Modificar a configuração de residência ou criptografia de dados

Este documento explica como modificar a configuração de residência de dados e criptografia de dados nos níveis Standard e Premium depois de ativar o Security Command Center para sua organização. Este documento explica como fazer o seguinte:

  • Ativar ou desativar a residência de dados e mudar o local dos dados.
  • Mude a configuração de criptografia de dados para usar chaves de criptografia gerenciadas pelo Google ou chaves do Cloud Key Management Service.
  • Mude a chave do Cloud KMS.

Limitações

As seguintes limitações se aplicam a essa capacidade:

Antes de começar

Antes de mudar a configuração, faça o seguinte:

  1. Planeje a mudança.
  2. Verifique se você tem os papéis necessários.
  3. Crie ou localize as chaves do Cloud Key Management Service se você estiver mudando o local dos dados ou as chaves.
  4. Prepare regras de silenciamento e configurações de exportação se você estiver mudando o local dos dados.

Planejar a mudança

Se você estiver migrando do local de dados padrão do global, leia Planejamento da residência de dados para saber como o Security Command Center oferece suporte a essa funcionalidade.

Se você planeja mudar a criptografia de dados de chaves de criptografia gerenciadas pelo Google para uma chave do Cloud KMS, leia Ativar a CMEK para o Security Command Center e saiba como usar chaves de criptografia gerenciadas pelo cliente (CMEKs) com o Security Command Center.

Planeje a mudança de configuração para um momento em que você não estiver fazendo exportações em massa. Se você iniciou uma exportação em massa, aguarde a conclusão desse processo.

Depois de mudar a configuração, o processo de migração de dados pode levar de 4 a 24 horas, dependendo do volume de descobertas. Durante esse período, o Security Command Center e os serviços de detecção integrados ativados serão pausados temporariamente:

  • O Security Command Center não gera nem atualiza descobertas. As descobertas enviadas ao Security Command Center por serviços integrados ou de terceiros não são recebidas.
  • As exportações de dados do Security Command Center para outros recursos são pausadas.
  • As páginas do Security Command Center no console não estão acessíveis.
  • As seguintes APIs do Security Command Center não estão disponíveis:

    • securitycenter.googleapis.com
    • securitycentermanagement.googleapis.com

    Se um método de API for chamado durante a migração, ele vai retornar um erro FAILED_PRECONDITION com a mensagem API access is temporarily unavailable due to an ongoing data migration.

Quando a migração for concluída, o Security Command Center e os serviços integrados serão reiniciados automaticamente.

Se o Security Command Center se integrar a outros produtos, essas conexões serão interrompidas durante a migração.

Quando você muda a configuração de residência de dados, campos específicos são atualizados com o novo identificador de local (por exemplo, de global para us). Isso afeta os seguintes recursos:

  • Descobertas: valores name e canonicalNames.
  • Regras de silenciamento: valor name em MuteConfig.

Planeje atualizar as consultas de pesquisa de descobertas, os sistemas externos e os scripts que dependem desses valores de campo.

Funções exigidas

Para receber as permissões necessárias para migrar a criptografia ou o local dos dados do Security Command Center, peça ao administrador que conceda a você o papel do IAM Administrador do Security Center (roles/securitycenter.admin) na sua organização. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.

Criar ou localizar as chaves do Cloud Key Management Service

Crie um projeto de chave e chaves do Cloud Key Management Service se uma das seguintes condições for atendida:

  • Você planeja mudar as chaves do Cloud Key Management Service.

  • Você planeja mudar a configuração de residência de dados enquanto usa chaves do Cloud Key Management Service. Nesse caso, selecione as chaves do Cloud Key Management Service novamente.

Para mais informações, consulte Ativar a CMEK no Security Command Center.

Preparar regras de silenciamento e exportar configurações

Se você planeja mudar o local dos dados, atualize as seguintes configurações que dependem de valores de campo com um identificador de local:

  • Regras de silenciamento de descobertas
  • Exportações contínuas do Pub/Sub

Mude os valores dos campos para usar o novo identificador de local (por exemplo, de global para us).

Mudar a configuração e iniciar a migração

Você pode usar o console global e jurisdicional Google Cloud para mudar a configuração de residência ou criptografia de dados. Ao escolher um console, lembre-se do seguinte:

  • Selecionar a chave de CMEK: o menu de chaves do Cloud KMS mostra apenas as chaves que estão na mesma jurisdição do console. Se você usa o console global, o menu mostra todas as chaves.
  • Recebimento de notificações:as Google Cloud notificações do console aparecem apenas para o usuário que iniciou a migração de residência de dados e somente no mesmo console usado para configurar as definições (globais ou jurisdicionais).

É possível mudar a configuração de residência ou criptografia de dados, ou ambas.

  1. No console do Google Cloud , acesse Configurações > Detalhes da configuração.

    Acessar "Detalhes da configuração"

  2. Selecione a organização em que o Security Command Center está ativado.

  3. Clique em Gerenciar residência e criptografia de dados.

  4. Em Gerenciar residência de dados, ative ou desative a residência de dados. Se você ativar a residência de dados, selecione o Local dos dados. Se você não mudar a seleção atual, o processo de migração de dados não vai alterar os identificadores de local nos valores de campo de recurso e de descoberta.

  5. Clique em Continuar.

  6. Em Gerenciar criptografia de dados, selecione a configuração de Criptografia.

    • Selecione Chave de criptografia gerenciada pelo Google ou chave do Cloud KMS.
    • Se você selecionar a chave do Cloud KMS, faça o seguinte:

      • Clique em Procurar para selecionar o projeto em que as chaves estão armazenadas.
      • Selecione a chave gerenciada pelo cliente.

    Se a organização usa chaves do Cloud KMS e você mudou a configuração de residência de dados, selecione novamente o projeto de chave e a chave do Cloud Key Management Service.

  7. Revise as mudanças e clique em Iniciar migração. Clique em Cancelar para voltar e mudar as seleções.

  8. Na caixa de diálogo Iniciar migração de dados, confirme inserindo o ID da organização e clique em Confirmar migração de dados.

  9. A página de status da migração de dados aparece, indicando que a migração está em andamento.

    As páginas do Security Command Center não ficam acessíveis enquanto a migração de dados está em andamento. Se você tentar acessar o Security Command Center durante a migração, vai aparecer a página de status da migração.

  10. Quando a migração for concluída, a página de status vai mostrar um link para abrir o console no local recém-configurado.

Verificar recursos após a migração de dados

Depois que a migração for concluída, verifique se o Security Command Center, os serviços relacionados e as integrações funcionam conforme o esperado.

  • Verifique se o Security Command Center está disponível e se os serviços ativados anteriormente estão ativados.

  • Revise e verifique se as configurações de exportação de dados especificam os recursos corretos:

  • Se você mudou a configuração de residência de dados, atualize o seguinte:

    • Regras de silenciamento: atualize as regras que dependem da descoberta name ou canonicalName.

    • Atualize os filtros e as consultas de descoberta que dependem de name ou canonicalName para especificar o novo local.

    • Verifique se as consultas de localização funcionam conforme o esperado.

  • Verifique se as integrações com outros serviços do Google Cloud , como Cloud Hub, Application Design Center, painel de postura de segurança do GKE ou ingestão de dados do Google SecOps, estão funcionando conforme o esperado.

A seguir