Planejar a residência de dados

Se você planeja ativar a residência de dados ao ativar o Security Command Center, a página fornece as informações que você precisa saber.

Só é possível ativar o suporte à residência de dados ao ativar o nível Standard ou Premium do Security Command Center pela primeira vez em uma organização. O nível Enterprise não dá suporte à residência de dados.

Depois que a residência de dados for ativada, ela não poderá ser desativada.

Quando você ativa a residência de dados no Security Command Center, ele armazena automaticamente as descobertas que podem conter ou referenciar seus dados no local do Security Command Center que corresponde ao local dos recursos.

Da mesma forma, a exportação contínua, as exportações do BigQuery e as configurações de regras de silenciamento, que podem incluir seus dados nos filtros, são armazenadas no local do Security Command Center em que são criadas, onde se aplicam apenas às descobertas nesse local.

Uma descoberta é um registro de um problema de segurança que um dos serviços de detecção do Security Command Center detectou no seu ambiente. Um registro de descoberta é composto de propriedades que descrevem o problema de segurança e os recursos que são afetados por ele.

Um filtro de descoberta seleciona descobertas referenciando as propriedades delas e os valores da propriedade. Os filtros de descoberta são usados e salvos nas configurações de exportações contínuas (NotificationConfig) e regras de silenciamento (muteConfig).

No contexto da residência de dados, aplicam-se as seguintes definições:

• Um local é uma região ou multirregião do Google Cloud que corresponde ao local em que os dados são armazenados.
• O significado do termo seus dados equivale ao significado do termo "Dados do cliente" no item Local dos dados nos Termos gerais de serviço do Google Cloud.

A opção de ativar a residência de dados está disponível nos níveis Standard e Premium do Security Command Center.

Locais de dados compatíveis

O Security Command Center oferece suporte apenas às seguintes multirregiões do Google Cloud como local de dados:

União Europeia (eu)

Os dados são armazenados em qualquer região do Google Cloud dentro de estados-membros da União Europeia.

Estados Unidos (us)

Os dados são armazenados em qualquer região do Google Cloud nos Estados Unidos.

Global (global)

Os dados podem ser armazenados ou processados em qualquer região do Google Cloud. Se a residência de dados não estiver ativada, Global será o único local com suporte.

Para mais informações sobre locais do Security Command Center, consulte Produtos disponíveis por local.

Se você precisar especificar um local padrão para residência de dados que não seja compatível com o Security Command Center, entre em contato com o representante da sua conta ou com um especialista em vendas do Google Cloud.

Ativar a residência de dados durante a ativação

Só é possível ativar a residência de dados quando você ativa o Security Command Center pela primeira vez em uma organização.

Se você não ativar a residência de dados, o local de todos os recursos do Security Command Center será definido como global, e o Security Command Center não vai restringir o armazenamento dos dados a nenhum local específico.

É necessária uma ativação no nível da organização.

Depois que a residência de dados for ativada, não será possível desativá-la ou alterar seu local padrão.

Se você ativar o Security Command Center no nível do projeto ou da organização sem ativar a residência de dados ao mesmo tempo, não será possível ativar a residência de dados no Security Command Center posteriormente. É necessário criar uma nova organização do Google Cloud para ativar o Security Command Center com residência de dados.

Local de dados padrão

Quando você ativa a residência de dados do Security Command Center, o único local que você precisa especificar é o local padrão. Isso ocorre porque o Security Command Center determina onde ele precisa armazenar os dados com base no local onde seus recursos estão implantados.

O local padrão do Security Command Center é usado apenas para armazenar descobertas que se aplicam aos seguintes tipos de recursos:

• Recursos que não estão localizados em um local compatível com o Security Command Center.
• Recursos que não incluem uma especificação de local nos metadados

Você pode selecionar qualquer local de dados compatível como padrão.

Se você for uma empresa global que implanta recursos do Google Cloud em vários locais ou multirregiões, escolha o local global como padrão.

Se sua empresa opera apenas em um único local, escolha esse local como o local padrão do Security Command Center.

A API Security Command Center e a residência de dados

A residência de dados requer a API Security Command Center v2.

Se você usa a API Security Command Center quando a residência de dados está ativada, a v2 é a única API disponível para uso.

Recursos e residência de dados do Security Command Center

A lista a seguir explica como o Security Command Center aplica controles de residência de dados aos recursos que você usa ao trabalhar com ele:

Recursos

Os metadados do recurso não estão sujeitos ao controle de residência de dados. Os metadados de recursos são armazenados globalmente no Inventário de recursos do Cloud.

Por esse motivo, a página Recursos do Security Command Center sempre exibe todos os recursos da sua organização, pasta ou projeto, seja qual for o local ou onde você definiu a visualização do console do Google Cloud. No entanto, quando a residência de dados está ativada e você visualiza os detalhes de um recurso, as informações sobre quaisquer descobertas que possam afetar o recurso ficam indisponíveis na página Recursos.

Pontuações de exposição a ataques e caminhos de ataque

As pontuações de exposição e os caminhos de ataque não estão sujeitos ao controle de residência de dados e são armazenados globalmente.

