La residencia de datos te permite controlar mejor dónde se encuentran tus datos de Security Command Center. En este documento se proporciona información esencial sobre cómo admite Security Command Center la residencia de datos.
Las siguientes definiciones se aplican a este documento:
- Una ubicación es una Google Cloud región o multirregión que corresponde al lugar en el que se encuentran tus datos.
- El significado del término tus datos es equivalente al del término "Datos del Cliente" del apartado Ubicación de los Datos de los Términos Generales de los Servicios de Google Cloud.
Para saber cómo trabajar con los recursos de Security Command Center cuando la residencia de datos está habilitada, consulta Endpoints regionales de Security Command Center.
Ubicaciones de datos admitidas
En esta sección se describen las ubicaciones de datos que puede usar en Security Command Center y en los servicios relacionados.
Ubicaciones de los datos de Security Command Center
Cuando habilitas la residencia de datos, la API de Security Command Center admite las siguientesGoogle Cloud multirregiones como ubicaciones de datos:
- Unión Europea (
eu) - Los datos se almacenan en cualquier Google Cloud región de los Estados miembros de la Unión Europea.
- Reino de Arabia Saudí (KSA) (
sa) - Los datos residen en cualquier Google Cloud región de Arabia Saudí.
- Estados Unidos (
us) - Los datos se almacenan en cualquier Google Cloud región de Estados Unidos.
Si usas el nivel de servicio Standard o Premium, al cambiar al nivel Enterprise no se modificará la ubicación de tus datos de Security Command Center. Si no has habilitado la residencia de datos de Security Command Center en el nivel Standard o Premium, no podrás habilitarla al cambiar al nivel Enterprise.
Para obtener más información sobre las ubicaciones de Security Command Center, consulta Productos disponibles por ubicación.
Si necesitas especificar una ubicación predeterminada para la residencia de los datos que no sea compatible con Security Command Center, ponte en contacto con tu representante de cuenta o con un Google Cloud especialista de ventas.
Ubicaciones de los datos de Google SecOps
En Google Security Operations, la residencia de datos siempre está habilitada. Para saber dónde se encuentran los datos de Google SecOps, consulta la lista de ubicaciones de Google SecOps.
Ubicaciones de los datos de Model Armor
En Model Armor, la residencia de datos siempre está habilitada.
La API Model Armor proporciona endpoints regionales en las siguientes ubicaciones:
- Unión Europea
europe-west4: Países Bajos
CO2 bajo
- Estados Unidos
us-central1: Iowa Bajas emisiones de CO2
us-east1: Carolina del Surus-east4: Norte de Virginiaus-west1: Oregón <0x0A- Asia-Pacífico
asia-southeast1: Singapur (solo admite residencia de datos en reposo)
La API Model Armor proporciona endpoints multirregión en las siguientes ubicaciones:
- Unión Europea
eu- Estados Unidos
us
Funciones compatibles
Por lo general, después de habilitar la residencia de datos en Security Command Center, puedes usar todas las funciones que incluye tu nivel de servicio. Solo algunos recursos de Security Command Center están sujetos a controles de residencia de datos.
En el nivel de servicio Enterprise de Security Command Center, si habilitas la residencia de datos, las siguientes funciones no estarán disponibles:
Requisitos de residencia de datos
En esta sección se explican los requisitos para usar la residencia de datos en Security Command Center y en los servicios relacionados.
Requisitos de Security Command Center
Solo puedes habilitar la residencia de datos en Security Command Center cuando actives Security Command Center en una organización por primera vez. Una vez habilitada la residencia de datos, no se puede inhabilitar.
Para usar la residencia de datos, debes usar la API de Security Command Center v2. Si la residencia de datos está habilitada, no puedes usar versiones anteriores de la API de Security Command Center.
Si no habilitas la residencia de datos al activar Security Command Center, este no restringirá tus datos a ninguna ubicación concreta y se almacenarán de acuerdo con las condiciones del servicio de Google Cloud Platform.
Requisitos de Google SecOps
En Google SecOps, la residencia de datos está habilitada de forma predeterminada. No puedes inhabilitar la residencia de datos de Google SecOps.
Requisitos de Model Armor
En el caso de Model Armor, la residencia de datos está habilitada de forma predeterminada. No puedes inhabilitar la residencia de datos de Model Armor.
Cómo y cuándo se aplica la residencia de datos
Cuando habilitas la residencia de datos en Security Command Center, algunos datos de Security Command Center se conservan en una ubicación específica cuando se encuentran en uno de los siguientes estados:
Después de habilitar la residencia de datos y seleccionar una ubicación de datos, Security Command Center hace lo siguiente:
- Cuando se crea un resultado para un recurso que reside en la ubicación especificada, el resultado siempre se encuentra en tu ubicación de datos.
- Cuando se crea un resultado para un recurso que reside en otra ubicación, el resultado acaba residiendo en tu ubicación de datos. Sin embargo, es posible que el resultado se encuentre temporalmente en otra región.
- Cuando creas tipos específicos de recursos de configuración en tu ubicación de datos, estos se almacenan en esa ubicación.
