Si vous envisagez d'activer la résidence des données lorsque vous activez Security Command Center, la page fournit les informations que vous devez connaître.
Vous ne pouvez activer la prise en charge de la résidence des données que lorsque vous activez le niveau Standard ou Premium de Security Command Center pour la première fois dans une organisation. Le niveau Entreprise n'est pas compatible avec la résidence des données.
Une fois la résidence des données activée, vous ne pouvez plus la désactiver.
Lorsque vous activez la résidence des données dans Security Command Center, celui-ci stocke automatiquement les résultats pouvant contenir ou référencer vos données dans l'emplacement Security Command Center correspondant à l'emplacement des ressources.
De même, l'exportation continue, les exportations BigQuery et les configurations de règles Ignorer, qui peuvent inclure vos données dans leurs filtres, sont stockées dans l'emplacement Security Command Center où vous les créez, où elles ne s'appliquent qu'aux résultats de cet emplacement.
Un résultat est un enregistrement d'un problème de sécurité que l'un des services de détection Security Command Center a détecté dans votre environnement. Un enregistrement de résultats est composé de propriétés qui décrivent le problème de sécurité et les ressources affectées.
Un filtre de résultat sélectionne les résultats en référençant leurs propriétés et les valeurs de propriété. Les filtres de résultats sont utilisés et enregistrés dans les configurations des exportations continues (NotificationConfig) et des règles Ignorer (muteConfig).
Dans le contexte de la résidence des données, les définitions suivantes s'appliquent:
- Un emplacement est une région ou un emplacement multirégional Google Cloud qui correspond à l'emplacement dans lequel vos données sont stockées.
- La signification du terme vos données est équivalente à celle du terme "Données client" dans l'élément Emplacement des données des Conditions d'utilisation générales de Google Cloud.
L'option permettant d'activer la résidence des données est disponible avec les niveaux Standard et Premium de Security Command Center.
Emplacements de données acceptés
Security Command Center n'accepte que les emplacements multirégionaux Google Cloud suivants comme emplacement de données:
- Union européenne (
eu) - Les données sont stockées dans n'importe quelle région Google Cloud des États membres de l'Union européenne.
- États-Unis (
us) - Les données sont stockées dans n'importe quelle région Google Cloud des États-Unis.
- Numéro international (
global) - Les données peuvent être stockées ou traitées dans n'importe quelle région Google Cloud. Si la résidence des données n'est pas activée, Global est le seul emplacement accepté.
Pour en savoir plus sur les emplacements Security Command Center, consultez la page Produits disponibles par emplacement.
Si vous devez spécifier un emplacement par défaut pour la résidence des données non compatible avec Security Command Center, contactez votre responsable de compte ou un spécialiste des ventes Google Cloud.
Activer la résidence des données pendant l'activation
Vous ne pouvez activer la résidence des données que lorsque vous activez Security Command Center pour la première fois dans une organisation.
Si vous n'activez pas la résidence des données, l'emplacement de toutes les ressources Security Command Center est défini sur global, et Security Command Center ne limite pas le stockage de vos données à un emplacement particulier.
Une activation au niveau de l'organisation est requise.
Une fois la résidence des données activée, vous ne pouvez plus la désactiver ni modifier votre emplacement par défaut.
Si vous activez Security Command Center au niveau du projet ou de l'organisation sans activer simultanément la résidence des données, vous ne pourrez pas l'activer ultérieurement dans Security Command Center. Vous devez créer une organisation Google Cloud pour activer Security Command Center avec résidence des données.
Emplacement des données par défaut
Lorsque vous activez la résidence des données Security Command Center, le seul emplacement que vous devez spécifier est votre emplacement Security Command Center par défaut. En effet, Security Command Center détermine l'emplacement de stockage de vos données en fonction de l'emplacement où vos ressources sont déployées.
Security Command Center n'utilise l'emplacement par défaut de Security Command Center que pour stocker les résultats qui s'appliquent aux types de ressources suivants:
- Ressources situées en dehors d'un emplacement compatible avec Security Command Center
- Ressources dont les métadonnées n'incluent pas de spécification d'emplacement
Vous pouvez sélectionner n'importe quel emplacement de données compatible comme emplacement par défaut.
Si vous êtes une entreprise internationale qui déploie des ressources Google Cloud dans plusieurs emplacements ou emplacements multirégionaux, vous pouvez choisir l'emplacement mondial comme emplacement par défaut.
Si votre entreprise opère dans un seul emplacement, vous pouvez choisir celui-ci comme emplacement Security Command Center par défaut.
API Security Command Center et résidence des données
La résidence des données nécessite l'API Security Command Center v2.
Si vous utilisez l'API Security Command Center lorsque la résidence des données est activée, la version 2 est la seule API disponible que vous pouvez utiliser.
Ressources Security Command Center et résidence des données
La liste suivante explique comment Security Command Center applique des contrôles de résidence des données aux ressources que vous utilisez lorsque vous l'utilisez:
- Éléments
Les métadonnées de l'élément ne sont pas soumises au contrôle de résidence des données. Les métadonnées des éléments sont stockées à l'échelle mondiale dans l'inventaire des éléments cloud.
Pour cette raison, la page Éléments de Security Command Center affiche toujours toutes les ressources de votre organisation, dossier ou projet, quels que soient leur emplacement ou celui où vous avez défini la vue de la console Google Cloud. Toutefois, lorsque la résidence des données est activée et que vous affichez les détails d'un élément, les informations sur les résultats susceptibles d'affecter l'élément sont indisponibles sur la page Éléments.
- Scores d'exposition au piratage et chemins d'attaque
Les scores d'exposition aux attaques et les chemins d'attaque ne sont pas soumis au contrôle de résidence des données et sont stockés à l'échelle mondiale.
