Planejar a residência de dados

Se você planeja habilitar a residência de dados ao ativar o Security Command Center, a página fornece as informações que você precisa saber.

Você só pode ativar o suporte para residência de dados quando você ativa o nível Standard ou Premium do Security Command Center para pela primeira vez em uma organização. O nível Enterprise não oferece suporte a dados residência.

Depois que a residência de dados for ativada, ela não poderá ser desativada.

Quando você ativa a residência de dados no Security Command Center, O Security Command Center armazena automaticamente as descobertas que podem conter ou referenciar seus dados no Local do Security Command Center que corresponde ao local dos recursos.

Da mesma forma, a exportação contínua, as exportações do BigQuery configurações de regra de silenciamento, que podem incluir seus dados nos filtros, são armazenados no local em que foram criados, quando aplicáveis apenas aos as descobertas naquele local.

Uma descoberta é um registro de um problema de segurança que um dos serviços de detecção de ameaças no seu ambiente. Um registro de descoberta é criado propriedades que descrevem o problema de segurança e os recursos são afetadas por ele.

Um filtro de descoberta seleciona descobertas referenciando as propriedades delas. e os valores da propriedade. Os filtros de descobertas são usados e salvos configurações de exportações contínuas (NotificationConfig) e de regras de silenciamento (muteConfig).

No contexto da residência de dados, as definições a seguir aplicar:

• Um local é uma região ou multirregião do Google Cloud. que corresponde ao local os dados são armazenados.
• O significado do termo seus dados é equivalente ao significado dos o termo "Dados do cliente" no item Local dos dados na Termos gerais de serviço do Google Cloud.

A opção de ativar a residência de dados está disponível nas APIs Standard e Níveis Premium do Security Command Center.

Locais de dados compatíveis

O Security Command Center oferece suporte apenas aos seguintes Google Cloud multirregiões como local dos dados:

União Europeia (eu)

Os dados são armazenados em qualquer região do Google Cloud dentro dos estados membros da União Europeia.

Estados Unidos (us)

Os dados são armazenados em qualquer região do Google Cloud nos Estados Unidos.

Global (global)

Os dados podem ser armazenados ou processados em qualquer região do Google Cloud. Se a residência de dados não estiver ativada, Global será a única opção o local.

Para mais informações sobre locais do Security Command Center, consulte Produtos disponíveis por local.

Se você precisa especificar um local padrão para residência de dados que não oferece suporte ao Security Command Center. Entre em contato com seu representante da conta ou um Especialista em vendas do Google Cloud.

Ativar a residência de dados durante a ativação

Só é possível ativar a residência de dados quando você ativa o Security Command Center pela primeira vez em uma organização.

Se você não ativar a residência de dados, o local de todos os recursos do Security Command Center está definido como global. O Security Command Center não restringe o armazenamento dos dados para um local específico.

No nível da organização a ativação é obrigatória.

Depois que a residência de dados é ativada, não é possível desativá-la nem mudar seu local padrão.

Se você ativar o Security Command Center no projeto ou na organização sem ativar a residência de dados ao mesmo tempo, não é possível ativar a residência de dados no Security Command Center mais tarde. Você precisaria criar uma nova organização do Google Cloud para ativar Security Command Center com residência de dados.

Local de dados padrão

Quando você ativa a residência de dados do Security Command Center, o único local que você precisa especificar é o Security Command Center padrão, o local. Isso ocorre porque o Security Command Center determina onde ele precisa para armazenar dados com base no local onde os recursos estão implantados.

O Security Command Center usa o local padrão apenas para armazenar descobertas que se aplicam aos seguintes tipos de recursos:

• Recursos que não estão em um local onde o Security Command Center oferece suporte para
• Recursos que não incluem uma especificação de local nos metadados

Você pode selecionar qualquer local de dados compatível como o local padrão.

Se você tem uma empresa global que implanta recursos do Google Cloud em vários locais ou multirregiões, escolha a localização global como padrão.

Se sua empresa opera em apenas um local, você pode escolher esse local como o local padrão do Security Command Center.

A API Security Command Center e a residência de dados

A residência de dados requer a API Security Command Center v2.

Se você usar a API Security Command Center quando a residência de dados estiver ativada, A v2 é a única API disponível para uso.

Recursos e residência de dados do Security Command Center

A lista a seguir explica como o Security Command Center aplica controles de residência de dados aos recursos que você usa ao trabalhar com o Security Command Center:

Recursos

Os metadados do recurso não estão sujeitos ao controle de residência de dados. Recurso os metadados são armazenados globalmente Inventário de recursos do Cloud.

Por esse motivo, a página Recursos do Security Command Center sempre exibe todos os recursos da organização, pasta ou projeto, independentemente da localização dele ou o local para o qual você definiu o Visualização do console do Google Cloud. No entanto, quando a residência dos dados ativados e você confere os detalhes de um recurso, informações sobre quaisquer descobertas que podem afetar o recurso não está disponível na página Recursos.

Pontuações de exposição a ataques e caminhos de ataque

Pontuações de exposição a ataques e caminhos de ataque não estão sujeitos a dados controle de residência e são armazenados globalmente.

