La résidence des données vous permet de mieux contrôler l'emplacement de vos données Security Command Center. Cette page fournit des informations essentielles sur la façon dont Security Command Center prend en charge la résidence des données.
Les définitions suivantes s'appliquent à cette page:
- Un emplacement est une région ou une zone multirégionale Google Cloud qui correspond à l'emplacement de vos données.
- Le terme vos données a la même signification que le terme "Données client" dans l'élément Emplacement des données des Conditions d'utilisation générales de Google Cloud.
Emplacements de données compatibles
Security Command Center n'accepte que les multirégions Google Cloud suivantes comme emplacements de données:
- Union européenne (
eu
) - Les données résident dans n'importe quelle région Google Cloud des États membres de l'Union européenne.
- États-Unis (
us
) - Les données sont stockées dans n'importe quelle région Google Cloud située aux États-Unis.
- Royaume d'Arabie saoudite (
sa
) - Les données résident dans n'importe quelle région Google Cloud en Arabie saoudite.
- Numéro international (
global
) - Les données peuvent se trouver dans n'importe quelle région Google Cloud. Si la résidence des données n'est pas activée, l'emplacement global (
global
) est le seul accepté.
Pour en savoir plus sur les zones géographiques où Security Command Center est disponible, consultez la page Produits disponibles par zone géographique.
Si vous devez spécifier un emplacement par défaut pour la résidence des données que Security Command Center n'est pas en mesure de prendre en charge, contactez votre représentant de compte ou un spécialiste commercial Google Cloud.
Exigences en matière de résidence des données
Vous ne pouvez activer la résidence des données que lorsque vous activez le niveau Standard ou Premium de Security Command Center dans une organisation pour la première fois. Le niveau Enterprise n'est pas compatible avec la résidence des données.
Une fois la résidence des données activée, vous ne pouvez plus la désactiver ni modifier votre emplacement par défaut.
La résidence des données nécessite d'utiliser l'API Security Command Center v2. Si la résidence des données est activée, vous ne pouvez pas utiliser d'anciennes versions de l'API Security Command Center.
Si vous ne l'activez pas lorsque vous activez Security Command Center, il ne limite pas vos données à un emplacement particulier et elles sont stockées conformément aux Conditions d'utilisation de Google Cloud Platform.
URL régionales
Pour le Royaume d'Arabie saoudite, vous devez utiliser des URL spécifiques à la région pour accéder à la console Google Cloud de la juridiction, ainsi qu'à certaines méthodes et commandes de gcloud CLI, des bibliothèques clientes Cloud et de l'API Security Command Center:
Console
Pour accéder à Security Command Center, utilisez la console Google Cloud de votre juridiction à l'adresse https://console.sa.cloud.google.com/.
La console Google Cloud de votre juridiction vous permet d'accéder aux données Security Command Center en Arabie saoudite et dans le monde.
gcloud
Pour accéder aux données en Arabie saoudite, les groupes de commandes gcloud CLI suivants vous obligent à utiliser le point de terminaison de service régional pour l'API Security Command Center:
gcloud scc bqexports
: gère les configurations d'exportation BigQuerygcloud scc findings
: gère les résultatsgcloud scc muteconfigs
: gère les configurations des règles de masquagegcloud scc notifications
: gère les configurations d'exportation continue
De plus, le groupe de commandes gcloud scc operations
n'est pas disponible pour les opérations de longue durée dans l'emplacement Arabie saoudite. Par exemple, vous ne pouvez pas vérifier l'état d'une opération de longue durée pour couper le son des résultats de manière groupée.
Pour tous les autres groupes de commandes gcloud scc
, vous devez utiliser le point de terminaison de service par défaut de l'API Security Command Center.
Pour passer au point de terminaison de service régional, exécutez la commande suivante:
gcloud config set api_endpoint_overrides/securitycenter \
https://securitycenter.me-central2.rep.googleapis.com/
Pour passer au point de terminaison de service par défaut, exécutez la commande suivante:
gcloud config unset api_endpoint_overrides/securitycenter
Si vous préférez, vous pouvez créer une configuration nommée pour gcloud CLI qui utilise le point de terminaison de service régional, puis passer à cette configuration nommée avant d'exécuter des commandes Security Command Center dans l'emplacement Arabie saoudite. Pour passer à une configuration nommée, exécutez la commande gcloud config configurations activate
.
