En este documento, se explica cómo modificar la residencia de datos y la encriptación de datos configuración en los niveles Standard y Premium después de activar Security Command Center para tu organización. En este documento, se describe cómo hacer lo siguiente:
- Habilitar o inhabilitar la residencia de datos y cambiar la ubicación de los datos
- Cambiar la configuración de encriptación de datos para usar claves de encriptación administradas por Google o claves de Cloud Key Management Service
- Cambiar la clave de Cloud KMS
Limitaciones
Se aplican las siguientes limitaciones a esta capacidad:
Solo puedes realizar una migración de datos por semana. Si planeas cambiar la ubicación de los datos o la encriptación de datos varias veces, realiza los cambios con al menos una semana de diferencia.
Esta función no es compatible si Security Command Center se activa solo a nivel del proyecto.
Durante la migración de datos, los recursos
notificationConfigscon la estructura v1 se actualizan a la estructura v2.El campo
source_propertiesno es compatible con la API de v2. Si es necesario, actualiza las configuraciones de exportación para Pub/Sub y BigQuery.Para obtener más información, consulta Migra a la v2 de la API de Security Command Center.
Antes de comenzar
Antes de cambiar la configuración, completa lo siguiente:
- Planifica el cambio.
- Asegúrate de tener los roles necesarios.
- Crea o ubica las claves de Cloud Key Management Service si cambias la ubicación o las claves de los datos.
- Prepara las reglas de silenciamiento y las configuraciones de exportación si cambias la ubicación de los datos.
Planifica el cambio
Si realizas la migración desde la ubicación de datos global predeterminada, lee
Planificación de la residencia de datos para
obtener información sobre cómo Security Command Center admite la residencia de datos.
Si planeas cambiar la encriptación de datos de claves de encriptación administradas por Google a una clave de Cloud KMS, lee Habilita CMEK para Security Command Center para obtener información sobre el uso de claves de encriptación administradas por el cliente (CMEK) con Security Command Center.
Planifica el cambio de configuración durante un período en el que no realices exportaciones masivas. Si iniciaste una exportación masiva, espera hasta que se complete el proceso.
Después de cambiar la configuración, el proceso de migración de datos puede tardar entre 4 y 24 horas, según el volumen de resultados. Durante este tiempo, Security Command Center y los servicios de detección integrados habilitados se pausan temporalmente:
- Security Command Center no genera ni actualiza resultados. No se reciben los resultados enviados a Security Command Center desde servicios integrados o de terceros.
- Se pausan las exportaciones de datos de Security Command Center a otros recursos.
- No se puede acceder a las páginas de Security Command Center en la consola.
Las siguientes APIs de Security Command Center no están disponibles:
securitycenter.googleapis.comsecuritycentermanagement.googleapis.com
Si se llama a un método de API durante la migración, muestra un error
FAILED_PRECONDITIONcon el mensajeAPI access is temporarily unavailable due to an ongoing data migration.
Cuando se completa la migración, Security Command Center y los servicios integrados se reinician automáticamente.
Si Security Command Center se integra con otros productos, es posible que estas conexiones se interrumpan durante la migración.
Cuando cambias la configuración de residencia de datos, los campos específicos se actualizan con el nuevo identificador de ubicación (por ejemplo, de global a us). Esto afecta a los siguientes recursos:
- Resultados: valores
nameycanonicalNames - Reglas de silenciamiento:
namevalor en elMuteConfig.
Planifica actualizar las consultas de búsqueda de resultados, los sistemas externos y las secuencias de comandos que dependen de estos valores de campo.
Roles obligatorios
Si deseas obtener los permisos que
necesitas para migrar la ubicación de los datos o la encriptación de datos de Security Command Center,
pídele a tu administrador que te otorgue el
rol de IAM de administrador del Centro de seguridad (roles/securitycenter.admin) en tu organización.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
Crea o ubica las claves de Cloud Key Management Service
Crea un proyecto de claves y claves de Cloud Key Management Service si se aplica alguna de las siguientes opciones:
Planeas cambiar las claves de Cloud Key Management Service.
Planeas cambiar la configuración de residencia de datos mientras usas claves de Cloud Key Management Service. En este caso, debes volver a seleccionar las claves de Cloud Key Management Service.
