Pianificazione della residenza dei dati

La residenza dei dati ti offre un maggiore controllo sulla posizione dei dati di Security Command Center. Questo documento fornisce informazioni essenziali su come Security Command Center supporta la residenza dei dati.

Le seguenti definizioni si applicano al presente documento:

• Una località è una Google Cloud regione o multiregione che corrisponde alla posizione in cui si trovano i tuoi dati.
• Il significato del termine i tuoi dati è equivalente a quello del termine "Dati del cliente" nella voce Posizione dei dati dei Google Cloud Termini di servizio generali.

Per scoprire come utilizzare le risorse di Security Command Center quando la residenza dei dati è abilitata, consulta Endpoint regionali di Security Command Center.

Località dei dati supportate

Questa sezione descrive le località dei dati che puoi utilizzare per Security Command Center e i servizi correlati.

Posizioni dei dati di Security Command Center

Quando abiliti la residenza dei dati, l'API Security Command Center supporta le seguenti Google Cloud aree multiregionali come località dei dati:

Unione Europea (eu)

I dati risiedono in qualsiasi Google Cloud regione all'interno degli stati membri dell'Unione Europea.

Regno dell'Arabia Saudita (KSA) (sa)

I dati risiedono in una Google Cloud regione dell'Arabia Saudita.

Stati Uniti (us)

I dati risiedono in una Google Cloud regione degli Stati Uniti.

Se utilizzi il livello di servizio Standard o Premium, l'upgrade al livello Enterprise non modifica la posizione dei dati di Security Command Center. Se non hai attivato la residenza dei dati di Security Command Center per il livello Standard o Premium, non puoi attivarla quando esegui l'upgrade al livello Enterprise.

Per ulteriori informazioni sulle località di Security Command Center, vedi Prodotti disponibili per località.

Se devi specificare una località predefinita per la residenza dei dati che Security Command Center non supporta, contatta il tuo rappresentante dell'account o un Google Cloud specialista delle vendite.

Località dei dati di Google SecOps

Per Google Security Operations, la residenza dei dati è sempre attiva. Per scoprire dove si trovano i dati di Google SecOps, consulta l'elenco delle località di Google SecOps.

Funzionalità supportate e fasi di lancio

Se attivi la residenza dei dati, alcune funzionalità potrebbero non essere disponibili, a seconda del livello di servizio che utilizzi.

Livello Enterprise

Per il livello di servizio Enterprise di Security Command Center, se abiliti la residenza dei dati, le seguenti funzionalità non sono disponibili:

• Cloud Infrastructure Entitlement Management (CIEM) per fornitori di servizi cloud esterni

• I conteggi Risorse analizzate nella pagina Conformità nella console Google Cloud

  Si applica solo se utilizzi Security Health Analytics per la gestione della conformità.

• Mandiant Attack Surface Management

Livello Premium

Per il livello di servizio Premium di Security Command Center, se abiliti la residenza dei dati, le seguenti funzionalità non sono disponibili:

• Protezione AI negli ambienti di residenza dei dati dell'UE o dell'Arabia Saudita

• I conteggi Risorse analizzate nella pagina Conformità nella console Google Cloud

  Si applica solo se utilizzi Security Health Analytics per la gestione della conformità.

Funzionalità e servizi pre-GA

Come indicato nell'articolo Termini delle offerte pre-GA dei Termini di servizio generali, i termini relativi alla Località dei dati non si applicano alle funzionalità e ai servizi pre-disponibilità generale (GA).

Requisiti per la residenza dei dati

Questa sezione spiega i requisiti per l'utilizzo della residenza dei dati in Security Command Center e nei servizi correlati.

Requisiti per Security Command Center

Puoi abilitare la residenza dei dati per Security Command Center solo quando attivi Security Command Center per un'organizzazione per la prima volta. Una volta attivata la residenza dei dati, non puoi disattivarla.

La residenza dei dati richiede l'utilizzo dell'API Security Command Center v2. Se la residenza dei dati è abilitata, non puoi utilizzare versioni precedenti dell'API Security Command Center.

Se non abiliti la residenza dei dati quando attivi Security Command Center, quest'ultimo non limita i tuoi dati a una posizione specifica e vengono archiviati in conformità ai Termini di servizio di Google Cloud Platform.

Se il livello Security Command Center Standard è stato attivato automaticamente nella tua organizzazione e poi esegui il deployment di una policy dell'organizzazione che limita le località delle risorse, Security Command Center potrebbe essere disattivato. Per saperne di più su questa modifica, consulta Considerazioni sulla residenza dei dati dopo l'attivazione automatica del livello Standard. Devi riattivarlo manualmente.

Requisiti per Google SecOps

Per Google SecOps, la residenza dei dati è abilitata per impostazione predefinita. Non puoi disattivare la residenza dei dati per Google SecOps.

