La residenza dei dati ti offre un maggiore controllo sulla posizione dei dati di Security Command Center. Questa pagina fornisce informazioni essenziali su come Security Command Center supporta la residenza dei dati.
A questa pagina si applicano le seguenti definizioni:
- Una località è una regione o più regioni di Google Cloud corrispondente alla posizione in cui si trovano i dati.
- Il significato del termine i tuoi dati è equivalente al significato del termine "Dati del cliente" nell'elemento Posizione dei dati dei Termini di servizio generali di Google Cloud.
Posizioni dei dati supportate
Security Command Center supporta solo le seguenti regioni multiple di Google Cloud come località dei dati:
- Unione Europea (
eu
) - I dati si trovano in qualsiasi regione Google Cloud all'interno degli stati membri dell'Unione Europea.
- Stati Uniti (
us
) - I dati si trovano in qualsiasi regione Google Cloud negli Stati Uniti.
- Regno dell'Arabia Saudita (
sa
) - I dati si trovano in qualsiasi regione Google Cloud in Arabia Saudita.
- Globale (
global
) - I dati possono trovarsi in qualsiasi regione Google Cloud. Se la residenza dei dati non è attivata, la località supportata è solo Globale (
global
).
Per ulteriori informazioni sulle sedi di Security Command Center, consulta Prodotti disponibili in base alla località.
Se devi specificare una posizione predefinita per la residenza dei dati non supportata da Security Command Center, contatta il rappresentante del tuo account o un esperto del team di vendita di Google Cloud.
Requisiti per la residenza dei dati
Puoi attivare la residenza dei dati solo quando attivi il livello Standard o Premium di Security Command Center in un'organizzazione per la prima volta. Il livello Enterprise non supporta la residenza dei dati.
Una volta attivata la residenza dei dati, non puoi disattivarla né modificare la località predefinita.
La residenza dei dati richiede l'utilizzo dell'API Security Command Center 2. Se la residenza dei dati è abilitata, non puoi utilizzare le versioni precedenti dell'API Security Command Center.
Se non attivi la residenza dei dati quando attivi Security Command Center, Security Command Center non limita i tuoi dati a una determinata località e questi vengono archiviati in conformità ai Termini di servizio della piattaforma Google Cloud.
URL regionali
Per la località del Regno dell'Arabia Saudita (KSA), devi utilizzare URL specifici per la località per accedere alla console Google Cloud di competenza, nonché ad alcuni metodi e comandi nellgcloud CLI, nelle librerie client di Cloud e nell'API Security Command Center:
Console
Per accedere a Security Command Center, utilizza la console Google Cloud di competenza, https://console.sa.cloud.google.com/.
La console Google Cloud per le giurisdizioni ti consente di accedere ai dati di Security Command Center nelle località KSA e globali.
gcloud
Per accedere ai dati nella località Arabia Saudita, i seguenti gruppi di comandi gcloud CLI richiedono l'utilizzo dell'endpoint del servizio regionale per l'API Security Command Center:
gcloud scc bqexports
: gestisce le configurazioni di BigQuery Exportgcloud scc findings
: gestisce i risultatigcloud scc muteconfigs
: gestisce le configurazioni delle regole di disattivazionegcloud scc notifications
: gestisce le configurazioni di esportazione continua
Inoltre, il gruppo di comandi gcloud scc operations
non è disponibile per le operazioni di lunga durata nella località KSA. Ad esempio, non puoi controllare lo stato di un'operazione di lunga durata per disattivare collettivamente i risultati.
Per tutti gli altri gruppi di comandi gcloud scc
, devi utilizzare l'endpoint del servizio predefinito per l'API Security Command Center.
Per passare all'endpoint del servizio regionale, esegui il seguente comando:
gcloud config set api_endpoint_overrides/securitycenter \
https://securitycenter.me-central2.rep.googleapis.com/
Per passare all'endpoint di servizio predefinito, esegui il seguente comando:
gcloud config unset api_endpoint_overrides/securitycenter
Se preferisci, puoi creare una configurazione denominata per l'interfaccia alla gcloud CLI che utilizza l'endpoint di servizio regionale, quindi passare a questa configurazione denominata prima di eseguire i comandi di Security Command Center nella località KSA. Per passare a una configurazione denominata, esegui il comando
gcloud config configurations activate
.
