Questa pagina è stata tradotta dall'API Cloud Translation.

Pianificazione della residenza dei dati

La residenza dei dati ti offre un maggiore controllo sulla posizione dei dati di Security Command Center. Questa pagina fornisce informazioni essenziali su come Security Command Center supporta la residenza dei dati.

A questa pagina si applicano le definizioni seguenti:

Una località è una regione o più regioni di Google Cloud corrispondente alla posizione in cui si trovano i dati.
Il significato del termine i tuoi dati è equivalente al significato del termine "Dati del cliente" nell'elemento Posizione dei dati dei Termini di servizio generali di Google Cloud.

Posizioni dei dati supportate

Security Command Center supporta solo le seguenti regioni multiple di Google Cloud come posizioni dei dati:

Unione Europea (eu): I dati risiedono in qualsiasi regione Google Cloud all'interno degli stati membri di Unione Europea.
Stati Uniti (us): I dati si trovano in qualsiasi regione Google Cloud negli Stati Uniti.
Regno dell'Arabia Saudita (KSA) (sa): I dati si trovano in qualsiasi regione Google Cloud dell'Arabia Saudita.
Globale (global): I dati possono trovarsi in qualsiasi regione Google Cloud. Se la residenza dei dati non è attivata, la località supportata è solo Globale (global).

Per ulteriori informazioni sulle sedi di Security Command Center, consulta Prodotti disponibili in base alla località.

Se devi specificare una località predefinita per la residenza dei dati Security Command Center non supporta, quindi contatta il tuo rappresentante dell'account oppure un esperto delle vendite di Google Cloud.

Requisiti per la residenza dei dati

Puoi attivare la residenza dei dati solo quando attivi il livello Standard o Premium di Security Command Center in un'organizzazione per la prima volta. Il livello Enterprise non supporta la residenza dei dati.

Una volta attivata la residenza dei dati, non puoi disattivarla né modificare la località predefinita. Inoltre, i riepiloghi di Gemini dei risultati e dei percorsi di attacco non sono disponibili.

La residenza dei dati richiede l'uso dell'API Security Command Center v2. Se i dati la residenza sia abilitata, quindi non puoi usare le versioni precedenti API Security Command Center.

Se non attivi la residenza dei dati quando attivi Security Command Center, Security Command Center non limita i tuoi dati a una determinata località e questi vengono archiviati in conformità ai Termini di servizio della piattaforma Google Cloud.

URL regionali

Per la località del Regno dell'Arabia Saudita (Arabia Saudita), devi utilizzare URL specifici per località per accedere alla console Google Cloud giurisdizionale, nonché ad alcuni metodi e comandi in gcloud CLI, le librerie client di Cloud e l'API Security Command Center:

Console

Per accedere a Security Command Center, utilizza la console Google Cloud di competenza, https://console.sa.cloud.google.com/.

La console Google Cloud giurisdizionale ti consente di accedere a Security Command Center in Arabia Saudita e in tutto il mondo.

gcloud

Per accedere ai dati nella località dell'Arabia Saudita, utilizza gcloud CLI seguente gruppi di comandi richiedono di utilizzare l'impostazione endpoint di servizio per l'API Security Command Center:

gcloud scc bqexports: gestisce le configurazioni di BigQuery Export
gcloud scc findings: gestisce i risultati
gcloud scc muteconfigs: gestisce disattiva configurazioni delle regole
gcloud scc notifications: gestisce le configurazioni di esportazione continua

Inoltre, la classe gcloud scc operations non è disponibile per le operazioni a lunga esecuzione Località in Arabia Saudita. Ad esempio, non puoi controllare lo stato di un'operazione di lunga durata per disattivare collettivamente i risultati.

Per tutti gli altri gruppi di comandi gcloud scc, devi utilizzare l'endpoint del servizio predefinito per l'API Security Command Center.

