Planejar a residência de dados

A residência de dados oferece mais controle sobre onde os dados do Security Command Center estão localizados. Esta página fornece informações essenciais sobre como o Security Command Center oferece suporte à residência de dados.

As definições a seguir são aplicáveis a esta página:

  • Um local é uma região ou multirregião do Google Cloud que corresponde ao local em que seus dados estão armazenados.
  • O significado do termo seus dados é equivalente ao significado do termo "Dados do cliente" no item Local de dados nos Termos gerais de serviço do Google Cloud.

Locais de dados com suporte

O Security Command Center oferece suporte apenas às seguintes multirregiões do Google Cloud como locais de dados:

União Europeia (eu)
Os dados estão em qualquer região do Google Cloud em estados-membros da União Europeia.
Estados Unidos (us)
Os dados estão em qualquer região do Google Cloud nos Estados Unidos.
Reino da Arábia Saudita (KSA) (sa)
Os dados estão em qualquer região do Google Cloud no KSA.
Global (global)
Os dados podem estar em qualquer região do Google Cloud. Se a residência de dados não estiver ativada, o local global (global) será o único aceito.

Para mais informações sobre os locais do Security Command Center, consulte Produtos disponíveis por local.

Se você precisar especificar um local padrão para a residência de dados que o Security Command Center não oferece suporte, entre em contato com seu representante de contas ou com um especialista em vendas do Google Cloud.

Requisitos para residência de dados

Só é possível ativar a residência de dados quando você ativa o nível Standard ou Premium do Security Command Center em uma organização pela primeira vez. O nível Enterprise não oferece suporte à residência de dados.

Depois que a residência de dados for ativada, não será possível desativá-la nem mudar o local padrão.

A residência de dados exige o uso da API Security Command Center v2. Se a residência de dados estiver ativada, não será possível usar versões anteriores da API Security Command Center.

Se você não ativar a residência de dados ao ativar o Security Command Center, ele não vai restringir seus dados a nenhum local específico e eles serão armazenados de acordo com os Termos de Serviço do Google Cloud Platform.

URLs regionais

Para o local do Reino da Arábia Saudita (KSA, na sigla em inglês), use URLs específicos para acessar o console do Google Cloud da jurisdição, além de alguns métodos e comandos na CLI gcloud, nas bibliotecas de cliente do Cloud e na API Security Command Center:

Console

Para acessar o Security Command Center, use o console do Google Cloud da jurisdição, https://console.sa.cloud.google.com/.

O console jurisdicional do Google Cloud permite acessar dados do Security Command Center nos locais da Arábia Saudita e globais.

gcloud

Para acessar dados no local da Arábia Saudita, os seguintes grupos de comandos da CLI gcloud exigem que você use o endpoint de serviço regional da API Security Command Center:

Além disso, o grupo de comandos gcloud scc operations não está disponível para operações de longa duração no local KSA. Por exemplo, não é possível verificar o status de uma operação de longa duração para silenciar resultados em massa.

Para todos os outros grupos de comando gcloud scc, use o endpoint de serviço padrão da API Security Command Center.

Para alternar para o endpoint de serviço regional, execute o seguinte comando:

gcloud config set api_endpoint_overrides/securitycenter \
    https://securitycenter.me-central2.rep.googleapis.com/

Para alternar para o endpoint de serviço padrão, execute o seguinte comando:

gcloud config unset api_endpoint_overrides/securitycenter

Se preferir, crie uma configuração nomeada para a CLI gcloud que use o endpoint de serviço regional e mude para essa configuração nomeada antes de executar comandos do Security Command Center no local do KSA. Para alternar para uma configuração nomeada, execute o comando gcloud config configurations activate.

REST

Para o local da Arábia Saudita, a API Security Command Center usa o endpoint de serviço regional https://securitycenter.me-central2.rep.googleapis.com/.

