Datenstandort planen

Mit dem Datenstandort haben Sie mehr Kontrolle darüber, wo Ihre Security Command Center-Daten gespeichert werden. Auf dieser Seite finden Sie wichtige Informationen dazu, wie Security Command Center den Datenstandort unterstützt.

Die folgenden Definitionen gelten für diese Seite:

Unterstützte Speicherorte für Daten

Security Command Center unterstützt nur die folgenden Google Cloud-Multiregionen als Speicherorte für Daten:

Europäische Union (eu)
Die Daten befinden sich in einer beliebigen Google Cloud-Region in Mitgliedsstaaten der Europäischen Union.
Vereinigte Staaten (us)
Die Daten befinden sich in einer beliebigen Google Cloud-Region in den USA.
Saudi-Arabien (sa)
Die Daten befinden sich in einer beliebigen Google Cloud-Region in Saudi-Arabien.
Landesweit (global)
Daten können sich in einer beliebigen Google Cloud-Region befinden. Wenn die Funktion „Speicherort der Daten“ nicht aktiviert ist, ist „Global“ (global) der einzige unterstützte Speicherort.

Weitere Informationen zu Security Command Center-Standorten finden Sie unter Produktverfügbarkeit nach Standort.

Wenn Sie einen Standardspeicherort für die Datenspeicherung angeben möchten, der vom Security Command Center nicht unterstützt wird, wenden Sie sich an Ihren Account Manager oder einen Google Cloud-Vertriebsexperten.

Anforderungen an den Datenstandort

Sie können den Datenstandort nur aktivieren, wenn Sie die Standard- oder Premium-Stufe von Security Command Center in einer Organisation zum ersten Mal aktivieren. Die Enterprise-Stufe unterstützt keine Datenspeicherorte.

Nachdem der Datenstandort aktiviert wurde, können Sie ihn nicht mehr deaktivieren oder Ihren Standardspeicherort ändern.

Für die Datenspeicherung müssen Sie die Security Command Center v2 API verwenden. Wenn die Datenspeicherorte aktiviert sind, können Sie keine älteren Versionen der Security Command Center API verwenden.

Wenn Sie den Datenstandort nicht aktivieren, wenn Sie Security Command Center aktivieren, werden Ihre Daten nicht auf einen bestimmten Speicherort beschränkt und gemäß den Nutzungsbedingungen für die Google Cloud Platform gespeichert.

Regionale URLs

Für das Königreich Saudi-Arabien (KSA) müssen Sie standortspezifische URLs verwenden, um auf die Google Cloud Console für die Gerichtsbarkeit zuzugreifen, sowie einige Methoden und Befehle in der gcloud CLI, den Cloud-Clientbibliotheken und der Security Command Center API:

Console

Verwenden Sie die Google Cloud Console für Ihre Gerichtsbarkeit unter https://console.sa.cloud.google.com/, um auf das Security Command Center zuzugreifen.

Über die Google Cloud Console für die Gerichtsbarkeit können Sie auf Security Command Center-Daten in Saudi-Arabien und weltweit zugreifen.

gcloud

Wenn Sie auf Daten im Standort Saudi-Arabien zugreifen möchten, müssen Sie für die folgenden Befehlsgruppen der gcloud CLI den regionalen Dienstendpunkt für die Security Command Center API verwenden:

Außerdem ist die Befehlsgruppe gcloud scc operations für lang andauernde Vorgänge am Standort Saudi-Arabien nicht verfügbar. So können Sie beispielsweise den Status eines lang andauernden Vorgangs nicht prüfen, um Ergebnisse im Bulk zu stummschalten.

Für alle anderen gcloud scc-Befehlsgruppen müssen Sie den Standarddienstendpunkt für die Security Command Center API verwenden.

