Diese Seite wurde von der Cloud Translation API übersetzt.

Datenstandort planen

Mit dem Datenstandort haben Sie mehr Kontrolle darüber, wo sich Ihre Security Command Center-Daten befinden. In diesem Dokument finden Sie wichtige Informationen dazu, wie Security Command Center den Datenstandort unterstützt.

Die folgenden Definitionen gelten für dieses Dokument:

Ein Standort ist eine Google Cloud Region oder Multiregion, die dem Speicherort Ihrer Daten entspricht.
Die Bedeutung des Begriffs Ihre Daten entspricht der Bedeutung des Begriffs „Kundendaten“ im Abschnitt Datenspeicherort der allgemeinen Nutzungsbedingungen für Google Cloud.

Informationen zum Arbeiten mit Security Command Center-Ressourcen, wenn der Datenstandort aktiviert ist, finden Sie unter Regionale Security Command Center-Endpunkte.

Unterstützte Datenspeicherorte

In diesem Abschnitt werden die Datenspeicherorte beschrieben, die Sie für Security Command Center und zugehörige Dienste verwenden können.

Security Command Center-Datenspeicherorte

Wenn Sie den Datenstandort aktivieren, unterstützt die Security Command Center API die folgendenGoogle Cloud -Multi-Regionen als Datenspeicherorte:

Europäische Union (eu): Daten befinden sich in einer Google Cloud Region in Mitgliedstaaten der Europäischen Union.
Saudi-Arabien (sa): Die Daten befinden sich in einer beliebigen Google Cloud Region in Saudi-Arabien.
Vereinigte Staaten (us): Die Daten befinden sich in einer beliebigen Google Cloud Region in den USA.

Weitere Informationen zu Security Command Center-Standorten finden Sie unter Produktverfügbarkeit nach Standort.

Wenn Sie einen Standardspeicherort für den Datenstandort angeben müssen, der von Security Command Center nicht unterstützt wird, wenden Sie sich an Ihren Kundenbetreuer oder einen Google Cloud -Vertriebsspezialisten.

Speicherorte von Model Armor-Daten

Für Model Armor ist der Datenstandort immer aktiviert.

Die Model Armor API bietet regionale Endpunkte an den folgenden Standorten:

Europäische Union: europe-west4: Niederlande Niedriger CO₂-Wert
USA: us-central1: Iowa Niedrige CO₂-Bilanz; us-east1: South Carolina; us-east4: Northern Virginia; us-west1: Oregon <0x

Die Model Armor API bietet Multiregionen-Endpunkte an den folgenden Standorten:

Europäische Union: eu
USA: us

Anforderungen an den Datenstandort

In diesem Abschnitt werden die Anforderungen für die Verwendung des Datenstandorts in Security Command Center und zugehörigen Diensten erläutert.

Voraussetzungen für Security Command Center

Sie können den Datenstandort für Security Command Center nur aktivieren, wenn Sie die Standard- oder Premium-Stufe für eine Organisation zum ersten Mal aktivieren. Die Datenresidenz wird in der Enterprise-Version nicht unterstützt.

Nachdem die Datenlokalisierung aktiviert wurde, kann sie nicht mehr deaktiviert werden.

Für den Datenstandort müssen Sie die Security Command Center API v2 verwenden. Wenn der Datenspeicherort aktiviert ist, können Sie keine früheren Versionen der Security Command Center API verwenden.

Wenn Sie den Datenstandort nicht aktivieren, wenn Sie Security Command Center aktivieren, werden Ihre Daten in Security Command Center nicht auf einen bestimmten Standort beschränkt und gemäß den Nutzungsbedingungen für die Google Cloud Platform gespeichert.

Voraussetzungen für Model Armor

Für Model Armor ist der Datenstandort standardmäßig aktiviert. Die Datenresidenz für Model Armor kann nicht deaktiviert werden.

So wird der Datenstandort erzwungen

Wenn Sie den Datenstandort für Security Command Center aktivieren, werden einige Security Command Center-Daten an einem bestimmten Ort gespeichert, wenn sie sich in einem der folgenden Zustände befinden:

Im Ruhezustand
Wird verwendet
Unterwegs

Nachdem Sie den Datenstandort aktiviert und einen Datenspeicherort ausgewählt haben, führt Security Command Center die folgenden Schritte aus:

Wenn ein Befund für eine Ressource erstellt wird, die sich am angegebenen Standort befindet, wird er immer an Ihrem Datenstandort gespeichert.
Wenn ein Befund für eine Ressource erstellt wird, die sich an einem anderen Standort befindet, wird er schließlich an Ihrem Datenstandort gespeichert. Die Informationen können sich jedoch vorübergehend in einer anderen Region befinden.
Wenn Sie bestimmte Arten von Konfigurationsressourcen an Ihrem Datenspeicherort erstellen, werden sie dort gespeichert.
Wenn in Security Command Center Daten gespeichert werden, die nicht als Kundendaten gemäß dem Abschnitt Datenspeicherort in den allgemeinen Nutzungsbedingungen definiert sind, werden die Daten in Security Command Center gemäß den Google Cloud Platform-Nutzungsbedingungen gespeichert. Google Cloud

Datenstandort (im Ruhezustand)

Daten sind inaktiv, wenn alle folgenden Kriterien erfüllt sind:

Die Daten beziehen sich auf einen Ressourcentyp, der Kontrollen für den Datenstandort unterliegt.
Sie haben keinen Vorgang angefordert, für den auf die Daten zugegriffen werden muss.
Auf die Daten wird nicht so zugegriffen, dass Audit-Logs oder Access Transparency-Logs erstellt werden.

