A residência de dados oferece mais controle sobre onde os dados do Security Command Center estão localizados. Esta página fornece informações essenciais sobre como o Security Command Center oferece suporte à residência de dados.
As definições a seguir são aplicáveis a esta página:
- Um local é uma região ou multirregião do Google Cloud que corresponde ao local em que seus dados estão armazenados.
- O significado do termo seus dados é equivalente ao significado do termo "Dados do cliente" no item Local de dados nos Termos gerais de serviço do Google Cloud.
Locais de dados com suporte
O Security Command Center oferece suporte apenas às seguintes multirregiões do Google Cloud como locais de dados:
- União Europeia (
eu
) - Os dados estão em qualquer região do Google Cloud em estados-membros da União Europeia.
- Estados Unidos (
us
) - Os dados estão em qualquer região do Google Cloud nos Estados Unidos.
- Reino da Arábia Saudita (KSA) (
sa
) - Os dados estão em qualquer região do Google Cloud no KSA.
- Global (
global
) - Os dados podem estar em qualquer região do Google Cloud. Se a residência de dados não estiver
ativada, o local global (
global
) será o único aceito.
Para mais informações sobre os locais do Security Command Center, consulte Produtos disponíveis por local.
Se você precisar especificar um local padrão para a residência de dados que o Security Command Center não oferece suporte, entre em contato com seu representante de contas ou com um especialista em vendas do Google Cloud.
Requisitos para residência de dados
Só é possível ativar a residência de dados quando você ativa o nível Standard ou Premium do Security Command Center em uma organização pela primeira vez. O nível Enterprise não oferece suporte à residência de dados.
Depois que a residência de dados for ativada, não será possível desativá-la nem mudar o local padrão.
A residência de dados exige o uso da API Security Command Center v2. Se a residência de dados estiver ativada, não será possível usar versões anteriores da API Security Command Center.
Se você não ativar a residência de dados ao ativar o Security Command Center, ele não vai restringir seus dados a nenhum local específico e eles serão armazenados de acordo com os Termos de Serviço do Google Cloud Platform.
URLs regionais
Para o local do Reino da Arábia Saudita (KSA, na sigla em inglês), use URLs específicos para acessar o console do Google Cloud da jurisdição, além de alguns métodos e comandos na CLI gcloud, nas bibliotecas de cliente do Cloud e na API Security Command Center:
Console
Para acessar o Security Command Center, use o console do Google Cloud da jurisdição, https://console.sa.cloud.google.com/.
O console jurisdicional do Google Cloud permite acessar dados do Security Command Center nos locais da Arábia Saudita e globais.
gcloud
Para acessar dados no local da Arábia Saudita, os seguintes grupos de comandos da CLI gcloud exigem que você use o endpoint de serviço regional da API Security Command Center:
gcloud scc bqexports
: gerencia as configurações de exportação do BigQuery.gcloud scc findings
: gerencia as descobertas.gcloud scc muteconfigs
: gerencia configurações de regras de silenciamento.gcloud scc notifications
: gerencia configurações de exportação contínua.
Além disso, o grupo de comandos gcloud scc operations
não está disponível para operações de longa duração no
local KSA. Por exemplo, não é possível verificar o status de uma operação de longa
duração para silenciar resultados em massa.
Para todos os outros grupos de comando gcloud scc
, use o endpoint de serviço
padrão da API Security Command Center.
Para alternar para o endpoint de serviço regional, execute o seguinte comando:
gcloud config set api_endpoint_overrides/securitycenter \
https://securitycenter.me-central2.rep.googleapis.com/
Para alternar para o endpoint de serviço padrão, execute o seguinte comando:
gcloud config unset api_endpoint_overrides/securitycenter
Se preferir, crie uma configuração nomeada para a CLI gcloud que use o endpoint de serviço regional e mude para essa configuração nomeada antes de executar comandos do Security Command Center no local do KSA. Para alternar para uma configuração nomeada, execute o comando
gcloud config configurations activate
.
