Se prevedi di abilitare la residenza dei dati quando attivi Security Command Center, la pagina fornisce le informazioni necessarie.
Puoi abilitare il supporto per la residenza dei dati solo quando attivi il livello Standard o Premium di Security Command Center per la prima volta in un'organizzazione. Il livello Enterprise non supporta la residenza dei dati.
Una volta abilitata la residenza dei dati, non puoi disabilitarla.
Quando abiliti la residenza dei dati in Security Command Center, Security Command Center archivia automaticamente i risultati che possono contenere o fare riferimento ai tuoi dati nella posizione di Security Command Center corrispondente a quella delle risorse.
Allo stesso modo, l'esportazione continua, le esportazioni di BigQuery e le configurazioni di regole di disattivazione, che possono includere i tuoi dati nei filtri, vengono archiviate nella località di Security Command Center in cui le crei, dove sono applicabili solo ai risultati in quella località.
Un rilevamento è un record di un problema di sicurezza che uno dei servizi di rilevamento di Security Command Center ha rilevato nel tuo ambiente. Un record dei risultati è composto da proprietà che descrivono il problema di sicurezza e le risorse che ne sono interessate.
Un filtro di rilevamento seleziona i risultati facendo riferimento alle relative proprietà e ai valori delle proprietà. I filtri dei risultati vengono utilizzati e salvati nelle
configurazioni delle esportazioni continue
(NotificationConfig) e delle
regole di disattivazione
(muteConfig).
Nell'ambito della residenza dei dati, si applicano le seguenti definizioni:
- Una località è una regione o più regioni di Google Cloud che corrisponde alla località in cui sono archiviati i tuoi dati.
- Il significato del termine i tuoi dati è equivalente al significato del termine "Dati dei clienti" nella voce Posizione dei dati dei Termini di servizio generali di Google Cloud.
L'opzione per abilitare la residenza dei dati è disponibile con il livello Standard e Premium di Security Command Center.
Località dei dati supportate
Security Command Center supporta solo le seguenti aree geografiche multiregionali di Google Cloud come località dei dati:
- Unione Europea (
eu) - I dati vengono archiviati in qualsiasi regione Google Cloud all'interno degli stati membri dell'Unione Europea.
- Stati Uniti (
us) - I dati vengono archiviati in qualsiasi regione Google Cloud negli Stati Uniti.
- Globale (
global) - I dati possono essere archiviati o elaborati in qualsiasi regione di Google Cloud. Se la residenza dei dati non è abilitata, Globale è l'unica località supportata.
Per saperne di più sulle località di Security Command Center, consulta Prodotti disponibili in base alla località.
Se devi specificare una località predefinita per la residenza dei dati non supportata da Security Command Center, contatta il tuo rappresentante dell'account o un esperto del team di vendita di Google Cloud.
Abilita la residenza dei dati durante l'attivazione
Puoi abilitare la residenza dei dati solo quando attivi Security Command Center per la prima volta in un'organizzazione.
Se non abiliti la residenza dei dati, la località di tutte le risorse di Security Command Center viene impostata su global e Security Command Center non limita l'archiviazione dei dati a nessuna località specifica.
È richiesta un'attivazione a livello di organizzazione.
Dopo aver attivato la residenza dei dati, non puoi disabilitarla o modificare la località predefinita.
Se attivi Security Command Center a livello di progetto o di organizzazione senza abilitare contemporaneamente la residenza dei dati, non potrai abilitare la residenza dei dati in Security Command Center in un secondo momento. Dovrai creare una nuova organizzazione Google Cloud per attivare Security Command Center con residenza dei dati.
Località dei dati predefinita
Quando abiliti la residenza dei dati di Security Command Center, l'unica località che devi specificare è la località predefinita di Security Command Center. Questo perché Security Command Center determina dove archiviare i dati in base a dove viene eseguito il deployment delle risorse.
Security Command Center utilizza la località predefinita di Security Command Center solo per archiviare i risultati che si applicano ai seguenti tipi di risorse:
- Risorse che non si trovano in una località supportata da Security Command Center
- Risorse che non includono una specifica della località nei metadati
Puoi selezionare qualsiasi località dei dati supportata come località predefinita.
Se la tua è un'azienda globale che esegue il deployment di risorse Google Cloud in più località o in più regioni, puoi scegliere la località globale come predefinita.
Se la tua azienda opera in una sola località, puoi scegliere quella come località predefinita di Security Command Center.
API Security Command Center e residenza dei dati
La residenza dei dati richiede l'API Security Command Center v2.
Se utilizzi l'API Security Command Center quando è abilitata la residenza dei dati, la versione 2 è l'unica API disponibile che puoi utilizzare.
Risorse di Security Command Center e residenza dei dati
Il seguente elenco spiega in che modo Security Command Center applica i controlli di residenza dei dati alle risorse che utilizzi quando utilizzi Security Command Center:
- Asset
I metadati delle risorse non sono soggetti al controllo della residenza dei dati. I metadati degli asset sono archiviati a livello globale in Cloud Asset Inventory.
Per questo motivo, la pagina Asset di Security Command Center mostra sempre tutte le risorse nell'organizzazione, nella cartella o nel progetto, indipendentemente dalla loro posizione o da quella in cui hai impostato la visualizzazione della console Google Cloud. Tuttavia, se la residenza dei dati è abilitata e visualizzi i dettagli di un asset, le informazioni su eventuali risultati che potrebbero influire sull'asset non sono disponibili nella pagina Asset.
