Planejar a residência de dados

A residência de dados oferece mais controle sobre a localização dos dados do Security Command Center. Este documento fornece informações essenciais sobre como o Security Command Center oferece suporte à residência de dados.

As definições a seguir são aplicáveis a este documento:

• Um local é uma Google Cloud região ou multirregião que corresponde ao local em que seus dados estão armazenados.
• O significado do termo seus dados é equivalente ao significado do termo "Dados do cliente" no item Localização dos dados dos Google Cloud Termos gerais de serviço.

Para saber como trabalhar com recursos do Security Command Center quando a residência de dados está ativada, consulte Endpoints regionais do Security Command Center.

Locais de dados compatíveis

Nesta seção, descrevemos os locais de dados que podem ser usados para o Security Command Center e serviços relacionados.

Locais de dados do Security Command Center

Quando você ativa a residência de dados, a API Security Command Center oferece suporte às seguintes Google Cloud multirregiões como locais de dados:

União Europeia (eu)

Os dados residem em qualquer região nos estados-membros da União Europeia.

Google Cloud

Reino da Arábia Saudita (KSA) (sa)

Os dados residem em qualquer região Google Cloud do Reino da Arábia Saudita.

Estados Unidos (us)

Os dados residem em qualquer região Google Cloud dos Estados Unidos.

Se você usa o nível de serviço Standard ou Premium, o upgrade para o nível Enterprise não muda o local dos dados do Security Command Center. Se você não ativou a residência de dados do Security Command Center para o nível Standard ou Premium, não será possível ativá-la ao fazer upgrade para o nível Enterprise.

Para mais informações sobre os locais do Security Command Center, consulte Produtos disponíveis por local.

Se você precisar especificar um local padrão para residência de dados que o Security Command Center não oferece suporte, entre em contato com seu representante de conta ou um Google Cloud especialista em vendas.

Locais de dados do Google SecOps

No Google Security Operations, a residência de dados está sempre ativada. Para saber onde os dados do Google SecOps estão localizados, consulte a lista de locais do Google SecOps.

Recursos e etapas de lançamento compatíveis

Se você ativar a residência de dados, alguns recursos poderão não estar disponíveis, dependendo do nível de serviço que você está usando.

Nível Enterprise

Para o nível de serviço Enterprise do Security Command Center, se você ativar a residência de dados, os seguintes recursos não estarão disponíveis:

• Gerenciamento de direitos de infraestrutura em nuvem (CIEM) para provedores de nuvem externos

• Contagens de Recursos verificados na página Compliance no console do Google Cloud

  Aplicável apenas se você usar a Análise de integridade da segurança para gerenciamento de compliance.

• Gerenciamento de superfície de ataque da Mandiant

Nível Premium

Para o nível de serviço Premium do Security Command Center, se você ativar a residência de dados, os seguintes recursos não estarão disponíveis:

• Proteção para IA em ambientes de residência de dados da UE ou do Reino da Arábia Saudita

• Contagens de Recursos verificados na página Compliance no console do Google Cloud

  Aplicável apenas se você usar a Análise de integridade da segurança para gerenciamento de compliance.

Recursos e serviços pré-GA

Conforme declarado no item Termos das ofertas pré-GA dos Termos gerais de serviço, os termos de Localização de dados não se aplicam a recursos e serviços pré-Disponibilidade geral (GA).

Requisitos da residência de dados

Nesta seção, explicamos os requisitos para usar a residência de dados no Security Command Center e em serviços relacionados.

Requisitos do Security Command Center

Só é possível ativar a residência de dados para o Security Command Center quando você ativa o Security Command Center para uma organização pela primeira vez. Depois que a residência de dados é ativada, não é possível desativá-la.

Para usar a residência de dados, é necessário usar a API v2 do Security Command Center. Se a residência de dados estiver ativada, não será possível usar versões anteriores da API Security Command Center.

Se você não ativar a residência de dados ao ativar o Security Command Center, ele não vai restringir seus dados a um local específico, e eles serão armazenados de acordo com os Termos de Serviço do Google Cloud Platform.

Se o nível Standard do Security Command Center foi ativado automaticamente na sua organização, e você implanta uma política da organização que restringe os locais de recursos, o Security Command Center pode ser desativado. Para mais informações sobre essa mudança, consulte Considerações sobre a residência de dados após a ativação automática do nível Standard. É necessário reativar manualmente.