REST
Per la località Arabia Saudita, l'API Security Command Center utilizza l'endpoint di servizio regionalehttps://securitycenter.me-central2.rep.googleapis.com/
.
Per accedere ai seguenti tipi di risorse API REST nella località Arabia Saudita, devi utilizzare l'endpoint di servizio regionale per Security Command Center:
folders.locations.bigQueryExports
folders.locations.findings
folders.locations.muteConfigs
folders.locations.notificationConfigs
organizations.locations.bigQueryExports
organizations.locations.findings
organizations.locations.muteConfigs
organizations.locations.notificationConfigs
projects.locations.bigQueryExports
projects.locations.findings
projects.locations.muteConfigs
projects.locations.notificationConfigs
Inoltre, non puoi chiamare metodi per le risorse organizations.operations
nella località Arabia Saudita. Ad esempio, non puoi controllare lo stato di un'operazione a lunga esecuzione per disattivare collettivamente i risultati.
Per tutti gli altri tipi di risorse, devi utilizzare l'endpoint di servizio predefinito per l'API Security Command Center, https://securitycenter.googleapis.com/
.
Go
Per gestire i seguenti tipi di risorse nella località KSA, devi eseguire l'override dell'endpoint di servizio predefinito quando crei un client per Security Command Center:
- Configurazioni di BigQuery Export
- Configurazioni di esportazione continua
- Risultati
- Configurazioni delle regole di disattivazione
Utilizza l'endpoint securitycenter.me-central2.rep.googleapis.com:443
per questi tipi di risorse. Il seguente codice
di esempio mostra come creare un client che utilizza un endpoint di servizio regionale.
Java
Per gestire i seguenti tipi di risorse nella località KSA, devi eseguire l'override dell'endpoint di servizio predefinito quando crei un client per Security Command Center:
- Configurazioni di BigQuery Export
- Configurazioni di esportazione continua
- Risultati
- Configurazioni delle regole di disattivazione
Utilizza l'endpoint securitycenter.me-central2.rep.googleapis.com:443
per questi tipi di risorse. Il seguente codice
di esempio mostra come creare un client che utilizza un endpoint di servizio regionale.
Quando viene applicata la residenza dei dati
Quando attivi la residenza dei dati per Security Command Center, alcuni dati di Security Command Center vengono conservati in una posizione specificata quando si trovano in uno dei seguenti stati:
- A riposo: tutte le località supportate
- In uso: solo Arabia Saudita (
sa
) - In transito: solo Arabia Saudita (
sa
)
Residenza dei dati at-rest
I dati sono at-rest quando vengono soddisfatti tutti i seguenti criteri:
- I dati si riferiscono a un tipo di risorsa sottoposta a controlli relativi alla residenza dei dati.
- Non hai richiesto un'operazione che richiede l'accesso ai dati.
- Non viene eseguito l'accesso ai dati in modo da produrre log di controllo o log di Access Transparency.
Quando attivi la residenza dei dati, Security Command Center esegue le seguenti operazioni:
UE, Stati Uniti e a livello globale
Se possibile, quando i dati dei risultati sono inattivi, Security Command Center li archivia nell'area multiregionale Google Cloud in cui si trovano le tue risorse.
In caso contrario, quando i dati dei risultati sono inattivi, vengono archiviati nella posizione predefinita che scegli.
Quando tipi specifici di risorse di configurazione non sono in uso, Security Command Center le memorizza nella posizione predefinita che scegli.
Nei casi in cui Security Command Center memorizzi dati che non sono Dati dei clienti, come definito nell'elemento Località dei dati nei Termini di servizio generali di Google Cloud, Security Command Center memorizza i dati a riposo in conformità con i Termini di servizio della piattaforma Google Cloud.
KSA
- Quando viene creato un rilevamento per una risorsa che si trova nella località Arabia Saudita, il rilevamento rimarrà sempre in quella località.
- Quando viene creato un rilevamento per una risorsa che si trova in un'altra località, il rilevamento viene archiviato nella località KSA in stato inattivo. Tuttavia, il rilevamento potrebbe trovarsi temporaneamente in una regione diversa in stato inattivo.
