La résidence des données vous permet de mieux contrôler l'emplacement de vos données Security Command Center. Ce document fournit des informations essentielles sur la façon dont Security Command Center prend en charge la résidence des données.
Les définitions suivantes s'appliquent à ce document :
- Un emplacement est une Google Cloud région ou une zone multirégionale qui correspond à l'emplacement où se trouvent vos données.
- La signification du terme vos données équivaut à celle du terme "Données client" dans l'élément Emplacement des données des Conditions générales du service Google Cloud.
Pour savoir comment utiliser les ressources Security Command Center lorsque la résidence des données est activée, consultez Points de terminaison régionaux Security Command Center.
Emplacements de données acceptés
Cette section décrit les emplacements de données que vous pouvez utiliser pour Security Command Center et les services associés.
Emplacements des données Security Command Center
Lorsque vous activez la résidence des données, l'API Security Command Center est compatible avec lesGoogle Cloud multirégions suivantes en tant qu'emplacements de données :
- Union européenne (
eu
) - Les données résident dans n'importe quelle Google Cloud région des États membres de l'Union européenne.
- Royaume d'Arabie saoudite (KSA) (
sa
) - Les données résident dans n'importe quelle région Google Cloud d'Arabie saoudite.
- États-Unis (
us
)
Les données - résident dans n'importe quelle région Google Cloud des États-Unis.
Si vous utilisez le niveau de service Standard ou Premium, la mise à niveau vers le niveau Enterprise ne modifie pas l'emplacement de vos données Security Command Center. Si vous n'avez pas activé la résidence des données Security Command Center pour le niveau Standard ou Premium, vous ne pourrez pas l'activer lorsque vous passerez au niveau Enterprise.
Pour en savoir plus sur les emplacements Security Command Center, consultez Produits disponibles par emplacement.
Si vous devez spécifier un emplacement par défaut pour la résidence des données que Security Command Center ne prend pas en charge, contactez votre responsable de compte ou un Google Cloud spécialiste des ventes.
Emplacements des données Google SecOps
Pour Google Security Operations, la résidence des données est toujours activée. Pour savoir où résident les données Google SecOps, consultez la liste des emplacements Google SecOps.
Emplacements des données Model Armor
Pour Model Armor, la résidence des données est toujours activée.
L'API Model Armor fournit des points de terminaison régionaux dans les emplacements suivants :
- Union européenne
europe-west4
: Pays-BasFaibles émissions de CO2
- États-Unis
us-central1
: IowaFaibles émissions de CO2
us-east1
: Caroline du Sudus-east4
: Virginie du Nordus-west1
: Oregon <0x- Asie-Pacifique
asia-southeast1
: Singapour (compatible uniquement avec la résidence des données au repos)
L'API Model Armor fournit des points de terminaison multirégionaux dans les emplacements suivants :
- Union européenne
eu
- États-Unis
us
Fonctionnalités compatibles
En général, une fois que vous avez activé la résidence des données pour Security Command Center, vous pouvez utiliser toutes les fonctionnalités incluses dans votre niveau de service. Seules certaines ressources Security Command Center sont soumises aux contrôles de résidence des données.
Pour le niveau de service Enterprise de Security Command Center, si vous activez la résidence des données, les fonctionnalités suivantes ne sont pas disponibles :
Exigences en matière de résidence des données
Cette section explique les exigences concernant l'utilisation de la résidence des données dans Security Command Center et les services associés.
Exigences pour Security Command Center
Vous ne pouvez activer la résidence des données pour Security Command Center que lorsque vous activez Security Command Center pour une organisation pour la première fois. Une fois la résidence des données activée, vous ne pouvez plus la désactiver.
La résidence des données nécessite l'utilisation de l'API Security Command Center v2. Si la résidence des données est activée, vous ne pouvez pas utiliser les versions antérieures de l'API Security Command Center.
Si vous n'activez pas la résidence des données lorsque vous activez Security Command Center, Security Command Center ne limite pas vos données à un emplacement particulier. Elles sont stockées conformément aux Conditions d'utilisation de Google Cloud Platform.
Configuration requise pour Google SecOps
Pour Google SecOps, la résidence des données est activée par défaut. Vous ne pouvez pas désactiver la résidence des données pour Google SecOps.
Exigences concernant Model Armor
Pour Model Armor, la résidence des données est activée par défaut. Vous ne pouvez pas désactiver la résidence des données pour Model Armor.
Comment et quand la résidence des données est-elle appliquée ?
Lorsque vous activez la résidence des données pour Security Command Center, certaines données Security Command Center sont conservées dans un emplacement spécifié lorsqu'elles se trouvent dans l'un des états suivants :
Une fois que vous avez activé la résidence des données et sélectionné un emplacement pour les données, Security Command Center effectue les opérations suivantes :
- Lorsqu'un résultat est créé pour une ressource située à l'emplacement spécifié, il réside toujours dans votre emplacement de données.
- Lorsqu'un résultat est créé pour une ressource qui réside dans un autre emplacement, il finit par résider dans votre emplacement de données. Toutefois, le résultat peut résider temporairement dans une autre région.
- Lorsque vous créez des types spécifiques de ressources de configuration dans votre emplacement de données, elles y résident.