Per passare all'endpoint di servizio a livello di regione, esegui questo comando:

gcloud config set api_endpoint_overrides/securitycenter \
    https://securitycenter.me-central2.rep.googleapis.com/

Per passare all'endpoint di servizio predefinito, esegui questo comando:

gcloud config unset api_endpoint_overrides/securitycenter

Se preferisci, puoi creare una configurazione denominata per l'interfaccia a riga di comando gcloud che utilizza l'endpoint di servizio regionale, quindi passare a questa configurazione denominata prima di eseguire i comandi di Security Command Center nella località KSA. Per passare a una configurazione con nome, esegui gcloud config configurations activate .

REST

Per la località in Arabia Saudita, l'API Security Command Center utilizza l'endpoint di servizio a livello di regione https://securitycenter.me-central2.rep.googleapis.com/.

Per accedere ai seguenti tipi di risorse API REST nella località Arabia Saudita, devi utilizzare l'endpoint di servizio regionale per Security Command Center:

Inoltre, non è possibile chiamare nessun metodo organizations.operations nella località dell'Arabia Saudita. Ad esempio, non puoi controllare lo stato di un'operazione di lunga durata per disattivare collettivamente i risultati.

Per tutti gli altri tipi di risorse, devi utilizzare l'endpoint di servizio predefinito per l'API Security Command Center, https://securitycenter.googleapis.com/.

Librerie client

Per gestire i seguenti tipi di risorse nella località dell'Arabia Saudita, devi eseguire l'override l'endpoint di servizio predefinito quando crei un client per Security Command Center:

Utilizza l'endpoint https://securitycenter.me-central2.rep.googleapis.com per questi tipi di risorse.

Per tutti gli altri tipi di risorse, devi utilizzare l'endpoint di servizio predefinito per API Security Command Center, https://securitycenter.googleapis.com.

Per scoprire come eseguire l'override dell'endpoint di servizio nelle librerie client di Cloud, consulta le istruzioni per Go e Java.

Quando viene applicata la residenza dei dati

Quando abiliti la residenza dei dati per Security Command Center, alcuni vengono conservati all'interno di una località specificata quando si trovano in una delle seguenti situazioni: stati:

A riposo: tutte le località supportate
In uso: solo Arabia Saudita (sa)
In transito: solo Arabia Saudita (sa)

Residenza dei dati at-rest

I dati sono at-rest quando vengono soddisfatti tutti i seguenti criteri:

I dati si riferiscono a un tipo di risorsa soggetti a controlli di residenza dei dati.
Non hai richiesto un'operazione che richiede l'accesso ai dati.
I dati non sono accessibili in un modo che produce log di controllo o Log di Access Transparency.

Quando attivi la residenza dei dati, Security Command Center esegue le seguenti operazioni:

UE, USA e globale

Se possibile, quando i dati dei risultati sono inattivi, Security Command Center li archivia in l'area multiregionale di Google Cloud in cui le risorse individuarlo.

In caso contrario, quando i dati dei risultati sono inattivi, vengono archiviati nella posizione predefinita che scegli.
Quando tipi specifici di risorse di configurazione non sono in uso, Security Command Center le memorizza nella posizione predefinita che scegli.
Nei casi in cui Security Command Center archivia dati diversi dai Dati dei clienti, come definita nell'elemento Località dei dati in Google Cloud Termini di servizio generali, Security Command Center archivia i ai dati at-rest in conformità con Termini di servizio della piattaforma Google Cloud.

KSA

Quando viene creato un risultato per una risorsa che risiede nella Località in Arabia Saudita, il risultato si trova sempre nella località dell'Arabia Saudita a riposo.
Quando viene creato un rilevamento per una risorsa che si trova in un'altra posizione, il rilevamento viene archiviato nella posizione di riposo dell'Arabia Saudita. Tuttavia, il risultato potrebbe trovarsi temporaneamente in un'altra regione at-rest.
Quando crei tipi specifici di risorse di configurazione nella località KSA e queste risorse sono inattive, risiedono nella località KSA.
Nei casi in cui Security Command Center archivia dati diversi dai Dati dei clienti, come definita nell'elemento Località dei dati in Google Cloud Termini di servizio generali, Security Command Center archivia i ai dati at-rest in conformità con Termini di servizio della piattaforma Google Cloud.

