보안 AI의 사전 정의된 상황, 필수 요소

이 페이지에서는 보안 AI를 위한 사전 정의된 상황(필수 요소)의 v1.0 버전에 포함된 예방 및 감지 정책에 대해 설명합니다. 이 상황에는 두 가지 정책 집합이 포함됩니다.

Vertex AI 워크로드에 적용되는 조직 정책을 포함하는 정책 집합
Vertex AI 워크로드에 적용되는 커스텀 Security Health Analytics 감지기를 포함하는 정책 집합

이 상황을 사용해서 Gemini 및 Vertex AI 리소스 보호에 도움이 되는 보안 상황을 구성할 수 있습니다. 이 사전 정의된 상황은 변경하지 않고 배포할 수 있습니다.

정책	설명	규정 준수 표준
`ainotebooks.disableFileDownloads`	이 제약조건은 파일 다운로드 옵션을 사용 설정하여 Vertex AI Workbench 인스턴스를 만들 수 없도록 방지합니다. 기본적으로 파일 다운로드 옵션은 모든 Vertex AI Workbench 인스턴스에서 사용 설정할 수 있습니다. 값은 `true`이며 새로운 Vertex AI Workbench 인스턴스에서 파일 다운로드를 사용 중지합니다.	NIST SP 800-53 제어: AC-3(1)
`ainotebooks.disableRootAccess`	이 제약조건은 새로 만든 Vertex AI Workbench 사용자 관리 노트북 및 인스턴스에서 루트 액세스를 사용 설정하지 못하도록 방지합니다. 기본적으로 Vertex AI Workbench 사용자 관리형 노트북 및 인스턴스는 루트 액세스를 사용 설정할 수 있습니다. 값은 `true`이며 새로운 Vertex AI Workbench 사용자 관리 노트북 및 인스턴스에서 루트 액세스를 사용 중지합니다.	NIST SP 800-53 제어: AC-3 및 AC-6(2)
`ainotebooks.disableTerminal`	이 제약조건은 터미널을 사용 설정하여 Vertex AI Workbench 인스턴스를 만들 수 없도록 방지합니다. 기본적으로 터미널은 Vertex AI Workbench 인스턴스에서 사용 설정됩니다. 값은 `true`이며 새 Vertex AI Workbench 인스턴스에서 터미널을 사용 중지합니다.	NIST SP 800-53 제어: AC-3, AC-6, CM-2
`ainotebooks.requireAutoUpgradeSchedule`	이 제약조건은 새로 만든 Vertex AI Workbench 사용자 관리 노트북 및 인스턴스에 자동 업그레이드 예약이 설정되도록 지정합니다. 값은 `true`이며 새로운 Vertex AI Workbench 사용자 관리 노트북 및 인스턴스에 자동 예약 업그레이드가 필요합니다.	NIST SP 800-53 제어: AU-9, CM-2, CM-6
`ainotebooks.restrictPublicIp`	이 제약조건은 새로 만든 Vertex AI Workbench 노트북 및 인스턴스에 대한 공개 IP 액세스를 제한합니다. 기본적으로 공개 IP 주소는 Vertex AI Workbench 노트북 및 인스턴스에 액세스할 수 있습니다. 값은 `true`이며 새로운 Vertex AI Workbench 노트북 및 인스턴스에서 공개 IP 주소를 제한합니다.	NIST SP 800-53 제어: AC-3, AC-4, SC-7

Security Health Analytics 감지기

다음 표에서는 사전 정의된 상황에 포함되는 Security Health Analytics의 커스텀 모듈에 대해 설명합니다.

