Pianificazione della residenza dei dati

La residenza dei dati ti offre un maggiore controllo sulla posizione dei dati di Security Command Center. Questo documento fornisce informazioni essenziali su come Security Command Center supporta la residenza dei dati.

Nel presente documento vengono utilizzate le seguenti definizioni:

• Una località è una Google Cloud regione o una multi-regione che corrisponde alla località in cui risiedono i dati.
• Il significato del termine i tuoi dati è equivalente al significato del termine "Dati del cliente" nell'elemento Localizzazione dei dati nei Google Cloud Termini di servizio generali.

Per scoprire come utilizzare le risorse di Security Command Center quando la residenza dei dati è abilitata, vedi Endpoint regionali di Security Command Center.

Località dei dati supportate

Questa sezione descrive le località dei dati che puoi utilizzare per Security Command Center e i servizi correlati.

Località dei dati di Security Command Center

Quando abiliti la residenza dei dati, l'API Security Command Center supporta le seguenti Google Cloud multi-regioni come località dei dati:

Unione Europea (eu)

I dati risiedono in qualsiasi Google Cloud regione all'interno degli stati membri dell' Unione Europea.

Regno dell'Arabia Saudita (KSA) (sa)

I dati risiedono in qualsiasi Google Cloud regione dell'Arabia Saudita.

Stati Uniti (us)

I dati risiedono in qualsiasi Google Cloud regione degli Stati Uniti.

Se utilizzi il livello di servizio Standard o Premium, l'upgrade al livello Enterprise non modifica la località dei dati di Security Command Center. Se non hai abilitato la residenza dei dati di Security Command Center per il livello Standard o Premium, non puoi abilitarla quando esegui l'upgrade al livello Enterprise.

Per ulteriori informazioni sulle località di Security Command Center, vedi Prodotti disponibili per località.

Se devi specificare una località predefinita per la residenza dei dati che Security Command Center non supporta, contatta il tuo rappresentante dell'account o uno Google Cloud specialista delle vendite.

Località dei dati di Google SecOps

Per Google Security Operations, la residenza dei dati è sempre abilitata. Per scoprire dove risiedono i dati di Google SecOps, consulta l'elenco delle località di Google SecOps.

Funzionalità supportate e fasi di lancio

Se abiliti la residenza dei dati, alcune funzionalità potrebbero non essere disponibili, a seconda del livello di servizio che stai utilizzando.

Livello Enterprise

Per il livello di servizio Enterprise di Security Command Center, se abiliti la residenza dei dati, le seguenti funzionalità non sono disponibili:

• Cloud Infrastructure Entitlement Management (CIEM) per i fornitori di servizi cloud esterni
• Mandiant Attack Surface Management

Livello Premium

Per il livello di servizio Premium di Security Command Center, se abiliti la residenza dei dati, le seguenti funzionalità non sono disponibili:

• AI Protection negli ambienti di residenza dei dati dell'UE o dell'Arabia Saudita

Funzionalità e servizi pre-GA

Come indicato nell'elemento Termini delle offerte pre-GA nei Termini di servizio generali, i termini Localizzazione dei dati non si applicano alle funzionalità e ai servizi pre-Disponibilità generale (GA).

Requisiti per la residenza dei dati

Questa sezione spiega i requisiti per l'utilizzo della residenza dei dati in Security Command Center e nei servizi correlati.

Requisiti per Security Command Center

Puoi abilitare la residenza dei dati per Security Command Center solo quando lo attivi per un'organizzazione per la prima volta. Una volta abilitata la residenza dei dati, non puoi disabilitarla.

La residenza dei dati richiede l'utilizzo dell'API Security Command Center v2. Se la residenza dei dati è abilitata, non puoi utilizzare le versioni precedenti dell'API Security Command Center.

Se non abiliti la residenza dei dati quando attivi Security Command Center, allora Security Command Center non limita i dati a una località specifica e li archivia in conformità ai Termini di servizio di Google Cloud Platform.

Se il livello Standard di Security Command Center è stato attivato automaticamente nella tua organizzazione e poi esegui il deployment di un criterio dell'organizzazione che limita le località delle risorse, Security Command Center potrebbe essere disattivato. Per ulteriori informazioni su questa modifica, vedi Considerazioni sulla residenza dei dati dopo l'attivazione automatica del livello Standard. Devi riattivarlo manualmente.

Requisiti per Google SecOps

Per Google SecOps, la residenza dei dati è abilitata per impostazione predefinita. Non puoi disabilitare la residenza dei dati per Google SecOps.

