Planejar a residência de dados

A residência de dados oferece mais controle sobre onde os dados do Security Command Center estão localizados. Esta página fornece informações essenciais sobre como o Security Command Center oferece suporte à residência de dados.

As definições a seguir são aplicáveis a esta página:

• Um local é uma região ou multirregião do Google Cloud que corresponde ao local em que seus dados estão armazenados.
• O significado do termo seus dados é equivalente ao significado do termo "Dados do cliente" no item Local de dados nos Termos gerais de serviço do Google Cloud.

Locais de dados compatíveis

O Security Command Center oferece suporte apenas às seguintes multirregiões do Google Cloud como locais de dados:

União Europeia (eu)

Os dados estão em qualquer região do Google Cloud em estados-membros da União Europeia.

Estados Unidos (us)

Os dados estão em qualquer região do Google Cloud nos Estados Unidos.

Reino da Arábia Saudita (KSA) (sa)

Os dados estão em qualquer região do Google Cloud no KSA.

Global (global)

Os dados podem estar em qualquer região do Google Cloud. Se a residência de dados não estiver ativada, o local global (global) será o único aceito.

Para mais informações sobre os locais do Security Command Center, consulte Produtos disponíveis por local.

Se você precisar especificar um local padrão para a residência de dados que o Security Command Center não oferece suporte, entre em contato com seu representante de contas ou com um especialista em vendas do Google Cloud.

Requisitos de residência de dados

Só é possível ativar a residência de dados quando você ativa o nível Standard ou Premium do Security Command Center em uma organização pela primeira vez. O nível Enterprise não oferece suporte à residência de dados.

Depois que a residência de dados for ativada, não será possível desativá-la nem mudar o local padrão. Além disso, os resumos do Gemini de descobertas e caminhos de ataque não estão disponíveis.

A residência de dados exige o uso da API Security Command Center v2. Se a residência de dados estiver ativada, não será possível usar versões anteriores da API Security Command Center.

Se você não ativar a residência de dados ao ativar o Security Command Center, ele não vai restringir seus dados a nenhum local específico e eles serão armazenados de acordo com os Termos de Serviço do Google Cloud Platform.

URLs regionais

Para o local do Reino da Arábia Saudita (KSA, na sigla em inglês), use URLs específicos para acessar o console do Google Cloud da jurisdição, além de alguns métodos e comandos na CLI gcloud, nas bibliotecas de cliente do Cloud e na API Security Command Center:

gcloud config set api_endpoint_overrides/securitycenter \
    https://securitycenter.me-central2.rep.googleapis.com/

gcloud config unset api_endpoint_overrides/securitycenter

import (
	"context"
	"fmt"

	securitycenter "cloud.google.com/go/securitycenter/apiv2"
	"google.golang.org/api/option"
)

// createClientWithEndpoint creates a Security Command Center client for a
// regional endpoint.
func createClientWithEndpoint(repLocation string) error {
	// Assemble the regional endpoint URL using provided location.
	repEndpoint := fmt.Sprintf("securitycenter.%s.rep.googleapis.com:443", repLocation)
	// Instantiate client for regional endpoint. Use this client to access resources that
	// are subject to data residency controls, and that are located in the region
	// specified in repLocation.
	repCtx := context.Background()
	repClient, err := securitycenter.NewClient(repCtx, option.WithEndpoint(repEndpoint))
	if err != nil {
		return err
	}
	defer repClient.Close()

	return nil
}

import com.google.cloud.securitycenter.v2.SecurityCenterClient;
import com.google.cloud.securitycenter.v2.SecurityCenterSettings;
import java.io.IOException;

public class CreateClientWithEndpoint {

  public static void main(String[] args) throws IOException {
    // TODO: Replace the value with the endpoint for the region in which your
    // Security Command Center data resides.
    String regionalEndpoint = "securitycenter.me-central2.rep.googleapis.com:443";
    SecurityCenterClient client = createClientWithEndpoint(regionalEndpoint);
    System.out.println("Client initiated with endpoint: " + client.getSettings().getEndpoint());
  }

