Questo documento spiega come modificare la configurazione della residenza dei dati e della crittografia dei dati nei livelli Standard e Premium dopo aver attivato Security Command Center per la tua organizzazione. Questo documento descrive come eseguire le seguenti operazioni:
- Abilitare o disabilitare la residenza dei dati e modificare la località dei dati.
- Modificare la configurazione della crittografia dei dati per utilizzare le chiavi di crittografia gestite da Google o le chiavi di Cloud Key Management Service.
- Modificare la chiave Cloud KMS.
Limitazioni
A questa funzionalità si applicano le seguenti limitazioni:
Puoi eseguire la migrazione dei dati una sola volta alla settimana. Se prevedi di modificare più volte la località dei dati o la crittografia dei dati, esegui le modifiche a distanza di almeno una settimana.
Questa funzionalità non è supportata se Security Command Center è attivato solo a livello di progetto.
Durante la migrazione dei dati, le risorse
notificationConfigscon la struttura v1 vengono aggiornate alla struttura v2.Il
source_propertiescampo non è supportato con l'API v2. Se necessario, aggiorna le configurazioni di esportazione per Pub/Sub e BigQuery.Per ulteriori informazioni, consulta Eseguire la migrazione alla v2 dell'API Security Command Center.
Prima di iniziare
Prima di modificare la configurazione, completa i seguenti passaggi:
- Pianifica la modifica.
- Assicurati di disporre dei ruoli richiesti.
- Crea o individua le chiavi di Cloud Key Management Service se stai modificando la località o le chiavi dei dati.
- Prepara le regole di disattivazione e le configurazioni di esportazione se stai modificando la località dei dati.
Pianificare la modifica
Se stai eseguendo la migrazione dalla località dei dati global predefinita, leggi
Pianificare la residenza dei dati per
scoprire in che modo Security Command Center supporta la residenza dei dati.
Se prevedi di modificare la crittografia dei dati dalle chiavi di crittografia gestite da Google a una chiave Cloud KMS, leggi Abilitare CMEK per Security Command Center per scoprire come utilizzare le chiavi di crittografia gestite dal cliente (CMEK) con Security Command Center.
Pianifica la modifica della configurazione in un momento in cui non esegui esportazioni collettive. Se hai avviato un'esportazione collettiva, attendi il completamento del processo.
Dopo aver modificato la configurazione, il processo di migrazione dei dati può richiedere da 4 a 24 ore, a seconda del volume dei risultati. Durante questo periodo, Security Command Center e i servizi di rilevamento integrati abilitati vengono messi in pausa temporaneamente:
- Security Command Center non genera né aggiorna i risultati. I risultati inviati a Security Command Center da servizi integrati o di terze parti non vengono ricevuti.
- Le esportazioni di dati da Security Command Center ad altre risorse vengono messe in pausa.
- Le pagine di Security Command Center nella console non sono accessibili.
Le seguenti API Security Command Center non sono disponibili:
securitycenter.googleapis.comsecuritycentermanagement.googleapis.com
Se viene chiamato un metodo API durante la migrazione, viene restituito un errore
FAILED_PRECONDITIONcon il messaggioAPI access is temporarily unavailable due to an ongoing data migration.
Al termine della migrazione, Security Command Center e i servizi integrati vengono riavviati automaticamente.
Se Security Command Center si integra con altri prodotti, prevedi che queste connessioni vengano interrotte durante la migrazione.
Quando modifichi la configurazione della residenza dei dati, campi specifici vengono aggiornati con il nuovo identificatore di località (ad esempio da global a us). Ciò influisce sulle seguenti risorse:
- Risultati: valori
nameecanonicalNames. - Regole di disattivazione:
namevalore inMuteConfig.
Pianifica l'aggiornamento delle query di ricerca dei risultati, dei sistemi esterni e degli script che dipendono da questi valori dei campi.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per eseguire la migrazione della località dei dati o della crittografia dei dati di Security Command Center,
chiedi all'amministratore di concederti il
ruolo IAM Amministratore Security Center (roles/securitycenter.admin) nella tua organizzazione.
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Creare o individuare le chiavi di Cloud Key Management Service
Crea un progetto di chiavi e chiavi di Cloud Key Management Service se si verifica una delle seguenti condizioni:
Prevedi di modificare le chiavi di Cloud Key Management Service.
Prevedi di modificare la configurazione della residenza dei dati durante l'utilizzo delle chiavi di Cloud Key Management Service. In questo caso, devi selezionare di nuovo le chiavi di Cloud Key Management Service.