REST
Para o local da Arábia Saudita, a API Security Command Center usa o endpoint de serviço regional
https://securitycenter.me-central2.rep.googleapis.com/
.
Para acessar os seguintes tipos de recursos da API REST no local da Arábia Saudita, use o endpoint de serviço regional do Security Command Center:
folders.locations.bigQueryExports
folders.locations.findings
folders.locations.muteConfigs
folders.locations.notificationConfigs
organizations.locations.bigQueryExports
organizations.locations.findings
organizations.locations.muteConfigs
organizations.locations.notificationConfigs
projects.locations.bigQueryExports
projects.locations.findings
projects.locations.muteConfigs
projects.locations.notificationConfigs
Além disso, não é possível chamar métodos para recursos
organizations.operations
no local da KSA. Por exemplo, não é possível verificar o status de uma
operação de longa duração para
silenciar resultados em massa.
Para todos os outros tipos de recursos, use o endpoint de serviço padrão da
API Security Command Center, https://securitycenter.googleapis.com/
.
Go
Para gerenciar os seguintes tipos de recursos no local da Arábia Saudita, é necessário substituir o endpoint de serviço padrão ao criar um cliente para o Security Command Center:
- Configurações de exportação do BigQuery
- Configurações de exportação contínua
- Descobertas
- Configurações de regras de silenciamento
Use o endpoint securitycenter.me-central2.rep.googleapis.com:443
para esses tipos de recurso. O exemplo de código
a seguir mostra como criar um cliente que usa um endpoint de serviço regional.
Java
Para gerenciar os seguintes tipos de recursos no local da Arábia Saudita, é necessário substituir o endpoint de serviço padrão ao criar um cliente para o Security Command Center:
- Configurações de exportação do BigQuery
- Configurações de exportação contínua
- Descobertas
- Configurações de regras de silenciamento
Use o endpoint securitycenter.me-central2.rep.googleapis.com:443
para esses tipos de recurso. O exemplo de código
a seguir mostra como criar um cliente que usa um endpoint de serviço regional.
Quando a residência de dados é aplicada
Quando você ativa a residência de dados para o Security Command Center, alguns dados do Security Command Center são mantidos em um local especificado quando estão em um dos seguintes estados:
- Em repouso: todos os locais com suporte
- Em uso: somente KSA (
sa
) - A caminho: apenas KSA (
sa
)
Residência dos dados em repouso
Os dados estão em repouso quando todos os seguintes critérios são atendidos:
- Os dados são de um tipo de recurso que está sujeito a controles de residência de dados.
- Você não solicitou uma operação que exige o acesso aos dados.
- Os dados não estão sendo acessados de uma forma que gere registros de auditoria ou registros de transparência no acesso.
Quando você ativa a residência de dados, o Security Command Center faz o seguinte:
UE, EUA e mundo inteiro
Se possível, quando os dados das descobertas estiverem em repouso, o Security Command Center os armazena na multirregião do Google Cloud em que seus recursos estão localizados.
Caso contrário, quando os dados de descobertas estiverem em repouso, eles serão armazenados no local padrão escolhido.
Quando tipos específicos de recursos de configuração estão em repouso, o Security Command Center os armazena no local padrão escolhido.
Nos casos em que o Security Command Center armazena dados que não são dados do cliente, conforme definido no item Local de dados nos Termos de Serviço gerais do Google Cloud, o Security Command Center armazena os dados em repouso de acordo com os Termos de Serviço do Google Cloud Platform.
KSA
- Quando uma descoberta é criada para um recurso que reside no local da Arábia Saudita, ela sempre fica no local da Arábia Saudita em repouso.
- Quando uma descoberta é criada para um recurso que está em outro local, ela fica no local de KSA em repouso. No entanto, a descoberta pode residir temporariamente em uma região diferente em repouso.
- Quando você cria tipos específicos de recursos de configuração no local da Arábia Saudita e esses recursos estão em repouso, eles ficam no local da Arábia Saudita.