- Quando crei tipi specifici di risorse di configurazione nella località KSA e queste risorse sono inattive, risiedono nella località KSA.
-
Nei casi in cui Security Command Center memorizzi dati che non sono Dati dei clienti, come definito nell'elemento Località dei dati nei Termini di servizio generali di Google Cloud, Security Command Center memorizza i dati a riposo in conformità con i Termini di servizio della piattaforma Google Cloud.
Residenza dei dati in uso
I dati sono in uso quando vengono soddisfatti tutti i seguenti criteri:
- I dati si riferiscono a un tipo di risorsa sottoposta a controlli relativi alla residenza dei dati.
- Google Cloud sta completando un'operazione avviata su tua richiesta, ad esempio perché la tua applicazione ha chiamato l'API Security Command Center, o un'operazione che genera log di controllo o log di Access Transparency.
- Google Cloud può operare sui dati in un modo che richiede la conoscenza del loro significato, ad esempio aggiornando campi specifici in una risorsa di configurazione. Sono inclusi tutti i casi in cui i dati non sono criptati in memoria.
Quando attivi la residenza dei dati, Security Command Center esegue le seguenti operazioni:
UE, Stati Uniti e globali
Nelle località dell'UE, degli Stati Uniti e a livello globale, i dati in uso non sono soggetti ai controlli relativi alla residenza dei dati.
KSA
- Quando viene creato un rilevamento per una risorsa che si trova nella località Arabia Saudita, il rilevamento si trova sempre nella località Arabia Saudita in uso.
- Quando viene creato un rilevamento per una risorsa che si trova in un'altra posizione, il rilevamento si trova infine nella posizione KSA in uso. Tuttavia, il risultato potrebbe risiedere temporaneamente in un'altra regione in uso.
- Quando crei tipi specifici di risorse di configurazione nella località Arabia Saudita e queste risorse sono in uso, risiedono nella località Arabia Saudita.
-
Nei casi in cui Security Command Center memorizzi dati che non sono Dati dei clienti, come definito nell'elemento Località dei dati nei Termini di servizio generali di Google Cloud, Security Command Center memorizza i dati in uso in conformità con i Termini di servizio della piattaforma Google Cloud.
Residenza dei dati in transito
I dati sono in transito quando sono soddisfatti tutti i seguenti criteri:
- I dati si riferiscono a un tipo di risorsa sottoposta a controlli relativi alla residenza dei dati.
- I dati vengono trasmessi, con crittografia, all'interno della rete di Google o sono in memoria, con crittografia, allo scopo di trasmetterli all'interno della rete di Google.
Quando attivi la residenza dei dati, Security Command Center esegue le seguenti operazioni:
UE, Stati Uniti e a livello globale
Nelle località dell'UE, degli Stati Uniti e a livello globale, i dati in transito non sono soggetti ai controlli relativi alla residenza dei dati.
KSA
- Quando viene creato un rilevamento per una risorsa che si trova nella località Arabia Saudita, il rilevamento si trova sempre nella località Arabia Saudita in transito.
- Quando viene creato un rilevamento per una risorsa che si trova in un'altra località, il rilevamento si trova infine nella località KSA in transito. Tuttavia, il risultato potrebbe trovarsi temporaneamente in una regione diversa durante il transito.
- Quando crei tipi specifici di risorse di configurazione nella località KSA e queste risorse sono in transito, risiedono nella località KSA.
-
Nei casi in cui Security Command Center memorizzi dati che non sono Dati dei clienti, come definito nell'elemento Località dei dati dei Termini di servizio generali di Google Cloud, Security Command Center memorizza i dati in transito in conformità con i Termini di servizio della piattaforma Google Cloud.
Posizione predefinita dei dati
Per le località dell'UE, degli Stati Uniti e globali, quando attivi la residenza dei dati di Security Command Center, specifica una località predefinita per Security Command Center. Puoi selezionare qualsiasi località dei dati supportata come località predefinita.
Security Command Center utilizza la posizione predefinita solo per archiviare i risultati a riposo che si applicano ai seguenti tipi di risorse:
- Risorse che non si trovano in una posizione dei dati supportata per Security Command Center
- Risorse che non specificano una posizione nei metadati
Se esegui il deployment delle risorse Google Cloud in più località o in più regioni, puoi scegliere la località globale (global
) come predefinita.
