规划数据驻留

数据驻留可让您更好地控制 Security Command Center 数据的位置 。本页面提供了有关 Security Command Center 如何支持数据驻留的基本信息。

以下定义适用于此页面:

支持的数据位置

Security Command Center 仅支持以下 Google Cloud 多区域 数据位置:

欧盟 (eu)
Google Cloud 位于 欧盟。
美国 (us)
数据驻留在美国的任何 Google Cloud 区域。
沙特阿拉伯王国 (KSA) (sa)
数据位于沙特阿拉伯的任何 Google Cloud 区域中。
全球支持专线(global
数据可以位于任何 Google Cloud 区域。如果未启用数据驻留,则全球 (global) 是唯一支持的位置。

如需详细了解 Security Command Center 的位置,请参阅 不同地区供应的商品

如果您需要为数据驻留指定默认位置, Security Command Center 不支持,请与您的客户代表联系或 Google Cloud 销售专家

数据驻留要求

仅当满足以下条件时,您才能启用数据驻留: 在组织中启用 Security Command Center 的标准层级或高级层级 我们第一次开发这个应用企业版层级不支持数据驻留。

数据驻留启用后,您无法将其停用,也无法更改默认设置 位置。此外,Gemini 的发现结果和攻击路径摘要也不适用。

数据驻留要求您使用 Security Command Center v2 API。如果数据 则您不能使用 Security Command Center API。

如果您在激活 Security Command Center 时没有启用数据驻留,则 Security Command Center 不会将您的数据限制在任何特定位置,并且 按照 Google Cloud Platform 服务条款

地区性网址

对于沙特阿拉伯王国 (KSA) 位置,您必须使用特定于位置的网址才能访问相应管辖区的 Google Cloud 控制台,以及 gcloud CLI、Cloud 客户端库和 Security Command Center API 中的某些方法和命令:

控制台

如需访问 Security Command Center,请使用相应管辖区的 Google Cloud 控制台 https://console.sa.cloud.google.com/

通过管辖区级 Google Cloud 控制台,您可以访问 Security Command Center 位于沙特阿拉伯和全球位置的数据。

gcloud

如需访问 KSA 位置中的数据,请使用以下 gcloud CLI 命令组要求您使用区域级集群 Security Command Center API 的服务端点:

此外,gcloud scc operations 命令组不适用于 KSA 位置。例如,您无法检查长期运行作业的状态 操作来批量忽略发现结果

对于所有其他 gcloud scc 命令组,您必须使用 Security Command Center API 的默认服务端点。

如需切换到区域服务端点,请运行以下命令:

gcloud config set api_endpoint_overrides/securitycenter \
    https://securitycenter.me-central2.rep.googleapis.com/

如需切换到默认服务端点,请运行以下命令:

gcloud config unset api_endpoint_overrides/securitycenter

如果您愿意,可以为使用区域服务端点的 gcloud CLI 创建命名配置,然后在 KSA 位置运行 Security Command Center 命令之前切换到该命名配置。如需切换到命名配置,请运行 gcloud config configurations activate 命令。

REST

对于 KSA 位置,Security Command Center API 使用区域级服务端点 https://securitycenter.me-central2.rep.googleapis.com/

如需在沙特阿拉伯境内访问以下 REST API 资源类型,您必须使用 Security Command Center 的区域性服务端点:

此外,您不能针对 organizations.operations KSA 位置的资源。例如,您无法检查长时间运行的操作的状态,以批量静音发现结果

对于其他所有资源类型,您必须使用 Cloud Storage 存储分区的默认服务端点 Security Command Center API https://securitycenter.googleapis.com/

客户端库

如需在沙特阿拉伯 (KSA) 位置管理以下资源类型,您必须在为 Security Command Center 创建客户端时替换默认服务端点:

请针对这些资源类型使用端点 https://securitycenter.me-central2.rep.googleapis.com

对于其他所有资源类型,您必须使用 Cloud Storage 存储分区的默认服务端点 Security Command Center API https://securitycenter.googleapis.com

如需了解如何在 Cloud 客户端库中替换服务端点,请参阅 关于 前往 Java

何时强制执行数据驻留

为 Security Command Center 启用数据驻留后,部分 Security Command Center 数据位于以下任一位置时,会保存在指定位置 州:

数据驻留(静态)

当满足以下所有条件时,数据为“静态”

启用数据驻留后,Security Command Center 会执行以下操作:

欧盟、美国和全球

  • 如果可能,当发现结果数据处于静态时,Security Command Center 会将其存储在 您的资源所在的 Google Cloud 多区域

    否则,当发现结果数据处于静态时,它会存储在 默认位置

  • 当特定类型的配置资源处于休眠状态时,Security Command Center 会将其存储在您选择的默认位置。

  • 如果安全中心存储的数据不是 客户数据(如 Google Cloud 一般服务条款中的数据位置条目所定义),则安全中心会根据 Google Cloud Platform 服务条款存储这些静态数据。

