Este documento explica como modificar a configuração de residência de dados e criptografia de dados nos níveis Standard e Premium depois de ativar o Security Command Center para sua organização. Este documento explica como fazer o seguinte:
- Ativar ou desativar a residência de dados e mudar o local dos dados.
- Mude a configuração de criptografia de dados para usar chaves de criptografia gerenciadas pelo Google ou chaves do Cloud Key Management Service.
- Mude a chave do Cloud KMS.
Limitações
As seguintes limitações se aplicam a essa capacidade:
Só é possível fazer uma migração de dados por semana. Se você planeja mudar o local ou a criptografia de dados várias vezes, faça as alterações com pelo menos uma semana de intervalo.
Esse recurso não é compatível se o Security Command Center estiver ativado apenas no nível do projeto.
Durante a migração de dados, os recursos
notificationConfigscom a estrutura v1 são atualizados para a estrutura v2.O campo
source_propertiesnão é compatível com a API v2. Se necessário, atualize as configurações de exportação do Pub/Sub e do BigQuery.Para mais informações, consulte Migrar para a v2 da API Security Command Center.
Antes de começar
Antes de mudar a configuração, faça o seguinte:
- Planeje a mudança.
- Verifique se você tem os papéis necessários.
- Crie ou localize as chaves do Cloud Key Management Service se você estiver mudando o local dos dados ou as chaves.
- Prepare regras de silenciamento e configurações de exportação se você estiver mudando o local dos dados.
Planejar a mudança
Se você estiver migrando do local de dados padrão do global, leia Planejamento da residência de dados para saber como o Security Command Center oferece suporte a essa funcionalidade.
Se você planeja mudar a criptografia de dados de chaves de criptografia gerenciadas pelo Google para uma chave do Cloud KMS, leia Ativar a CMEK para o Security Command Center e saiba como usar chaves de criptografia gerenciadas pelo cliente (CMEKs) com o Security Command Center.
Planeje a mudança de configuração para um momento em que você não estiver fazendo exportações em massa. Se você iniciou uma exportação em massa, aguarde a conclusão desse processo.
Depois de mudar a configuração, o processo de migração de dados pode levar de 4 a 24 horas, dependendo do volume de descobertas. Durante esse período, o Security Command Center e os serviços de detecção integrados ativados serão pausados temporariamente:
- O Security Command Center não gera nem atualiza descobertas. As descobertas enviadas ao Security Command Center por serviços integrados ou de terceiros não são recebidas.
- As exportações de dados do Security Command Center para outros recursos são pausadas.
- As páginas do Security Command Center no console não estão acessíveis.
As seguintes APIs do Security Command Center não estão disponíveis:
securitycenter.googleapis.comsecuritycentermanagement.googleapis.com
Se um método de API for chamado durante a migração, ele vai retornar um erro
FAILED_PRECONDITIONcom a mensagemAPI access is temporarily unavailable due to an ongoing data migration.
Quando a migração for concluída, o Security Command Center e os serviços integrados serão reiniciados automaticamente.
Se o Security Command Center se integrar a outros produtos, essas conexões serão interrompidas durante a migração.
Quando você muda a configuração de residência de dados, campos específicos são atualizados
com o novo identificador de local (por exemplo, de global para us).
Isso afeta os seguintes recursos:
- Descobertas: valores
nameecanonicalNames. - Regras de silenciamento: valor
nameemMuteConfig.
Planeje atualizar as consultas de pesquisa de descobertas, os sistemas externos e os scripts que dependem desses valores de campo.
Funções exigidas
Para receber as permissões necessárias
para migrar a criptografia ou o local dos dados do Security Command Center,
peça ao administrador que conceda a você o papel do IAM
Administrador do Security Center (roles/securitycenter.admin) na sua organização.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.
Criar ou localizar as chaves do Cloud Key Management Service
Crie um projeto de chave e chaves do Cloud Key Management Service se uma das seguintes condições for atendida:
Você planeja mudar as chaves do Cloud Key Management Service.
