A residência de dados oferece mais controle sobre onde os dados do Security Command Center estão localizados. Nesta página, você encontra informações essenciais sobre como o Security Command Center oferece suporte à residência de dados.
As definições a seguir são aplicáveis a esta página:
- Um local é uma região ou multirregião do Google Cloud. que corresponde ao local em que seus dados estão.
- O significado do termo seus dados é equivalente ao significado do termo "Dados do cliente" no item Local dos dados na interface do Google Cloud Termos gerais de serviço.
Locais de dados compatíveis
O Security Command Center oferece suporte apenas às seguintes multirregiões do Google Cloud locais de dados:
- União Europeia (
eu
) - Os dados residem em qualquer região do Google Cloud nos estados membros da União Europeia.
- Estados Unidos (
us
) - Os dados residem em qualquer região do Google Cloud nos Estados Unidos.
- Reino da Arábia Saudita (KSA) (
sa
) - Os dados estão em qualquer região do Google Cloud no KSA.
- Global (
global
) - Os dados podem estar em qualquer região do Google Cloud. Se a residência dos dados não for
ativado, o local global (
global
) será o único com suporte.
Para mais informações sobre locais do Security Command Center, consulte Produtos disponíveis por local.
Se você precisa especificar um local padrão para residência de dados que O Security Command Center não oferece suporte, então entre em contato com o representante da sua conta ou um especialista em vendas do Google Cloud.
Requisitos de residência de dados
Você só pode ativar a residência de dados quando: Ativar o nível Standard ou Premium do Security Command Center em uma organização pela primeira vez. O nível Enterprise não oferece suporte à residência de dados.
Depois que a residência de dados for ativada, não será possível desativá-la nem alterar seu padrão o local. Além disso, Resumos de descobertas e caminhos de ataque do Gemini não estão disponíveis.
A residência de dados exige o uso da API Security Command Center v2. Se a residência de dados estiver ativada, não será possível usar versões anteriores da API Security Command Center.
Se você não ativar a residência de dados ao ativar o Security Command Center, ele não vai restringir seus dados a nenhum local específico e eles serão armazenados de acordo com os Termos de Serviço do Google Cloud Platform.
URLs regionais
Para o local do Reino da Arábia Saudita (KSA), use URLs específicos para acessar o console do Google Cloud da jurisdição, além de alguns métodos e comandos na CLI gcloud, nas bibliotecas de cliente do Cloud e na API Security Command Center:
Console
Para acessar o Security Command Center, use o console do Google Cloud jurisdicional, https://console.sa.cloud.google.com/.
O console do Google Cloud jurisdicional permite acessar o Security Command Center na Arábia Saudita e no mundo.
gcloud
Para acessar dados no local da Arábia Saudita, os seguintes grupos de comandos da CLI gcloud exigem que você use o endpoint de serviço regional da API Security Command Center:
gcloud scc bqexports
: gerencia as configurações de exportação do BigQuery.gcloud scc findings
: gerencia as descobertas.gcloud scc muteconfigs
: gerencia silenciar configurações de regragcloud scc notifications
: gerencia configurações de exportação contínua
Além disso, o gcloud scc operations
o grupo de comandos não está disponível para operações de longa duração no
no Reino da Arábia Saudita. Por exemplo, não é possível verificar o status de uma operação de longa
duração para silenciar resultados em massa.
Para todos os outros grupos de comando gcloud scc
, use o endpoint de serviço
padrão da API Security Command Center.
Para alternar para o endpoint de serviço regional, execute o seguinte comando:
gcloud config set api_endpoint_overrides/securitycenter \
https://securitycenter.me-central2.rep.googleapis.com/
Para alternar para o endpoint de serviço padrão, execute o seguinte comando:
gcloud config unset api_endpoint_overrides/securitycenter
Se preferir, crie uma configuração nomeada para a CLI da gcloud que use o endpoint de serviço regional e mude para essa configuração antes de executar comandos do Security Command Center no local da Arábia Saudita. Para mudar para uma configuração nomeada, execute o
gcloud config configurations activate
kubectl.