Para acessar os seguintes tipos de recursos da API REST no local da Arábia Saudita, use o endpoint de serviço regional do Security Command Center:

Além disso, não é possível chamar métodos para recursos organizations.operations no local da KSA. Por exemplo, não é possível verificar o status de uma operação de longa duração para silenciar resultados em massa.

Para todos os outros tipos de recursos, use o endpoint de serviço padrão da API Security Command Center, https://securitycenter.googleapis.com/.

Go

Para gerenciar os seguintes tipos de recursos no local da Arábia Saudita, é necessário substituir o endpoint de serviço padrão ao criar um cliente para o Security Command Center:

Use o endpoint securitycenter.me-central2.rep.googleapis.com:443 para esses tipos de recurso. O exemplo de código a seguir mostra como criar um cliente que usa um endpoint de serviço regional.

import (
	"context"
	"fmt"

	securitycenter "cloud.google.com/go/securitycenter/apiv2"
	"google.golang.org/api/option"
)

// createClientWithEndpoint creates a Security Command Center client for a
// regional endpoint.
func createClientWithEndpoint(repLocation string) error {
	// Assemble the regional endpoint URL using provided location.
	repEndpoint := fmt.Sprintf("securitycenter.%s.rep.googleapis.com:443", repLocation)
	// Instantiate client for regional endpoint. Use this client to access resources that
	// are subject to data residency controls, and that are located in the region
	// specified in repLocation.
	repCtx := context.Background()
	repClient, err := securitycenter.NewClient(repCtx, option.WithEndpoint(repEndpoint))
	if err != nil {
		return err
	}
	defer repClient.Close()

	return nil
}

Java

Para gerenciar os seguintes tipos de recursos no local da Arábia Saudita, é necessário substituir o endpoint de serviço padrão ao criar um cliente para o Security Command Center:

Use o endpoint securitycenter.me-central2.rep.googleapis.com:443 para esses tipos de recurso. O exemplo de código a seguir mostra como criar um cliente que usa um endpoint de serviço regional.


import com.google.cloud.securitycenter.v2.SecurityCenterClient;
import com.google.cloud.securitycenter.v2.SecurityCenterSettings;
import java.io.IOException;

public class CreateClientWithEndpoint {

  public static void main(String[] args) throws IOException {
    // TODO: Replace the value with the endpoint for the region in which your
    // Security Command Center data resides.
    String regionalEndpoint = "securitycenter.me-central2.rep.googleapis.com:443";
    SecurityCenterClient client = createClientWithEndpoint(regionalEndpoint);
    System.out.println("Client initiated with endpoint: " + client.getSettings().getEndpoint());
  }

  // Creates Security Command Center client for a regional endpoint.
  public static SecurityCenterClient createClientWithEndpoint(String regionalEndpoint)
      throws java.io.IOException {
    SecurityCenterSettings regionalSettings =
        SecurityCenterSettings.newBuilder().setEndpoint(regionalEndpoint).build();
    return SecurityCenterClient.create(regionalSettings);
  }
}

Quando a residência de dados é aplicada

Quando você ativa a residência de dados para o Security Command Center, alguns dados do Security Command Center são mantidos em um local especificado quando estão em um dos seguintes estados:

Residência dos dados em repouso

Os dados estão em repouso quando todos os seguintes critérios são atendidos:

Quando você ativa a residência de dados, o Security Command Center faz o seguinte:

UE, EUA e mundo inteiro

  • Se possível, quando os dados das descobertas estiverem em repouso, o Security Command Center os armazena na multirregião do Google Cloud em que seus recursos estão localizados.

    Caso contrário, quando os dados de descobertas estiverem em repouso, eles serão armazenados no local padrão escolhido.

  • Quando tipos específicos de recursos de configuração estão em repouso, o Security Command Center os armazena no local padrão escolhido.

  • Nos casos em que o Security Command Center armazena dados que não são dados do cliente, conforme definido no item Local de dados nos Termos de Serviço gerais do Google Cloud, o Security Command Center armazena os dados em repouso de acordo com os Termos de Serviço do Google Cloud Platform.

