Planejar a residência de dados

A residência de dados oferece mais controle sobre onde os dados do Security Command Center estão localizados. Nesta página, você encontra informações essenciais sobre como o Security Command Center oferece suporte à residência de dados.

As definições a seguir são aplicáveis a esta página:

  • Um local é uma região ou multirregião do Google Cloud. que corresponde ao local em que seus dados estão.
  • O significado do termo seus dados é equivalente ao significado do termo "Dados do cliente" no item Local dos dados na interface do Google Cloud Termos gerais de serviço.

Locais de dados compatíveis

O Security Command Center oferece suporte apenas às seguintes multirregiões do Google Cloud locais de dados:

União Europeia (eu)
Os dados residem em qualquer região do Google Cloud nos estados membros da União Europeia.
Estados Unidos (us)
Os dados residem em qualquer região do Google Cloud nos Estados Unidos.
Reino da Arábia Saudita (KSA) (sa)
Os dados estão em qualquer região do Google Cloud no KSA.
Global (global)
Os dados podem estar em qualquer região do Google Cloud. Se a residência dos dados não for ativado, o local global (global) será o único com suporte.

Para mais informações sobre locais do Security Command Center, consulte Produtos disponíveis por local.

Se você precisa especificar um local padrão para residência de dados que O Security Command Center não oferece suporte, então entre em contato com o representante da sua conta ou um especialista em vendas do Google Cloud.

Requisitos de residência de dados

Você só pode ativar a residência de dados quando: Ativar o nível Standard ou Premium do Security Command Center em uma organização pela primeira vez. O nível Enterprise não oferece suporte à residência de dados.

Depois que a residência de dados for ativada, não será possível desativá-la nem alterar seu padrão o local. Além disso, Resumos de descobertas e caminhos de ataque do Gemini não estão disponíveis.

A residência de dados exige o uso da API Security Command Center v2. Se a residência de dados estiver ativada, não será possível usar versões anteriores da API Security Command Center.

Se você não ativar a residência de dados ao ativar o Security Command Center, ele não vai restringir seus dados a nenhum local específico e eles serão armazenados de acordo com os Termos de Serviço do Google Cloud Platform.

URLs regionais

Para o local do Reino da Arábia Saudita (KSA), use URLs específicos para acessar o console do Google Cloud da jurisdição, além de alguns métodos e comandos na CLI gcloud, nas bibliotecas de cliente do Cloud e na API Security Command Center:

Console

Para acessar o Security Command Center, use o console do Google Cloud jurisdicional, https://console.sa.cloud.google.com/.

O console do Google Cloud jurisdicional permite acessar o Security Command Center na Arábia Saudita e no mundo.

gcloud

Para acessar dados no local da Arábia Saudita, os seguintes grupos de comandos da CLI gcloud exigem que você use o endpoint de serviço regional da API Security Command Center:

Além disso, o gcloud scc operations o grupo de comandos não está disponível para operações de longa duração no no Reino da Arábia Saudita. Por exemplo, não é possível verificar o status de uma operação de longa duração para silenciar resultados em massa.

Para todos os outros grupos de comando gcloud scc, use o endpoint de serviço padrão da API Security Command Center.

Para alternar para o endpoint de serviço regional, execute o seguinte comando:

gcloud config set api_endpoint_overrides/securitycenter \
    https://securitycenter.me-central2.rep.googleapis.com/

Para alternar para o endpoint de serviço padrão, execute o seguinte comando:

gcloud config unset api_endpoint_overrides/securitycenter

Se preferir, crie uma configuração nomeada para a CLI da gcloud que use o endpoint de serviço regional e mude para essa configuração antes de executar comandos do Security Command Center no local da Arábia Saudita. Para mudar para uma configuração nomeada, execute o gcloud config configurations activate kubectl.

REST

Para o local da Arábia Saudita, a API Security Command Center usa o endpoint de serviço regional https://securitycenter.me-central2.rep.googleapis.com/.

Para acessar os seguintes tipos de recursos da API REST no local da Arábia Saudita, use o endpoint de serviço regional do Security Command Center:

Além disso, não é possível chamar métodos para recursos organizations.operations no local da KSA. Por exemplo, não é possível verificar o status de uma operação de longa duração para silenciar resultados em massa.

Para todos os outros tipos de recurso, use o endpoint de serviço padrão da API Security Command Center, https://securitycenter.googleapis.com/.

