Se usó la API de Cloud Translation para traducir esta página.

Planifica la residencia de datos

La residencia de datos te da más control sobre la ubicación de tus datos de Security Command Center. ubicado. En esta página, se proporciona información esencial sobre cómo Security Command Center ayuda a la residencia de los datos.

Las siguientes definiciones se aplican a esta página:

Una ubicación es una región o multirregión de Google Cloud. que corresponda a la ubicación en la que se encuentran sus datos.
El significado del término tus datos es equivalente al significado del término. “Datos del cliente”: en el elemento Ubicación de los datos de Google Cloud Condiciones Generales del Servicio.

Ubicaciones de datos admitidas

Security Command Center solo admite las siguientes multirregiones de Google Cloud como ubicaciones de datos:

Unión Europea (eu): Los datos residen en cualquier región de Google Cloud dentro de los estados miembros del Unión Europea.
United States (us): Los datos residen en cualquier región de Google Cloud en Estados Unidos.
Reino de Arabia Saudita (KSA) (sa): Los datos residen en cualquier región de Google Cloud en KSA.
Global (global): Los datos pueden residir en cualquier región de Google Cloud. Si la residencia de los datos no es entonces Global (global) es la única ubicación admitida.

Para obtener más información sobre las ubicaciones de Security Command Center, consulta Productos disponibles por ubicación.

Si necesitas especificar una ubicación predeterminada para la residencia de datos que Security Command Center no admite, comunícate con tu representante de cuenta o con un especialista en ventas de Google Cloud.

Requisitos para la residencia de datos

Puedes habilitar la residencia de datos solo cuando activas el nivel Estándar o Premium de Security Command Center en una organización por primera vez. El nivel Enterprise no admite la residencia de datos.

Después de habilitar la residencia de datos, no puedes inhabilitarla ni cambiar la configuración predeterminada ubicación. Además, Resúmenes de Gemini de los hallazgos y las rutas de ataque no están disponibles.

La residencia de datos requiere que uses la API de Security Command Center v2. Si los datos la residencia está habilitada, no puedes usar versiones anteriores del API de Security Command Center.

Si no habilitas la residencia de datos cuando activas Security Command Center, Security Command Center no restringe tus datos a ninguna ubicación en particular. se almacena de conformidad con la Condiciones del Servicio de Google Cloud Platform.

URLs regionales

Para la ubicación del Reino de Arabia Saudita (KSA), debes usar URLs específicas de ubicación para lo siguiente: acceder a la consola jurisdiccional de Google Cloud, así como a algunos métodos y comandos en gcloud CLI, las bibliotecas cliente de Cloud y la API de Security Command Center:

Console

Para acceder a Security Command Center, usa la consola de Google Cloud de la jurisdicción, https://console.sa.cloud.google.com/.

La consola jurisdiccional de Google Cloud te permite acceder a Security Command Center en las ubicaciones globales y de KSA.

gcloud

Para acceder a los datos en la ubicación de Arabia Saudita, los siguientes grupos de comandos de la CLI de gcloud requieren que uses el extremo de servicio regional de la API de Security Command Center:

gcloud scc bqexports: Administra las configuraciones de exportación de BigQuery.
gcloud scc findings: administra los resultados.
gcloud scc muteconfigs: administra parámetros de configuración de reglas de silencio
gcloud scc notifications: administra parámetros de configuración de exportación continua

Además, el grupo de comandos gcloud scc operations no está disponible para operaciones de larga duración en la ubicación de Arabia Saudita. Por ejemplo, no puedes verificar el estado de una red para silenciar resultados de forma masiva.

Para todos los demás grupos de comandos gcloud scc, debes usar el extremo de servicio predeterminado de la API de Security Command Center.

Para cambiar al extremo de servicio regional, ejecuta el siguiente comando:

gcloud config set api_endpoint_overrides/securitycenter \
    https://securitycenter.me-central2.rep.googleapis.com/

Para cambiar al extremo de servicio predeterminado, ejecuta el siguiente comando:

gcloud config unset api_endpoint_overrides/securitycenter

Si lo prefieres, puedes crear configuración con nombre para gcloud CLI que use el extremo del servicio regional, luego, cambia a esa configuración nombrada antes de ejecutar comandos de Security Command Center en Ubicación de KSA. Para cambiar a una configuración con nombre, ejecuta el gcloud config configurations activate .

