Pianificazione della residenza dei dati

La residenza dei dati ti offre un maggiore controllo sulla posizione dei dati di Security Command Center. Questa pagina fornisce informazioni essenziali su come Security Command Center supporta la residenza dei dati.

A questa pagina si applicano le seguenti definizioni:

  • Una località è una regione o più regioni di Google Cloud corrispondente alla posizione in cui si trovano i dati.
  • Il significato del termine i tuoi dati è equivalente al significato del termine "Dati del cliente" nell'elemento Posizione dei dati dei Termini di servizio generali di Google Cloud.

Posizioni dei dati supportate

Security Command Center supporta solo le seguenti regioni multiple di Google Cloud come località dei dati:

Unione Europea (eu)
I dati si trovano in qualsiasi regione Google Cloud all'interno degli stati membri dell'Unione Europea.
Stati Uniti (us)
I dati si trovano in qualsiasi regione Google Cloud negli Stati Uniti.
Regno dell'Arabia Saudita (sa)
I dati si trovano in qualsiasi regione Google Cloud in Arabia Saudita.
Globale (global)
I dati possono trovarsi in qualsiasi regione Google Cloud. Se la residenza dei dati non è attivata, la località supportata è solo Globale (global).

Per ulteriori informazioni sulle sedi di Security Command Center, consulta Prodotti disponibili in base alla località.

Se devi specificare una posizione predefinita per la residenza dei dati non supportata da Security Command Center, contatta il rappresentante del tuo account o un esperto del team di vendita di Google Cloud.

Requisiti per la residenza dei dati

Puoi attivare la residenza dei dati solo quando attivi il livello Standard o Premium di Security Command Center in un'organizzazione per la prima volta. Il livello Enterprise non supporta la residenza dei dati.

Una volta attivata la residenza dei dati, non puoi disattivarla né modificare la località predefinita. Inoltre, i riepiloghi di Gemini dei risultati e dei percorsi di attacco non sono disponibili.

La residenza dei dati richiede l'utilizzo dell'API Security Command Center 2. Se la residenza dei dati è abilitata, non puoi utilizzare le versioni precedenti dell'API Security Command Center.

Se non attivi la residenza dei dati quando attivi Security Command Center, Security Command Center non limita i tuoi dati a una determinata località e questi vengono archiviati in conformità ai Termini di servizio della piattaforma Google Cloud.

URL regionali

Per la località del Regno dell'Arabia Saudita (KSA), devi utilizzare URL specifici per la località per accedere alla console Google Cloud di competenza, nonché ad alcuni metodi e comandi nellgcloud CLI, nelle librerie client di Cloud e nell'API Security Command Center:

Console

Per accedere a Security Command Center, utilizza la console Google Cloud di competenza, https://console.sa.cloud.google.com/.

La console Google Cloud per le giurisdizioni ti consente di accedere ai dati di Security Command Center nelle località KSA e globali.

gcloud

Per accedere ai dati nella località Arabia Saudita, i seguenti gruppi di comandi gcloud CLI richiedono l'utilizzo dell'endpoint del servizio regionale per l'API Security Command Center:

Inoltre, il gruppo di comandi gcloud scc operations non è disponibile per le operazioni di lunga durata nella località KSA. Ad esempio, non puoi controllare lo stato di un'operazione di lunga durata per disattivare collettivamente i risultati.

Per tutti gli altri gruppi di comandi gcloud scc, devi utilizzare l'endpoint del servizio predefinito per l'API Security Command Center.

Per passare all'endpoint del servizio regionale, esegui il seguente comando:

gcloud config set api_endpoint_overrides/securitycenter \
    https://securitycenter.me-central2.rep.googleapis.com/

Per passare all'endpoint di servizio predefinito, esegui il seguente comando:

gcloud config unset api_endpoint_overrides/securitycenter

Se preferisci, puoi creare una configurazione denominata per l'interfaccia alla gcloud CLI che utilizza l'endpoint di servizio regionale, quindi passare a questa configurazione denominata prima di eseguire i comandi di Security Command Center nella località Arabia Saudita. Per passare a una configurazione denominata, esegui il comando gcloud config configurations activate.

