Se usó la API de Cloud Translation para traducir esta página.

Planifica la residencia de datos

La residencia de datos te brinda más control sobre dónde se encuentran tus datos de Security Command Center. En esta página, se proporciona información esencial sobre cómo Security Command Center admite la residencia de los datos.

Las siguientes definiciones se aplican a esta página:

Una ubicación es una región o multirregión de Google Cloud que corresponde a la ubicación en la que residen tus datos.
El significado del término tus datos equivale al significado del término "Datos del cliente" en el artículo Ubicación de los datos de las Condiciones del Servicio Generales de Google Cloud.

Ubicaciones de datos admitidas

Security Command Center solo admite las siguientes ubicaciones multirregionales de Google Cloud como ubicaciones de datos:

Unión Europea (eu): Los datos residen en cualquier región de Google Cloud dentro de los Estados miembros de la Unión Europea.
United States (us): Los datos residen en cualquier región de Google Cloud en Estados Unidos.
Reino de Arabia Saudita (KSA) (sa): Los datos residen en cualquier región de Google Cloud en KSA.
Global (global): Los datos pueden residir en cualquier región de Google Cloud. Si la residencia de datos no está habilitada, la única ubicación admitida es Global (global).

Para obtener más información sobre las ubicaciones de Security Command Center, consulta Productos disponibles por ubicación.

Si necesitas especificar una ubicación predeterminada para la residencia de datos que Security Command Center no admite, comunícate con tu representante de cuenta o con un especialista en ventas de Google Cloud.

Requisitos para la residencia de datos

Puedes habilitar la residencia de datos solo cuando activas el nivel Estándar o Premium de Security Command Center en una organización por primera vez. El nivel empresarial no admite la residencia de datos.

Una vez que se habilita la residencia de datos, no puedes inhabilitarla ni cambiar la ubicación predeterminada. Además, no están disponibles los resúmenes de Gemini de los hallazgos y las rutas de ataque.

La residencia de datos requiere que uses la API de Security Command Center v2. Si la residencia de datos está habilitada, no puedes usar versiones anteriores de la API de Security Command Center.

Si no habilitas la residencia de datos cuando activas Security Command Center, este no restringirá tus datos a ninguna ubicación en particular y se almacenarán de acuerdo con las Condiciones del Servicio de Google Cloud Platform.

URLs regionales

Para la ubicación del Reino de Arabia Saudita (KSA), debes usar URLs específicas de la ubicación para acceder a la consola de Google Cloud jurisdiccional, así como algunos métodos y comandos en gcloud CLI, las bibliotecas cliente de Cloud y la API de Security Command Center:

Console

Para acceder a Security Command Center, usa la consola de Google Cloud de la jurisdicción, https://console.sa.cloud.google.com/.

La consola de Google Cloud jurisdiccional te permite acceder a los datos de Security Command Center en Arabia Saudita y en ubicaciones globales.

gcloud

Para acceder a los datos de la ubicación de Arabia Saudita, los siguientes grupos de comandos de gcloud CLI requieren que uses el extremo de servicio regional de la API de Security Command Center:

gcloud scc bqexports: Administra las configuraciones de exportación de BigQuery.
gcloud scc findings: Administra los resultados.
gcloud scc muteconfigs: Administra parámetros de configuración de reglas de silenciamiento.
gcloud scc notifications: Administra parámetros de configuración de exportación continua.

Además, el grupo de comandos gcloud scc operations no está disponible para operaciones de larga duración en la ubicación de Arabia Saudita. Por ejemplo, no puedes verificar el estado de una operación de larga duración para silenciar resultados de forma masiva.

Para todos los demás grupos de comandos gcloud scc, debes usar el extremo de servicio predeterminado de la API de Security Command Center.

Para cambiar al extremo de servicio regional, ejecuta el siguiente comando:

gcloud config set api_endpoint_overrides/securitycenter \
    https://securitycenter.me-central2.rep.googleapis.com/

Para cambiar al extremo de servicio predeterminado, ejecuta el siguiente comando:

gcloud config unset api_endpoint_overrides/securitycenter

Si lo prefieres, puedes crear una configuración con nombre para gcloud CLI que use el extremo de servicio regional y, luego, cambiar a esa configuración con nombre antes de ejecutar los comandos de Security Command Center en la ubicación de Arabia Saudita. Para cambiar a una configuración con nombre, ejecuta el comando gcloud config configurations activate.

