规划数据驻留

借助数据驻留，您可以更好地控制 Security Command Center 数据的位置。本页面提供了有关 Security Command Center 如何支持数据驻留的基本信息。

以下定义适用于本页：

• 位置是指与数据所在的位置对应的 Google Cloud 区域或多区域。
• “您的数据”一词的含义等同于 Google Cloud 通用服务条款中数据位置条目中的“客户数据”一词的含义。

支持的数据位置

Security Command Center 仅支持以下 Google Cloud 多区域作为数据位置：

欧盟 (eu)

数据位于欧盟成员国内的任何 Google Cloud 区域中。

美国 (us)

数据位于美国的任何 Google Cloud 区域中。

沙特阿拉伯王国 (KSA) (sa)

数据位于沙特阿拉伯的任何 Google Cloud 区域中。

全球支持专线（global）

数据可以位于任何 Google Cloud 区域。如果未启用数据驻留，则全球 (global) 是唯一支持的位置。

如需详细了解 Security Command Center 的适用地区，请参阅各位置可使用的产品。

如果您需要为数据驻留指定 Security Command Center 不支持的默认位置，请与您的客户代表或 Google Cloud 销售专家联系。

数据驻留要求

只有在首次在组织中激活 Security Command Center 的标准层级或高级层级时，您才能启用数据驻留。企业版不支持数据驻留。

启用数据驻留后，您将无法停用该功能或更改默认位置。此外，Gemini 对发现结果和攻击路径的摘要也不适用。

若要实现数据驻留，您需要使用 Security Command Center v2 API。如果启用了数据驻留，则无法使用较低版本的 Security Command Center API。

如果您在激活 Security Command Center 时未启用数据驻留，则 Security Command Center 不会将您的数据限制在任何特定位置，并且会根据 Google Cloud Platform 服务条款进行存储。

地区性网址

对于沙特阿拉伯王国 (KSA) 位置，您必须使用特定于位置的网址才能访问相应管辖区的 Google Cloud 控制台，以及 gcloud CLI、Cloud 客户端库和 Security Command Center API 中的某些方法和命令：

gcloud config set api_endpoint_overrides/securitycenter \
    https://securitycenter.me-central2.rep.googleapis.com/

gcloud config unset api_endpoint_overrides/securitycenter

import (
	"context"
	"fmt"

	securitycenter "cloud.google.com/go/securitycenter/apiv2"
	"google.golang.org/api/option"
)

// createClientWithEndpoint creates a Security Command Center client for a
// regional endpoint.
func createClientWithEndpoint(repLocation string) error {
	// Assemble the regional endpoint URL using provided location.
	repEndpoint := fmt.Sprintf("securitycenter.%s.rep.googleapis.com:443", repLocation)
	// Instantiate client for regional endpoint. Use this client to access resources that
	// are subject to data residency controls, and that are located in the region
	// specified in repLocation.
	repCtx := context.Background()
	repClient, err := securitycenter.NewClient(repCtx, option.WithEndpoint(repEndpoint))
	if err != nil {
		return err
	}
	defer repClient.Close()

	return nil
}

import com.google.cloud.securitycenter.v2.SecurityCenterClient;
import com.google.cloud.securitycenter.v2.SecurityCenterSettings;
import java.io.IOException;

public class CreateClientWithEndpoint {

  public static void main(String[] args) throws IOException {
    // TODO: Replace the value with the endpoint for the region in which your
    // Security Command Center data resides.
    String regionalEndpoint = "securitycenter.me-central2.rep.googleapis.com:443";
    SecurityCenterClient client = createClientWithEndpoint(regionalEndpoint);
    System.out.println("Client initiated with endpoint: " + client.getSettings().getEndpoint());
  }

  // Creates Security Command Center client for a regional endpoint.
  public static SecurityCenterClient createClientWithEndpoint(String regionalEndpoint)
      throws java.io.IOException {
    SecurityCenterSettings regionalSettings =
        SecurityCenterSettings.newBuilder().setEndpoint(regionalEndpoint).build();
    return SecurityCenterClient.create(regionalSettings);
  }
}

强制执行数据驻留时

为 Security Command Center 启用数据驻留后，当某些 Security Command Center 数据处于以下某种状态时，这些数据会保留在指定位置：

• 休眠状态：所有受支持的位置
• 正在使用：仅限沙特阿拉伯 (sa)
• 传输中：仅限沙特阿拉伯 (sa)

数据驻留（静态）

当数据满足以下所有条件时，即为静态数据：

• 这些数据适用于受数据驻留控制的资源类型。
• 您尚未请求需要访问数据的操作。
• 访问数据的方式不会生成审核日志或 Access Transparency 日志。

启用数据驻留后，Security Command Center 会执行以下操作：

使用中的数据驻留

当满足以下所有条件时，数据处于使用中状态：

• 这些数据适用于受数据驻留控制的资源类型。
• Google Cloud 正在完成您请求发起的操作（例如，因为您的应用调用了 Security Command Center API），或者正在生成审核日志或 Access Transparency 日志的操作。
• Google Cloud 可能会以需要了解数据含义的方式对数据进行操作，例如通过更新配置资源中的特定字段。这包括数据在内存中处于未加密状态的任何情况。