Come e quando viene applicata la residenza dei dati

Quando abiliti la residenza dei dati per Security Command Center, alcuni dati di Security Command Center vengono conservati in una località specificata quando si trovano in uno dei seguenti stati:

• A riposo: impegnati nell'archiviazione permanente
• In uso: in memoria
• In transito: in memoria o via cavo, e criptati con Transport Layer Security (TLS) da un client esterno a Google

Dopo aver abilitato la residenza dei dati e selezionato una posizione dei dati, Security Command Center esegue le seguenti operazioni:

• Quando viene creato un risultato per una risorsa che si trova nella posizione specificata, il risultato si trova sempre nella posizione dei dati.
• Quando viene creato un risultato per una risorsa che si trova in un'altra posizione, il risultato alla fine si trova nella tua posizione dei dati. Tuttavia, il risultato potrebbe risiedere temporaneamente in un'altra regione.
• Quando crei tipi specifici di risorse di configurazione nella tua posizione dei dati, queste risiedono in quella posizione.
• Nei casi in cui Security Command Center memorizza dati che non sono Dati dei clienti, come definito nell'elemento Posizione dei dati dei Google Cloud Termini di servizio generali, Security Command Center memorizza i dati in conformità ai Termini di servizio di Google Cloud Platform.

Risorse di Security Command Center e residenza dei dati

Il seguente elenco spiega come Security Command Center applica i controlli di residenza dei dati alle risorse di Security Command Center. Se una risorsa non è elencata qui, non è soggetta ai controlli di residenza dei dati e viene archiviata in conformità ai Termini di servizio di Google Cloud Platform.

esportazioni BigQuery

Le configurazioni di BigQuery Export sono soggette ai controlli di residenza dei dati. Utilizza gli endpoint regionali per creare e gestire queste risorse di configurazione.

L'API Security Command Center rappresenta le configurazioni di BigQuery Export come risorse BiqQueryExport.

Esportazioni continue

Le configurazioni dell'esportazione continua sono soggette ai controlli della residenza dei dati. Utilizza gli endpoint regionali per creare e gestire queste risorse di configurazione.

L'API Security Command Center rappresenta le configurazioni di esportazione continua come risorse NotificationConfig.

Risultati

I risultati sono soggetti ai controlli per la residenza dei dati.

Quando viene creato un risultato per una risorsa che si trova nella posizione dei dati che hai selezionato, il risultato si trova sempre nella stessa posizione.

Quando viene creato un risultato per una risorsa che si trova in un'altra posizione, il risultato si trova infine nella posizione dei dati che hai selezionato. Tuttavia, il risultato potrebbe trovarsi in una regione diversa al momento della creazione.

Per conservare tutti i risultati nella posizione dei dati, crea sempre tutte le tue risorseGoogle Cloud in quella posizione.

Risorse di Google SecOps

Tutte le risorse Google SecOps sono soggette ai controlli per la residenza dei dati. Utilizza gli endpoint regionali per creare e gestire queste risorse di configurazione.

Regole di disattivazione

Le configurazioni delle regole di silenziamento sono soggette ai controlli della residenza dei dati. Utilizza gli endpoint regionali per creare e gestire queste risorse di configurazione.

L'API Security Command Center rappresenta le configurazioni delle regole di silenziamento come risorse MuteConfig.

Altre risorse e impostazioni di Security Command Center

Le risorse e le impostazioni di Security Command Center mancanti in questo elenco, ad esempio quelle che definiscono quali servizi sono abilitati o quale livello è attivo, non sono soggette ai controlli di residenza dei dati. Questi dati vengono archiviati in conformità con i Termini di servizio di Google Cloud Platform.

Creare o visualizzare dati in una località

Quando la residenza dei dati è abilitata, devi specificare una località quando crei o visualizzi dati soggetti ai controlli per la residenza dei dati. Security Command Center sceglie automaticamente una località per i risultati che crea.

Puoi creare o visualizzare i dati in una sola posizione alla volta. Ad esempio, se elenco i risultati nella località Stati Uniti (us), non vedrai i risultati nella località Unione Europea (eu).

Per scoprire come creare o visualizzare i dati soggetti ai controlli di residenza dei dati, vedi Informazioni sulla console Google Cloud giurisdizionale e Strumenti per gli endpoint regionali.

Passaggi successivi

• Scopri come attivare Security Command Center per un'organizzazione.
• Scopri come utilizzare gli endpoint regionali di Security Command Center.
• Consenti a Security Command Center di trasmettere i risultati in streaming a BigQuery.
• Configura le esportazioni continue da Security Command Center a Pub/Sub.
• Crea una regola di silenziamento per i risultati.