REST

Para la ubicación de Arabia Saudita, la API de Security Command Center usa el extremo de servicio regional https://securitycenter.me-central2.rep.googleapis.com/.

Para acceder a los siguientes tipos de recursos de la API de REST en la ubicación de Arabia Saudita, debes usar el extremo de servicio regional de Security Command Center:

Además, no puedes llamar a ningún método para los recursos organizations.operations en la ubicación de Arabia Saudita. Por ejemplo, no puedes verificar el estado de una operación de larga duración para silenciar resultados de forma masiva.

Para todos los demás tipos de recursos, debes usar el extremo de servicio predeterminado de la API de Security Command Center, https://securitycenter.googleapis.com/.

Go

Para administrar los siguientes tipos de recursos en la ubicación de Arabia Saudita, debes anular el extremo de servicio predeterminado cuando crees un cliente para Security Command Center:

Usa el extremo securitycenter.me-central2.rep.googleapis.com:443 para estos tipos de recursos. En la siguiente muestra de código, se muestra cómo crear un cliente que usa un extremo de servicio regional.

import (
	"context"
	"fmt"

	securitycenter "cloud.google.com/go/securitycenter/apiv2"
	"google.golang.org/api/option"
)

// createClientWithEndpoint creates a Security Command Center client for a
// regional endpoint.
func createClientWithEndpoint(repLocation string) error {
	// Assemble the regional endpoint URL using provided location.
	repEndpoint := fmt.Sprintf("securitycenter.%s.rep.googleapis.com:443", repLocation)
	// Instantiate client for regional endpoint. Use this client to access resources that
	// are subject to data residency controls, and that are located in the region
	// specified in repLocation.
	repCtx := context.Background()
	repClient, err := securitycenter.NewClient(repCtx, option.WithEndpoint(repEndpoint))
	if err != nil {
		return err
	}
	defer repClient.Close()

	return nil
}

Java

Para administrar los siguientes tipos de recursos en la ubicación de Arabia Saudita, debes anular el extremo de servicio predeterminado cuando crees un cliente para Security Command Center:


import com.google.cloud.securitycenter.v2.SecurityCenterClient;
import com.google.cloud.securitycenter.v2.SecurityCenterSettings;
import java.io.IOException;

public class CreateClientWithEndpoint {

  public static void main(String[] args) throws IOException {
    // TODO: Replace the value with the endpoint for the region in which your
    // Security Command Center data resides.
    String regionalEndpoint = "securitycenter.me-central2.rep.googleapis.com:443";
    SecurityCenterClient client = createClientWithEndpoint(regionalEndpoint);
    System.out.println("Client initiated with endpoint: " + client.getSettings().getEndpoint());
  }

  // Creates Security Command Center client for a regional endpoint.
  public static SecurityCenterClient createClientWithEndpoint(String regionalEndpoint)
      throws java.io.IOException {
    SecurityCenterSettings regionalSettings =
        SecurityCenterSettings.newBuilder().setEndpoint(regionalEndpoint).build();
    return SecurityCenterClient.create(regionalSettings);
  }
}

Cuándo se aplica la residencia de datos

Cuando habilitas la residencia de datos de Security Command Center, algunos datos de Security Command Center se mantienen en una ubicación especificada cuando se encuentran en uno de los siguientes estados:

En reposo: Todas las ubicaciones admitidas
En uso: Solo KSA (sa)
En tránsito: Solo KSA (sa)

Residencia de los datos en reposo

Los datos están en reposo cuando se cumplen todos los siguientes criterios:

Los datos corresponden a un tipo de recurso que está sujeto a controles de residencia de datos.
No solicitaste una operación que requiera acceso a los datos.
No se está accediendo a los datos de una manera que genere registros de auditoría ni registros de Transparencia de acceso.

Cuando habilitas la residencia de datos, Security Command Center hace lo siguiente:

UE, EE.UU. y global

Si es posible, cuando los datos de los hallazgos están en reposo, Security Command Center los almacena en la multirregión de Google Cloud en la que se encuentran tus recursos.

De lo contrario, cuando los datos de los resultados están inactivos, se almacenan en la ubicación predeterminada que elijas.
Cuando los tipos específicos de recursos de configuración están inactivos, Security Command Center los almacena en la ubicación predeterminada que elijas.
En los casos en que Security Command Center almacena datos que no son Datos del Cliente, según se define en el artículo Ubicación de los Datos de las Condiciones Generales del Servicio de Google Cloud, Security Command Center almacena los datos inactivos de acuerdo con las Condiciones del Servicio de Google Cloud Platform.

