Esta página descreve a segurança dos dados e da infraestrutura que se aplica ao Security Command Center.
Processamento de dados
Quando se inscreve no Security Command Center, Google Cloud processa informações relativas aos Google Cloud serviços que utiliza, incluindo o seguinte:
- A configuração e os metadados associados aos seus Google Cloud recursos
- A configuração e os metadados das suas políticas de gestão de identidade e de acesso (IAM) e utilizadores
- Padrões de utilização e acesso à API ao nívelGoogle Cloud
- Conteúdos do Cloud Logging para a sua Google Cloud organização
- Metadados do Security Command Center, incluindo definições de serviço e resultados de segurança
O Security Command Center processa dados relacionados com os seus registos e recursos na nuvem que configura para serem analisados ou monitorizados, incluindo telemetria e outros dados neles contidos, para fornecer resultados e melhorar o serviço. Como tal, os relatórios de análise e monitorização são processados como dados de serviço pela Google de acordo com os termos do Aviso de Privacidade do Google Cloud.
Para proteger os seus recursos contra ameaças novas e em evolução, o Security Command Center analisa dados relacionados com recursos configurados incorretamente, indicadores de comprometimento nos registos e vetores de ataque. Esta atividade pode incluir o processamento para melhorar os modelos de serviços, as recomendações para reforçar os ambientes dos clientes, a eficácia e a qualidade dos serviços, e a experiência do utilizador. Se preferir utilizar o serviço sem que os seus dados sejam processados para fins de melhoria do serviço, pode contactar o Google Cloud apoio técnico para recusar a opção. Determinadas funcionalidades que dependem da telemetria de segurança podem não estar disponíveis se recusar a sua utilização. Exemplos destas são deteções personalizadas adaptadas ao seu ambiente e melhorias do serviço que incorporam as suas configurações de serviço.
Os dados são encriptados em repouso e em trânsito entre sistemas internos. Além disso, os controlos de acesso aos dados do Centro de Comando de Segurança estão em conformidade com a Lei de Portabilidade e Responsabilidade dos Seguros de Saúde (HIPAA) e outras Google Cloud ofertas de conformidade.
Limitar dados confidenciais
Os administradores e outros utilizadores privilegiados na sua organização têm de ter o devido cuidado ao adicionar dados ao Security Command Center.
O Security Command Center permite que os utilizadores com privilégios adicionem informações descritivas aos Google Cloud recursos e às conclusões geradas pelas análises. Em alguns casos, os utilizadores podem retransmitir dados confidenciais sem saber quando usam o produto, por exemplo, adicionando nomes de clientes ou números de contas às conclusões. Para proteger os seus dados, recomendamos que evite adicionar informações confidenciais ao atribuir nomes ou anotar recursos.
Como salvaguarda adicional, o Security Command Center pode ser integrado com a proteção de dados confidenciais. A proteção de dados confidenciais descobre, classifica e oculta dados confidenciais e informações pessoais, como números de cartões de crédito, números da segurança social e Google Cloud credenciais.
Consoante a quantidade de informações, os custos da proteção de dados confidenciais podem ser significativos. Siga as práticas recomendadas para manter os custos da proteção de dados confidenciais sob controlo.
Para orientações sobre a configuração do Security Command Center, incluindo a gestão de recursos, consulte o artigo Otimizar o Security Command Center.
Retenção de dados para resultados
Os dados que o Security Command Center processa são capturados e armazenados em descobertas que identificam ameaças, vulnerabilidades e configurações incorretas nos recursos e ativos na sua organização, pastas e projetos. As conclusões contêm uma série de resumos diários que captam o estado e as propriedades de uma conclusão todos os dias.
A tabela seguinte mostra os períodos de retenção das descobertas no Security Command Center.
| Encontrar | Período de retenção |
|---|---|
| Vulnerabilidade inativa | 7 dias |
| Configuração incorreta inativa | 30 dias |
| Tudo ativo (exceto ameaças) | Eliminado após o seguinte período:
Se o problema subjacente de uma configuração incorreta ou de uma deteção de vulnerabilidade permanecer por resolver ou ocorrer novamente, o Security Command Center recria a deteção numa análise de deteção subsequente. |
| Todas as outras conclusões | 90 dias |
Uma descoberta persiste no Security Command Center enquanto contiver, pelo menos, uma captura de ecrã que permanece dentro do período de retenção aplicável. Para manter as conclusões e todos os respetivos dados durante períodos mais longos, exporte-os para outra localização de armazenamento. Para saber mais, consulte o artigo Exportar dados do Security Command Center.
Todas as conclusões de terceiros são eliminadas após o tempo de criação exceder o período de retenção. Os resultados gerados por erro ou sem qualquer valor de segurança, risco ou conformidade podem ser eliminados em qualquer altura.
Para todos os níveis, aplica-se uma exceção aos períodos de retenção quando uma organização é eliminada do Google Cloud. Quando uma organização é eliminada, todas as conclusões derivadas da organização e das respetivas pastas e projetos são eliminadas dentro do período de retenção documentado em Eliminação de dados no Google Cloud.
Se um projeto for eliminado, as conclusões do projeto não são eliminadas ao mesmo tempo, mas são retidas para a capacidade de auditoria da organização que continha o projeto eliminado. O período de retenção depende do nível que estava ativo no projeto eliminado: 13 meses para os níveis Enterprise e Premium ou 35 dias para o nível Standard.
Se eliminar um projeto e precisar de eliminar todas as descobertas do projeto ao mesmo tempo, contacte o apoio técnico ao cliente da nuvem, que pode iniciar uma eliminação antecipada de todas as descobertas no projeto por si.
Retenção de dados para clones de disco
A Deteção de ameaças de máquinas virtuais cria clones de curta duração do disco persistente da sua VM e armazena-os em projetos pertencentes à Google, na mesma zona para discos zonais ou na mesma região para discos regionais. A Deteção de ameaças de VMs analisa as clonagens de discos e elimina-as no prazo de uma hora após a conclusão das atividades de análise de discos e o processamento de erros, como os tempos limite.
Segurança das infraestruturas
O Security Command Center é criado com base na mesma infraestrutura que a Google usa para os seus próprios serviços de consumo e empresariais. A segurança em camadas da nossa infraestrutura foi concebida para proteger todos os serviços, dados, comunicações e operações na Google Cloud.
Para saber mais sobre a segurança da infraestrutura da Google, consulte a vista geral do design de segurança da infraestrutura da Google.
O que se segue?
Para saber mais sobre as funcionalidades e as vantagens do Security Command Center, consulte a vista geral do Security Command Center.
Saiba mais sobre a utilização do Security Command Center.