Configurar AI Protection

Enterprise

Protección de IA te ayuda a proteger tus recursos y flujos de trabajo de IA monitorizando tus modelos, datos e infraestructura relacionados con la IA. En esta guía se describe cómo configurar AI Protection.

Roles obligatorios

Para obtener los permisos que necesitas para configurar Protección con IA y ver los datos del panel de control, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en tu organización:

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Puedes usar los siguientes comandos de la CLI de Google Cloud para asignar los roles anteriores a un usuario:

Asignar roles con gcloud CLI

  • Para asignar el rol Lector administrador de Security Center a un usuario, ejecuta el siguiente comando:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID
  --member=user:USER_EMAIL_ID
  --role=roles/securitycenter.admin

  • Para asignar el rol Lector administrador de Security Center a un usuario, ejecuta el siguiente comando:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID
  --member=user:USER_EMAIL_ID
  --role=roles/securitycenter.adminViewer

    Haz los cambios siguientes:

    • ORGANIZATION_ID: el ID numérico de la organización
    • USER_EMAIL_ID: la dirección de correo del usuario que necesita acceso

Regiones disponibles

Para ver una lista de las regiones en las que se admite Protección con IA, consulta Endpoints regionales.

Acceso para cuentas de servicio

Asegúrate de que ninguna de las cuentas de servicio mencionadas en las siguientes secciones esté bloqueada por una política de organización.

Configurar AI Protection

Para habilitar AI Protection a nivel de organización, sigue estos pasos:

  1. Si no has activado Security Command Center en tu organización, activa Security Command Center Enterprise.
  2. Después de activar el nivel de servicio Enterprise de Security Command Center, configura AI Protection siguiendo las instrucciones de la guía de configuración de SCC:
    1. Abre el panel de resumen Revisar las funciones de seguridad.
    2. En el panel Protección con IA, haz clic en Configurar.
    3. Sigue las instrucciones para comprobar si los servicios necesarios y dependientes de Protección con IA están configurados. Consulta Activar y configurar servicios Google Cloud para obtener más información sobre lo que se habilita automáticamente y lo que requiere una configuración adicional.
  3. Habilita la detección de los recursos que quieras proteger con Protección con IA.

Activar y configurar Google Cloud servicios

Después de activar Security Command Center Enterprise, activa y configura otros servicios deGoogle Cloud para aprovechar todas las funciones de AI Protection.

Los siguientes servicios se activan automáticamente:

  • Servicio de Discovery AI
  • Simulaciones de rutas de ataque
  • Registros de auditoría de Cloud
  • Cloud Monitoring
  • Administrador de Cumplimiento
  • Event Threat Detection
  • Gestión de la posición de seguridad de los datos
  • Notebook Security Scanner
  • Protección de datos sensibles

Para usar AI Protection, se necesitan los siguientes servicios:

Algunos de estos servicios requieren una configuración adicional, como se indica en las secciones siguientes.

Configurar el servicio AI Discovery

El servicio AI Discovery se activa automáticamente como parte de la incorporación de Security Command Center Enterprise. Se proporciona el rol de gestión de identidades y accesos Lector de Monitoring (roles/monitoring.viewer), pero comprueba que se haya aplicado a la cuenta de servicio de la organización de Security Command Center Enterprise.

  1. En la consola, ve a la página Gestión de identidades y accesos. Google Cloud

    Ir a IAM

  2. Haz clic en Conceder acceso.

  3. En el campo Nuevos principales, introduce la cuenta de servicio de la organización de Security Command Center Enterprise. La cuenta de servicio usa el formato service-org-ORG_ID@security-center-api.gserviceaccount.com Sustituye ORG_ID por tu ID de organización.

  4. En el campo Selecciona un rol, elige Lector de Monitoring.

  5. Haz clic en Guardar.

Configurar controles de DSPM avanzados en la nube

Configura la DSPM con controles avanzados en la nube para el acceso, el flujo y la protección de datos. Para obtener más información, consulta el artículo Implementar controles en la nube de seguridad de datos avanzada.

Cuando crees un framework personalizado que se aplique a las cargas de trabajo de IA, añade estos controles de nube al framework:

  • Gobernanza del acceso a los datos: restringe el acceso a datos sensibles a principales específicos, como usuarios o grupos. Para especificar las entidades principales permitidas, debes usar la sintaxis del identificador de entidad principal de la versión 2 de gestión de identidades y accesos. Por ejemplo, puedes crear una política para permitir que solo los miembros de gdpr-processing-team@example.com accedan a recursos específicos.
  • Control del flujo de datos: restringe el flujo de datos a regiones específicas. Por ejemplo, puede crear una política para permitir que solo se acceda a los datos desde EE. UU. o la UE. Para especificar los códigos de país permitidos, se usa el repositorio de datos de configuración regional común de Unicode (CLDR).
  • Protección de datos (con CMEK): identifica los recursos creados sin claves de cifrado gestionadas por el cliente (CMEK) y recibe recomendaciones. Por ejemplo, puedes crear una política para detectar recursos creados sin CMEK para storage.googleapis.com y bigquery.googleapis.com. Esta política detecta los recursos sin cifrar, pero no impide que se creen.

Configurar Model Armor

  1. Habilita el servicio modelarmor.googleapis.com en cada proyecto que use la actividad de IA generativa. Para obtener más información, consulta el artículo Empezar a usar Model Armor.
  2. Configura los siguientes ajustes para definir los ajustes de seguridad de las peticiones y respuestas del modelo de lenguaje extenso (LLM):
    • Plantillas de Model Armor: crea una plantilla de Model Armor. Estas plantillas definen los tipos de riesgos que se van a detectar, como datos sensibles, inyecciones de peticiones y detección de jailbreak. También definen los umbrales mínimos de esos filtros.
    • Filtros: Model Armor usa varios filtros para identificar riesgos, como la detección de URLs maliciosas, la detección de inyección de peticiones y jailbreaking, y la protección de datos sensibles.
    • Ajustes de la planta: configura los ajustes de la planta a nivel de proyecto para establecer la protección predeterminada de todos los modelos de Gemini.

Configurar Notebook Security Scanner

  1. Habilita el servicio Notebook Security Scanner en tu organización. Para obtener más información, consulta Habilitar el escáner de seguridad de Notebook.
  2. Asigna el rol Lector de Dataform (roles/dataform.viewer) a notebook-security-scanner-prod@system.gserviceaccount.com en todos los proyectos que contengan cuadernos.

Configurar Protección de Datos Sensibles

Habilita la API dlp.googleapis.com en tu proyecto y configura Protección de Datos Sensibles para buscar datos sensibles.

  1. Enable the Data Loss Prevention API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  2. Concede los roles DLP Reader y DLP Data Profiles Admin a los usuarios de Protección con IA.

  3. Configura Protección de Datos Sensibles para buscar datos sensibles.

Opcional: Configurar recursos de alto valor adicionales

Para crear una configuración de valor de recurso, siga los pasos que se indican en Crear una configuración de valor de recurso.

Cuando se ejecute la siguiente simulación de ruta de ataque, abarcará el conjunto de recursos de alto valor y generará rutas de ataque.

Siguientes pasos