REST

Para la ubicación de Arabia Saudita, la API de Security Command Center usa el extremo de servicio regional https://securitycenter.me-central2.rep.googleapis.com/.

Para acceder a los siguientes tipos de recursos de la API de REST en la ubicación de Arabia Saudita, debes usar el extremo de servicio regional de Security Command Center:

Además, no puedes llamar a ningún método para los recursos organizations.operations en la ubicación de Arabia Saudita. Por ejemplo, no puedes verificar el estado de una operación de larga duración para silenciar resultados de forma masiva.

Para todos los demás tipos de recursos, debes usar el extremo de servicio predeterminado para el API de Security Command Center, https://securitycenter.googleapis.com/.

Bibliotecas cliente

Para administrar los siguientes tipos de recursos en la ubicación de KSA, debes anular el extremo del servicio predeterminado cuando creas un cliente para Security Command Center:

Usar el extremo https://securitycenter.me-central2.rep.googleapis.com para estos recursos de tipos de datos.

Para todos los demás tipos de recursos, debes usar el extremo de servicio predeterminado para el API de Security Command Center, https://securitycenter.googleapis.com.

Para aprender a anular el extremo del servicio en las bibliotecas cliente de Cloud, consulta las instrucciones para Go y Java.

Cuándo se aplica la residencia de datos

Cuando habilitas la residencia de datos para Security Command Center, los datos se guardan en una ubicación específica cuando se encuentran en una de las siguientes ubicaciones: estados:

En reposo: Todas las ubicaciones admitidas
En uso: Solo KSA (sa)
En tránsito: Solo KSA (sa)

Residencia de los datos en reposo

Los datos están en reposo cuando se cumplen todos los siguientes criterios:

Los datos corresponden a un tipo de recurso que se sujetos a controles de residencia de datos.
No solicitaste una operación que requiera acceso a los datos.
No se está accediendo a los datos de una manera que genere registros de auditoría ni registros de Transparencia de acceso.

Cuando habilitas la residencia de datos, Security Command Center hace lo siguiente:

UE, EE.UU. y global

Si es posible, cuando los datos de los hallazgos están en reposo, Security Command Center los almacena en la multirregión de Google Cloud en la que se encuentran tus recursos.

De lo contrario, cuando los datos de los hallazgos están en reposo, se almacenan ubicación predeterminada que elijas.
Cuando se crean los recursos de configuración están en reposo, Security Command Center los almacena en la ubicación predeterminada que elijas.
En los casos en que Security Command Center almacena datos que no son Datos del Cliente, según se define en el artículo Ubicación de los Datos de las Condiciones Generales del Servicio de Google Cloud, Security Command Center almacena los datos inactivos de acuerdo con las Condiciones del Servicio de Google Cloud Platform.

KSA

Cuando se crea un hallazgo para un recurso que reside en la ubicación de KSA, ese hallazgo siempre reside en la ubicación de KSA en reposo.
Cuando se crea un hallazgo para un recurso que reside en otra ubicación, el hallazgo reside en la ubicación en reposo de la KSA. Sin embargo, el hallazgo podría residir temporalmente en una región en reposo diferente.
Cuando creas tipos específicos de recursos de configuración en la ubicación de Arabia Saudita y esos recursos están inactivos, residen en la ubicación de Arabia Saudita.
En los casos en que Security Command Center almacene datos que no sean datos del cliente, como definido en el elemento Ubicación de los datos en Google Cloud Condiciones generales del servicio, Security Command Center almacena las datos en reposo de acuerdo con el Condiciones del Servicio de Google Cloud Platform.