Exportações do BigQuery

As configurações do BigQuery Export estão sujeitas à de residência e são armazenados no local ao criá-los. Elas se aplicam somente a descobertas que residem no mesmo local.

Exportações contínuas

As configurações de exportação contínua estão sujeitas a controles de residência de dados e são armazenados no local ao criá-los. Elas se aplicam somente a descobertas que residem no mesmo local.

Descobertas

As descobertas estão sujeitas a controles de residência de dados e são armazenadas no local do Security Command Center em que o recurso afetado está localizado. Se um recurso afetado estiver fora de um local com suporte ou não tiver um identificador de local, da instância de recurso são armazenados no seu local padrão.

Regras de silenciamento

As configurações da regra de silenciamento estão sujeitas aos controles de residência de dados e são armazenadas no local em que foram criados. Elas se aplicam apenas a descobertas que residem no mesmo local.

Configurações do Security Command Center

A maioria das configurações do Security Command Center, como as que definem quais serviços ou qual nível está ativo, não estão sujeitos a controles de residência de dados e são armazenados globalmente. Uma exceção são as definições de configuração do BigQuery Export, exportações contínuas para o Pub/Sub e regras de silenciamento. Esses são específicas para o local em que foram criadas.

visualizar dados de localização no console do Google Cloud

Quando a residência de dados está ativada e você seleciona um local no console do Google Cloud, cada página do Security Command Center exibe descobertas, regras de silenciamento e exportações contínuas apenas de o local selecionado.

Por exemplo, ao selecionar a visualização global, você vê apenas os dados globais. Para acessar descobertas, regras de silenciamento ou exportações contínuas de outro local, altere a visualização do console do Google Cloud para o outro local.

Como determinar o local dos dados após a ativação

O local em que as descobertas e configurações do Security Command Center que contêm os dados são armazenados, é determinado em alguns pontos depois que a residência de dados for ativada:

• Quando você ou o Security Command Center gerar ou criar uma descoberta ou configuração do Terraform.
• Quando você visualiza ou recupera uma descoberta ou uma configuração.

Como determinar o local ao criar configurações

Quando você cria uma exportação contínua, o BigQuery exportação ou uma regra de silenciamento, o Security Command Center armazena configuração resultante como um recurso. Uma configuração de exportação contínua é armazenado como um recurso NotificationConfig, um BigQuery configuração de exportação é armazenada como um recurso BiqQueryExport, e uma configuração de regra de silenciamento é armazenada Recurso MuteConfig.

Antes de criar uma configuração de exportação ou uma regra de silenciamento, selecione o local para criá-los. O local selecionado é o local em que residem as descobertas que você quer exportar ou silenciar.

Configure o console do Google Cloud no local apropriado antes de criar uma exportação contínua ou regra de silenciamento.

Quando você cria uma regra de silenciamento ou de exportações contínuas usando a API Security Command Center ou Google Cloud CLI, você especifica o local na chamada de API ou no comando gcloud que você usa para criar notificationConfig ou muteConfig.

Para mais informações sobre como criar configurações, consulte:

• Criar uma exportação contínua:
  • Exportações contínuas
  • Como criar e gerenciar configurações de notificação usando a API
  • gcloud scc notifications create
• Criar uma regra de silenciamento:
  • Criar regras de silenciamento
  • gcloud scc muteconfigs create

Como determinar o local quando as descobertas são geradas

Quando um dos serviços do Security Command Center detecta um problema de segurança no seu ambiente, o Security Command Center determina onde armazenar a descoberta resultante com base na localização do recurso afetado.

Se o recurso afetado estiver em um local de dados que o Security Command Center oferece suporte, o Security Command Center armazena a descoberta no mesmo local.

Se o recurso afetado não estiver em um local de dados com suporte ou não especifica um local nos metadados, o Security Command Center armazena a descoberta no local padrão dos dados que você especificou ao a residência de dados foi ativada.

Como determinar o local ao visualizar os dados do Security Command Center

Para acessar as descobertas, as regras de silenciamento e as exportações contínuas de uma um local específico no console do Google Cloud, primeiro defina a visualização do console do Google Cloud para esse local.

O local de visualização é definido no canto superior esquerdo da maioria páginas do Security Command Center no console do Google Cloud, diretamente abaixo do seletor de projetos:

Quando a visualização do console do Google Cloud é definida como um local, o console do Google Cloud exibe apenas as descobertas, as regras de silenciamento e exportações contínuas que residem no local.

Para recuperar descobertas ou configurações usando a API ou o CLI gcloud, é preciso especificar o local em que o descobertas ou configurações são armazenadas.

Suporte à residência de dados para recursos e integrações

Quando a residência de dados está ativada, os seguintes recursos, funções, e integrações com outros produtos não são compatíveis:

• Resumos de IA
• Web Security Scanner
• Terraform

A seguir

Para saber como ativar o Security Command Center com residência de dados ativado, consulte Ativar o Security Command Center para uma organização pela primeira vez.