Planejar a residência de dados

A residência de dados oferece mais controle sobre a localização dos dados do Security Command Center. Este documento fornece informações essenciais sobre como o Security Command Center oferece suporte à residência de dados.

As definições a seguir se aplicam a este documento:

• Um local é uma Google Cloud região ou multirregião que corresponde ao local em que os dados residem.
• O significado do termo seus dados é equivalente ao significado do termo "Dados do cliente" no item Localização de dados nos Google Cloud Termos gerais de serviço.

Para saber como trabalhar com recursos do Security Command Center quando a residência de dados está ativada, consulte Endpoints regionais do Security Command Center.

Locais de dados com suporte

Esta seção descreve os locais de dados que podem ser usados para o Security Command Center e serviços relacionados.

Locais de dados do Security Command Center

Quando você ativa a residência de dados, a API Security Command Center oferece suporte às seguintes Google Cloud multirregiões como locais de dados:

União Europeia (eu)

Os dados residem em qualquer Google Cloud região nos estados membros da União Europeia.

Reino da Arábia Saudita (KSA) (sa)

Os dados residem em qualquer Google Cloud região no KSA.

Estados Unidos (us)

Os dados residem em qualquer Google Cloud região nos Estados Unidos.

Se você usa o nível de serviço Standard ou Premium, o upgrade para o nível Enterprise não muda o local dos dados do Security Command Center. Se você não ativou a residência de dados do Security Command Center para o nível Standard ou Premium, não será possível ativá-la ao fazer upgrade para o nível Enterprise.

Para mais informações sobre os locais do Security Command Center, consulte Produtos disponíveis por local.

Se você precisar especificar um local padrão para a residência de dados que o Security Command Center não oferece suporte, entre em contato com seu representante da conta ou um Google Cloud especialista em vendas.

Locais de dados do Google SecOps

No Google Security Operations, a residência de dados está sempre ativada. Para saber onde os dados do Google SecOps residem, consulte a lista de locais do Google SecOps.

Recursos e etapas de lançamento com suporte

Se você ativar a residência de dados, alguns recursos poderão não estar disponíveis, dependendo do nível de serviço que você está usando.

Nível Enterprise

Para o nível de serviço Enterprise do Security Command Center, se você ativar a residência de dados, os seguintes recursos não estarão disponíveis:

• Gerenciamento de direitos de infraestrutura em nuvem (CIEM) para provedores de nuvem externos
• Gerenciamento de superfície de ataque da Mandiant

Nível Premium

Para o nível de serviço Premium do Security Command Center, se você ativar a residência de dados, os seguintes recursos não estarão disponíveis:

• Proteção para IA em ambientes de residência de dados da UE ou do KSA

Recursos e serviços pré-GA

Conforme declarado no item Termos de ofertas pré-GA nos Termos gerais de serviço, os termos Localização de dados não se aplicam a recursos e serviços pré-disponibilidade geral (GA).

Requisitos da residência de dados

Esta seção explica os requisitos para usar a residência de dados no Security Command Center e serviços relacionados.

Requisitos do Security Command Center

Você só pode ativar a residência de dados para o Security Command Center quando ativar o Security Command Center para uma organização pela primeira vez. Depois que a residência de dados é ativada, não é possível desativá-la.

A residência de dados exige que você use a API Security Command Center v2. Se a residência de dados estiver ativada, não será possível usar versões anteriores da API Security Command Center.

Se você não ativar a residência de dados ao ativar o Security Command Center, então o Security Command Center não vai restringir seus dados a um local específico, e eles serão armazenados de acordo com os Termos de Serviço do Google Cloud Platform.

Se o nível Standard do Security Command Center foi ativado automaticamente na sua organização e você implantar uma política da organização que restringe os locais de recursos, o Security Command Center poderá ser desativado. Para mais informações sobre essa mudança, consulte Considerações sobre a residência de dados após a ativação automática do nível Standard. É necessário reativá-lo manualmente.

Requisitos do Google SecOps

No Google SecOps, a residência de dados é ativada por padrão. Não é possível desativar a residência de dados do Google SecOps.

