Datenstandort planen

Mit der Datenstandortfunktion haben Sie mehr Kontrolle darüber, wo sich Ihre Security Command Center-Daten befinden. In diesem Dokument finden Sie wichtige Informationen dazu, wie Security Command Center die Datenstandortfunktion unterstützt.

Die folgenden Definitionen gelten für dieses Dokument:

• Ein Standort ist eine Google Cloud Region oder Multiregion die dem Standort entspricht, an dem sich Ihre Daten befinden.
• Die Bedeutung des Begriffs Ihre Daten entspricht der Bedeutung des Begriffs „Kundendaten“ im Element Datenstandort in den Google Cloud Allgemeinen Dienstbedingungen.

Informationen zum Arbeiten mit Security Command Center-Ressourcen, wenn die Datenstandortfunktion aktiviert ist, finden Sie unter Regionale Endpunkte von Security Command Center.

Unterstützte Datenspeicherorte

In diesem Abschnitt werden die Datenspeicherorte beschrieben, die Sie für Security Command Center und zugehörige Dienste verwenden können.

Datenspeicherorte von Security Command Center

Wenn Sie die Datenstandortfunktion aktivieren, unterstützt die Security Command Center API die folgenden Google Cloud Multiregionen als Datenspeicherorte:

Europäische Union (eu)

Daten befinden sich in einer Google Cloud Region in einem Mitgliedstaat der Europäischen Union.

Saudi-Arabien (sa)

Daten befinden sich in einer Google Cloud Region in Saudi-Arabien.

Vereinigte Staaten (us)

Daten befinden sich in einer Google Cloud Region in den Vereinigten Staaten.

Wenn Sie die Dienststufe „Standard“ oder „Premium“ verwenden, ändert sich durch ein Upgrade auf die Dienststufe „Enterprise“ der Speicherort Ihrer Security Command Center-Daten nicht. Wenn Sie die Datenstandortfunktion für Security Command Center für die Dienststufe „Standard“ oder „Premium“ nicht aktiviert haben, können Sie sie auch nicht aktivieren, wenn Sie auf die Dienststufe „Enterprise“ upgraden.

Weitere Informationen zu Security Command Center-Standorten finden Sie unter Produkte nach Standort verfügbar.

Wenn Sie einen Standardspeicherort für die Datenstandortfunktion angeben müssen, der von Security Command Center nicht unterstützt wird, wenden Sie sich an Ihren Kundenbetreuer oder einen Google Cloud Vertriebsspezialisten.

Datenspeicherorte von Google SecOps

Für Google Security Operations ist die Datenstandortfunktion immer aktiviert. Wo sich Google SecOps-Daten befinden, erfahren Sie in der Liste der Google SecOps-Standorte.

Unterstützte Funktionen und Einführungsphasen

Wenn Sie die Datenstandortfunktion aktivieren, sind einige Funktionen je nach verwendeter Dienststufe möglicherweise nicht verfügbar.

Enterprise-Stufe

Wenn Sie für die Enterprise-Dienststufe von Security Command Center die Datenstandortfunktion aktivieren, sind die folgenden Funktionen nicht verfügbar:

• Cloud Infrastructure Entitlement Management (CIEM) für externe Cloud-Anbieter
• Mandiant Attack Surface Management

Premium-Stufe

Wenn Sie für die Premium-Dienststufe von Security Command Center die Datenstandortfunktion aktivieren, sind die folgenden Funktionen nicht verfügbar:

• AI Protection in Datenstandortumgebungen in der EU oder in Saudi-Arabien

Funktionen und Dienste vor der allgemeinen Verfügbarkeit

Wie im Element Bedingungen für Pre-GA-Angebote in den Allgemeinen Dienstbedingungen, angegeben, gelten die Bedingungen für den Datenstandort nicht für Funktionen und Dienste vor derallgemeinen Verfügbarkeit (GA).

Anforderungen an den Datenstandort

In diesem Abschnitt werden die Anforderungen für die Verwendung der Datenstandortfunktion in Security Command Center und zugehörigen Diensten erläutert.

Anforderungen an Security Command Center

Sie können die Datenstandortfunktion für Security Command Center nur aktivieren, wenn Sie Security Command Center zum ersten Mal für eine Organisation aktivieren. Nachdem die Datenstandortfunktion aktiviert wurde, können Sie sie nicht mehr deaktivieren.

Für die Datenstandortfunktion müssen Sie die Security Command Center API v2 verwenden. Wenn die Datenstandortfunktion aktiviert ist, können Sie keine früheren Versionen der Security Command Center API verwenden.

Wenn Sie die Datenstandortfunktion beim Aktivieren von Security Command Center nicht aktivieren, dann beschränkt Security Command Center Ihre Daten nicht auf einen bestimmten Standort, und sie werden gemäß den Nutzungsbedingungen für die Google Cloud Platformgespeichert.

Wenn die Dienststufe „Security Command Center Standard“ automatisch in Ihrer Organisation aktiviert wurde und Sie dann eine Organisationsrichtlinie bereitstellen, die Ressourcenstandorte einschränkt, wird Security Command Center möglicherweise deaktiviert. Weitere Informationen zu dieser Änderung finden Sie unter Überlegungen zum Datenstandort nach der automatischen Aktivierung der Dienststufe „Standard“. Sie müssen es manuell reaktivieren.

Anforderungen an Google SecOps

Für Google SecOps ist die Datenstandortfunktion standardmäßig aktiviert. Sie können die Datenstandortfunktion für Google SecOps nicht deaktivieren.