REST

Per la località Arabia Saudita, l'API Security Command Center utilizza l'endpoint di servizio regionalehttps://securitycenter.me-central2.rep.googleapis.com/.

Per accedere ai seguenti tipi di risorse API REST nella località Arabia Saudita, devi utilizzare l'endpoint di servizio regionale per Security Command Center:

Inoltre, non puoi chiamare metodi per le risorse organizations.operations nella località Arabia Saudita. Ad esempio, non puoi controllare lo stato di un'operazione a lunga esecuzione per disattivare collettivamente i risultati.

Per tutti gli altri tipi di risorse, devi utilizzare l'endpoint di servizio predefinito per l'API Security Command Center, https://securitycenter.googleapis.com/.

Go

Per gestire i seguenti tipi di risorse nella località KSA, devi eseguire l'override dell'endpoint di servizio predefinito quando crei un client per Security Command Center:

Utilizza l'endpoint securitycenter.me-central2.rep.googleapis.com:443 per questi tipi di risorse. Il seguente codice di esempio mostra come creare un client che utilizza un endpoint di servizio regionale.

import (
	"context"
	"fmt"

	securitycenter "cloud.google.com/go/securitycenter/apiv2"
	"google.golang.org/api/option"
)

// createClientWithEndpoint creates a Security Command Center client for a
// regional endpoint.
func createClientWithEndpoint(repLocation string) error {
	// Assemble the regional endpoint URL using provided location.
	repEndpoint := fmt.Sprintf("securitycenter.%s.rep.googleapis.com:443", repLocation)
	// Instantiate client for regional endpoint. Use this client to access resources that
	// are subject to data residency controls, and that are located in the region
	// specified in repLocation.
	repCtx := context.Background()
	repClient, err := securitycenter.NewClient(repCtx, option.WithEndpoint(repEndpoint))
	if err != nil {
		return err
	}
	defer repClient.Close()

	return nil
}

Java

Per gestire i seguenti tipi di risorse nella località KSA, devi eseguire l'override dell'endpoint di servizio predefinito quando crei un client per Security Command Center:

Utilizza l'endpoint securitycenter.me-central2.rep.googleapis.com:443 per questi tipi di risorse. Il seguente codice di esempio mostra come creare un client che utilizza un endpoint di servizio regionale.


import com.google.cloud.securitycenter.v2.SecurityCenterClient;
import com.google.cloud.securitycenter.v2.SecurityCenterSettings;
import java.io.IOException;

public class CreateClientWithEndpoint {

  public static void main(String[] args) throws IOException {
    // TODO: Replace the value with the endpoint for the region in which your
    // Security Command Center data resides.
    String regionalEndpoint = "securitycenter.me-central2.rep.googleapis.com:443";
    SecurityCenterClient client = createClientWithEndpoint(regionalEndpoint);
    System.out.println("Client initiated with endpoint: " + client.getSettings().getEndpoint());
  }

  // Creates Security Command Center client for a regional endpoint.
  public static SecurityCenterClient createClientWithEndpoint(String regionalEndpoint)
      throws java.io.IOException {
    SecurityCenterSettings regionalSettings =
        SecurityCenterSettings.newBuilder().setEndpoint(regionalEndpoint).build();
    return SecurityCenterClient.create(regionalSettings);
  }
}

Quando viene applicata la residenza dei dati

Quando attivi la residenza dei dati per Security Command Center, alcuni dati di Security Command Center vengono conservati in una posizione specificata quando si trovano in uno dei seguenti stati:

Residenza dei dati at-rest

I dati sono at-rest quando vengono soddisfatti tutti i seguenti criteri:

Quando attivi la residenza dei dati, Security Command Center esegue le seguenti operazioni:

UE, Stati Uniti e globali

KSA

  • Quando viene creato un rilevamento per una risorsa che si trova nella località Arabia Saudita, il rilevamento rimarrà sempre in quella località.
  • Quando viene creato un rilevamento per una risorsa che si trova in un'altra località, il rilevamento viene archiviato nella località KSA in stato inattivo. Tuttavia, il rilevamento potrebbe trovarsi temporaneamente in una regione diversa in stato inattivo.
  • Quando crei tipi specifici di risorse di configurazione nella località KSA e queste risorse sono inattive, risiedono nella località KSA.
  • Nei casi in cui Security Command Center memorizzi dati che non sono Dati dei clienti, come definito nell'elemento Località dei dati nei Termini di servizio generali di Google Cloud, Security Command Center memorizza i dati a riposo in conformità con i Termini di servizio della piattaforma Google Cloud.

