Cette page a été traduite par l'API Cloud Translation.

Planifier la résidence des données

La résidence des données vous permet de mieux contrôler l'emplacement de vos données Security Command Center. Cette page fournit des informations essentielles sur la façon dont Security Command Center prend en charge la résidence des données.

Les définitions suivantes s'appliquent à cette page:

Un emplacement est une région ou une zone multirégionale Google Cloud qui correspond à l'emplacement de vos données.
Le terme vos données a la même signification que le terme "Données client" dans l'élément Emplacement des données des Conditions d'utilisation générales de Google Cloud.

Emplacements de données compatibles

Security Command Center n'accepte que les multirégions Google Cloud suivantes comme emplacements de données:

Union européenne (eu): Les données résident dans n'importe quelle région Google Cloud des États membres de l'Union européenne.
États-Unis (us): Les données sont stockées dans n'importe quelle région Google Cloud située aux États-Unis.
Royaume d'Arabie saoudite (sa): Les données résident dans n'importe quelle région Google Cloud en Arabie saoudite.
Numéro international (global): Les données peuvent se trouver dans n'importe quelle région Google Cloud. Si la résidence des données n'est pas activée, l'emplacement global (global) est le seul accepté.

Pour en savoir plus sur les zones géographiques où Security Command Center est disponible, consultez la page Produits disponibles par zone géographique.

Si vous devez spécifier un emplacement par défaut pour la résidence des données qui n'est pas compatible avec Security Command Center, contactez votre représentant de compte ou un spécialiste commercial Google Cloud.

Exigences concernant la résidence des données

Vous ne pouvez activer la résidence des données que lorsque vous activez le niveau Standard ou Premium de Security Command Center dans une organisation pour la première fois. Le niveau Enterprise n'est pas compatible avec la résidence des données.

Une fois la résidence des données activée, vous ne pouvez plus la désactiver ni modifier votre emplacement par défaut. De plus, les résultats et les chemins d'attaque de Gemini ne sont pas disponibles.

La résidence des données nécessite d'utiliser l'API Security Command Center v2. Si la résidence des données est activée, vous ne pouvez pas utiliser d'anciennes versions de l'API Security Command Center.

Si vous ne l'activez pas lorsque vous activez Security Command Center, il ne limite pas vos données à un emplacement particulier et elles sont stockées conformément aux Conditions d'utilisation de Google Cloud Platform.

URL régionales

Pour le Royaume d'Arabie saoudite, vous devez utiliser des URL spécifiques à la région pour accéder à la console Google Cloud de la juridiction, ainsi qu'à certaines méthodes et commandes de gcloud CLI, des bibliothèques clientes Cloud et de l'API Security Command Center:

Console

Pour accéder à Security Command Center, utilisez la console Google Cloud de votre juridiction à l'adresse https://console.sa.cloud.google.com/.

La console Google Cloud de votre juridiction vous permet d'accéder aux données Security Command Center en Arabie saoudite et dans le monde.

gcloud

Pour accéder aux données en Arabie saoudite, les groupes de commandes gcloud CLI suivants vous obligent à utiliser le point de terminaison de service régional pour l'API Security Command Center:

gcloud scc bqexports: gère les configurations d'exportation BigQuery
gcloud scc findings: gère les résultats
gcloud scc muteconfigs: gère les configurations des règles de masquage
gcloud scc notifications: gère les configurations d'exportation continue

De plus, le groupe de commandes gcloud scc operations n'est pas disponible pour les opérations de longue durée dans l'emplacement Arabie saoudite. Par exemple, vous ne pouvez pas vérifier l'état d'une opération de longue durée pour couper le son des résultats de manière groupée.

Pour tous les autres groupes de commandes gcloud scc, vous devez utiliser le point de terminaison de service par défaut de l'API Security Command Center.

Pour passer au point de terminaison de service régional, exécutez la commande suivante:

gcloud config set api_endpoint_overrides/securitycenter \
    https://securitycenter.me-central2.rep.googleapis.com/

Pour passer au point de terminaison de service par défaut, exécutez la commande suivante:

gcloud config unset api_endpoint_overrides/securitycenter

Si vous préférez, vous pouvez créer une configuration nommée pour gcloud CLI qui utilise le point de terminaison de service régional, puis passer à cette configuration nommée avant d'exécuter des commandes Security Command Center dans l'emplacement Arabie saoudite. Pour passer à une configuration nommée, exécutez la commande gcloud config configurations activate.

