数据和基础架构安全概览

本页面介绍适用于 Security Command Center 的数据和基础架构安全性。

数据处理

当您注册 Security Command Center 时,Google Cloud 会处理与您所用的 Google Cloud 服务相关的信息,包括:

  • 与您的 Google Cloud 资源关联的配置和元数据
  • Identity and Access Management (IAM) 政策和用户的配置和元数据
  • Google Cloud 级层 API 访问模式和用法
  • 适用于 Google Cloud 组织的 Cloud Logging 内容
  • Security Command Center 元数据,包括服务设置和安全发现结果

Security Command Center 会处理与您配置来扫描或监控的云日志和资源相关的数据,包括遥测数据和其他数据,以提供发现结果并改进服务。

为了保护资源免受新威胁和不断演变的威胁的影响,Security Command Center 会分析与配置错误的资源相关的数据、日志中的失陷指标和攻击途径。这些活动可能包括用于改进服务模型的处理、强化客户环境安全的建议、服务的有效性和质量以及用户体验。如果您希望在不处理您的数据以改进服务的情况下使用服务,可以与 Google Cloud 支持团队联系。如果您选择不处理您的数据,则可能无法使用某些依赖于安全遥测的功能。此类示例包括为您的环境量身定制的自定义检测,以及包含您的服务配置的服务改进。

系统会对数据进行静态加密以及对内部系统之间传输的数据进行加密。此外,Security Command Center 的数据访问权限控制符合《健康保险流通与责任法案》(HIPAA) 和其他 Google Cloud 合规性要求

限制敏感数据

组织中的管理员和其他特权用户在向 Security Command Center 添加数据时必须小心谨慎。

通过 Security Command Center,特权用户可向 Google Cloud 资源以及扫描生成的发现结果添加描述性信息。在某些情况下,用户在使用产品时可能会在无意间中继敏感数据,例如向发现结果添加客户名称或账号。为了保护您的数据,我们建议您在命名或注释资产时避免添加敏感信息。

作为一项额外的保护措施,Security Command Center 可与敏感数据保护集成。敏感数据保护会发现、分类和遮盖敏感数据和个人信息,例如信用卡号、社会保障号和 Google Cloud 凭据。

敏感数据保护费用可能相当大,具体取决于信息的数量。请遵循控制敏感数据保护费用的最佳实践。

如需了解如何设置 Security Command Center(包括管理资源),请参阅优化 Security Command Center

数据保留

Security Command Center 处理的数据会捕获并存储在发现结果中,这些发现结果用于标识组织、文件夹和项目内的资源和资产中的威胁、漏洞和错误配置。发现结果包含一系列每日快照 用于捕获每天发现结果的状态和属性。

使用高级层级和企业层级,Security Command Center 会存储 13 个月。标准层级的 Security Command Center 将发现结果快照存储 35 天。保留期限过后,查找快照 及其数据会从 Security Command Center 数据库中删除,并且无法恢复。 这会减少发现结果中的快照, 限制查看发现结果历史记录及其随时间变化情况的功能。

只要发现结果至少包含一个 仍然在适用的保留期限内。将发现结果及其所有数据保留 可以将其导出到其他存储位置。如需了解详情,请参阅 导出 Security Command Center 数据

对于所有层级,当组织使用特定的保留期限时,可以应用相应的保留期限 已从以下位置删除 Google Cloud删除组织后,根据 组织及其文件夹和项目将在保留期限内删除 记录在 Google Cloud 上的数据删除

如果在组织内的一个或多个项目中激活了 Security Command Center,但未在 整个组织,每个项目的发现结果会保留 13 个月 高级层级为 35 天,标准层级为 35 天。企业版层级不支持 项目级激活。 删除项目后,项目中的发现结果不会同时删除, 而是出于确保所属组织的可审核性 删除项目。保留期限取决于 删除的项目:专业版层级为 13 个月,标准层级为 35 天。

如果您删除项目并需要同时删除项目的所有发现结果,请与 Cloud Customer Care 联系,他们可以为您提前删除项目中的所有发现结果。

基础架构安全

Security Command Center 构建于 Google 用于自己的消费者和企业服务的基础架构之上。Google Cloud 的 旨在保护所有服务、数据、通信、 Google Cloud 中的运维套件和运维套件。

如需详细了解 Google 的基础架构安全,请参阅 Google 基础架构安全设计概览

后续步骤