Per ulteriori informazioni, consulta Abilitare CMEK per Security Command Center.
Preparare le regole di disattivazione e le configurazioni di esportazione
Se prevedi di modificare la località dei dati, aggiorna le seguenti configurazioni che dipendono dai valori dei campi con un identificatore di località:
- Regole di disattivazione dei risultati
- Esportazioni continue Pub/Sub
Modifica i valori dei campi in modo da utilizzare il nuovo identificatore di località (ad esempio, da global a us).
Modificare la configurazione e avviare la migrazione
Puoi utilizzare la console globale e giurisdizionale Google Cloud per modificare la configurazione della residenza o della crittografia dei dati. Tieni presente quanto segue quando scegli una console:
- Selezione della chiave CMEK: il menu delle chiavi Cloud KMS mostra solo le chiavi
che si trovano nella stessa giurisdizione della console. Se utilizzi la console
global, il menu mostra tutte le chiavi. - Ricezione delle notifiche: Google Cloud le notifiche della console vengono visualizzate solo per l'utente che ha avviato la migrazione della residenza dei dati e solo nella stessa console utilizzata per configurare le impostazioni (globale o giurisdizionale).
Puoi modificare la configurazione della residenza dei dati, la configurazione della crittografia dei dati o entrambe.
Nella Google Cloud console vai a Impostazioni > Dettagli configurazione.
Seleziona l'organizzazione in cui è attivato Security Command Center.
Fai clic su Gestisci residenza e crittografia dei dati.
In Gestisci residenza dei dati, abilita o disabilita la residenza dei dati. Se abiliti la residenza dei dati, seleziona la località dei dati. Se non modifichi la selezione esistente, il processo di migrazione dei dati non modifica gli identificatori di località nei valori dei campi dei risultati e delle risorse.
Fai clic su Continua.
In Gestisci crittografia dei dati, seleziona la configurazione Crittografia.
- Seleziona Chiave di crittografia gestita da Google o Chiave Cloud KMS.
Se selezioni Chiave Cloud KMS, procedi nel seguente modo:
- Fai clic su Sfoglia per selezionare il progetto in cui sono archiviate le chiavi.
- Seleziona la chiave gestita dal cliente.
Se l'organizzazione utilizza le chiavi Cloud KMS e hai modificato la configurazione della residenza dei dati, devi selezionare di nuovo il progetto di chiavi e la chiave di Cloud Key Management Service.
Esamina le modifiche, quindi fai clic su Avvia migrazione. Fai clic su Annulla per tornare indietro e modificare le selezioni.
Nella finestra di dialogo Avvia migrazione dei dati, conferma inserendo l'ID organizzazione, quindi fai clic su Conferma migrazione dei dati.
Viene visualizzata la pagina dello stato della migrazione dei dati, che indica che la migrazione è in corso.
Le pagine di Security Command Center non sono accessibili durante la migrazione dei dati. Se tenti di accedere a Security Command Center durante la migrazione, vedrai la pagina dello stato della migrazione.
Al termine della migrazione, nella pagina dello stato viene visualizzato un link per aprire la console nella località appena configurata.
Verificare le funzionalità dopo la migrazione dei dati
Al termine della migrazione, assicurati che Security Command Center, i servizi correlati e le integrazioni funzionino come previsto.
Verifica che Security Command Center sia disponibile e che i servizi abilitati in precedenza siano abilitati.
Esamina e verifica che le configurazioni di esportazione dei dati specifichino le risorse corrette:
Le configurazioni di esportazione BigQuery specificano il set di dati corretto. Consulta Esportazioni streaming in BigQuery.
Le configurazioni di esportazione Pub/Sub definiscono l'argomento corretto. Consulta Notifiche sui risultati per Pub/Sub.
Se hai modificato la configurazione della residenza dei dati, aggiorna quanto segue:
Regole di disattivazione: aggiorna le regole che dipendono dal risultato
nameocanonicalName.Aggiorna i filtri e le query sui risultati che dipendono da
nameocanonicalNamedel risultato per specificare la nuova località.Verifica che le query sui risultati funzionino come previsto.
Verifica che le integrazioni con altri Google Cloud servizi, come Cloud Hub, Application Design Center, la dashboard della postura di sicurezza GKE o importazione dati Google SecOps, funzionino come previsto.
Passaggi successivi
- Scopri di più sugli endpoint a livello di regione.
- Scopri di più sulle notifiche.
- Scopri di più sull'esportazione dei dati.