- Exportations BigQuery
Les configurations BigQuery Export sont soumises à des contrôles de résidence des données et sont stockées à l'emplacement où vous les créez. Elles ne s'appliquent qu'aux résultats résidant au même endroit.
- Exportations continues
Les configurations d'exportation continue sont soumises à des contrôles de résidence des données et sont stockées à l'emplacement où vous les créez. Elles ne s'appliquent qu'aux résultats résidant au même endroit.
- Résultats
Les résultats sont soumis aux contrôles de résidence des données et sont stockés dans l'emplacement Security Command Center où se trouve la ressource concernée. Si une ressource affectée se trouve en dehors d'un emplacement compatible ou ne possède pas d'identifiant d'emplacement, tous les résultats de l'instance de ressource sont stockés dans votre emplacement par défaut.
- Règles de masquage
Les configurations des règles Ignorer sont soumises à des contrôles de résidence des données et sont stockées à l'emplacement où vous les créez. Elles ne s'appliquent qu'aux résultats résidant dans le même lieu.
- Paramètres de Security Command Center
La plupart des paramètres de Security Command Center, tels que ceux qui définissent les services activés ou le niveau actif, ne sont pas soumis aux contrôles de résidence des données et sont stockés à l'échelle mondiale. Les paramètres de configuration des exportations BigQuery, des exportations continues vers Pub/Sub et des règles de masquage sont des exceptions. Ces paramètres sont spécifiques à l'emplacement dans lequel vous les créez.
Afficher les données de localisation dans la console Google Cloud
Lorsque la résidence des données est activée et que vous sélectionnez un emplacement dans la console Google Cloud, chaque page de Security Command Center affiche les résultats, les règles de masquage et les exportations continues provenant uniquement de l'emplacement sélectionné.
Par exemple, lorsque vous sélectionnez la vue globale, seules les données globales s'affichent. Pour afficher les résultats, les règles Ignorer ou les exportations continues à partir d'un autre emplacement, vous devez déplacer la vue de la console Google Cloud vers l'autre emplacement.
Déterminer l'emplacement des données après l'activation
L'emplacement dans lequel les résultats et les configurations Security Command Center contenant vos données sont stockés est déterminé après l'activation de la résidence des données:
- Lorsque vous ou Security Command Center générez ou créez un résultat ou une configuration.
- Lorsque vous affichez ou récupérez un résultat ou une configuration.
Déterminer l'emplacement lorsque vous créez des configurations
Lorsque vous créez une exportation continue, une exportation BigQuery ou une règle Ignorer, Security Command Center stocke la configuration résultante en tant que ressource. Une configuration d'exportation continue est stockée en tant que ressource NotificationConfig, une configuration d'exportation BigQuery est stockée en tant que ressource BiqQueryExport, et une configuration de règle Ignorer est stockée en tant que ressource MuteConfig.
Avant de créer une configuration d'exportation ou une règle Ignorer, vous devez sélectionner l'emplacement dans lequel les créer. L'emplacement que vous sélectionnez est celui où se trouvent les résultats que vous souhaitez exporter ou ignorer.
Dans la console Google Cloud, vous devez définir sa vue sur l'emplacement approprié avant de créer une exportation continue ou une règle Ignorer.
Lorsque vous créez une exportation continue ou une règle Ignorer à l'aide de l'API Security Command Center ou de Google Cloud CLI, vous spécifiez l'emplacement dans l'appel d'API ou la commande gcloud que vous utilisez pour créer la configuration notificationConfig ou muteConfig.
Pour en savoir plus sur la création de configurations, consultez les pages suivantes:
- Créez une exportation continue :
- Créez une règle Ignorer :
Déterminer l'emplacement lors de la génération des résultats
Lorsque l'un des services Security Command Center détecte un problème de sécurité dans votre environnement, Security Command Center détermine où stocker le résultat obtenu en fonction de l'emplacement de la ressource concernée.
Si la ressource concernée se trouve dans un emplacement de données compatible avec Security Command Center, celui-ci stocke le résultat au même emplacement.
Si la ressource concernée ne se trouve pas dans un emplacement de données compatible ou ne spécifie pas d'emplacement dans ses métadonnées, Security Command Center stocke le résultat dans l'emplacement de données par défaut que vous avez spécifié lors de l'activation de la résidence des données.
Déterminer l'emplacement lors de l'affichage des données Security Command Center
Pour afficher les résultats, les règles Ignorer et les exportations continues d'un emplacement spécifique dans la console Google Cloud, vous devez d'abord définir la vue de la console Google Cloud sur cet emplacement.
Vous pouvez définir l'emplacement de votre vue en haut à gauche de la plupart des pages Security Command Center de la console Google Cloud, juste en dessous du sélecteur de projet:
Lorsque la vue de la console Google Cloud est définie sur un emplacement, la console Google Cloud n'affiche que les résultats, les règles Ignorer et les exportations continues qui résident dans l'emplacement.
Pour récupérer des résultats ou des configurations à l'aide de l'API ou de la gcloud CLI, vous devez spécifier l'emplacement dans lequel les résultats ou les configurations sont stockés.
Prise en charge de la résidence des données pour les fonctionnalités et les intégrations
Lorsque la résidence des données est activée, les fonctionnalités, fonctions et intégrations à d'autres produits suivantes ne sont pas disponibles:
- Résumés générés par l'IA
- Les fonctionnalités d'analyse gérées
- Détection rapide des failles
- Terraform
Étapes suivantes
Pour savoir comment activer Security Command Center lorsque la résidence des données est activée, consultez Activer Security Command Center pour une organisation pour la première fois.