Planejamento da residência de dados

Se você planeja ativar a residência de dados ao ativar o Security Command Center, a página fornece as informações que você precisa saber.

Só é possível ativar o suporte para residência de dados quando você ativa o nível Premium do Security Command Center pela primeira vez em uma organização. O nível Enterprise não é compatível com a residência de dados.

Depois que a residência de dados é ativada, ela não pode ser desativada.

Quando você ativa a residência de dados no Security Command Center, ele armazena automaticamente as descobertas que podem conter ou referenciar seus dados no local do Security Command Center que corresponde ao local dos recursos.

Da mesma forma, a exportação contínua, as exportações do BigQuery e as configurações de regras de silenciamento, que podem incluir seus dados nos filtros, são armazenadas no local do Security Command Center em que você as cria, onde são aplicáveis apenas às descobertas nesse local.

Uma descoberta é um registro de um problema de segurança que um dos serviços de detecção do Security Command Center detectou no seu ambiente. Um registro de descoberta é composto por propriedades que descrevem o problema de segurança e os recursos afetados por ele.

Um filtro de descoberta seleciona descobertas referenciando as propriedades e os valores da propriedade. Os filtros de descoberta são usados e salvos nas configurações de exportações contínuas (NotificationConfig) e de regras de silenciamento (muteConfig).

No contexto da residência de dados, as seguintes definições se aplicam:

• Um local é uma região ou multirregião do Google Cloud que corresponde ao local em que seus dados são armazenados.
• O significado do termo seus dados é equivalente ao significado do termo "Dados do cliente" no item Local dos dados nos Termos de Serviço Gerais do Google Cloud.

A opção de ativar a residência de dados está disponível nos níveis Standard e Premium do Security Command Center.

Locais de dados com suporte

O Security Command Center oferece suporte apenas às seguintes multirregiões do Google Cloud como local de dados:

União Europeia (eu)

Os dados são armazenados em qualquer região do Google Cloud dentro dos estados membros da União Europeia.

Estados Unidos (us)

Os dados são armazenados em qualquer região do Google Cloud nos Estados Unidos.

Global (global)

Os dados podem ser armazenados ou processados em qualquer região do Google Cloud. Se a residência de dados não estiver ativada, Global será o único local compatível.

Para mais informações sobre os locais do Security Command Center, consulte Produtos disponíveis por local.

Se for necessário especificar um local padrão de residência de dados que não recebe suporte do Security Command Center, entre em contato com o representante da conta ou com um especialista em vendas do Google Cloud.

Permitir a residência de dados durante a ativação

Só é possível ativar a residência de dados quando você ativa o Security Command Center pela primeira vez em uma organização.

Se você não ativar a residência de dados, o local de todos os recursos do Security Command Center será definido como global, e o Security Command Center não vai restringir o armazenamento dos dados a nenhum local específico.

É necessário ativar uma organização.

Depois que a residência de dados for ativada, não será possível desativá-la ou mudar seu local padrão.

Se você ativar o Security Command Center no nível do projeto ou da organização sem ativar a residência de dados ao mesmo tempo, não será possível ativar a residência de dados no Security Command Center posteriormente. Você precisaria criar uma nova organização do Google Cloud para ativar o Security Command Center com residência de dados.

Local dos dados padrão

Quando você ativa a residência de dados do Security Command Center, o único local que precisa especificar é o padrão. Isso ocorre porque o Security Command Center determina onde ele precisa armazenar os dados com base em onde seus recursos são implantados.

O Security Command Center usa o local padrão dele apenas para armazenar descobertas que se aplicam aos seguintes tipos de recursos:

• Recursos que não estão localizados em um local compatível com o Security Command Center
• Recursos que não incluem uma especificação de local nos metadados

É possível selecionar qualquer local de dados compatível como padrão.

Se você é uma empresa global que implanta recursos do Google Cloud em vários locais ou multirregiões, escolha o local global como padrão.

Se sua empresa opera em apenas um local, escolha esse local como o padrão do Security Command Center.

API Security Command Center e residência de dados

A residência de dados requer a API Security Command Center v2.

Se você usar a API Security Command Center quando a residência de dados estiver ativada, a v2 será a única API disponível para uso.

Residência de dados e recursos do Security Command Center

A lista a seguir explica como o Security Command Center aplica os controles de residência de dados aos recursos usados ao trabalhar com ele:

Recursos

Os metadados do recurso não estão sujeitos ao controle de residência de dados. Os metadados de recursos são armazenados globalmente no Inventário de recursos do Cloud.

Por esse motivo, a página Recursos do Security Command Center sempre exibe todos os recursos da sua organização, pasta ou projeto, independentemente do local deles ou do local em que você definiu a visualização do console do Google Cloud. No entanto, quando a residência de dados estiver ativada e você visualizar os detalhes de um recurso, as informações sobre quaisquer descobertas que possam afetar o recurso ficarão indisponíveis na página Recursos.

Pontuações de exposição a ataques e caminhos de ataque

As pontuações de exposição e os caminhos de ataque não estão sujeitos ao controle de residência de dados e são armazenados globalmente.