KSA

Cuando se crea un hallazgo para un recurso que reside en la ubicación de KSA, ese hallazgo siempre reside en la ubicación de KSA en reposo.
Cuando se crea un hallazgo para un recurso que reside en otra ubicación, este finalmente reside en la ubicación de KSA en reposo. Sin embargo, el hallazgo podría residir temporalmente en una región diferente en reposo.
Cuando creas tipos específicos de recursos de configuración en la ubicación de Arabia Saudita y esos recursos están inactivos, residen en la ubicación de Arabia Saudita.
En los casos en que Security Command Center almacena datos que no son Datos del Cliente, según se define en el artículo Ubicación de los Datos de las Condiciones Generales del Servicio de Google Cloud, Security Command Center almacena los datos inactivos de acuerdo con las Condiciones del Servicio de Google Cloud Platform.

Residencia de datos en uso

Los datos están en uso cuando se cumplen todos los siguientes criterios:

Los datos corresponden a un tipo de recurso que está sujeto a controles de residencia de datos.
Google Cloud completa una operación que se inició con tu solicitud (por ejemplo, porque tu aplicación llamó a la API de Security Command Center) o una operación que produce registros de auditoría o registros de Transparencia de acceso.
Es posible que Google Cloud opere en los datos de una manera que requiera conocimiento del significado de los datos, por ejemplo, actualizando campos específicos en un recurso de configuración. Esto incluye cualquier caso en el que los datos no estén encriptados en la memoria.

Cuando habilitas la residencia de datos, Security Command Center hace lo siguiente:

UE, EE.UU. y global

En las ubicaciones de la UE, EE.UU. y globales, los datos en uso no están sujetos a controles de residencia de datos.

KSA

Cuando se crea un hallazgo para un recurso que reside en la ubicación de KSA, este siempre reside en la ubicación de KSA en uso.
Cuando se crea un hallazgo para un recurso que reside en otra ubicación, este finalmente reside en la ubicación de Arabia Saudita en uso. Sin embargo, el hallazgo podría residir temporalmente en una región diferente en uso.
Cuando creas tipos específicos de recursos de configuración en la ubicación de Arabia Saudita y esos recursos están en uso, residen en la ubicación de Arabia Saudita.
En los casos en que Security Command Center almacena datos que no son datos del cliente, como se define en el elemento Ubicación de los datos de las Condiciones del Servicio Generales de Google Cloud, Security Command Center almacena los datos en uso de conformidad con las Condiciones del Servicio de Google Cloud Platform.

Residencia de datos en tránsito

Los datos están en tránsito cuando se cumplen todos los siguientes criterios:

Los datos corresponden a un tipo de recurso que está sujeto a controles de residencia de datos.
Los datos se transmiten, con encriptación, dentro de la red de Google, o los datos están en la memoria, con encriptación, para transmitirlos dentro de la red de Google.

Cuando habilitas la residencia de datos, Security Command Center hace lo siguiente:

UE, EE.UU. y global

En las ubicaciones de la UE, EE.UU. y globales, los datos en tránsito no están sujetos a controles de residencia de datos.

KSA

Cuando se crea un hallazgo para un recurso que reside en la ubicación de KSA, ese hallazgo siempre reside en la ubicación de KSA en tránsito.
Cuando se crea un hallazgo para un recurso que reside en otra ubicación, este finalmente reside en la ubicación de Arabia Saudita en tránsito. Sin embargo, el hallazgo podría residir temporalmente en una región diferente en tránsito.
Cuando creas tipos específicos de recursos de configuración en la ubicación de Arabia Saudita y esos recursos están en tránsito, residen en la ubicación de Arabia Saudita.
En los casos en que Security Command Center almacena datos que no son Datos del Cliente, según se define en el artículo Ubicación de los Datos de las Condiciones Generales del Servicio de Google Cloud, Security Command Center almacena los datos en tránsito de acuerdo con las Condiciones del Servicio de Google Cloud Platform.

Ubicación de datos predeterminada

Para las ubicaciones de la UE, EE.UU. y globales, cuando habilitas la residencia de datos de Security Command Center, debes especificar una ubicación predeterminada de Security Command Center. Puedes seleccionar cualquier ubicación de datos compatible como ubicación predeterminada.

