La residencia de datos te da más control sobre la ubicación de tus datos de Security Command Center. ubicado. En esta página, se proporciona información esencial sobre cómo Security Command Center ayuda a la residencia de los datos.
Las siguientes definiciones se aplican a esta página:
- Una ubicación es una región o multirregión de Google Cloud. que corresponda a la ubicación en la que se encuentran sus datos.
- El significado del término tus datos es equivalente al significado del término. “Datos del cliente”: en el elemento Ubicación de los datos de Google Cloud Condiciones Generales del Servicio.
Ubicaciones de datos admitidas
Security Command Center solo admite las siguientes multirregiones de Google Cloud como ubicaciones de datos:
- Unión Europea (
eu
) - Los datos residen en cualquier región de Google Cloud dentro de los estados miembros del Unión Europea.
- United States (
us
) - Los datos residen en cualquier región de Google Cloud en Estados Unidos.
- Reino de Arabia Saudita (KSA) (
sa
) - Los datos residen en cualquier región de Google Cloud en KSA.
- Global (
global
) - Los datos pueden residir en cualquier región de Google Cloud. Si la residencia de los datos no es
entonces Global (
global
) es la única ubicación admitida.
Para obtener más información sobre las ubicaciones de Security Command Center, consulta Productos disponibles por ubicación.
Si necesitas especificar una ubicación predeterminada para la residencia de datos que Security Command Center no admite, comunícate con tu representante de cuenta o con un especialista en ventas de Google Cloud.
Requisitos para la residencia de datos
Puedes habilitar la residencia de datos solo cuando activas el nivel Estándar o Premium de Security Command Center en una organización por primera vez. El nivel Enterprise no admite la residencia de datos.
Después de habilitar la residencia de datos, no puedes inhabilitarla ni cambiar la configuración predeterminada ubicación. Además, Resúmenes de Gemini de los hallazgos y las rutas de ataque no están disponibles.
La residencia de datos requiere que uses la API de Security Command Center v2. Si los datos la residencia está habilitada, no puedes usar versiones anteriores del API de Security Command Center.
Si no habilitas la residencia de datos cuando activas Security Command Center, Security Command Center no restringe tus datos a ninguna ubicación en particular. se almacena de conformidad con la Condiciones del Servicio de Google Cloud Platform.
URLs regionales
Para la ubicación del Reino de Arabia Saudita (KSA), debes usar URLs específicas de ubicación para lo siguiente: acceder a la consola jurisdiccional de Google Cloud, así como a algunos métodos y comandos en gcloud CLI, las bibliotecas cliente de Cloud y la API de Security Command Center:
Console
Para acceder a Security Command Center, usa la consola de Google Cloud de la jurisdicción, https://console.sa.cloud.google.com/.
La consola jurisdiccional de Google Cloud te permite acceder a Security Command Center en las ubicaciones globales y de KSA.
gcloud
Para acceder a los datos en la ubicación de Arabia Saudita, los siguientes grupos de comandos de la CLI de gcloud requieren que uses el extremo de servicio regional de la API de Security Command Center:
gcloud scc bqexports
: Administra las configuraciones de exportación de BigQuery.gcloud scc findings
: administra los resultados.gcloud scc muteconfigs
: administra parámetros de configuración de reglas de silenciogcloud scc notifications
: administra parámetros de configuración de exportación continua
Además, el grupo de comandos gcloud scc operations
no está disponible para operaciones de larga duración en la ubicación de Arabia Saudita. Por ejemplo, no puedes verificar el estado de una red
para silenciar resultados de forma masiva.
Para todos los demás grupos de comandos gcloud scc
, debes usar el extremo de servicio
predeterminado de la API de Security Command Center.
Para cambiar al extremo de servicio regional, ejecuta el siguiente comando:
gcloud config set api_endpoint_overrides/securitycenter \
https://securitycenter.me-central2.rep.googleapis.com/
Para cambiar al extremo de servicio predeterminado, ejecuta el siguiente comando:
gcloud config unset api_endpoint_overrides/securitycenter
Si lo prefieres, puedes crear
configuración con nombre para
gcloud CLI que use el extremo del servicio regional, luego, cambia a
esa configuración nombrada antes de ejecutar comandos de Security Command Center en
Ubicación de KSA. Para cambiar a una configuración con nombre, ejecuta el
gcloud config configurations activate
.
