Si planeas habilitar la residencia de datos cuando actives Security Command Center, la página contiene información que necesitas saber.
Puedes habilitar la compatibilidad con la residencia de datos solo cuando activa el nivel Estándar o Premium de Security Command Center para el primera vez en una organización. El nivel empresarial no admite datos residencia.
Después de habilitar la residencia de datos, no puedes inhabilitarla.
Cuando habilitas la residencia de datos en Security Command Center, Security Command Center almacena los hallazgos automáticamente que pueden contener o hacer referencia a sus datos en la Ubicación de Security Command Center correspondiente a la ubicación de los recursos.
Del mismo modo, la exportación continua, las exportaciones de BigQuery y parámetros de configuración de reglas de silencio, que pueden incluir tus datos en sus filtros, se almacenan en Security Command Center ubicación en la que se crean, cuando se aplican solo a los resultados en esa ubicación.
Un hallazgo es un registro de un problema de seguridad que Security Command Center de detección de intrusiones detectadas en tu entorno. Se crea un registro de hallazgos. de propiedades que describen el problema de seguridad y los recursos que se ven afectadas por él.
Un filtro de resultados selecciona los resultados haciendo referencia a sus propiedades.
y los valores de las propiedades. Los filtros de resultados se usan y se guardan en la
configuraciones de las exportaciones continuas
(NotificationConfig) y de
reglas de silencio
(muteConfig).
En el contexto de residencia de datos, las siguientes definiciones aplicar:
- Una ubicación es una región o multirregión de Google Cloud. correspondiente a la ubicación en la que de que se almacenen los datos.
- El significado del término tus datos es equivalente al significado de el término "Datos del cliente", en el elemento Ubicación de los datos de la Condiciones Generales del Servicio de Google Cloud.
La opción de habilitar la residencia de datos está disponible con las APIs estándares Niveles Premium de Security Command Center.
Ubicaciones de datos admitidas
Security Command Center solo admite los siguientes Google Cloud multirregionales como una ubicación de datos:
- Unión Europea (
eu) - Los datos se almacenan en cualquier región de Google Cloud dentro de los estados miembros de la Unión Europea.
- United States (
us) - Los datos se almacenan en cualquier región de Google Cloud en Estados Unidos.
- Global (
global) - Los datos se pueden almacenar o procesar en cualquier región de Google Cloud. Si la residencia de datos no está habilitada, Global es la única admitida ubicación.
Para obtener más información sobre las ubicaciones de Security Command Center, consulta Productos disponibles por ubicación.
Si necesitas especificar una ubicación predeterminada para la residencia de datos que Security Command Center no es compatible. Comunícate con tu representante de cuenta o con Especialista en ventas de Google Cloud.
Habilita la residencia de datos durante la activación
Puedes habilitar la residencia de datos solo cuando la activas Security Command Center por primera vez en una organización.
Si no habilitas la residencia de datos, la ubicación
de todos los recursos de Security Command Center se establece en global.
Security Command Center no restringe el almacenamiento de tus datos.
a una ubicación en particular.
Un nivel de organización es necesaria la activación del servicio.
Después de habilitar la residencia de datos, no puedes inhabilitarla ni cambiar tu ubicación predeterminada.
Si activas Security Command Center en el proyecto o en la organización sin habilitar la residencia de datos al mismo tiempo, no puedes habilitar la residencia de datos en Security Command Center más adelante. Necesitarías para crear una nueva organización de Google Cloud y activar Security Command Center con residencia de datos.
Ubicación predeterminada de los datos
Cuando habilitas la residencia de datos de Security Command Center, La única ubicación que debes especificar es la configuración predeterminada de Security Command Center ubicación. Esto se debe a que Security Command Center determina dónde necesita para almacenar los datos según el lugar en el que se implementen los recursos.
Security Command Center usa la ubicación predeterminada de Security Command Center Solo para almacenar los resultados que se aplican a los siguientes tipos de recursos:
- Recursos que no están en una ubicación en la que Security Command Center admite
- Recursos que no incluyen una especificación de ubicación en sus metadatos
Puedes seleccionar cualquier ubicación de datos admitida como tu ubicación predeterminada.
Si eres parte de una empresa global que implementa recursos de Google Cloud en varias ubicaciones o multirregiones, puedes elegir la ubicación global como predeterminada.
Si tu empresa opera en una sola ubicación, podrías elegir esa ubicación como tu ubicación predeterminada de Security Command Center.
API de Security Command Center y residencia de datos
La residencia de datos requiere la versión 2 de la API de Security Command Center.
Si usas la API de Security Command Center cuando la residencia de datos está habilitada, v2 es la única API disponible que puedes usar.
Recursos y residencia de datos de Security Command Center
En la siguiente lista, se explica cómo se aplica Security Command Center controles de residencia de datos a los recursos que usas cuando trabajas Security Command Center:
- Recursos
Los metadatos de activos no están sujetos al control de residencia de datos. Recurso los metadatos se almacenan globalmente en Cloud Asset Inventory.
Por este motivo, la página Recursos de Security Command Center siempre muestra todos los recursos de tu organización, carpeta o proyecto, sin importar de su ubicación o la ubicación en la que configuraste la Vista de la consola de Google Cloud. Sin embargo, cuando la residencia de los datos y ves los detalles de un recurso, la información sobre cualquier resultado que podrían afectar el recurso no está disponible en la página Activos.
