen von Verwaltungs- und Zugriffsaktivitäten finden Sie unter Gemini for Google Cloud.
Netzwerksicherheit
Standardmäßig schützt Google alle Google Cloud-Dienste, einschließlich Gemini Code Assist, bei der Übertragung von Daten.
Die Hauptverbindung ist die Verbindung zwischen den Workstations Ihrer Anwendungsentwickler und dem Google Front End (GFE). GFE ist unser weltweit verteiltes System, das Traffic zwischen dem Google-Netzwerk und der Außenwelt weiterleitet. Über diese Verbindung empfängt und beantwortet Gemini Code Assist Entwickler-Prompts. Diese Verbindung wird standardmäßig mit TLS geschützt. Weitere Informationen zu den standardmäßigen Netzwerkschutzmaßnahmen finden Sie unter Verschlüsselung während der Übertragung.
Wenn dies von Ihrer Organisation erforderlich ist, können Sie zusätzliche Sicherheitsmaßnahmen konfigurieren, um den Traffic im Google Cloud-Netzwerk und den Traffic zwischen dem Google Cloud-Netzwerk und Ihrem Unternehmensnetzwerk weiter zu schützen.
Berücksichtige Folgendes:
- Verwenden Sie Cloud VPN oder Cloud Interconnect, um die Sicherheit und Zuverlässigkeit der Verbindung zwischen Ihrem Unternehmensnetzwerk und Google Cloud zu maximieren. Weitere Informationen finden Sie unter Network Connectivity-Produkt auswählen.
Verwenden Sie VPC Service Controls. Mit VPC Service Controls können Sie die Übertragung von Daten in Google-Diensten steuern und eine kontextbasierte Perimetersicherheit einrichten. Weitere Informationen zum Einrichten von VPC Service Controls finden Sie unter VPC Service Controls für Gemini konfigurieren.
In Google Cloud sollten Sie freigegebene VPCs als Netzwerktopologie verwenden. Eine freigegebene VPC bietet eine zentralisierte Verwaltung der Netzwerkkonfiguration bei gleichzeitiger Trennung der Umgebungen. Weitere Informationen zu Netzwerktopologien finden Sie unter Netzwerkdesign für Ihre Google Cloud-Landing-Zone festlegen.
Weitere Informationen zu Best Practices für die Netzwerksicherheit finden Sie unter Netzwerk schützen und Netzwerkdesign für Ihre Google Cloud-Landing-Zone festlegen.
Datenschutz
In diesem Abschnitt wird beschrieben, wie Gemini Code Assist und die Erweiterungen Ihre Daten und Ihre Privatsphäre schützen.
Kundendaten
Kundendaten sind in den Google Cloud-Nutzungsbedingungen definiert. Informationen dazu, wie wir Kundendaten verarbeiten und schützen, finden Sie im Zusatz zur Verarbeitung von Cloud-Daten (Kunden).
Gemini Code Assist und die Erweiterungen übertragen beispielsweise die folgenden Kundendaten:
- Prompt-Daten, einschließlich Entwicklerabfragen
- Antwortdaten von Gemini Code Assist
- Zusätzlicher Kontext, z. B. der aktuelle Konversationsverlauf, Snippets von Dateien, die in der IDE geöffnet sind, Snippets von Dateien, die neben der geöffneten Datei gespeichert sind, und die Cursorposition in der aktuellen Datei
Da Gemini Code Assist ein zustandsloser Google Cloud-Dienst ist, werden Prompts und Antworten nicht in Google Cloud gespeichert. Bei Bedarf können Sie Gemini Code Assist so einrichten, dass Nutzereingaben und ‑antworten in einem Cloud Logging-Bucket gespeichert werden. Weitere Informationen finden Sie unter Gemini-Logs ansehen. Informationen zum Überwachen der Nutzung von Gemini Code Assist finden Sie unter Nutzung von Gemini for Google Cloud überwachen.
Informationen dazu, wie in Google Cloud inaktive Daten verschlüsselt werden, finden Sie unter Standardverschlüsselung inaktiver Daten.
Dienstdaten
Dienstdaten sind in den Google Cloud-Datenschutzhinweisen definiert.
