此页面由 Cloud Translation API 翻译。

数据和基础架构安全概览

本页面介绍适用于 Security Command Center 的数据和基础架构安全性。

数据处理

当您注册 Security Command Center 时，Google Cloud 会处理与您所用的 Google Cloud 服务相关的信息，包括：

与您的 Google Cloud 资源关联的配置和元数据
Identity and Access Management (IAM) 政策和用户的配置和元数据
Google Cloud 级层 API 访问模式和用法
适用于 Google Cloud 组织的 Cloud Logging 内容
Security Command Center 元数据，包括服务设置和安全发现结果

Security Command Center 会处理与您配置来扫描或监控的云日志和资源相关的数据，包括遥测数据和其他数据，以提供发现结果并改进服务。

为了保护资源免受新威胁和不断演变的威胁的影响，Security Command Center 会分析与配置错误的资源相关的数据、日志中的失陷指标和攻击途径。这些活动可能包括用于改进服务模型的处理、强化客户环境安全的建议、服务的有效性和质量以及用户体验。如果您希望在不处理您的数据以改进服务的情况下使用服务，可以与 Google Cloud 支持团队联系。如果您选择不处理您的数据，则可能无法使用某些依赖于安全遥测的功能。此类示例包括为您的环境量身定制的自定义检测，以及包含您的服务配置的服务改进。

系统会对数据进行静态加密以及对内部系统之间传输的数据进行加密。此外，Security Command Center 的数据访问权限控制符合《健康保险流通与责任法案》(HIPAA) 和其他 Google Cloud 合规性要求。

限制敏感数据

组织中的管理员和其他特权用户在向 Security Command Center 添加数据时必须小心谨慎。

通过 Security Command Center，特权用户可向 Google Cloud 资源以及扫描生成的发现结果添加描述性信息。在某些情况下，用户在使用产品时可能会在无意间中继敏感数据，例如向发现结果添加客户名称或账号。为了保护您的数据，我们建议您在命名或注释资产时避免添加敏感信息。

作为一项额外的保护措施，Security Command Center 可与敏感数据保护集成。敏感数据保护会发现、分类和遮盖敏感数据和个人信息，例如信用卡号、社会保障号和 Google Cloud 凭据。

敏感数据保护费用可能相当大，具体取决于信息的数量。请遵循控制敏感数据保护费用的最佳实践。

如需了解如何设置 Security Command Center（包括管理资源），请参阅优化 Security Command Center。

数据保留

Security Command Center 处理的数据会捕获并存储在发现结果中，这些发现结果用于标识组织、文件夹和项目内的资源和资产中的威胁、漏洞和错误配置。发现结果包含一系列每日快照，其中捕获每天发现结果的状态和属性。

使用高级层级和企业版层级，Security Command Center 会将发现结果快照存储 13 个月。如果是标准层级，Security Command Center 会将发现结果快照存储 35 天。保留期限过后，发现结果快照及其数据将从 Security Command Center 数据库中删除，并且无法恢复。这会导致发现结果中的快照变少，从而限制了查看发现结果历史记录及其随时间变化情况的能力。

只要发现结果至少包含一个在适用保留期限内的快照，该发现结果就会保留在 Security Command Center 中。如需将发现结果及其所有数据保留更长时间，请将发现结果及其所有数据导出到其他存储位置。如需了解详情，请参阅导出 Security Command Center 数据。

对于所有层级，从 Google Cloud 中删除组织时，都会应用保留期限的例外情况。删除组织后，源自该组织及其文件夹和项目的所有发现结果都将在 Google Cloud 上的数据删除中记录的保留期限内删除。

如果在组织内的一个或多个项目中激活了 Security Command Center，而整个组织中未启用，则各个项目的发现结果在高级层级保留 13 个月，在标准层级保留 35 天。Enterprise 层级不支持项目级激活。删除项目后，系统不会同时删除该项目中的发现结果，但会保留所删除项目的组织的可审核性要求。保留期限取决于已删除的项目中处于活动状态的层级：优质层级为 13 个月，标准层级为 35 天。

如果您删除项目并需要同时删除项目的所有发现结果，请与 Cloud Customer Care 联系，他们可以为您提前删除项目中的所有发现结果。

基础架构安全

Security Command Center 构建于 Google 用于自己的消费者和企业服务的基础架构之上。我们基础架构的分层安全性旨在保护 Google Cloud 中的所有服务、数据、通信和运营。

如需详细了解 Google 的基础架构安全，请参阅 Google 基础架构安全设计概览。

后续步骤

要了解 Security Command Center 的功能和优势，请参阅 Security Command Center 概览。
详细了解如何使用 Security Command Center。