Bibliotecas de cliente

Para gerenciar os seguintes tipos de recursos no local do KSA, substitua o endpoint de serviço padrão ao criar um cliente para o Security Command Center:

Use o endpoint https://securitycenter.me-central2.rep.googleapis.com para esses recursos tipos

Para todos os outros tipos de recursos, você precisa usar o endpoint de serviço padrão para o API Security Command Center, https://securitycenter.googleapis.com.

Para saber como modificar o endpoint de serviço nas bibliotecas de cliente do Cloud, consulte as instruções Ir e Java

Quando a residência de dados é aplicada

Quando você ativa a residência de dados no Security Command Center, alguns dados são mantidos em um local específico quando estão em um dos seguintes estados:

Residência dos dados em repouso

Os dados estão em repouso quando todos os critérios a seguir são atendidos:

Quando você ativa a residência de dados, o Security Command Center faz o seguinte:

UE, EUA e global

  • Se possível, quando os dados de descobertas estiverem em repouso, o Security Command Center os armazena na multirregião do Google Cloud em que seus recursos estão localizados.

    Caso contrário, quando os dados de descobertas estiverem em repouso, eles serão armazenados no local padrão escolhido.

  • Quando tipos específicos de recursos de configuração estiverem em repouso, O Security Command Center armazena no local padrão que você escolher.

  • Nos casos em que o Security Command Center armazena dados que não são dados do cliente, conforme definido no item Local de dados nos Termos de Serviço gerais do Google Cloud, o Security Command Center armazena os dados em repouso de acordo com os Termos de Serviço do Google Cloud Platform.

KSA

  • Quando uma descoberta é criada para um recurso que reside no local do KSA, ela sempre fica no local do KSA em repouso.
  • Quando uma descoberta é criada para um recurso que está em outro local, ela acaba sendo armazenada no local de repouso da KSA. No entanto, a descoberta pode residir temporariamente em uma região diferente em repouso.
  • Quando você cria tipos específicos de recursos de configuração no local da KSA e esses recursos estiverem em repouso, eles residem no no Reino da Arábia Saudita.
  • Nos casos em que o Security Command Center armazena dados que não são dados do cliente, conforme definido no item Local de dados nos Termos de Serviço gerais do Google Cloud, o Security Command Center armazena os dados em repouso de acordo com os Termos de Serviço do Google Cloud Platform.

Residência dos dados em uso

Os dados estão em uso quando todos os critérios a seguir são atendidos:

  • Os dados são de um tipo de recurso que está sujeito a controles de residência de dados.
  • O Google Cloud está concluindo uma operação iniciada na sua solicitação, por exemplo, porque seu aplicativo chamou a API Security Command Center ou uma operação que produz registros de auditoria ou de transparência no acesso.
  • É possível que o Google Cloud opere nos dados requer conhecimento do significado dos dados, por exemplo, ao atualizar campos específicos em um recurso de configuração. Isso inclui qualquer caso em que os dados não são criptografados na memória.

Quando você ativa a residência de dados, o Security Command Center faz o seguinte:

UE, EUA e mundo inteiro

Na UE, nos EUA e no mundo todo, os dados em uso não estão sujeitos à residência. controles de segurança.

KSA

  • Quando uma descoberta é criada para um recurso que reside KSA, que a descoberta sempre reside no local da KSA em uso.
  • Quando uma descoberta é criada para um recurso que está em outro local, ela acaba sendo armazenada no local do KSA em uso. No entanto, a descoberta pode estar temporariamente em uma região diferente em uso.
  • Quando você cria tipos específicos de recursos de configuração no local da Arábia Saudita e esses recursos estão em uso, eles residem no local da Arábia Saudita.
  • Nos casos em que o Security Command Center armazena dados que não são dados do cliente, conforme definido no item Local de dados nos Termos de Serviço gerais do Google Cloud, o Security Command Center armazena os dados em uso de acordo com os Termos de Serviço do Google Cloud Platform.

Residência de dados em trânsito

Os dados estão em trânsito quando todos os critérios a seguir são atendidos:

  • Os dados são de um tipo de recurso que está sujeito a controles de residência de dados.
  • Os dados são transmitidos, com criptografia, pela rede do Google, ou os dados estiverem na memória, com criptografia, para fins de transmissão dentro da rede do Google.