REST
Pour l'Arabie saoudite, l'API Security Command Center utilise le point de terminaison de service régional https://securitycenter.me-central2.rep.googleapis.com/
.
Pour accéder aux types de ressources d'API REST suivants en Arabie saoudite, vous devez utiliser le point de terminaison de service régional pour Security Command Center:
folders.locations.bigQueryExports
folders.locations.findings
folders.locations.muteConfigs
folders.locations.notificationConfigs
organizations.locations.bigQueryExports
organizations.locations.findings
organizations.locations.muteConfigs
organizations.locations.notificationConfigs
projects.locations.bigQueryExports
projects.locations.findings
projects.locations.muteConfigs
projects.locations.notificationConfigs
De plus, vous ne pouvez appeler aucune méthode pour les ressources organizations.operations
dans l'emplacement KSA. Par exemple, vous ne pouvez pas vérifier l'état d'une opération de longue durée pour couper le son des résultats de manière groupée.
Pour tous les autres types de ressources, vous devez utiliser le point de terminaison de service par défaut de l'API Security Command Center, https://securitycenter.googleapis.com/
.
Go
Pour gérer les types de ressources suivants dans l'emplacement Arabie saoudite, vous devez remplacer le point de terminaison de service par défaut lorsque vous créez un client pour Security Command Center:
- Configurations d'exportation vers BigQuery
- Configurations d'exportation continue
- Résultats
- Configurations des règles Ignorer
Utilisez le point de terminaison securitycenter.me-central2.rep.googleapis.com:443
pour ces types de ressources. L'exemple de code suivant montre comment créer un client qui utilise un point de terminaison de service régional.
Java
Pour gérer les types de ressources suivants dans l'emplacement Arabie saoudite, vous devez remplacer le point de terminaison de service par défaut lorsque vous créez un client pour Security Command Center:
- Configurations d'exportation vers BigQuery
- Configurations d'exportation continue
- Résultats
- Configurations des règles Ignorer
Utilisez le point de terminaison securitycenter.me-central2.rep.googleapis.com:443
pour ces types de ressources. L'exemple de code suivant montre comment créer un client qui utilise un point de terminaison de service régional.
Lorsque la résidence des données est appliquée
Lorsque vous activez la résidence des données pour Security Command Center, certaines données Security Command Center sont conservées dans un emplacement spécifié lorsqu'elles se trouvent dans l'un des états suivants:
- Au repos: tous les emplacements compatibles
- En cours d'utilisation: KSA (
sa
) uniquement - En transit: KSA (
sa
) uniquement
Résidence des données au repos
Les données sont au repos lorsque tous les critères suivants sont remplis:
- Les données concernent un type de ressource soumis à des contrôles de résidence des données.
- Vous n'avez pas demandé d'opération nécessitant l'accès aux données.
- Les données ne sont pas consultées de manière à générer des journaux d'audit ou des journaux Access Transparency.
Lorsque vous activez la résidence des données, Security Command Center effectue les opérations suivantes:
Union européenne, États-Unis et monde
Si possible, lorsque les données des résultats sont au repos, Security Command Center les stocke dans l'emplacement multirégional Google Cloud où se trouvent vos ressources.
Sinon, lorsque les données des résultats sont au repos, elles sont stockées dans l'emplacement par défaut que vous choisissez.
Lorsque des types spécifiques de ressources de configuration sont au repos, Security Command Center les stocke à l'emplacement par défaut que vous choisissez.
Lorsque Security Command Center stocke des données qui ne sont pas des données client, comme défini dans l'élément Emplacement des données des Conditions générales de service de Google Cloud, Security Command Center stocke les données au repos conformément aux Conditions d'utilisation de Google Cloud Platform.
KSA
- Lorsqu'une anomalie est créée pour une ressource située en Arabie saoudite, elle se trouve toujours dans cet emplacement au repos.
- Lorsqu'un résultat est créé pour une ressource située dans un autre emplacement, il se trouve finalement dans l'emplacement KSA au repos. Toutefois, la découverte peut temporairement se trouver dans une autre région au repos.
- Lorsque vous créez des types spécifiques de ressources de configuration dans l'emplacement Arabie saoudite et que ces ressources sont inactives, elles se trouvent dans l'emplacement Arabie saoudite.
