Configurar a proteção de IA

A Proteção de IA ajuda a proteger seus recursos e fluxos de trabalho de IA monitorando modelos, dados e infraestrutura relacionada à IA. Neste guia, descrevemos como configurar a Proteção de IA.

Funções exigidas

Para ter as permissões necessárias para configurar a Proteção com IA e ver os dados do painel, peça ao administrador para conceder a você os seguintes papéis do IAM na sua organização:

• Configurar a Proteção com IA e ver os dados do painel: Administrador da Central de segurança (roles/securitycenter.admin)
• Acessar apenas dados do painel: Leitor administrador da Central de segurança (roles/securitycenter.adminViewer)

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.

Os comandos da Google Cloud CLI a seguir podem ser usados para atribuir as funções anteriores a um usuário:

Atribuir papéis usando a CLI gcloud

• Para conceder o papel de Leitor administrativo da Central de segurança a um usuário, execute o seguinte comando:

  gcloud organizations add-iam-policy-binding ORGANIZATION_ID
    --member=user:USER_EMAIL_ID
    --role=roles/securitycenter.admin
  

• Para conceder o papel de Leitor administrativo da Central de segurança a um usuário, execute o seguinte comando:

  gcloud organizations add-iam-policy-binding ORGANIZATION_ID
    --member=user:USER_EMAIL_ID
    --role=roles/securitycenter.adminViewer
  

  Substitua:

  • ORGANIZATION_ID: o ID numérico da organização
  • USER_EMAIL_ID: o endereço de e-mail do usuário que precisa de acesso.

Regiões compatíveis

Para conferir uma lista de regiões em que a Proteção de IA está disponível, consulte Endpoints regionais.

Acesso para contas de serviço

Verifique se todas as contas de serviço mencionadas nas seções a seguir não estão bloqueadas por uma política da organização.

Configurar a proteção por IA

Conclua as etapas a seguir para ativar a Proteção de IA no nível da organização:

1. Se você ainda não ativou o Security Command Center na sua organização, ative o Security Command Center Enterprise.
2. Depois de ativar o nível de serviço Enterprise do Security Command Center, configure a Proteção com IA usando as orientações do Guia de configuração do SCC:
   1. Abra o painel de resumo Revisar recursos de segurança.
   2. No painel Proteção de IA, clique em Configurar.
   3. Siga as instruções para verificar se os serviços necessários e dependentes da Proteção com IA estão configurados. Consulte Ativar e configurar serviços do Google Cloud para mais informações sobre o que é ativado automaticamente e o que exige configuração adicional.
3. Ative a descoberta dos recursos que você quer proteger com a Proteção com IA.

Ativar e configurar Google Cloud serviços

Depois de ativar o Security Command Center Enterprise, habilite e configure outros serviços do Google Cloud para usar todos os recursos da Proteção de IA.

Os seguintes serviços são ativados automaticamente:

• Serviço de descoberta de IA
• Simulações de caminho de ataque
• Registros de auditoria do Cloud
• Cloud Monitoring
• Event Threat Detection
• Gerenciamento da postura de segurança de dados
• Gerente de compliance

Os seguintes serviços são necessários para a Proteção com IA:

• Framework de proteção de IA no Gerenciador de compliance
• Model Armor

Alguns desses serviços exigem configuração adicional, conforme descrito nas seções a seguir.

Configurar o serviço de descoberta de IA

Para configurar o serviço AI Discovery, conceda o papel do IAM de leitor do Monitoring (roles/monitoring.viewer) à conta de serviço da organização do Security Command Center Enterprise.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as seguintes permissões ou papéis do IAM.

Papéis

• roles/monitoring.viewer

1. No console do Google Cloud , acesse a página IAM.

   Acessar IAM

2. Clique em Permitir acesso.

3. No campo Novos principais, insira a conta de serviço da organização do Security Command Center Enterprise. A conta de serviço usa o formato service-org-ORG_ID@security-center-api.gserviceaccount.com. Substitua ORG_ID pelo ID da sua organização.

4. No campo Selecionar um papel, escolha Leitor do Monitoring.

5. Clique em Salvar.

Configurar controles avançados de nuvem do DSPM

Configure o DSPM com controles avançados de nuvem para acesso, fluxo e proteção de dados. Para mais informações, consulte Implantar controles avançados de segurança de dados na nuvem.

Ao criar um framework personalizado que se aplica a cargas de trabalho de IA, adicione estes controles de nuvem:

• Governança de acesso a dados: restringe o acesso a dados sensíveis a principais específicos, como usuários ou grupos. Você especifica principais permitidos usando a sintaxe do identificador principal do IAM v2. Por exemplo, crie uma política para permitir que apenas membros de gdpr-processing-team@example.com acessem recursos específicos.
• Governança de fluxo de dados: restringe o fluxo de dados a regiões específicas. Por exemplo, crie uma política para permitir que os dados sejam acessados apenas dos EUA ou da UE. Você especifica os códigos de país permitidos usando o Common Locale Data Repository (CLDR) do Unicode.
• Proteção de dados (com CMEK): identifique recursos criados sem chaves de criptografia gerenciadas pelo cliente (CMEK) e receba recomendações. Por exemplo, é possível criar uma política para detectar recursos criados sem CMEK para storage.googleapis.com e bigquery.googleapis.com. Essa política detecta recursos não criptografados, mas não impede que eles sejam criados.

Configurar o Model Armor

1. Ative o serviço modelarmor.googleapis.com para cada projeto que usa atividade de IA generativa. Para mais informações, consulte Começar a usar o Model Armor.
2. Configure as seguintes opções para definir as configurações de segurança para comandos e respostas de modelos de linguagem grandes (LLMs):
   • Model Armor templates: crie um modelo de proteção de modelo. Esses modelos definem os tipos de riscos a serem detectados, como dados sensíveis, injeções de comandos e detecção de jailbreak. Eles também definem os limites mínimos para esses filtros.
   • Filtros: o Model Armor usa vários filtros para identificar riscos, incluindo detecção de URLs maliciosos, detecção de injeção de comandos e jailbreak e proteção de dados sensíveis.
   • Configurações mínimas: configure as configurações mínimas no nível do projeto para estabelecer a proteção padrão de todos os modelos do Gemini.

Configurar o Notebook Security Scanner

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as seguintes permissões ou papéis do IAM.

Papéis

• Dataform Viewer

1. Ative o serviço Notebook Security Scanner para sua organização. Para mais informações, consulte Ativar o Notebook Security Scanner.
2. Conceda o papel de Leitor do Dataform (roles/dataform.viewer) a notebook-security-scanner-prod@system.gserviceaccount.com em todos os projetos que contêm notebooks.

Configurar a proteção de dados sensíveis

Ative a API dlp.googleapis.com para seu projeto e configure a Proteção de Dados Sensíveis para verificar dados sensíveis.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as seguintes permissões ou papéis do IAM.

Papéis

• DLP Reader
• DLP Data Profiles Admin

1. Enable the Data Loss Prevention API.

   Enable the API

2. Conceda os papéis DLP Reader e DLP Data Profiles Admin aos usuários da Proteção de IA.

3. Configure a Proteção de Dados Sensíveis para verificar se há dados sensíveis.

Opcional: configurar outros recursos de alto valor

Para criar uma configuração de valor de recurso, siga as etapas em Criar uma configuração de valor de recurso.

Quando a próxima simulação de caminho de ataque for executada, ela vai abranger o conjunto de recursos de alto valor e gerar caminhos de ataque.

A seguir

• Visão geral da Proteção de IA
• Gerenciamento da postura de segurança de dados
• Configurar o Model Armor