La residencia de datos te brinda más control sobre dónde se encuentran tus datos de Security Command Center. En esta página, se proporciona información esencial sobre cómo Security Command Center admite la residencia de los datos.
Las siguientes definiciones se aplican a esta página:
- Una ubicación es una región o multirregión de Google Cloud que corresponde a la ubicación en la que residen tus datos.
- El significado del término tus datos equivale al significado del término "Datos del cliente" en el artículo Ubicación de los datos de las Condiciones del Servicio Generales de Google Cloud.
Ubicaciones de datos admitidas
Security Command Center solo admite las siguientes ubicaciones multirregionales de Google Cloud como ubicaciones de datos:
- Unión Europea (
eu
) - Los datos residen en cualquier región de Google Cloud dentro de los Estados miembros de la Unión Europea.
- United States (
us
) - Los datos residen en cualquier región de Google Cloud en Estados Unidos.
- Reino de Arabia Saudita (KSA) (
sa
) - Los datos residen en cualquier región de Google Cloud en KSA.
- Global (
global
) - Los datos pueden residir en cualquier región de Google Cloud. Si la residencia de datos no está habilitada, la única ubicación admitida es Global (
global
).
Para obtener más información sobre las ubicaciones de Security Command Center, consulta Productos disponibles por ubicación.
Si necesitas especificar una ubicación predeterminada para la residencia de datos que Security Command Center no admite, comunícate con tu representante de cuenta o con un especialista en ventas de Google Cloud.
Requisitos para la residencia de datos
Puedes habilitar la residencia de datos solo cuando activas el nivel Estándar o Premium de Security Command Center en una organización por primera vez. El nivel empresarial no admite la residencia de datos.
Una vez que se habilita la residencia de datos, no puedes inhabilitarla ni cambiar la ubicación predeterminada. Además, no están disponibles los resúmenes de Gemini de los hallazgos y las rutas de ataque.
La residencia de datos requiere que uses la API de Security Command Center v2. Si la residencia de datos está habilitada, no puedes usar versiones anteriores de la API de Security Command Center.
Si no habilitas la residencia de datos cuando activas Security Command Center, este no restringirá tus datos a ninguna ubicación en particular y se almacenarán de acuerdo con las Condiciones del Servicio de Google Cloud Platform.
URLs regionales
Para la ubicación del Reino de Arabia Saudita (KSA), debes usar URLs específicas de la ubicación para acceder a la consola de Google Cloud jurisdiccional, así como algunos métodos y comandos en gcloud CLI, las bibliotecas cliente de Cloud y la API de Security Command Center:
Console
Para acceder a Security Command Center, usa la consola de Google Cloud de la jurisdicción, https://console.sa.cloud.google.com/.
La consola de Google Cloud jurisdiccional te permite acceder a los datos de Security Command Center en Arabia Saudita y en ubicaciones globales.
gcloud
Para acceder a los datos de la ubicación de Arabia Saudita, los siguientes grupos de comandos de gcloud CLI requieren que uses el extremo de servicio regional de la API de Security Command Center:
gcloud scc bqexports
: Administra las configuraciones de exportación de BigQuery.gcloud scc findings
: Administra los resultados.gcloud scc muteconfigs
: Administra parámetros de configuración de reglas de silenciamiento.gcloud scc notifications
: Administra parámetros de configuración de exportación continua.
Además, el grupo de comandos gcloud scc operations
no está disponible para operaciones de larga duración en la ubicación de Arabia Saudita. Por ejemplo, no puedes verificar el estado de una operación de larga duración para silenciar resultados de forma masiva.
Para todos los demás grupos de comandos gcloud scc
, debes usar el extremo de servicio
predeterminado de la API de Security Command Center.
Para cambiar al extremo de servicio regional, ejecuta el siguiente comando:
gcloud config set api_endpoint_overrides/securitycenter \
https://securitycenter.me-central2.rep.googleapis.com/
Para cambiar al extremo de servicio predeterminado, ejecuta el siguiente comando:
gcloud config unset api_endpoint_overrides/securitycenter
Si lo prefieres, puedes crear una configuración con nombre para gcloud CLI que use el extremo de servicio regional y, luego, cambiar a esa configuración con nombre antes de ejecutar los comandos de Security Command Center en la ubicación de Arabia Saudita. Para cambiar a una configuración con nombre, ejecuta el comando gcloud config configurations activate
.
