规划数据驻留

如果您打算在激活 Security Command Center 时启用数据驻留, 页面提供了您需要了解的信息。

仅当满足以下条件时,您才能启用对数据驻留的支持 您需要为 Security Command Center 的 企业层级不支持数据 住所。

数据驻留一经启用,便无法停用。

在 Security Command Center 中启用数据驻留功能: Security Command Center 会自动存储发现结果 其中包含或引用您的数据 Security Command Center 位置 与资源位置对应的实例。

与此类似,持续导出、BigQuery 导出和 忽略规则配置 过滤器中的数据会存储在 Security Command Center 中 并且仅适用于 在该位置找到发现结果。

发现结果是某个 Security Command Center 的 检测到您的环境。创建了发现结果记录 描述安全问题的属性以及 都会受到影响

发现结果过滤条件通过引用发现结果的属性来选择发现结果 和属性值。发现结果过滤条件在 持续导出的配置 (NotificationConfig)和/ 忽略规则 (muteConfig).

在数据驻留的情境中,以下定义 应用:

标准和 Security Command Center 的高级层级。

支持的数据位置

Security Command Center 仅支持以下 Google Cloud 多区域作为数据位置:

欧盟 (eu)
Google Cloud 存储在 欧盟。
美国 (us)
数据存储在美国的任何 Google Cloud 区域中。
全球支持专线(global
您可以在任何 Google Cloud 区域中存储或处理数据。 如果未启用数据驻留,则仅支持全球 位置。

如需详细了解 Security Command Center 的位置,请参阅 不同地区供应的商品

如果您需要为数据驻留指定默认位置, Security Command Center 不支持,请联系您的客户代表或 Google Cloud 销售专员

激活期间启用数据驻留

仅当您启用数据驻留时, Security Command Center。

如果未启用数据驻留,则 的所有 Security Command Center 资源都设置为 global,并且 Security Command Center 不会限制数据的存储 任何特定的地理位置

组织级层 必须激活。

数据驻留启用后,您无法将其停用,也无法更改 您的默认位置。

如果您在项目或组织中激活了 Security Command Center 级别,则您无法同时启用数据驻留。 稍后在 Security Command Center 中启用数据驻留。您需要 创建一个新的 Google Cloud 组织 具有数据驻留功能的 Security Command Center。

默认数据位置

启用 Security Command Center 数据驻留后, 唯一需要指定的位置就是您的默认 Security Command Center 位置。这是因为 Security Command Center 会决定 根据资源的部署位置存储数据。

Security Command Center 使用默认的 Security Command Center 位置 仅用于存储适用于以下各类资源的发现结果:

  • 位于 Security Command Center 配置的某个位置的资源 支持
  • 元数据中不包含位置规范的资源

您可以选择任何受支持的数据位置 作为您的默认位置。

如果您是跨国企业 多个位置或多区域位置的 Google Cloud 资源, 则可以选择全球位置作为默认位置

如果您的商家只在一个地点营业,您可以选择 将该位置设为默认 Security Command Center 位置。

Security Command Center API 和数据驻留

数据驻留需要 Security Command Center API v2。

如果在启用数据驻留的情况下使用 Security Command Center API, v2 是唯一可供您使用的 API。

Security Command Center 资源和数据驻留

以下列表介绍了 Security Command Center 如何应用 对您在工作时使用的资源进行数据驻留控制措施 使用 Security Command Center:

资产

资产元数据不受数据驻留控制措施的控制。素材资源 所有元数据都存储在 Cloud Asset Inventory

因此,Security Command Center 资产页面始终会显示 组织、文件夹或项目中的所有资源 用户所处的位置或您将 Google Cloud 控制台视图。但是,当数据驻留为 您可以查看某个资产的详细信息以及 资产页面中不会显示可能影响资产的转化操作。

攻击风险得分和攻击路径

攻击风险得分和攻击路径不受数据影响 并全局存储。

BigQuery Export

BigQuery Export 配置取决于数据 并存储在 由您自己创建它们仅适用于 位置。

持续导出

持续导出配置受数据驻留控制措施的约束 并存储在 由您自己创建它们仅适用于 位置。

发现结果

发现结果符合数据驻留控制措施,并会存储 受影响资源所在的 Security Command Center 位置 。如果受影响的资源位于 或没有位置标识符,任何发现结果 存储在默认位置。

忽略规则

忽略规则配置受数据驻留控制措施的约束,并且会被存储 并将它们放在创建它们的位置 它们仅适用于驻留在同一位置的发现结果。

Security Command Center 设置

大多数 Security Command Center 设置,例如定义哪些服务的设置 或哪个层级处于有效状态,均不受 数据驻留控制措施,并在全球范围内存储。异常 是 BigQuery Export 的配置设置 持续导出到 Pub/Sub,以及忽略规则。这些 视创建位置而定。

在 Google Cloud 控制台中查看位置数据

启用数据驻留并选择位置后 在 Google Cloud 控制台中,每个 Security Command Center 页面 仅显示来自 的发现结果、忽略规则和持续导出, 所选位置。

例如,当您选择全局视图时,您只会看到全局数据。 若要查看发现结果、忽略规则或从其他 您必须将 Google Cloud 控制台视图更改为 另一个位置。

启用后确定数据位置

Security Command Center 发现结果和配置的位置 都会在几个时间点 启用数据驻留后:

  • 当您或 Security Command Center 生成或创建发现结果或 配置。
  • 查看或检索发现结果或配置时。

在创建配置时确定位置

创建持续导出后,BigQuery 导出或忽略规则时,Security Command Center 会将 生成的配置作为资源持续导出配置 存储为 NotificationConfig 资源, BigQuery 导出配置会存储为 BiqQueryExport 资源, 而忽略规则配置以 MuteConfig 资源

在创建导出配置或忽略规则前,您必须选择 创建它们的位置 您选择的位置是 要导出或忽略的发现结果所在的位置。

在 Google Cloud 控制台中,您需要设置 Google Cloud 控制台, 查看到相应位置,然后再创建持续导出 或忽略规则

使用 Security Command Center API 或 Google Cloud CLI,则您需要指定位置 (用于创建 API 调用或 gcloud 命令) notificationConfigmuteConfig 配置。

如需详细了解如何创建配置,请参阅:

在生成发现结果时确定位置

当其中一项 Security Command Center 服务检测到安全问题时 Security Command Center 会决定存储位置 根据受影响资源的位置得出的发现结果。

如果受影响的资源位于 Security Command Center 的数据位置, Security Command Center 会将发现结果存储在同一位置。

如果受影响的资源不在受支持的数据位置或 不在其元数据中指定位置,Security Command Center 会存储 将发现结果存储在您在 数据驻留已启用。

在查看 Security Command Center 数据时确定位置

如需查看发现结果、忽略规则和持续导出 Google Cloud 控制台中的特定位置, 您必须先将 Google Cloud 控制台视图设置为该位置。

您可以将视图位置设置为大多数 Security Command Center 页面, 项目选择器正下方:

位置选择器的屏幕截图

将 Google Cloud 控制台视图设置为某个位置后, Google Cloud 控制台只会显示发现结果、忽略规则 持续导出该位置的常驻。

如需使用 API 或 gcloud CLI,您需要指定 存储发现结果或配置

针对功能和集成的数据驻留支持

启用数据驻留后,以下特性、函数 和与其他产品的集成:

  • AI 摘要
  • Web Security Scanner
  • Terraform

后续步骤

了解如何通过数据驻留激活 Security Command Center 请参阅首次为组织激活 Security Command Center