  // Creates Security Command Center client for a regional endpoint.
  public static SecurityCenterClient createClientWithEndpoint(String regionalEndpoint)
      throws java.io.IOException {
    SecurityCenterSettings regionalSettings =
        SecurityCenterSettings.newBuilder().setEndpoint(regionalEndpoint).build();
    return SecurityCenterClient.create(regionalSettings);
  }
}

Quando a residência de dados é aplicada

Quando você ativa a residência de dados para o Security Command Center, alguns dados do Security Command Center são mantidos em um local especificado quando estão em um dos seguintes estados:

• Em repouso: todos os locais com suporte
• Em uso: somente KSA (sa)
• A caminho: apenas KSA (sa)

Residência dos dados em repouso

Os dados estão em repouso quando todos os seguintes critérios são atendidos:

• Os dados são de um tipo de recurso que está sujeito a controles de residência de dados.
• Você não solicitou uma operação que exige o acesso aos dados.
• Os dados não estão sendo acessados de uma forma que gere registros de auditoria ou registros de transparência no acesso.

Quando você ativa a residência de dados, o Security Command Center faz o seguinte:

Residência de dados em uso

Os dados estão em uso quando todos os critérios a seguir são atendidos:

• Os dados são de um tipo de recurso que está sujeito a controles de residência de dados.
• O Google Cloud está concluindo uma operação iniciada na sua solicitação, por exemplo, porque seu aplicativo chamou a API Security Command Centerou uma operação que produz registros de auditoria ou de transparência no acesso.
• O Google Cloud pode operar nos dados de uma maneira que exija conhecimento do significado deles, por exemplo, atualizando campos específicos em um recurso de configuração. Isso inclui qualquer caso em que os dados não são criptografados na memória.

Quando você ativa a residência de dados, o Security Command Center faz o seguinte:

Residência de dados em trânsito

Os dados estão em trânsito quando todos os seguintes critérios são atendidos:

• Os dados são de um tipo de recurso que está sujeito a controles de residência de dados.
• Os dados estão sendo transmitidos, com criptografia, na rede do Google ou estão na memória, com criptografia, para serem transmitidos na rede do Google.

Quando você ativa a residência de dados, o Security Command Center faz o seguinte:

Local de dados padrão

Para os locais da UE, dos EUA e globais, quando você ativa a residência de dados do Security Command Center, especifica um local padrão do Security Command Center. Você pode selecionar qualquer local de dados com suporte como o local padrão.

O Security Command Center usa o local padrão apenas para armazenar descobertas em repouso que se aplicam aos seguintes tipos de recursos:

• Recursos que não estão localizados em um local de dados com suporte para o Security Command Center
• Recursos que não especificam um local nos metadados

Se você implantar recursos do Google Cloud em vários locais ou em várias regiões, poderá escolher o local global (global) como padrão.

Se você implantar recursos apenas em um único local, poderá escolher a multirregional que inclui esse local como padrão.

Recursos do Security Command Center e residência de dados

A lista a seguir explica como o Security Command Center aplica controles de residência de dados a recursos do Security Command Center. Se um recurso não estiver listado aqui, ele não estará sujeito a controles de residência de dados e será armazenado de acordo com os Termos de Serviço do Google Cloud Platform.

Recursos

Os metadados de recursos são armazenados pelo Inventário de recursos do Cloud e não estão sujeitos a controles de residência de dados. Esses dados são armazenados de acordo com os Termos de Serviço do Google Cloud Platform.

Por esse motivo, a página Recursos do Security Command Center no console do Google Cloud sempre mostra todos os recursos da sua organização, pasta ou projeto, independentemente do local ou do local selecionado no console do Google Cloud. No entanto, quando a residência de dados está ativada e você acessa os detalhes de um recurso, a página Recursos não mostra informações sobre as descobertas que afetam o recurso.