- En los casos en los que Security Command Center almacena datos que no son Datos del Cliente, tal y como se definen en el elemento Ubicación de los Datos de los Términos Generales de los Servicios, Security Command Center almacena los datos de acuerdo con los Términos del Servicio de Google Cloud Platform. Google Cloud
Residencia de datos en reposo
Los datos están en reposo cuando se cumplen todos los criterios siguientes:
- Los datos corresponden a un tipo de recurso que está sujeto a controles de residencia de datos.
- No has solicitado ninguna operación que requiera acceder a los datos.
- No se accede a los datos de forma que se generen registros de auditoría ni registros de Transparencia de acceso.
Residencia de datos en uso
Los datos están en uso cuando se cumplen todos los criterios siguientes:
- Los datos corresponden a un tipo de recurso que está sujeto a controles de residencia de datos.
- Google Cloud está completando una operación que se ha iniciado a petición tuya (por ejemplo, porque tu aplicación ha llamado a la API Security Command Center) o una operación que genera registros de auditoría o registros de Transparencia de acceso.
- Google Cloud puede operar con los datos de forma que requiera conocer el significado de los datos; por ejemplo, actualizando campos específicos de un recurso de configuración. Esto incluye cualquier caso en el que los datos no estén cifrados en la memoria.
Residencia de datos en tránsito
Los datos están en tránsito cuando se cumplen todos los criterios siguientes:
- Los datos corresponden a un tipo de recurso que está sujeto a controles de residencia de datos.
- Los datos se transmiten, con cifrado, en la red de Google o se encuentran en la memoria, con cifrado, con el fin de transmitirlos en la red de Google.
Recursos y residencia de datos de Security Command Center
En la siguiente lista se explica cómo aplica Security Command Center los controles de residencia de datos a los recursos de Security Command Center. Si un recurso no aparece en esta lista, no está sujeto a controles de residencia de datos y se almacena de acuerdo con los Términos del Servicio de Google Cloud Platform.
- Exportaciones de BigQuery
Las configuraciones de BigQuery Export están sujetas a controles de residencia de datos. Usa los endpoints regionales para crear y gestionar estos recursos de configuración.
La API de Security Command Center representa las configuraciones de exportación de BigQuery como recursos
BiqQueryExport.- Exportaciones continuas
Las configuraciones de exportación continua están sujetas a los controles de residencia de datos. Usa los endpoints regionales para crear y gestionar estos recursos de configuración.
La API de Security Command Center representa las configuraciones de exportación continua como recursos
NotificationConfig.- Resultados
Las detecciones están sujetas a controles de residencia de datos.
Cuando se crea un resultado para un recurso que reside en la ubicación de datos que has seleccionado, el resultado siempre reside en la misma ubicación.
Cuando se crea un resultado para un recurso que reside en otra ubicación, el resultado acaba residiendo en la ubicación de datos que hayas seleccionado. Sin embargo, la detección puede residir en otra región en el momento en que se crea.
Para conservar todos los resultados en su ubicación de datos, cree siempre todos susGoogle Cloud recursos en esa ubicación.
- Recursos de Google SecOps
Todos los recursos de Google SecOps están sujetos a controles de residencia de datos. Usa los endpoints regionales para crear y gestionar estos recursos de configuración.
- Recursos de Model Armor
Todos los recursos de Model Armor están sujetos a controles de residencia de datos. Usa los endpoints regionales para crear y gestionar estos recursos de configuración.
- Reglas de silencio
Las configuraciones de reglas de silencio están sujetas a controles de residencia de datos. Usa los endpoints regionales para crear y gestionar estos recursos de configuración.
La API de Security Command Center representa las configuraciones de reglas de silencio como recursos
MuteConfig.- Otros recursos y ajustes de Security Command Center
Los recursos y ajustes de Security Command Center que no se indican aquí, como los que definen qué servicios están habilitados o qué nivel está activo, no están sujetos a los controles de residencia de datos. Estos datos se almacenan de acuerdo con los Términos del Servicio de Google Cloud Platform.
Crear o ver datos en una ubicación
Cuando la residencia de datos está habilitada, debe especificar una ubicación al crear o ver cualquier dato que esté sujeto a los controles de residencia de datos. Security Command Center elige automáticamente una ubicación para los resultados que crea.
Solo puedes crear o ver datos en una ubicación a la vez. Por ejemplo, si incluyes resultados en la ubicación de Estados Unidos (us), no verás resultados en la ubicación de la Unión Europea (eu).
Para saber cómo crear o ver datos sujetos a controles de residencia de datos, consulta los artículos Acerca de la consola de Google Cloud jurisdicción y Herramientas para puntos de conexión regionales.
Siguientes pasos
- Consulta cómo activar Security Command Center con la residencia de datos habilitada.
- Consulta cómo usar los endpoints regionales de Security Command Center.
- Habilita Security Command Center para enviar hallazgos a BigQuery.
- Configura exportaciones continuas de Security Command Center a Pub/Sub.
- Crea una regla de silencio para las detecciones.