REST
Para la ubicación de Arabia Saudita, la API de Security Command Center usa el extremo de servicio regional https://securitycenter.me-central2.rep.googleapis.com/
.
Para acceder a los siguientes tipos de recursos de la API de REST en la ubicación de Arabia Saudita, debes usar el extremo de servicio regional de Security Command Center:
folders.locations.bigQueryExports
folders.locations.findings
folders.locations.muteConfigs
folders.locations.notificationConfigs
organizations.locations.bigQueryExports
organizations.locations.findings
organizations.locations.muteConfigs
organizations.locations.notificationConfigs
projects.locations.bigQueryExports
projects.locations.findings
projects.locations.muteConfigs
projects.locations.notificationConfigs
Además, no puedes llamar a ningún método para los recursos organizations.operations
en la ubicación de Arabia Saudita. Por ejemplo, no puedes verificar el estado de una operación de larga duración para silenciar resultados de forma masiva.
Para todos los demás tipos de recursos, debes usar el extremo de servicio predeterminado de la API de Security Command Center, https://securitycenter.googleapis.com/
.
Go
Para administrar los siguientes tipos de recursos en la ubicación de Arabia Saudita, debes anular el extremo de servicio predeterminado cuando crees un cliente para Security Command Center:
- Parámetros de configuración de la exportación de BigQuery
- Parámetros de configuración de exportación continua
- Resultados
- Parámetros de configuración de las reglas de silencio
Usa el extremo securitycenter.me-central2.rep.googleapis.com:443
para estos tipos de recursos. En la siguiente muestra de código, se muestra cómo crear un cliente que usa un extremo de servicio regional.
Java
Para administrar los siguientes tipos de recursos en la ubicación de Arabia Saudita, debes anular el extremo de servicio predeterminado cuando crees un cliente para Security Command Center:
- Parámetros de configuración de la exportación de BigQuery
- Parámetros de configuración de exportación continua
- Resultados
- Parámetros de configuración de las reglas de silencio
Usa el extremo securitycenter.me-central2.rep.googleapis.com:443
para estos tipos de recursos. En la siguiente muestra de código, se muestra cómo crear un cliente que usa un extremo de servicio regional.
Cuándo se aplica la residencia de datos
Cuando habilitas la residencia de datos de Security Command Center, algunos datos de Security Command Center se mantienen en una ubicación especificada cuando se encuentran en uno de los siguientes estados:
- En reposo: Todas las ubicaciones admitidas
- En uso: Solo KSA (
sa
) - En tránsito: Solo KSA (
sa
)
Residencia de los datos en reposo
Los datos están en reposo cuando se cumplen todos los siguientes criterios:
- Los datos corresponden a un tipo de recurso que está sujeto a controles de residencia de datos.
- No solicitaste una operación que requiera acceso a los datos.
- No se está accediendo a los datos de una manera que genere registros de auditoría ni registros de Transparencia de acceso.
Cuando habilitas la residencia de datos, Security Command Center hace lo siguiente:
UE, EE.UU. y global
Si es posible, cuando los datos de los hallazgos están en reposo, Security Command Center los almacena en la multirregión de Google Cloud en la que se encuentran tus recursos.
De lo contrario, cuando los datos de los resultados están inactivos, se almacenan en la ubicación predeterminada que elijas.
Cuando los tipos específicos de recursos de configuración están inactivos, Security Command Center los almacena en la ubicación predeterminada que elijas.
En los casos en que Security Command Center almacena datos que no son Datos del Cliente, según se define en el artículo Ubicación de los Datos de las Condiciones Generales del Servicio de Google Cloud, Security Command Center almacena los datos inactivos de acuerdo con las Condiciones del Servicio de Google Cloud Platform.
KSA
- Cuando se crea un hallazgo para un recurso que reside en la ubicación de KSA, ese hallazgo siempre reside en la ubicación de KSA en reposo.
- Cuando se crea un hallazgo para un recurso que reside en otra ubicación, este finalmente reside en la ubicación de KSA en reposo. Sin embargo, el hallazgo podría residir temporalmente en una región diferente en reposo.