KSA

  • 为位于 Cloud Storage 存储分区中的资源创建发现结果时 KSA 位置,该发现结果始终位于 KSA 位置 静态数据。
  • 为位于另一个位置的资源创建发现结果时, 最终位于 KSA 静态存储位置。不过,在休息时,发现结果可能会暂时位于其他区域。
  • 当您创建特定类型的 配置资源 而这些资源处于静态时,它们都位于 KSA 位置。
  • 如果 Security Command Center 存储的数据不是客户数据,则 (在 Google Cloud 的数据位置项中定义) 通用服务条款,Security Command Center 存储 存储的静态数据 Google Cloud Platform 服务条款

使用中的数据驻留

在满足以下所有条件时,数据才会被使用

  • 这些数据适用于受数据驻留控制的资源类型
  • Google Cloud 正在完成您请求发起的操作(例如,因为您的应用调用了 Security Command Center API),或者正在生成审核日志Access Transparency 日志的操作。
  • Google Cloud 可能会以需要了解数据含义的方式对数据进行操作,例如通过更新配置资源中的特定字段。这包括 在内存中未加密

启用数据驻留后,Security Command Center 会执行以下操作:

欧盟、美国和全球

在欧盟、美国和全球位置,正在使用的 Google 数据不受数据驻留控制。

KSA

  • 为位于 Cloud Storage 存储分区中的资源创建发现结果时 KSA 位置,该发现结果始终位于 KSA 位置 使用中。
  • 为位于其他位置的资源创建发现时,该发现最终会位于使用的沙特阿拉伯位置。不过,发现结果可能会暂时位于其他使用区域。
  • 当您创建特定类型的 配置资源 KSA 位置,并且这些资源正在使用中,则它们位于 KSA 位置。
  • 如果 Security Command Center 存储的数据不是客户数据,则 (在 Google Cloud 的数据位置项中定义) 通用服务条款,Security Command Center 存储 Google 会依据 Google Cloud Platform 服务条款

传输中的数据驻留

当满足以下所有条件时,数据处于传输中状态:

  • 数据代表的资源类型 受数据驻留控制措施的约束
  • 数据通过加密在 Google 网络内传输 或者,数据保存在内存中并进行了加密,以便传输 Google 网络内部。

启用数据驻留后,Security Command Center 会执行以下操作:

欧盟、美国和全球

在欧盟、美国和全球位置,传输中的数据不受数据驻留地控制。

KSA

  • 为位于 Cloud Storage 存储分区中的资源创建发现结果时 KSA 位置,该发现结果始终位于 KSA 位置 数据。
  • 为位于其他位置的资源创建发现后,该发现最终会位于传输过程中的沙特阿拉伯位置。不过,在传输过程中,发现结果可能会暂时位于其他区域。
  • 当您创建特定类型的 配置资源 并且这些资源正在传输中,则位于 KSA 位置。
  • 如果 Security Command Center 存储的数据不是客户数据,则 (在 Google Cloud 的数据位置项中定义) 通用服务条款,Security Command Center 存储 将按照 Google Cloud Platform 服务条款

默认数据位置

对于欧盟、美国和全球位置,在您启用 Security Command Center 数据驻留后,您需要指定默认的 Security Command Center 位置。您可以选择任意 支持的数据位置作为默认位置。

Security Command Center 仅使用默认位置来存储 适用于以下类型的资源:

如果您在多个位置或多个区域部署 Google Cloud 资源,则可以选择“全球”(global) 位置作为默认位置。

如果您仅在单个位置部署资源,则可以选择包含该位置的多区域作为默认区域。

Security Command Center 资源和数据驻留

以下列表介绍了 Security Command Center 如何将数据驻留控制措施应用于 Security Command Center 资源。如果资源未在此处列出,则不受数据驻留控制措施的约束,并且会根据 Google Cloud Platform 服务条款进行存储。

资产

资产元数据由 Cloud Asset Inventory 存储, 不受数据驻留控制措施的约束。这些数据的存储方式符合 Google Cloud Platform 服务条款

因此,无论资源位于何处,或者您在 Google Cloud 控制台中选择了何处,Google Cloud 控制台中的 Security Command Center 资产页面始终会显示组织、文件夹或项目中的所有资源。不过,启用数据驻留后,当您查看素材资源的详细信息时,素材资源页面不会显示影响素材资源的发现信息。