-
Nos casos em que o Security Command Center armazena dados que não são dados do cliente, conforme definido no item Local de dados nos Termos de Serviço gerais do Google Cloud, o Security Command Center armazena os dados em repouso de acordo com os Termos de Serviço do Google Cloud Platform.
Residência de dados em uso
Os dados estão em uso quando todos os seguintes critérios são atendidos:
- Os dados são de um tipo de recurso que está sujeito a controles de residência de dados.
- O Google Cloud está concluindo uma operação iniciada na sua solicitação, por exemplo, porque seu aplicativo chamou a API Security Command Center ou uma operação que produz registros de auditoria ou de transparência no acesso.
- O Google Cloud pode operar nos dados de uma maneira que exija conhecimento do significado deles, por exemplo, atualizando campos específicos em um recurso de configuração. Isso inclui qualquer caso em que os dados não são descriptografados na memória.
Quando você ativa a residência de dados, o Security Command Center faz o seguinte:
UE, EUA e mundo inteiro
Nos locais da UE, dos EUA e globais, os dados em uso não estão sujeitos a controles de residência de dados.
KSA
- Quando uma descoberta é criada para um recurso que está no local do KSA, ela sempre fica no local do KSA em uso.
- Quando uma descoberta é criada para um recurso que está em outro local, ela acaba sendo armazenada no local do KSA em uso. No entanto, a descoberta pode estar temporariamente em uma região diferente em uso.
- Quando você cria tipos específicos de recursos de configuração no local da Arábia Saudita e esses recursos estão em uso, eles residem no local da Arábia Saudita.
-
Nos casos em que o Security Command Center armazena dados que não são Dados do cliente, conforme definido no item Local de dados nos Termos gerais de serviço do Google Cloud, o Security Command Center armazena os dados em uso de acordo com os Termos de Serviço do Google Cloud Platform.
Residência de dados em trânsito
Os dados estão em trânsito quando todos os seguintes critérios são atendidos:
- Os dados são de um tipo de recurso que está sujeito a controles de residência de dados.
- Os dados estão sendo transmitidos, com criptografia, na rede do Google ou estão na memória, com criptografia, para serem transmitidos na rede do Google.
Quando você ativa a residência de dados, o Security Command Center faz o seguinte:
UE, EUA e mundo inteiro
Na UE, nos EUA e em locais globais, os dados em trânsito não estão sujeitos a controles de residência de dados.
KSA
- Quando uma descoberta é criada para um recurso que reside no local da Arábia Saudita, ela sempre fica no local da Arábia Saudita em trânsito.
- Quando uma descoberta é criada para um recurso que está em outro local, ela acaba sendo armazenada no local do KSA em trânsito. No entanto, a descoberta pode estar temporariamente em uma região diferente em trânsito.
- Quando você cria tipos específicos de recursos de configuração no local da Arábia Saudita e esses recursos estão em trânsito, eles residem no local da Arábia Saudita.
-
Nos casos em que o Security Command Center armazena dados que não são dados do cliente, conforme definido no item Local de dados nos Termos de Serviço gerais do Google Cloud, o Security Command Center armazena os dados em trânsito de acordo com os Termos de Serviço do Google Cloud Platform.
Local de dados padrão
Para os locais da UE, dos EUA e globais, quando você ativa a residência de dados do Security Command Center, especifica um local padrão do Security Command Center. Você pode selecionar qualquer local de dados com suporte como o local padrão.
O Security Command Center usa o local padrão apenas para armazenar descobertas em repouso que se aplicam aos seguintes tipos de recursos:
- Recursos que não estão localizados em um local de dados com suporte para o Security Command Center
- Recursos que não especificam um local nos metadados
Se você implantar recursos do Google Cloud em vários locais ou
em várias regiões, poderá escolher o local global (global
) como padrão.
Se você implantar recursos apenas em um único local, poderá escolher a multirregional que inclui esse local como padrão.