Exportações do BigQuery

As configurações do BigQuery Export estão sujeitas a controles de residência de dados e são armazenadas no local em que foram criadas. Elas se aplicam apenas a descobertas que residem no mesmo local.

Exportações contínuas

As configurações de exportação contínua estão sujeitas a controles de residência de dados e são armazenadas no local em que foram criadas. Elas se aplicam apenas a descobertas que residem no mesmo local.

Descobertas

As descobertas estão sujeitas a controles de residência de dados e são armazenadas no local do Security Command Center em que o recurso afetado está localizado. Se um recurso afetado estiver fora de um local compatível ou não tiver um identificador de local, todas as descobertas da instância do recurso serão armazenadas no local padrão.

Regras de silenciamento

As configurações da regra de silenciamento estão sujeitas aos controles de residência de dados e são armazenadas no local em que são criadas. Elas se aplicam apenas a descobertas que residem no mesmo local.

Configurações do Security Command Center

A maioria das configurações do Security Command Center, como as que definem quais serviços estão ativados ou qual nível está ativo, não está sujeita a controles de residência de dados e é armazenada globalmente. Uma exceção são as definições de configuração das exportações do BigQuery, das exportações contínuas para o Pub/Sub e das regras de silenciamento. Essas configurações são específicas do local em que são criadas.

visualizar dados de localização no console do Google Cloud

Quando a residência de dados está ativada e você seleciona um local no console do Google Cloud, cada página do Security Command Center exibe descobertas, regras de silenciamento e exportações contínuas apenas do local selecionado.

Por exemplo, ao selecionar a visualização global, você vê apenas os dados globais. Para ver descobertas, regras de silenciamento ou exportações contínuas de outro local, altere a visualização do console do Google Cloud para o outro local.

Como determinar o local dos dados após a ativação

O local em que as descobertas e configurações do Security Command Center que contêm seus dados são armazenadas é determinado alguns pontos após a ativação da residência de dados:

• Quando você ou o Security Command Center gera ou cria uma descoberta ou configuração.
• Quando você visualiza ou recupera uma descoberta ou uma configuração.

Como determinar o local ao criar configurações

Quando você cria uma exportação contínua, uma exportação do BigQuery ou uma regra de silenciamento, o Security Command Center armazena a configuração resultante como um recurso. Uma configuração de exportação contínua é armazenada como um recurso NotificationConfig, uma configuração de exportação do BigQuery é armazenada como um recurso BiqQueryExport e uma configuração de regra de silenciamento é armazenada como um recurso MuteConfig.

Antes de criar uma configuração de exportação ou uma regra de silenciamento, selecione o local em que elas serão criadas. O local selecionado é o local em que residem as descobertas que você quer exportar ou silenciar.

No console do Google Cloud, você precisa definir a visualização do console do Google Cloud para o local apropriado antes de criar uma regra de exportação contínua ou silenciamento.

Ao criar uma regra de silenciamento ou exportações contínuas usando a API Security Command Center ou a Google Cloud CLI, você especifica o local na chamada de API ou no comando gcloud usado para criar a configuração notificationConfig ou muteConfig.

Para mais informações sobre como criar configurações, consulte:

• Criar uma exportação contínua:
  • Exportações contínuas
  • Como criar e gerenciar configurações de notificação usando a API
  • gcloud scc notifications create
• Crie uma regra de silenciamento:
  • Criar regras de silenciamento
  • gcloud scc muteconfigs create

Como determinar o local quando as descobertas são geradas

Quando um dos serviços do Security Command Center detecta um problema de segurança no seu ambiente, ele determina onde armazenar a descoberta resultante com base no local do recurso afetado.

Se o recurso afetado estiver em um local de dados compatível com o Security Command Center, o Security Command Center armazenará a descoberta no mesmo local.

Se o recurso afetado não estiver em um local de dados compatível ou não especificar um local nos metadados, o Security Command Center armazenará a descoberta no local de dados padrão que você especificou quando a residência de dados foi ativada.

Como determinar o local ao visualizar os dados do Security Command Center

Para visualizar as descobertas, as regras de silenciamento e as exportações contínuas de um local específico no console do Google Cloud, primeiro defina a visualização do console do Google Cloud para esse local.

O local da visualização é definido no canto superior esquerdo da maioria das páginas do Security Command Center no console do Google Cloud, diretamente abaixo do seletor de projetos:

Quando a visualização do console do Google Cloud é definida como um local, ele exibe apenas as descobertas, as regras de silenciamento e as exportações contínuas que residem no local.

Para recuperar descobertas ou configurações usando a API ou a CLI gcloud, especifique o local em que as descobertas ou configurações são armazenadas.

Suporte à residência de dados para recursos e integrações

Quando a residência de dados está ativada, os seguintes recursos, funções e integrações com outros produtos não são compatíveis:

• Resumos por IA
• Web Security Scanner
• Detecção rápida de vulnerabilidades
• Terraform

A seguir

Para saber como ativar o Security Command Center com a residência de dados ativada, consulte Ativar o Security Command Center para uma organização pela primeira vez.