Exportações do BigQuery

As configurações do BigQuery Export estão sujeitas a controles de residência de dados e são armazenadas no local em que são criadas. Elas se aplicam apenas a descobertas residentes no mesmo local.

Exportações contínuas

As configurações de exportação contínua estão sujeitas a controles de residência de dados e são armazenadas no local em que você as cria. Elas se aplicam apenas a descobertas residentes no mesmo local.

Descobertas

As descobertas estão sujeitas aos controles de residência de dados e são armazenadas no local do Security Command Center em que o recurso afetado está localizado. Se um recurso afetado estiver fora de um local com suporte ou não tiver um identificador de local, todas as descobertas da instância do recurso serão armazenadas no local padrão.

Regras de silenciamento

As configurações da regra de silenciamento estão sujeitas aos controles de residência de dados e são armazenadas no local em que foram criadas. Elas se aplicam apenas a descobertas residentes no mesmo local.

Configurações do Security Command Center

A maioria das configurações do Security Command Center, como as que definem quais serviços estão ativados ou qual nível está ativo, não está sujeita aos controles de residência de dados e é armazenada globalmente. Uma exceção são as configurações das exportações do BigQuery, as exportações contínuas para o Pub/Sub e as regras de silenciamento. Essas configurações são específicas do local em que são criadas.

Como visualizar dados de localização no console do Google Cloud

Quando a residência de dados é ativada e você seleciona um local no console do Google Cloud, cada página do Security Command Center exibe descobertas, regras de silenciamento e exportações contínuas apenas do local selecionado.

Por exemplo, ao selecionar a visualização global, você verá apenas dados globais. Para ver descobertas, regras de silenciamento ou exportações contínuas de outro local, altere a exibição do console do Google Cloud para o outro local.

Determinar o local dos dados após a ativação

O local em que as descobertas e configurações do Security Command Center que contêm seus dados são armazenadas é determinado em alguns pontos depois que a residência dos dados é ativada:

• Quando você ou o Security Command Center gera ou cria uma descoberta ou configuração.
• Quando você visualiza ou recupera uma descoberta ou configuração.

Determinar o local ao criar configurações

Quando você cria uma exportação contínua, o BigQuery Export ou uma regra de silenciamento, o Security Command Center armazena a configuração resultante como um recurso. Uma configuração de exportação contínua é armazenada como um recurso NotificationConfig, uma configuração de exportação do BigQuery é armazenada como um recurso BiqQueryExport e uma configuração de regra de silenciamento é armazenada como um recurso MuteConfig.

Antes de criar uma configuração de exportação ou uma regra de silenciamento, selecione o local em que elas serão criadas. O local selecionado é o local em que residem as descobertas que você quer exportar ou silenciar.

No console do Google Cloud, é preciso definir a visualização do console do Google Cloud no local apropriado antes de criar uma regra de exportação contínua ou de silenciamento.

Ao criar uma regra de silenciamento ou exportações contínuas usando a API Security Command Center ou a Google Cloud CLI, especifique o local na chamada de API ou no comando gcloud usado para criar a configuração notificationConfig ou muteConfig.

Para mais informações sobre como criar configurações, consulte:

• Crie uma exportação contínua:
  • Exportações contínuas
  • Como criar e gerenciar configurações de notificação usando a API
  • gcloud scc notifications create
• Crie uma regra de silenciamento:
  • Criar regras de silenciamento
  • gcloud scc muteconfigs create

Determinar o local quando as descobertas são geradas

Quando um dos serviços do Security Command Center detecta um problema de segurança no ambiente, o Security Command Center determina onde armazenar a descoberta resultante com base no local do recurso afetado.

Se o recurso afetado estiver em um local de dados compatível com o Security Command Center, o Security Command Center armazenará a descoberta no mesmo local.

Se o recurso afetado não estiver em um local de dados compatível ou não especificar um local nos metadados, o Security Command Center armazenará a descoberta no local de dados padrão que você especificou quando a residência de dados foi ativada.

Como determinar o local ao visualizar os dados do Security Command Center

Para acessar descobertas, regras de silenciamento e exportações contínuas de um local específico no console do Google Cloud, primeiro defina a visualização do console do Google Cloud para esse local.

Você define o local de visualização no canto superior esquerdo da maioria das páginas do Security Command Center no console do Google Cloud, logo abaixo do seletor de projetos:

Quando a visualização do console do Google Cloud está definida como um local, o console do Google Cloud exibe apenas as descobertas, regras de silenciamento e exportações contínuas que residem no local.

Para recuperar descobertas ou configurações usando a API ou a CLI gcloud, é necessário especificar o local em que as descobertas ou configurações são armazenadas.

Suporte à residência de dados para recursos e integrações

Quando a residência de dados está ativada, os seguintes recursos, funções e integrações com outros produtos não têm suporte:

• Resumos da IA
• Web Security Scanner
• Detecção rápida de vulnerabilidades
• Terraform

A seguir

Para saber como ativar o Security Command Center com a residência de dados ativada, consulte Ativar o Security Command Center em uma organização pela primeira vez.