A residência de dados oferece mais controle sobre onde os dados do Security Command Center estão localizados. Este documento fornece informações essenciais sobre como o Security Command Center oferece suporte à residência de dados.
As definições a seguir são aplicáveis a este documento:
- Um local é uma Google Cloud região ou multirregião que corresponde ao local em que seus dados estão armazenados.
- O significado do termo seus dados é equivalente ao significado do termo "Dados do cliente" no item Local dos dados dos Termos gerais de serviço do Google Cloud.
Para saber como trabalhar com recursos do Security Command Center quando a residência de dados está ativada, consulte Endpoints regionais do Security Command Center.
Locais de dados compatíveis
Nesta seção, descrevemos os locais de dados que podem ser usados para o Security Command Center e serviços relacionados.
Locais de dados do Security Command Center
Quando você ativa a residência de dados, a API Security Command Center oferece suporte às seguintes Google Cloud multirregiões como locais de dados:
- União Europeia (
eu) - Os dados residem em qualquer região nos estados-membros da União Europeia. Google Cloud
- Reino da Arábia Saudita (KSA) (
sa) - Os dados residem em qualquer Google Cloud região do Reino da Arábia Saudita.
- Estados Unidos (
us) - Os dados residem em qualquer região Google Cloud dos Estados Unidos.
Para mais informações sobre os locais do Security Command Center, consulte Produtos disponíveis por local.
Se você precisar especificar um local padrão para a residência de dados que o Security Command Center não oferece suporte, entre em contato com seu representante de conta ou um Google Cloud especialista em vendas.
Locais de dados do Model Armor
Para o Model Armor, a residência de dados está sempre ativada.
A API Model Armor oferece endpoints regionais nos seguintes locais:
- União Europeia
europe-west4: Países Baixos
Baixo CO2
- Estados Unidos
us-central1: Iowa Baixo CO2
us-east1: Carolina do Sulus-east4: Virgínia do Norteus-west1: Oregon <0x
A API Model Armor oferece endpoints multirregionais nos seguintes locais:
- União Europeia
eu- Estados Unidos
us
Requisitos da residência de dados
Nesta seção, explicamos os requisitos para usar a residência de dados no Security Command Center e em serviços relacionados.
Requisitos do Security Command Center
É possível ativar a residência de dados para o Security Command Center apenas quando você ativa o nível de serviço Standard ou Premium para uma organização pela primeira vez. O nível Enterprise não oferece suporte à residência de dados.
Depois que a residência de dados é ativada, não é possível desativá-la.
Para usar a residência de dados, é necessário usar a API Security Command Center v2. Se a residência de dados estiver ativada, não será possível usar versões anteriores da API Security Command Center.
Se você não ativar a residência de dados ao ativar o Security Command Center, ele não vai restringir seus dados a um local específico. Eles serão armazenados de acordo com os Termos de Serviço do Google Cloud Platform.
Requisitos do Model Armor
Para o Model Armor, a residência de dados é ativada por padrão. Não é possível desativar a residência de dados para o Model Armor.
Como e quando a residência de dados é aplicada
Quando você ativa a residência de dados para o Security Command Center, alguns dados dele são mantidos em um local especificado quando estão em um dos seguintes estados:
Depois de ativar a residência de dados e selecionar um local de dados, o Security Command Center faz o seguinte:
- Quando uma descoberta é criada para um recurso que reside no local especificado, ela sempre fica no local dos seus dados.
- Quando uma descoberta é criada para um recurso que reside em outro local, ela acaba ficando no seu local de dados. No entanto, a descoberta pode residir temporariamente em uma região diferente.
- Quando você cria tipos específicos de recursos de configuração no local dos dados, eles ficam armazenados nesse local.
- Nos casos em que o Security Command Center armazena dados que não são Dados do cliente, conforme definido no item Localização de dados nos Google Cloud Termos de Serviço gerais, o Security Command Center armazena os dados de acordo com os Termos de Serviço do Google Cloud Platform.
Residência dos dados em repouso
Os dados estão em repouso quando todos os critérios a seguir são atendidos:
- Os dados são de um tipo de recurso sujeito a controles de residência de dados.