- Cuando creas tipos específicos de recursos de configuración en la ubicación de Arabia Saudita y esos recursos están inactivos, residen en la ubicación de Arabia Saudita.
-
En los casos en que Security Command Center almacena datos que no son Datos del Cliente, según se define en el artículo Ubicación de los Datos de las Condiciones Generales del Servicio de Google Cloud, Security Command Center almacena los datos inactivos de acuerdo con las Condiciones del Servicio de Google Cloud Platform.
Residencia de datos en uso
Los datos están en uso cuando se cumplen todos los siguientes criterios:
- Los datos corresponden a un tipo de recurso que está sujeto a controles de residencia de datos.
- Google Cloud completa una operación que se inició con tu solicitud (por ejemplo, porque tu aplicación llamó a la API de Security Command Center) o una operación que produce registros de auditoría o registros de Transparencia de acceso.
- Es posible que Google Cloud opere en los datos de una manera que requiera conocimiento del significado de los datos, por ejemplo, actualizando campos específicos en un recurso de configuración. Esto incluye cualquier caso en el que los datos no estén encriptados en la memoria.
Cuando habilitas la residencia de datos, Security Command Center hace lo siguiente:
UE, EE.UU. y global
En las ubicaciones de la UE, EE.UU. y globales, los datos en uso no están sujetos a controles de residencia de datos.
KSA
- Cuando se crea un hallazgo para un recurso que reside en la ubicación de KSA, este siempre reside en la ubicación de KSA en uso.
- Cuando se crea un hallazgo para un recurso que reside en otra ubicación, este finalmente reside en la ubicación de Arabia Saudita en uso. Sin embargo, el hallazgo podría residir temporalmente en una región diferente en uso.
- Cuando creas tipos específicos de recursos de configuración en la ubicación de Arabia Saudita y esos recursos están en uso, residen en la ubicación de Arabia Saudita.
-
En los casos en que Security Command Center almacena datos que no son datos del cliente, como se define en el elemento Ubicación de los datos de las Condiciones del Servicio Generales de Google Cloud, Security Command Center almacena los datos en uso de conformidad con las Condiciones del Servicio de Google Cloud Platform.
Residencia de datos en tránsito
Los datos están en tránsito cuando se cumplen todos los siguientes criterios:
- Los datos corresponden a un tipo de recurso que está sujeto a controles de residencia de datos.
- Los datos se transmiten, con encriptación, dentro de la red de Google, o los datos están en la memoria, con encriptación, para transmitirlos dentro de la red de Google.
Cuando habilitas la residencia de datos, Security Command Center hace lo siguiente:
UE, EE.UU. y global
En las ubicaciones de la UE, EE.UU. y globales, los datos en tránsito no están sujetos a controles de residencia de datos.
KSA
- Cuando se crea un hallazgo para un recurso que reside en la ubicación de KSA, ese hallazgo siempre reside en la ubicación de KSA en tránsito.
- Cuando se crea un hallazgo para un recurso que reside en otra ubicación, este finalmente reside en la ubicación de Arabia Saudita en tránsito. Sin embargo, el hallazgo podría residir temporalmente en una región diferente en tránsito.
- Cuando creas tipos específicos de recursos de configuración en la ubicación de Arabia Saudita y esos recursos están en tránsito, residen en la ubicación de Arabia Saudita.
-
En los casos en que Security Command Center almacena datos que no son Datos del Cliente, según se define en el artículo Ubicación de los Datos de las Condiciones Generales del Servicio de Google Cloud, Security Command Center almacena los datos en tránsito de acuerdo con las Condiciones del Servicio de Google Cloud Platform.
Ubicación de datos predeterminada
Para las ubicaciones de la UE, EE.UU. y globales, cuando habilitas la residencia de datos de Security Command Center, debes especificar una ubicación predeterminada de Security Command Center. Puedes seleccionar cualquier ubicación de datos compatible como ubicación predeterminada.
Security Command Center usa la ubicación predeterminada solo para almacenar resultados inactivos que se aplican a los siguientes tipos de recursos:
- Recursos que no se encuentran en una ubicación de datos compatible para Security Command Center
- Recursos que no especifican una ubicación en sus metadatos
Si implementas recursos de Google Cloud en varias ubicaciones o regiones, puedes elegir la ubicación global (global
) como predeterminada.