Residenza dei dati in uso

I dati sono in uso quando sono soddisfatti tutti i seguenti criteri:

I dati si riferiscono a un tipo di risorsa soggetti a controlli di residenza dei dati.
Google Cloud sta completando un'operazione avviata su tua richiesta, ad esempio perché la tua applicazione ha chiamato l'API Security Command Center, o un'operazione che genera log di controllo o log di Access Transparency.
Google Cloud può operare sui dati in un modo che richiede la conoscenza del loro significato, ad esempio aggiornando campi specifici in una risorsa di configurazione. Sono inclusi tutti i casi in cui non è criptato in memoria.

Quando abiliti la residenza dei dati, Security Command Center fa quanto segue:

UE, Stati Uniti e globali

Nelle località dell'UE, degli Stati Uniti e a livello globale, i dati in uso non sono soggetti ai controlli relativi alla residenza dei dati.

Arabia Saudita

Quando viene creato un risultato per una risorsa che risiede nella Località in Arabia Saudita, il risultato si trova sempre nella località dell'Arabia Saudita in uso.
Quando viene creato un rilevamento per una risorsa che si trova in un'altra posizione, il rilevamento si trova infine nella posizione KSA in uso. Tuttavia, il risultato potrebbe risiedere temporaneamente in un'altra regione in uso.
Quando crei tipi specifici di risorse di configurazione località dell'Arabia Saudita, e queste risorse sono in uso, risiedono nella Località in Arabia Saudita.
Nei casi in cui Security Command Center archivia dati diversi dai Dati dei clienti, come definita nell'elemento Località dei dati in Google Cloud Termini di servizio generali, Security Command Center archivia i dati in uso in conformità con Termini di servizio della piattaforma Google Cloud.

Residenza dei dati in transito

I dati sono in transito quando sono soddisfatti tutti i seguenti criteri:

I dati si riferiscono a un tipo di risorsa sottoposta a controlli relativi alla residenza dei dati.
I dati vengono trasmessi, con crittografia, all'interno della rete Google, oppure che i dati siano in memoria, con crittografia, allo scopo di trasmettere all'interno della rete Google.

Quando attivi la residenza dei dati, Security Command Center esegue le seguenti operazioni:

UE, Stati Uniti e a livello globale

Nelle località dell'UE, degli Stati Uniti e di tutto il mondo, i dati in transito non sono soggetti alla residenza dei dati i controlli di sicurezza.

Arabia Saudita

Quando viene creato un risultato per una risorsa che risiede nella Località in Arabia Saudita, il risultato si trova sempre nella località dell'Arabia Saudita in transito.
Quando viene creato un rilevamento per una risorsa che si trova in un'altra località, il rilevamento si trova infine nella località KSA in transito. Tuttavia, il risultato potrebbe trovarsi temporaneamente in una regione in transito diversa.
Quando crei tipi specifici di risorse di configurazione nella località KSA e queste risorse sono in transito, risiedono nella località KSA.
Nei casi in cui Security Command Center memorizzi dati che non sono Dati dei clienti, come definito nell'elemento Località dei dati dei Termini di servizio generali di Google Cloud, Security Command Center memorizza i dati in transito in conformità con i Termini di servizio della piattaforma Google Cloud.

Posizione predefinita dei dati

Per le località dell'UE, degli Stati Uniti e globali, quando attivi la residenza dei dati di Security Command Center, specifica una località predefinita per Security Command Center. Puoi selezionare qualsiasi località dei dati supportata come località predefinita.

Security Command Center utilizza la posizione predefinita solo per archiviare i risultati a riposo che si applicano ai seguenti tipi di risorse:

Risorse che non si trovano in una posizione dei dati supportata per Security Command Center
Risorse che non specificano una posizione nei metadati

Se esegui il deployment delle risorse Google Cloud in più località o in più regioni, puoi scegliere la località globale (global) come predefinita.

Se esegui il deployment delle risorse in una sola località, puoi scegliere come predefinita la regione multipla che include quella località.

Risorse di Security Command Center e residenza dei dati

Il seguente elenco spiega in che modo Security Command Center applica la residenza dei dati di controllo alle risorse di Security Command Center. Se una risorsa non è elencata qui, non è soggetto a controlli di residenza dei dati e viene archiviato in conformità con i Termini di servizio della piattaforma Google Cloud.