Pontuações de exposição a ataques e caminhos de ataque

As pontuações de exposição a ataques e caminhos de ataque não estão sujeitas a controles de residência de dados. Esses dados são armazenados de acordo com os Termos de Serviço do Google Cloud Platform.

Exportações do BigQuery

As configurações de exportação do BigQuery estão sujeitas a controles de residência de dados.

UE, EUA e mundo inteiro

Ao criar esses recursos, você especifica o local em que eles vão ficar. Essas configurações se aplicam apenas a descobertas que residem no mesmo local.

KSA

Use os URLs regionais para criar e gerenciar esses recursos de configuração. Eles residem no local da Arábia Saudita, junto com suas descobertas.

A API Security Command Center representa as configurações de exportação do BigQuery como recursos BiqQueryExport.

Exportações contínuas

As configurações de exportação contínua estão sujeitas a controles de residência de dados.

UE, EUA e mundo inteiro

Ao criar esses recursos, você especifica o local em que eles vão ficar. Essas configurações se aplicam apenas a descobertas que residem no mesmo local.

KSA

Use os URLs regionais para criar e gerenciar esses recursos de configuração. Eles residem no local da Arábia Saudita, junto com suas descobertas.

A API Security Command Center representa as configurações de exportação contínua como recursos NotificationConfig.

Descobertas

As descobertas estão sujeitas aos controles de residência de dados.

UE, EUA e mundo inteiro

Quando uma descoberta é criada, ela fica no local do Security Command Center em que o recurso afetado está localizado.

Se um recurso afetado estiver localizado fora de um local compatível ou não tiver um identificador de local, as descobertas do recurso estarão no seu local padrão.

KSA

Quando uma descoberta é criada para um recurso que está no local do KSA, ela sempre fica no local do KSA.

Quando uma descoberta é criada para um recurso que está em outro local, ela acaba sendo armazenada no local do KSA. No entanto, a descoberta pode estar em uma região diferente no momento em que ela é criada.

Para garantir que os resultados sempre fiquem no local da Arábia Saudita, crie todos os recursos nesse local.

Regras de silenciamento

As configurações de regras de silenciamento estão sujeitas aos controles de residência de dados.

UE, EUA e mundo inteiro

Ao criar esses recursos, você especifica o local em que eles vão ficar. Essas configurações se aplicam apenas a descobertas que residem no mesmo local.

KSA

Use os URLs regionais para criar e gerenciar esses recursos de configuração. Eles residem no local da Arábia Saudita, junto com suas descobertas.

A API Security Command Center representa as configurações de regras de desativação como recursos MuteConfig.

Outros recursos e configurações do Security Command Center

Os recursos e as configurações do Security Command Center que não estão listados aqui, como aqueles que definem quais serviços estão ativados ou qual nível está ativo, não estão sujeitos a controles de residência de dados. Esses dados são armazenados de acordo com os Termos de Serviço do Google Cloud Platform.

Criar ou acessar dados em um local

Quando a residência de dados está ativada, é necessário especificar um local ao criar ou acessar dados que estão sujeitos a controles de residência de dados. O Security Command Center escolhe automaticamente um local para as descobertas que ele cria.

Você só pode criar ou consultar dados em um local por vez. Por exemplo, se você listar descobertas no local global (global), não vai encontrar descobertas no local da União Europeia (eu).

Para criar ou acessar dados em um local do Security Command Center, faça o seguinte:

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

gcloud config set api_endpoint_overrides/securitycenter \
    https://securitycenter.me-central2.rep.googleapis.com/

gcloud scc findings list ORGANIZATION_ID --location=sa

gcloud scc findings list ORGANIZATION_ID --location=sa

gcloud scc findings list ORGANIZATION_ID --location=sa

GET https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings" | Select-Object -Expand Content

GET https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings" | Select-Object -Expand Content

A seguir

• Saiba como ativar o Security Command Center com a residência de dados ativada.
• Ative o Security Command Center para transmitir as descobertas para o BigQuery.
• Configure exportações contínuas do Security Command Center para o Pub/Sub.
• Crie uma regra de silenciamento para descobertas.