- Punteggi di esposizione agli attacchi e percorsi di attacco
I punteggi di esposizione agli attacchi e i percorsi di attacco non sono soggetti al controllo sulla residenza dei dati e vengono archiviati a livello globale.
- Esportazioni BigQuery
Le configurazioni di BigQuery Export sono soggette a controlli di residenza dei dati e vengono archiviate nella località in cui le crei. Si applicano solo ai risultati residenti nella stessa località.
- Esportazioni continue
Le configurazioni dell'esportazione continua sono soggette a controlli di residenza dei dati e vengono archiviate nella località in cui le crei. Si applicano solo ai risultati residenti nella stessa località.
- Risultati
I risultati sono soggetti a controlli di residenza dei dati e vengono archiviati nella località di Security Command Center in cui si trova la risorsa interessata. Se una risorsa interessata si trova all'esterno di una località supportata o non ha un identificatore di località, gli eventuali risultati relativi all'istanza della risorsa vengono archiviati nella località predefinita.
- Regole di disattivazione
Le configurazioni delle regole di disattivazione sono soggette a controlli di residenza dei dati e vengono archiviate nella località in cui le crei. Si applicano solo ai risultati che risiedono nella stessa località.
- Impostazioni di Security Command Center
La maggior parte delle impostazioni di Security Command Center, ad esempio quelle che definiscono quali servizi sono abilitati o quale livello è attivo, non è soggetta ai controlli di residenza dei dati e viene archiviata a livello globale. Un'eccezione sono le impostazioni di configurazione per le esportazioni BigQuery, le esportazioni continue in Pub/Sub e la disattivazione delle regole. Queste impostazioni sono specifiche per la posizione in cui le crei.
Visualizzazione dei dati sulla posizione nella console Google Cloud
Quando la residenza dei dati è abilitata e selezioni una località nella console Google Cloud, ogni pagina di Security Command Center mostra i risultati, disattiva le regole e le esportazioni continue solo dalla località selezionata.
Ad esempio, se selezioni la visualizzazione globale, vengono visualizzati solo i dati globali. Per visualizzare i risultati, disattivare le regole o le esportazioni continue da un'altra località, devi cambiare la visualizzazione della console Google Cloud nell'altra località.
Determinazione della località dei dati dopo l'abilitazione
La posizione in cui vengono archiviati i risultati e le configurazioni di Security Command Center che contengono i tuoi dati viene determinata in un paio di punti dopo l'abilitazione della residenza dei dati:
- Quando tu o Security Command Center genera o crea un risultato o una configurazione.
- Quando visualizzi o recuperi un risultato o una configurazione.
Determinazione della località durante la creazione delle configurazioni
Quando crei un'esportazione continua, un'esportazione in BigQuery o una regola di disattivazione, Security Command Center archivia la configurazione risultante come risorsa. Una configurazione di esportazione continua
viene archiviata come risorsa NotificationConfig,
una configurazione di esportazione
BigQuery viene archiviata come risorsa BiqQueryExport
e una configurazione della regola di disattivazione viene archiviata come
risorsa MuteConfig.
Prima di creare una configurazione di esportazione o una regola di disattivazione, devi selezionare la località in cui crearle. La località selezionata è quella in cui si trovano i risultati che vuoi esportare o disattivare.
Nella console Google Cloud, devi impostare la visualizzazione della console Google Cloud nella località appropriata prima di creare un'esportazione continua o una regola di disattivazione dell'audio.
Quando crei un'esportazione continua o una regola di disattivazione audio utilizzando l'API Security Command Center o Google Cloud CLI, devi specificare la località nella chiamata API o nel comando gcloud che utilizzi per creare la configurazione notificationConfig o muteConfig.
Per saperne di più sulla creazione delle configurazioni, consulta:
- Crea un'esportazione continua:
- Crea una regola di disattivazione:
Determinazione della località in cui vengono generati i risultati
Quando uno dei servizi Security Command Center rileva un problema di sicurezza nel tuo ambiente, Security Command Center determina dove archiviare il risultato risultante in base alla località della risorsa interessata.
Se la risorsa interessata si trova in una località dei dati supportata da Security Command Center, Security Command Center archivia il risultato nella stessa località.
Se la risorsa interessata non si trova in una località dei dati supportata o non specifica una località nei metadati, Security Command Center archivia il risultato nella località dei dati predefinita specificata al momento dell'abilitazione della residenza dei dati.
Determinazione della località durante la visualizzazione dei dati di Security Command Center
Per visualizzare i risultati, le regole di disattivazione e le esportazioni continue di una località specifica nella console Google Cloud, devi prima impostare la vista della console Google Cloud su quella località.
Puoi impostare la posizione di visualizzazione nell'angolo in alto a sinistra della maggior parte delle pagine di Security Command Center nella console Google Cloud, direttamente sotto il selettore di progetti:
Quando la vista della console Google Cloud è impostata su una località, quest'ultima mostra solo i risultati, la disattivazione delle regole e le esportazioni continue residenti nella località.
Per recuperare i risultati o le configurazioni utilizzando l'API o gcloud CLI, devi specificare la località in cui sono archiviati i risultati o le configurazioni.
Supporto della residenza dei dati per funzionalità e integrazioni
Quando è abilitata la residenza dei dati, le seguenti funzionalità, funzioni e integrazioni con altri prodotti non sono supportate:
- Riepiloghi basati sull'AI
- Web Security Scanner
- Rapid Vulnerability Detection
- Terraform
Passaggi successivi
Per scoprire come attivare Security Command Center con la residenza dei dati abilitata, consulta Attivare Security Command Center per un'organizzazione per la prima volta.