資料落地可讓您進一步控管 Security Command Center 資料的所在位置。本文提供重要資訊,說明 Security Command Center 如何支援資料落地。
本文件採用下列定義:
如要瞭解如何在啟用資料落地設定時使用 Security Command Center 資源,請參閱「Security Command Center 區域端點」。
支援的資料位置
本節說明 Security Command Center 和相關服務可用的資料位置。
Security Command Center 資料位置
啟用資料落地設定後,Security Command Center API 會支援下列Google Cloud 多區域做為資料位置:
- 歐盟 (
eu) - 資料位於歐盟成員國境內的任何 Google Cloud 區域。
- 沙烏地阿拉伯王國 (KSA) (
sa) - 資料位於沙烏地阿拉伯王國境內的任何 Google Cloud 區域。
- 美國 (
us) - 資料位於美國境內的任何 Google Cloud 區域。
如果您使用 Standard 或 Premium 服務層級,升級至 Enterprise 層級不會變更 Security Command Center 資料的位置。如果您未啟用 Standard 或 Premium 級的 Security Command Center 資料落地設定,升級至 Enterprise 級時就無法啟用這項設定。
如要進一步瞭解 Security Command Center 的位置,請參閱各個位置提供的產品。
如需為資料落地指定 Security Command Center 不支援的預設位置,請與您的帳戶代表或Google Cloud 銷售專員聯絡。
Google SecOps 資料位置
Google Security Operations 一律會啟用資料落地設定。如要瞭解 Google SecOps 資料的儲存位置,請參閱 Google SecOps 位置清單。
支援的功能和推出階段
啟用資料落地功能後,您可能無法使用部分功能,具體情況取決於您使用的服務層級。
Enterprise 級
Security Command Center Enterprise 服務層級不支援下列功能:
- 外部雲端供應商的 Cloud Infrastructure Entitlement Management (CIEM)
掃描的資源數量會顯示在 Google Cloud 控制台的「Compliance」(法規遵循) 頁面。
僅適用於使用安全狀態分析進行法規遵循管理的情況。
- Mandiant Attack Surface Management
進階級
Security Command Center Premium 服務層級不提供下列功能:
- 沙烏地阿拉伯王國 (KSA) 資料落地環境中的 AI Protection
掃描的資源數量會顯示在 Google Cloud 控制台的「Compliance」(法規遵循) 頁面。
僅適用於使用安全狀態分析進行法規遵循管理的情況。
正式發布前功能和服務
如《一般服務條款》的「正式發布前產品條款」項目所述,資料位置條款不適用於正式發布前 (GA) 的功能和服務。
資料落地規定
本節說明在 Security Command Center 和相關服務中使用資料落地功能的規定。
Security Command Center 需求條件
只有在首次為機構啟用 Security Command Center 時,才能啟用資料落地功能。啟用資料落地後,就無法停用。
如要使用資料落地控管機制,必須採用 Security Command Center v2 API。如果啟用資料落地功能,就無法使用舊版 Security Command Center API。
如果您在啟用 Security Command Center 時未啟用資料落地功能,Security Command Center 就不會將資料限制在特定位置,而是會根據《Google Cloud Platform 服務條款》儲存資料。
如果系統在您的機構中自動啟用 Security Command Center 標準層級,而您隨後部署的機構政策會限制資源位置,Security Command Center 可能會停用。如要進一步瞭解這項異動,請參閱「標準層級自動啟用後的資料落地注意事項」。您必須手動重新啟用。
Google SecOps 的相關規定
Google SecOps 預設會啟用資料落地規定,且無法停用。
資料落地權的強制執行方式和時機
為 Security Command Center 啟用資料落地設定後,部分 Security Command Center 資料在處於下列狀態時,會保留在指定位置:
- 靜態:已提交至永久儲存空間
- 使用中:記憶體內
- 傳輸中:在記憶體或網路上,且 由 Google 以外的用戶端以傳輸層安全標準 (TLS) 加密
啟用資料落地設定並選取資料位置後,Security Command Center 會執行下列操作:
- 為指定位置的資源建立發現項目時,該項目一律會儲存在您的資料位置。
- 如果為其他位置的資源建立發現項目,該項目最終會儲存在您的資料位置。不過,發現項目可能會暫時位於其他區域。
- 在資料位置中建立特定類型的設定資源時,這些資源會存放在該位置。
- 如果 Security Command Center 儲存的資料並非客戶資料 (如 Google Cloud 一般服務條款的「資料位置」項目所定義),Security Command Center 會根據 Google Cloud Platform 服務條款儲存資料。
Security Command Center 資源和資料落地
下表說明 Security Command Center 如何將資料落地控管機制套用至 Security Command Center 資源。如果資源未列於此處,則不受資料落地控制選項限制,且會依據《Google Cloud Platform 服務條款》儲存。
- BigQuery 匯出作業
BigQuery 匯出設定受資料落地控制項限制。使用區域端點建立及管理這些設定資源。
Security Command Center API 會將 BigQuery 匯出設定表示為
BiqQueryExport資源。- 持續匯出
持續匯出設定須遵守資料落地控管機制。使用區域端點建立及管理這些設定資源。
Security Command Center API 會將持續匯出設定表示為
NotificationConfig資源。- 發現項目
調查結果會受到資料落地控管機制影響。
為所選資料位置中的資源建立發現項目時,該發現項目一律會位於相同位置。
如果為位於其他位置的資源建立發現項目,該項目最終會存放在您選取的資料位置。不過,發現項目在建立時可能位於不同區域。
如要將所有發現項目保留在資料位置,請務必在該位置建立所有Google Cloud 資源。
- Google SecOps 資源
所有 Google SecOps 資源都受資料落地控管機制約束。使用區域端點建立及管理這些設定資源。
- 忽略規則
忽略規則設定受資料落地控制選項限制。使用區域端點建立及管理這些設定資源。
Security Command Center API 會將忽略規則設定表示為
MuteConfig資源。- 其他 Security Command Center 資源和設定
如果 Security Command Center 資源和設定未列於這份清單中,例如定義啟用哪些服務或使用哪個層級的資源和設定,則不受資料落地控管機制限制。這類資料會依據《Google Cloud Platform 服務條款》儲存。
在位置中建立或查看資料
啟用資料落地設定後,建立或查看受資料落地控管的資料時,必須指定位置。Security Command Center 會自動為建立的發現項目選擇位置。
您一次只能建立或查看一個位置的資料。舉例來說,如果您列出美國 (us) 位置的發現項目,就不會看到歐盟 (eu) 位置的發現項目。
如要瞭解如何建立或查看受資料落地控管的資料,請參閱「關於管轄區 Google Cloud 控制台」和「區域端點工具」。
後續步驟
- 瞭解如何為機構啟用 Security Command Center。
- 瞭解如何使用 Security Command Center 區域端點。
- 啟用 Security Command Center,將發現項目串流至 BigQuery。
- 設定從 Security Command Center 持續匯出至 Pub/Sub 的作業。
- 為發現項目建立忽略規則。