Visão geral da segurança de dados e infraestrutura

Nesta página, descrevemos os dados de segurança de infraestrutura que se aplicam ao Security Command Center.

Processamento de dados

Quando você se inscreve no Security Command Center, o Google Cloud processa informações relacionadas aos serviços do Google Cloud que você usa, incluindo:

  • a configuração e os metadados associados aos recursos do Google Cloud.
  • A configuração e os metadados para suas políticas de gerenciamento de identidade e acesso (IAM) e usuários
  • Padrões e uso de acesso à API no nível do Google Cloud
  • Conteúdo do Cloud Logging para sua organização do Google Cloud
  • Metadados do Security Command Center, incluindo configurações de serviço e descobertas de segurança

O Security Command Center processa dados relacionados aos registros e recursos de nuvem que você configurar para serem verificados ou monitorados, incluindo telemetria e outros dados, para fornecer descobertas e melhorar o serviço.

Para proteger seus recursos contra ameaças novas e em constante evolução, o Security Command Center analisa dados relacionados a recursos configurados incorretamente, indicadores de comprometimento em registros e vetores de ataque. Essa atividade pode incluir o processamento para melhorar modelos de serviço, recomendações para aumentar a proteção do ambiente do cliente, a eficácia e a qualidade dos serviços e a experiência do usuário. Se você quiser usar o serviço sem que seus dados sejam processados para melhorá-lo, entre em contato com o suporte do Google Cloud para desativá-lo. Alguns recursos que dependem da telemetria de segurança podem não estar disponíveis se você desativar. Alguns exemplos são detecções personalizadas sob medida para seu ambiente e melhorias de serviço que incorporam suas configurações de serviço.

Os dados são criptografados em repouso e em trânsito entre sistemas internos. Além disso, os controles de acesso a dados do Security Command Center são em conformidade Com a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA, na sigla em inglês) e outras soluções do Google Cloud ofertas de conformidade de dados.

Como limitar dados confidenciais

Os administradores e outros usuários privilegiados da sua organização precisam ter o cuidado adequado ao adicionar dados ao Security Command Center.

O Security Command Center permite que usuários privilegiados adicionem informações descritivas aos recursos do Google Cloud e às descobertas geradas pelas verificações. Em alguns casos, os usuários podem retransmitir acidentalmente dados confidenciais ao usar o produto, por exemplo, adicionar nomes de clientes ou números de contas a descobertas. Para proteger seus dados, evite adicionar informações confidenciais ao nomear ou anotar recursos.

Como proteção extra, o Security Command Center pode ser integrado à Proteção de dados sensíveis. A Proteção de dados sensíveis descobre, classifica e mascara dados sensíveis e informações pessoais, como números de cartões de crédito, CPFs ou CNPJs e credenciais do Google Cloud.

Dependendo da quantidade de informações, os custos da Proteção de dados sensíveis podem ser significativos. Siga as práticas recomendadas para manter os custos da Proteção de dados sensíveis sob controle.

Para orientações sobre como configurar o Security Command Center, incluindo o gerenciamento de recursos, consulte Como otimizar o Security Command Center.

Retenção de dados

Os dados processados pelo Security Command Center são capturados e armazenados em descobertas que identificam ameaças, vulnerabilidades e configurações incorretas nos recursos e nos ativos da sua organização, pastas e projetos. As descobertas contêm uma série de snapshots que capturam o estado e as propriedades de uma descoberta sempre que o registro dela é atualizado.

O Security Command Center armazena snapshots por 13 meses. Depois de 13 meses, os snapshots de descoberta e os respectivos dados são excluídos do banco de dados do Security Command Center e não podem ser recuperados. Isso resulta em menos snapshots em uma descoberta, limitando a capacidade de visualizar o histórico de uma descoberta e como ela muda ao longo do tempo.

Uma descoberta é mantida no Security Command Center, desde que tenha um snapshot de menos de 13 meses. Para manter as descobertas e todos os dados deles por períodos mais longos, exporte-os para outro local de armazenamento. Para saber mais, acesse Como exportar dados do Security Command Center.

Uma exceção é o período de armazenamento de 13 meses, quando uma organização é excluída do Google Cloud. Quando uma organização é excluída, todas as descobertas derivadas dela, das pastas e dos projetos são excluídas até 30 dias após a exclusão da organização.

Se o Security Command Center estiver ativado em um ou mais projetos de uma organização, mas não na organização como um todo, as descobertas de cada projeto individual são mantidas por 13 meses. Se um projeto for excluído, as descobertas dele não são excluídas ao mesmo tempo. Em vez disso, são retidas por 13 meses para a auditoria da organização que o projeto excluído.

Se você excluir um projeto e precisar excluir todas as descobertas dele ao mesmo tempo, entre em contato com o Cloud Customer Care, que pode iniciar a exclusão antecipada de todas as descobertas do projeto para você.

Segurança da infraestrutura

O Security Command Center é baseado na mesma infraestrutura que o Google usa para os próprios serviços corporativos e voltados ao consumidor. A segurança em camadas da nossa infraestrutura é projetada para proteger todos os serviços, dados, comunicações e operações no Google Cloud.

Para saber mais sobre a segurança da infraestrutura do Google, consulte Visão geral do design de segurança da infraestrutura do Google.

A seguir