Si vous envisagez d'activer la résidence des données lorsque vous activez Security Command Center, la page fournit les informations que vous devez connaître.
Vous ne pouvez activer la résidence des données que lorsque vous activez le niveau Premium de Security Command Center pour la première fois dans une organisation. Le niveau Entreprise n'est pas compatible avec la résidence des données.
Une fois la résidence des données activée, vous ne pouvez plus la désactiver.
Lorsque vous activez la résidence des données dans Security Command Center, celui-ci stocke automatiquement les résultats pouvant contenir ou référencer vos données à l'emplacement Security Command Center correspondant à l'emplacement des ressources.
De même, l'exportation continue, les exportations BigQuery et les configurations de règles Ignorer, qui peuvent inclure vos données dans leurs filtres, sont stockées dans l'emplacement Security Command Center dans lequel vous les créez. Elles ne s'appliquent qu'aux résultats de cet emplacement.
Un résultat est un enregistrement d'un problème de sécurité que l'un des services de détection Security Command Center a détecté dans votre environnement. Un enregistrement de résultat est composé des propriétés qui décrivent le problème de sécurité et les ressources affectées.
Un filtre de recherche sélectionne les résultats en référençant leurs propriétés et les valeurs de propriété. Les filtres de résultats sont utilisés et enregistrés dans les configurations des exportations continues (NotificationConfig) et des règles de masquage (muteConfig).
Dans le contexte de la résidence des données, les définitions suivantes s'appliquent:
- Un emplacement est une région ou un emplacement multirégional Google Cloud correspondant à l'emplacement dans lequel vos données sont stockées.
- La signification du terme vos données équivaut à celle du terme "Données client" dans l'élément Emplacement des données des Conditions d'utilisation générales de Google Cloud.
L'option permettant d'activer la résidence des données est disponible avec les niveaux Standard et Premium de Security Command Center.
Emplacements de données acceptés
Security Command Center n'est compatible qu'avec les emplacements multirégionaux Google Cloud suivants:
- Union européenne (
eu) - Les données sont stockées dans n'importe quelle région Google Cloud au sein des États membres de l'Union européenne.
- États-Unis (
us) - Les données sont stockées dans n'importe quelle région Google Cloud aux États-Unis.
- Numéro international (
global) - Les données peuvent être stockées ou traitées dans n'importe quelle région Google Cloud. Si la résidence des données n'est pas activée, Global est le seul emplacement accepté.
Pour en savoir plus sur les emplacements de Security Command Center, consultez la page Produits disponibles par emplacement.
Si vous devez spécifier un emplacement par défaut pour la résidence des données qui n'est pas pris en charge par Security Command Center, contactez votre responsable de compte ou un spécialiste des ventes Google Cloud.
Activer la résidence des données lors de l'activation
Vous ne pouvez activer la résidence des données que lorsque vous activez Security Command Center pour la première fois dans une organisation.
Si vous n'activez pas la résidence des données, l'emplacement de toutes les ressources Security Command Center est défini sur global, et Security Command Center ne limite pas le stockage de vos données à un emplacement particulier.
Veuillez indiquer une activation au niveau de l'organisation.
Une fois la résidence des données activée, vous ne pouvez plus la désactiver ni modifier votre emplacement par défaut.
Si vous activez Security Command Center au niveau du projet ou de l'organisation sans activer la résidence des données en même temps, vous ne pourrez pas l'activer ultérieurement dans Security Command Center. Vous devez créer une organisation Google Cloud pour activer Security Command Center avec résidence des données.
Emplacement des données par défaut
Lorsque vous activez la résidence des données de Security Command Center, le seul emplacement que vous devez spécifier est votre emplacement par défaut. En effet, Security Command Center détermine l'emplacement nécessaire pour stocker vos données en fonction de l'emplacement où vos ressources sont déployées.
Security Command Center n'utilise l'emplacement par défaut que pour stocker les résultats qui s'appliquent aux types de ressources suivants:
- Ressources ne se trouvant pas dans un emplacement compatible avec Security Command Center
- Ressources dont les métadonnées ne contiennent pas de spécification de lieu
Vous pouvez sélectionner n'importe quel emplacement de données compatible comme emplacement par défaut.
Si vous êtes une entreprise internationale qui déploie des ressources Google Cloud dans plusieurs emplacements ou emplacements multirégionaux, vous pouvez choisir l'emplacement mondial comme emplacement par défaut.
Si votre entreprise ne opère qu'à un seul emplacement, vous pouvez le choisir comme emplacement par défaut pour Security Command Center.
API Security Command Center et résidence des données
La résidence des données nécessite l'API Security Command Center v2.
Si vous utilisez l'API Security Command Center lorsque la résidence des données est activée, la v2 est la seule API disponible que vous pouvez utiliser.
Ressources et résidence des données de Security Command Center
La liste suivante explique comment Security Command Center applique des contrôles de résidence des données aux ressources que vous utilisez avec Security Command Center:
- Éléments
Les métadonnées des éléments ne sont pas soumises au contrôle de résidence des données. Les métadonnées des éléments sont stockées à l'échelle mondiale dans l'inventaire des éléments cloud.
C'est pourquoi la page Éléments de Security Command Center affiche toujours toutes les ressources de votre organisation, dossier ou projet, quels que soient leur emplacement ou celui dans lequel vous avez défini la vue de la console Google Cloud. Toutefois, lorsque la résidence des données est activée et que vous affichez les détails d'un élément, les informations sur les résultats susceptibles d'affecter l'élément ne sont pas disponibles sur la page Éléments.
- Niveau d'exposition aux attaques et chemins d'attaque
Les scores d'exposition aux attaques et les chemins d'attaque ne sont pas soumis au contrôle de la résidence des données et sont stockés à l'échelle mondiale.