REST
Para la ubicación de Arabia Saudita, la API de Security Command Center usa el extremo de servicio regional https://securitycenter.me-central2.rep.googleapis.com/
.
Para acceder a los siguientes tipos de recursos de la API de REST en la ubicación de Arabia Saudita, debes usar el extremo de servicio regional de Security Command Center:
folders.locations.bigQueryExports
folders.locations.findings
folders.locations.muteConfigs
folders.locations.notificationConfigs
organizations.locations.bigQueryExports
organizations.locations.findings
organizations.locations.muteConfigs
organizations.locations.notificationConfigs
projects.locations.bigQueryExports
projects.locations.findings
projects.locations.muteConfigs
projects.locations.notificationConfigs
Además, no puedes llamar a ningún método para los recursos organizations.operations
en la ubicación de Arabia Saudita. Por ejemplo, no puedes verificar el estado de una operación de larga duración para silenciar resultados de forma masiva.
Para todos los demás tipos de recursos, debes usar el extremo de servicio predeterminado para el
API de Security Command Center, https://securitycenter.googleapis.com/
.
Bibliotecas cliente
Para administrar los siguientes tipos de recursos en la ubicación de KSA, debes anular el extremo del servicio predeterminado cuando creas un cliente para Security Command Center:
- Configuraciones de exportación de BigQuery
- Parámetros de configuración de exportación continua
- Resultados
- Parámetros de configuración de las reglas de silencio
Usar el extremo https://securitycenter.me-central2.rep.googleapis.com
para estos recursos
de tipos de datos.
Para todos los demás tipos de recursos, debes usar el extremo de servicio predeterminado para el
API de Security Command Center, https://securitycenter.googleapis.com
.
Para aprender a anular el extremo del servicio en las bibliotecas cliente de Cloud, consulta las instrucciones para Go y Java.
Cuándo se aplica la residencia de datos
Cuando habilitas la residencia de datos para Security Command Center, los datos se guardan en una ubicación específica cuando se encuentran en una de las siguientes ubicaciones: estados:
- En reposo: Todas las ubicaciones admitidas
- En uso: Solo KSA (
sa
) - En tránsito: Solo KSA (
sa
)
Residencia de los datos en reposo
Los datos están en reposo cuando se cumplen todos los siguientes criterios:
- Los datos corresponden a un tipo de recurso que se sujetos a controles de residencia de datos.
- No solicitaste una operación que requiera acceso a los datos.
- No se está accediendo a los datos de una manera que genere registros de auditoría ni registros de Transparencia de acceso.
Cuando habilitas la residencia de datos, Security Command Center hace lo siguiente:
UE, EE.UU. y global
Si es posible, cuando los datos de los hallazgos están en reposo, Security Command Center los almacena en la multirregión de Google Cloud en la que se encuentran tus recursos.
De lo contrario, cuando los datos de los hallazgos están en reposo, se almacenan ubicación predeterminada que elijas.
Cuando se crean los recursos de configuración están en reposo, Security Command Center los almacena en la ubicación predeterminada que elijas.
En los casos en que Security Command Center almacena datos que no son Datos del Cliente, según se define en el artículo Ubicación de los Datos de las Condiciones Generales del Servicio de Google Cloud, Security Command Center almacena los datos inactivos de acuerdo con las Condiciones del Servicio de Google Cloud Platform.
KSA
- Cuando se crea un hallazgo para un recurso que reside en la ubicación de KSA, ese hallazgo siempre reside en la ubicación de KSA en reposo.
- Cuando se crea un hallazgo para un recurso que reside en otra ubicación, el hallazgo reside en la ubicación en reposo de la KSA. Sin embargo, el hallazgo podría residir temporalmente en una región en reposo diferente.
- Cuando creas tipos específicos de recursos de configuración en la ubicación de Arabia Saudita y esos recursos están inactivos, residen en la ubicación de Arabia Saudita.
