Planifica la residencia de datos

La residencia de datos te brinda más control sobre la ubicación de tus datos de Security Command Center. En este documento, se proporciona información esencial sobre cómo Security Command Center admite la residencia de datos.

Las siguientes definiciones se aplican a este documento:

• Una ubicación es una Google Cloud región o multirregión que corresponde a la ubicación en la que residen tus datos.
• El significado del término tus datos equivale al significado del término "Datos del Cliente" en el elemento Ubicación de los datos de las Google Cloud Condiciones Generales del Servicio.

Para obtener información sobre cómo trabajar con los recursos de Security Command Center cuando la residencia de datos está habilitada, consulta Extremos regionales de Security Command Center.

Ubicaciones de datos admitidas

En esta sección, se describen las ubicaciones de datos que puedes usar para Security Command Center y los servicios relacionados.

Ubicaciones de datos de Security Command Center

Cuando habilitas la residencia de datos, la API de Security Command Center admite las siguientes Google Cloud multirregiones como ubicaciones de datos:

Unión Europea (eu)

Los datos residen en cualquier Google Cloud región dentro de los Estados miembros de la Unión Europea.

Reino de Arabia Saudita (KSA) (sa)

Los datos residen en cualquier Google Cloud región del KSA.

Estados Unidos (us)

Los datos residen en cualquier Google Cloud región de Estados Unidos.

Si usas el nivel de servicio Standard o Premium, la actualización al nivel Enterprise no cambia la ubicación de tus datos de Security Command Center. Si no habilitaste la residencia de datos de Security Command Center para el nivel Standard o Premium, no podrás habilitarla cuando actualices al nivel Enterprise.

Para obtener más información sobre las ubicaciones de Security Command Center, consulta Productos disponibles por ubicación.

Si necesitas especificar una ubicación predeterminada para la residencia de datos que Security Command Center no admite, comunícate con tu representante de cuenta o un Google Cloud especialista en ventas.

Ubicaciones de datos de Google SecOps

Para Google Security Operations, la residencia de datos siempre está habilitada. Para saber dónde residen los datos de Google SecOps, consulta la lista de ubicaciones de Google SecOps.

Funciones admitidas y etapas de lanzamiento

Si habilitas la residencia de datos, es posible que algunas funciones no estén disponibles, según el nivel de servicio que uses.

Nivel Enterprise

Para el nivel de servicio Enterprise de Security Command Center, si habilitas la residencia de datos, las siguientes funciones no están disponibles:

• Administración de derechos de la infraestructura de nube (CIEM) para proveedores de servicios externos en la nube

• Recuentos de recursos analizados en la página Cumplimiento de la Google Cloud consola

  Se aplica solo si usas Security Health Analytics para la administración del cumplimiento.

• Administración de la superficie de ataque de Mandiant

Nivel Premium

Para el nivel de servicio Premium de Security Command Center, si habilitas la residencia de datos, las siguientes funciones no están disponibles:

• Protección de IA en entornos de residencia de datos de la UE o el KSA

• Recuentos de recursos analizados en la página Cumplimiento de la Google Cloud consola

  Se aplica solo si usas Security Health Analytics para la administración del cumplimiento.

Funciones y servicios anteriores a la DG

Como se indica en el elemento Condiciones de las ofertas anteriores a la DG de las Condiciones Generales del Servicio, las condiciones de Ubicación de los datos no se aplican a las funciones y los servicios anteriores a la disponibilidad general (DG).

Requisitos para la residencia de los datos

En esta sección, se explican los requisitos para usar la residencia de datos en Security Command Center y los servicios relacionados.

Requisitos para Security Command Center

Puedes habilitar la residencia de datos para Security Command Center solo cuando activas Security Command Center para una organización por primera vez. Una vez que se habilita la residencia de datos, no puedes inhabilitarla.

La residencia de datos requiere que uses la API de Security Command Center v2. Si la residencia de datos está habilitada, no puedes usar versiones anteriores de la API de Security Command Center.

Si no habilitas la residencia de datos cuando activas Security Command Center, entonces Security Command Center no restringe tus datos a ninguna ubicación en particular y se almacenan de acuerdo con las Condiciones del Servicio de Google Cloud Platform.

Si el nivel Standard de Security Command Center se activó automáticamente en tu organización y, luego, implementas una política de la organización que restringe las ubicaciones de los recursos, es posible que Security Command Center se desactive. Para obtener más información sobre este cambio, consulta Consideraciones sobre la residencia de datos después de que se activa automáticamente el nivel Standard. Debes volver a activarlo de forma manual.