Residencia de datos en uso

Los datos están en uso cuando se cumplen todos los siguientes criterios:

Los datos corresponden a un tipo de recurso que se sujetos a controles de residencia de datos.
Google Cloud completa una operación que se inició con tu solicitud (por ejemplo, porque tu aplicación llamó a la API de Security Command Center)o una operación que produce registros de auditoría o registros de Transparencia de acceso.
Es posible que Google Cloud opere en los datos de una manera que requiera conocimiento del significado de los datos, por ejemplo, actualizando campos específicos en un recurso de configuración. Esto incluye cualquier caso en el que los datos no estén encriptados en la memoria.

Cuando habilitas la residencia de datos, Security Command Center hace lo siguiente:

UE, EE.UU. y global

En la UE, EE.UU. y ubicaciones globales, los datos en uso no están sujetos a la residencia de los datos. controles de seguridad.

KSA

Cuando se crea un hallazgo para un recurso que reside en el Ubicación de KSA, que siempre se encuentra en la ubicación de KSA en uso.
Cuando se crea un hallazgo para un recurso que reside en otra ubicación, este finalmente reside en la ubicación de Arabia Saudita en uso. Sin embargo, Es posible que el hallazgo resida temporalmente en otra región en uso.
Cuando creas tipos específicos de recursos de configuración ubicación de KSA y esos recursos están en uso, se encuentran en Ubicación de KSA.
En los casos en que Security Command Center almacene datos que no sean datos del cliente, como definido en el elemento Ubicación de los datos en Google Cloud Condiciones generales del servicio, Security Command Center almacena las datos en uso de acuerdo con el Condiciones del Servicio de Google Cloud Platform.

Residencia de datos en tránsito

Los datos están en tránsito cuando se cumplen todos los criterios que se indican a continuación:

Los datos corresponden a un tipo de recurso que está sujeto a controles de residencia de datos.
Los datos se transmiten, con encriptación, dentro de la red de Google, o los datos están en la memoria, con encriptación, para transmitirlos dentro de la red de Google.

Cuando habilitas la residencia de datos, Security Command Center hace lo siguiente:

UE, EE.UU. y global

En las ubicaciones de la UE, EE.UU. y globales, los datos en tránsito no están sujetos a controles de residencia de datos.

KSA

Cuando se crea un hallazgo para un recurso que reside en el Ubicación de KSA, que siempre se encuentra en la ubicación de KSA en tránsito.
Cuando se crea un hallazgo para un recurso que reside en otra ubicación, el del hallazgo residirán en la ubicación de la KSA en tránsito. Sin embargo, el hallazgo podría residir temporalmente en una región diferente en tránsito.
Cuando creas tipos específicos de recursos de configuración en la ubicación de Arabia Saudita y esos recursos están en tránsito, residen en la ubicación de Arabia Saudita.
En los casos en que Security Command Center almacene datos que no sean datos del cliente, como definido en el elemento Ubicación de los datos en Google Cloud Condiciones generales del servicio, Security Command Center almacena las datos en tránsito de conformidad con el Condiciones del Servicio de Google Cloud Platform.

Ubicación de datos predeterminada

Para las ubicaciones de la UE, EE.UU. y el mundo, cuando habilitas la residencia de datos de Security Command Center, especificas una ubicación predeterminada de Security Command Center. Puedes seleccionar cualquier ubicación de datos compatible como tu ubicación predeterminada.

Security Command Center usa la ubicación predeterminada solo para almacenar los resultados en reposo que se aplican a los siguientes tipos de recursos:

Los recursos que no se encuentran en una ubicación de datos admitida para Security Command Center
Recursos que no especifican una ubicación en sus metadatos

Si implementas recursos de Google Cloud en varias ubicaciones o regiones, puedes elegir la ubicación global (global) como predeterminada.

Si implementas recursos solo en una ubicación, podrías elegir la multirregional que incluya esa ubicación como la predeterminada.

Recursos y residencia de datos de Security Command Center

En la siguiente lista, se explica cómo Security Command Center aplica controles de residencia de datos a los recursos de Security Command Center. Si un recurso no aparece aquí, no estará sujeta a controles de residencia de datos y se almacenará de conformidad con las Condiciones del Servicio de Google Cloud Platform.