KSA

  • Quando uma descoberta é criada para um recurso que reside no local da Arábia Saudita, ela sempre fica no local da Arábia Saudita em repouso.
  • Quando uma descoberta é criada para um recurso que está em outro local, ela fica no local de KSA em repouso. No entanto, a descoberta pode residir temporariamente em uma região diferente em repouso.
  • Quando você cria tipos específicos de recursos de configuração no local da Arábia Saudita e esses recursos estão em repouso, eles ficam no local da Arábia Saudita.
  • Nos casos em que o Security Command Center armazena dados que não são dados do cliente, conforme definido no item Local de dados nos Termos de Serviço gerais do Google Cloud, o Security Command Center armazena os dados em repouso de acordo com os Termos de Serviço do Google Cloud Platform.

Residência de dados em uso

Os dados estão em uso quando todos os seguintes critérios são atendidos:

  • Os dados são de um tipo de recurso que está sujeito a controles de residência de dados.
  • O Google Cloud está concluindo uma operação iniciada na sua solicitação, por exemplo, porque seu aplicativo chamou a API Security Command Center ou uma operação que produz registros de auditoria ou de transparência no acesso.
  • O Google Cloud pode operar nos dados de uma maneira que exija conhecimento do significado deles, por exemplo, atualizando campos específicos em um recurso de configuração. Isso inclui qualquer caso em que os dados não são descriptografados na memória.

Quando você ativa a residência de dados, o Security Command Center faz o seguinte:

UE, EUA e mundo inteiro

Nos locais da UE, dos EUA e globais, os dados em uso não estão sujeitos a controles de residência de dados.

KSA

  • Quando uma descoberta é criada para um recurso que está no local do KSA, ela sempre fica no local do KSA em uso.
  • Quando uma descoberta é criada para um recurso que está em outro local, ela acaba sendo armazenada no local do KSA em uso. No entanto, a descoberta pode estar temporariamente em uma região diferente em uso.
  • Quando você cria tipos específicos de recursos de configuração no local da Arábia Saudita e esses recursos estão em uso, eles residem no local da Arábia Saudita.
  • Nos casos em que o Security Command Center armazena dados que não são Dados do cliente, conforme definido no item Local de dados nos Termos gerais de serviço do Google Cloud, o Security Command Center armazena os dados em uso de acordo com os Termos de Serviço do Google Cloud Platform.

Residência de dados em trânsito

Os dados estão em trânsito quando todos os seguintes critérios são atendidos:

  • Os dados são de um tipo de recurso que está sujeito a controles de residência de dados.
  • Os dados estão sendo transmitidos, com criptografia, na rede do Google ou estão na memória, com criptografia, para serem transmitidos na rede do Google.

Quando você ativa a residência de dados, o Security Command Center faz o seguinte:

UE, EUA e mundo inteiro

Na UE, nos EUA e em locais globais, os dados em trânsito não estão sujeitos a controles de residência de dados.

KSA

  • Quando uma descoberta é criada para um recurso que reside no local da Arábia Saudita, ela sempre fica no local da Arábia Saudita em trânsito.
  • Quando uma descoberta é criada para um recurso que está em outro local, ela acaba sendo armazenada no local do KSA em trânsito. No entanto, a descoberta pode estar temporariamente em uma região diferente em trânsito.
  • Quando você cria tipos específicos de recursos de configuração no local da Arábia Saudita e esses recursos estão em trânsito, eles residem no local da Arábia Saudita.
  • Nos casos em que o Security Command Center armazena dados que não são dados do cliente, conforme definido no item Local de dados nos Termos de Serviço gerais do Google Cloud, o Security Command Center armazena os dados em trânsito de acordo com os Termos de Serviço do Google Cloud Platform.

Local de dados padrão

Para os locais da UE, dos EUA e globais, quando você ativa a residência de dados do Security Command Center, especifica um local padrão do Security Command Center. Você pode selecionar qualquer local de dados com suporte como o local padrão.