Quando você ativa a residência de dados, o Security Command Center faz o seguinte:

UE, EUA e global

Na UE, nos EUA e em locais globais, os dados em trânsito não estão sujeitos a controles de residência de dados.

KSA

  • Quando uma descoberta é criada para um recurso que reside no local da Arábia Saudita, ela sempre fica no local da Arábia Saudita em trânsito.
  • Quando uma descoberta é criada para um recurso que reside em outro local, o a descoberta pode ficar no local em trânsito da Arábia Saudita. No entanto, a descoberta pode residir temporariamente em uma região diferente em trânsito.
  • Quando você cria tipos específicos de recursos de configuração no local na KSA e esses recursos estiverem em trânsito, eles residem no no Reino da Arábia Saudita.
  • Nos casos em que o Security Command Center armazena dados que não são dados do cliente, conforme definido no item Local de dados nos Termos de Serviço gerais do Google Cloud, o Security Command Center armazena os dados em trânsito de acordo com os Termos de Serviço do Google Cloud Platform.

Local de dados padrão

Para os locais da UE, dos EUA e globais, quando você ativa a residência de dados do Security Command Center, especifica um local padrão do Security Command Center. Você pode selecionar qualquer local de dados compatível como local padrão.

O Security Command Center usa o local padrão apenas para armazenar descobertas em repouso que se aplicam aos seguintes tipos de recursos:

  • Recursos que não estão localizados em um local de dados com suporte para o Security Command Center
  • Recursos que não especificam um local nos metadados

Se você implantar recursos do Google Cloud em vários locais ou multirregiões, escolha o local global (global) como seu local padrão.

Se você implanta recursos em apenas um local, pode escolher o multirregional, que inclui esse local como padrão.

Recursos e residência de dados do Security Command Center

A lista a seguir explica como o Security Command Center aplica a residência de dados aos recursos do Security Command Center. Se um recurso não estiver listado aqui, eles não estão sujeitos a controles de residência de dados e são armazenados de acordo com os Termos de Serviço do Google Cloud Platform.

Recursos

Os metadados de recursos são armazenados pelo Inventário de recursos do Cloud e não estão sujeitos a controles de residência de dados. Esses dados são armazenados de acordo com os Termos de Serviço do Google Cloud Platform.

Por isso, a página Recursos do Security Command Center na seção O console do Google Cloud sempre mostra todos os recursos da sua organização, pasta ou projeto, independentemente do local em que você selecione no console do Google Cloud. No entanto, quando a residência de dados está ativada, e visualizar os detalhes de um recurso, a página Recursos não exibirá informações sobre as descobertas que afetam o recurso.

Pontuações de exposição a ataques e caminhos de ataque

As pontuações de exposição a ataques e caminhos de ataque não estão sujeitas a controles de residência de dados. Esses dados são armazenados de acordo com os Termos de Serviço do Google Cloud Platform.

Exportações do BigQuery

As configurações de exportação do BigQuery estão sujeitas a controles de residência de dados.

UE, EUA e global

Ao criar esses recursos, você especifica o local em que eles vão ficar. Essas configurações se aplicam somente a descobertas que residem no mesmo o local.

KSA

Use os URLs regionais para criar e gerenciar de configuração do Terraform. Eles residem no local da Arábia Saudita, junto com suas descobertas.

A API Security Command Center representa a exportação do BigQuery de configuração como BiqQueryExport do Google Cloud.

Exportações contínuas

As configurações de exportação contínua estão sujeitas a controles de residência de dados.

UE, EUA e global

Ao criar esses recursos, você especifica o local em que eles vão ficar. Essas configurações se aplicam somente a descobertas que residem no mesmo o local.

KSA

Use os URLs regionais para criar e gerenciar esses recursos de configuração. Ele reside no local da Arábia Saudita, junto com seu descobertas.

A API Security Command Center representa as configurações de exportação contínua como NotificationConfig do Google Cloud.

Descobertas

As descobertas estão sujeitas aos controles de residência de dados.

UE, EUA e mundo inteiro

Quando uma descoberta é criada, ela reside no local do Security Command Center. onde o recurso afetado está localizado.

Se um recurso afetado estiver fora de um local com suporte ou não tiver identificador de local, as descobertas do recurso ficarão seu local padrão.

KSA

Quando uma descoberta é criada para um recurso que reside A descoberta sempre reside no local da KSA.

Quando uma descoberta é criada para um recurso que está em outro local, ela acaba sendo armazenada no local da Arábia Saudita. No entanto, a descoberta pode estar em uma região diferente no momento em que ela é criada.