Como e quando a residência de dados é aplicada

Quando você ativa a residência de dados para o Security Command Center, alguns dados do Security Command Center são mantidos em um local especificado quando estão em um dos seguintes estados:

• Em repouso: confirmado para armazenamento permanente
• Em uso: na memória
• Em trânsito: na memória ou na rede e criptografado com o Transport Layer Security (TLS) por um cliente fora do Google

Depois de ativar a residência de dados e selecionar um local de dados, o Security Command Center faz o seguinte:

• Quando uma descoberta é criada para um recurso que reside no local especificado, a descoberta sempre reside no local de dados.
• Quando uma descoberta é criada para um recurso que reside em outro local, a descoberta acaba residindo no local de dados. No entanto, a descoberta pode residir temporariamente em uma região diferente.
• Quando você cria tipos específicos de recursos de configuração no local de dados, eles residem nesse local.
• Nos casos em que o Security Command Center armazena dados que não são Dados do cliente, conforme definido no item Localização de dados nos Google Cloud Termos gerais de serviço, o Security Command Center armazena os dados de acordo com os Termos de Serviço do Google Cloud Platform.

Recursos do Security Command Center e residência de dados

A lista a seguir explica como o Security Command Center aplica controles de residência de dados aos recursos do Security Command Center. Se um recurso não estiver listado aqui, ele não estará sujeito a controles de residência de dados e será armazenado de acordo com os Termos de Serviço do Google Cloud Platform.

BigQuery exports

As configurações de exportação do BigQuery estão sujeitas a controles de residência de dados. Use os endpoints regionais para criar e gerenciar esses recursos de configuração.

A API Security Command Center representa as configurações de exportação do BigQuery como BiqQueryExport recursos.

Exportações contínuas

As configurações de exportação contínua estão sujeitas a controles de residência de dados. Use os endpoints regionais para criar e gerenciar esses recursos de configuração.

A API Security Command Center representa as configurações de exportação contínua como NotificationConfig recursos.

Descobertas

As descobertas estão sujeitas a controles de residência de dados.

Quando uma descoberta é criada para um recurso que reside no local de dados selecionado, a descoberta sempre reside no mesmo local.

Quando uma descoberta é criada para um recurso que reside em outro local, a descoberta acaba residindo no local de dados selecionado. No entanto, a descoberta pode residir em uma região diferente no momento em que é criada.

Para manter todas as descobertas no local de dados, sempre crie todos os seus Google Cloud recursos nesse local.

Recursos do Google SecOps

Todos os recursos do Google SecOps estão sujeitos a controles de residência de dados. Use os endpoints regionais para criar e gerenciar esses recursos de configuração.

Regras de silenciamento

As configurações de regras de silenciamento estão sujeitas a controles de residência de dados. Use os endpoints regionais para criar e gerenciar esses recursos de configuração.

A API Security Command Center representa as configurações de regras de silenciamento como MuteConfig recursos.

Outros recursos e configurações do Security Command Center

Os recursos e configurações do Security Command Center que estão ausentes dessa lista, como aqueles que definem quais serviços estão ativados ou qual nível está ativo, não estão sujeitos a controles de residência de dados. Esses dados são armazenados de acordo com os Termos de Serviço do Google Cloud Platform.

Criar ou visualizar dados em um local

Quando a residência de dados está ativada, é necessário especificar um local ao criar ou visualizar dados sujeitos a controles de residência de dados. O Security Command Center escolhe automaticamente um local para as descobertas que ele cria.

Só é possível criar ou visualizar dados em um local por vez. Por exemplo, se você listar descobertas no local dos Estados Unidos (us), não verá descobertas no local da União Europeia (eu).

Para saber como criar ou visualizar dados sujeitos a controles de residência de dados, consulte Sobre o console Google Cloud jurisdicional e Ferramentas para endpoints regionais.

A seguir

• Saiba como ativar o Security Command Center para uma organização.
• Saiba como usar endpoints regionais do Security Command Center.
• Ative o Security Command Center para transmitir descobertas para o BigQuery.
• Configure exportações contínuas do Security Command Center para o Pub/Sub.
• Crie uma regra de silenciamento para descobertas.