Residenza dei dati in uso

I dati sono in uso quando vengono soddisfatti tutti i seguenti criteri:

  • I dati si riferiscono a un tipo di risorsa sottoposta a controlli relativi alla residenza dei dati.
  • Google Cloud sta completando un'operazione avviata su tua richiesta, ad esempio perché la tua applicazione ha chiamato l'API Security Command Center, o un'operazione che genera log di controllo o log di Access Transparency.
  • Google Cloud può operare sui dati in un modo che richiede la conoscenza del loro significato, ad esempio aggiornando campi specifici in una risorsa di configurazione. Sono inclusi tutti i casi in cui i dati non sono criptati in memoria.

Quando attivi la residenza dei dati, Security Command Center esegue le seguenti operazioni:

UE, Stati Uniti e globali

Nelle località dell'UE, degli Stati Uniti e a livello globale, i dati in uso non sono soggetti ai controlli relativi alla residenza dei dati.

KSA

  • Quando viene creato un rilevamento per una risorsa che si trova nella località Arabia Saudita, il rilevamento si trova sempre nella località Arabia Saudita in uso.
  • Quando viene creato un rilevamento per una risorsa che si trova in un'altra posizione, il rilevamento si trova infine nella posizione KSA in uso. Tuttavia, il risultato potrebbe risiedere temporaneamente in un'altra regione in uso.
  • Quando crei tipi specifici di risorse di configurazione nella località Arabia Saudita e queste risorse sono in uso, risiedono nella località Arabia Saudita.
  • Nei casi in cui Security Command Center memorizzi dati che non sono Dati dei clienti, come definito nell'elemento Località dei dati nei Termini di servizio generali di Google Cloud, Security Command Center memorizza i dati in uso in conformità con i Termini di servizio della piattaforma Google Cloud.

Residenza dei dati in transito

I dati sono in transito quando sono soddisfatti tutti i seguenti criteri:

  • I dati si riferiscono a un tipo di risorsa sottoposta a controlli relativi alla residenza dei dati.
  • I dati vengono trasmessi, con crittografia, all'interno della rete di Google o sono in memoria, con crittografia, allo scopo di trasmetterli all'interno della rete di Google.

Quando attivi la residenza dei dati, Security Command Center esegue le seguenti operazioni:

UE, Stati Uniti e globali

Nelle località dell'UE, degli Stati Uniti e a livello globale, i dati in transito non sono soggetti ai controlli relativi alla residenza dei dati.

KSA

  • Quando viene creato un rilevamento per una risorsa che si trova nella località Arabia Saudita, il rilevamento si trova sempre nella località Arabia Saudita in transito.
  • Quando viene creato un rilevamento per una risorsa che si trova in un'altra località, il rilevamento si trova infine nella località KSA in transito. Tuttavia, il risultato potrebbe trovarsi temporaneamente in una regione diversa durante il transito.
  • Quando crei tipi specifici di risorse di configurazione nella località KSA e queste risorse sono in transito, risiedono nella località KSA.
  • Nei casi in cui Security Command Center memorizzi dati che non sono Dati dei clienti, come definito nell'elemento Località dei dati dei Termini di servizio generali di Google Cloud, Security Command Center memorizza i dati in transito in conformità con i Termini di servizio della piattaforma Google Cloud.

Posizione predefinita dei dati

Per le località dell'UE, degli Stati Uniti e globali, quando attivi la residenza dei dati di Security Command Center, specifica una località predefinita per Security Command Center. Puoi selezionare qualsiasi località dei dati supportata come località predefinita.

