本頁面由 Cloud Translation API 翻譯而成。

資料與基礎架構安全性總覽

本頁說明適用於 Security Command Center 的資料和基礎架構安全措施。

資料處理

註冊 Security Command Center 時，系統會處理您所用 Google Cloud 服務的相關資訊，包括： Google Cloud

與 Google Cloud資源相關聯的設定和中繼資料
身分與存取權管理 (IAM) 政策和使用者的設定與中繼資料
Google Cloud層級的 API 存取模式和使用情況
貴機構的 Cloud Logging 內容 Google Cloud
Security Command Center 中繼資料，包括服務設定和安全性發現

Security Command Center 會處理您設定掃描或監控的雲端記錄和資產相關資料 (包括遙測資料和其他資料)，以提供發現項目並改善服務。因此，Google 會依據《Google Cloud 隱私權聲明》的條款，將掃描和監控報告視為服務資料處理。

為保護資產免於遭受不斷演變的新威脅，Security Command Center 會分析與設定錯誤的資產、記錄檔中的遭入侵指標和攻擊媒介相關的資料。這類活動可能包括處理資料，以改善服務模型、強化客戶環境的建議、服務的有效性和品質，以及使用者體驗。如果您不想讓系統處理資料以改善服務，可以聯絡Google Cloud 支援團隊選擇停用這項功能。如果您選擇停用，可能無法使用某些需要安全遙測資料的功能。例如根據您的環境量身打造的偵測功能，以及納入服務設定的服務改善項目。

無論是靜態資料或在內部系統間傳輸的資料，都會受到加密保護。此外，Security Command Center 的資料存取控制選項符合《健康保險流通與責任法案》(HIPAA) 和其他 Google Cloud 法規遵循服務。

限制機密資料

貴機構的管理員和其他具備權限的使用者，在將資料新增至 Security Command Center 時，必須採取適當的防護措施。

Security Command Center 可讓具備權限的使用者，為掃描產生的Google Cloud 資源和發現項目新增說明資訊。在某些情況下，使用者可能會在不知情的情況下，透過產品轉送機密資料，例如在調查結果中加入客戶姓名或帳號。為保護您的資料，建議您在命名或註解資產時，避免加入私密資訊。

此外，Security Command Center 也可與 Sensitive Data Protection 整合，提供額外防護。機密資料防護功能可偵測、分類及遮蓋機密資料和個人資訊，例如信用卡號碼、身分證字號和憑證。 Google Cloud

視資訊量而定，Sensitive Data Protection 費用可能相當高昂。請遵循控管 Sensitive Data Protection 費用的最佳做法。

如需設定 Security Command Center (包括管理資源) 的指引，請參閱「充分運用 Security Command Center」。

調查結果的資料保留期限

Security Command Center 處理的資料會擷取並儲存在發現項目中，這些發現項目會找出貴機構、資料夾和專案中資源和資產的威脅、安全漏洞和設定錯誤。調查結果包含一系列每日快照，可擷取每天的調查結果狀態和屬性。

下表列出 Security Command Center 發現項目的保留期限。

發現項目	保留期限
未解決的安全漏洞	7 天
設定錯誤 (已停用)	30 天
所有有效項目 (威脅除外)	在經過下列時間後刪除： 13 個月 (Enterprise 和 Premium) 35 天 (標準)
所有其他發現項目	90 天

只要發現項目包含至少一個仍處於適用保留期限內的快照，就會持續顯示在 Security Command Center 中。如要將發現項目和所有資料保留更久，請匯出至其他儲存位置。詳情請參閱「匯出 Security Command Center 資料」。

如果建立時間超過保留期限，系統就會刪除任何第三方發現項目。如果發現項目是錯誤產生，或沒有任何安全性、風險或法規遵循價值，系統隨時可能會刪除這類項目。

無論是哪個層級，如果機構從 Google Cloud刪除，資料保留期限都會有所例外。刪除機構後，系統會在保留期限內，刪除從該機構及其資料夾和專案衍生的所有調查結果。保留期限請參閱「Google Cloud 的資料刪除作業」一文。

如果刪除專案，系統不會同時刪除專案的發現項目，而是會保留這些項目，以利稽核包含已刪除專案的機構。保留期限取決於已刪除專案中啟用的層級：Enterprise 和 Premium 層級為 13 個月，Standard 層級則為 35 天。

如果您刪除專案，並需要同時刪除專案的所有發現項目，請聯絡 Cloud 客戶服務，他們可以為您提前刪除專案中的所有發現項目。

磁碟副本的資料保留時間

虛擬機器威脅偵測會建立 VM 永久磁碟的短期複製版本，並將這些版本儲存在 Google 擁有的專案中，如果是區域磁碟，則儲存在相同區域；如果是地區磁碟，則儲存在相同地區。VM 威脅偵測會在完成磁碟掃描活動並處理錯誤 (例如逾時) 後，在一小時內掃描並刪除磁碟副本。

基礎架構安全性

Security Command Center 採用的基礎架構，與 Google 用於自家消費者和企業服務的基礎架構相同。我們的基礎架構採用層級式安全措施，可保護 Google Cloud中的所有服務、資料、通訊和作業。

如要進一步瞭解 Google 的基礎架構安全性，請參閱 Google 基礎架構安全性設計總覽。

後續步驟

如要瞭解 Security Command Center 的功能和優點，請參閱「Security Command Center 總覽」。
進一步瞭解如何使用 Security Command Center。