O Security Command Center usa o local padrão apenas para armazenar descobertas em repouso que se aplicam aos seguintes tipos de recursos:

  • Recursos que não estão localizados em um local de dados com suporte para o Security Command Center
  • Recursos que não especificam um local nos metadados

Se você implantar recursos do Google Cloud em vários locais ou em várias regiões, poderá escolher o local global (global) como padrão.

Se você implantar recursos apenas em um único local, poderá escolher a multirregional que inclui esse local como padrão.

Recursos do Security Command Center e residência de dados

A lista a seguir explica como o Security Command Center aplica controles de residência de dados a recursos do Security Command Center. Se um recurso não estiver listado aqui, ele não estará sujeito a controles de residência de dados e será armazenado de acordo com os Termos de Serviço do Google Cloud Platform.

Recursos

Os metadados de recursos são armazenados pelo Inventário de recursos do Cloud e não estão sujeitos a controles de residência de dados. Esses dados são armazenados de acordo com os Termos de Serviço do Google Cloud Platform.

Por esse motivo, a página Recursos do Security Command Center no console do Google Cloud sempre mostra todos os recursos da sua organização, pasta ou projeto, independentemente do local ou do local selecionado no console do Google Cloud. No entanto, quando a residência de dados está ativada e você acessa os detalhes de um recurso, a página Recursos não mostra informações sobre as descobertas que afetam o recurso.

Pontuações de exposição a ataques e caminhos de ataque

As pontuações de exposição a ataques e caminhos de ataque não estão sujeitas a controles de residência de dados. Esses dados são armazenados de acordo com os Termos de Serviço do Google Cloud Platform.

Exportações do BigQuery

As configurações de exportação do BigQuery estão sujeitas a controles de residência de dados.

UE, EUA e mundo inteiro

Ao criar esses recursos, você especifica o local em que eles vão ficar. Essas configurações se aplicam apenas a descobertas que residem no mesmo local.

KSA

Use os URLs regionais para criar e gerenciar esses recursos de configuração. Eles residem no local da Arábia Saudita, junto com suas descobertas.

A API Security Command Center representa as configurações de exportação do BigQuery como recursos BiqQueryExport.

Exportações contínuas

As configurações de exportação contínua estão sujeitas a controles de residência de dados.

UE, EUA e mundo inteiro

Ao criar esses recursos, você especifica o local em que eles vão ficar. Essas configurações se aplicam apenas a descobertas que residem no mesmo local.

KSA

Use os URLs regionais para criar e gerenciar esses recursos de configuração. Eles residem no local da Arábia Saudita, junto com suas descobertas.

A API Security Command Center representa as configurações de exportação contínua como recursos NotificationConfig.

Descobertas

As descobertas estão sujeitas aos controles de residência de dados.

UE, EUA e mundo inteiro

Quando uma descoberta é criada, ela fica no local do Security Command Center em que o recurso afetado está localizado.

Se um recurso afetado estiver localizado fora de um local com suporte ou não tiver um identificador de local, as descobertas do recurso estarão no seu local padrão.

KSA

Quando uma descoberta é criada para um recurso que está no local da Arábia Saudita, ela sempre fica nesse local.

Quando uma descoberta é criada para um recurso que está em outro local, ela acaba sendo armazenada no local da Arábia Saudita. No entanto, a descoberta pode estar em uma região diferente no momento em que ela é criada.

Para garantir que os resultados sempre fiquem no local da Arábia Saudita, crie todos os recursos nesse local.

Regras de silenciamento

As configurações de regras de silenciamento estão sujeitas aos controles de residência de dados.

UE, EUA e mundo inteiro

Ao criar esses recursos, você especifica o local em que eles vão ficar. Essas configurações se aplicam apenas a descobertas que residem no mesmo local.