Datenstandort (in Verwendung)

Daten sind in Verwendung, wenn alle folgenden Kriterien erfüllt sind:

Die Daten beziehen sich auf einen Ressourcentyp, der Kontrollen für den Datenstandort unterliegt.
Google Cloud führt einen Vorgang aus, der auf Ihre Anfrage hin initiiert wurde, z. B. weil Ihre Anwendung die Security Command Center API aufgerufen hat, oder einen Vorgang, der Audit-Logs oder Access Transparency-Logs erzeugt.
Google Cloud kann die Daten so verarbeiten, dass Kenntnisse der Bedeutung der Daten erforderlich sind, z. B. durch Aktualisieren bestimmter Felder in einer Konfigurationsressource. Dazu gehört jeder Fall, in dem Daten im Arbeitsspeicher unverschlüsselt sind.

Datenstandort bei der Übertragung

Daten werden übertragen, wenn alle folgenden Kriterien erfüllt sind:

Die Daten beziehen sich auf einen Ressourcentyp, der Kontrollen für den Datenstandort unterliegt.
Die Daten werden verschlüsselt innerhalb des Google-Netzwerks übertragen oder die Daten befinden sich verschlüsselt im Arbeitsspeicher, um innerhalb des Google-Netzwerks übertragen zu werden.

Security Command Center-Ressourcen und Datenstandort

In der folgenden Liste wird erläutert, wie Security Command Center Kontrollen für den Speicherort von Daten auf Security Command Center-Ressourcen anwendet. Wenn eine Ressource hier nicht aufgeführt ist, unterliegt sie nicht den Kontrollen zur Datenansässigkeit und wird gemäß den Nutzungsbedingungen für die Google Cloud Platform gespeichert.

BigQuery-Exporte

BigQuery-Exportkonfigurationen unterliegen den Kontrollen für den Datenstandort. Verwenden Sie die regionalen Endpunkte, um diese Konfigurationsressourcen zu erstellen und zu verwalten.

In der Security Command Center API werden BigQuery-Exportkonfigurationen als BiqQueryExport-Ressourcen dargestellt.

Kontinuierliche Exporte

Konfigurationen für den kontinuierlichen Export unterliegen den Datenstandortkontrollen. Verwenden Sie die regionalen Endpunkte, um diese Konfigurationsressourcen zu erstellen und zu verwalten.

In der Security Command Center API werden Konfigurationen für kontinuierliche Exporte als NotificationConfig-Ressourcen dargestellt.

Ergebnisse

Die Ergebnisse unterliegen den Kontrollen für den Datenstandort.

Wenn ein Ergebnis für eine Ressource erstellt wird, die sich am ausgewählten Datenstandort befindet, befindet sich das Ergebnis immer am selben Standort.

Wenn ein Befund für eine Ressource erstellt wird, die sich an einem anderen Standort befindet, wird er schließlich am von Ihnen ausgewählten Datenspeicherort gespeichert. Die Problembeschreibung kann jedoch zum Zeitpunkt der Erstellung in einer anderen Region vorhanden sein.

Damit sich die Ergebnisse immer an Ihrem Datenspeicherort befinden, sollten Sie alle Google Cloud Ressourcen an diesem Speicherort erstellen.

Model Armor-Ressourcen

Alle Model Armor-Ressourcen unterliegen den Datenstandortkontrollen. Verwenden Sie die regionalen Endpunkte, um diese Konfigurationsressourcen zu erstellen und zu verwalten.

Ausblendungsregeln

Konfigurationen von Ausblendungsregeln unterliegen den Kontrollen für den Datenstandort. Verwenden Sie die regionalen Endpunkte, um diese Konfigurationsressourcen zu erstellen und zu verwalten.

In der Security Command Center API werden Konfigurationen für Ausblendregeln als MuteConfig-Ressourcen dargestellt.

Weitere Security Command Center-Ressourcen und -Einstellungen

Security Command Center-Ressourcen und -Einstellungen, die hier nicht aufgeführt sind, z. B. solche, die definieren, welche Dienste aktiviert sind oder welche Stufe aktiv ist, unterliegen nicht den Datenstandortkontrollen. Diese Daten werden gemäß den Nutzungsbedingungen für die Google Cloud Platform gespeichert.

Daten an einem Ort erstellen oder ansehen

Wenn der Datenstandort aktiviert ist, müssen Sie einen Speicherort angeben, wenn Sie Daten erstellen oder ansehen, die den Datenstandortkontrollen unterliegen. Security Command Center wählt automatisch einen Speicherort für die erstellten Ergebnisse aus.

Sie können Daten jeweils nur an einem Standort erstellen oder ansehen. Wenn Sie beispielsweise Ergebnisse für den Standort „USA“ (us) auflisten, werden keine Ergebnisse für den Standort „Europäische Union“ (eu) angezeigt.

Informationen zum Erstellen oder Aufrufen von Daten, die den Kontrollen zur Datenresidenz unterliegen, finden Sie unter Informationen zur Gerichtsbarkeitskonsole und Tools für regionale Endpunkte. Google Cloud

Nächste Schritte

Security Command Center mit aktiviertem Datenstandort aktivieren
Regionale Endpunkte für Security Command Center verwenden
Aktivieren Sie Security Command Center, um Ergebnisse in BigQuery zu streamen.
Kontinuierliche Exporte aus Security Command Center nach Pub/Sub einrichten.
Erstellen Sie eine Ausblendungsregel für Ergebnisse.