REST
Para o local da Arábia Saudita, a API Security Command Center usa o endpoint de serviço regional
https://securitycenter.me-central2.rep.googleapis.com/
.
Para acessar os seguintes tipos de recursos da API REST no local da Arábia Saudita, use o endpoint de serviço regional do Security Command Center:
folders.locations.bigQueryExports
folders.locations.findings
folders.locations.muteConfigs
folders.locations.notificationConfigs
organizations.locations.bigQueryExports
organizations.locations.findings
organizations.locations.muteConfigs
organizations.locations.notificationConfigs
projects.locations.bigQueryExports
projects.locations.findings
projects.locations.muteConfigs
projects.locations.notificationConfigs
Além disso, não é possível chamar métodos para
recursos organizations.operations
no local da KSA. Por exemplo, não é possível verificar o status de uma
operação de longa duração para
silenciar resultados em massa.
Para todos os outros tipos de recurso, use o endpoint de serviço padrão da
API Security Command Center, https://securitycenter.googleapis.com/
.
Bibliotecas de cliente
Para gerenciar os seguintes tipos de recursos no local do KSA, substitua o endpoint de serviço padrão ao criar um cliente para o Security Command Center:
- Configurações do BigQuery Export
- Configurações de exportação contínua
- Descobertas
- Configurações de regras de silenciamento
Use o endpoint https://securitycenter.me-central2.rep.googleapis.com
para esses recursos
tipos
Para todos os outros tipos de recursos, você precisa usar o endpoint de serviço padrão para o
API Security Command Center, https://securitycenter.googleapis.com
.
Para saber como modificar o endpoint de serviço nas bibliotecas de cliente do Cloud, consulte as instruções Ir e Java
Quando a residência de dados é aplicada
Quando você ativa a residência de dados no Security Command Center, alguns dados são mantidos em um local específico quando estão em um dos seguintes estados:
- Em repouso: todos os locais com suporte
- Em uso: somente KSA (
sa
) - Em trânsito: somente na Arábia Saudita (
sa
)
Residência dos dados em repouso
Os dados estão em repouso quando todos os critérios a seguir são atendidos:
- Os dados são para um tipo de recurso que é sujeitas aos controles de residência de dados.
- Você não solicitou uma operação que exige o acesso aos dados.
- Os dados não são acessados de modo a gerar registros de auditoria ou Registros de Transparência no acesso.
Quando você ativa a residência de dados, o Security Command Center faz o seguinte:
UE, EUA e global
Se possível, quando os dados de descobertas estiverem em repouso, o Security Command Center os armazena na multirregião do Google Cloud em que seus recursos estão localizados.
Caso contrário, quando os dados de descobertas estiverem em repouso, eles serão armazenados no local padrão escolhido.
Quando tipos específicos de recursos de configuração estiverem em repouso, O Security Command Center armazena no local padrão que você escolher.
Nos casos em que o Security Command Center armazena dados que não são dados do cliente, conforme definido no item Local de dados nos Termos de Serviço gerais do Google Cloud, o Security Command Center armazena os dados em repouso de acordo com os Termos de Serviço do Google Cloud Platform.
KSA
- Quando uma descoberta é criada para um recurso que reside no local do KSA, ela sempre fica no local do KSA em repouso.
- Quando uma descoberta é criada para um recurso que está em outro local, ela acaba sendo armazenada no local de repouso da KSA. No entanto, a descoberta pode residir temporariamente em uma região diferente em repouso.
- Quando você cria tipos específicos de recursos de configuração no local da KSA e esses recursos estiverem em repouso, eles residem no no Reino da Arábia Saudita.