KSA

Use os URLs regionais para criar e gerenciar esses recursos de configuração. Eles residem no local da Arábia Saudita, junto com suas descobertas.

A API Security Command Center representa as configurações de regras de desativação como recursos MuteConfig.

Outros recursos e configurações do Security Command Center

Os recursos e as configurações do Security Command Center que não estão listados aqui, como aqueles que definem quais serviços estão ativados ou qual nível está ativo, não estão sujeitos a controles de residência de dados. Esses dados são armazenados de acordo com os Termos de Serviço do Google Cloud Platform.

Criar ou acessar dados em um local

Quando a residência de dados está ativada, é necessário especificar um local ao criar ou acessar dados que estão sujeitos a controles de residência de dados. O Security Command Center escolhe automaticamente um local para as descobertas que ele cria.

Só é possível criar ou consultar dados em um local por vez. Por exemplo, se você listar descobertas no local global (global), não vai encontrar descobertas no local da União Europeia (eu).

Para criar ou acessar dados em um local do Security Command Center, faça o seguinte:

Console

UE, EUA e mundo inteiro

  1. No console do Google Cloud, acesse o Security Command Center.

    Acesse Security Command Center

  2. Para mudar o local dos dados, clique no seletor de local na barra de ações.

    Uma lista de locais vai aparecer. Selecione o novo local.

KSA

No console do Google Cloud para o local da Arábia Saudita, acesse o Security Command Center.

Acesse Security Command Center

gcloud

UE, EUA e mundo inteiro

Use a flag --location=LOCATION ao executar a Google Cloud CLI, conforme mostrado no exemplo a seguir.

O comando gcloud scc findings list lista as descobertas de uma organização em um local específico.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • ORGANIZATION_ID: o ID numérico da organização
  • LOCATION: o local do Security Command Center a ser usado, como eu. Se a residência de dados não estiver ativada, use global.

Execute o comando gcloud scc findings list:

Linux, macOS ou Cloud Shell

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows (PowerShell)

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows (cmd.exe)

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

A resposta contém uma lista de descobertas.

KSA

Configure a CLI gcloud para usar o endpoint de serviço regional do local da Arábia Saudita para a API Security Command Center:

gcloud config set api_endpoint_overrides/securitycenter \
    https://securitycenter.me-central2.rep.googleapis.com/

Use a flag --location=sa ao executar a Google Cloud CLI, conforme mostrado no exemplo a seguir.

O comando gcloud scc findings list lista as descobertas de uma organização em um local específico.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • ORGANIZATION_ID: o ID numérico da organização

Execute o comando gcloud scc findings list:

Linux, macOS ou Cloud Shell

gcloud scc findings list ORGANIZATION_ID --location=sa

Windows (PowerShell)

gcloud scc findings list ORGANIZATION_ID --location=sa

Windows (cmd.exe)

gcloud scc findings list ORGANIZATION_ID --location=sa

A resposta contém uma lista de descobertas.

REST

UE, EUA e mundo inteiro

Use um endpoint de API que inclua locations/LOCATION no caminho, conforme mostrado no exemplo abaixo.

O método organizations.sources.locations.findings.list da API Security Command Center lista as descobertas de uma organização em um local específico.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • ORGANIZATION_ID: o ID numérico da organização
  • LOCATION: o local do Security Command Center a ser usado, como eu. Se a residência de dados não estiver ativada, use global.

Método HTTP e URL:

GET https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings

Para enviar a solicitação, expanda uma destas opções:

A resposta contém uma lista de descobertas.

KSA

Use o endpoint de serviço regional para o local da Arábia Saudita para chamar a API, conforme mostrado no exemplo a seguir.

O método organizations.sources.locations.findings.list da API Security Command Center lista as descobertas de uma organização em um local específico.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • ORGANIZATION_ID: o ID numérico da organização

Método HTTP e URL:

GET https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings

Para enviar a solicitação, expanda uma destas opções:

A resposta contém uma lista de descobertas.

A seguir