La residencia de datos te da más control sobre dónde se almacena tu Security Command Center hallazgos y otros datos. Cuando habilitas la residencia de datos, Security Command Center hace lo siguiente:
Si es posible, Security Command Center almacena los hallazgos en el Multirregión de Google Cloud donde se encuentran tus recursos ubicado.
De lo contrario, los resultados se almacenan en una ubicación predeterminada que elijas.
Security Command Center almacena algunos tipos de recursos de configuración en una ubicación que elijas.
En todos los demás casos, Security Command Center almacena tus datos de forma global.
En esta página, se proporciona información esencial sobre el uso de la residencia de los datos. El las siguientes definiciones se aplican a esta página:
- Una ubicación es una región o multirregión de Google Cloud que corresponde a la ubicación en la que se almacenan tus datos.
- El significado del término tus datos es equivalente al significado del término. “Datos del cliente”: en el elemento Ubicación de los datos de Google Cloud Condiciones Generales del Servicio.
Requisitos para la residencia de datos
Puedes habilitar la residencia de datos solo cuando activar el nivel Estándar o Premium de Security Command Center en una organización por primera vez. El nivel Enterprise no admite la residencia de datos.
Después de habilitar la residencia de datos, no puedes inhabilitarla ni cambiar la configuración predeterminada ubicación.
La residencia de datos requiere que uses la API de Security Command Center v2. Si los datos la residencia está habilitada, no puedes usar versiones anteriores del API de Security Command Center.
Cuando la residencia de datos está habilitada, no se admiten las siguientes funciones, integraciones ni funciones con otros productos:
- Resúmenes creados con IA
- Web Security Scanner
- Terraform
Si no habilitas la residencia de datos cuando activas Security Command Center,
La ubicación de los recursos de Security Command Center se estableció en Global (global).
y Security Command Center no restringe el almacenamiento de tus datos a
ubicación determinada.
Ubicaciones de datos admitidas
Security Command Center solo admite las siguientes multirregiones de Google Cloud como ubicaciones de datos:
- Unión Europea (
eu) - Los datos se almacenan en cualquier región de Google Cloud dentro de los estados miembros de la Unión Europea.
- United States (
us) - Los datos se almacenan en cualquier región de Google Cloud en Estados Unidos.
- Global (
global) - Los datos se pueden almacenar o procesar en cualquier región de Google Cloud. Si los datos
la residencia no está habilitada, entonces la global (
global) es la única admitida ubicación.
Para obtener más información sobre las ubicaciones de Security Command Center, consulta Productos disponibles por ubicación.
Si necesitas especificar una ubicación predeterminada para la residencia de datos que Security Command Center no es compatible. Comunícate con tu representante de cuenta o un especialista en ventas de Google Cloud.
Ubicación predeterminada de los datos
Cuando habilitas la residencia de datos de Security Command Center, especificas una Ubicación de Security Command Center. Puedes seleccionar cualquiera ubicación de datos admitida como ubicación predeterminada.
Security Command Center usa la ubicación predeterminada solo para almacenar los resultados que correspondan a los siguientes tipos de recursos:
- Recursos que no se encuentran en una ubicación de datos compatible para Security Command Center
- Recursos que no especifican una ubicación en sus metadatos
Si implementas recursos de Google Cloud en varias ubicaciones o regiones, puedes elegir la ubicación global (global) como predeterminada.
Si implementas recursos solo en una ubicación, puedes elegir la que incluya esa ubicación como la predeterminada.
Recursos y residencia de datos de Security Command Center
En la siguiente lista, se explica cómo Security Command Center aplica la residencia de datos en los recursos de Security Command Center. Si un recurso no aparece aquí, se almacena de forma global.
- Recursos
Los metadatos de activos no están sujetos al control de residencia de datos y se almacenan a nivel global en Cloud Asset Inventory.
Por este motivo, la página Recursos de Security Command Center en la La consola de Google Cloud siempre muestra todos los recursos de tu organización, carpeta o proyecto, sin importar su ubicación o la ubicación seleccionar en la consola de Google Cloud. Sin embargo, cuando la residencia de datos está habilitada, y ves los detalles de un activo, la página Activos no muestra datos sobre los hallazgos que afectan el recurso.