Führen Sie den folgenden Befehl aus, um zum regionalen Dienstendpunkt zu wechseln:

gcloud config set api_endpoint_overrides/securitycenter \
    https://securitycenter.me-central2.rep.googleapis.com/

Führen Sie den folgenden Befehl aus, um zum Standarddienstendpunkt zu wechseln:

gcloud config unset api_endpoint_overrides/securitycenter

Alternativ können Sie eine benannte Konfiguration für die gcloud CLI erstellen, die den regionalen Dienstendpunkt verwendet. Wechseln Sie dann zu dieser benannten Konfiguration, bevor Sie Security Command Center-Befehle am Standort Saudi-Arabien ausführen. Führen Sie den Befehl gcloud config configurations activate aus, um zu einer benannten Konfiguration zu wechseln.

REST

Für den Standort Saudi-Arabien verwendet die Security Command Center API den regionalen Dienstendpunkt https://securitycenter.me-central2.rep.googleapis.com/.

Wenn Sie in Saudi-Arabien auf die folgenden REST API-Ressourcentypen zugreifen möchten, müssen Sie den regionalen Dienstendpunkt für das Security Command Center verwenden:

Außerdem können Sie keine Methoden für organizations.operations-Ressourcen am KSA-Standort aufrufen. So können Sie beispielsweise den Status eines lang andauernden Vorgangs nicht prüfen, um Ergebnisse im Bulk zu stummschalten.

Für alle anderen Ressourcentypen müssen Sie den Standarddienstendpunkt für die Security Command Center API verwenden: https://securitycenter.googleapis.com/.

Go

Wenn Sie die folgenden Ressourcentypen am Standort Saudi-Arabien verwalten möchten, müssen Sie den Standarddienstendpunkt überschreiben, wenn Sie einen Client für Security Command Center erstellen:

Verwenden Sie für diese Ressourcentypen den Endpunkt securitycenter.me-central2.rep.googleapis.com:443. Im folgenden Codebeispiel wird gezeigt, wie Sie einen Client erstellen, der einen regionalen Dienstendpunkt verwendet.

import (
	"context"
	"fmt"

	securitycenter "cloud.google.com/go/securitycenter/apiv2"
	"google.golang.org/api/option"
)

// createClientWithEndpoint creates a Security Command Center client for a
// regional endpoint.
func createClientWithEndpoint(repLocation string) error {
	// Assemble the regional endpoint URL using provided location.
	repEndpoint := fmt.Sprintf("securitycenter.%s.rep.googleapis.com:443", repLocation)
	// Instantiate client for regional endpoint. Use this client to access resources that
	// are subject to data residency controls, and that are located in the region
	// specified in repLocation.
	repCtx := context.Background()
	repClient, err := securitycenter.NewClient(repCtx, option.WithEndpoint(repEndpoint))
	if err != nil {
		return err
	}
	defer repClient.Close()

	return nil
}

Java

Wenn Sie die folgenden Ressourcentypen am Standort Saudi-Arabien verwalten möchten, müssen Sie den Standarddienstendpunkt überschreiben, wenn Sie einen Client für Security Command Center erstellen:

Verwenden Sie für diese Ressourcentypen den Endpunkt securitycenter.me-central2.rep.googleapis.com:443. Im folgenden Codebeispiel wird gezeigt, wie Sie einen Client erstellen, der einen regionalen Dienstendpunkt verwendet.


import com.google.cloud.securitycenter.v2.SecurityCenterClient;
import com.google.cloud.securitycenter.v2.SecurityCenterSettings;
import java.io.IOException;

public class CreateClientWithEndpoint {

  public static void main(String[] args) throws IOException {
    // TODO: Replace the value with the endpoint for the region in which your
    // Security Command Center data resides.
    String regionalEndpoint = "securitycenter.me-central2.rep.googleapis.com:443";
    SecurityCenterClient client = createClientWithEndpoint(regionalEndpoint);
    System.out.println("Client initiated with endpoint: " + client.getSettings().getEndpoint());
  }