Asset

I metadati degli asset vengono archiviati da Cloud Asset Inventory e non è soggetta a controlli di residenza dei dati. Questi dati vengono archiviati in conformità ai Termini di servizio della piattaforma Google Cloud.

Per questo motivo, la pagina Asset di Security Command Center nella La console Google Cloud mostra sempre tutte le risorse nella tua organizzazione, una cartella o un progetto, a prescindere da dove si trovano nella console Google Cloud. Tuttavia, quando è abilitata la residenza dei dati, e visualizzi i dettagli di una risorsa, la pagina Risorse non mostra informazioni sui risultati che interessano la risorsa.

Punteggi di esposizione agli attacchi e percorsi di attacco

Punteggi di esposizione agli attacchi e percorsi di attacco non sono soggetti a controlli di residenza dei dati. Questi dati vengono archiviati in conformità con i Termini di servizio della piattaforma Google Cloud.

Esportazioni BigQuery

Le configurazioni di BigQuery Export sono soggette a controlli della residenza dei dati.

UE, Stati Uniti e globali

Quando crei queste risorse, specifica la posizione in cui si trovano. Queste configurazioni si applicano solo ai risultati che si trovano nella stessa posizione.

Arabia Saudita

Utilizza gli URL regionali per creare e gestire queste risorse di configurazione. Si trovano nella località in Arabia Saudita, insieme al tuo i risultati.

L'API Security Command Center rappresenta l'esportazione BigQuery configurazioni come BiqQueryExport Google Cloud.

Esportazioni continue

Le configurazioni di esportazione continua sono soggette a controlli della residenza dei dati.

UE, Stati Uniti e globali

Quando crei queste risorse, specifica la posizione in cui si trovano. Queste configurazioni si applicano solo ai risultati che si trovano nella stessa posizione.

Arabia Saudita

Utilizza gli URL regionali per crearli e gestirli di configurazione delle risorse. Si trovano nella località dell'Arabia Saudita, insieme ai risultati.

L'API Security Command Center rappresenta le configurazioni dell'esportazione continua NotificationConfig Google Cloud.

Risultati

I risultati sono soggetti a controlli di residenza dei dati.

UE, USA e globale

Quando viene creato, un risultato si trova nella località di Security Command Center in cui si trova la risorsa interessata.

Se una risorsa interessata si trova al di fuori di una località supportata o non ha un identificatore della località, i risultati relativi alla risorsa si trovano nella tua località predefinita.

Arabia Saudita

Quando viene creato un risultato per una risorsa che risiede nella Località in Arabia Saudita, il risultato risiede sempre nella località dell'Arabia Saudita.

Quando viene creato un rilevamento per una risorsa che si trova in un'altra località, il rilevamento si trova infine nella località KSA. Tuttavia, al momento della creazione, il rilevamento potrebbe trovarsi in una regione diversa.

Per contribuire ad assicurare che i risultati si trovino sempre nella località KSA, crea tutte le risorse nella località KSA.

Regole di disattivazione

Le configurazioni delle regole di disattivazione sono soggette ai controlli della residenza dei dati.

UE, USA e globale

Quando crei queste risorse, specifica la posizione in cui si trovano. Queste configurazioni si applicano solo ai risultati che si trovano nella stessa posizione.

KSA

Utilizza gli URL regionali per crearli e gestirli di configurazione delle risorse. Si trovano nella località dell'Arabia Saudita, insieme ai risultati.

L'API Security Command Center rappresenta le configurazioni delle regole di disattivazione come risorse MuteConfig.

Altre risorse e impostazioni di Security Command Center

le risorse e le impostazioni di Security Command Center non elencate qui, ad esempio quelle che definiscono quali servizi sono abilitati o quale livello è attivo, soggetti a controlli di residenza dei dati. Questi dati vengono archiviati in conformità con i Termini di servizio della piattaforma Google Cloud.

