Si planeas habilitar la residencia de datos cuando activas Security Command Center, la página proporciona la información que debes saber.
Puedes habilitar la compatibilidad con la residencia de datos solo cuando activas el nivel Estándar o Premium de Security Command Center por primera vez en una organización. El nivel Enterprise no admite la residencia de datos.
Después de habilitar la residencia de datos, no puedes inhabilitarla.
Cuando habilitas la residencia de datos en Security Command Center, este almacena de forma automática los hallazgos que pueden contener o hacer referencia a tus datos en la ubicación de Security Command Center que corresponde a la ubicación de los recursos.
Del mismo modo, la exportación continua, las exportaciones de BigQuery y la configuración de reglas de silencio, que pueden incluir tus datos en sus filtros, se almacenan en la ubicación de Security Command Center en la que las creas, y solo se aplican a los resultados de esa ubicación.
Un hallazgo es un registro de un problema de seguridad que uno de los servicios de detección de Security Command Center detectó en tu entorno. Un registro de hallazgos se compone de propiedades que describen el problema de seguridad y los recursos que este afecta.
Un filtro de resultados selecciona los resultados mediante una referencia a sus propiedades y los valores de las propiedades. Los filtros de resultados se usan y se guardan en las configuraciones de las exportaciones continuas (NotificationConfig) y de las reglas de silencio (muteConfig).
En el contexto de la residencia de datos, se aplican las siguientes definiciones:
- Una ubicación es una región o multirregión de Google Cloud que corresponde a la ubicación en la que se almacenan los datos.
- El significado del término tus datos es equivalente al significado del término “Datos del Cliente” en el elemento Ubicación de los Datos de las Condiciones del Servicio Generales de Google Cloud.
La opción para habilitar la residencia de datos está disponible con los niveles Estándar y Premium de Security Command Center.
Ubicaciones de datos admitidas
Security Command Center solo admite las siguientes multirregiones de Google Cloud como ubicación de datos:
- Unión Europea (
eu) - Los datos se almacenan en cualquier región de Google Cloud dentro de los Estados miembros de la Unión Europea.
- United States (
us) - Los datos se almacenan en cualquier región de Google Cloud en Estados Unidos.
- Global (
global) - Los datos se pueden almacenar o procesar en cualquier región de Google Cloud. Si la residencia de datos no está habilitada, Global es la única ubicación compatible.
Para obtener más información sobre las ubicaciones de Security Command Center, consulta Productos disponibles por ubicación.
Si necesitas especificar una ubicación predeterminada para la residencia de datos que no admite Security Command Center, comunícate con tu representante de cuenta o con un especialista en ventas de Google Cloud.
Habilita la residencia de datos durante la activación
Puedes habilitar la residencia de datos solo cuando activas Security Command Center por primera vez en una organización.
Si no habilitas la residencia de datos, la ubicación de todos los recursos de Security Command Center se establece en global, y Security Command Center no restringe el almacenamiento de tus datos a ninguna ubicación en particular.
Se requiere una activación a nivel de la organización.
Después de habilitar la residencia de datos, no puedes inhabilitarla ni cambiar tu ubicación predeterminada.
Si activas Security Command Center a nivel del proyecto o de la organización sin habilitar la residencia de datos al mismo tiempo, no podrás habilitar la residencia de datos en Security Command Center más adelante. Tendrías que crear una organización nueva de Google Cloud para activar Security Command Center con residencia de datos.
Ubicación predeterminada de los datos
Cuando habilitas la residencia de datos de Security Command Center, la única ubicación que debes especificar es la ubicación predeterminada de Security Command Center. Esto se debe a que Security Command Center determina dónde debe almacenar tus datos en función de dónde se implementan los recursos.
Security Command Center usa su ubicación predeterminada solo para almacenar los resultados que se aplican a los siguientes tipos de recursos:
- Recursos que no se encuentran en una ubicación compatible con Security Command Center
- Recursos que no incluyen una especificación de ubicación en sus metadatos
Puedes seleccionar cualquier ubicación de datos admitida como ubicación predeterminada.
Si eres una empresa global que implementa recursos de Google Cloud en varias ubicaciones o multirregiones, puedes elegir la ubicación global como la predeterminada.
Si tu empresa opera en una sola ubicación, puedes elegir esa ubicación como la ubicación predeterminada de Security Command Center.
API de Security Command Center y residencia de datos
La residencia de datos requiere la versión 2 de la API de Security Command Center.
Si usas la API de Security Command Center cuando la residencia de datos está habilitada, v2 es la única API disponible que puedes usar.
Recursos y residencia de datos de Security Command Center
En la siguiente lista, se explica cómo Security Command Center aplica controles de residencia de datos a los recursos que usas cuando trabajas con Security Command Center:
- Recursos
Los metadatos de activos no están sujetos al control de residencia de datos. Los metadatos de activos se almacenan de manera global en Cloud Asset Inventory.
Por este motivo, en la página Recursos de Security Command Center, siempre se muestran todos los recursos de tu organización, carpeta o proyecto, sin importar su ubicación o la ubicación en la que configuraste la vista de la consola de Google Cloud. Sin embargo, cuando la residencia de datos está habilitada y ves los detalles de un recurso, la información sobre cualquier resultado que pueda afectar al recurso no está disponible en la página Recursos.