Come e quando viene applicata la residenza dei dati

Quando abiliti la residenza dei dati per Security Command Center, alcuni dati di Security Command Center vengono conservati in una località specificata quando si trovano in uno dei seguenti stati:

• A riposo: salvati in uno spazio di archiviazione permanente
• In uso: in memoria
• In transito: in memoria o in rete, e criptati con Transport Layer Security (TLS) da un client esterno a Google

Dopo aver abilitato la residenza dei dati e selezionato una località dei dati, Security Command Center esegue le seguenti operazioni:

• Quando viene creato un risultato per una risorsa che si trova nella località specificata, il risultato risiede sempre nella località dei dati.
• Quando viene creato un risultato per una risorsa che si trova in un'altra località, il risultato risiede nella località dei dati. Tuttavia, il risultato potrebbe risiedere temporaneamente in un'altra regione.
• Quando crei tipi specifici di risorse di configurazione nella località dei dati, queste risiedono in quella località.
• Nei casi in cui Security Command Center archivia dati che non sono Dati del cliente, come definito nell'elemento Localizzazione dei dati nei Google Cloud Termini di servizio generali, Security Command Center archivia i dati in conformità ai Termini di servizio di Google Cloud Platform.

Risorse di Security Command Center e residenza dei dati

Il seguente elenco spiega come Security Command Center applica i controlli di residenza dei dati alle risorse di Security Command Center. Se una risorsa non è elencata qui, non è soggetta ai controlli di residenza dei dati e viene archiviata in conformità con i Termini di servizio di Google Cloud Platform.

Esportazioni BigQuery

Le configurazioni di BigQuery Export sono soggette ai controlli di residenza dei dati. Utilizza gli endpoint regionali per creare e gestire queste risorse di configurazione.

L'API Security Command Center rappresenta le configurazioni di BigQuery Export come BiqQueryExport risorse.

Esportazioni continue

Le configurazioni di esportazione continua sono soggette ai controlli di residenza dei dati. Utilizza gli endpoint regionali per creare e gestire queste risorse di configurazione.

L'API Security Command Center rappresenta le configurazioni di esportazione continua come NotificationConfig risorse.

Risultati

I risultati sono soggetti ai controlli di residenza dei dati.

Quando viene creato un risultato per una risorsa che si trova nella località dei dati selezionata, il risultato risiede sempre nella stessa località.

Quando viene creato un risultato per una risorsa che si trova in un'altra località, il risultato risiede nella località dei dati selezionata. Tuttavia, il risultato potrebbe risiedere in un'altra regione al momento della creazione.

Per conservare tutti i risultati nella località dei dati, crea sempre tutte le Google Cloud risorse in quella località.

Risorse di Google SecOps

Tutte le risorse di Google SecOps sono soggette ai controlli di residenza dei dati. Utilizza gli endpoint regionali per creare e gestire queste risorse di configurazione.

Regole di disattivazione

Le configurazioni delle regole di silenziamento sono soggette ai controlli di residenza dei dati. Utilizza gli endpoint regionali per creare e gestire queste risorse di configurazione.

L'API Security Command Center rappresenta le configurazioni delle regole di silenziamento come MuteConfig risorse.

Altre risorse e impostazioni di Security Command Center

Le risorse e le impostazioni di Security Command Center mancanti in questo elenco, ad esempio quelle che definiscono quali servizi sono abilitati o quale livello è attivo, non sono soggette ai controlli di residenza dei dati. Questi dati vengono archiviati in conformità ai Termini di servizio di Google Cloud Platform.

Creare o visualizzare i dati in una località

Quando la residenza dei dati è abilitata, devi specificare una località quando crei o visualizzi i dati soggetti ai controlli di residenza dei dati. Security Command Center sceglie automaticamente una località per i risultati che crea.

Puoi creare o visualizzare i dati in una sola località alla volta. Ad esempio, se elenchi i risultati nella località Stati Uniti (us), non vedrai i risultati nella località Unione Europea (eu).

Per scoprire come creare o visualizzare i dati soggetti ai controlli di residenza dei dati, vedi Informazioni sulla console Google Cloud giurisdizionale e Strumenti per gli endpoint regionali.

Passaggi successivi

• Scopri come attivare Security Command Center per un'organizzazione.
• Scopri come utilizzare gli endpoint regionali di Security Command Center.
• Abilita Security Command Center per lo streaming dei risultati in BigQuery.
• Configura le esportazioni continue da Security Command Center a Pub/Sub.
• Crea una regola di silenziamento per i risultati.