Mengonfigurasi Perlindungan AI

Perlindungan AI membantu Anda mengamankan aset dan alur kerja AI dengan memantau model, data, dan infrastruktur terkait AI. Panduan ini menjelaskan cara mengonfigurasi Perlindungan AI.

Peran yang diperlukan

Untuk mendapatkan izin yang Anda perlukan guna mengonfigurasi Perlindungan AI dan melihat data dasbor, minta administrator Anda untuk memberi Anda peran IAM berikut di organisasi Anda:

• Mengonfigurasi Perlindungan AI dan melihat data dasbor: Admin Pusat Keamanan (roles/securitycenter.admin)
• Hanya melihat data dasbor: Security Center Admin Viewer (roles/securitycenter.adminViewer)

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Perintah Google Cloud CLI berikut dapat digunakan untuk menetapkan peran di atas kepada pengguna:

Menetapkan peran menggunakan gcloud CLI

• Untuk memberikan peran Pelihat Admin Security Center kepada pengguna, jalankan perintah berikut:

  gcloud organizations add-iam-policy-binding ORGANIZATION_ID
    --member=user:USER_EMAIL_ID
    --role=roles/securitycenter.admin
  

• Untuk memberikan peran Pelihat Admin Security Center kepada pengguna, jalankan perintah berikut:

  gcloud organizations add-iam-policy-binding ORGANIZATION_ID
    --member=user:USER_EMAIL_ID
    --role=roles/securitycenter.adminViewer
  

  Ganti kode berikut:

  • ORGANIZATION_ID: ID organisasi numerik
  • USER_EMAIL_ID: alamat email pengguna yang memerlukan akses

Region yang didukung

Untuk mengetahui daftar region yang mendukung Perlindungan AI, lihat Endpoint regional.

Akses untuk akun layanan

Pastikan semua akun layanan yang disebutkan di bagian berikut tidak diblokir oleh kebijakan organisasi.

Menyiapkan Perlindungan AI

Selesaikan langkah-langkah berikut untuk mengaktifkan Perlindungan AI di tingkat organisasi:

1. Jika Anda belum mengaktifkan Security Command Center di organisasi Anda, maka Aktifkan Security Command Center Enterprise.
2. Setelah mengaktifkan paket layanan Enterprise Security Command Center, siapkan Perlindungan AI menggunakan panduan di Panduan Penyiapan SCC:
   1. Luaskan panel ringkasan Tinjau kemampuan keamanan.
   2. Dari panel Perlindungan AI, klik Siapkan.
   3. Ikuti petunjuk untuk memeriksa apakah layanan yang diperlukan dan dependen untuk AI Protection telah dikonfigurasi. Lihat Mengaktifkan dan mengonfigurasi Google Cloud layanan untuk mengetahui informasi selengkapnya tentang layanan yang diaktifkan secara otomatis dan layanan yang memerlukan konfigurasi tambahan.
3. Aktifkan penemuan resource yang ingin Anda lindungi dengan Perlindungan AI.

Mengaktifkan dan mengonfigurasi Google Cloud layanan

Setelah mengaktifkan Security Command Center Enterprise, aktifkan dan konfigurasi layanan tambahan Google Cloud untuk menggunakan kemampuan penuh Perlindungan AI.

Layanan berikut diaktifkan secara otomatis:

• Layanan Penemuan AI
• Simulasi Jalur Serangan
• Cloud Audit Logs
• Cloud Monitoring
• Event Threat Detection
• Pengelolaan Postur Keamanan Data
• Compliance Manager

Layanan berikut diperlukan untuk Perlindungan AI:

• Framework Perlindungan AI melalui Pengelola Kepatuhan
• Model Armor

Beberapa layanan ini memerlukan konfigurasi tambahan, seperti yang diuraikan di bagian berikut.

Mengonfigurasi layanan Penemuan AI

Untuk mengonfigurasi layanan Penemuan AI, berikan peran IAM Monitoring Viewer (roles/monitoring.viewer) ke akun layanan organisasi Security Command Center Enterprise.

Izin yang diperlukan untuk langkah ini

Untuk melakukan langkah ini, Anda harus mendapatkan izin atau peran IAM berikut.

Peran

• roles/monitoring.viewer

1. Di konsol Google Cloud , buka halaman IAM.

   Buka IAM

2. Klik Grant Access.

3. Di kolom New principals, masukkan akun layanan organisasi Security Command Center Enterprise. Akun layanan menggunakan format service-org-ORG_ID@security-center-api.gserviceaccount.com Ganti ORG_ID dengan ID organisasi Anda.

