Questa pagina spiega le differenze tra la versione 1 (v1) e la versione 2 (v2) dell'API Security Command Center. Inoltre, spiega come eseguire la migrazione all'API Security Command Center v2, in combinazione con l'API di gestione Security Command Center v1.
Per tutte le integrazioni attuali e future con Security Command Center, ti consigliamo di adottare l'API Security Command Center v2 e l'API Security Command Center Management v1. Ti consigliamo di utilizzare le librerie client di Cloud o il fornitore Terraform di Google Cloud per chiamare queste API. Per ulteriori informazioni, consulta quanto segue:
Terraform
Librerie client
Differenze tra le API v1 e v2
Durante la migrazione all'API Security Command Center v2, tieni presente le seguenti differenze rispetto all'API v1.
Residenza dei dati
L'API Security Command Center 2.0 supporta la residenza dei dati, che ti offre un maggiore controllo sulla posizione dei dati di Security Command Center:
- Per tutte le località, se un tipo di risorsa è soggetto a controlli di residenza dei dati, puoi specificare una località quando chiami i metodi del tipo di risorsa.
- Per le località in cui è applicata la residenza dei dati in uso e in transito, sono disponibili endpoint di servizio regionali per lavorare con i tipi di risorse soggetti ai controlli della residenza dei dati.
Anche se non hai
abilitato la residenza dei dati per la
tua organizzazione, ti consigliamo di chiamare la versione consapevole della posizione di ogni
metodo e di specificare la posizione global. In questo modo, sarà più facile adottare la residenza dei dati in futuro.
Se hai attivato la residenza dei dati per la tua organizzazione, devi utilizzare i metodi attenti alla posizione e, se applicabile, l'endpoint del servizio regionale per la località selezionata.
Per utilizzare la versione basata sulla posizione di ogni metodo:
Console
La console Google Cloud utilizza la versione basata sulla posizione di ogni metodo ogni volta che è necessario.
gcloud
Quando esegui comandi dell'interfaccia a riga di comando gcloud che ti consentono di specificare una località, come gcloud scc findings list, fornisci sempre una località. Esistono diversi modi per farlo:
- Utilizza il flag
--location. - Se fornisci il percorso completo del nome della risorsa, utilizza un formato che specifichi una posizione, ad esempio
projects/123/sources/456/locations/global/findings/a1b2c3.
Terraform
Fornisci sempre l'argomento location per le risorse che lo supportano, come
google_scc_v2_organization_mute_config.
REST
Chiama la versione del metodo con locations nel nome. Ad esempio, chiama organizations.locations.findings.bulkMute anziché organizations.findings.bulkMute.
Librerie client
Consulta gli esempi di codice per Security Command Center o il riferimento all'API per la tua libreria client.
Configurazioni di notifica e configurazioni di esportazione di BigQuery
L'API Security Command Center v1 ti consente di creare e gestire i seguenti tipi di configurazioni di esportazione:
- Configurazioni di notifica, che inviano i risultati a Pub/Sub
- Configurazioni di BigQuery Export, che trasmettono i risultati in BigQuery
Puoi anche creare e gestire queste configurazioni di esportazione con l'API Security Command Center v2. Tuttavia, se crei una configurazione di esportazione con l'API Security Command Center v1, non sarà visibile nell'API Security Command Center v2. Analogamente, se crei una configurazione di esportazione con l'API Security Command Center v2, non è visibile nell'API Security Command Center v1.
Inoltre, le configurazioni di esportazione create con l'API Security Command Center v2 non possono utilizzare il campo source_properties per filtrare i risultati. Devi
utilizzare un altro campo.
Console
Nella console Google Cloud, se è stata creata una configurazione di esportazione con l'API Security Command Center v1, è presente l'etichetta Legacy. Puoi utilizzare la console Google Cloud per gestire queste risorse.
Se crei una nuova configurazione di esportazione nella console Google Cloud, viene sempre creata con l'API Security Command Center 2.
gcloud
Per gestire le configurazioni di esportazione create con l'API Security Command Center v1, non specificare una posizione quando esegui i comandi gcloud CLI come gcloud scc notifications describe:
- Non utilizzare il flag
--location. - Se fornisci il percorso completo per l'ID configurazione, utilizza un formato che
non specifica una posizione, come
organizations/123/notificationConfigs/456. Non utilizzare un formato comeorganizations/123/locations/global/notificationConfigs/456.
Analogamente, per creare o gestire le configurazioni di esportazione con l'API Security Command Center v2, specifica una posizione quando esegui il comando gcloud CLI. Quando crei nuove configurazioni, ti consigliamo di utilizzare l'API Security Command Center v2.
Terraform
Il file di configurazione Terraform definisce le configurazioni di esportazione come risorse v1 o v2. Ad esempio, consulta le risorse per le configurazioni di notifica:
- v1
- v2
Quando crei nuove configurazioni, ti consigliamo di creare risorse v2.
REST
Per gestire le configurazioni di esportazione create con l'API Security Command Center v1, devi utilizzare l'API Security Command Center v1.