Security Command Center utilizza la posizione predefinita solo per archiviare i risultati a riposo che si applicano ai seguenti tipi di risorse:

  • Risorse che non si trovano in una posizione dei dati supportata per Security Command Center
  • Risorse che non specificano una posizione nei metadati

Se esegui il deployment delle risorse Google Cloud in più località o in più regioni, puoi scegliere la località globale (global) come predefinita.

Se esegui il deployment delle risorse solo in una singola località, puoi scegliere come predefinita la regione multipla che include quella località.

Risorse di Security Command Center e residenza dei dati

Il seguente elenco spiega in che modo Security Command Center applica i controlli di residenza dei dati alle risorse di Security Command Center. Se una risorsa non è elencata qui, non è soggetta ai controlli della residenza dei dati e viene archiviata in conformità con i Termini di servizio della piattaforma Google Cloud.

Asset

I metadati delle risorse vengono archiviati da Cloud Asset Inventory e non sono soggetti ai controlli della residenza dei dati. Questi dati vengono archiviati in conformità ai Termini di servizio della piattaforma Google Cloud.

Per questo motivo, la pagina Asset di Security Command Center nella console Google Cloud mostra sempre tutte le risorse dell'organizzazione, della cartella o del progetto, indipendentemente dalla loro posizione o dalla posizione selezionata nella console Google Cloud. Tuttavia, quando la residenza dei dati è attivata e visualizzi i dettagli di un asset, la pagina Asset non mostra informazioni sui risultati che interessano l'asset.

Punteggi di esposizione agli attacchi e percorsi di attacco

I punteggi di esposizione agli attacchi e i percorsi di attacco non sono soggetti ai controlli della residenza dei dati. Questi dati vengono archiviati in conformità ai Termini di servizio della piattaforma Google Cloud.

Esportazioni BigQuery

Le configurazioni di BigQuery Export sono soggette a controlli di residenza dei dati.

UE, Stati Uniti e globali

Quando crei queste risorse, specifica la posizione in cui si trovano. Queste configurazioni si applicano solo ai risultati che si trovano nella stessa posizione.

KSA

Utilizza gli URL regionali per creare e gestire queste risorse di configurazione. Si trovano nella località dell'Arabia Saudita, insieme ai risultati.

L'API Security Command Center rappresenta le configurazioni di BigQuery Export come risorse BiqQueryExport.

Esportazioni continue

Le configurazioni di esportazione continua sono soggette ai controlli della residenza dei dati.

UE, Stati Uniti e globali

Quando crei queste risorse, specifica la posizione in cui si trovano. Queste configurazioni si applicano solo ai risultati che si trovano nella stessa posizione.

KSA

Utilizza gli URL regionali per creare e gestire queste risorse di configurazione. Si trovano nella località dell'Arabia Saudita, insieme ai risultati.

L'API Security Command Center rappresenta le configurazioni di esportazione continua come risorse NotificationConfig.

Risultati

I risultati sono soggetti ai controlli della residenza dei dati.

UE, Stati Uniti e globali

Quando viene creato, un risultato si trova nella posizione di Security Command Center in cui si trova la risorsa interessata.

Se una risorsa interessata si trova al di fuori di una località supportata o non ha un identificatore della località, i risultati relativi alla risorsa si trovano nella tua località predefinita.

KSA

Quando viene creato un rilevamento per una risorsa che si trova nella località Arabia Saudita, il rilevamento rimarrà sempre nella località Arabia Saudita.

Quando viene creato un rilevamento per una risorsa che si trova in un'altra località, il rilevamento si trova infine nella località KSA. Tuttavia, al momento della creazione, il rilevamento potrebbe trovarsi in una regione diversa.

Per assicurarti che i risultati si trovino sempre nella località KSA, crea tutte le risorse nella località KSA.

Regole di disattivazione

Le configurazioni delle regole di disattivazione sono soggette ai controlli della residenza dei dati.

UE, Stati Uniti e globali

Quando crei queste risorse, specifica la posizione in cui si trovano. Queste configurazioni si applicano solo ai risultati che si trovano nella stessa posizione.

KSA

Utilizza gli URL regionali per creare e gestire queste risorse di configurazione. Si trovano nella località dell'Arabia Saudita, insieme ai risultati.

L'API Security Command Center rappresenta le configurazioni delle regole di disattivazione come risorse MuteConfig.