Beispiele für Dienstdaten, die von Gemini Code Assist erfasst werden:
- Nutzeranalysen (Daten zu den Aktionen des Entwicklers)
- Telemetriedaten
- Google-Feedback
Zu den Telemetry-Daten gehören Daten, die den technischen Betrieb des Produkts beschreiben. Beispiele für Telemetry-Daten:
- Ein Ereignis, das angibt, dass eine Anfrage gestellt wurde (nicht jedoch den Inhalt der Anfrage)
- Ein Ereignis, das angibt, dass eine Antwort eingegangen ist (aber nicht den Inhalt der Antwort)
- Die Reaktion eines Nutzers auf die Antwort (z. B. ob er die Antwort akzeptiert oder abgelehnt hat)
- Die Zeichenanzahl der akzeptierten Vorschläge
- Die Interaktion eines Nutzers mit verschiedenen UI-Elementen
Die Entwickler von Gemini Code Assist haben Zugriff auf Telemetriedaten, um kontinuierliche Produktverbesserungen zu ermöglichen.
Sie können die Informationen anpassen, die Sie in Ihr Google-Feedbackformular aufnehmen möchten. Sie können beispielsweise auswählen, ob bestimmte Protokolle freigegeben oder zurückgehalten werden sollen. Informationen zum Feedbackverlauf finden Sie unter Feedbackberichte.
Wo werden Daten verarbeitet?
Gemini Code Assist verwendet das globale Google Edge-Netzwerk, um Daten zur Verarbeitung zu empfangen. Normalerweise erfolgt die Verarbeitung in dem Rechenzentrum, das dem geografischen Ursprung der Anfrage am nächsten liegt. Die Regionalität ist jedoch nicht garantiert.
Datenschutz
Zum Schutz Ihrer Daten hält Gemini Code Assist die Datenschutzverpflichtung von Google bei Technologien basierend auf generativer KI ein. Diese Verpflichtung umfasst unter anderem Folgendes:
- Google verwendet Ihre Daten nicht ohne Ihre Erlaubnis zum Trainieren unserer Modelle.
- Wir berücksichtigen bei der Entwicklung von Gemini Code Assist Datenschutzprinzipien wie die in den Allgemeinen Datenschutzgrundsätzen beschriebenen.
Weitere Informationen zu unseren KI-Grundsätzen finden Sie unter KI-Grundsätze von Google.
Gemini Code Assist fungiert als Datenauftragsverarbeiter für alle Kundendaten, z. B. bei der Personalisierung von Inhalten und Empfehlungen, bei der Fehlerbehebung und bei der Wartung des Dienstes. Google ist außerdem Datenverantwortlicher für Informationen wie Abrechnung, Kontoverwaltung und Missbrauchserkennung. Weitere Informationen finden Sie in den Google Cloud-Datenschutzhinweisen.
Zertifizierungen
Gemini Code Assist hat die folgenden Zertifizierungen erhalten:
Weitere Informationen zur Compliance von Google Cloud mit verschiedenen regulatorischen Rahmenbedingungen und Zertifizierungen finden Sie im Center für Compliance-Ressourcen.
Gemini Code Assist sicher verwenden
Im Allgemeinen empfiehlt Google für die Entwicklung von Anwendungen einen sicheren Softwareentwicklungs-Lebenszyklus (Software Development Lifecycle, SDLC), unabhängig davon, ob Sie KI-gestützte Codierungshilfen verwenden. Weitere Informationen zu Best Practices für den SDLC finden Sie unter Was ist DevOps? Research and Solutions und SLSA.
Gemini Code Assist ist ein von Google für generative KI freigestellter Dienst. Wenn Sie nach der Verwendung von Inhalten, die mit Gemini Code Assist generiert wurden, aus urheberrechtlichen Gründen belangt werden, übernehmen wir eine gewisse Verantwortung für die damit verbundenen potenziellen rechtlichen Risiken. Ausführliche Informationen zur Haftungsfreistellung finden Sie in unseren dienstspezifischen Nutzungsbedingungen oder in unserem Blogpost zu diesem Thema.
Nächste Schritte
Weitere Informationen zu generativer KI, Datenschutz und Google Cloud (PDF)