검사 프로그램 이름	적용 가능한 리소스	설명	규정 준수 표준
vertexAIDataSetCMEKDisabled	`aiplatform.googleapis.com/Dataset`	이 감지기는 데이터 세트가 고객 관리 암호화 키(CMEK)를 사용해서 암호화되지 않았는지 확인합니다. 이 발견 항목을 해결하려면 데이터 세트를 만들 때 키 및 키링을 만들었고, 권한을 설정하고, 키를 제공했는지 확인합니다. 자세한 내용은 리소스의 CMEK 구성을 참조하세요.	NIST SP 800-53 제어: SC12 및 SC13
vertexAIModelCMEKDisabled	`aiplatform.googleapis.com/Model`	이 감지기는 모델이 CMEK를 사용해서 암호화되지 않았는지 여부를 확인합니다. 이 발견 항목을 해결하려면 모델을 만들 때 키 및 키링을 만들었고, 권한을 설정하고, 키를 제공했는지 확인합니다. 자세한 내용은 리소스의 CMEK 구성을 참조하세요.	NIST SP 800-53 제어: SC12 및 SC13
vertexAIEndpointCMEKDisabled	`aiplatform.googleapis.com/Endpoint`	이 감지기는 엔드포인트가 CMEK를 사용하여 암호화되지 않았는지 여부를 확인합니다. 이 발견 항목을 해결하려면 엔드포인트를 만들 때 키 및 키링을 만들었고, 권한을 설정하고, 키를 제공했는지 확인합니다. 자세한 내용은 리소스의 CMEK 구성을 참조하세요.	NIST SP 800-53 제어: SC12 및 SC13
vertexAITrainingPipelineCMEKDisabled	`aiplatform.googleapis.com/TrainingPipeline`	이 감지기는 학습 파이프라인이 CMEK를 사용하여 암호화되지 않았는지 여부를 확인합니다. 이 발견 항목을 해결하려면 학습 파이프라인을 만들 때 키 및 키링을 만들었고, 권한을 설정하고, 키를 제공했는지 확인합니다. 자세한 내용은 리소스의 CMEK 구성을 참조하세요.	NIST SP 800-53 제어: SC12 및 SC13
vertexAIDataLabelingJobCMEKDisabled	`aiplatform.googleapis.com/DataLabelingJob`	이 감지기는 데이터 라벨이 CMEK를 사용하여 암호화되지 않았는지 여부를 확인합니다. 이 발견 항목을 해결하려면 데이터 라벨을 만들 때 키 및 키링을 만들었고, 권한을 설정하고, 키를 제공했는지 확인합니다. 자세한 내용은 리소스의 CMEK 구성을 참조하세요.	NIST SP 800-53 제어: SC12 및 SC13
vertexAICustomJobCMEKDisabled	`aiplatform.googleapis.com/CustomJob`	이 감지기는 커스텀 워크로드를 실행하는 작업이 CMEK를 사용하여 암호화되지 않았는지 여부를 확인합니다. 이 발견 항목을 해결하려면 커스텀 작업을 만들 때 키 및 키링을 만들었고, 권한을 설정하고, 키를 제공했는지 확인합니다. 자세한 내용은 리소스의 CMEK 구성을 참조하세요.	NIST SP 800-53 제어: SC12 및 SC13
vertexAIDataLabelingJobHyperparameterTuningJobCMEKDisabled	`aiplatform.googleapis.com/HyperparameterTuningJob`	이 감지기는 초매개변수 조정 작업이 CMEK를 사용하여 암호화되지 않았는지 여부를 확인합니다. 이 발견 항목을 해결하려면 초매개변수 조정 작업을 만들 때 키 및 키링을 만들었고, 권한을 설정하고, 키를 제공했는지 확인합니다. 자세한 내용은 리소스의 CMEK 구성을 참조하세요.	NIST SP 800-53 제어: SC12 및 SC13

상황 템플릿 보기

보안 AI(필수 요소)의 상황 템플릿을 보려면 다음 안내를 따르세요.

gcloud

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

ORGANIZATION_ID: 조직의 숫자 ID

gcloud scc posture-templates describe 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_essential

Windows(PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_essential

Windows(cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_essential

응답에 상황 템플릿이 포함됩니다.

REST

요청 데이터를 사용하기 전에 다음을 바꿉니다.

ORGANIZATION_ID: 조직의 숫자 ID

HTTP 메서드 및 URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_essential

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

다음 명령어를 실행합니다.

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_essential"

PowerShell(Windows)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_essential" | Select-Object -Expand Content

응답에 상황 템플릿이 포함됩니다.

다음 단계

이 사전 정의된 상황을 사용하여 보안 상황 만들기