Si planeas habilitar la residencia de datos cuando actives Security Command Center, la página proporciona la información que necesitas saber.
Puedes habilitar la compatibilidad con la residencia de datos solo cuando activas el nivel Premium de Security Command Center por primera vez en una organización. El nivel Enterprise no admite la residencia de datos.
Después de habilitar la residencia de datos, no puedes inhabilitarla.
Cuando habilitas la residencia de datos en Security Command Center, Security Command Center almacena automáticamente los resultados que pueden contener tus datos o hacer referencia a ellos en la ubicación de Security Command Center que corresponde a la ubicación de los recursos.
De manera similar, la exportación continua, las exportaciones de BigQuery y la configuración de las reglas de silencio, que pueden incluir tus datos en sus filtros, se almacenan en la ubicación de Security Command Center en la que las creas, en la que se aplican solo a los resultados en esa ubicación.
Un resultado es un registro de un problema de seguridad que uno de los servicios de detección de Security Command Center detectó en tu entorno. Un registro de resultados está compuesto por propiedades que describen el problema de seguridad y los recursos a los que afecta.
Un filtro de resultados selecciona resultados haciendo referencia a sus propiedades y sus valores. Los filtros de resultados se usan y guardan en la configuración de las exportaciones continuas (NotificationConfig) y las reglas de silencio (muteConfig).
En el contexto de la residencia de datos, se aplican las siguientes definiciones:
- Una ubicación es una región o multirregión de Google Cloud que corresponde a la ubicación en la que se almacenan tus datos.
- El significado del término tus datos equivale al del término “Datos del cliente” en el elemento Ubicación de los datos de las Condiciones del Servicio General de Google Cloud.
La opción para habilitar la residencia de datos está disponible con los niveles Estándar y Premium de Security Command Center.
Ubicaciones de datos compatibles
Security Command Center solo admite las siguientes multirregiones de Google Cloud como ubicación de datos:
- Unión Europea (
eu) - Los datos se almacenan en cualquier región de Google Cloud dentro de los estados miembros de la Unión Europea.
- United States (
us) - Los datos se almacenan en cualquier región de Google Cloud en Estados Unidos.
- Global (
global) - Los datos se pueden almacenar o procesar en cualquier región de Google Cloud. Si la residencia de datos no está habilitada, la única ubicación admitida es Global.
Para obtener más información sobre las ubicaciones de Security Command Center, consulta Productos disponibles por ubicación.
Si necesitas especificar una ubicación predeterminada para la residencia de datos que Security Command Center no admite, comunícate con tu representante de cuenta o con un especialista en ventas de Google Cloud.
Habilitar la residencia de los datos durante la activación
Puedes habilitar la residencia de datos solo cuando activas Security Command Center por primera vez en una organización.
Si no habilitas la residencia de datos, la ubicación de todos los recursos de Security Command Center se establece en global, y Security Command Center no restringe el almacenamiento de tus datos a ninguna ubicación en particular.
Se requiere una activación a nivel de la organización.
Después de habilitar la residencia de datos, no puedes inhabilitarla ni cambiar tu ubicación predeterminada.
Si activas Security Command Center a nivel del proyecto o de la organización sin habilitar la residencia de los datos al mismo tiempo, no podrás habilitarla más adelante en Security Command Center. Deberás crear una organización de Google Cloud nueva para activar Security Command Center con residencia de datos.
Ubicación predeterminada de los datos
Cuando habilitas la residencia de datos de Security Command Center, la única ubicación que debes especificar es la ubicación predeterminada de Security Command Center. Esto se debe a que Security Command Center determina dónde necesita almacenar los datos según dónde se implementan los recursos.
Security Command Center usa la ubicación predeterminada de Security Command Center solo para almacenar resultados que se aplican a los siguientes tipos de recursos:
- Recursos que no se encuentran en una ubicación compatible con Security Command Center
- Recursos que no incluyen una especificación de ubicación en sus metadatos
Puedes seleccionar cualquier ubicación de datos admitida como tu ubicación predeterminada.
Si eres una empresa global que implementa recursos de Google Cloud en varias ubicaciones o multirregiones, puedes elegir la ubicación global como la predeterminada.
Si tu empresa opera en una sola ubicación, puedes elegirla como la ubicación predeterminada de Security Command Center.
Residencia de datos y API de Security Command Center
La residencia de datos requiere la API de Security Command Center v2.
Si usas la API de Security Command Center cuando la residencia de datos está habilitada, v2 es la única API disponible que puedes usar.
Residencia de datos y recursos de Security Command Center
En la siguiente lista, se explica cómo Security Command Center aplica controles de residencia de datos a los recursos que usas cuando trabajas con Security Command Center:
- Recursos
Los metadatos del activo no están sujetos al control de residencia de los datos. Los metadatos de recursos se almacenan de forma global en Cloud Asset Inventory.
Por este motivo, en la página Recursos de Security Command Center siempre se muestran todos los recursos de tu organización, carpeta o proyecto, sin importar su ubicación o la ubicación en la que configures la vista de la consola de Google Cloud. Sin embargo, cuando la residencia de datos está habilitada y ves los detalles de un recurso, la información sobre los hallazgos que podrían afectar al recurso no está disponible en la página Recursos.
- Puntuaciones de exposición a ataques y rutas de ataque
Las puntuaciones de exposición a ataques y las rutas de ataque no están sujetas al control de residencia de datos y se almacenan de forma global.