-
En los casos en que Security Command Center almacene datos que no sean datos del cliente, como definido en el elemento Ubicación de los datos en Google Cloud Condiciones generales del servicio, Security Command Center almacena las datos en reposo de acuerdo con el Condiciones del Servicio de Google Cloud Platform.
Residencia de datos en uso
Los datos están en uso cuando se cumplen todos los siguientes criterios:
- Los datos corresponden a un tipo de recurso que se sujetos a controles de residencia de datos.
- Google Cloud completa una operación que se inició con tu solicitud (por ejemplo, porque tu aplicación llamó a la API de Security Command Center)o una operación que produce registros de auditoría o registros de Transparencia de acceso.
- Es posible que Google Cloud opere en los datos de una manera que requiera conocimiento del significado de los datos, por ejemplo, actualizando campos específicos en un recurso de configuración. Esto incluye cualquier caso en el que los datos no estén encriptados en la memoria.
Cuando habilitas la residencia de datos, Security Command Center hace lo siguiente:
UE, EE.UU. y global
En la UE, EE.UU. y ubicaciones globales, los datos en uso no están sujetos a la residencia de los datos. controles de seguridad.
KSA
- Cuando se crea un hallazgo para un recurso que reside en el Ubicación de KSA, que siempre se encuentra en la ubicación de KSA en uso.
- Cuando se crea un hallazgo para un recurso que reside en otra ubicación, este finalmente reside en la ubicación de Arabia Saudita en uso. Sin embargo, Es posible que el hallazgo resida temporalmente en otra región en uso.
- Cuando creas tipos específicos de recursos de configuración ubicación de KSA y esos recursos están en uso, se encuentran en Ubicación de KSA.
-
En los casos en que Security Command Center almacene datos que no sean datos del cliente, como definido en el elemento Ubicación de los datos en Google Cloud Condiciones generales del servicio, Security Command Center almacena las datos en uso de acuerdo con el Condiciones del Servicio de Google Cloud Platform.
Residencia de datos en tránsito
Los datos están en tránsito cuando se cumplen todos los criterios que se indican a continuación:
- Los datos corresponden a un tipo de recurso que está sujeto a controles de residencia de datos.
- Los datos se transmiten, con encriptación, dentro de la red de Google, o los datos están en la memoria, con encriptación, para transmitirlos dentro de la red de Google.
Cuando habilitas la residencia de datos, Security Command Center hace lo siguiente:
UE, EE.UU. y global
En las ubicaciones de la UE, EE.UU. y globales, los datos en tránsito no están sujetos a controles de residencia de datos.
KSA
- Cuando se crea un hallazgo para un recurso que reside en el Ubicación de KSA, que siempre se encuentra en la ubicación de KSA en tránsito.
- Cuando se crea un hallazgo para un recurso que reside en otra ubicación, el del hallazgo residirán en la ubicación de la KSA en tránsito. Sin embargo, el hallazgo podría residir temporalmente en una región diferente en tránsito.
- Cuando creas tipos específicos de recursos de configuración en la ubicación de Arabia Saudita y esos recursos están en tránsito, residen en la ubicación de Arabia Saudita.
-
En los casos en que Security Command Center almacene datos que no sean datos del cliente, como definido en el elemento Ubicación de los datos en Google Cloud Condiciones generales del servicio, Security Command Center almacena las datos en tránsito de conformidad con el Condiciones del Servicio de Google Cloud Platform.
Ubicación de datos predeterminada
Para las ubicaciones de la UE, EE.UU. y el mundo, cuando habilitas la residencia de datos de Security Command Center, especificas una ubicación predeterminada de Security Command Center. Puedes seleccionar cualquier ubicación de datos compatible como tu ubicación predeterminada.
Security Command Center usa la ubicación predeterminada solo para almacenar los resultados en reposo que se aplican a los siguientes tipos de recursos:
- Los recursos que no se encuentran en una ubicación de datos admitida para Security Command Center
- Recursos que no especifican una ubicación en sus metadatos
Si implementas recursos de Google Cloud en varias ubicaciones o regiones, puedes elegir la ubicación global (global
) como predeterminada.
Si implementas recursos solo en una ubicación, podrías elegir la multirregional que incluya esa ubicación como la predeterminada.