Requisitos para Google SecOps

Para Google SecOps, la residencia de datos está habilitada de forma predeterminada. No puedes inhabilitar la residencia de datos para Google SecOps.

Cómo y cuándo se aplica la residencia de datos

Cuando habilitas la residencia de datos para Security Command Center, algunos datos de Security Command Center se conservan dentro de una ubicación especificada cuando se encuentran en uno de los siguientes estados:

• En reposo: Confirmado en el almacenamiento persistente
• En uso: En la memoria
• En tránsito: En la memoria o en la red, y encriptado con la seguridad de la capa de transporte (TLS) por un cliente fuera de Google

Después de habilitar la residencia de datos y seleccionar una ubicación de datos, Security Command Center hace lo siguiente:

• Cuando se crea un resultado para un recurso que reside en la ubicación especificada, el resultado siempre reside en tu ubicación de datos.
• Cuando se crea un resultado para un recurso que reside en otra ubicación, el resultado finalmente reside en tu ubicación de datos. Sin embargo, el resultado puede residir temporalmente en una región diferente.
• Cuando creas tipos específicos de recursos de configuración en tu ubicación de datos, residen en esa ubicación.
• En los casos en los que Security Command Center almacena datos que no son Datos del Cliente, como se define en el elemento Ubicación de los datos de las Google Cloud Condiciones Generales del Servicio, Security Command Center almacena los datos de acuerdo con las Condiciones del Servicio de Google Cloud Platform.

Recursos de Security Command Center y residencia de datos

En la siguiente lista, se explica cómo Security Command Center aplica los controles de residencia de datos a los recursos de Security Command Center. Si un recurso no aparece en la lista, no está sujeto a los controles de residencia de datos y se almacena de acuerdo con las Condiciones del Servicio de Google Cloud Platform.

Exportaciones de BigQuery

Los parámetros de configuración de BigQuery Export están sujetos a los controles de residencia de datos. Usa los extremos regionales para crear y administrar estos recursos de configuración.

La API de Security Command Center representa los parámetros de configuración de BigQuery Export como BiqQueryExport recursos.

Exportaciones continuas

Los parámetros de configuración de exportación continua están sujetos a los controles de residencia de datos. Usa los extremos regionales para crear y administrar estos recursos de configuración.

La API de Security Command Center representa los parámetros de configuración de exportación continua como NotificationConfig recursos.

Resultados

Los resultados están sujetos a los controles de residencia de datos.

Cuando se crea un resultado para un recurso que reside en la ubicación de datos que seleccionaste, el resultado siempre reside en la misma ubicación.

Cuando se crea un resultado para un recurso que reside en otra ubicación, el resultado finalmente reside en la ubicación de datos que seleccionaste. Sin embargo, el resultado puede residir en una región diferente en el momento en que se crea.

Para mantener todos los resultados en tu ubicación de datos, crea siempre todos tus Google Cloud recursos en esa ubicación.

Recursos de Google SecOps

Todos los recursos de Google SecOps están sujetos a los controles de residencia de datos. Usa los extremos regionales para crear y administrar estos recursos de configuración.

Reglas de silencio

Los parámetros de configuración de las reglas de silencio están sujetos a los controles de residencia de datos. Usa los extremos regionales para crear y administrar estos recursos de configuración.

La API de Security Command Center representa los parámetros de configuración de las reglas de silencio como MuteConfig recursos.

Otros recursos y parámetros de configuración de Security Command Center

Los recursos y parámetros de configuración de Security Command Center que faltan en esta lista, como los que definen qué servicios están habilitados o qué nivel está activo, no están sujetos a los controles de residencia de datos. Estos datos se almacenan de acuerdo con las Condiciones del Servicio de Google Cloud Platform.

Crea o visualiza datos en una ubicación

Cuando la residencia de datos está habilitada, debes especificar una ubicación cuando creas o visualizas datos que están sujetos a los controles de residencia de datos. Security Command Center elige automáticamente una ubicación para los resultados que crea.

Puedes crear o visualizar datos en una sola ubicación a la vez. Por ejemplo, si enumeras los resultados en la ubicación de Estados Unidos (us), no verás los resultados en la ubicación de la Unión Europea (eu).

Para obtener información sobre cómo crear o visualizar datos que están sujetos a los controles de residencia de datos, consulta Acerca de la consola Google Cloud jurisdiccional y Herramientas para extremos regionales.

¿Qué sigue?

• Obtén información para activar Security Command Center para una organización.
• Descubre cómo usar los extremos regionales de Security Command Center.
• Habilita Security Command Center para transmitir resultados a BigQuery.
• Configura exportaciones continuas de Security Command Center a Pub/Sub.
• Crea una regla de silencio para los resultados.