Security Command Center usa la ubicación predeterminada solo para almacenar resultados inactivos que se aplican a los siguientes tipos de recursos:

Recursos que no se encuentran en una ubicación de datos compatible para Security Command Center
Recursos que no especifican una ubicación en sus metadatos

Si implementas recursos de Google Cloud en varias ubicaciones o regiones, puedes elegir la ubicación global (global) como predeterminada.

Si implementas recursos solo en una ubicación, puedes elegir la región múltiple que incluye esa ubicación como predeterminada.

Recursos y residencia de datos de Security Command Center

En la siguiente lista, se explica cómo Security Command Center aplica controles de residencia de datos a los recursos de Security Command Center. Si un recurso no aparece en la lista, significa que no está sujeto a controles de residencia de datos y se almacena de acuerdo con las Condiciones del Servicio de Google Cloud Platform.

Recursos

Cloud Asset Inventory almacena los metadatos de los activos y no está sujeto a controles de residencia de datos. Estos datos se almacenan de acuerdo con las Condiciones del Servicio de Google Cloud Platform.

Por este motivo, la página Recursos de Security Command Center en la consola de Google Cloud siempre muestra todos los recursos de tu organización, carpeta o proyecto, independientemente de su ubicación o de la que selecciones en la consola de Google Cloud. Sin embargo, cuando la residencia de datos está habilitada y ves los detalles de un recurso, la página Recursos no muestra información sobre los hallazgos que afectan al recurso.

Puntuaciones de exposición a ataques y rutas de ataque

Las puntuaciones de exposición a ataques y las rutas de ataque no están sujetas a controles de residencia de datos. Estos datos se almacenan de acuerdo con las Condiciones del Servicio de Google Cloud Platform.

Exportaciones de BigQuery

Las configuraciones de exportación de BigQuery están sujetas a controles de residencia de datos.

UE, EE.UU. y global

Cuando creas estos recursos, especificas la ubicación en la que residen. Estas configuraciones solo se aplican a los resultados que residen en la misma ubicación.

KSA

Usa las URLs regionales para crear y administrar estos recursos de configuración. Se encuentran en la ubicación de Arabia Saudita, junto con tus hallazgos.

La API de Security Command Center representa las configuraciones de exportación de BigQuery como recursos BiqQueryExport.

Exportaciones continuas

Las configuraciones de exportación continua están sujetas a controles de residencia de datos.

UE, EE.UU. y global

Cuando creas estos recursos, especificas la ubicación en la que residen. Estas configuraciones solo se aplican a los resultados que residen en la misma ubicación.

KSA

Usa las URLs regionales para crear y administrar estos recursos de configuración. Reside en la ubicación de Arabia Saudita, junto con tus hallazgos.

La API de Security Command Center representa las configuraciones de exportación continuas como recursos NotificationConfig.

Resultados

Los resultados están sujetos a los controles de residencia de datos.

UE, EE.UU. y global

Cuando se crea un resultado, este reside en la ubicación de Security Command Center en la que se encuentra el recurso afectado.

Si un recurso afectado se encuentra fuera de una ubicación compatible o no tiene un identificador de ubicación, los resultados del recurso residen en tu ubicación predeterminada.

KSA

Cuando se crea un hallazgo para un recurso que reside en la ubicación de KSA, este siempre reside en la ubicación de KSA.

Cuando se crea un hallazgo para un recurso que reside en otra ubicación, este finalmente reside en la ubicación de Arabia Saudita. Sin embargo, el hallazgo puede residir en una región diferente en el momento de su creación.

Para garantizar que los resultados siempre residan en la ubicación de KSA, crea todos tus recursos en esa ubicación.

Reglas de silencio

Las configuraciones de las reglas de silencio están sujetas a los controles de residencia de datos.

UE, EE.UU. y global

Cuando creas estos recursos, especificas la ubicación en la que residen. Estas configuraciones solo se aplican a los resultados que residen en la misma ubicación.

KSA

Usa las URLs regionales para crear y administrar estos recursos de configuración. Se encuentran en la ubicación de Arabia Saudita, junto con tus hallazgos.

La API de Security Command Center representa las configuraciones de reglas de silenciamiento como recursos MuteConfig.

Otros recursos y parámetros de configuración de Security Command Center

Los recursos y la configuración de Security Command Center que no se mencionan aquí, como aquellos que definen qué servicios están habilitados o qué nivel está activo, no están sujetos a los controles de residencia de datos. Estos datos se almacenan de acuerdo con las Condiciones del Servicio de Google Cloud Platform.