Recursos

Cloud Asset Inventory almacena los metadatos de activos y no está sujeta a controles de residencia de datos. Estos datos se almacenan de conformidad con con las Condiciones del Servicio de Google Cloud Platform.

Por este motivo, la página Recursos de Security Command Center en la La consola de Google Cloud siempre muestra todos los recursos de tu organización, carpeta o proyecto, sin importar su ubicación o la ubicación en la que seleccionar en la consola de Google Cloud. Sin embargo, cuando la residencia de datos está habilitada, y ves los detalles de un activo, la página Activos no muestra datos sobre los resultados que afectan al recurso.

Puntuaciones de exposición a ataques y rutas de ataque

Puntuaciones de exposición a ataques y rutas de ataque y no están sujetos a controles de residencia de datos. Estos datos se almacenan de conformidad con con las Condiciones del Servicio de Google Cloud Platform.

Exportaciones de BigQuery

Las configuraciones de exportación de BigQuery están sujetas a controles de residencia de datos.

UE, EE.UU. y global

Cuando creas estos recursos, especificas la ubicación en la que residen. Estas configuraciones solo se aplican a los resultados que residen en la misma ubicación.

KSA

Usa las URLs regionales para crear y administrar estas URLs de configuración de Terraform. Se encuentran en la ubicación de Arabia Saudita, junto con tus hallazgos.

La API de Security Command Center representa la exportación de BigQuery parámetros de configuración como BiqQueryExport de Google Cloud.

Exportaciones continuas

Las configuraciones de exportación continua están sujetas a controles de residencia de datos.

UE, EE.UU. y global

Cuando creas estos recursos, especificas la ubicación en la que residen. Estas configuraciones solo se aplican a los resultados que residen en la misma ubicación.

KSA

Usa las URLs regionales para crear y administrar estas URLs de configuración de Terraform. Residen en la ubicación de KSA, junto con tu de los resultados de búsqueda.

La API de Security Command Center representa configuraciones de exportación continua como NotificationConfig de Google Cloud.

Resultados

Los hallazgos están sujetos a controles de residencia de datos.

UE, EE.UU. y global

Cuando se crea un hallazgo, reside en la ubicación de Security Command Center en la que se encuentra el recurso afectado.

Si un recurso afectado está fuera de una ubicación admitida no tiene un identificador de ubicación, los resultados del recurso residen en tu ubicación predeterminada.

KSA

Cuando se crea un hallazgo para un recurso que reside en la ubicación de KSA, este siempre reside en la ubicación de KSA.

Cuando se crea un hallazgo para un recurso que reside en otra ubicación, este finalmente reside en la ubicación de Arabia Saudita. Sin embargo, es posible que el hallazgo resida en una región diferente en el momento en que se crea.

Para garantizar que los hallazgos siempre estén en la ubicación de KSA, crear todos los recursos en la ubicación de KSA.

Reglas de silencio

Las configuraciones de las reglas de silencio están sujetas a los controles de residencia de datos.

UE, EE.UU. y global

Cuando creas estos recursos, especificas la ubicación en la que residen. Estas configuraciones solo se aplican a los resultados que residen en la misma ubicación.

KSA

Usa las URLs regionales para crear y administrar estos recursos de configuración. Se encuentran en la ubicación de Arabia Saudita, junto con tus hallazgos.

La API de Security Command Center representa los parámetros de configuración de reglas de silencio, como MuteConfig de Google Cloud.

Otros recursos y parámetros de configuración de Security Command Center

Los recursos y parámetros de configuración de Security Command Center que no se enumeran aquí, como aquellas que definen qué servicios están habilitados o qué nivel está activo, no se sujeta a controles de residencia de datos. Estos datos se almacenan de conformidad con la Condiciones del Servicio de Google Cloud Platform.

Cómo crear o ver datos en una ubicación

Cuando la residencia de datos está habilitada, debes especificar una ubicación cuando crees o veas datos que están sujetos a controles de residencia de datos. Security Command Center elige automáticamente una ubicación para los hallazgos crea.