  // Creates Security Command Center client for a regional endpoint.
  public static SecurityCenterClient createClientWithEndpoint(String regionalEndpoint)
      throws java.io.IOException {
    SecurityCenterSettings regionalSettings =
        SecurityCenterSettings.newBuilder().setEndpoint(regionalEndpoint).build();
    return SecurityCenterClient.create(regionalSettings);
  }
}

Wenn der Datenstandort erzwungen wird

Wenn Sie den Datenstandort für Security Command Center aktivieren, werden einige Security Command Center-Daten an einem bestimmten Speicherort aufbewahrt, wenn sie sich in einem der folgenden Status befinden:

Datenstandort (im Ruhezustand)

Daten sind ruhend, wenn alle folgenden Kriterien erfüllt sind:

Wenn Sie den Datenstandort aktivieren, geschieht Folgendes in Security Command Center:

EU, USA und weltweit

KSA

  • Wenn ein Befund für eine Ressource erstellt wird, die sich in Saudi-Arabien befindet, wird dieser Befund immer inaktiv in Saudi-Arabien gespeichert.
  • Wenn ein Befund für eine Ressource erstellt wird, die sich an einem anderen Speicherort befindet, wird der Befund schließlich am Speicherort des KSA gespeichert. Die Daten befinden sich jedoch möglicherweise vorübergehend in einer anderen Region.
  • Wenn Sie bestimmte Arten von Konfigurationsressourcen am Standort in Saudi-Arabien erstellen und diese Ressourcen inaktiv sind, befinden sie sich am Standort in Saudi-Arabien.
  • Wenn in Security Command Center Daten gespeichert werden, die keine Kundendaten sind, wie im Abschnitt Speicherort von Daten in den allgemeinen Nutzungsbedingungen für Google Cloud definiert, werden diese im Inaktivstatus gemäß den Nutzungsbedingungen für die Google Cloud Platform gespeichert.

Datenstandort für aktive Daten

Daten sind in Verwendung, wenn alle der folgenden Kriterien erfüllt sind:

  • Die Daten beziehen sich auf einen Ressourcentyp, der Kontrollen für den Datenstandort unterliegt.
  • In Google Cloud wird ein Vorgang abgeschlossen, der auf Ihren Antrag hin gestartet wurde, z. B. weil Ihre Anwendung die Security Command Center API aufgerufen hat, oder ein Vorgang, der Audit-Logs oder Access Transparency-Logs generiert.
  • Es ist möglich, dass Google Cloud die Daten so verarbeitet, dass die Bedeutung der Daten bekannt sein muss, z. B. durch Aktualisieren bestimmter Felder in einer Konfigurationsressource. Das gilt auch für alle Fälle, in denen Daten im Arbeitsspeicher nicht verschlüsselt sind.

Wenn Sie den Datenstandort aktivieren, geschieht Folgendes in Security Command Center:

EU, USA und weltweit

In der EU, in den USA und weltweit unterliegen die verwendeten Daten keinen Kontrollen hinsichtlich des Datenstandorts.

KSA

  • Wenn ein Befund für eine Ressource erstellt wird, die sich in Saudi-Arabien befindet, befindet sich dieser Befund immer am verwendeten Standort in Saudi-Arabien.
  • Wenn ein Ergebnis für eine Ressource erstellt wird, die sich an einem anderen Speicherort befindet, wird es am verwendeten Speicherort für KSA gespeichert. Die Abweichung kann sich jedoch vorübergehend in einer anderen Region befinden.
  • Wenn Sie bestimmte Arten von Konfigurationsressourcen am Standort in Saudi-Arabien erstellen und diese Ressourcen verwendet werden, befinden sie sich am Standort in Saudi-Arabien.
  • Wenn im Security Command Center Daten gespeichert werden, die keine Kundendaten sind, wie im Abschnitt Speicherort von Daten der Allgemeinen Nutzungsbedingungen für Google Cloud definiert, werden die verwendeten Daten gemäß den Nutzungsbedingungen der Google Cloud Platform gespeichert.