Se esegui il deployment delle risorse solo in una singola località, puoi scegliere come predefinita la regione multipla che include quella località.
Risorse di Security Command Center e residenza dei dati
Il seguente elenco spiega in che modo Security Command Center applica i controlli di residenza dei dati alle risorse di Security Command Center. Se una risorsa non è elencata qui, non è soggetta ai controlli della residenza dei dati e viene archiviata in conformità con i Termini di servizio della piattaforma Google Cloud.
- Asset
I metadati delle risorse vengono archiviati da Cloud Asset Inventory e non sono soggetti ai controlli della residenza dei dati. Questi dati vengono archiviati in conformità ai Termini di servizio della piattaforma Google Cloud.
Per questo motivo, la pagina Asset di Security Command Center nella console Google Cloud mostra sempre tutte le risorse dell'organizzazione, della cartella o del progetto, indipendentemente dalla loro posizione o dalla posizione selezionata nella console Google Cloud. Tuttavia, quando la residenza dei dati è attivata e visualizzi i dettagli di un asset, la pagina Asset non mostra informazioni sui risultati che interessano l'asset.
- Punteggi di esposizione agli attacchi e percorsi di attacco
I punteggi di esposizione agli attacchi e i percorsi di attacco non sono soggetti ai controlli della residenza dei dati. Questi dati vengono archiviati in conformità ai Termini di servizio della piattaforma Google Cloud.
- Esportazioni BigQuery
Le configurazioni di BigQuery Export sono soggette a controlli di residenza dei dati.
UE, Stati Uniti e a livello globale
Quando crei queste risorse, specifica la posizione in cui si trovano. Queste configurazioni si applicano solo ai risultati che si trovano nella stessa posizione.
KSA
Utilizza gli URL regionali per creare e gestire queste risorse di configurazione. Si trovano nella località dell'Arabia Saudita, insieme ai risultati.
L'API Security Command Center rappresenta le configurazioni di BigQuery Export come risorse
BiqQueryExport
.- Esportazioni continue
Le configurazioni di esportazione continua sono soggette a controlli della residenza dei dati.
UE, Stati Uniti e a livello globale
Quando crei queste risorse, specifica la posizione in cui si trovano. Queste configurazioni si applicano solo ai risultati che si trovano nella stessa posizione.
KSA
Utilizza gli URL regionali per creare e gestire queste risorse di configurazione. Si trovano nella località dell'Arabia Saudita, insieme ai risultati.
L'API Security Command Center rappresenta le configurazioni di esportazione continua come risorse
NotificationConfig
.- Risultati
I risultati sono soggetti ai controlli della residenza dei dati.
UE, Stati Uniti e globali
Quando viene creato, un risultato si trova nella posizione di Security Command Center in cui si trova la risorsa interessata.
Se una risorsa interessata si trova al di fuori di una località supportata o non ha un identificatore della località, i risultati relativi alla risorsa si trovano nella tua località predefinita.
KSA
Quando viene creato un rilevamento per una risorsa che si trova nella località Arabia Saudita, il rilevamento rimarrà sempre nella località Arabia Saudita.
Quando viene creato un rilevamento per una risorsa che si trova in un'altra località, il rilevamento si trova infine nella località KSA. Tuttavia, al momento della creazione, il rilevamento potrebbe trovarsi in una regione diversa.
Per contribuire ad assicurare che i risultati si trovino sempre nella località KSA, crea tutte le risorse nella località KSA.
- Regole di disattivazione
Le configurazioni delle regole di disattivazione sono soggette ai controlli della residenza dei dati.
UE, Stati Uniti e a livello globale
Quando crei queste risorse, specifica la posizione in cui si trovano. Queste configurazioni si applicano solo ai risultati che si trovano nella stessa posizione.
KSA
Utilizza gli URL regionali per creare e gestire queste risorse di configurazione. Si trovano nella località dell'Arabia Saudita, insieme ai risultati.
L'API Security Command Center rappresenta le configurazioni delle regole di disattivazione come risorse
MuteConfig
.- Altre risorse e impostazioni di Security Command Center
Le risorse e le impostazioni di Security Command Center non elencate qui, ad esempio quelle che definiscono i servizi abilitati o il livello attivo, non sono soggette ai controlli di residenza dei dati. Questi dati vengono archiviati in conformità con i Termini di servizio della piattaforma Google Cloud.
