Ce document décrit les contrôles qui assurent la sécurité de Gemini Code Assist Standard et Enterprise. Ces contrôles peuvent également vous aider à respecter les exigences réglementaires et de confidentialité qui s'appliquent à votre entreprise.
La sécurité, la confidentialité et la conformité des services Google Cloud sont une responsabilité partagée. Par exemple, Google sécurise l'infrastructure sur laquelle les services Google Cloud s'exécutent et vous fournit des outils tels que des contrôles des accès pour vous permettre de gérer qui a accès à vos services et ressources. Pour en savoir plus sur la façon dont nous sécurisons l'infrastructure, consultez la présentation de la conception de la sécurité sur l'infrastructure de Google.
Architecture de Gemini Code Assist Standard et Enterprise
Le schéma suivant montre les composants de l'architecture Gemini Code Assist Standard et Enterprise.
Les composants sont les suivants :
- Dans votre environnement sur site, vos développeurs d'applications installent l'extension Gemini Code Assist pour Visual Studio ou JetBrains. Ils peuvent utiliser cette extension pour interagir avec Gemini Code Assist Standard et Enterprise.
- Par défaut, l'extension utilise une connexion TLS chiffrée sur Internet pour se connecter àGoogle Clouddepuis votre environnement sur site. Pour créer une connexion sécurisée dédiée entre votre environnement sur site et Google Cloud, vous pouvez configurer Cloud VPN ou Cloud Interconnect.
- Dans votre environnement Google Cloud , vous pouvez configurer un périmètre de service VPC Service Controls. VPC Service Controls vous permet de définir des règles de sécurité qui empêchent l'accès aux services gérés par Google en dehors d'un périmètre approuvé, de bloquer l'accès aux données depuis des emplacements non approuvés et de limiter les risques d'exfiltration de données.
- Le projet Google Cloud dans lequel vous avez activé le service Gemini Code Assist Standard et Enterprise. Les éditions Standard et Enterprise de Gemini Code Assist utilisent l'API Gemini for Google Cloud pour traiter les conversations. L'API Gemini for Google Cloud n'a accès à aucune autre API ni ressource de votre projet.
Si votre entreprise utilise Cloud Workstations, les développeurs peuvent interagir avec Gemini Code Assist Standard et Enterprise sur leurs stations de travail. Pour en savoir plus, consultez Coder avec Gemini Code Assist.
Contrairement à la plupart des API Google Cloud, l'API Gemini for Google Cloud est une API développée uniquement pour les clients fournis par Google. Cette API permet à ces clients d'accéder aux LLM sans état qui alimentent Gemini Code Assist Standard et Enterprise. Ces instances LLM sont partagées par tous les clients Google qui activent l'API Gemini for Google Cloud Standard et Enterprise.
Contrôles de sécurité du déploiement
Cette section décrit certains des contrôles de sécurité pour Gemini Code Assist Standard et Enterprise sur Google Cloud.
Authentification
Gemini Code Assist Standard et Enterprise exigent que les développeurs d'applications s'authentifient auprès de Google Cloud pour valider leur identité et leurs droits d'accès. Pour chaque développeur, vous devez configurer un compte utilisateur géré par Cloud Identity, Google Workspace ou un fournisseur d'identité que vous avez fédéré avec Cloud Identity ou Google Workspace. Pour en savoir plus, consultez la présentation de la gestion de l'authentification et des accès.
Après avoir créé les comptes, appliquez les bonnes pratiques de sécurité suivantes :
- Activez l'authentification unique en cas d'authentification avec des fournisseurs d'identité externes.
- Utilisez la validation en deux étapes pour protéger les utilisateurs contre le vol de mots de passe.
- Appliquez et contrôlez des règles de mots de passe.
Contrôle des accès
Vous pouvez utiliser Identity and Access Management (IAM) pour contrôler les accès des développeurs d'applications à Gemini Code Assist Standard ou Enterprise. Pour gérer les rôles IAM à grande échelle, nous vous recommandons de créer un groupe pour vos développeurs d'applications et d'attribuer à ce groupe les autorisations ou rôles IAM requis pour Gemini Code Assist Standard et Enterprise. Nous vous déconseillons d'attribuer des rôles IAM à des utilisateurs individuels, car cela peut compliquer la gestion et l'audit des rôles.