REST

Pour l'Arabie saoudite, l'API Security Command Center utilise le point de terminaison de service régional https://securitycenter.me-central2.rep.googleapis.com/.

Pour accéder aux types de ressources d'API REST suivants en Arabie saoudite, vous devez utiliser le point de terminaison de service régional pour Security Command Center:

De plus, vous ne pouvez appeler aucune méthode pour les ressources organizations.operations dans l'emplacement KSA. Par exemple, vous ne pouvez pas vérifier l'état d'une opération de longue durée pour couper le son des résultats de manière groupée.

Pour tous les autres types de ressources, vous devez utiliser le point de terminaison de service par défaut de l'API Security Command Center, https://securitycenter.googleapis.com/.

Go

Pour gérer les types de ressources suivants dans l'emplacement Arabie saoudite, vous devez remplacer le point de terminaison de service par défaut lorsque vous créez un client pour Security Command Center:

Utilisez le point de terminaison securitycenter.me-central2.rep.googleapis.com:443 pour ces types de ressources. L'exemple de code suivant montre comment créer un client qui utilise un point de terminaison de service régional.

import (
	"context"
	"fmt"

	securitycenter "cloud.google.com/go/securitycenter/apiv2"
	"google.golang.org/api/option"
)

// createClientWithEndpoint creates a Security Command Center client for a
// regional endpoint.
func createClientWithEndpoint(repLocation string) error {
	// Assemble the regional endpoint URL using provided location.
	repEndpoint := fmt.Sprintf("securitycenter.%s.rep.googleapis.com:443", repLocation)
	// Instantiate client for regional endpoint. Use this client to access resources that
	// are subject to data residency controls, and that are located in the region
	// specified in repLocation.
	repCtx := context.Background()
	repClient, err := securitycenter.NewClient(repCtx, option.WithEndpoint(repEndpoint))
	if err != nil {
		return err
	}
	defer repClient.Close()

	return nil
}

Java


import com.google.cloud.securitycenter.v2.SecurityCenterClient;
import com.google.cloud.securitycenter.v2.SecurityCenterSettings;
import java.io.IOException;

public class CreateClientWithEndpoint {

  public static void main(String[] args) throws IOException {
    // TODO: Replace the value with the endpoint for the region in which your
    // Security Command Center data resides.
    String regionalEndpoint = "securitycenter.me-central2.rep.googleapis.com:443";
    SecurityCenterClient client = createClientWithEndpoint(regionalEndpoint);
    System.out.println("Client initiated with endpoint: " + client.getSettings().getEndpoint());
  }

  // Creates Security Command Center client for a regional endpoint.
  public static SecurityCenterClient createClientWithEndpoint(String regionalEndpoint)
      throws java.io.IOException {
    SecurityCenterSettings regionalSettings =
        SecurityCenterSettings.newBuilder().setEndpoint(regionalEndpoint).build();
    return SecurityCenterClient.create(regionalSettings);
  }
}

Lorsque la résidence des données est appliquée

Lorsque vous activez la résidence des données pour Security Command Center, certaines données de Security Command Center sont conservées dans un emplacement spécifié lorsqu'elles se trouvent dans l'un des états suivants:

Au repos: tous les emplacements compatibles
En cours d'utilisation: KSA (sa) uniquement
En transit: KSA (sa) uniquement

Résidence des données au repos

Les données sont au repos lorsque tous les critères suivants sont remplis:

Les données concernent un type de ressource soumis à des contrôles de résidence des données.
Vous n'avez pas demandé d'opération nécessitant l'accès aux données.
L'accès aux données ne génère pas de journaux d'audit ni de journaux Access Transparency.

Lorsque vous activez la résidence des données, Security Command Center effectue les opérations suivantes:

Union européenne, États-Unis et monde

Si possible, lorsque les données des résultats sont au repos, Security Command Center les stocke dans l'emplacement multirégional Google Cloud où se trouvent vos ressources.

Sinon, lorsque les données des résultats sont au repos, elles sont stockées dans l'emplacement par défaut que vous choisissez.
Lorsque des types spécifiques de ressources de configuration sont au repos, Security Command Center les stocke à l'emplacement par défaut que vous choisissez.
Lorsque Security Command Center stocke des données qui ne sont pas des données client, comme défini dans l'élément Emplacement des données des Conditions générales de service de Google Cloud, Security Command Center stocke les données au repos conformément aux Conditions d'utilisation de Google Cloud Platform.