攻击风险得分和攻击路径

攻击风险得分和攻击路径 不受数据驻留控制措施的约束。这些数据的存储方式符合 Google Cloud Platform 服务条款

BigQuery Export

BigQuery 导出配置受数据驻留控制措施的约束。

欧盟、美国和全球

创建这些资源时,您可以指定它们所在的位置。 这些配置仅适用于位于同一位置的发现。

KSA

您可以使用区域网址创建和管理这些 配置资源他们与您的 结果。

Security Command Center API 代表 BigQuery Export 作为 BiqQueryExport 资源。

持续导出

持续导出配置受数据驻留控制措施的约束。

欧盟、美国和全球

创建这些资源时,您可以指定它们所在的位置。 这些配置仅适用于位于同一位置的发现。

KSA

您可以使用区域性网址创建和管理这些配置资源。他们位于沙特阿拉伯境内,并附上您的调查结果。

Security Command Center API 将持续导出配置表示为 NotificationConfig 资源。

发现结果

发现结果受数据驻留控制措施的约束。

欧盟、美国和全球

创建发现结果后,该结果会位于受影响资源所在的 Security Command Center 位置。

如果受影响的资源不在受支持的位置,或者 没有位置标识符,则资源的发现结果位于 您的默认位置。

KSA

为位于 Cloud Storage 存储分区中的资源创建发现结果时 KSA 位置,该发现结果始终位于 KSA 位置。

为位于其他位置的资源创建发现结果后,该发现结果最终会位于沙特阿拉伯位置。但是,在执行上述操作时,发现结果可能 实例。

为确保发现结果始终位于沙特阿拉伯位置,请在沙特阿拉伯位置创建所有资源。

忽略规则

忽略规则配置受数据驻留控制措施的约束。

欧盟、美国和全球

创建这些资源时,您可以指定它们所在的位置。 这些配置仅适用于位于同一位置的发现。

KSA

您可以使用区域网址创建和管理这些 配置资源他们与您的 结果。

Security Command Center API 将忽略规则配置表示为 MuteConfig 资源。

其他 Security Command Center 资源和设置

此处未列出的 Security Command Center 资源和设置,例如 定义已启用的服务或激活的层级 受数据驻留控制措施的约束。我们会根据 Google Cloud Platform 服务条款存储这些数据。

在某个位置创建或查看数据

启用数据驻留后,您必须在创建或 查看任何 受数据驻留控制措施的约束。 Security Command Center 会自动选择存储其发现结果的位置 创建。

您一次只能在一个位置创建或查看数据。例如,如果您在“全球”(global) 位置列出发现结果,则不会在“欧盟”(eu) 位置看到发现结果。

如需创建或查看位于 Security Command Center 位置中的数据,请执行以下操作:

控制台

欧盟、美国和全球

  1. 在 Google Cloud 控制台中,前往 Security Command Center

    前往 Security Command Center

  2. 如需更改数据位置,请点击操作栏中的位置选择器。

    系统随即会显示营业地点列表。选择新位置。

KSA

在适用于沙特阿拉伯 (KSA) 位置的 Google Cloud 控制台中,前往 Security Command Center

前往 Security Command Center

gcloud

欧盟、美国和全球

运行 Google Cloud CLI 时,请使用 --location=LOCATION 标志,如以下示例所示。

通过 gcloud scc findings list 命令列出组织在特定位置的发现结果。

在使用下面的命令数据之前,请先进行以下替换:

  • ORGANIZATION_ID:组织的数字 ID
  • LOCATION:数据的存储位置;例如 euglobal

执行 gcloud scc findings list 命令:

Linux、macOS 或 Cloud Shell

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows (PowerShell)

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows (cmd.exe)

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

响应包含发现结果列表。

KSA

配置 gcloud CLI 以使用 KSA 位置的区域级 Security Command Center API 的服务端点:

gcloud config set api_endpoint_overrides/securitycenter \
    https://securitycenter.me-central2.rep.googleapis.com/

然后,您在运行 Google Cloud CLI 时必须使用 --location=sa 标志,如以下示例所示。

通过 gcloud scc findings list 命令列出组织在特定位置的发现结果。

在使用下面的命令数据之前,请先进行以下替换:

  • ORGANIZATION_ID:组织的数字 ID

执行 gcloud scc findings list 命令:

Linux、macOS 或 Cloud Shell

gcloud scc findings list ORGANIZATION_ID --location=sa

Windows (PowerShell)

gcloud scc findings list ORGANIZATION_ID --location=sa

Windows (cmd.exe)

gcloud scc findings list ORGANIZATION_ID --location=sa

响应包含发现结果列表。

REST

欧盟、美国和全球

使用包含 locations/LOCATION 的 API 端点 位于路径中,如以下示例所示。

Security Command Center API organizations.sources.locations.findings.list 方法列出组织在特定位置的发现结果。

在使用任何请求数据之前,请先进行以下替换:

  • ORGANIZATION_ID:组织的数字 ID
  • LOCATION:数据的存储位置;例如 euglobal

HTTP 方法和网址:

GET https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings

如需发送您的请求,请展开以下选项之一:

响应包含发现结果列表。

KSA

使用 KSA 位置的区域服务端点来调用 API,例如 如以下示例中所示。

Security Command Center API 的 organizations.sources.locations.findings.list 方法可列出组织在特定位置的发现结果。

在使用任何请求数据之前,请先进行以下替换:

  • ORGANIZATION_ID:组织的数字 ID

HTTP 方法和网址:

GET https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings

如需发送您的请求,请展开以下选项之一:

响应包含发现结果列表。

后续步骤