Pianificazione della residenza dei dati

Se prevedi di abilitare la residenza dei dati quando attivi Security Command Center, la pagina fornisce le informazioni che devi conoscere.

Puoi abilitare il supporto per la residenza dei dati solo quando attivi il livello Standard o Premium di Security Command Center per la prima volta in un'organizzazione. Il livello Enterprise non supporta i dati della residenza.

Una volta abilitata la residenza dei dati, non puoi disabilitarla.

Quando abiliti la residenza dei dati in Security Command Center, Security Command Center archivia automaticamente i risultati che possono contenere o fare riferimento ai tuoi dati nel Posizione di Security Command Center che corrisponde alla località delle risorse.

Analogamente, l'esportazione continua, le esportazioni BigQuery disattiva le configurazioni delle regole, che possono includere i dati nei filtri, vengono archiviati in Security Command Center posizione in cui li crei, applicabili solo i risultati in quella posizione.

Un risultato è un record di un problema di sicurezza che uno dei team di Security Command Center di rilevamento nel tuo ambiente. Viene creato un record dei risultati di proprietà che descrivono il problema di sicurezza e le risorse ne sono interessate.

Un filtro di rilevamento seleziona i risultati facendo riferimento alle relative proprietà e i valori delle proprietà. I filtri dei risultati vengono utilizzati e salvati nel configurazioni delle esportazioni continue (NotificationConfig) e di regole di disattivazione (muteConfig).

Nel contesto della residenza dei dati, le seguenti definizioni applica:

• Una località è una regione o più regioni Google Cloud che corrisponde alla posizione in cui vengono archiviati i dati.
• Il significato del termine i tuoi dati equivale al significato di il termine "Dati del cliente" nell'elemento Posizione dei dati nella Termini di servizio generali di Google Cloud.

L'opzione per abilitare la residenza dei dati è disponibile sia con le versioni standard Livelli Premium di Security Command Center.

Località dei dati supportate

Security Command Center supporta solo i seguenti Google Cloud più regioni come località dei dati:

Unione Europea (eu)

I dati vengono archiviati in qualsiasi regione Google Cloud all'interno degli stati membri di dell'Unione Europea.

Stati Uniti (us)

I dati vengono archiviati in qualsiasi regione Google Cloud negli Stati Uniti.

Globale (global)

I dati possono essere archiviati o elaborati in qualsiasi regione di Google Cloud. Se la residenza dei dati non è abilitata, l'unica opzione supportata è Globale in ogni località.

Per saperne di più sulle località di Security Command Center, consulta Prodotti disponibili in base alla località.

Se devi specificare una località predefinita per la residenza dei dati Security Command Center non fornisce assistenza, contatta il tuo rappresentante di account o un esperto delle vendite di Google Cloud.

Abilita la residenza dei dati durante l'attivazione

Puoi abilitare la residenza dei dati solo quando attivi Security Command Center per la prima volta in un'organizzazione.

Se non abiliti la residenza dei dati, la località di tutte le risorse di Security Command Center è impostato su global e Security Command Center non limita l'archiviazione dei tuoi dati in una particolare località.

A livello di organizzazione è richiesta l'attivazione.

Dopo aver attivato la residenza dei dati, non puoi disabilitarla o modificarla la tua posizione predefinita.

Se attivi Security Command Center a livello di progetto o organizzazione senza abilitare contemporaneamente la residenza dei dati, non puoi abilitare la residenza dei dati in Security Command Center in un secondo momento. Ti servirebbero per creare una nuova organizzazione Google Cloud per attivare Security Command Center con residenza dei dati.

Località dei dati predefinita

Quando abiliti la residenza dei dati di Security Command Center, l'unica località che devi specificare è la tua predefinita Security Command Center in ogni località. Questo perché Security Command Center determina dove ha bisogno per archiviare i dati in base a dove viene eseguito il deployment delle risorse.

Security Command Center utilizza la località predefinita di Security Command Center solo per archiviare i risultati che si applicano ai seguenti tipi di risorse:

• Risorse che non si trovano in una località in cui Security Command Center supporta
• Risorse che non includono una specifica della località nei metadati

Puoi selezionare qualsiasi località dei dati supportata come località predefinita.

Se la tua è un'azienda globale che esegue il deployment alle risorse Google Cloud in più località o regioni multiple puoi scegliere la località globale come predefinita.

Se la tua attività opera in una sola località, puoi scegliere quella località come località predefinita di Security Command Center.

API Security Command Center e residenza dei dati

La residenza dei dati richiede l'API Security Command Center v2.

Se usi l'API Security Command Center quando è abilitata la residenza dei dati, La versione v2 è l'unica API disponibile che puoi utilizzare.

Risorse di Security Command Center e residenza dei dati

Il seguente elenco spiega come si applica Security Command Center controlli di residenza dei dati sulle risorse che utilizzi quando lavori con Security Command Center:

Asset

I metadati delle risorse non sono soggetti al controllo della residenza dei dati. Risorsa i metadati sono archiviati a livello globale Cloud Asset Inventory.

Per questo motivo, la pagina Asset di Security Command Center viene sempre visualizzata tutte le risorse nell'organizzazione, nella cartella o nel progetto, della sua posizione o della posizione su cui hai impostato Visualizzazione della console Google Cloud. Tuttavia, quando la residenza dei dati è attivata e visualizzi i dettagli di un asset, le informazioni su eventuali che potrebbero influire sull'asset non è disponibile nella pagina Risorse.

