Configurar a proteção de IA

A Proteção de IA ajuda a proteger seus recursos e fluxos de trabalho de IA monitorando seus modelos, dados e infraestrutura relacionada à IA. Neste guia, descrevemos como configurar a Proteção de IA.

Funções exigidas

Para ter as permissões necessárias para configurar a Proteção com IA e ver os dados do painel, peça ao administrador para conceder a você os seguintes papéis do IAM na sua organização:

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.

Os comandos da CLI do Google Cloud a seguir podem ser usados para atribuir as funções anteriores a um usuário:

Atribuir papéis usando a CLI gcloud

  • Para conceder o papel de Leitor administrativo da Central de segurança a um usuário, execute o seguinte comando:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID
  --member=user:USER_EMAIL_ID
  --role=roles/securitycenter.admin

  • Para conceder o papel de Leitor administrativo da Central de segurança a um usuário, execute o seguinte comando:

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID
  --member=user:USER_EMAIL_ID
  --role=roles/securitycenter.adminViewer

    Substitua:

    • ORGANIZATION_ID: o ID numérico da organização
    • USER_EMAIL_ID: o endereço de e-mail do usuário que precisa de acesso.

Regiões compatíveis

Para conferir uma lista de regiões em que a Proteção de IA está disponível, consulte Endpoints regionais.

Acesso para contas de serviço

Verifique se todas as contas de serviço mencionadas nas seções a seguir não estão bloqueadas por uma política da organização.

Configurar a proteção por IA

Conclua as etapas a seguir para ativar a Proteção de IA no nível da organização:

  1. Se você ainda não ativou o Security Command Center na sua organização, ative o Security Command Center Enterprise.
  2. Depois de ativar o nível de serviço Enterprise do Security Command Center, configure a Proteção de IA usando as orientações no Guia de configuração do SCC:
    1. Abra o painel de resumo Revisar recursos de segurança.
    2. No painel Proteção de IA, clique em Configurar.
    3. Siga as instruções para verificar se os serviços necessários e dependentes da Proteção com IA estão configurados. Consulte Ativar e configurar serviços do Google Cloud para mais informações sobre o que é ativado automaticamente e o que exige configuração adicional.
  3. Ative a descoberta dos recursos que você quer proteger com a Proteção com IA.

Ativar e configurar Google Cloud serviços

Depois de ativar o Security Command Center Enterprise, ative e configure outros serviços doGoogle Cloud para usar todos os recursos da Proteção com IA.

Os seguintes serviços são ativados automaticamente:

  • Serviço de descoberta de IA
  • Simulações de caminho de ataque
  • Registros de auditoria do Cloud
  • Cloud Monitoring
  • Gerente de compliance
  • Event Threat Detection
  • Gerenciamento da postura de segurança de dados
  • Notebook Security Scanner
  • Proteção de dados sensíveis

Os seguintes serviços são necessários para a Proteção com IA:

Alguns desses serviços exigem configuração adicional, conforme descrito nas seções a seguir.

Configurar o serviço de descoberta de IA

O serviço AI Discovery é ativado automaticamente como parte da integração do Security Command Center Enterprise. O papel do IAM de leitor do Monitoring (roles/monitoring.viewer) é fornecido, mas verifique se ele está aplicado à conta de serviço da organização do Security Command Center Enterprise.

  1. No console do Google Cloud , acesse a página IAM.

    Acessar IAM

  2. Clique em Permitir acesso.

  3. No campo Novos principais, insira a conta de serviço da organização do Security Command Center Enterprise. A conta de serviço usa o formato service-org-ORG_ID@security-center-api.gserviceaccount.com Substitua ORG_ID pelo ID da sua organização.

  4. No campo Selecionar um papel, escolha Leitor do Monitoring.

  5. Clique em Salvar.

Configurar controles avançados de DSPM na nuvem

Configure o DSPM com controles avançados de nuvem para acesso, fluxo e proteção de dados. Para mais informações, consulte Implantar controles avançados de segurança de dados na nuvem.

Ao criar um framework personalizado que se aplica a cargas de trabalho de IA, adicione estes controles de nuvem:

  • Governança de acesso a dados: restringe o acesso a dados sensíveis a principais específicos, como usuários ou grupos. Você especifica principais permitidos usando a sintaxe do identificador principal do IAM v2. Por exemplo, crie uma política para permitir que apenas membros de gdpr-processing-team@example.com acessem recursos específicos.
  • Governança de fluxo de dados: restrinja o fluxo de dados a regiões específicas. Por exemplo, crie uma política para permitir que os dados sejam acessados apenas dos EUA ou da UE. Você especifica os códigos de país permitidos usando o Common Locale Data Repository (CLDR) do Unicode.
  • Proteção de dados (com CMEK): identifique recursos criados sem chaves de criptografia gerenciadas pelo cliente (CMEK) e receba recomendações. Por exemplo, é possível criar uma política para detectar recursos criados sem CMEK para storage.googleapis.com e bigquery.googleapis.com. Essa política detecta recursos não criptografados, mas não impede que eles sejam criados.

Configurar o Model Armor

  1. Ative o serviço modelarmor.googleapis.com para cada projeto que usa atividade de IA generativa. Para mais informações, consulte Começar a usar o Model Armor.
  2. Configure as seguintes opções para definir as configurações de segurança e proteção para comandos e respostas de modelos de linguagem grandes (LLMs):
    • Model Armor templates: crie um modelo do Model Armor. Esses modelos definem os tipos de riscos a serem detectados, como dados sensíveis, injeções de comandos e detecção de jailbreak. Eles também definem os limites mínimos para esses filtros.
    • Filtros: o Model Armor usa vários filtros para identificar riscos, incluindo detecção de URLs maliciosos, detecção de jailbreak e injeção de comandos e proteção de dados sensíveis.
    • Configurações mínimas: configure as configurações mínimas no nível do projeto para estabelecer a proteção padrão para todos os modelos do Gemini.

Configurar o Notebook Security Scanner

  1. Ative o serviço Notebook Security Scanner para sua organização. Para mais informações, consulte Ativar o Notebook Security Scanner.
  2. Conceda o papel de Leitor do Dataform (roles/dataform.viewer) a notebook-security-scanner-prod@system.gserviceaccount.com em todos os projetos que contêm notebooks.

Configurar a proteção de dados sensíveis

Ative a API dlp.googleapis.com para seu projeto e configure a Proteção de Dados Sensíveis para verificar dados sensíveis.

  1. Enable the Data Loss Prevention API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  2. Conceda os papéis DLP Reader e DLP Data Profiles Admin aos usuários da Proteção de IA.

  3. Configure a Proteção de Dados Sensíveis para verificar se há dados sensíveis.

Opcional: configurar outros recursos de alto valor

Para criar uma configuração de valor de recurso, siga as etapas em Criar uma configuração de valor de recurso.

Quando a próxima simulação de caminho de ataque for executada, ela vai abranger o conjunto de recursos de alto valor e gerar caminhos de ataque.

A seguir