Datenstandort für Daten bei der Übertragung

Daten befinden sich in der Übertragung, wenn alle folgenden Kriterien erfüllt sind:

  • Die Daten beziehen sich auf einen Ressourcentyp, der Kontrollen für den Datenstandort unterliegt.
  • Die Daten werden verschlüsselt innerhalb des Google-Netzwerks übertragen oder sie befinden sich verschlüsselt im Arbeitsspeicher, um sie innerhalb des Google-Netzwerks zu übertragen.

Wenn Sie den Datenstandort aktivieren, geschieht Folgendes in Security Command Center:

EU, USA und weltweit

In der EU, in den USA und an globalen Standorten unterliegen Daten in der Übertragung nicht den Kontrollen für den Datenspeicherort.

KSA

  • Wenn ein Befund für eine Ressource erstellt wird, die sich in Saudi-Arabien befindet, befindet sich dieser Befund während des Übertragungsvorgangs immer in Saudi-Arabien.
  • Wenn ein Ergebnis für eine Ressource erstellt wird, die sich an einem anderen Speicherort befindet, befindet sich das Ergebnis schließlich im KSA-Speicherort in der Übertragung. Die Meldung befindet sich jedoch möglicherweise vorübergehend in einer anderen Region.
  • Wenn Sie bestimmte Arten von Konfigurationsressourcen am Standort in Saudi-Arabien erstellen und diese Ressourcen sich in der Übertragung befinden, befinden sie sich am Standort in Saudi-Arabien.
  • Wenn in Security Command Center Daten gespeichert werden, die keine Kundendaten sind, wie im Abschnitt Speicherort von Daten in den allgemeinen Nutzungsbedingungen für Google Cloud definiert, werden die Daten in Security Command Center gemäß den Nutzungsbedingungen für die Google Cloud Platform gespeichert.

Standardspeicherort für Daten

Wenn Sie den Datenstandort von Security Command Center für die EU, die USA und die globale Bereitstellung aktivieren, geben Sie einen Standardspeicherort für Security Command Center an. Sie können jeden unterstützten Speicherort als Standardspeicherort auswählen.

Im Security Command Center werden am Standardspeicherort nur Ergebnisse gespeichert, die sich auf die folgenden Ressourcentypen beziehen:

Wenn Sie Google Cloud-Ressourcen an mehreren Standorten oder in mehreren Regionen bereitstellen, können Sie „Global“ (global) als Standard auswählen.

Wenn Sie Ressourcen nur an einem einzigen Standort bereitstellen, können Sie die Mehrfachregion mit diesem Standort als Standard auswählen.

Security Command Center-Ressourcen und Datenspeicherort

In der folgenden Liste wird erläutert, wie in Security Command Center Steuerelemente für den Speicherort von Daten auf Security Command Center-Ressourcen angewendet werden. Wenn eine Ressource hier nicht aufgeführt ist, unterliegt sie keinen Kontrollen für die Datenspeicherung und wird gemäß den Nutzungsbedingungen für die Google Cloud Platform gespeichert.

Assets

Asset-Metadaten werden von Cloud Asset Inventory gespeichert und unterliegen keinen Kontrollen für den Datenspeicherort. Diese Daten werden gemäß den Nutzungsbedingungen der Google Cloud Platform gespeichert.

Daher werden auf der Seite Assets von Security Command Center in der Google Cloud Console immer alle Ressourcen in Ihrer Organisation, Ihrem Ordner oder Ihrem Projekt angezeigt, unabhängig von ihrem Speicherort oder dem Speicherort, den Sie in der Google Cloud Console auswählen. Wenn der Datenstandort jedoch aktiviert ist und Sie die Details eines Assets aufrufen, werden auf der Seite Assets keine Informationen zu Ergebnissen angezeigt, die sich auf das Asset auswirken.

Angriffsrisikobewertungen und Angriffspfade

Angriffsrisikobewertungen und Angriffspfade unterliegen keinen Kontrollen für den Datenstandort. Diese Daten werden gemäß den Nutzungsbedingungen der Google Cloud Platform gespeichert.