Lorsque vous attribuez des rôles à votre groupe de développeurs d'applications, veillez à respecter le principe du moindre privilège et d'autres bonnes pratiques de sécurité IAM.
Utilisez les processus de votre fournisseur d'identité existant pour la création de groupes et l'adhésion à ceux-ci. Pour en savoir plus sur la configuration d'IAM, consultez la présentation d'IAM.
Pour en savoir plus sur les rôles IAM requis pour Gemini Code Assist Standard et Enterprise, consultez Configurer Gemini Code Assist pour un projet. Pour en savoir plus sur les autorisations minimales requises par vos développeurs d'applications, consultez Tâches de configuration avancées.
Pour auditer les activités d'administration et d'accès, consultez Gemini pourGoogle Cloud.
Sécurité réseau
Par défaut, Google applique des protections aux données en transit pour tous les servicesGoogle Cloud , y compris Gemini Code Assist Standard et Enterprise.
La connexion principale est celle entre les stations de travail des développeurs d'applications et Google Front End (GFE). GFE est notre système distribué à l'échelle mondiale qui achemine le trafic entre le réseau Google et le monde extérieur. Les éditions Standard et Enterprise de Gemini Code Assist utilisent cette connexion pour recevoir les prompts des développeurs et y répondre. Par défaut, cette connexion est protégée à l'aide du protocole TLS. Pour en savoir plus sur les protections réseau par défaut, consultez Chiffrement en transit.
Si votre entreprise l'exige, vous pouvez configurer des contrôles de sécurité supplémentaires pour mieux protéger le trafic sur le réseau Google Cloud et le trafic entre le réseau Google Cloud et le réseau de votre entreprise.
Réfléchissez aux éléments suivants :
- Utilisez Cloud VPN ou Cloud Interconnect pour maximiser la sécurité et la fiabilité de la connexion entre le réseau de votre entreprise et Google Cloud. Pour en savoir plus, consultez Choisir un produit de connectivité réseau.
Utilisez VPC Service Controls. VPC Service Controls vous permet de contrôler le déplacement des données dans les services Google et de configurer une sécurité périmétrique basée sur le contexte. Pour en savoir plus sur la configuration de VPC Service Controls, consultez Configurer VPC Service Controls pour Gemini.
Dans Google Cloud, considérez le VPC partagé comme votre topologie réseau. Le VPC partagé offre une gestion centralisée de la configuration du réseau tout en maintenant séparés les environnements. Pour en savoir plus sur les topologies réseau, consultez Choisir une conception réseau pour votre zone de destination Google Cloud .
Pour en savoir plus sur les bonnes pratiques de sécurité réseau, consultez Sécuriser votre réseau et Choisir une conception réseau pour votre zone de destination Google Cloud .
Confidentialité et protection des données dans Gemini Code Assist Standard et Enterprise
Cette section décrit comment les éditions Standard et Enterprise de Gemini Code Assist protègent vos données et votre confidentialité.
Données client
Les données client sont définies dans les Conditions d'utilisation deGoogle Cloud . Pour en savoir plus sur la façon dont nous traitons et protégeons les données client, consultez l'Avenant relatif au traitement des données dans le cloud (Clients).
Par exemple, les éditions Standard et Enterprise de Gemini Code Assist traitent les données suivantes comme des données client :
- Données de prompt, y compris les requêtes des développeurs
- Données de réponse de Gemini Code Assist Standard et Enterprise
- Contexte supplémentaire, tel que l'historique des conversations en cours, des extraits de fichiers ouverts dans l'IDE, des extraits de fichiers stockés à côté du fichier ouvert et l'emplacement du curseur dans le fichier actuel
Étant donné que Gemini Code Assist Standard et Enterprise sont des servicesGoogle Cloud sans état, ils ne stockent pas les prompts ni les réponses dansGoogle Cloud. Si nécessaire, vous pouvez configurer Gemini Code Assist Standard et Enterprise pour stocker les entrées utilisateur et les réponses dans un bucket Cloud Logging. Pour en savoir plus, consultez Afficher les journaux Gemini. Pour surveiller l'utilisation de Gemini Code Assist Standard et Enterprise, consultez Surveiller l'utilisation de Gemini pour Google Cloud .