Si implementas recursos solo en una ubicación, puedes elegir la región múltiple que incluye esa ubicación como predeterminada.
Recursos y residencia de datos de Security Command Center
En la siguiente lista, se explica cómo Security Command Center aplica controles de residencia de datos a los recursos de Security Command Center. Si un recurso no aparece en la lista, significa que no está sujeto a controles de residencia de datos y se almacena de acuerdo con las Condiciones del Servicio de Google Cloud Platform.
- Recursos
Cloud Asset Inventory almacena los metadatos de los activos y no está sujeto a controles de residencia de datos. Estos datos se almacenan de acuerdo con las Condiciones del Servicio de Google Cloud Platform.
Por este motivo, la página Recursos de Security Command Center en la consola de Google Cloud siempre muestra todos los recursos de tu organización, carpeta o proyecto, independientemente de su ubicación o de la que selecciones en la consola de Google Cloud. Sin embargo, cuando la residencia de datos está habilitada y ves los detalles de un recurso, la página Recursos no muestra información sobre los hallazgos que afectan al recurso.
- Puntuaciones de exposición a ataques y rutas de ataque
Las puntuaciones de exposición a ataques y las rutas de ataque no están sujetas a controles de residencia de datos. Estos datos se almacenan de acuerdo con las Condiciones del Servicio de Google Cloud Platform.
- Exportaciones de BigQuery
Las configuraciones de exportación de BigQuery están sujetas a controles de residencia de datos.
UE, EE.UU. y global
Cuando creas estos recursos, especificas la ubicación en la que residen. Estas configuraciones solo se aplican a los resultados que residen en la misma ubicación.
KSA
Usa las URLs regionales para crear y administrar estos recursos de configuración. Se encuentran en la ubicación de Arabia Saudita, junto con tus hallazgos.
La API de Security Command Center representa las configuraciones de exportación de BigQuery como recursos
BiqQueryExport
.- Exportaciones continuas
Las configuraciones de exportación continua están sujetas a controles de residencia de datos.
UE, EE.UU. y global
Cuando creas estos recursos, especificas la ubicación en la que residen. Estas configuraciones solo se aplican a los resultados que residen en la misma ubicación.
KSA
Usa las URLs regionales para crear y administrar estos recursos de configuración. Se encuentran en la ubicación de Arabia Saudita, junto con tus hallazgos.
La API de Security Command Center representa las configuraciones de exportación continuas como recursos
NotificationConfig
.- Resultados
Los resultados están sujetos a los controles de residencia de datos.
UE, EE.UU. y global
Cuando se crea un resultado, este reside en la ubicación de Security Command Center en la que se encuentra el recurso afectado.
Si un recurso afectado se encuentra fuera de una ubicación compatible o no tiene un identificador de ubicación, los resultados del recurso residen en tu ubicación predeterminada.
KSA
Cuando se crea un hallazgo para un recurso que reside en la ubicación de KSA, este siempre reside en la ubicación de KSA.
Cuando se crea un hallazgo para un recurso que reside en otra ubicación, este finalmente reside en la ubicación de Arabia Saudita. Sin embargo, el hallazgo puede residir en una región diferente en el momento de su creación.
Para garantizar que los resultados siempre residan en la ubicación de KSA, crea todos tus recursos en esa ubicación.
- Reglas de silencio
Las configuraciones de las reglas de silencio están sujetas a los controles de residencia de datos.
UE, EE.UU. y global
Cuando creas estos recursos, especificas la ubicación en la que residen. Estas configuraciones solo se aplican a los resultados que residen en la misma ubicación.
KSA
Usa las URLs regionales para crear y administrar estos recursos de configuración. Se encuentran en la ubicación de Arabia Saudita, junto con tus hallazgos.
La API de Security Command Center representa las configuraciones de reglas de silenciamiento como recursos
MuteConfig
.- Otros recursos y parámetros de configuración de Security Command Center
Los recursos y la configuración de Security Command Center que no se mencionan aquí, como aquellos que definen qué servicios están habilitados o qué nivel está activo, no están sujetos a los controles de residencia de datos. Estos datos se almacenan de acuerdo con las Condiciones del Servicio de Google Cloud Platform.