Recursos do Security Command Center e residência de dados
A lista a seguir explica como o Security Command Center aplica controles de residência de dados a recursos do Security Command Center. Se um recurso não estiver listado aqui, ele não estará sujeito a controles de residência de dados e será armazenado de acordo com os Termos de Serviço do Google Cloud Platform.
- Recursos
Os metadados de recursos são armazenados pelo Inventário de recursos do Cloud e não estão sujeitos a controles de residência de dados. Esses dados são armazenados de acordo com os Termos de Serviço do Google Cloud Platform.
Por esse motivo, a página Recursos do Security Command Center no console do Google Cloud sempre mostra todos os recursos da sua organização, pasta ou projeto, independentemente do local ou do local selecionado no console do Google Cloud. No entanto, quando a residência de dados está ativada e você acessa os detalhes de um recurso, a página Recursos não mostra informações sobre as descobertas que afetam o recurso.
- Pontuações de exposição a ataques e caminhos de ataque
As pontuações de exposição a ataques e caminhos de ataque não estão sujeitas a controles de residência de dados. Esses dados são armazenados de acordo com os Termos de Serviço do Google Cloud Platform.
- Exportações do BigQuery
As configurações de exportação do BigQuery estão sujeitas a controles de residência de dados.
UE, EUA e mundo inteiro
Ao criar esses recursos, você especifica o local em que eles vão ficar. Essas configurações se aplicam apenas a descobertas que residem no mesmo local.
KSA
Use os URLs regionais para criar e gerenciar esses recursos de configuração. Eles residem no local da Arábia Saudita, junto com suas descobertas.
A API Security Command Center representa as configurações de exportação do BigQuery como recursos
BiqQueryExport
.- Exportações contínuas
As configurações de exportação contínua estão sujeitas a controles de residência de dados.
UE, EUA e mundo inteiro
Ao criar esses recursos, você especifica o local em que eles vão ficar. Essas configurações se aplicam apenas a descobertas que residem no mesmo local.
KSA
Use os URLs regionais para criar e gerenciar esses recursos de configuração. Eles residem no local da Arábia Saudita, junto com suas descobertas.
A API Security Command Center representa as configurações de exportação contínua como recursos
NotificationConfig
.- Descobertas
As descobertas estão sujeitas aos controles de residência de dados.
UE, EUA e mundo inteiro
Quando uma descoberta é criada, ela fica no local do Security Command Center em que o recurso afetado está localizado.
Se um recurso afetado estiver localizado fora de um local com suporte ou não tiver um identificador de local, as descobertas do recurso estarão no seu local padrão.
KSA
Quando uma descoberta é criada para um recurso que está no local da Arábia Saudita, ela sempre fica nesse local.
Quando uma descoberta é criada para um recurso que está em outro local, ela acaba sendo armazenada no local da Arábia Saudita. No entanto, a descoberta pode estar em uma região diferente no momento em que ela é criada.
Para garantir que os resultados sempre fiquem no local da Arábia Saudita, crie todos os recursos nesse local.
- Regras de silenciamento
As configurações de regras de silenciamento estão sujeitas aos controles de residência de dados.
UE, EUA e mundo inteiro
Ao criar esses recursos, você especifica o local em que eles vão ficar. Essas configurações se aplicam apenas a descobertas que residem no mesmo local.
KSA
Use os URLs regionais para criar e gerenciar esses recursos de configuração. Eles residem no local da Arábia Saudita, junto com suas descobertas.
A API Security Command Center representa as configurações de regras de desativação como recursos
MuteConfig
.- Outros recursos e configurações do Security Command Center
Os recursos e as configurações do Security Command Center que não estão listados aqui, como aqueles que definem quais serviços estão ativados ou qual nível está ativo, não estão sujeitos a controles de residência de dados. Esses dados são armazenados de acordo com os Termos de Serviço do Google Cloud Platform.