KSA

Lorsqu'une anomalie est créée pour une ressource située en Arabie saoudite, elle se trouve toujours dans cet emplacement au repos.
Lorsqu'un résultat est créé pour une ressource située dans un autre emplacement, il se trouve finalement dans l'emplacement KSA au repos. Toutefois, la découverte peut temporairement se trouver dans une autre région au repos.
Lorsque vous créez des types spécifiques de ressources de configuration dans l'emplacement Arabie saoudite et que ces ressources sont inactives, elles se trouvent dans l'emplacement Arabie saoudite.
Lorsque Security Command Center stocke des données qui ne sont pas des données client, comme défini dans l'élément Emplacement des données des Conditions générales de service de Google Cloud, Security Command Center stocke les données au repos conformément aux Conditions d'utilisation de Google Cloud Platform.

Résidence des données en cours d'utilisation

Les données sont utilisées lorsque toutes les conditions suivantes sont remplies:

Les données concernent un type de ressource soumis à des contrôles de résidence des données.
Google Cloud termine une opération lancée à votre demande (par exemple, parce que votre application a appelé l'API Security Command Center) ou une opération qui génère des journaux d'audit ou des journaux Access Transparency.
Google Cloud peut traiter les données d'une manière qui nécessite de connaître leur signification, par exemple en mettant à jour des champs spécifiques dans une ressource de configuration. Cela inclut tous les cas où les données ne sont pas chiffrées en mémoire.

Lorsque vous activez la résidence des données, Security Command Center effectue les opérations suivantes:

Union européenne, États-Unis et monde

Dans l'UE, aux États-Unis et dans le monde, les données en cours d'utilisation ne sont pas soumises à des contrôles de résidence des données.

KSA

Lorsqu'une anomalie est créée pour une ressource située en Arabie saoudite, elle se trouve toujours dans l'emplacement en Arabie saoudite utilisé.
Lorsqu'une anomalie est créée pour une ressource située dans un autre emplacement, elle se trouve finalement dans l'emplacement KSA utilisé. Toutefois, la découverte peut se trouver temporairement dans une autre région utilisée.
Lorsque vous créez des types spécifiques de ressources de configuration dans l'emplacement Arabie saoudite et que ces ressources sont utilisées, elles se trouvent dans l'emplacement Arabie saoudite.
Lorsque Security Command Center stocke des données qui ne sont pas des données client, comme défini dans l'élément Emplacement des données des Conditions générales de service de Google Cloud, Security Command Center stocke les données utilisées conformément aux Conditions d'utilisation de Google Cloud Platform.

Résidence des données en transit

Les données sont en transit lorsque tous les critères suivants sont remplis:

Les données concernent un type de ressource soumis à des contrôles de résidence des données.
Les données sont transmises, avec chiffrement, sur le réseau de Google, ou elles se trouvent en mémoire, avec chiffrement, dans le but de les transmettre sur le réseau de Google.

Lorsque vous activez la résidence des données, Security Command Center effectue les opérations suivantes:

Union européenne, États-Unis et monde

Dans l'UE, aux États-Unis et dans le monde, les données en transit ne sont pas soumises à des contrôles de résidence des données.

KSA

Lorsqu'une anomalie est créée pour une ressource située en Arabie saoudite, elle se trouve toujours en transit dans ce pays.
Lorsqu'une anomalie est créée pour une ressource située dans un autre emplacement, elle se trouve finalement dans l'emplacement Arabie saoudite en transit. Toutefois, la découverte peut se trouver temporairement dans une autre région en transit.
Lorsque vous créez des types spécifiques de ressources de configuration dans l'emplacement Arabie saoudite et que ces ressources sont en transit, elles se trouvent dans l'emplacement Arabie saoudite.
Lorsque Security Command Center stocke des données qui ne sont pas des données client, comme défini dans l'élément Emplacement des données des Conditions générales de service de Google Cloud, Security Command Center stocke les données en transit conformément aux Conditions d'utilisation de Google Cloud Platform.

Emplacement des données par défaut

Pour les emplacements en Europe, aux États-Unis et dans le monde, lorsque vous activez la résidence des données Security Command Center, vous spécifiez un emplacement Security Command Center par défaut. Vous pouvez sélectionner n'importe quel emplacement de données compatible comme emplacement par défaut.

Security Command Center n'utilise l'emplacement par défaut que pour stocker les résultats au repos qui s'appliquent aux types de ressources suivants:

Ressources qui ne se trouvent pas dans un emplacement de données compatible pour Security Command Center
Ressources qui ne spécifient pas d'emplacement dans leurs métadonnées

Si vous déployez des ressources Google Cloud dans plusieurs emplacements ou régions, vous pouvez choisir l'emplacement mondial (global) par défaut.