Para garantir que as descobertas sempre fiquem no local da Arábia Saudita, crie todos os recursos nesse local.

Regras de silenciamento

As configurações de regras de silenciamento estão sujeitas aos controles de residência de dados.

UE, EUA e mundo inteiro

Ao criar esses recursos, você especifica o local em que eles vão ficar. Essas configurações se aplicam somente a descobertas que residem no mesmo o local.

KSA

Use os URLs regionais para criar e gerenciar esses recursos de configuração. Ele reside no local da Arábia Saudita, junto com seu descobertas.

A API Security Command Center representa as configurações de regra de silenciamento como MuteConfig do Google Cloud.

Outros recursos e configurações do Security Command Center

Recursos e configurações do Security Command Center que não estão listados aqui, como aqueles que definem quais serviços estão ativados ou qual nível está ativo, não são sujeitos aos controles de residência de dados. Esses dados são armazenados de acordo com a Termos de Serviço do Google Cloud Platform.

Criar ou visualizar dados em um local

Quando a residência de dados está ativada, você precisa especificar um local ao criar ou visualizar os dados sujeitas aos controles de residência de dados. O Security Command Center escolhe automaticamente um local para as descobertas cria.

Você só pode criar ou visualizar dados em um local por vez. Por exemplo, se você listar as descobertas no local Global (global), você não as verá em local da União Europeia (eu).

Para criar ou visualizar dados que residem em um local do Security Command Center, faça o seguintes:

Console

UE, EUA e global

  1. No console do Google Cloud, acesse o Security Command Center.

    Acesse Security Command Center

  2. Para mudar o local dos dados, clique no seletor de local na barra de ações.

    Uma lista de locais vai aparecer. Selecione o novo local.

KSA

No console do Google Cloud jurisdicional do local da KSA, acesse Security Command Center.

Acesse Security Command Center

gcloud

UE, EUA e global

Use a flag --location=LOCATION ao executar a CLI do Google Cloud, conforme mostrado no exemplo a seguir.

O comando gcloud scc findings list lista as descobertas de uma organização em um local específico.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • ORGANIZATION_ID: o ID numérico da organização
  • LOCATION: o local onde os dados são armazenados. por exemplo, eu ou global

Execute o gcloud scc findings list comando:

Linux, macOS ou Cloud Shell

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows (PowerShell)

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows (cmd.exe)

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

A resposta contém uma lista de descobertas.

KSA

Configure a CLI gcloud para usar o endpoint de serviço regional do local da Arábia Saudita para a API Security Command Center:

gcloud config set api_endpoint_overrides/securitycenter \
    https://securitycenter.me-central2.rep.googleapis.com/

Use a flag --location=sa ao executar a CLI do Google Cloud, conforme mostrado no exemplo a seguir.

O gcloud scc findings list lista as descobertas de uma organização em um local específico.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • ORGANIZATION_ID: o ID numérico da organização

Execute o gcloud scc findings list comando:

Linux, macOS ou Cloud Shell

gcloud scc findings list ORGANIZATION_ID --location=sa

Windows (PowerShell)

gcloud scc findings list ORGANIZATION_ID --location=sa

Windows (cmd.exe)

gcloud scc findings list ORGANIZATION_ID --location=sa

A resposta contém uma lista de descobertas.

REST

UE, EUA e mundo inteiro

Use um endpoint de API que inclua locations/LOCATION no caminho, conforme mostrado no exemplo abaixo.

As APIs do Security Command Center organizations.sources.locations.findings.list lista as descobertas de uma organização em um local específico.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • ORGANIZATION_ID: o ID numérico da organização
  • LOCATION: o local onde os dados são armazenados. Por exemplo, eu ou global.

Método HTTP e URL:

GET https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings

Para enviar a solicitação, expanda uma destas opções:

A resposta contém uma lista de descobertas.

KSA

Use o endpoint de serviço regional para o local da Arábia Saudita para chamar a API, conforme mostrado no exemplo a seguir.

O método organizations.sources.locations.findings.list da API Security Command Center lista as descobertas de uma organização em um local específico.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • ORGANIZATION_ID: o ID numérico da organização

Método HTTP e URL:

GET https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings

Para enviar a solicitação, expanda uma destas opções:

A resposta contém uma lista de descobertas.

A seguir