Creare o visualizzare i dati in una località
Quando la residenza dei dati è attivata, devi specificare una località quando crei o visualizza i dati soggetti ai controlli della residenza dei dati. Security Command Center sceglie automaticamente una posizione per i risultati che genera.
Puoi creare o visualizzare i dati in una sola posizione alla volta. Ad esempio, se elencate i risultati nella località Globale (global
), non vedrete i risultati nella località Unione Europea (eu
).
Per creare o visualizzare i dati che si trovano in una posizione di Security Command Center, svolgi i seguenti passaggi:
Console
UE, Stati Uniti e globali
Nella console Google Cloud, vai a Security Command Center.
Per modificare la posizione dei dati, fai clic sul selettore della posizione nella barra delle azioni.
Viene visualizzato un elenco di località. Seleziona la nuova posizione.
KSA
Nella console Google Cloud di competenza per la località KSA, vai a Security Command Center.
gcloud
UE, Stati Uniti e globali
Utilizza il flag --location=LOCATION
quando esegui Google Cloud CLI, come mostrato nell'esempio seguente.
Il comando
gcloud scc findings list
elenca i risultati di un'organizzazione in una posizione specifica.
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
ORGANIZATION_ID
: l'ID numerico dell'organizzazione -
LOCATION
: la posizione di Security Command Center da utilizzare, ad esempioeu
; se la residenza dei dati non è abilitata, utilizzaglobal
Esegui il comando
gcloud scc findings list
:
Linux, macOS o Cloud Shell
gcloud scc findings list ORGANIZATION_ID --location=LOCATION
Windows (PowerShell)
gcloud scc findings list ORGANIZATION_ID --location=LOCATION
Windows (cmd.exe)
gcloud scc findings list ORGANIZATION_ID --location=LOCATION
La risposta contiene un elenco di risultati.
KSA
Configura l'interfaccia alla gcloud CLI in modo da utilizzare l'endpoint di servizio regionale della località KSA per l'API Security Command Center:
gcloud config set api_endpoint_overrides/securitycenter \
https://securitycenter.me-central2.rep.googleapis.com/
Devi quindi utilizzare il flag --location=sa
quando esegui Google Cloud CLI, come mostrato nell'esempio seguente.
Il comando
gcloud scc findings list
elenca i risultati di un'organizzazione in una posizione specifica.
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
ORGANIZATION_ID
: l'ID numerico dell'organizzazione
Esegui il comando
gcloud scc findings list
:
Linux, macOS o Cloud Shell
gcloud scc findings list ORGANIZATION_ID --location=sa
Windows (PowerShell)
gcloud scc findings list ORGANIZATION_ID --location=sa
Windows (cmd.exe)
gcloud scc findings list ORGANIZATION_ID --location=sa
La risposta contiene un elenco di risultati.
REST
UE, Stati Uniti e a livello globale
Utilizza un endpoint API che includa locations/LOCATION
nel percorso, come mostrato nell'esempio seguente.
Il metodo organizations.sources.locations.findings.list
dell'API Security Command Center elenca i risultati di un'organizzazione in una località specifica.
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
ORGANIZATION_ID
: l'ID numerico dell'organizzazione -
LOCATION
: la posizione di Security Command Center da utilizzare, ad esempioeu
; se la residenza dei dati non è abilitata, utilizzaglobal
Metodo HTTP e URL:
GET https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene un elenco di risultati.
KSA
Utilizza l'endpoint di servizio regionale per la località KSA per chiamare l'API, come показано nell'esempio seguente.
Il metodo organizations.sources.locations.findings.list
dell'API Security Command Center elenca i risultati di un'organizzazione in una località specifica.
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
ORGANIZATION_ID
: l'ID numerico dell'organizzazione
Metodo HTTP e URL:
GET https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene un elenco di risultati.
Passaggi successivi
- Scopri come attivare Security Command Center con la residenza dei dati abilitata.
- Consenti a Security Command Center di trasmettere i risultati in streaming a BigQuery.
- Configura le esportazioni continue da Security Command Center a Pub/Sub.
- Crea una regola di disattivazione per i risultati.