启用数据驻留后，Security Command Center 会执行以下操作：

传输中的数据驻留

当满足以下所有条件时，数据处于传输中状态：

• 这些数据适用于受数据驻留控制的资源类型。
• 数据正在 Google 网络中加密传输，或者数据已加密并存储在内存中，目的是将其在 Google 网络中传输。

启用数据驻留后，Security Command Center 会执行以下操作：

默认数据位置

对于欧盟、美国和全球位置，在您启用 Security Command Center 数据驻留后，您需要指定默认的 Security Command Center 位置。您可以选择任何受支持的数据位置作为默认位置。

Security Command Center 仅使用默认位置存储适用于以下类型资源的休眠状态发现结果：

• 资源未位于 Security Command Center 的受支持的数据位置
• 在元数据中未指定位置的资源

如果您在多个位置或多个区域部署 Google Cloud 资源，则可以选择“全球”(global) 位置作为默认位置。

如果您仅在单个位置部署资源，则可以选择包含该位置的多区域作为默认区域。

Security Command Center 资源和数据驻留

以下列表介绍了 Security Command Center 如何将数据驻留控制措施应用于 Security Command Center 资源。如果资源未在此处列出，则不受数据驻留控制措施的约束，并且会根据 Google Cloud Platform 服务条款进行存储。

资产

资产元数据由 Cloud Asset Inventory 存储，不受数据驻留地控制。这些数据的存储方式符合 Google Cloud Platform 服务条款。

因此，无论资源位于何处，或者您在 Google Cloud 控制台中选择了何处，Google Cloud 控制台中的 Security Command Center 资产页面始终会显示组织、文件夹或项目中的所有资源。不过，启用数据驻留后，当您查看素材资源的详细信息时，素材资源页面不会显示影响素材资源的发现信息。

攻击风险得分和攻击路径

攻击风险得分和攻击路径不受数据驻留控制的约束。这些数据的存储方式符合 Google Cloud Platform 服务条款。

BigQuery Export

BigQuery Export 配置受数据驻留地控制。

欧盟、美国和全球

创建这些资源时，您需要指定它们所在的位置。这些配置仅适用于位于同一位置的发现。

KSA

您可以使用区域性网址创建和管理这些配置资源。他们位于沙特阿拉伯境内，并附上您的调查结果。

Security Command Center API 将 BigQuery 导出配置表示为 BiqQueryExport 资源。

持续导出

持续导出配置受数据驻留控制措施的约束。

欧盟、美国和全球

创建这些资源时，您需要指定它们所在的位置。这些配置仅适用于位于同一位置的发现。

KSA

您可以使用区域性网址创建和管理这些配置资源。他们位于沙特阿拉伯境内，并附上您的调查结果。

Security Command Center API 将持续导出配置表示为 NotificationConfig 资源。

发现结果

结果受数据驻留控制措施的约束。

欧盟、美国和全球

创建发现结果后，该结果会位于受影响资源所在的 Security Command Center 位置。

如果受影响的资源位于不受支持的位置或没有位置标识符，则该资源的发现结果会存储在您的默认位置。

KSA

为位于沙特阿拉伯 (KSA) 位置的资源创建发现结果后，该发现结果将始终位于沙特阿拉伯 (KSA) 位置。

为位于其他位置的资源创建发现结果后，该发现结果最终会位于沙特阿拉伯位置。不过，在创建时，相应发现可能位于其他区域。

为确保发现结果始终位于沙特阿拉伯位置，请在沙特阿拉伯位置创建所有资源。

忽略规则

忽略规则配置受数据驻留控制措施的约束。

欧盟、美国和全球

创建这些资源时，您需要指定它们所在的位置。这些配置仅适用于位于同一位置的发现。

KSA

您可以使用区域性网址创建和管理这些配置资源。他们位于沙特阿拉伯境内，并附上您的调查结果。

Security Command Center API 将忽略规则配置表示为 MuteConfig 资源。

Security Command Center 的其他资源和设置

此处未列出的 Security Command Center 资源和设置（例如用于定义启用了哪些服务或处于活跃状态的层级的设置）不受数据驻留控制措施的约束。我们会根据 Google Cloud Platform 服务条款存储这些数据。

在某个位置创建或查看数据

启用数据驻留后，在创建或查看受数据驻留控制的任何数据时，您都必须指定位置。Security Command Center 会自动为其创建的发现结果选择位置。

您一次只能在一个位置创建或查看数据。例如，如果您在“全球”(global) 位置列出发现结果，则不会在“欧盟”(eu) 位置看到这些发现结果。

如需创建或查看位于 Security Command Center 位置中的数据，请执行以下操作：

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

gcloud config set api_endpoint_overrides/securitycenter \
    https://securitycenter.me-central2.rep.googleapis.com/

gcloud scc findings list ORGANIZATION_ID --location=sa

gcloud scc findings list ORGANIZATION_ID --location=sa

gcloud scc findings list ORGANIZATION_ID --location=sa

GET https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings" | Select-Object -Expand Content

GET https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings" | Select-Object -Expand Content

后续步骤

• 了解如何启用启用了数据驻留的 Security Command Center。
• 启用 Security Command Center 以将发现结果流式传输到 BigQuery。
• 设置从 Security Command Center 到 Pub/Sub 的持续导出。
• 为发现结果创建忽略规则。