- Puntuaciones de exposición a ataques y rutas de ataque
Las puntuaciones de exposición a ataques y las rutas de ataque no están sujetas al control de la residencia de datos y se almacenan de forma global.
- Exportaciones de BigQuery
Los parámetros de configuración de BigQuery Export están sujetos a controles de residencia de datos y se almacenan en la ubicación en la que los creas. Se aplican solo a los hallazgos que residen en la misma ubicación.
- Exportaciones continuas
Las configuraciones de exportación continua están sujetas a controles de residencia de datos y se almacenan en la ubicación en la que las creas. Se aplican solo a los hallazgos que residen en la misma ubicación.
- Resultados
Los resultados están sujetos a controles de residencia de datos y se almacenan en la ubicación de Security Command Center en la que se encuentra el recurso afectado. Si un recurso afectado está fuera de una ubicación compatible o no tiene un identificador de ubicación, cualquier resultado de la instancia del recurso se almacena en tu ubicación predeterminada.
- Reglas de silencio
Los parámetros de configuración de reglas de silencio están sujetos a controles de residencia de datos y se almacenan en la ubicación en la que los creas. Solo se aplican a hallazgos que residen en la misma ubicación.
- Configuración de Security Command Center
La mayoría de las opciones de configuración de Security Command Center, como las que definen qué servicios están habilitados o qué nivel está activo, no están sujetas a controles de residencia de datos y se almacenan de forma global. Una excepción son los parámetros de configuración para las exportaciones de BigQuery, las exportaciones continuas a Pub/Sub y las reglas de silencio. Esta configuración es específica de la ubicación en la que la creaste.
Visualiza datos de ubicación en la consola de Google Cloud
Cuando la residencia de datos está habilitada y seleccionas una ubicación en la consola de Google Cloud, cada página de Security Command Center muestra los resultados, las reglas de silencio y las exportaciones continuas solo desde la ubicación seleccionada.
Por ejemplo, cuando seleccionas la vista global, solo ves datos globales. Para ver los resultados, las reglas de silencio o las exportaciones continuas desde otra ubicación, debes cambiar la vista de la consola de Google Cloud a la otra ubicación.
Determinación de la ubicación de los datos después de la habilitación
La ubicación en la que se almacenan los resultados y la configuración de Security Command Center que contienen tus datos se determina en un par de puntos después de que se habilita la residencia de datos:
- Cuando tú o Security Command Center generan o crean un resultado o una configuración.
- Cuando visualizas o recuperas un resultado o una configuración.
Determina la ubicación al crear configuraciones
Cuando creas una exportación continua, una exportación de BigQuery o una regla de silencio, Security Command Center almacena la configuración resultante como un recurso. Una configuración de exportación continua se almacena como un recurso NotificationConfig, una configuración de exportación de BigQuery como un recurso BiqQueryExport y una configuración de regla de silencio se almacena como un recurso MuteConfig.
Antes de crear una configuración de exportación o una regla de silencio, debes seleccionar la ubicación en la que se crearán. La ubicación que selecciones será aquella en la que residen los resultados que deseas exportar o silenciar.
En la consola de Google Cloud, debes configurar la vista de la consola de Google Cloud en la ubicación adecuada antes de crear una regla de exportación continua o silencio.
Cuando creas una regla de silencio o exportación continua mediante la API de Security Command Center o Google Cloud CLI, especificas la ubicación en la llamada a la API o en el comando gcloud que usas para crear la configuración notificationConfig o muteConfig.
Para obtener más información sobre la creación de configuraciones, consulta:
- Crea una exportación continua:
- Crea una regla de silencio:
Determinar la ubicación cuando se generan hallazgos
Cuando uno de los servicios de Security Command Center detecta un problema de seguridad en tu entorno, este determina dónde almacenar el hallazgo resultante según la ubicación del recurso afectado.
Si el recurso afectado se encuentra en una ubicación de datos compatible con Security Command Center, este último almacenará el hallazgo en la misma ubicación.
Si el recurso afectado no se encuentra en una ubicación de datos compatible o no especifica una ubicación en sus metadatos, Security Command Center almacenará el hallazgo en la ubicación de datos predeterminada que especificaste cuando se habilitó la residencia de datos.
Determina la ubicación cuando visualizas datos de Security Command Center
Para ver los resultados, las reglas de silencio y las exportaciones continuas de una ubicación específica en la consola de Google Cloud, primero debes configurar la vista de la consola de Google Cloud en esa ubicación.
Configura la ubicación de la vista en la esquina superior izquierda de la mayoría de las páginas de Security Command Center en la consola de Google Cloud, justo debajo del selector de proyectos:
Cuando la vista de la consola de Google Cloud se configura en una ubicación, la consola de Google Cloud solo muestra los resultados, las reglas de silencio y las exportaciones continuas que residen en esa ubicación.
Para recuperar los resultados o la configuración mediante la API o la gcloud CLI, debes especificar la ubicación en la que se almacenan los resultados o la configuración.
Compatibilidad con la residencia de datos para integraciones y funciones
Cuando la residencia de datos está habilitada, no se admiten las siguientes funciones, integraciones con otros productos y las siguientes características:
- Resúmenes creados con IA
- Web Security Scanner
- Detección rápida de vulnerabilidades
- Terraform
¿Qué sigue?
Si quieres obtener información para activar Security Command Center con la residencia de datos habilitada, consulta Activa Security Command Center para una organización por primera vez.