- exportaciones de BigQuery
Los parámetros de configuración de BigQuery Export están sujetos a controles de residencia de datos y se almacenan en la ubicación en la que los creaste. Solo se aplican a los resultados que residen en la misma ubicación.
- Exportaciones continuas
Los parámetros de configuración de la exportación continua están sujetos a controles de residencia de datos y se almacenan en la ubicación en la que los creaste. Solo se aplican a los resultados que residen en la misma ubicación.
- Hallazgos
Los resultados están sujetos a controles de residencia de datos y se almacenan en la ubicación de Security Command Center donde se encuentra el recurso afectado. Si un recurso afectado se encuentra fuera de una ubicación compatible o no tiene un identificador de ubicación, los resultados de la instancia del recurso se almacenan en tu ubicación predeterminada.
- Reglas de silencio
La configuración de las reglas de silenciamiento está sujeta a controles de residencia de datos y se almacena en la ubicación en la que los creaste. Solo se aplican a los hallazgos que residan en la misma ubicación.
- Configuración de Security Command Center
La mayoría de las opciones de configuración de Security Command Center, como las que definen qué servicios están habilitados o qué nivel está activo, no están sujetas a los controles de residencia de datos y se almacenan de forma global. Una excepción son los parámetros de configuración para las exportaciones de BigQuery, las exportaciones continuas a Pub/Sub y las reglas de silenciamiento. Esta configuración es específica de la ubicación en la que los creas.
Visualiza los datos de ubicación en la consola de Google Cloud
Cuando la residencia de datos está habilitada y seleccionas una ubicación en la consola de Google Cloud, cada página de Security Command Center muestra los resultados, las reglas de silenciamiento y las exportaciones continuas solo de la ubicación seleccionada.
Por ejemplo, si seleccionas la vista global, solo verás los datos globales. Para ver los resultados, las reglas de silenciamiento o las exportaciones continuas desde otra ubicación, debes cambiar la vista de la consola de Google Cloud a la otra ubicación.
Determina la ubicación de los datos después de la habilitación
La ubicación en la que se almacenan los resultados y la configuración de Security Command Center que contienen tus datos se determina en un par de puntos después de que se habilita la residencia de los datos:
- Cuando tú o Security Command Center generan o crean un resultado o una configuración.
- Cuando ves o recuperas un resultado o una configuración.
Determina la ubicación cuando creas configuraciones
Cuando creas una exportación continua, una exportación a BigQuery o una regla de silencio, Security Command Center almacena la configuración resultante como un recurso. Una configuración de exportación continua se almacena como un recurso NotificationConfig, una configuración de exportación de BigQuery se almacena como un recurso BiqQueryExport y una configuración de regla de silencio se almacena como un recurso MuteConfig.
Antes de crear una configuración de exportación o una regla de silenciamiento, debes seleccionar la ubicación en la que deseas crearlas. La ubicación que selecciones es la ubicación en la que residen los resultados que quieres exportar o silenciar.
En la consola de Google Cloud, debes configurar la vista de la consola de Google Cloud en la ubicación adecuada antes de crear una regla de exportación continua o silenciamiento.
Cuando creas una regla de silencio o exportaciones continuas con la API de Security Command Center o Google Cloud CLI, debes especificar la ubicación en la llamada a la API o en el comando gcloud que usas para crear la configuración notificationConfig o muteConfig.
Para obtener más información sobre cómo crear configuraciones, consulta:
- Crea una exportación continua:
- Crea una regla de silenciamiento:
Determinar la ubicación cuando se generan los hallazgos
Cuando uno de los servicios de Security Command Center detecta un problema de seguridad en tu entorno, Security Command Center determina dónde almacenar el resultado resultante según la ubicación del recurso afectado.
Si el recurso afectado se encuentra en una ubicación de datos que admite Security Command Center, Security Command Center almacena el resultado en la misma ubicación.
Si el recurso afectado no está en una ubicación de datos compatible o no especifica una ubicación en sus metadatos, Security Command Center almacena el resultado en la ubicación de datos predeterminada que especificaste cuando se habilitó la residencia de datos.
Determina la ubicación cuando ves datos de Security Command Center
Para ver los resultados, las reglas de silenciamiento y las exportaciones continuas de una ubicación específica en la consola de Google Cloud, primero debes configurar la vista de la consola de Google Cloud en esa ubicación.
Puedes establecer la ubicación de la vista en la esquina superior izquierda de la mayoría de las páginas de Security Command Center en la consola de Google Cloud, justo debajo del selector de proyectos:
Cuando la vista de la consola de Google Cloud se establece en una ubicación, la consola de Google Cloud solo muestra los resultados, las reglas de silenciamiento y las exportaciones continuas que residen en esa ubicación.
Para recuperar resultados o configuraciones mediante la API o la gcloud CLI, debes especificar la ubicación en la que se almacenan los resultados o las configuraciones.
Compatibilidad de residencia de datos para integraciones y funciones
Cuando la residencia de datos está habilitada, no se admiten las siguientes integraciones, funciones y funciones con otros productos:
- Resúmenes basados en IA
- Web Security Scanner
- Detección rápida de vulnerabilidades
- Terraform
¿Qué sigue?
Si quieres obtener información para activar Security Command Center con la residencia de datos habilitada, consulta Activa Security Command Center para una organización por primera vez.