-
Lorsque Security Command Center stocke des données qui ne sont pas des données client, comme défini dans l'élément Emplacement des données des Conditions générales de service de Google Cloud, Security Command Center stocke les données au repos conformément aux Conditions d'utilisation de Google Cloud Platform.
Résidence des données en cours d'utilisation
Les données sont utilisées lorsque toutes les conditions suivantes sont remplies:
- Les données concernent un type de ressource soumis à des contrôles de résidence des données.
- Google Cloud termine une opération lancée à votre demande (par exemple, parce que votre application a appelé l'API Security Command Center) ou une opération qui génère des journaux d'audit ou des journaux Access Transparency.
- Google Cloud peut traiter les données d'une manière qui nécessite de connaître leur signification, par exemple en mettant à jour des champs spécifiques dans une ressource de configuration. Cela inclut tous les cas où les données ne sont pas chiffrées en mémoire.
Lorsque vous activez la résidence des données, Security Command Center effectue les opérations suivantes:
Union européenne, États-Unis et monde
Dans l'UE, aux États-Unis et dans le monde, les données en cours d'utilisation ne sont pas soumises à des contrôles de résidence des données.
KSA
- Lorsqu'un résultat est créé pour une ressource située au Royaume d'Arabie saoudite, il se trouve toujours dans l'emplacement utilisé au Royaume d'Arabie saoudite.
- Lorsqu'une anomalie est créée pour une ressource située dans un autre emplacement, elle se trouve finalement dans l'emplacement KSA utilisé. Toutefois, il est possible que la découverte se trouve temporairement dans une autre région utilisée.
- Lorsque vous créez des types spécifiques de ressources de configuration dans l'emplacement Arabie saoudite et que ces ressources sont utilisées, elles se trouvent dans l'emplacement Arabie saoudite.
-
Lorsque Security Command Center stocke des données qui ne sont pas des données client, comme défini dans l'élément Emplacement des données des Conditions générales de service de Google Cloud, Security Command Center stocke les données utilisées conformément aux Conditions d'utilisation de Google Cloud Platform.
Résidence des données en transit
Les données sont en transit lorsque tous les critères suivants sont remplis:
- Les données concernent un type de ressource soumis à des contrôles de résidence des données.
- Les données sont transmises, avec chiffrement, sur le réseau de Google, ou elles se trouvent en mémoire, avec chiffrement, dans le but de les transmettre sur le réseau de Google.
Lorsque vous activez la résidence des données, Security Command Center effectue les opérations suivantes:
Union européenne, États-Unis et monde
Dans l'UE, aux États-Unis et dans le monde entier, les données en transit ne sont pas soumises à des contrôles de résidence des données.
KSA
- Lorsqu'une anomalie est créée pour une ressource située en Arabie saoudite, elle se trouve toujours en transit dans ce pays.
- Lorsqu'une anomalie est créée pour une ressource située dans un autre emplacement, elle se trouve finalement dans l'emplacement Arabie saoudite en transit. Toutefois, la découverte peut se trouver temporairement dans une autre région en transit.
- Lorsque vous créez des types spécifiques de ressources de configuration dans l'emplacement Arabie saoudite et que ces ressources sont en transit, elles se trouvent dans l'emplacement Arabie saoudite.
-
Lorsque Security Command Center stocke des données qui ne sont pas des données client, comme défini dans l'élément Emplacement des données des Conditions générales de service de Google Cloud, Security Command Center stocke les données en transit conformément aux Conditions d'utilisation de Google Cloud Platform.
Emplacement des données par défaut
Pour les emplacements en Europe, aux États-Unis et dans le monde, lorsque vous activez la résidence des données Security Command Center, vous spécifiez un emplacement Security Command Center par défaut. Vous pouvez sélectionner n'importe quel emplacement de données compatible comme emplacement par défaut.
Security Command Center n'utilise l'emplacement par défaut que pour stocker les résultats au repos qui s'appliquent aux types de ressources suivants:
- Ressources qui ne se trouvent pas dans un emplacement de données compatible pour Security Command Center
- Ressources qui ne spécifient pas d'emplacement dans leurs métadonnées
Si vous déployez des ressources Google Cloud dans plusieurs emplacements ou régions, vous pouvez choisir l'emplacement mondial (global
) par défaut.
Si vous ne déployez des ressources que dans un seul emplacement, vous pouvez choisir la région multirégionale qui l'inclut comme région par défaut.