Solo puedes crear o ver datos en una ubicación a la vez. Por ejemplo, si enumerar los hallazgos en la ubicación Global (global), entonces no verás resultados en la ubicación de la Unión Europea (eu).

Para crear o ver datos que residen en una ubicación de Security Command Center, sigue estos pasos: lo siguiente:

Console

UE, EE.UU. y global

En la consola de Google Cloud, ve a Security Command Center.

Ir a Security Command Center
Para cambiar la ubicación de los datos, haz clic en el selector de ubicación de la barra de acciones.

Aparecerá una lista de ubicaciones. Selecciona la nueva ubicación.

KSA

En la consola jurisdiccional de Google Cloud para la ubicación de KSA, ve a Security Command Center.

Ir a Security Command Center

gcloud

UE, EE.UU. y global

Usa la marca --location=LOCATION cuando ejecutes Google Cloud CLI, como se muestra en el siguiente ejemplo.

El gcloud scc findings list enumera los hallazgos de una organización en una ubicación específica.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

ORGANIZATION_ID: El ID numérico de la organización
LOCATION: Es la ubicación en la que se almacenan los datos. por ejemplo, eu o global

Ejecuta el gcloud scc findings list :

Linux, macOS o Cloud Shell

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows (PowerShell)

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows (cmd.exe)

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

La respuesta contiene una lista de hallazgos.

KSA

Configura gcloud CLI para usar el balanceador de cargas regional de la ubicación de KSA extremo de servicio para la API de Security Command Center:

gcloud config set api_endpoint_overrides/securitycenter \
    https://securitycenter.me-central2.rep.googleapis.com/

Luego, debes usar la marca --location=sa cuando ejecutes el Google Cloud CLI, como se muestra en el siguiente ejemplo.

El gcloud scc findings list enumera los hallazgos de una organización en una ubicación específica.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

ORGANIZATION_ID: El ID numérico de la organización

Ejecuta el comando gcloud scc findings list: :

Linux, macOS o Cloud Shell

gcloud scc findings list ORGANIZATION_ID --location=sa

Windows (PowerShell)

gcloud scc findings list ORGANIZATION_ID --location=sa

Windows (cmd.exe)

gcloud scc findings list ORGANIZATION_ID --location=sa

La respuesta contiene una lista de hallazgos.

REST

UE, EE.UU. y global

Usa un extremo de API que incluya locations/LOCATION en la ruta, como se muestra en el siguiente ejemplo.

Las APIs de Security Command Center organizations.sources.locations.findings.list enumera los hallazgos de una organización en una ubicación específica.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

ORGANIZATION_ID: El ID numérico de la organización
LOCATION: Es la ubicación en la que se almacenan los datos. por ejemplo, eu o global

Método HTTP y URL:

GET https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Nota: Con el siguiente comando, se supone que accediste a la CLI de gcloud con tu cuenta de usuario a través de la ejecución de gcloud init o gcloud auth login, o a través del uso de Cloud Shell, que accede de forma automática a la CLI de gcloud. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Ejecuta el siguiente comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings"

PowerShell (Windows)

Nota: El siguiente comando supone que accediste a la CLI de gcloud con tu cuenta de usuario mediante la ejecución de gcloud init o gcloud auth login. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings" | Select-Object -Expand Content

La respuesta contiene una lista de hallazgos.

KSA

Usa el extremo de servicio regional de la ubicación de KSA para llamar a la API, como se muestra en el siguiente ejemplo.

Las APIs de Security Command Center organizations.sources.locations.findings.list enumera los hallazgos de una organización en una ubicación específica.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

ORGANIZATION_ID: El ID numérico de la organización

Método HTTP y URL:

GET https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Ejecuta el siguiente comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings"

PowerShell (Windows)

Ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings" | Select-Object -Expand Content

La respuesta contiene una lista de hallazgos.

¿Qué sigue?

Aprende a hacer lo siguiente: Activar Security Command Center con la residencia de datos habilitada.
Habilita Security Command Center para que transmita los resultados a BigQuery.
Configuración exportaciones continuas de Security Command Center a Pub/Sub.
Crea una regla de silenciamiento para los hallazgos.