- Puntuaciones de exposición a ataques y rutas de ataque
Las puntuaciones de exposición a ataques y las rutas de ataque no están sujetas a datos control de residencia y se almacenan globalmente.
- Exportaciones de BigQuery
Los parámetros de configuración de BigQuery Export están sujetos a datos de residencia y se almacenan en la ubicación en la que de crearlos. Se aplican solo a los hallazgos residentes del misma ubicación.
- Exportaciones continuas
Los parámetros de configuración de exportación continua están sujetos a controles de residencia de datos y se almacenan en la ubicación en la que de crearlos. Se aplican solo a los hallazgos residentes del misma ubicación.
- Resultados
Los hallazgos están sujetos a controles de residencia de datos y se almacenan en la ubicación de Security Command Center donde el recurso el código fuente. Si un recurso afectado se encuentra fuera de una ubicación admitida o sin identificador de ubicación, cualquier resultado para la instancia de recurso se almacenan en tu ubicación predeterminada.
- Reglas de silencio
Los parámetros de configuración de reglas de silencio están sujetos a controles de residencia de datos y se almacenan de la ubicación en la que los creaste. Solo se aplican a hallazgos que residen en la misma ubicación.
- Configuración de Security Command Center
La mayoría de los parámetros de configuración de Security Command Center, como los que definen qué servicios están habilitados o el nivel está activo, no están sujetos a los controles de residencia de datos y se almacenan globalmente. Excepción son los parámetros de configuración de las exportaciones de BigQuery, las exportaciones continuas a Pub/Sub y las reglas de silencio. Estos son específicos de la ubicación donde los creas.
Visualiza datos de ubicación en la consola de Google Cloud
Cuando la residencia de datos está habilitada y seleccionas una ubicación en la consola de Google Cloud, cada página de Security Command Center muestra resultados, reglas de silencio y exportaciones continuas solo desde la ubicación seleccionada.
Por ejemplo, cuando seleccionas la vista global, solo ves datos globales. Para ver los resultados, silenciar reglas o exportaciones continuas desde otro ubicación, debes cambiar la vista de la consola de Google Cloud a la otra ubicación.
Determinación de la ubicación de los datos después de la habilitación
La ubicación en la que Security Command Center encuentra y configura la configuración que contienen tus datos se almacenan se determina en un par de puntos después de que se habilita la residencia de datos:
- Cuando tú o Security Command Center generan o crean un hallazgo o configuración.
- Cuando visualizas o recuperas un resultado o una configuración.
Determina la ubicación al crear configuraciones
Cuando creas una exportación continua, BigQuery
exportar o una regla de silencio, Security Command Center almacena
configuración resultante como recurso. Una configuración de exportación continua es
almacenado como un recurso NotificationConfig
en BigQuery
La configuración de exportación se almacena como un recurso BiqQueryExport,
y una configuración de regla de silencio se almacena
Recurso MuteConfig.
Antes de crear una configuración de exportación o una regla de silencio, debes seleccionar el la ubicación en la que se crearán. La ubicación que selecciones será la ubicación en la que se encuentran los resultados que deseas exportar o silenciar.
En la consola de Google Cloud, debes configurar la consola de Google Cloud. ver a la ubicación adecuada antes de crear una exportación continua o una regla de silencio.
Cuando creas una regla de silencio o exportación continua con el
La API de Security Command Center o Google Cloud CLI, debes especificar la ubicación
en la llamada a la API o el comando gcloud que uses para crear el
Configuración de notificationConfig o muteConfig.
Para obtener más información sobre la creación de configuraciones, consulta:
- Crea una exportación continua:
- Crea una regla de silencio:
Determinar la ubicación cuando se generan hallazgos
Cuando uno de los servicios de Security Command Center detecta un problema de seguridad de tu entorno, Security Command Center determina dónde almacenar el hallazgo resultante según la ubicación del recurso afectado.
Si el recurso afectado se encuentra en una ubicación de datos Security Command Center almacena el hallazgo en la misma ubicación.
Si el recurso afectado no se encuentra en una ubicación de datos admitida. no especifica una ubicación en sus metadatos, Security Command Center almacena el hallazgo en la ubicación de datos predeterminada que especificaste cuando se habilitó la residencia de datos.
Determina la ubicación cuando visualizas datos de Security Command Center
Para ver los resultados, las reglas de silencio y las exportaciones continuas de un ubicación específica en la consola de Google Cloud, primero debes configurar la vista de la consola de Google Cloud en esa ubicación.
Establece la ubicación de la vista en la esquina superior izquierda de la mayoría de las páginas de Security Command Center en la consola de Google Cloud, directamente debajo del selector de proyectos:
Cuando la vista de la consola de Google Cloud se configura en una ubicación, la consola de Google Cloud solo muestra los resultados, las reglas de silencio y las exportaciones continuas que residen en la ubicación.
Para recuperar resultados o parámetros de configuración con la API o gcloud CLI, debes especificar la ubicación en la que los resultados o la configuración de los resultados de búsqueda.
Compatibilidad con la residencia de datos para integraciones y funciones
Cuando la residencia de datos está habilitada, las siguientes características y funciones: ni las integraciones con otros productos no son compatibles:
- Resúmenes creados con IA
- Web Security Scanner
- Terraform
¿Qué sigue?
Para aprender a activar Security Command Center con residencia de datos consulta Activa Security Command Center para una organización por primera vez.