Punteggi di esposizione agli attacchi e percorsi di attacco

I punteggi di esposizione agli attacchi e i percorsi di attacco non sono soggetti a dati della residenza e sono archiviati a livello globale.

Esportazioni BigQuery

Le configurazioni di BigQuery Export sono soggette a dati dei controlli di residenza e sono memorizzati nella località le crei tu. Si applicano solo ai risultati residenti in nella stessa località.

Esportazioni continue

Le configurazioni dell'esportazione continua sono soggette a controlli di residenza dei dati e vengono archiviati nella posizione in cui le crei tu. Si applicano solo ai risultati residenti in nella stessa località.

Risultati

I risultati sono soggetti a controlli di residenza dei dati e vengono memorizzati nel percorso di Security Command Center in cui in cui viene localizzato. Se una risorsa interessata si trova all'esterno di una località supportata o senza identificatori di località, eventuali risultati per l'istanza della risorsa sono archiviati nella località predefinita.

Regole di disattivazione

Le configurazioni delle regole di disattivazione sono soggette a controlli di residenza dei dati e vengono archiviate nella posizione in cui li crei. Si applicano solo ai risultati che risiedono nella stessa località.

Impostazioni di Security Command Center

La maggior parte delle impostazioni di Security Command Center, ad esempio quelle che definiscono i servizi abilitate o a quale livello è attivo, non sono soggette controlli di residenza dei dati e sono archiviati a livello globale. Un'eccezione sono le impostazioni di configurazione per le esportazioni di BigQuery, le esportazioni continue in Pub/Sub e disattivare le regole. Questi sono specifiche per la posizione in cui le crei.

Visualizzazione dei dati sulla posizione nella console Google Cloud

Quando la residenza dei dati è abilitata e selezioni una località della console Google Cloud, ogni pagina di Security Command Center mostra risultati, disattiva regole ed esportazioni continue solo la località selezionata.

Ad esempio, se selezioni la visualizzazione globale, vengono visualizzati solo i dati globali. Per visualizzare i risultati, disattivare le regole o le esportazioni continue da un altro località, devi modificare la visualizzazione della console Google Cloud nell'altra posizione.

Determinazione della località dei dati dopo l'abilitazione

La località in cui vengono rilevati i risultati e le configurazioni di Security Command Center dei dati archiviati è determinato in un paio di punti dopo l'abilitazione della residenza dei dati:

• Quando tu o Security Command Center genera o crea un risultato configurazione.
• Quando visualizzi o recuperi un risultato o una configurazione.

Determinazione della località durante la creazione delle configurazioni

Quando crei un'esportazione continua, BigQuery un'esportazione o una regola di disattivazione, Security Command Center archivia configurazione risultante come risorsa. Una configurazione dell'esportazione continua è archiviati come risorsa NotificationConfig, un modello BigQuery di esportazione è archiviata come risorsa BiqQueryExport, mentre la configurazione di una regola di disattivazione è archiviata MuteConfig risorsa.

Prima di creare una configurazione di esportazione o una regola di disattivazione, devi selezionare il posizione in cui crearle. La località che selezioni è posizione in cui si trovano i risultati che vuoi esportare o disattivare.

Nella console Google Cloud, devi impostare la console Google Cloud. nella posizione appropriata prima di creare un'esportazione continua o disattiva la regola.

Quando crei un'esportazione continua o disattivi la regola utilizzando il metodo nell'API Security Command Center o in Google Cloud CLI, devi specificare la località nella chiamata API o nel comando gcloud che utilizzi per creare Configurazione notificationConfig o muteConfig.

Per saperne di più sulla creazione delle configurazioni, consulta:

• Crea un'esportazione continua:
  • Esportazioni continue
  • Creazione e gestione di Notification Config mediante l'API
  • gcloud scc notifications create
• Crea una regola di disattivazione:
  • Creare regole di disattivazione
  • gcloud scc muteconfigs create

Determinazione della località in cui vengono generati i risultati

Quando uno dei servizi Security Command Center rileva un problema di sicurezza nel tuo ambiente, Security Command Center determina dove archiviare il risultato risultante in base alla località della risorsa interessata.

Se la risorsa interessata si trova in una località dei dati in cui si trova Security Command Center supporta l'archiviazione dei risultati nella stessa posizione.

Se la risorsa interessata non si trova in una località dei dati supportata non specifica una località nei metadati, Security Command Center archivia il risultato nella località dei dati predefinita che hai specificato la residenza dei dati sia stata abilitata.

Determinazione della località durante la visualizzazione dei dati di Security Command Center

Per visualizzare i risultati, disattivare le regole e le esportazioni continue di un una località specifica nella console Google Cloud devi prima impostare la vista della console Google Cloud su quella località.

La posizione della visualizzazione è impostata nell'angolo in alto a sinistra della maggior parte pagine di Security Command Center nella console Google Cloud direttamente sotto il selettore progetti:

Se la vista della console Google Cloud è impostata su una località, nella console Google Cloud vengono visualizzati solo i risultati, le regole di disattivazione, delle esportazioni continue residenti nella località.

Per recuperare i risultati o le configurazioni utilizzando l'API o gcloud CLI, devi specificare la posizione in cui i risultati o le configurazioni.

Supporto della residenza dei dati per funzionalità e integrazioni

Quando la residenza dei dati è abilitata, le seguenti funzionalità, funzioni e le integrazioni con altri prodotti non sono supportate:

• Riepiloghi basati sull'AI
• Web Security Scanner
• Terraform

Passaggi successivi

Per scoprire come attivare Security Command Center con la residenza dei dati vedi Attivare Security Command Center per un'organizzazione per la prima volta.