So und wann wird die Datenstandortfunktion erzwungen

Wenn Sie die Datenstandortfunktion für Security Command Center aktivieren, werden einige Security Command Center-Daten an einem bestimmten Standort aufbewahrt, wenn sie sich in einem der folgenden Zustände befinden:

• Im inaktiven Zustand: Im nichtflüchtigen Speicher gespeichert
• In Verwendung: Im Arbeitsspeicher
• Bei der Übertragung: Im Arbeitsspeicher oder im Netzwerk, und mit Transport Layer Security (TLS) verschlüsselt von einem Client außerhalb von Google

Nachdem Sie die Datenstandortfunktion aktiviert und einen Datenspeicherort ausgewählt haben, führt Security Command Center Folgendes aus:

• Wenn ein Ergebnis für eine Ressource erstellt wird, die sich am angegebenen Standort befindet, befindet sich das Ergebnis immer an Ihrem Datenspeicherort.
• Wenn ein Ergebnis für eine Ressource erstellt wird, die sich an einem anderen Standort befindet, befindet sich das Ergebnis schließlich an Ihrem Datenspeicherort. Das Ergebnis befindet sich jedoch möglicherweise vorübergehend in einer anderen Region.
• Wenn Sie bestimmte Arten von Konfigurationsressourcen an Ihrem Daten speicherort erstellen, befinden sie sich an diesem Standort.
• In Fällen, in denen Security Command Center Daten speichert, die nicht Kundendaten sind, wie im Element Datenstandort in den Google Cloud Allgemeinen Dienstbedingungen definiert, speichert Security Command Center die Daten gemäß den Nutzungsbedingungen für die Google Cloud Platform.

Security Command Center-Ressourcen und Datenstandort

In der folgenden Liste wird erläutert, wie Security Command Center Datenstandortkontrollen auf Security Command Center-Ressourcen anwendet. Wenn eine Ressource hier nicht aufgeführt ist, unterliegt sie keinen Datenstandortkontrollen und wird gemäß den Nutzungsbedingungen für die Google Cloud Platform gespeichert.

BigQuery-Exporte

Für BigQuery-Exportkonfigurationen gelten Datenstandortkontrollen. Verwenden Sie die regionalen Endpunkte, um diese Konfigurationsressourcen zu erstellen und zu verwalten.

Die Security Command Center API stellt BigQuery-Export konfigurationen als BiqQueryExport Ressourcen dar.

Kontinuierliche Exporte

Für Konfigurationen für kontinuierliche Exporte gelten Datenstandortkontrollen. Verwenden Sie die regionalen Endpunkte, um diese Konfigurationsressourcen zu erstellen und zu verwalten.

Die Security Command Center API stellt Konfigurationen für kontinuierliche Exporte als NotificationConfig Ressourcen dar.

Ergebnisse

Für Ergebnisse gelten Datenstandortkontrollen.

Wenn ein Ergebnis für eine Ressource erstellt wird, die sich an dem von Ihnen ausgewählten Datenspeicherort befindet, befindet sich das Ergebnis immer am selben Standort.

Wenn ein Ergebnis für eine Ressource erstellt wird, die sich an einem anderen Standort befindet, befindet sich das Ergebnis schließlich an dem von Ihnen ausgewählten Datenspeicherort. Das Ergebnis befindet sich jedoch möglicherweise in einer anderen Region, wenn es erstellt wird.

Wenn Sie alle Ergebnisse an Ihrem Datenspeicherort aufbewahren möchten, erstellen Sie alle Ihre Google Cloud Ressourcen an diesem Standort.

Google SecOps-Ressourcen

Für alle Google SecOps-Ressourcen gelten Datenstandortkontrollen. Verwenden Sie die regionalen Endpunkte, um diese Konfigurationsressourcen zu erstellen und zu verwalten.

Ausblendungsregeln

Für Konfigurationen von Ausblendungsregeln gelten Datenstandortkontrollen. Verwenden Sie die regionalen Endpunkte, um diese Konfigurationsressourcen zu erstellen und zu verwalten.

Die Security Command Center API stellt Konfigurationen von Ausblendungsregeln als MuteConfig Ressourcen dar.

Andere Security Command Center-Ressourcen und -Einstellungen

Security Command Center-Ressourcen und -Einstellungen, die in dieser Liste fehlen, z. B. solche, die definieren, welche Dienste aktiviert sind oder welche Dienststufe aktiv ist, unterliegen keinen Datenstandortkontrollen. Diese Daten werden gemäß den Nutzungsbedingungen für die Google Cloud Platform gespeichert.

Daten an einem Standort erstellen oder ansehen

Wenn die Datenstandortfunktion aktiviert ist, müssen Sie einen Standort angeben, wenn Sie Daten erstellen oder ansehen, die Datenstandortkontrollen unterliegen. Security Command Center wählt automatisch einen Standort für die erstellten Ergebnisse aus.

Sie können Daten jeweils nur an einem Standort erstellen oder ansehen. Wenn Sie beispielsweise Ergebnisse am Standort „Vereinigte Staaten“ (us) auflisten, werden keine Ergebnisse am Standort „Europäische Union“ (eu) angezeigt.

Informationen zum Erstellen oder Ansehen von Daten, die Datenstandortkontrollen unterliegen, finden Sie unter Gerichtsbarkeit der Google Cloud Console und Tools für regionale Endpunkte.

Nächste Schritte

• Informationen zum Aktivieren von Security Command Center für eine Organisation
• Informationen zur Verwendung regionaler Endpunkte von Security Command Center.
• Security Command Center aktivieren, um Ergebnisse an BigQuery zu streamen.
• Kontinuierliche Exporte von Security Command Center nach Pub/Sub einrichten
• Ausblendungsregel für Ergebnisse erstellen