Cómo crear o ver datos en una ubicación
Cuando la residencia de datos está habilitada, debes especificar una ubicación cuando crees o veas datos que están sujetos a controles de residencia de datos. Security Command Center elige automáticamente una ubicación para los resultados que crea.
Puedes crear o ver datos en una sola ubicación a la vez. Por ejemplo, si enumeras los resultados en la ubicación global (global
), no verás los resultados en la ubicación de la Unión Europea (eu
).
Para crear o ver datos que residen en una ubicación de Security Command Center, haz lo siguiente:
Console
UE, EE.UU. y global
En la consola de Google Cloud, ve a Security Command Center.
Para cambiar la ubicación de los datos, haz clic en el selector de ubicación de la barra de acciones.
Aparecerá una lista de ubicaciones. Selecciona la nueva ubicación.
KSA
En la consola de Google Cloud jurisdiccional de la ubicación de Arabia Saudita, ve a Security Command Center.
gcloud
UE, EE.UU. y global
Usa la marca --location=LOCATION
cuando ejecutes Google Cloud CLI, como se muestra en el siguiente ejemplo.
El comando
gcloud scc findings list
enumera los hallazgos de una organización en una ubicación específica.
Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:
-
ORGANIZATION_ID
: El ID numérico de la organización -
LOCATION
: Es la ubicación de Security Command Center que se usará, comoeu
. Si no está habilitada la residencia de datos, usaglobal
.
Ejecuta el comando
gcloud scc findings list
:
:
Linux, macOS o Cloud Shell
gcloud scc findings list ORGANIZATION_ID --location=LOCATION
Windows (PowerShell)
gcloud scc findings list ORGANIZATION_ID --location=LOCATION
Windows (cmd.exe)
gcloud scc findings list ORGANIZATION_ID --location=LOCATION
La respuesta contiene una lista de hallazgos.
KSA
Configura gcloud CLI para usar el extremo de servicio regional de la ubicación de Arabia Saudita para la API de Security Command Center:
gcloud config set api_endpoint_overrides/securitycenter \
https://securitycenter.me-central2.rep.googleapis.com/
Luego, debes usar la marca --location=sa
cuando ejecutes Google Cloud CLI, como se muestra en el siguiente ejemplo.
El comando
gcloud scc findings list
enumera los hallazgos de una organización en una ubicación específica.
Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:
-
ORGANIZATION_ID
: El ID numérico de la organización
Ejecuta el comando
gcloud scc findings list
:
:
Linux, macOS o Cloud Shell
gcloud scc findings list ORGANIZATION_ID --location=sa
Windows (PowerShell)
gcloud scc findings list ORGANIZATION_ID --location=sa
Windows (cmd.exe)
gcloud scc findings list ORGANIZATION_ID --location=sa
La respuesta contiene una lista de hallazgos.
REST
UE, EE.UU. y global
Usa un extremo de API que incluya locations/LOCATION
en la ruta, como se muestra en el siguiente ejemplo.
El método organizations.sources.locations.findings.list
de la API de Security Command Center enumera los resultados de una organización en una ubicación específica.
Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:
-
ORGANIZATION_ID
: El ID numérico de la organización -
LOCATION
: Es la ubicación de Security Command Center que se usará, comoeu
. Si no está habilitada la residencia de datos, usaglobal
.
Método HTTP y URL:
GET https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings
Para enviar tu solicitud, expande una de estas opciones:
La respuesta contiene una lista de hallazgos.
KSA
Usa el extremo de servicio regional de la ubicación de Arabia Saudita para llamar a la API, como se muestra en el siguiente ejemplo.
El método organizations.sources.locations.findings.list
de la API de Security Command Center enumera los resultados de una organización en una ubicación específica.
Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:
-
ORGANIZATION_ID
: El ID numérico de la organización
Método HTTP y URL:
GET https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings
Para enviar tu solicitud, expande una de estas opciones:
La respuesta contiene una lista de hallazgos.
¿Qué sigue?
- Obtén más información para activar Security Command Center con la residencia de datos habilitada.
- Habilita Security Command Center para que transmita los resultados a BigQuery.
- Configura exportaciones continuas desde Security Command Center a Pub/Sub.
- Crea una regla de silenciamiento para los hallazgos.