Para obtener más información, consulta Habilita CMEK para Security Command Center.
Prepara las reglas de silenciamiento y las configuraciones de exportación
Si planeas cambiar la ubicación de los datos, actualiza las siguientes configuraciones que dependen de los valores de campo con un identificador de ubicación:
- Reglas de silenciamiento de resultados
- Exportaciones continuas de Pub/Sub
Cambia los valores de campo para usar el nuevo identificador de ubicación (por ejemplo, de global a us).
Cambia la configuración e inicia la migración
Puedes usar la consola global y la jurisdiccional Google Cloud para cambiar la configuración de residencia de datos o encriptación de datos. Ten en cuenta lo siguiente cuando elijas una consola:
- Selección de la clave de CMEK: El menú de claves de Cloud KMS muestra solo las claves
que están en la misma jurisdicción que la consola. Si usas la consola
global, el menú muestra todas las claves. - Obtención de notificaciones: Google Cloud Las notificaciones de la consola notificaciones aparecen solo para el usuario que inició la migración de residencia de datos y solo en la misma consola que se usó para configurar los parámetros (global o jurisdiccional).
Puedes cambiar la configuración de residencia de datos, la configuración de encriptación de datos o ambas.
En la Google Cloud consola, ve a Configuración > Detalles de configuración.
Selecciona la organización en la que se activó Security Command Center.
Haz clic en Administrar residencia y encriptación de datos.
En Administrar residencia de datos, habilita o inhabilita la residencia de datos. Si habilitas la residencia de datos, selecciona la Ubicación de los datos. Si no cambias la selección existente, el proceso de migración de datos no cambia los identificadores de ubicación en los valores de campo de resultados y recursos.
Haz clic en Continuar.
En Administrar encriptación de datos, selecciona la configuración de Encriptación.
- Selecciona Clave de encriptación administrada por Google o clave de Cloud KMS.
Si seleccionas la clave de Cloud KMS, haz lo siguiente:
- Haz clic en Explorar para seleccionar el proyecto en el que se almacenan las claves.
- Selecciona la clave administrada por el cliente.
Si la organización usa claves de Cloud KMS y cambiaste la configuración de residencia de datos, debes volver a seleccionar el proyecto de claves y la clave de Cloud Key Management Service.
Revisa los cambios y, luego, haz clic en Iniciar la migración. Haz clic en Cancelar para volver y cambiar las selecciones.
En el diálogo Iniciar la migración de datos , confirma ingresando el ID de la organización y, luego, haz clic en Confirmar la migración de datos.
Aparecerá la página de estado de la migración de datos, que indica que la migración está en curso.
No se puede acceder a las páginas de Security Command Center mientras la migración de datos está en curso. Si intentas acceder a Security Command Center durante la migración, verás la página de estado de la migración.
Cuando se complete la migración, la página de estado mostrará un vínculo para abrir la consola en la ubicación recién configurada.
Verifica las capacidades después de la migración de datos
Una vez que se complete la migración, asegúrate de que Security Command Center, los servicios relacionados y las integraciones funcionen como se espera.
Verifica que Security Command Center esté disponible y que los servicios habilitados anteriormente estén habilitados.
Revisa y verifica que las configuraciones de exportación de datos especifiquen los recursos correctos:
Las configuraciones de exportación de BigQuery especifican el conjunto de datos correcto. Consulta Exportaciones de BigQuery en transmisión.
Las configuraciones de exportación de Pub/Sub definen el tema correcto. Consulta Notificaciones de resultados para Pub/Sub.
Si cambiaste la configuración de residencia de datos, actualiza lo siguiente:
Reglas de silenciamiento: Actualiza las reglas que dependen del resultado
nameocanonicalName.Actualiza los filtros y las consultas de resultados que dependen del resultado
nameocanonicalNamepara especificar la nueva ubicación.Verifica que las consultas de resultados funcionen como se espera.
Verifica que las integraciones con otros Google Cloud servicios, como Cloud Hub, Application Design Center, el panel de postura de seguridad de GKE o la transferencia de datos de Google SecOps, funcionen como se espera.
¿Qué sigue?
- Obtén información sobre los extremos regionales.
- Obtén información sobre las notificaciones.
- Obtén información sobre la exportación de datos.