本頁說明適用於 Security Command Center 的資料和基礎架構安全措施。
資料處理
註冊使用 Security Command Center 時,系統會處理您所用 Google Cloud 服務的相關資訊,包括: Google Cloud
- 與 Google Cloud資源相關聯的設定和中繼資料
- 身分與存取權管理 (IAM) 政策和使用者的設定與中繼資料
- Google Cloud層級的 API 存取模式和使用情況
- 貴機構的 Cloud Logging 內容 Google Cloud
- Security Command Center 中繼資料,包括服務設定和安全性發現
Security Command Center 會處理您設定掃描或監控的雲端記錄和資產相關資料 (包括遙測資料和其他資料),以提供發現項目並改善服務。
為保護資產免於遭受不斷演變的新威脅,Security Command Center 會分析與設定錯誤的資產、記錄檔中的遭入侵指標和攻擊媒介相關的資料。這類活動可能包括處理資料,以改善服務模型、強化客戶環境的建議、服務的有效性和品質,以及使用者體驗。如果您不想讓系統處理您的資料,以利改善服務,可以聯絡Google Cloud 支援團隊選擇停用這項功能。如果您選擇停用,可能無法使用某些需要安全遙測資料的功能。例如根據您的環境量身打造的偵測功能,以及納入服務設定的服務改善項目。
無論是靜態資料或在內部系統間傳輸的資料,都會受到加密保護。此外,Security Command Center 的資料存取控制選項符合《健康保險流通與責任法案》(HIPAA) 和其他 Google Cloud 法規遵循服務。
限制機密資料
貴機構的管理員和其他具備權限的使用者,在將資料新增至 Security Command Center 時,必須採取適當的防護措施。
Security Command Center 可讓具備權限的使用者,為掃描產生的Google Cloud 資源和發現項目新增說明資訊。在某些情況下,使用者可能會在不知情的情況下,透過產品轉送機密資料,例如在調查結果中加入客戶姓名或帳號。為保護您的資料,建議您在命名或註解資產時,避免加入私密資訊。
為進一步防護,Security Command Center 可與 Sensitive Data Protection 整合。機密資料防護功能可偵測、分類及遮蓋機密資料和個人資訊,例如信用卡號碼、身分證字號和憑證。 Google Cloud
視資訊量而定,Sensitive Data Protection 費用可能相當高昂。請遵循控管 Sensitive Data Protection 費用的最佳做法。
如需設定 Security Command Center 的相關指引 (包括管理資源),請參閱「充分運用 Security Command Center」。
資料保留
Security Command Center 處理的資料會擷取並儲存在發現項目中,這些發現項目會找出貴機構、資料夾和專案中資源和資產的威脅、安全漏洞和設定錯誤。調查結果包含一系列每日快照,可擷取每天的調查結果狀態和屬性。
下表列出 Security Command Center 發現項目的保留期限。
發現項目 | 保留期限 |
---|---|
未解決的安全漏洞 | 7 天 |
設定錯誤 (已停用) | 30 天 |
所有有效內容 (威脅除外) | 在經過下列時間後刪除:
|
所有其他發現項目 | 90 天 |
只要 Security Command Center 發現的項目包含至少一個快照,且該快照仍在適用的保留期限內,該項目就會持續存在。如要將發現項目和所有資料保留更久,請匯出至其他儲存位置。詳情請參閱「匯出 Security Command Center 資料」。
如果建立時間超過保留期限,系統就會刪除任何第三方發現項目。如果發現項目是錯誤產生,或沒有任何安全性、風險或法規遵循價值,系統隨時可能會刪除這類項目。
無論是哪個層級,如果機構從 Google Cloud刪除,資料保留期限都會有所例外。刪除機構後,系統會在保留期限內,刪除從該機構及其資料夾和專案衍生的所有調查結果。保留期限請參閱「Google Cloud 的資料刪除作業」一文。
如果刪除專案,系統不會同時刪除專案的發現項目,而是會保留這些項目,以利稽核包含已刪除專案的機構。保留期限取決於已刪除專案中啟用的層級:Enterprise 和 Premium 層級為 13 個月,Standard 層級則為 35 天。
如果您刪除專案,並需要同時刪除專案的所有發現項目,請聯絡 Cloud 客戶服務,他們可以為您提前刪除專案中的所有發現項目。
基礎架構安全性
Security Command Center 採用的基礎架構,與 Google 用於自家消費者和企業服務的基礎架構相同。我們的基礎架構採用層級式安全措施,可保護 Google Cloud中的所有服務、資料、通訊和作業。
如要進一步瞭解 Google 的基礎架構安全性,請參閱 Google 基礎架構安全性設計總覽。
後續步驟
如要瞭解 Security Command Center 的功能和優點,請參閱「Security Command Center 總覽」。
進一步瞭解如何使用 Security Command Center。