Requisitos para o Google SecOps

No Google SecOps, a residência de dados é ativada por padrão. Não é possível desativar a residência de dados para o Google SecOps.

Como e quando a residência de dados é aplicada

Quando você ativa a residência de dados para o Security Command Center, alguns dados dele são mantidos em um local especificado quando estão em um dos seguintes estados:

• Em repouso: armazenados em armazenamento permanente
• Em uso: na memória
• Em trânsito: na memória ou na rede, e criptografados com Transport Layer Security (TLS) por um cliente fora do Google

Depois que você ativa a residência de dados e seleciona um local de dados, o Security Command Center faz o seguinte:

• Quando uma descoberta é criada para um recurso que reside no local especificado, ela sempre fica no local dos seus dados.
• Quando uma descoberta é criada para um recurso que reside em outro local, ela acaba ficando no seu local de dados. No entanto, a descoberta pode residir temporariamente em uma região diferente.
• Quando você cria tipos específicos de recursos de configuração no local dos dados, eles ficam armazenados lá.
• Nos casos em que o Security Command Center armazena dados que não são Dados do cliente, conforme definido no item Localização dos dados dos Termos de Serviço gerais do Google Cloud, o Security Command Center armazena os dados de acordo com os Termos de Serviço do Google Cloud Platform.

Recursos e residência de dados do Security Command Center

A lista a seguir explica como o Security Command Center aplica controles de residência de dados aos recursos dele. Se um recurso não estiver listado aqui, ele não estará sujeito aos controles de residência de dados e será armazenado de acordo com os Termos de Serviço do Google Cloud Platform.

Exportações do BigQuery

As configurações de exportação do BigQuery estão sujeitas a controles de residência de dados. Use os endpoints regionais para criar e gerenciar esses recursos de configuração.

A API Security Command Center representa as configurações de exportação do BigQuery como recursos BiqQueryExport.

Exportações contínuas

As configurações de exportação contínua estão sujeitas aos controles de residência de dados. Use os endpoints regionais para criar e gerenciar esses recursos de configuração.

A API Security Command Center representa configurações de exportação contínua como recursos NotificationConfig.

Descobertas

As descobertas estão sujeitas a controles de residência de dados.

Quando uma descoberta é criada para um recurso que reside no local de dados selecionado, ela sempre fica no mesmo local.

Quando uma descoberta é criada para um recurso que reside em outro local, ela acaba ficando no local de dados selecionado. No entanto, a descoberta pode estar em uma região diferente no momento da criação.

Para manter todas as descobertas no local dos dados, sempre crie todos os recursos doGoogle Cloud nesse local.

Recursos do Google SecOps

Todos os recursos do Google SecOps estão sujeitos a controles de residência de dados. Use os endpoints regionais para criar e gerenciar esses recursos de configuração.

Regras de silenciamento

As configurações de regras de silenciamento estão sujeitas aos controles de residência de dados. Use os endpoints regionais para criar e gerenciar esses recursos de configuração.

A API Security Command Center representa as configurações de regras de silenciamento como recursos MuteConfig.

Outros recursos e configurações do Security Command Center

Os recursos e as configurações do Security Command Center que não estão nesta lista, como aqueles que definem quais serviços estão ativados ou qual nível está ativo, não estão sujeitos a controles de residência de dados. Esses dados são armazenados de acordo com os Termos de Serviço do Google Cloud Platform.

Criar ou visualizar dados em um local

Quando a residência de dados está ativada, é necessário especificar um local ao criar ou visualizar dados que estão sujeitos a controles de residência de dados. O Security Command Center escolhe automaticamente um local para as descobertas que ele cria.

Só é possível criar ou acessar dados em um local por vez. Por exemplo, se você listar descobertas nos Estados Unidos (us), não vai ver descobertas na União Europeia (eu).

Para saber como criar ou acessar dados sujeitos a controles de residência de dados, consulte Sobre o console Google Cloud jurisdicional e Ferramentas para endpoints regionais.

A seguir

• Saiba como ativar o Security Command Center para uma organização.
• Saiba como usar endpoints regionais do Security Command Center.
• Ative o Security Command Center para transmitir descobertas para o BigQuery.
• Configure exportações contínuas do Security Command Center para o Pub/Sub.
• Crie uma regra de silenciamento para descobertas.