规划数据驻留

数据驻留可让您更好地控制 Security Command Center 数据的位置 。本页面提供了有关 Security Command Center 如何支持数据驻留的基本信息。

以下定义适用于此页面：

• 位置可以是 Google Cloud 单区域或多区域 。
• “您的数据”一词的含义与其含义相同 “客户数据”（在 Google Cloud 的数据位置项中） 一般服务条款。

支持的数据位置

Security Command Center 仅支持以下 Google Cloud 多区域 数据位置：

欧盟 (eu)

Google Cloud 位于 欧盟。

美国 (us)

数据驻留在美国的任何 Google Cloud 区域。

沙特阿拉伯王国 (KSA) (sa)

数据位于沙特阿拉伯的任何 Google Cloud 区域中。

全球支持专线（global）

数据可以位于任何 Google Cloud 区域。如果未启用数据驻留，则全球 (global) 是唯一支持的位置。

如需详细了解 Security Command Center 的位置，请参阅 不同地区供应的商品。

如果您需要为数据驻留指定默认位置， Security Command Center 不支持，请与您的客户代表联系或 Google Cloud 销售专家。

数据驻留要求

仅当满足以下条件时，您才能启用数据驻留： 在组织中启用 Security Command Center 的标准层级或高级层级 我们第一次开发这个应用企业版层级不支持数据驻留。

数据驻留启用后，您无法将其停用，也无法更改默认设置 位置。此外，Gemini 的发现结果和攻击路径摘要也不适用。

数据驻留要求您使用 Security Command Center v2 API。如果数据 则您不能使用 Security Command Center API。

如果您在激活 Security Command Center 时没有启用数据驻留，则 Security Command Center 不会将您的数据限制在任何特定位置，并且 按照 Google Cloud Platform 服务条款。

地区性网址

对于沙特阿拉伯王国 (KSA) 位置，您必须使用特定于位置的网址才能访问相应管辖区的 Google Cloud 控制台，以及 gcloud CLI、Cloud 客户端库和 Security Command Center API 中的某些方法和命令：

gcloud config set api_endpoint_overrides/securitycenter \
    https://securitycenter.me-central2.rep.googleapis.com/

gcloud config unset api_endpoint_overrides/securitycenter

何时强制执行数据驻留

为 Security Command Center 启用数据驻留后，部分 Security Command Center 数据位于以下任一位置时，会保存在指定位置 州：

• 休眠状态：所有受支持的位置
• 使用中：仅限 KSA (sa)
• 传输中：仅限沙特阿拉伯 (sa)

数据驻留（静态）

当满足以下所有条件时，数据为“静态”：

• 这些数据适用于受数据驻留控制的资源类型。
• 您尚未请求需要访问数据的操作。
• 访问数据的方式不会导致 审核日志或 Access Transparency 日志。

启用数据驻留后，Security Command Center 会执行以下操作：

使用中的数据驻留

在满足以下所有条件时，数据才会被使用：

• 这些数据适用于受数据驻留控制的资源类型。
• Google Cloud 正在完成您请求发起的操作（例如，因为您的应用调用了 Security Command Center API），或者正在生成审核日志或 Access Transparency 日志的操作。
• Google Cloud 可能会以需要了解数据含义的方式对数据进行操作，例如通过更新配置资源中的特定字段。这包括 在内存中未加密

启用数据驻留后，Security Command Center 会执行以下操作：

传输中的数据驻留

当满足以下所有条件时，数据处于传输中状态：

• 数据代表的资源类型 受数据驻留控制措施的约束。
• 数据通过加密在 Google 网络内传输 或者，数据保存在内存中并进行了加密，以便传输 Google 网络内部。

启用数据驻留后，Security Command Center 会执行以下操作：

默认数据位置

对于欧盟、美国和全球位置，在您启用 Security Command Center 数据驻留后，您需要指定默认的 Security Command Center 位置。您可以选择任意 支持的数据位置作为默认位置。

Security Command Center 仅使用默认位置来存储 适用于以下类型的资源：

• 位于支持的数据位置的资源 Security Command Center
• 未在元数据中指定位置的资源

如果您在多个位置或多个区域部署 Google Cloud 资源，则可以选择“全球”(global) 位置作为默认位置。

如果您仅在单个位置部署资源，则可以选择包含该位置的多区域作为默认区域。

Security Command Center 资源和数据驻留

以下列表介绍了 Security Command Center 如何将数据驻留控制措施应用于 Security Command Center 资源。如果资源未在此处列出，则不受数据驻留控制措施的约束，并且会根据 Google Cloud Platform 服务条款进行存储。