- Dans les cas où Security Command Center stocke des données qui ne sont pas des Données client, telles que définies dans l'élément Emplacement des données des Conditions d'utilisation générales des services, Security Command Center stocke les données conformément aux Conditions d'utilisation de Google Cloud Platform. Google Cloud
Résidence des données au repos
Les données sont au repos lorsque tous les critères suivants sont remplis :
- Les données concernent un type de ressource soumis aux contrôles de résidence des données.
- Vous n'avez pas demandé d'opération nécessitant l'accès aux données.
- Les données ne sont pas consultées de manière à générer des journaux d'audit ni des journaux Access Transparency.
Résidence des données en cours d'utilisation
Les données sont en cours d'utilisation lorsque tous les critères suivants sont remplis :
- Les données concernent un type de ressource soumis aux contrôles de résidence des données.
- Google Cloud est en train d'effectuer une opération que vous avez demandée (par exemple, parce que votre application a appelé l'API Security Command Center) ou une opération qui produit des journaux d'audit ou des journaux Access Transparency.
- Il est possible que Google Cloud fonctionne sur les données d'une manière qui nécessite de connaître la signification des données, par exemple en mettant à jour des champs spécifiques dans une ressource de configuration. Cela inclut tous les cas où les données ne sont pas chiffrées en mémoire.
Résidence des données en transit
Les données sont en transit lorsque tous les critères suivants sont remplis :
- Les données concernent un type de ressource soumis aux contrôles de résidence des données.
- Les données sont transmises, avec chiffrement, dans le réseau de Google, ou les données sont en mémoire, avec chiffrement, dans le but de les transmettre dans le réseau de Google.
Ressources Security Command Center et résidence des données
La liste suivante explique comment Security Command Center applique les contrôles de résidence des données aux ressources Security Command Center. Si une ressource n'est pas listée ici, elle n'est pas soumise aux contrôles de résidence des données et est stockée conformément aux Conditions d'utilisation de Google Cloud Platform.
- Exportations BigQuery
Les configurations d'exportation BigQuery sont soumises aux contrôles de résidence des données. Utilisez les points de terminaison régionaux pour créer et gérer ces ressources de configuration.
L'API Security Command Center représente les configurations d'exportation BigQuery sous forme de ressources
BiqQueryExport
.- Exportations continues
Les configurations d'exportation continue sont soumises aux contrôles de résidence des données. Utilisez les points de terminaison régionaux pour créer et gérer ces ressources de configuration.
L'API Security Command Center représente les configurations d'exportation continue sous forme de ressources
NotificationConfig
.- Résultats
Les résultats sont soumis aux contrôles de résidence des données.
Lorsqu'un résultat est créé pour une ressource qui réside dans l'emplacement de données que vous avez sélectionné, il réside toujours au même emplacement.
Lorsqu'un résultat est créé pour une ressource située dans un autre emplacement, il finit par résider dans l'emplacement de données que vous avez sélectionné. Toutefois, il est possible que le résultat se trouve dans une autre région au moment de sa création.
Pour conserver tous les résultats dans votre emplacement de données, créez toujours toutes vos ressourcesGoogle Cloud dans cet emplacement.
- Ressources Google SecOps
Tous les ressources Google SecOps sont soumis aux contrôles de résidence des données. Utilisez les points de terminaison régionaux pour créer et gérer ces ressources de configuration.
- Ressources Model Armor
Les ressources Model Armor sont toutes soumises à des contrôles de résidence des données. Utilisez les points de terminaison régionaux pour créer et gérer ces ressources de configuration.
- Règles de masquage
Les configurations des règles de mise en sourdine sont soumises aux contrôles de résidence des données. Utilisez les points de terminaison régionaux pour créer et gérer ces ressources de configuration.
L'API Security Command Center représente les configurations de règles de désactivation en tant que ressources
MuteConfig
.- Autres ressources et paramètres Security Command Center
Les ressources et paramètres Security Command Center qui ne sont pas listés ici, tels que ceux qui définissent les services activés ou le niveau actif, ne sont pas soumis aux contrôles de résidence des données. Ces données sont stockées conformément aux Conditions d'utilisation de Google Cloud Platform.
Créer ou afficher des données dans un lieu
Lorsque la résidence des données est activée, vous devez spécifier un emplacement lorsque vous créez ou consultez des données soumises aux contrôles de résidence des données. Security Command Center choisit automatiquement un emplacement pour les résultats qu'il crée.
Vous ne pouvez créer ou afficher des données que dans un seul emplacement à la fois. Par exemple, si vous listez des résultats dans l'emplacement États-Unis (us
), vous ne verrez pas les résultats dans l'emplacement Union européenne (eu
).
Pour savoir comment créer ou afficher des données soumises à des contrôles de résidence des données, consultez À propos de la console Google Cloud et Outils pour les points de terminaison régionaux.
Étapes suivantes
- Découvrez comment activer Security Command Center avec la résidence des données activée.
- Découvrez comment utiliser les points de terminaison régionaux Security Command Center.
- Activez Security Command Center pour diffuser les résultats vers BigQuery.
- Configurez des exportations continues de Security Command Center vers Pub/Sub.
- Créez une règle Ignorer pour les résultats.