-
Nos casos em que o Security Command Center armazena dados que não são dados do cliente, conforme definido no item Local de dados nos Termos de Serviço gerais do Google Cloud, o Security Command Center armazena os dados em repouso de acordo com os Termos de Serviço do Google Cloud Platform.
Residência dos dados em uso
Os dados estão em uso quando todos os critérios a seguir são atendidos:
- Os dados são de um tipo de recurso que está sujeito a controles de residência de dados.
- O Google Cloud está concluindo uma operação iniciada na sua solicitação, por exemplo, porque seu aplicativo chamou a API Security Command Center ou uma operação que produz registros de auditoria ou de transparência no acesso.
- É possível que o Google Cloud opere nos dados requer conhecimento do significado dos dados, por exemplo, ao atualizar campos específicos em um recurso de configuração. Isso inclui qualquer caso em que os dados não são criptografados na memória.
Quando você ativa a residência de dados, o Security Command Center faz o seguinte:
UE, EUA e mundo inteiro
Na UE, nos EUA e no mundo todo, os dados em uso não estão sujeitos à residência. controles de segurança.
KSA
- Quando uma descoberta é criada para um recurso que reside KSA, que a descoberta sempre reside no local da KSA em uso.
- Quando uma descoberta é criada para um recurso que está em outro local, ela acaba sendo armazenada no local do KSA em uso. No entanto, a descoberta pode estar temporariamente em uma região diferente em uso.
- Quando você cria tipos específicos de recursos de configuração no local da Arábia Saudita e esses recursos estão em uso, eles residem no local da Arábia Saudita.
-
Nos casos em que o Security Command Center armazena dados que não são dados do cliente, conforme definido no item Local de dados nos Termos de Serviço gerais do Google Cloud, o Security Command Center armazena os dados em uso de acordo com os Termos de Serviço do Google Cloud Platform.
Residência de dados em trânsito
Os dados estão em trânsito quando todos os critérios a seguir são atendidos:
- Os dados são de um tipo de recurso que está sujeito a controles de residência de dados.
- Os dados são transmitidos, com criptografia, pela rede do Google, ou os dados estiverem na memória, com criptografia, para fins de transmissão dentro da rede do Google.
Quando você ativa a residência de dados, o Security Command Center faz o seguinte:
UE, EUA e global
Na UE, nos EUA e em locais globais, os dados em trânsito não estão sujeitos a controles de residência de dados.
KSA
- Quando uma descoberta é criada para um recurso que reside no local da Arábia Saudita, ela sempre fica no local da Arábia Saudita em trânsito.
- Quando uma descoberta é criada para um recurso que reside em outro local, o a descoberta pode ficar no local em trânsito da Arábia Saudita. No entanto, a descoberta pode residir temporariamente em uma região diferente em trânsito.
- Quando você cria tipos específicos de recursos de configuração no local na KSA e esses recursos estiverem em trânsito, eles residem no no Reino da Arábia Saudita.
-
Nos casos em que o Security Command Center armazena dados que não são dados do cliente, conforme definido no item Local de dados nos Termos de Serviço gerais do Google Cloud, o Security Command Center armazena os dados em trânsito de acordo com os Termos de Serviço do Google Cloud Platform.
Local de dados padrão
Para os locais da UE, dos EUA e globais, quando você ativa a residência de dados do Security Command Center, especifica um local padrão do Security Command Center. Você pode selecionar qualquer local de dados compatível como local padrão.
O Security Command Center usa o local padrão apenas para armazenar descobertas em repouso que se aplicam aos seguintes tipos de recursos:
- Recursos que não estão localizados em um local de dados com suporte para o Security Command Center
- Recursos que não especificam um local nos metadados
Se você implantar recursos do Google Cloud em vários locais ou
multirregiões, escolha o local global (global
) como seu local
padrão.
Se você implanta recursos em apenas um local, pode escolher o multirregional, que inclui esse local como padrão.