资产

资产元数据由 Cloud Asset Inventory 存储， 不受数据驻留控制措施的约束。这些数据的存储方式符合 Google Cloud Platform 服务条款。

因此，无论资源位于何处，或者您在 Google Cloud 控制台中选择了何处，Google Cloud 控制台中的 Security Command Center 资产页面始终会显示组织、文件夹或项目中的所有资源。不过，启用数据驻留后，当您查看素材资源的详细信息时，素材资源页面不会显示影响素材资源的发现信息。

攻击风险得分和攻击路径

攻击风险得分和攻击路径 不受数据驻留控制措施的约束。这些数据的存储方式符合 Google Cloud Platform 服务条款。

BigQuery Export

BigQuery 导出配置受数据驻留控制措施的约束。

欧盟、美国和全球

创建这些资源时，您可以指定它们所在的位置。 这些配置仅适用于位于同一位置的发现。

KSA

您可以使用区域网址创建和管理这些 配置资源他们与您的 结果。

Security Command Center API 代表 BigQuery Export 作为 BiqQueryExport 资源。

持续导出

持续导出配置受数据驻留控制措施的约束。

欧盟、美国和全球

创建这些资源时，您可以指定它们所在的位置。 这些配置仅适用于位于同一位置的发现。

KSA

您可以使用区域性网址创建和管理这些配置资源。他们位于沙特阿拉伯境内，并附上您的调查结果。

Security Command Center API 将持续导出配置表示为 NotificationConfig 资源。

发现结果

发现结果受数据驻留控制措施的约束。

欧盟、美国和全球

创建发现结果后，该结果会位于受影响资源所在的 Security Command Center 位置。

如果受影响的资源不在受支持的位置，或者 没有位置标识符，则资源的发现结果位于 您的默认位置。

KSA

为位于 Cloud Storage 存储分区中的资源创建发现结果时 KSA 位置，该发现结果始终位于 KSA 位置。

为位于其他位置的资源创建发现结果后，该发现结果最终会位于沙特阿拉伯位置。但是，在执行上述操作时，发现结果可能 实例。

为确保发现结果始终位于沙特阿拉伯位置，请在沙特阿拉伯位置创建所有资源。

忽略规则

忽略规则配置受数据驻留控制措施的约束。

欧盟、美国和全球

创建这些资源时，您可以指定它们所在的位置。 这些配置仅适用于位于同一位置的发现。

KSA

您可以使用区域网址创建和管理这些 配置资源他们与您的 结果。

Security Command Center API 将忽略规则配置表示为 MuteConfig 资源。

其他 Security Command Center 资源和设置

此处未列出的 Security Command Center 资源和设置，例如 定义已启用的服务或激活的层级 受数据驻留控制措施的约束。我们会根据 Google Cloud Platform 服务条款存储这些数据。

在某个位置创建或查看数据

启用数据驻留后，您必须在创建或 查看任何 受数据驻留控制措施的约束。 Security Command Center 会自动选择存储其发现结果的位置 创建。

您一次只能在一个位置创建或查看数据。例如，如果您在“全球”(global) 位置列出发现结果，则不会在“欧盟”(eu) 位置看到发现结果。

如需创建或查看位于 Security Command Center 位置中的数据，请执行以下操作：

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

gcloud config set api_endpoint_overrides/securitycenter \
    https://securitycenter.me-central2.rep.googleapis.com/

gcloud scc findings list ORGANIZATION_ID --location=sa

gcloud scc findings list ORGANIZATION_ID --location=sa

gcloud scc findings list ORGANIZATION_ID --location=sa

GET https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings" | Select-Object -Expand Content

GET https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings" | Select-Object -Expand Content

后续步骤

• 了解如何 在启用数据驻留的情况下激活 Security Command Center。
• 启用 Security Command Center 即可 将发现结果流式传输到 BigQuery。
• 设置从 Security Command Center 到 Pub/Sub 的持续导出。
• 创建忽略规则 进行分析。