Cómo crear o ver datos en una ubicación

Cuando la residencia de datos está habilitada, debes especificar una ubicación cuando crees o veas datos que están sujetos a controles de residencia de datos. Security Command Center elige automáticamente una ubicación para los resultados que crea.

Puedes crear o ver datos en una sola ubicación a la vez. Por ejemplo, si enumeras los resultados en la ubicación global (global), no verás los resultados en la ubicación de la Unión Europea (eu).

Para crear o ver datos que residen en una ubicación de Security Command Center, haz lo siguiente:

Console

UE, EE.UU. y global

En la consola de Google Cloud, ve a Security Command Center.

Ir a Security Command Center
Para cambiar la ubicación de los datos, haz clic en el selector de ubicación de la barra de acciones.

Aparecerá una lista de ubicaciones. Selecciona la nueva ubicación.

KSA

En la consola de Google Cloud jurisdiccional de la ubicación de Arabia Saudita, ve a Security Command Center.

Ir a Security Command Center

gcloud

UE, EE.UU. y global

Usa la marca --location=LOCATION cuando ejecutes Google Cloud CLI, como se muestra en el siguiente ejemplo.

El comando gcloud scc findings list enumera los hallazgos de una organización en una ubicación específica.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

ORGANIZATION_ID: El ID numérico de la organización
LOCATION: Es la ubicación de Security Command Center que se usará, como eu. Si no está habilitada la residencia de datos, usa global.

Ejecuta el comando gcloud scc findings list: :

Linux, macOS o Cloud Shell

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows (PowerShell)

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows (cmd.exe)

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

La respuesta contiene una lista de hallazgos.

KSA

Configura gcloud CLI para usar el extremo de servicio regional de la ubicación de Arabia Saudita para la API de Security Command Center:

gcloud config set api_endpoint_overrides/securitycenter \
    https://securitycenter.me-central2.rep.googleapis.com/

Luego, debes usar la marca --location=sa cuando ejecutes Google Cloud CLI, como se muestra en el siguiente ejemplo.

El comando gcloud scc findings list enumera los hallazgos de una organización en una ubicación específica.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

ORGANIZATION_ID: El ID numérico de la organización

Ejecuta el comando gcloud scc findings list: :

Linux, macOS o Cloud Shell

gcloud scc findings list ORGANIZATION_ID --location=sa

Windows (PowerShell)

gcloud scc findings list ORGANIZATION_ID --location=sa

Windows (cmd.exe)

gcloud scc findings list ORGANIZATION_ID --location=sa

La respuesta contiene una lista de hallazgos.

REST

UE, EE.UU. y global

Usa un extremo de API que incluya locations/LOCATION en la ruta, como se muestra en el siguiente ejemplo.

El método organizations.sources.locations.findings.list de la API de Security Command Center enumera los resultados de una organización en una ubicación específica.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

ORGANIZATION_ID: El ID numérico de la organización
LOCATION: Es la ubicación de Security Command Center que se usará, como eu. Si no está habilitada la residencia de datos, usa global.

Método HTTP y URL:

GET https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Nota: Con el siguiente comando, se supone que accediste a la CLI de gcloud con tu cuenta de usuario a través de la ejecución de gcloud init o gcloud auth login, o a través del uso de Cloud Shell, que accede de forma automática a la CLI de gcloud. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Ejecuta el siguiente comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings"

PowerShell (Windows)

Nota: El siguiente comando supone que accediste a la CLI de gcloud con tu cuenta de usuario mediante la ejecución de gcloud init o gcloud auth login. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings" | Select-Object -Expand Content

La respuesta contiene una lista de hallazgos.

KSA

Usa el extremo de servicio regional de la ubicación de Arabia Saudita para llamar a la API, como se muestra en el siguiente ejemplo.

El método organizations.sources.locations.findings.list de la API de Security Command Center enumera los resultados de una organización en una ubicación específica.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

ORGANIZATION_ID: El ID numérico de la organización

Método HTTP y URL:

GET https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Ejecuta el siguiente comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings"

PowerShell (Windows)

Ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings" | Select-Object -Expand Content

La respuesta contiene una lista de hallazgos.

¿Qué sigue?

Obtén más información para activar Security Command Center con la residencia de datos habilitada.
Habilita Security Command Center para que transmita los resultados a BigQuery.
Configura exportaciones continuas desde Security Command Center a Pub/Sub.
Crea una regla de silenciamiento para los hallazgos.