Si vous ne déployez des ressources que dans un seul emplacement, vous pouvez choisir la région multirégionale qui inclut cet emplacement comme région par défaut.

Ressources Security Command Center et résidence des données

La liste suivante explique comment Security Command Center applique des contrôles de résidence des données aux ressources Security Command Center. Si une ressource n'est pas listée ici, elle n'est pas soumise aux contrôles de résidence des données et est stockée conformément aux Conditions d'utilisation de Google Cloud Platform.

Éléments

Les métadonnées des éléments sont stockées par Cloud Asset Inventory et ne sont pas soumises à des contrôles de résidence des données. Ces données sont stockées conformément aux Conditions d'utilisation de Google Cloud Platform.

C'est pourquoi la page Éléments de Security Command Center dans la console Google Cloud affiche toujours toutes les ressources de votre organisation, de votre dossier ou de votre projet, quel que soit leur emplacement ou l'emplacement que vous sélectionnez dans la console Google Cloud. Toutefois, lorsque la résidence des données est activée et que vous consultez les détails d'un composant, la page Composants n'affiche pas d'informations sur les résultats qui affectent le composant.

Niveaux d'exposition aux attaques et chemins d'attaque

Les scores d'exposition aux attaques et les chemins d'attaque ne sont pas soumis aux contrôles de résidence des données. Ces données sont stockées conformément aux Conditions d'utilisation de Google Cloud Platform.

exportations BigQuery

Les configurations d'exportation BigQuery sont soumises à des contrôles de résidence des données.

Union européenne, États-Unis et monde

Lorsque vous créez ces ressources, vous spécifiez leur emplacement. Ces configurations ne s'appliquent qu'aux résultats situés au même endroit.

KSA

Utilisez les URL régionales pour créer et gérer ces ressources de configuration. Ils résident en Arabie saoudite, ainsi que vos résultats.

L'API Security Command Center représente les configurations d'exportation BigQuery en tant que ressources BiqQueryExport.

Exportations continues

Les configurations d'exportation continue sont soumises aux contrôles de résidence des données.

Union européenne, États-Unis et monde

Lorsque vous créez ces ressources, vous spécifiez leur emplacement. Ces configurations ne s'appliquent qu'aux résultats situés au même endroit.

KSA

Utilisez les URL régionales pour créer et gérer ces ressources de configuration. Ils résident en Arabie saoudite, ainsi que vos résultats.

L'API Security Command Center représente les configurations d'exportation continue en tant que ressources NotificationConfig.

Résultats

Les résultats sont soumis aux contrôles de résidence des données.

Union européenne, États-Unis et monde

Lorsqu'un résultat est créé, il se trouve dans l'emplacement Security Command Center où se trouve la ressource concernée.

Si une ressource affectée se trouve en dehors d'un emplacement compatible ou ne dispose d'aucun identifiant d'emplacement, les résultats de la ressource se trouvent dans votre emplacement par défaut.

KSA

Lorsqu'une anomalie est créée pour une ressource située en Arabie saoudite, elle se trouve toujours dans ce pays.

Lorsqu'un résultat est créé pour une ressource située dans un autre emplacement, il se trouve finalement dans l'emplacement Arabie saoudite. Toutefois, la découverte peut se trouver dans une autre région au moment de sa création.

Pour vous assurer que les résultats se trouvent toujours dans le Royaume d'Arabie saoudite, créez toutes vos ressources dans ce pays.

Règles de masquage

Les configurations des règles de masquage sont soumises aux contrôles de résidence des données.

Union européenne, États-Unis et monde

Lorsque vous créez ces ressources, vous spécifiez leur emplacement. Ces configurations ne s'appliquent qu'aux résultats situés au même endroit.

KSA

Utilisez les URL régionales pour créer et gérer ces ressources de configuration. Ils résident en Arabie saoudite, ainsi que vos résultats.

L'API Security Command Center représente les configurations de règles de masquage sous la forme de ressources MuteConfig.

Autres ressources et paramètres de Security Command Center

Les ressources et paramètres de Security Command Center qui ne sont pas listés ici, tels que ceux qui définissent les services activés ou le niveau actif, ne sont pas soumis aux contrôles de résidence des données. Ces données sont stockées conformément aux Conditions d'utilisation de Google Cloud Platform.