- Exportations BigQuery
Les configurations d'exportation BigQuery sont soumises à des contrôles de résidence des données et sont stockées à l'emplacement où vous les créez. Elles ne s'appliquent qu'aux résultats qui résident au même emplacement.
- Exportations continues
Les configurations d'exportation continue sont soumises à des contrôles de résidence des données et sont stockées à l'emplacement où vous les créez. Elles ne s'appliquent qu'aux résultats qui résident au même emplacement.
- Résultats
Les résultats sont soumis aux contrôles de résidence des données et sont stockés dans l'emplacement Security Command Center où se trouve la ressource concernée. Si une ressource concernée se situe en dehors d'un emplacement compatible ou ne possède pas d'identifiant d'emplacement, tous les résultats de l'instance de ressource sont stockés à l'emplacement par défaut.
- Règles de masquage
Les configurations des règles Ignorer sont soumises aux contrôles de résidence des données et sont stockées à l'emplacement où vous les créez. Elles ne s'appliquent qu'aux résultats qui résident au même emplacement.
- Paramètres Security Command Center
La plupart des paramètres de Security Command Center, tels que ceux qui définissent les services activés ou le niveau actif, ne sont pas soumis aux contrôles de résidence des données et sont stockés dans le monde entier. Les paramètres de configuration pour les exportations BigQuery, les exportations continues vers Pub/Sub et les règles de masquage constituent une exception. Ces paramètres sont spécifiques à l'emplacement dans lequel vous les créez.
Afficher des données de localisation dans la console Google Cloud
Lorsque la résidence des données est activée et que vous sélectionnez un emplacement dans la console Google Cloud, chaque page Security Command Center affiche les résultats, les règles de masquage et les exportations continues uniquement à partir de l'emplacement sélectionné.
Par exemple, si vous sélectionnez la vue globale, seules les données globales sont affichées. Pour afficher les résultats, les règles Ignorer ou les exportations continues à partir d'un autre emplacement, vous devez passer à la vue de la console Google Cloud sur l'autre emplacement.
Déterminer l'emplacement des données après l'activation
L'emplacement de stockage des résultats et des configurations de Security Command Center contenant vos données est déterminé à plusieurs moments une fois la résidence des données activée:
- Lorsque vous ou Security Command Center générez ou créez un résultat ou une configuration.
- Lorsque vous affichez ou récupérez un résultat ou une configuration.
Déterminer l'emplacement lorsque vous créez des configurations
Lorsque vous créez une exportation continue, une exportation BigQuery ou une règle de masquage, Security Command Center stocke la configuration obtenue en tant que ressource. Une configuration d'exportation continue est stockée en tant que ressource NotificationConfig, une configuration d'exportation BigQuery est stockée en tant que ressource BiqQueryExport, et une configuration de règle Ignorer est stockée en tant que ressource MuteConfig.
Avant de créer une configuration d'exportation ou une règle Ignorer, vous devez sélectionner l'emplacement dans lequel les créer. L'emplacement que vous sélectionnez est celui où se trouvent les résultats que vous souhaitez exporter ou ignorer.
Dans la console Google Cloud, vous devez définir la vue de la console Google Cloud sur l'emplacement approprié avant de créer une règle d'exportation continue ou de masquage.
Lorsque vous créez une règle d'exportations continues ou de masquage à l'aide de l'API Security Command Center ou de Google Cloud CLI, vous spécifiez l'emplacement dans l'appel d'API ou la commande gcloud que vous utilisez pour créer la configuration notificationConfig ou muteConfig.
Pour en savoir plus sur la création de configurations, consultez les pages suivantes:
- Créez une exportation continue :
- Créez une règle Ignorer :
Déterminer l'emplacement lors de la génération des résultats
Lorsque l'un des services Security Command Center détecte un problème de sécurité dans votre environnement, il détermine l'emplacement de stockage du résultat obtenu en fonction de l'emplacement de la ressource concernée.
Si la ressource concernée se trouve dans un emplacement de données compatible avec Security Command Center, il stocke le résultat au même emplacement.
Si la ressource concernée ne se trouve pas dans un emplacement de données compatible ou ne spécifie pas d'emplacement dans ses métadonnées, Security Command Center stocke le résultat à l'emplacement de données par défaut que vous avez spécifié lors de l'activation de la résidence des données.
Déterminer l'emplacement lorsque vous affichez des données Security Command Center
Pour afficher les résultats, les règles de masquage et les exportations continues d'un emplacement spécifique dans la console Google Cloud, vous devez d'abord définir la vue de la console Google Cloud sur cet emplacement.
Vous définissez l'emplacement de la vue en haut à gauche de la plupart des pages Security Command Center de la console Google Cloud, juste en dessous du sélecteur de projet:
Lorsque la vue de la console Google Cloud est définie sur un emplacement, la console Google Cloud n'affiche que les résultats, les règles de masquage et les exportations continues qui résident dans cet emplacement.
Pour récupérer des résultats ou des configurations à l'aide de l'API ou de gcloud CLI, vous devez spécifier l'emplacement de stockage des résultats ou des configurations.
Assistance pour la résidence des données pour les fonctionnalités et les intégrations
Lorsque la résidence des données est activée, les fonctionnalités et intégrations à d'autres produits suivantes ne sont pas compatibles:
- Résumés IA
- Les fonctionnalités d'analyse gérées
- Détection rapide des failles
- Terraform
Étapes suivantes
Pour savoir comment activer Security Command Center lorsque la résidence des données est activée, consultez la section Activer Security Command Center pour la première fois pour une organisation.