Você planeja mudar a configuração de residência de dados enquanto usa chaves do Cloud Key Management Service. Nesse caso, selecione as chaves do Cloud Key Management Service novamente.
Para mais informações, consulte Ativar a CMEK no Security Command Center.
Preparar regras de silenciamento e exportar configurações
Se você planeja mudar o local dos dados, atualize as seguintes configurações que dependem de valores de campo com um identificador de local:
- Regras de silenciamento de descobertas
- Exportações contínuas do Pub/Sub
Mude os valores dos campos para usar o novo identificador de local (por exemplo, de global para us).
Mudar a configuração e iniciar a migração
Você pode usar o console global e jurisdicional Google Cloud para mudar a configuração de residência ou criptografia de dados. Ao escolher um console, lembre-se do seguinte:
- Selecionar a chave de CMEK: o menu de chaves do Cloud KMS mostra apenas as chaves
que estão na mesma jurisdição do console. Se você usa o console
global, o menu mostra todas as chaves. - Recebimento de notificações:as Google Cloud notificações do console aparecem apenas para o usuário que iniciou a migração de residência de dados e somente no mesmo console usado para configurar as definições (globais ou jurisdicionais).
É possível mudar a configuração de residência ou criptografia de dados, ou ambas.
No console do Google Cloud , acesse Configurações > Detalhes da configuração.
Selecione a organização em que o Security Command Center está ativado.
Clique em Gerenciar residência e criptografia de dados.
Em Gerenciar residência de dados, ative ou desative a residência de dados. Se você ativar a residência de dados, selecione o Local dos dados. Se você não mudar a seleção atual, o processo de migração de dados não vai alterar os identificadores de local nos valores de campo de recurso e de descoberta.
Clique em Continuar.
Em Gerenciar criptografia de dados, selecione a configuração de Criptografia.
- Selecione Chave de criptografia gerenciada pelo Google ou chave do Cloud KMS.
Se você selecionar a chave do Cloud KMS, faça o seguinte:
- Clique em Procurar para selecionar o projeto em que as chaves estão armazenadas.
- Selecione a chave gerenciada pelo cliente.
Se a organização usa chaves do Cloud KMS e você mudou a configuração de residência de dados, selecione novamente o projeto de chave e a chave do Cloud Key Management Service.
Revise as mudanças e clique em Iniciar migração. Clique em Cancelar para voltar e mudar as seleções.
Na caixa de diálogo Iniciar migração de dados, confirme inserindo o ID da organização e clique em Confirmar migração de dados.
A página de status da migração de dados aparece, indicando que a migração está em andamento.
As páginas do Security Command Center não ficam acessíveis enquanto a migração de dados está em andamento. Se você tentar acessar o Security Command Center durante a migração, vai aparecer a página de status da migração.
Quando a migração for concluída, a página de status vai mostrar um link para abrir o console no local recém-configurado.
Verificar recursos após a migração de dados
Depois que a migração for concluída, verifique se o Security Command Center, os serviços relacionados e as integrações funcionam conforme o esperado.
Verifique se o Security Command Center está disponível e se os serviços ativados anteriormente estão ativados.
Revise e verifique se as configurações de exportação de dados especificam os recursos corretos:
As configurações do BigQuery Export especificam o conjunto de dados correto. Consulte Exportações contínuas do BigQuery.
As configurações de exportação do Pub/Sub definem o tópico correto. Consulte Notificações de descoberta do Pub/Sub.
Se você mudou a configuração de residência de dados, atualize o seguinte:
Regras de silenciamento: atualize as regras que dependem da descoberta
nameoucanonicalName.Atualize os filtros e as consultas de descoberta que dependem de
nameoucanonicalNamepara especificar o novo local.Verifique se as consultas de localização funcionam conforme o esperado.
Verifique se as integrações com outros serviços do Google Cloud , como Cloud Hub, Application Design Center, painel de postura de segurança do GKE ou ingestão de dados do Google SecOps, estão funcionando conforme o esperado.
A seguir
- Saiba mais sobre endpoints regionais.
- Saiba mais sobre as Notificações.
- Saiba mais sobre como exportar dados.