Recursos y residencia de datos de Security Command Center
En la siguiente lista, se explica cómo Security Command Center aplica controles de residencia de datos a los recursos de Security Command Center. Si un recurso no aparece aquí, no estará sujeta a controles de residencia de datos y se almacenará de conformidad con las Condiciones del Servicio de Google Cloud Platform.
- Recursos
Cloud Asset Inventory almacena los metadatos de activos y no está sujeta a controles de residencia de datos. Estos datos se almacenan de conformidad con con las Condiciones del Servicio de Google Cloud Platform.
Por este motivo, la página Recursos de Security Command Center en la La consola de Google Cloud siempre muestra todos los recursos de tu organización, carpeta o proyecto, sin importar su ubicación o la ubicación en la que seleccionar en la consola de Google Cloud. Sin embargo, cuando la residencia de datos está habilitada, y ves los detalles de un activo, la página Activos no muestra datos sobre los resultados que afectan al recurso.
- Puntuaciones de exposición a ataques y rutas de ataque
Puntuaciones de exposición a ataques y rutas de ataque y no están sujetos a controles de residencia de datos. Estos datos se almacenan de conformidad con con las Condiciones del Servicio de Google Cloud Platform.
- Exportaciones de BigQuery
Las configuraciones de exportación de BigQuery están sujetas a controles de residencia de datos.
UE, EE.UU. y global
Cuando creas estos recursos, especificas la ubicación en la que residen. Estas configuraciones solo se aplican a los resultados que residen en la misma ubicación.
KSA
Usa las URLs regionales para crear y administrar estas URLs de configuración de Terraform. Se encuentran en la ubicación de Arabia Saudita, junto con tus hallazgos.
La API de Security Command Center representa la exportación de BigQuery parámetros de configuración como
BiqQueryExport
de Google Cloud.- Exportaciones continuas
Las configuraciones de exportación continua están sujetas a controles de residencia de datos.
UE, EE.UU. y global
Cuando creas estos recursos, especificas la ubicación en la que residen. Estas configuraciones solo se aplican a los resultados que residen en la misma ubicación.
KSA
Usa las URLs regionales para crear y administrar estas URLs de configuración de Terraform. Residen en la ubicación de KSA, junto con tu de los resultados de búsqueda.
La API de Security Command Center representa configuraciones de exportación continua como
NotificationConfig
de Google Cloud.- Resultados
Los hallazgos están sujetos a controles de residencia de datos.
UE, EE.UU. y global
Cuando se crea un hallazgo, reside en la ubicación de Security Command Center en la que se encuentra el recurso afectado.
Si un recurso afectado está fuera de una ubicación admitida no tiene un identificador de ubicación, los resultados del recurso residen en tu ubicación predeterminada.
KSA
Cuando se crea un hallazgo para un recurso que reside en la ubicación de KSA, este siempre reside en la ubicación de KSA.
Cuando se crea un hallazgo para un recurso que reside en otra ubicación, este finalmente reside en la ubicación de Arabia Saudita. Sin embargo, es posible que el hallazgo resida en una región diferente en el momento en que se crea.
Para garantizar que los hallazgos siempre estén en la ubicación de KSA, crear todos los recursos en la ubicación de KSA.
- Reglas de silencio
Las configuraciones de las reglas de silencio están sujetas a los controles de residencia de datos.
UE, EE.UU. y global
Cuando creas estos recursos, especificas la ubicación en la que residen. Estas configuraciones solo se aplican a los resultados que residen en la misma ubicación.
KSA
Usa las URLs regionales para crear y administrar estos recursos de configuración. Se encuentran en la ubicación de Arabia Saudita, junto con tus hallazgos.
La API de Security Command Center representa los parámetros de configuración de reglas de silencio, como
MuteConfig
de Google Cloud.- Otros recursos y parámetros de configuración de Security Command Center
Los recursos y parámetros de configuración de Security Command Center que no se enumeran aquí, como aquellas que definen qué servicios están habilitados o qué nivel está activo, no se sujeta a controles de residencia de datos. Estos datos se almacenan de conformidad con la Condiciones del Servicio de Google Cloud Platform.