- Você não solicitou uma operação que exige o acesso aos dados.
- Os dados não estão sendo acessados de uma forma que produza registros de auditoria ou registros de transparência no acesso.
Residência de dados em uso
Os dados estão em uso quando todos os critérios a seguir são atendidos:
- Os dados são de um tipo de recurso sujeito a controles de residência de dados.
- Google Cloud está concluindo uma operação iniciada a seu pedido, por exemplo, porque seu aplicativo chamou a API Security Command Center, ou uma operação que produz registros de auditoria ou registros da Transparência no acesso.
- É possível que o Google Cloud opere nos dados de uma forma que exija conhecimento do significado deles, por exemplo, atualizando campos específicos em um recurso de configuração. Isso inclui qualquer caso em que os dados não estejam criptografados na memória.
Residência de dados em trânsito
Os dados estão em trânsito quando todos os critérios a seguir são atendidos:
- Os dados são de um tipo de recurso sujeito a controles de residência de dados.
- Os dados estão sendo transmitidos, com criptografia, na rede do Google, ou os dados estão na memória, com criptografia, para fins de transmissão na rede do Google.
Recursos e residência de dados do Security Command Center
A lista a seguir explica como o Security Command Center aplica controles de residência de dados aos recursos dele. Se um recurso não estiver listado aqui, ele não estará sujeito a controles de residência de dados e será armazenado de acordo com os Termos de Serviço do Google Cloud Platform.
- Exportações do BigQuery
As configurações do BigQuery Export estão sujeitas a controles de residência de dados. Use os endpoints regionais para criar e gerenciar esses recursos de configuração.
A API Security Command Center representa as configurações de exportação do BigQuery como recursos
BiqQueryExport.- Exportações contínuas
As configurações de exportação contínua estão sujeitas a controles de residência de dados. Use os endpoints regionais para criar e gerenciar esses recursos de configuração.
A API Security Command Center representa as configurações de exportação contínua como recursos
NotificationConfig.- Descobertas
As descobertas estão sujeitas aos controles de residência de dados.
Quando uma descoberta é criada para um recurso que reside no local de dados selecionado, ela sempre fica no mesmo local.
Quando uma descoberta é criada para um recurso que reside em outro local, ela acaba ficando no local de dados selecionado. No entanto, a descoberta pode estar em uma região diferente no momento da criação.
Para garantir que os resultados sempre estejam no local dos seus dados, crie todos os recursos do Google Cloud nesse local.
- Recursos do Model Armor
Todos os recursos do Model Armor estão sujeitos a controles de residência de dados. Use os endpoints regionais para criar e gerenciar esses recursos de configuração.
- Regras de silenciamento
As configurações de regras de silenciamento estão sujeitas aos controles de residência de dados. Use os endpoints regionais para criar e gerenciar esses recursos de configuração.
A API Security Command Center representa as configurações de regras de exclusão como recursos
MuteConfig.- Outros recursos e configurações do Security Command Center
Os recursos e as configurações do Security Command Center que não estão listados aqui, como aqueles que definem quais serviços estão ativados ou qual nível está ativo, não estão sujeitos a controles de residência de dados. Esses dados são armazenados de acordo com os Termos de Serviço do Google Cloud Platform.
Criar ou visualizar dados em um local
Quando a residência de dados está ativada, é necessário especificar um local ao criar ou visualizar dados que estão sujeitos a controles de residência de dados. O Security Command Center escolhe automaticamente um local para as descobertas que ele cria.
Só é possível criar ou acessar dados em um local por vez. Por exemplo, se você listar descobertas nos Estados Unidos (us), não vai ver descobertas na União Europeia (eu).
Para saber como criar ou acessar dados sujeitos a controles de residência de dados, consulte Sobre o console Google Cloud jurisdicional e Ferramentas para endpoints regionais.
A seguir
- Saiba como ativar o Security Command Center com a residência de dados ativada.
- Saiba como usar endpoints regionais do Security Command Center.
- Ative o Security Command Center para transmitir descobertas para o BigQuery.
- Configure exportações contínuas do Security Command Center para o Pub/Sub.
- Crie uma regra de silenciamento para descobertas.