Créer ou afficher des données dans une zone géographique

Lorsque la résidence des données est activée, vous devez spécifier un emplacement lorsque vous créez ou affichez des données soumises à des contrôles de résidence des données. Security Command Center choisit automatiquement un emplacement pour les résultats qu'il crée.

Vous ne pouvez créer ou afficher des données que dans un seul emplacement à la fois. Par exemple, si vous listez les résultats dans l'emplacement mondial (global), vous ne verrez pas les résultats dans l'emplacement Union européenne (eu).

Pour créer ou afficher des données qui se trouvent dans un emplacement Security Command Center, procédez comme suit:

Console

Union européenne, États-Unis et monde

Dans la console Google Cloud, accédez à Security Command Center (Security Command Center).

Accéder à Security Command Center
Pour modifier l'emplacement des données, cliquez sur le sélecteur d'emplacement dans la barre d'action.

Une liste d'établissements s'affiche. Sélectionnez le nouvel emplacement.

KSA

Dans la console Google Cloud de la juridiction pour l'emplacement en Arabie saoudite, accédez à Security Command Center (Centre de commande de sécurité).

Accéder à Security Command Center

gcloud

Union européenne, États-Unis et monde

Utilisez l'indicateur --location=LOCATION lorsque vous exécutez la Google Cloud CLI, comme indiqué dans l'exemple suivant.

La commande gcloud scc findings list répertorie les résultats d'une organisation dans un emplacement spécifique.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

ORGANIZATION_ID: ID numérique de l'organisation
LOCATION: emplacement Security Command Center à utiliser, par exemple eu. Si la résidence des données n'est pas activée, utilisez global.

Exécutez la commande gcloud scc findings list:

Linux, macOS ou Cloud Shell

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows (PowerShell)

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows (cmd.exe)

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

La réponse contient une liste de résultats.

KSA

Configurez gcloud CLI pour utiliser le point de terminaison de service régional de l'emplacement Arabie saoudite pour l'API Security Command Center:

gcloud config set api_endpoint_overrides/securitycenter \
    https://securitycenter.me-central2.rep.googleapis.com/

Vous devez ensuite utiliser l'indicateur --location=sa lorsque vous exécutez la Google Cloud CLI, comme indiqué dans l'exemple suivant.

La commande gcloud scc findings list répertorie les résultats d'une organisation dans un emplacement spécifique.

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

ORGANIZATION_ID: ID numérique de l'organisation

Exécutez la commande gcloud scc findings list:

Linux, macOS ou Cloud Shell

gcloud scc findings list ORGANIZATION_ID --location=sa

Windows (PowerShell)

gcloud scc findings list ORGANIZATION_ID --location=sa

Windows (cmd.exe)

gcloud scc findings list ORGANIZATION_ID --location=sa

La réponse contient une liste de résultats.

REST

Union européenne, États-Unis et monde

Utilisez un point de terminaison d'API qui inclut locations/LOCATION dans le chemin d'accès, comme illustré dans l'exemple suivant.

La méthode organizations.sources.locations.findings.list de l'API Security Command Center répertorie les résultats d'une organisation dans un emplacement spécifique.

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

ORGANIZATION_ID: ID numérique de l'organisation
LOCATION: emplacement Security Command Center à utiliser, par exemple eu. Si la résidence des données n'est pas activée, utilisez global.

Méthode HTTP et URL :

GET https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Remarque : La commande suivante suppose que vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login, ou en utilisant Cloud Shell, qui vous connecte automatiquement à la CLI gcloud. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Exécutez la commande suivante :

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings"

PowerShell (Windows)

Remarque : La commande suivante suppose que vous vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings" | Select-Object -Expand Content

La réponse contient une liste de résultats.

KSA

Utilisez le point de terminaison de service régional pour l'emplacement Arabie saoudite pour appeler l'API, comme illustré dans l'exemple suivant.

La méthode organizations.sources.locations.findings.list de l'API Security Command Center répertorie les résultats d'une organisation dans un emplacement spécifique.

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

ORGANIZATION_ID: ID numérique de l'organisation

Méthode HTTP et URL :

GET https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Exécutez la commande suivante :

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings"

PowerShell (Windows)

Exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings" | Select-Object -Expand Content

La réponse contient une liste de résultats.

Étape suivante

Découvrez comment activer Security Command Center avec la résidence des données activée.
Activez Security Command Center pour transmettre les résultats vers BigQuery.
Configurez des exportations continues de Security Command Center vers Pub/Sub.
Créez une règle de blocage pour les résultats.