Nesta página, descrevemos os dados de segurança de infraestrutura que se aplicam ao Security Command Center.
Processamento de dados
Quando você se inscreve no Security Command Center,o Google Cloud processa informações relacionadas aos serviços do Google Cloud que você usa, incluindo:
- a configuração e os metadados associados aos recursos do Google Cloud.
- A configuração e os metadados para suas políticas de gerenciamento de identidade e acesso (IAM) e usuários
- Padrões e uso de acesso à API no nívelGoogle Cloud
- Conteúdo do Cloud Logging para sua organização Google Cloud
- Metadados do Security Command Center, incluindo configurações de serviço e descobertas de segurança
O Security Command Center processa dados relacionados aos registros e recursos de nuvem que você configurar para serem verificados ou monitorados, incluindo telemetria e outros dados, para fornecer descobertas e melhorar o serviço.
Para proteger seus recursos contra ameaças novas e em constante evolução, o Security Command Center analisa dados relacionados a recursos configurados incorretamente, indicadores de comprometimento em registros e vetores de ataque. Essa atividade pode incluir o processamento para melhorar modelos de serviço, recomendações para aumentar a proteção do ambiente do cliente, a eficácia e a qualidade dos serviços e a experiência do usuário. Se você quiser usar o serviço sem que seus dados sejam tratados para melhorá-lo, entre em contato com o suporte doGoogle Cloud para desativá-lo. Alguns recursos que dependem da telemetria de segurança podem não estar disponíveis se você desativar. Alguns exemplos são detecções personalizadas sob medida para seu ambiente e melhorias de serviço que incorporam suas configurações de serviço.
Os dados são criptografados em repouso e em trânsito entre sistemas internos. Além disso, os controles de acesso a dados do Security Command Center são compatíveis com a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) e outras Google Cloud ofertas de compliance.
Como limitar dados confidenciais
Os administradores e outros usuários privilegiados da sua organização precisam ter o cuidado adequado ao adicionar dados ao Security Command Center.
O Security Command Center permite que usuários privilegiados adicionem informações descritivas aos recursos doGoogle Cloud e às descobertas geradas pelas verificações. Em alguns casos, os usuários podem retransmitir acidentalmente dados confidenciais ao usar o produto, por exemplo, adicionar nomes de clientes ou números de contas a descobertas. Para proteger seus dados, evite adicionar informações confidenciais ao nomear ou anotar recursos.
Como proteção extra, o Security Command Center pode ser integrado à Proteção de dados sensíveis. A Proteção de dados sensíveis descobre, classifica e mascara dados sensíveis e informações pessoais, como números de cartões de crédito, CPFs ou CNPJs e credenciais do Google Cloud .
Dependendo da quantidade de informações, os custos da Proteção de dados sensíveis podem ser significativos. Siga as práticas recomendadas para manter os custos da Proteção de dados sensíveis sob controle.
Para orientações sobre como configurar o Security Command Center, incluindo o gerenciamento de recursos, consulte Como otimizar o Security Command Center.
Retenção de dados
Os dados processados pelo Security Command Center são capturados e armazenados em descobertas que identificam ameaças, vulnerabilidades e configurações incorretas nos recursos e nos ativos da sua organização, pastas e projetos. As descobertas contêm uma série de snapshots diários que capturam o estado e as propriedades de uma descoberta a cada dia.
A tabela a seguir mostra os períodos de retenção das descobertas no Security Command Center.
| Descoberta | Período de armazenamento |
|---|---|
| Vulnerabilidade inativa | 7 dias |
| Configuração incorreta inativa | 30 dias |
| Tudo ativo (exceto ameaças) | Excluído após o seguinte período:
|
| Todas as outras descobertas | 90 dias |
Uma descoberta é mantida no Security Command Center, desde que tenha um snapshot dentro do período de armazenamento aplicável. Para manter as descobertas e todos os dados delas por períodos mais longos, exporte-os para outro local de armazenamento. Para saber mais, consulte Como exportar dados do Security Command Center.
Qualquer descoberta de terceiros será excluída quando o tempo de criação exceder o período de armazenamento. As descobertas geradas por engano ou sem valor de segurança, risco ou compliance podem ser excluídas a qualquer momento.
Para todos os níveis, uma exceção aos períodos de retenção se aplica quando uma organização é excluída do Google Cloud. Quando uma organização é excluída, todas as descobertas derivadas dela, das pastas e dos projetos são excluídas dentro do período de armazenamento documentado em Exclusão de dados no Google Cloud.
Se um projeto for excluído, as descobertas dele não serão excluídas ao mesmo tempo. Em vez disso, serão retidas para a capacidade de auditoria da organização que continha o projeto excluído. O período de armazenamento depende do nível que estava ativo no projeto excluído: 13 meses para os níveis Enterprise e Premium ou 35 dias para o nível Standard.
Se você excluir um projeto e precisar excluir todas as descobertas dele ao mesmo tempo, entre em contato com o Cloud Customer Care, que pode iniciar a exclusão antecipada de todas as descobertas do projeto para você.
Segurança da infraestrutura
O Security Command Center é baseado na mesma infraestrutura que o Google usa para os próprios serviços corporativos e voltados ao consumidor. A segurança em camadas da nossa infraestrutura é projetada para proteger todos os serviços, dados, comunicações e operações no Google Cloud.
Para saber mais sobre a segurança da infraestrutura do Google, consulte Visão geral do design de segurança da infraestrutura do Google.
A seguir
Para saber mais sobre os recursos e benefícios do Security Command Center, consulte a Visão geral do Security Command Center.
Saiba mais sobre como usar o Security Command Center.