Criar ou acessar dados em um local
Quando a residência de dados está ativada, é necessário especificar um local ao criar ou acessar dados que estão sujeitos a controles de residência de dados. O Security Command Center escolhe automaticamente um local para as descobertas que ele cria.
Só é possível criar ou consultar dados em um local por vez. Por exemplo, se você
listar descobertas no local global (global
), não vai encontrar descobertas no
local da União Europeia (eu
).
Para criar ou acessar dados em um local do Security Command Center, faça o seguinte:
Console
UE, EUA e mundo inteiro
No console do Google Cloud, acesse o Security Command Center.
Para mudar o local dos dados, clique no seletor de local na barra de ações.
Uma lista de locais vai aparecer. Selecione o novo local.
KSA
No console do Google Cloud para o local da Arábia Saudita, acesse o Security Command Center.
gcloud
UE, EUA e mundo inteiro
Use a flag --location=LOCATION
ao executar a
Google Cloud CLI, conforme mostrado no exemplo a seguir.
O comando
gcloud scc findings list
lista as descobertas de uma organização em um local específico.
Antes de usar os dados do comando abaixo, faça estas substituições:
-
ORGANIZATION_ID
: o ID numérico da organização -
LOCATION
: o local do Security Command Center a ser usado, comoeu
. Se a residência de dados não estiver ativada, useglobal
.
Execute o
comando gcloud scc findings list
:
Linux, macOS ou Cloud Shell
gcloud scc findings list ORGANIZATION_ID --location=LOCATION
Windows (PowerShell)
gcloud scc findings list ORGANIZATION_ID --location=LOCATION
Windows (cmd.exe)
gcloud scc findings list ORGANIZATION_ID --location=LOCATION
A resposta contém uma lista de descobertas.
KSA
Configure a CLI gcloud para usar o endpoint de serviço regional do local da Arábia Saudita para a API Security Command Center:
gcloud config set api_endpoint_overrides/securitycenter \
https://securitycenter.me-central2.rep.googleapis.com/
Use a flag --location=sa
ao executar a Google Cloud CLI, conforme mostrado no exemplo a seguir.
O comando
gcloud scc findings list
lista as descobertas de uma organização em um local específico.
Antes de usar os dados do comando abaixo, faça estas substituições:
-
ORGANIZATION_ID
: o ID numérico da organização
Execute o
comando gcloud scc findings list
:
Linux, macOS ou Cloud Shell
gcloud scc findings list ORGANIZATION_ID --location=sa
Windows (PowerShell)
gcloud scc findings list ORGANIZATION_ID --location=sa
Windows (cmd.exe)
gcloud scc findings list ORGANIZATION_ID --location=sa
A resposta contém uma lista de descobertas.
REST
UE, EUA e mundo inteiro
Use um endpoint de API que inclua locations/LOCATION
no caminho, conforme mostrado no exemplo abaixo.
O método
organizations.sources.locations.findings.list
da API Security Command Center lista as descobertas de uma organização em um local específico.
Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:
-
ORGANIZATION_ID
: o ID numérico da organização -
LOCATION
: o local do Security Command Center a ser usado, comoeu
. Se a residência de dados não estiver ativada, useglobal
.
Método HTTP e URL:
GET https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings
Para enviar a solicitação, expanda uma destas opções:
A resposta contém uma lista de descobertas.
KSA
Use o endpoint de serviço regional para o local da Arábia Saudita para chamar a API, conforme mostrado no exemplo a seguir.
O método
organizations.sources.locations.findings.list
da API Security Command Center lista as descobertas de uma organização em um local específico.
Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:
-
ORGANIZATION_ID
: o ID numérico da organização
Método HTTP e URL:
GET https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings
Para enviar a solicitação, expanda uma destas opções:
A resposta contém uma lista de descobertas.
A seguir
- Saiba como ativar o Security Command Center com a residência de dados ativada.
- Ative o Security Command Center para transmitir as descobertas para o BigQuery.
- Configure exportações contínuas do Security Command Center para o Pub/Sub.
- Crie uma regra de silenciamento para descobertas.