BigQuery-Exporte

BigQuery-Exportkonfigurationen unterliegen den Kontrollen für den Datenspeicherort.

EU, USA und weltweit

Wenn Sie diese Ressourcen erstellen, geben Sie den Speicherort an. Diese Konfigurationen gelten nur für Ergebnisse, die sich am selben Speicherort befinden.

KSA

Verwenden Sie die regionalen URLs, um diese Konfigurationsressourcen zu erstellen und zu verwalten. Sie befinden sich zusammen mit Ihren Ergebnissen am Standort Saudi-Arabien.

Die Security Command Center API stellt BigQuery-Exportkonfigurationen als BiqQueryExport-Ressourcen dar.

Kontinuierliche Exporte

Konfigurationen für den kontinuierlichen Export unterliegen den Kontrollen für den Datenstandort.

EU, USA und weltweit

Wenn Sie diese Ressourcen erstellen, geben Sie den Speicherort an. Diese Konfigurationen gelten nur für Ergebnisse, die sich am selben Speicherort befinden.

KSA

Verwenden Sie die regionalen URLs, um diese Konfigurationsressourcen zu erstellen und zu verwalten. Sie befinden sich zusammen mit Ihren Ergebnissen am Standort Saudi-Arabien.

Die Security Command Center API stellt Konfigurationen für kontinuierliche Exporte als NotificationConfig-Ressourcen dar.

Ergebnisse

Die Ergebnisse unterliegen den Kontrollen für den Datenstandort.

EU, USA und weltweit

Wenn ein Ergebnis erstellt wird, befindet es sich an dem Security Command Center-Speicherort, an dem sich die betroffene Ressource befindet.

Wenn sich eine betroffene Ressource außerhalb eines unterstützten Standorts befindet oder keine Standortkennzeichnung hat, werden die Ergebnisse für die Ressource an Ihrem Standardspeicherort gespeichert.

KSA

Wenn ein Befund für eine Ressource erstellt wird, die sich in Saudi-Arabien befindet, befindet sich dieser Befund immer in Saudi-Arabien.

Wenn ein Befund für eine Ressource erstellt wird, die sich an einem anderen Speicherort befindet, wird der Befund am Speicherort des Kundenservicemitarbeiters gespeichert. Die Fundstelle befindet sich jedoch möglicherweise zum Zeitpunkt der Erstellung in einer anderen Region.

Damit Ergebnisse immer am Standort in Saudi-Arabien gespeichert werden, sollten Sie alle Ressourcen dort erstellen.

Ausblendungsregeln

Konfigurationen von Ausblendungsregeln unterliegen den Kontrollen für den Datenstandort.

EU, USA und weltweit

Wenn Sie diese Ressourcen erstellen, geben Sie den Speicherort an. Diese Konfigurationen gelten nur für Ergebnisse, die sich am selben Speicherort befinden.

KSA

Verwenden Sie die regionalen URLs, um diese Konfigurationsressourcen zu erstellen und zu verwalten. Sie befinden sich zusammen mit Ihren Ergebnissen am Standort Saudi-Arabien.

Die Security Command Center API stellt Konfigurationen von Stummschaltungsregeln als MuteConfig-Ressourcen dar.

Weitere Security Command Center-Ressourcen und -Einstellungen

Security Command Center-Ressourcen und -Einstellungen, die hier nicht aufgeführt sind, z. B. solche, mit denen festgelegt wird, welche Dienste aktiviert oder welche Stufe aktiv ist, unterliegen nicht den Datenstandortkontrollen. Diese Daten werden gemäß den Nutzungsbedingungen der Google Cloud Platform gespeichert.

Daten an einem Standort erstellen oder ansehen

Wenn die Datenspeicherung aktiviert ist, müssen Sie einen Speicherort angeben, wenn Sie Daten erstellen oder aufrufen, die den Datenspeicherungskontrollen unterliegen. In Security Command Center wird automatisch ein Speicherort für erstellte Ergebnisse ausgewählt.