Pour savoir comment Google Cloud chiffre les données au repos, consultez Chiffrement au repos par défaut.
Données de service pour Gemini Code Assist Standard et Enterprise
Les données de service pour Gemini Code Assist Standard et Enterprise sont définies dans l'Avis de confidentialité deGoogle Cloud .
Voici quelques exemples de données de service collectées par Gemini Code Assist Standard et Enterprise :
- Analyses liées aux utilisateurs (données sur les actions du développeur)
- Données de télémétrie
- Commentaires envoyés à Google
Les données de télémétrie incluent des données qui décrivent le fonctionnement technique du produit. En voici quelques exemples :
- Événement indiquant qu'une requête a été adressée (mais pas le contenu de la requête)
- Événement indiquant qu'une réponse a été reçue (mais pas le contenu de la réponse)
- Réaction de l'utilisateur à la réponse (par exemple, s'il l'a acceptée ou refusée)
- Nombre de caractères des suggestions acceptées
- Interaction d'un utilisateur avec différents éléments d'interface utilisateur
Les ingénieurs Gemini Code Assist Standard et Enterprise ont accès aux données de télémétrie pour améliorer en permanence le produit.
Vous pouvez personnaliser les informations que vous choisissez d'inclure dans votre formulaire de commentaires Google (y compris choisir de partager ou non des journaux spécifiques). Pour afficher l'historique de vos commentaires, consultez Vos rapports de commentaires.
Où les données sont-elles traitées ?
Les éditions Standard et Enterprise de Gemini Code Assist utilisent le réseau périphérique mondial de Google pour recevoir les données à traiter. En règle générale, le traitement a lieu dans le centre de données le plus proche de l'origine géographique de la requête, mais la régionalité n'est pas garantie.
Confidentialité des données
Pour protéger la confidentialité de vos données, Gemini Code Assist Standard et Enterprise respectent l'engagement de Google concernant la confidentialité avec les technologies d'IA générative. Cet engagement inclut, entre autres, les points suivants :
- Google n'utilise pas vos données pour entraîner ses modèles sans votre autorisation.
- Nous intégrons des principes de confidentialité dans le développement de Gemini Code Assist Standard et Enterprise, tels que ceux décrits dans les Principes de confidentialité courants.
Pour en savoir plus sur nos principes concernant l'IA, consultez les Principes de Google concernant l'IA.
Les éditions Standard et Enterprise de Gemini Code Assist agissent en tant que sous-traitants des données pour toutes les données client (par exemple, pour personnaliser les expériences et les recommandations, résoudre les problèmes et assurer la maintenance du service). Google agit également en tant que responsable du traitement pour des informations liées par exemple à la facturation, à la gestion de compte et à la détection des utilisations abusives. Pour en savoir plus, consultez l'Avis de confidentialité deGoogle Cloud .
Certifications
Les éditions Standard et Enterprise de Gemini Code Assist ont reçu les certifications suivantes :
Pour en savoir plus sur la conformité de Google Cloud avec les différents cadres réglementaires et certifications, consultez le Centre de ressources pour la conformité.
Utiliser Gemini Code Assist Standard et Enterprise de manière sécurisée
En général, Google recommande d'utiliser un cycle de développement logiciel (SDLC, secure software development lifecycle) sécurisé pour développer des applications, que vous utilisiez ou non une assistance au codage par IA. Pour en savoir plus sur les bonnes pratiques de SDLC, consultez Qu'est-ce que le DevOps ? Recherche et solutions et SLSA.
Les éditions Standard et Enterprise de Gemini Code Assist sont un service d'IA générative indemnisé. Si vous recevez une contestation pour des raisons de droits d'auteur après avoir utilisé du contenu généré par Gemini Code Assist Standard et Enterprise, nous assumons une certaine responsabilité pour les éventuels risques juridiques encourus. Pour en savoir plus sur l'indemnité, consultez nos Conditions spécifiques du service ou notre article de blog sur ce problème.
Étapes suivantes
Apprenez-en plus sur l'IA générative, la confidentialité et Google Cloud (PDF).