Creare o visualizzare dati in una località

Quando la residenza dei dati è attivata, devi specificare una località quando crei o visualizza i dati soggetti ai controlli della residenza dei dati. Security Command Center sceglie automaticamente una località per i risultati che crea.

Puoi creare o visualizzare i dati in una sola posizione alla volta. Ad esempio, se elenca i risultati nella località Globale (global), non li vedrai nella località dell'Unione Europea (eu).

Per creare o visualizzare i dati che risiedono in una località di Security Command Center, procedi nel seguente modo: seguenti:

Console

UE, Stati Uniti e a livello globale

Nella console Google Cloud, vai a Security Command Center.

Vai a Security Command Center
Per modificare la località dei dati, fai clic sul selettore della località nella barra delle azioni.

Viene visualizzato un elenco di località. Seleziona la nuova posizione.

KSA

Nella console Google Cloud giurisdizionale per la località dell'Arabia Saudita, vai a Security Command Center.

Andare a Security Command Center

gcloud

UE, USA e globale

Utilizza il flag --location=LOCATION quando esegui Google Cloud CLI, come mostrato nell'esempio seguente.

La gcloud scc findings list che elenca i risultati di un'organizzazione in una località specifica.

Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

ORGANIZATION_ID: l'ID numerico dell'organizzazione
LOCATION: la posizione in cui sono archiviati i dati; ad esempio eu oppure global

Esegui la gcloud scc findings list :

Linux, macOS o Cloud Shell

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows (PowerShell)

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows (cmd.exe)

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

La risposta contiene un elenco di risultati.

KSA

Configura l'interfaccia a riga di comando gcloud in modo da utilizzare l'endpoint di servizio regionale della località KSA per l'API Security Command Center:

gcloud config set api_endpoint_overrides/securitycenter \
    https://securitycenter.me-central2.rep.googleapis.com/

Devi quindi utilizzare il flag --location=sa quando esegui Google Cloud CLI, come mostrato nell'esempio seguente.

La gcloud scc findings list che elenca i risultati di un'organizzazione in una località specifica.

Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

ORGANIZATION_ID: l'ID numerico dell'organizzazione

Esegui il comando gcloud scc findings list :

Linux, macOS o Cloud Shell

gcloud scc findings list ORGANIZATION_ID --location=sa

Windows (PowerShell)

gcloud scc findings list ORGANIZATION_ID --location=sa

Windows (cmd.exe)

gcloud scc findings list ORGANIZATION_ID --location=sa

La risposta contiene un elenco di risultati.

REST

UE, Stati Uniti e a livello globale

Utilizza un endpoint API che includa locations/LOCATION nel percorso, come mostrato nell'esempio seguente.

L'API Security Command Center organizations.sources.locations.findings.list che elenca i risultati di un'organizzazione in una località specifica.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

ORGANIZATION_ID: l'ID numerico dell'organizzazione
LOCATION: la posizione in cui sono archiviati i dati; ad esempio, eu o global

Metodo HTTP e URL:

GET https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Nota: Il comando seguente presuppone che tu abbia eseguito l'accesso a l'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che ti consente di accedere automaticamente all'interfaccia a riga di comando gcloud di Google. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings"

PowerShell (Windows)

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso alla CLI gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings" | Select-Object -Expand Content

La risposta contiene un elenco di risultati.

Arabia Saudita

Utilizza l'endpoint di servizio regionale per la località KSA per chiamare l'API, come показано nell'esempio seguente.

L'API Security Command Center organizations.sources.locations.findings.list che elenca i risultati di un'organizzazione in una località specifica.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

ORGANIZATION_ID: l'ID numerico dell'organizzazione

Metodo HTTP e URL:

GET https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che ti consente di accedere automaticamente all'interfaccia a riga di comando gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings"

PowerShell (Windows)

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings" | Select-Object -Expand Content

La risposta contiene un elenco di risultati.

Passaggi successivi

Scopri come attivare Security Command Center con la residenza dei dati abilitata.
Abilita Security Command Center per trasmettere i risultati a BigQuery.
Configura le esportazioni continue da Security Command Center a Pub/Sub.
Crea una regola di disattivazione per i risultati.