4. Di kolom Select a role, pilih Monitoring Viewer.

5. Klik Simpan.

Mengonfigurasi kontrol cloud DSPM lanjutan

Konfigurasi DSPM dengan kontrol cloud lanjutan untuk akses, alur, dan perlindungan data. Untuk mengetahui informasi selengkapnya, lihat Men-deploy kontrol cloud keamanan data tingkat lanjut.

Saat membuat framework kustom yang berlaku untuk workload AI, tambahkan kontrol cloud berikut ke framework:

• Tata Kelola Akses Data: Membatasi akses ke data sensitif untuk akun utama tertentu, seperti pengguna atau grup. Anda menentukan akun utama yang diizinkan menggunakan sintaksis ID utama IAM v2. Misalnya, Anda dapat membuat kebijakan untuk hanya mengizinkan anggota gdpr-processing-team@example.com mengakses resource tertentu.
• Tata Kelola Aliran Data: Membatasi aliran data ke region tertentu. Misalnya, Anda dapat membuat kebijakan untuk mengizinkan akses data hanya dari Amerika Serikat atau Uni Eropa. Anda menentukan kode negara yang diizinkan menggunakan Unicode Common Locale Data Repository (CLDR).
• Perlindungan Data (dengan CMEK): Identifikasi resource yang dibuat tanpa kunci enkripsi yang dikelola pelanggan (CMEK) dan terima rekomendasi. Misalnya, Anda dapat membuat kebijakan untuk mendeteksi resource yang dibuat tanpa CMEK untuk storage.googleapis.com dan bigquery.googleapis.com. Kebijakan ini mendeteksi aset yang tidak dienkripsi, tetapi tidak mencegah aset tersebut dibuat.

Konfigurasi Model Armor

1. Aktifkan layanan modelarmor.googleapis.com untuk setiap project yang menggunakan aktivitas AI generatif. Untuk mengetahui informasi selengkapnya, lihat Mulai menggunakan Model Armor.
2. Konfigurasi setelan berikut untuk menentukan setelan keamanan dan keselamatan bagi perintah dan respons model bahasa besar (LLM):
   • Template Model Armor: Buat template model armor. Template ini menentukan jenis risiko yang akan dideteksi, seperti data sensitif, injeksi perintah, dan deteksi jailbreak. Filter ini juga menentukan nilai minimum untuk filter tersebut.
   • Filter: Model Armor menggunakan berbagai filter untuk mengidentifikasi risiko, termasuk deteksi URL berbahaya, deteksi injeksi prompt dan jailbreak, serta perlindungan data sensitif.
   • Setelan batas bawah: Konfigurasi setelan batas bawah tingkat project untuk menetapkan perlindungan default untuk semua model Gemini.

Mengonfigurasi Notebook Security Scanner

Izin yang diperlukan untuk langkah ini

Untuk melakukan langkah ini, Anda harus mendapatkan izin atau peran IAM berikut.

Peran

• Dataform Viewer

1. Aktifkan layanan Notebook Security Scanner untuk organisasi Anda. Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan Notebook Security Scanner untuk mengetahui informasi selengkapnya.
2. Berikan peran Dataform Viewer (roles/dataform.viewer) kepada notebook-security-scanner-prod@system.gserviceaccount.com di semua project yang berisi Notebook.

Mengonfigurasi Perlindungan Data Sensitif

Aktifkan dlp.googleapis.com API untuk project Anda dan konfigurasi Sensitive Data Protection untuk memindai data sensitif.

Izin yang diperlukan untuk langkah ini

Untuk melakukan langkah ini, Anda harus mendapatkan izin atau peran IAM berikut.

Peran

• DLP Reader
• DLP Data Profiles Admin

1. Enable the Data Loss Prevention API.

   Enable the API

2. Berikan peran DLP Reader dan DLP Data Profiles Admin kepada pengguna Perlindungan AI.

3. Konfigurasi Sensitive Data Protection untuk memindai data sensitif.

Opsional: Mengonfigurasi resource bernilai tinggi tambahan

Untuk membuat konfigurasi nilai resource, ikuti langkah-langkah dalam Membuat konfigurasi nilai resource.

Saat simulasi jalur serangan berikutnya dijalankan, simulasi tersebut akan mencakup kumpulan resource bernilai tinggi dan membuat jalur serangan.

Langkah berikutnya

• Ringkasan Perlindungan AI
• Pengelolaan Postur Keamanan Data
• Mengonfigurasi Model Armor