Altre risorse e impostazioni di Security Command Center

Le risorse e le impostazioni di Security Command Center non elencate qui, ad esempio quelle che definiscono i servizi abilitati o il livello attivo, non sono soggette ai controlli di residenza dei dati. Questi dati vengono archiviati in conformità con i Termini di servizio della piattaforma Google Cloud.

Creare o visualizzare i dati in una località

Quando la residenza dei dati è attivata, devi specificare una località quando crei o visualizza i dati soggetti ai controlli della residenza dei dati. Security Command Center sceglie automaticamente una posizione per i risultati che genera.

Puoi creare o visualizzare i dati in una sola posizione alla volta. Ad esempio, se elencate i risultati nella località Globale (global), non vedrete i risultati nella località Unione Europea (eu).

Per creare o visualizzare i dati che si trovano in una posizione di Security Command Center, svolgi i seguenti passaggi:

Console

UE, Stati Uniti e globali

  1. Nella console Google Cloud, vai a Security Command Center.

    Andare a Security Command Center

  2. Per modificare la posizione dei dati, fai clic sul selettore della posizione nella barra delle azioni.

    Viene visualizzato un elenco di località. Seleziona la nuova posizione.

KSA

Nella console Google Cloud di competenza per la località KSA, vai a Security Command Center.

Andare a Security Command Center

gcloud

UE, Stati Uniti e globali

Utilizza il flag --location=LOCATION quando esegui Google Cloud CLI, come mostrato nell'esempio seguente.

Il comando gcloud scc findings list elenca i risultati di un'organizzazione in una posizione specifica.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • ORGANIZATION_ID: l'ID numerico dell'organizzazione
  • LOCATION: la posizione di Security Command Center da utilizzare, ad esempio eu; se la residenza dei dati non è abilitata, utilizza global

Esegui il comando gcloud scc findings list:

Linux, macOS o Cloud Shell

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows (PowerShell)

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows (cmd.exe)

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

La risposta contiene un elenco di risultati.

KSA

Configura l'interfaccia alla gcloud CLI in modo da utilizzare l'endpoint di servizio regionale della località KSA per l'API Security Command Center:

gcloud config set api_endpoint_overrides/securitycenter \
    https://securitycenter.me-central2.rep.googleapis.com/

Devi quindi utilizzare il flag --location=sa quando esegui Google Cloud CLI, come mostrato nell'esempio seguente.

Il comando gcloud scc findings list elenca i risultati di un'organizzazione in una posizione specifica.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • ORGANIZATION_ID: l'ID numerico dell'organizzazione

Esegui il comando gcloud scc findings list:

Linux, macOS o Cloud Shell

gcloud scc findings list ORGANIZATION_ID --location=sa

Windows (PowerShell)

gcloud scc findings list ORGANIZATION_ID --location=sa

Windows (cmd.exe)

gcloud scc findings list ORGANIZATION_ID --location=sa

La risposta contiene un elenco di risultati.

REST

UE, Stati Uniti e globali

Utilizza un endpoint API che includa locations/LOCATION nel percorso, come mostrato nell'esempio seguente.

Il metodo organizations.sources.locations.findings.list dell'API Security Command Center elenca i risultati di un'organizzazione in una posizione specifica.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • ORGANIZATION_ID: l'ID numerico dell'organizzazione
  • LOCATION: la posizione di Security Command Center da utilizzare, ad esempio eu; se la residenza dei dati non è abilitata, utilizza global

Metodo HTTP e URL:

GET https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings

Per inviare la richiesta, espandi una di queste opzioni:

La risposta contiene un elenco di risultati.

KSA

Utilizza l'endpoint di servizio regionale per la località KSA per chiamare l'API, come mostrato nell'esempio seguente.

Il metodo organizations.sources.locations.findings.list dell'API Security Command Center elenca i risultati di un'organizzazione in una posizione specifica.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • ORGANIZATION_ID: l'ID numerico dell'organizzazione

Metodo HTTP e URL:

GET https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings

Per inviare la richiesta, espandi una di queste opzioni:

La risposta contiene un elenco di risultati.

Passaggi successivi