Cómo crear o ver datos en una ubicación
Cuando la residencia de datos está habilitada, debes especificar una ubicación cuando crees o veas datos que están sujetos a controles de residencia de datos. Security Command Center elige automáticamente una ubicación para los hallazgos crea.
Solo puedes crear o ver datos en una ubicación a la vez. Por ejemplo, si
enumerar los hallazgos en la ubicación Global (global
), entonces no verás resultados en
la ubicación de la Unión Europea (eu
).
Para crear o ver datos que residen en una ubicación de Security Command Center, sigue estos pasos: lo siguiente:
Console
UE, EE.UU. y global
En la consola de Google Cloud, ve a Security Command Center.
Para cambiar la ubicación de los datos, haz clic en el selector de ubicación de la barra de acciones.
Aparecerá una lista de ubicaciones. Selecciona la nueva ubicación.
KSA
En la consola jurisdiccional de Google Cloud para la ubicación de KSA, ve a Security Command Center.
gcloud
UE, EE.UU. y global
Usa la marca --location=LOCATION
cuando ejecutes Google Cloud CLI, como se muestra en el siguiente ejemplo.
El
gcloud scc findings list
enumera los hallazgos de una organización en una ubicación específica.
Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:
-
ORGANIZATION_ID
: El ID numérico de la organización -
LOCATION
: Es la ubicación en la que se almacenan los datos. por ejemplo,eu
oglobal
Ejecuta el
gcloud scc findings list
:
Linux, macOS o Cloud Shell
gcloud scc findings list ORGANIZATION_ID --location=LOCATION
Windows (PowerShell)
gcloud scc findings list ORGANIZATION_ID --location=LOCATION
Windows (cmd.exe)
gcloud scc findings list ORGANIZATION_ID --location=LOCATION
La respuesta contiene una lista de hallazgos.
KSA
Configura gcloud CLI para usar el balanceador de cargas regional de la ubicación de KSA extremo de servicio para la API de Security Command Center:
gcloud config set api_endpoint_overrides/securitycenter \
https://securitycenter.me-central2.rep.googleapis.com/
Luego, debes usar la marca --location=sa
cuando ejecutes el
Google Cloud CLI, como se muestra en el siguiente ejemplo.
El
gcloud scc findings list
enumera los hallazgos de una organización en una ubicación específica.
Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:
-
ORGANIZATION_ID
: El ID numérico de la organización
Ejecuta el comando
gcloud scc findings list
:
:
Linux, macOS o Cloud Shell
gcloud scc findings list ORGANIZATION_ID --location=sa
Windows (PowerShell)
gcloud scc findings list ORGANIZATION_ID --location=sa
Windows (cmd.exe)
gcloud scc findings list ORGANIZATION_ID --location=sa
La respuesta contiene una lista de hallazgos.
REST
UE, EE.UU. y global
Usa un extremo de API que incluya locations/LOCATION
en la ruta, como se muestra en el siguiente ejemplo.
Las APIs de Security Command Center
organizations.sources.locations.findings.list
enumera los hallazgos de una organización en una ubicación específica.
Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:
-
ORGANIZATION_ID
: El ID numérico de la organización -
LOCATION
: Es la ubicación en la que se almacenan los datos. por ejemplo,eu
oglobal
Método HTTP y URL:
GET https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings
Para enviar tu solicitud, expande una de estas opciones:
La respuesta contiene una lista de hallazgos.
KSA
Usa el extremo de servicio regional de la ubicación de KSA para llamar a la API, como se muestra en el siguiente ejemplo.
Las APIs de Security Command Center
organizations.sources.locations.findings.list
enumera los hallazgos de una organización en una ubicación específica.
Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:
-
ORGANIZATION_ID
: El ID numérico de la organización
Método HTTP y URL:
GET https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings
Para enviar tu solicitud, expande una de estas opciones:
La respuesta contiene una lista de hallazgos.
¿Qué sigue?
- Aprende a hacer lo siguiente: Activar Security Command Center con la residencia de datos habilitada.
- Habilita Security Command Center para que transmita los resultados a BigQuery.
- Configuración exportaciones continuas de Security Command Center a Pub/Sub.
- Crea una regla de silenciamiento para los hallazgos.