Ressources Security Command Center et résidence des données
La liste suivante explique comment Security Command Center applique des contrôles de résidence des données aux ressources Security Command Center. Si une ressource n'est pas listée ici, elle n'est pas soumise aux contrôles de résidence des données et est stockée conformément aux Conditions d'utilisation de Google Cloud Platform.
- Éléments
Les métadonnées des éléments sont stockées par Cloud Asset Inventory et ne sont pas soumises à des contrôles de résidence des données. Ces données sont stockées conformément aux Conditions d'utilisation de Google Cloud Platform.
C'est pourquoi la page Éléments de Security Command Center dans la console Google Cloud affiche toujours toutes les ressources de votre organisation, de votre dossier ou de votre projet, quel que soit leur emplacement ou l'emplacement que vous sélectionnez dans la console Google Cloud. Toutefois, lorsque la résidence des données est activée et que vous consultez les détails d'un composant, la page Composants n'affiche pas d'informations sur les résultats qui affectent le composant.
- Niveaux d'exposition aux attaques et chemins d'attaque
Les scores d'exposition aux attaques et les chemins d'attaque ne sont pas soumis aux contrôles de résidence des données. Ces données sont stockées conformément aux Conditions d'utilisation de Google Cloud Platform.
- exportations BigQuery
Les configurations d'exportation BigQuery sont soumises à des contrôles de résidence des données.
Union européenne, États-Unis et monde
Lorsque vous créez ces ressources, vous spécifiez leur emplacement. Ces configurations ne s'appliquent qu'aux résultats situés au même endroit.
KSA
Utilisez les URL régionales pour créer et gérer ces ressources de configuration. Ils résident en Arabie saoudite, ainsi que vos résultats.
L'API Security Command Center représente les configurations d'exportation BigQuery en tant que ressources
BiqQueryExport
.- Exportations continues
Les configurations d'exportation continue sont soumises aux contrôles de résidence des données.
Union européenne, États-Unis et monde
Lorsque vous créez ces ressources, vous spécifiez leur emplacement. Ces configurations ne s'appliquent qu'aux résultats situés au même endroit.
KSA
Utilisez les URL régionales pour créer et gérer ces ressources de configuration. Ils résident en Arabie saoudite, ainsi que vos résultats.
L'API Security Command Center représente les configurations d'exportation continue en tant que ressources
NotificationConfig
.- Résultats
Les résultats sont soumis aux contrôles de résidence des données.
Union européenne, États-Unis et monde
Lorsqu'un résultat est créé, il se trouve dans l'emplacement Security Command Center où se trouve la ressource concernée.
Si une ressource affectée se trouve en dehors d'un emplacement compatible ou ne dispose d'aucun identifiant d'emplacement, les résultats de la ressource se trouvent dans votre emplacement par défaut.
KSA
Lorsqu'une anomalie est créée pour une ressource située en Arabie saoudite, elle se trouve toujours dans ce pays.
Lorsqu'un résultat est créé pour une ressource située dans un autre emplacement, il se trouve finalement dans l'emplacement Arabie saoudite. Toutefois, la découverte peut se trouver dans une autre région au moment de sa création.
Pour vous assurer que les résultats se trouvent toujours dans le Royaume d'Arabie saoudite, créez toutes vos ressources dans ce pays.
- Règles de masquage
Les configurations des règles de masquage sont soumises aux contrôles de résidence des données.
Union européenne, États-Unis et monde
Lorsque vous créez ces ressources, vous spécifiez leur emplacement. Ces configurations ne s'appliquent qu'aux résultats situés au même endroit.
KSA
Utilisez les URL régionales pour créer et gérer ces ressources de configuration. Ils résident en Arabie saoudite, ainsi que vos résultats.
L'API Security Command Center représente les configurations de règles de masquage en tant que ressources
MuteConfig
.- Autres ressources et paramètres de Security Command Center
Les ressources et paramètres de Security Command Center qui ne sont pas listés ici, tels que ceux qui définissent les services activés ou le niveau actif, ne sont pas soumis aux contrôles de résidence des données. Ces données sont stockées conformément aux Conditions d'utilisation de Google Cloud Platform.
Créer ou afficher des données dans une zone géographique
Lorsque la résidence des données est activée, vous devez spécifier un emplacement lorsque vous créez ou affichez des données soumises à des contrôles de résidence des données. Security Command Center choisit automatiquement un emplacement pour les résultats qu'il crée.