- Puntuaciones de exposición a ataques y rutas de ataque
Puntuaciones de exposición a ataques y rutas de ataque no están sujetas a controles de residencia de datos y se almacenan a nivel global.
- Exportaciones de BigQuery
Los parámetros de configuración de BigQuery Export están sujetos a controles de residencia de datos. Cuando para crearlas, debes especificar su ubicación. Estos los parámetros de configuración se aplican solo a los resultados que residen en la misma ubicación.
La API de Security Command Center representa la exportación de BigQuery parámetros de configuración como
BiqQueryExportde Google Cloud.- Exportaciones continuas
Las configuraciones de exportación continua están sujetas a controles de residencia de datos. Cuando para crearlas, debes especificar su ubicación. Estos los parámetros de configuración se aplican solo a los resultados que residen en la misma ubicación.
La API de Security Command Center representa configuraciones de exportación continua como
NotificationConfigde Google Cloud.- Resultados
Los resultados están sujetos a los controles de residencia de datos. Cuando se crea un hallazgo, se almacena en la ubicación de Security Command Center, donde el código fuente.
Si un recurso afectado está fuera de una ubicación admitida o no tiene identificador de ubicación, los hallazgos del recurso se almacenan en tu ubicación.
- Reglas de silencio
Las configuraciones de las reglas de silencio están sujetas a los controles de residencia de datos. Cuando los creas, especificas la ubicación en la que se almacenan. Estos los parámetros de configuración se aplican solo a los resultados que residen en la misma ubicación.
La API de Security Command Center representa las configuraciones de reglas de silenciamiento como recursos
MuteConfig.- Otros recursos y parámetros de configuración de Security Command Center
Los recursos y parámetros de configuración de Security Command Center que no se enumeran aquí, como aquellas que definen qué servicios están habilitados o qué nivel está activo, no se que están sujetas a controles de residencia de datos y se almacenan de forma global.
Cómo crear o ver datos en una ubicación
Si la residencia de datos está habilitada, debes especificar una ubicación cuando crees o ver cualquier dato que sea sujetos a controles de residencia de datos. Security Command Center elige automáticamente una ubicación para los hallazgos crea.
Solo puedes crear o ver datos en una ubicación a la vez. Por ejemplo, si
enumerar los hallazgos en la ubicación Global (global), entonces no verás resultados en
la ubicación de la Unión Europea (eu).
Para crear o ver datos que residen en una ubicación de Security Command Center, haz lo siguiente:
Console
En la consola de Google Cloud, ve a Security Command Center.
Para cambiar la ubicación de los datos, haz clic en el selector de ubicación en la barra de acciones.
Aparecerá una lista de ubicaciones. Selecciona la nueva ubicación.
gcloud
Usa la marca --location=LOCATION cuando ejecutes el
Google Cloud CLI, como se muestra en el siguiente ejemplo.
El
gcloud scc findings list
enumera los hallazgos de una organización en una ubicación específica.
Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:
-
ORGANIZATION_ID: El ID numérico de la organización -
LOCATION: Es la ubicación en la que se almacenan los datos, por ejemplo,euoglobal.
Ejecuta el
gcloud scc findings list
:
Linux, macOS o Cloud Shell
gcloud scc findings list ORGANIZATION_ID --location=LOCATION
Windows (PowerShell)
gcloud scc findings list ORGANIZATION_ID --location=LOCATION
Windows (cmd.exe)
gcloud scc findings list ORGANIZATION_ID --location=LOCATION
La respuesta contiene una lista de hallazgos.
REST
Usa un extremo de API que incluya locations/LOCATION en
la ruta, como se muestra en el siguiente ejemplo.
Las APIs de Security Command Center
organizations.sources.locations.findings.list
enumera los hallazgos de una organización
en una ubicación específica.
Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:
-
ORGANIZATION_ID: El ID numérico de la organización -
LOCATION: Es la ubicación en la que se almacenan los datos, por ejemplo,euoglobal.
Método HTTP y URL:
GET https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings
Para enviar tu solicitud, expande una de estas opciones:
La respuesta contiene una lista de hallazgos.
¿Qué sigue?
- Aprende a hacer lo siguiente: Activar Security Command Center con la residencia de datos habilitada.
- Habilita Security Command Center para que transmita los resultados a BigQuery.
- Configuración exportaciones continuas de Security Command Center a Pub/Sub.
- Crea una regla de silencio para los resultados.