Quando crei nuove configurazioni, ti consigliamo di utilizzare l'API Security Command Center v2.
Librerie client
Per gestire le configurazioni di esportazione create con l'API Security Command Center v1, devi utilizzare le librerie client Cloud per l'API Security Command Center v1.
Quando crei nuove configurazioni, ti consigliamo di utilizzare l'API Security Command Center v2.
Servizi integrati e moduli personalizzati
L'API Security Command Center v1 ti consente di visualizzare e aggiornare i seguenti tipi di risorse:
- Servizi integrati di Security Command Center e relativi stati di abilitazione
- Moduli personalizzati per i seguenti servizi integrati:
Per gestire questi tipi di risorse, utilizza l'API Security Command Center Management e le relative librerie client. L'API Security Command Center 2 non può gestire questi tipi di risorse.
Gestione delle attività
Se la tua organizzazione ha attivato Security Command Center prima del 20 giugno 2023, potresti utilizzare l'API Security Command Center v1 per visualizzare gli asset in un'organizzazione, una cartella o un progetto. Queste funzionalità di gestione degli asset di Security Command Center sono ritirate e non sono disponibili nell'API Security Command Center 2.0. Queste funzionalità verranno rimosse dall'API Security Command Center v1 a partire dal 20 giugno 2024.
In alternativa, puoi utilizzare Cloud Asset Inventory per visualizzare i tuoi asset, inclusi i relativi indicatori di sicurezza. Per maggiori dettagli, vedi Elenco asset.
Puoi anche utilizzare l'API Security Command Center v2 per aggiornare i segni di sicurezza per i tuoi asset. I metodi dell'API Security Command Center che aggiornano i contrassegni di sicurezza non sono deprecati.
Aggiorna le librerie client e il provider Terraform
Per aggiornare il codice in modo da utilizzare l'API Security Command Center v2, segui questi passaggi:
Terraform
Installa la versione corrente del provider Terraform per Google Cloud. Per maggiori dettagli, consulta la documentazione del fornitore.
Inoltre, aggiorna il file di configurazione Terraform per creare risorse che inizino con il prefisso google_scc_v2_ o google_scc_management_. Tieni presente
che le seguenti risorse
non sono condivise tra le API v1 e v2:
google_scc_folder_notification_configgoogle_scc_folder_scc_big_query_exportgoogle_scc_notification_configgoogle_scc_organization_scc_big_query_exportgoogle_scc_project_notification_configgoogle_scc_project_scc_big_query_export
Se applichi un piano di esecuzione Terraform che sostituisce queste risorse con le loro equivalenti v2, Terraform eliminerà le configurazioni v1 e ne creerà di nuove v2.
C++
Aggiorna l'applicazione in modo da includere il file di intestazione v2 della libreria client:
#include "google/cloud/securitycenter/v2/security_center_client.h"
Inoltre, aggiorna l'applicazione in modo da utilizzare le classi nello spazio dei nomi v2:
namespace securitycenter = ::google::cloud::securitycenter_v2;
C#
Installa la libreria client 2 e poi aggiorna l'applicazione in modo che la utilizzi:
Install-Package Google.Cloud.SecurityCenter.V2
Go
Installa la libreria client 2 e poi aggiorna l'applicazione in modo che la utilizzi:
go get cloud.google.com/go/securitycenter/apiv2
Java
Installa la versione corrente della libreria client. Per maggiori dettagli, consulta Installare la libreria client.
Inoltre, aggiorna l'applicazione in modo da utilizzare le classi, le interfacce e le enum nel package com.google.cloud.securitycenter.v2.
Node.js
Installa la versione corrente della libreria client. Per maggiori dettagli, vedi Installare la libreria client.
Inoltre, aggiorna l'applicazione in modo che utilizzi
v2.SecurityCenterClient
e le classi, le interfacce e gli enum nello
spazio dei nomi protos.google.cloud.securitycenter.v2.
PHP
Installa la versione corrente della libreria client. Per maggiori dettagli, consulta Installare la libreria client.
Inoltre, aggiorna l'applicazione in modo che utilizzi le classi e le enum nello
spazio dei nomi Google \ Cloud \ SecurityCenter \ V2.
Python
Installa la versione corrente della libreria client. Per maggiori dettagli, consulta Installare la libreria client.
Inoltre, aggiorna l'applicazione in modo da utilizzare le classi nel
package google.cloud.securitycenter_v2.
Ruby
Installa la versione corrente della libreria client. Per maggiori dettagli, consulta Installare la libreria client.
Inoltre, aggiorna l'applicazione in modo da impostare il parametro version su :v2
quando crea un oggetto client.
Se devi gestire in modo programmatico i servizi integrati di Security Command Center e i relativi stati di abilitazione o i moduli personalizzati per Event Threat Detection o Security Health Analytics, devi anche installare una libreria client per l'API Security Command Center Management e aggiornare l'applicazione in modo che utilizzi questa libreria client.