Konfiguration für Datenstandort oder Datenverschlüsselung ändern

In diesem Dokument wird beschrieben, wie Sie die Konfiguration des Datenstandorts und der Datenverschlüsselung in den Standard- und Premium-Versionen ändern, nachdem Sie Security Command Center für Ihre Organisation aktiviert haben. In diesem Dokument wird Folgendes beschrieben:

  • Aktivieren oder deaktivieren Sie den Datenstandort und ändern Sie den Datenspeicherort.
  • Ändern Sie die Konfiguration der Datenverschlüsselung, um von Google verwaltete Verschlüsselungsschlüssel oder Cloud Key Management Service-Schlüssel zu verwenden.
  • Ändern Sie den Cloud KMS-Schlüssel.

Beschränkungen

Für diese Funktion gelten die folgenden Einschränkungen:

  • Sie können die Datenmigration nur einmal pro Woche durchführen. Wenn Sie den Datenstandort oder die Datenverschlüsselung mehrmals ändern möchten, sollten Sie die Änderungen im Abstand von mindestens einer Woche vornehmen.

  • Diese Funktion wird nicht unterstützt, wenn Security Command Center nur auf Projektebene aktiviert ist.

  • Während der Datenmigration werden notificationConfigs-Ressourcen mit der v1-Struktur in die v2-Struktur aktualisiert.

    Das Feld source_properties wird mit der v2 API nicht unterstützt. Aktualisieren Sie bei Bedarf die Exportkonfigurationen für Pub/Sub und BigQuery.

    Weitere Informationen finden Sie unter Zur Version 2 der Security Command Center API migrieren.

Hinweis

Führen Sie vor dem Ändern der Konfiguration die folgenden Schritte aus:

  1. Planen Sie die Änderung.
  2. Prüfen Sie, ob Sie die erforderlichen Rollen haben.
  3. Erstellen oder suchen Sie die Cloud Key Management Service-Schlüssel, wenn Sie den Datenspeicherort oder die Schlüssel ändern.
  4. Wenn Sie den Datenspeicherort ändern, müssen Sie Stummschaltungsregeln und Exportkonfigurationen vorbereiten.

Änderung planen

Wenn Sie vom standardmäßigen Datenstandort global migrieren, lesen Sie den Abschnitt Datenstandort planen, um zu erfahren, wie Security Command Center den Datenstandort unterstützt.

Wenn Sie die Datenverschlüsselung von von Google verwalteten Verschlüsselungsschlüsseln auf einen Cloud KMS-Schlüssel umstellen möchten, lesen Sie den Abschnitt CMEK für Security Command Center aktivieren, um mehr über die Verwendung von kundenverwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEKs) mit Security Command Center zu erfahren.

Planen Sie die Konfigurationsänderung für einen Zeitpunkt, zu dem Sie keine Massenexporte durchführen. Wenn Sie einen Bulk-Export gestartet haben, warten Sie, bis dieser abgeschlossen ist.

Nachdem Sie die Konfiguration geändert haben, kann die Datenmigration je nach Anzahl der Ergebnisse zwischen 4 und 24 Stunden dauern. Während dieser Zeit werden Security Command Center und aktivierte integrierte Erkennungsdienste vorübergehend pausiert:

  • Security Command Center generiert oder aktualisiert keine Ergebnisse. Ergebnisse, die von integrierten Diensten oder Drittanbieterdiensten an Security Command Center gesendet werden, werden nicht empfangen.
  • Datenexporte aus Security Command Center in andere Ressourcen werden pausiert.
  • Auf Security Command Center-Seiten in der Console kann nicht zugegriffen werden.
  • Die folgenden Security Command Center APIs sind nicht verfügbar:

    • securitycenter.googleapis.com
    • securitycentermanagement.googleapis.com

    Wenn während der Migration eine API-Methode aufgerufen wird, wird der Fehler FAILED_PRECONDITION mit der Meldung API access is temporarily unavailable due to an ongoing data migration zurückgegeben.

Wenn die Migration abgeschlossen ist, werden Security Command Center und die integrierten Dienste automatisch neu gestartet.

Wenn Security Command Center in andere Produkte eingebunden ist, werden diese Verbindungen während der Migration unterbrochen.

Wenn Sie die Konfiguration für den Datenstandort ändern, werden bestimmte Felder mit der neuen Standort-ID aktualisiert (z. B. von global zu us). Das betrifft die folgenden Ressourcen:

  • Ergebnisse: name- und canonicalNames-Werte.
  • Ausblendungsregeln: name-Wert in der MuteConfig.

Aktualisieren Sie die Suchanfragen für Ergebnisse, externe Systeme und Skripts, die von diesen Feldwerten abhängen.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Security Center Admin (roles/securitycenter.admin) für Ihre Organisation zuzuweisen, damit Sie die Berechtigungen erhalten, die Sie zum Migrieren des Security Command Center-Datenspeicherorts oder der Datenverschlüsselung benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Cloud Key Management Service-Schlüssel erstellen oder suchen

Erstellen Sie ein Schlüsselprojekt und Cloud Key Management Service-Schlüssel, wenn einer der folgenden Fälle zutrifft:

  • Sie planen, die Cloud Key Management Service-Schlüssel zu ändern.