Recursos e residência de dados do Security Command Center
A lista a seguir explica como o Security Command Center aplica a residência de dados aos recursos do Security Command Center. Se um recurso não estiver listado aqui, eles não estão sujeitos a controles de residência de dados e são armazenados de acordo com os Termos de Serviço do Google Cloud Platform.
- Recursos
Os metadados de recursos são armazenados pelo Inventário de recursos do Cloud e não estão sujeitos a controles de residência de dados. Esses dados são armazenados de acordo com os Termos de Serviço do Google Cloud Platform.
Por isso, a página Recursos do Security Command Center na seção O console do Google Cloud sempre mostra todos os recursos da sua organização, pasta ou projeto, independentemente do local em que você selecione no console do Google Cloud. No entanto, quando a residência de dados está ativada, e visualizar os detalhes de um recurso, a página Recursos não exibirá informações sobre as descobertas que afetam o recurso.
- Pontuações de exposição a ataques e caminhos de ataque
As pontuações de exposição a ataques e caminhos de ataque não estão sujeitas a controles de residência de dados. Esses dados são armazenados de acordo com os Termos de Serviço do Google Cloud Platform.
- Exportações do BigQuery
As configurações de exportação do BigQuery estão sujeitas a controles de residência de dados.
UE, EUA e global
Ao criar esses recursos, você especifica o local em que eles vão ficar. Essas configurações se aplicam somente a descobertas que residem no mesmo o local.
KSA
Use os URLs regionais para criar e gerenciar de configuração do Terraform. Eles residem no local da Arábia Saudita, junto com suas descobertas.
A API Security Command Center representa a exportação do BigQuery de configuração como
BiqQueryExport
do Google Cloud.- Exportações contínuas
As configurações de exportação contínua estão sujeitas a controles de residência de dados.
UE, EUA e global
Ao criar esses recursos, você especifica o local em que eles vão ficar. Essas configurações se aplicam somente a descobertas que residem no mesmo o local.
KSA
Use os URLs regionais para criar e gerenciar esses recursos de configuração. Ele reside no local da Arábia Saudita, junto com seu descobertas.
A API Security Command Center representa as configurações de exportação contínua como
NotificationConfig
do Google Cloud.- Descobertas
As descobertas estão sujeitas aos controles de residência de dados.
UE, EUA e mundo inteiro
Quando uma descoberta é criada, ela reside no local do Security Command Center. onde o recurso afetado está localizado.
Se um recurso afetado estiver fora de um local com suporte ou não tiver identificador de local, as descobertas do recurso ficarão seu local padrão.
KSA
Quando uma descoberta é criada para um recurso que reside A descoberta sempre reside no local da KSA.
Quando uma descoberta é criada para um recurso que está em outro local, ela acaba sendo armazenada no local da Arábia Saudita. No entanto, a descoberta pode estar em uma região diferente no momento em que ela é criada.
Para garantir que as descobertas sempre fiquem no local da Arábia Saudita, crie todos os recursos nesse local.
- Regras de silenciamento
As configurações de regras de silenciamento estão sujeitas aos controles de residência de dados.
UE, EUA e mundo inteiro
Ao criar esses recursos, você especifica o local em que eles vão ficar. Essas configurações se aplicam somente a descobertas que residem no mesmo o local.
KSA
Use os URLs regionais para criar e gerenciar esses recursos de configuração. Ele reside no local da Arábia Saudita, junto com seu descobertas.
A API Security Command Center representa as configurações de regra de silenciamento como
MuteConfig
do Google Cloud.- Outros recursos e configurações do Security Command Center
Recursos e configurações do Security Command Center que não estão listados aqui, como aqueles que definem quais serviços estão ativados ou qual nível está ativo, não são sujeitos aos controles de residência de dados. Esses dados são armazenados de acordo com a Termos de Serviço do Google Cloud Platform.