Sie können Daten jeweils nur an einem Ort erstellen oder aufrufen. Wenn Sie beispielsweise Ergebnisse für den globalen Standort (global) auflisten, werden keine Ergebnisse für den Standort „Europäische Union“ (eu) angezeigt.

So erstellen oder rufen Sie Daten ab, die sich an einem Security Command Center-Speicherort befinden:

Console

EU, USA und weltweit

  1. Rufen Sie in der Google Cloud Console Security Command Center auf.

    Zum Security Command Center

  2. Wenn Sie den Speicherort der Daten ändern möchten, klicken Sie in der Aktionsleiste auf die Standortauswahl.

    Eine Liste der Standorte wird angezeigt. Wählen Sie den neuen Standort aus.

KSA

Rufen Sie in der Google Cloud Console für Saudi-Arabien das Security Command Center auf.

Zum Security Command Center

gcloud

EU, USA und weltweit

Verwenden Sie das Flag --location=LOCATION, wenn Sie die Google Cloud CLI ausführen, wie im folgenden Beispiel gezeigt.

Mit dem Befehl gcloud scc findings list werden die Ergebnisse einer Organisation an einem bestimmten Ort aufgelistet.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • ORGANIZATION_ID: die numerische ID der Organisation
  • LOCATION: der zu verwendende Security Command Center-Standort, z. B. eu. Wenn die Datenspeicherung nicht aktiviert ist, verwenden Sie global.

Führen Sie den Befehl gcloud scc findings list aus:

Linux, macOS oder Cloud Shell

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows (PowerShell)

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows (cmd.exe)

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Die Antwort enthält eine Liste der Ergebnisse.

KSA

Konfigurieren Sie die gcloud CLI so, dass der regionale Dienstendpunkt des Standorts in Saudi-Arabien für die Security Command Center API verwendet wird:

gcloud config set api_endpoint_overrides/securitycenter \
    https://securitycenter.me-central2.rep.googleapis.com/

Sie müssen dann das Flag --location=sa verwenden, wenn Sie die Google Cloud CLI ausführen, wie im folgenden Beispiel gezeigt.

Mit dem Befehl gcloud scc findings list werden die Ergebnisse einer Organisation an einem bestimmten Ort aufgelistet.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • ORGANIZATION_ID: die numerische ID der Organisation

Führen Sie den Befehl gcloud scc findings list aus:

Linux, macOS oder Cloud Shell

gcloud scc findings list ORGANIZATION_ID --location=sa

Windows (PowerShell)

gcloud scc findings list ORGANIZATION_ID --location=sa

Windows (cmd.exe)

gcloud scc findings list ORGANIZATION_ID --location=sa

Die Antwort enthält eine Liste der Ergebnisse.

REST

EU, USA und weltweit

Verwenden Sie einen API-Endpunkt, der locations/LOCATION im Pfad enthält, wie im folgenden Beispiel gezeigt.

Die Methode organizations.sources.locations.findings.list der Security Command Center API listet die Ergebnisse einer Organisation an einem bestimmten Standort auf.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • ORGANIZATION_ID: die numerische ID der Organisation
  • LOCATION: der zu verwendende Security Command Center-Standort, z. B. eu. Wenn die Datenspeicherung nicht aktiviert ist, verwenden Sie global.

HTTP-Methode und URL:

GET https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält eine Liste der Ergebnisse.

KSA

Verwenden Sie den regionalen Dienstendpunkt für den Standort in Saudi-Arabien, um die API aufzurufen, wie im folgenden Beispiel gezeigt.

Die Methode organizations.sources.locations.findings.list der Security Command Center API listet die Ergebnisse einer Organisation an einem bestimmten Standort auf.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • ORGANIZATION_ID: die numerische ID der Organisation

HTTP-Methode und URL:

GET https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält eine Liste der Ergebnisse.

Nächste Schritte