  • Sie planen, die Konfiguration des Datenspeicherorts zu ändern, während Sie Cloud Key Management Service-Schlüssel verwenden. In diesem Fall müssen Sie die Cloud Key Management Service-Schlüssel noch einmal auswählen.

Weitere Informationen finden Sie unter CMEK für Security Command Center aktivieren.

Ausblendungsregeln und Exportkonfigurationen vorbereiten

Wenn Sie den Datenspeicherort ändern möchten, aktualisieren Sie die folgenden Konfigurationen, die von Feldwerten mit einer Standort-ID abhängen:

  • Ausblendungsregeln für Ergebnisse
  • Kontinuierliche Pub/Sub-Exporte

Ändern Sie die Feldwerte so, dass die neue Standort-ID verwendet wird (z. B. von global zu us).

Konfiguration ändern und Migration starten

Sie können die Konfiguration des Datenstandorts oder der Datenverschlüsselung entweder in der globalen und rechtlichen Google Cloud Console ändern. Beachten Sie bei der Auswahl einer Konsole Folgendes:

  • CMEK-Schlüssel auswählen: Im Schlüsselmenü von Cloud KMS werden nur Schlüssel angezeigt, die sich in derselben Gerichtsbarkeit wie die Console befinden. Wenn Sie die global-Konsole verwenden, werden im Menü alle Schlüssel angezeigt.
  • Benachrichtigungen erhalten: Google Cloud Konsolenbenachrichtigungen Benachrichtigungen werden nur für den Nutzer angezeigt, der die Datenresidenzmigration gestartet hat, und nur in der Konsole, die zum Konfigurieren der Einstellungen verwendet wurde (entweder global oder nach Gerichtsbarkeit).

Sie können die Konfiguration des Datenstandorts, die Konfiguration der Datenverschlüsselung oder beides ändern.

  1. Rufen Sie in der Google Cloud Console die Einstellungen > Einrichtungsdetails auf.

    Zu den Einrichtungsdetails

  2. Wählen Sie die Organisation aus, in der Security Command Center aktiviert ist.

  3. Klicken Sie auf Datenstandort und Verschlüsselung verwalten.

  4. Aktivieren oder deaktivieren Sie unter Datenstandort verwalten den Datenstandort. Wenn Sie den Datenstandort aktivieren, wählen Sie den Speicherort der Daten aus. Wenn Sie die vorhandene Auswahl nicht ändern, werden die Standort-IDs in den Werten der Such- und Ressourcenfelder durch die Datenmigration nicht geändert.

  5. Klicken Sie auf Weiter.

  6. Wählen Sie unter Datenverschlüsselung verwalten die Konfiguration Verschlüsselung aus.

    • Wählen Sie Von Google verwalteter Verschlüsselungsschlüssel oder Cloud KMS-Schlüssel aus.
    • Wenn Sie einen Cloud KMS-Schlüssel auswählen, gehen Sie so vor:

      • Klicken Sie auf Durchsuchen, um das Projekt auszuwählen, in dem die Schlüssel gespeichert sind.
      • Wählen Sie den vom Kunden verwalteten Schlüssel aus.

    Wenn die Organisation Cloud KMS-Schlüssel verwendet und Sie die Konfiguration für den Speicherort der Daten geändert haben, müssen Sie das Schlüsselprojekt und den Cloud Key Management Service-Schlüssel noch einmal auswählen.

  7. Prüfen Sie die Änderungen und klicken Sie dann auf Migration starten. Klicken Sie auf Abbrechen, um zurückzukehren und die Auswahl zu ändern.

  8. Bestätigen Sie im Dialogfeld Datenmigration starten, indem Sie die Organisations-ID eingeben und dann auf Datenmigration bestätigen klicken.

  9. Die Seite mit dem Status der Datenmigration wird angezeigt und gibt an, dass die Migration läuft.

    Während der Datenmigration kann nicht auf Security Command Center-Seiten zugegriffen werden. Wenn Sie während der Migration auf Security Command Center zugreifen möchten, wird die Seite mit dem Migrationsstatus angezeigt.

  10. Wenn die Migration abgeschlossen ist, wird auf der Statusseite ein Link angezeigt, über den Sie die Console am neu konfigurierten Speicherort öffnen können.

Funktionen nach der Datenmigration prüfen

Prüfen Sie nach Abschluss der Migration, ob Security Command Center, zugehörige Dienste und Integrationen wie erwartet funktionieren.

  • Prüfen Sie, ob Security Command Center verfügbar ist und zuvor aktivierte Dienste aktiviert sind.

  • Prüfen Sie, ob in den Konfigurationen für den Datenexport die richtigen Ressourcen angegeben sind:

  • Wenn Sie die Konfiguration für den Datenstandort geändert haben, aktualisieren Sie Folgendes:

    • Ausblendungsregeln: Aktualisieren Sie Regeln, die vom Ergebnis name oder canonicalName abhängen.

    • Aktualisieren Sie Filter und Suchanfragen für Ergebnisse, die von name oder canonicalName abhängen, um den neuen Standort anzugeben.

    • Prüfen Sie, ob die Suchanfragen wie erwartet funktionieren.

  • Prüfen Sie, ob die Integrationen mit anderen Google Cloud -Diensten wie Cloud Hub, Application Design Center, dem GKE-Sicherheitsstatus-Dashboard oder der Google SecOps-Datenerfassung wie erwartet funktionieren.

Nächste Schritte