Criar ou visualizar dados em um local
Quando a residência de dados está ativada, você precisa especificar um local ao criar ou visualizar os dados sujeitas aos controles de residência de dados. O Security Command Center escolhe automaticamente um local para as descobertas cria.
Você só pode criar ou visualizar dados em um local por vez. Por exemplo, se você
listar as descobertas no local Global (global
), você não as verá em
local da União Europeia (eu
).
Para criar ou visualizar dados que residem em um local do Security Command Center, faça o seguintes:
Console
UE, EUA e global
No console do Google Cloud, acesse o Security Command Center.
Para mudar o local dos dados, clique no seletor de local na barra de ações.
Uma lista de locais vai aparecer. Selecione o novo local.
KSA
No console do Google Cloud jurisdicional do local da KSA, acesse Security Command Center.
gcloud
UE, EUA e global
Use a flag --location=LOCATION
ao executar a
CLI do Google Cloud, conforme mostrado no exemplo a seguir.
O comando
gcloud scc findings list
lista as descobertas de uma organização em um local específico.
Antes de usar os dados do comando abaixo, faça estas substituições:
-
ORGANIZATION_ID
: o ID numérico da organização -
LOCATION
: o local onde os dados são armazenados. por exemplo,eu
ouglobal
Execute o
gcloud scc findings list
comando:
Linux, macOS ou Cloud Shell
gcloud scc findings list ORGANIZATION_ID --location=LOCATION
Windows (PowerShell)
gcloud scc findings list ORGANIZATION_ID --location=LOCATION
Windows (cmd.exe)
gcloud scc findings list ORGANIZATION_ID --location=LOCATION
A resposta contém uma lista de descobertas.
KSA
Configure a CLI gcloud para usar o endpoint de serviço regional do local da Arábia Saudita para a API Security Command Center:
gcloud config set api_endpoint_overrides/securitycenter \
https://securitycenter.me-central2.rep.googleapis.com/
Use a flag --location=sa
ao executar a CLI do Google Cloud, conforme mostrado no exemplo a seguir.
O
gcloud scc findings list
lista as descobertas de uma organização em um local específico.
Antes de usar os dados do comando abaixo, faça estas substituições:
-
ORGANIZATION_ID
: o ID numérico da organização
Execute o
gcloud scc findings list
comando:
Linux, macOS ou Cloud Shell
gcloud scc findings list ORGANIZATION_ID --location=sa
Windows (PowerShell)
gcloud scc findings list ORGANIZATION_ID --location=sa
Windows (cmd.exe)
gcloud scc findings list ORGANIZATION_ID --location=sa
A resposta contém uma lista de descobertas.
REST
UE, EUA e mundo inteiro
Use um endpoint de API que inclua locations/LOCATION
no caminho, conforme mostrado no exemplo abaixo.
As APIs do Security Command Center
organizations.sources.locations.findings.list
lista as descobertas de uma organização em um local específico.
Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:
-
ORGANIZATION_ID
: o ID numérico da organização -
LOCATION
: o local onde os dados são armazenados. Por exemplo,eu
ouglobal
.
Método HTTP e URL:
GET https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings
Para enviar a solicitação, expanda uma destas opções:
A resposta contém uma lista de descobertas.
KSA
Use o endpoint de serviço regional para o local da Arábia Saudita para chamar a API, conforme mostrado no exemplo a seguir.
O método
organizations.sources.locations.findings.list
da API Security Command Center lista as descobertas de uma organização em um local específico.
Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:
-
ORGANIZATION_ID
: o ID numérico da organização
Método HTTP e URL:
GET https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings
Para enviar a solicitação, expanda uma destas opções:
A resposta contém uma lista de descobertas.
A seguir
- Saiba como ativar o Security Command Center com a residência de dados ativada.
- Ative o Security Command Center para fazer streaming das descobertas para o BigQuery.
- Configure exportações contínuas do Security Command Center para o Pub/Sub.
- criar uma regra de silenciamento; para as descobertas.