Vous ne pouvez créer ou afficher des données que dans un seul emplacement à la fois. Par exemple, si vous listez les résultats dans l'emplacement mondial (global
), vous ne verrez pas les résultats dans l'emplacement Union européenne (eu
).
Pour créer ou afficher des données qui se trouvent dans un emplacement Security Command Center, procédez comme suit:
Console
Union européenne, États-Unis et monde
Dans la console Google Cloud, accédez à Security Command Center (Security Command Center).
Pour modifier l'emplacement des données, cliquez sur le sélecteur d'emplacement dans la barre d'action.
Une liste d'établissements s'affiche. Sélectionnez le nouvel emplacement.
KSA
Dans la console Google Cloud de la juridiction pour l'emplacement en Arabie saoudite, accédez à Security Command Center (Centre de commande de sécurité).
gcloud
Union européenne, États-Unis et monde
Utilisez l'indicateur --location=LOCATION
lorsque vous exécutez la Google Cloud CLI, comme indiqué dans l'exemple suivant.
La commande gcloud scc findings list
répertorie les résultats d'une organisation dans un emplacement spécifique.
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
-
ORGANIZATION_ID
: ID numérique de l'organisation -
LOCATION
: emplacement Security Command Center à utiliser, par exempleeu
. Si la résidence des données n'est pas activée, utilisezglobal
.
Exécutez la commande gcloud scc findings list
:
Linux, macOS ou Cloud Shell
gcloud scc findings list ORGANIZATION_ID --location=LOCATION
Windows (PowerShell)
gcloud scc findings list ORGANIZATION_ID --location=LOCATION
Windows (cmd.exe)
gcloud scc findings list ORGANIZATION_ID --location=LOCATION
La réponse contient une liste de résultats.
KSA
Configurez gcloud CLI pour utiliser le point de terminaison de service régional de l'emplacement Arabie saoudite pour l'API Security Command Center:
gcloud config set api_endpoint_overrides/securitycenter \
https://securitycenter.me-central2.rep.googleapis.com/
Vous devez ensuite utiliser l'indicateur --location=sa
lorsque vous exécutez la Google Cloud CLI, comme indiqué dans l'exemple suivant.
La commande gcloud scc findings list
répertorie les résultats d'une organisation dans un emplacement spécifique.
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
-
ORGANIZATION_ID
: ID numérique de l'organisation
Exécutez la commande gcloud scc findings list
:
Linux, macOS ou Cloud Shell
gcloud scc findings list ORGANIZATION_ID --location=sa
Windows (PowerShell)
gcloud scc findings list ORGANIZATION_ID --location=sa
Windows (cmd.exe)
gcloud scc findings list ORGANIZATION_ID --location=sa
La réponse contient une liste de résultats.
REST
Union européenne, États-Unis et monde
Utilisez un point de terminaison d'API qui inclut locations/LOCATION
dans le chemin d'accès, comme illustré dans l'exemple suivant.
La méthode organizations.sources.locations.findings.list
de l'API Security Command Center répertorie les résultats d'une organisation dans un emplacement spécifique.
Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :
-
ORGANIZATION_ID
: ID numérique de l'organisation -
LOCATION
: emplacement Security Command Center à utiliser, par exempleeu
. Si la résidence des données n'est pas activée, utilisezglobal
.
Méthode HTTP et URL :
GET https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings
Pour envoyer votre requête, développez l'une des options suivantes :
La réponse contient une liste de résultats.
KSA
Utilisez le point de terminaison de service régional pour l'emplacement Arabie saoudite pour appeler l'API, comme illustré dans l'exemple suivant.
La méthode organizations.sources.locations.findings.list
de l'API Security Command Center répertorie les résultats d'une organisation dans un emplacement spécifique.
Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :
-
ORGANIZATION_ID
: ID numérique de l'organisation
Méthode HTTP et URL :
GET https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings
Pour envoyer votre requête, développez l'une des options suivantes :
La réponse contient une liste de résultats.
Étape suivante
- Découvrez comment activer Security Command Center avec la résidence des données activée.
- Activez Security Command Center pour transmettre les résultats vers BigQuery.
- Configurez des exportations continues de Security Command Center vers Pub/Sub.
- Créez une règle de blocage pour les résultats.