Se prevedi di abilitare la residenza dei dati quando attivi Security Command Center, la pagina fornisce le informazioni necessarie.
Puoi abilitare il supporto per la residenza dei dati solo quando attivi il livello Standard o Premium di Security Command Center per la prima volta in un'organizzazione. Il livello Enterprise non supporta la residenza dei dati.
Una volta abilitata la residenza dei dati, non puoi disabilitarla.
Quando abiliti la residenza dei dati in Security Command Center, Security Command Center archivia automaticamente i risultati che possono contenere o fare riferimento ai tuoi dati nella località di Security Command Center corrispondente alla località delle risorse.
Analogamente, l'esportazione continua, le esportazioni in BigQuery e le configurazioni di regole di disattivazione, che possono includere i dati nei filtri, vengono archiviate nella posizione di Security Command Center in cui le crei, dove sono applicabili solo ai risultati in quella località.
Un rilevamento è un record di un problema di sicurezza che uno dei servizi di rilevamento di Security Command Center ha rilevato nel tuo ambiente. Un record dei risultati è costituito dalle proprietà che descrivono il problema di sicurezza e le risorse interessate.
Un filtro di ricerca seleziona i risultati facendo riferimento alle loro proprietà e ai loro valori. I filtri dei risultati vengono utilizzati e salvati nelle
configurazioni delle esportazioni continue
(NotificationConfig) e delle
regole di disattivazione
(muteConfig).
Nell'ambito della residenza dei dati, si applicano le seguenti definizioni:
- Una località è una regione o più regioni di Google Cloud che corrisponde alla località in cui sono archiviati i dati.
- Il significato del termine dati dell'utente equivale al significato del termine "Dati dei clienti" alla voce Posizione dei dati nei Termini di servizio generali di Google Cloud.
L'opzione per abilitare la residenza dei dati è disponibile con i livelli Standard e Premium di Security Command Center.
Posizioni dei dati supportate
Security Command Center supporta solo le seguenti località multiregionali di Google Cloud come località dei dati:
- Unione Europea (
eu) - I dati vengono archiviati in qualsiasi regione Google Cloud all'interno degli stati membri dell'Unione europea.
- Stati Uniti (
us) - I dati vengono archiviati in qualsiasi regione Google Cloud negli Stati Uniti.
- Globale (
global) - I dati possono essere archiviati o elaborati in qualsiasi regione di Google Cloud. Se la residenza dei dati non è abilitata, Globale è l'unica località supportata.
Per maggiori informazioni sulle località di Security Command Center, consulta Prodotti disponibili per località.
Se devi specificare una località predefinita per la residenza dei dati non supportata da Security Command Center, contatta il rappresentante del tuo account o uno specialista del team di vendita Google Cloud.
Abilita la residenza dei dati durante l'attivazione
Puoi abilitare la residenza dei dati solo quando attivi Security Command Center per la prima volta in un'organizzazione.
Se non abiliti la residenza dei dati, la località di tutte le risorse di Security Command Center è impostata su global e Security Command Center non limita l'archiviazione dei tuoi dati a nessuna località specifica.
È richiesta un'attivazione a livello di organizzazione.
Dopo aver abilitato la residenza dei dati, non puoi disabilitarla o modificare la località predefinita.
Se attivi Security Command Center a livello di progetto o di organizzazione senza abilitare la residenza dei dati contemporaneamente, non puoi abilitare la residenza dei dati in Security Command Center in un secondo momento. Dovrai creare una nuova organizzazione Google Cloud per attivare Security Command Center con la residenza dei dati.
Località dei dati predefinita
Quando abiliti la residenza dei dati di Security Command Center, l'unica località che devi specificare è quella predefinita di Security Command Center. Questo perché Security Command Center determina dove deve archiviare i tuoi dati in base a dove viene eseguito il deployment delle risorse.
Security Command Center utilizza la località predefinita di Security Command Center solo per archiviare i risultati che si applicano ai seguenti tipi di risorse:
- Risorse che non si trovano in una località supportata da Security Command Center
- Risorse che non includono una specifica della località nei metadati
Puoi selezionare qualsiasi località dei dati supportata come località predefinita.
Se sei un'azienda globale che esegue il deployment di risorse Google Cloud in più località o regioni multiple, puoi scegliere la località globale come predefinita.
Se la tua azienda opera in una singola località, potresti scegliere quella località come località predefinita di Security Command Center.
API Security Command Center e residenza dei dati
La residenza dei dati richiede l'API Security Command Center v2.
Se utilizzi l'API Security Command Center quando la residenza dei dati è abilitata, v2 è l'unica API disponibile che puoi utilizzare.
Risorse e residenza dei dati di Security Command Center
L'elenco seguente spiega in che modo Security Command Center applica i controlli di residenza dei dati alle risorse che utilizzi quando lavori con Security Command Center:
- Asset
I metadati della risorsa non sono soggetti al controllo della residenza dei dati. I metadati degli asset sono archiviati a livello globale in Cloud Asset Inventory.
Per questo motivo, la pagina Asset di Security Command Center mostra sempre tutte le risorse dell'organizzazione, della cartella o del progetto, indipendentemente dalla posizione o dalla località in cui viene impostata la visualizzazione della console Google Cloud. Tuttavia, quando la residenza dei dati è abilitata e visualizzi i dettagli di un asset, le informazioni su eventuali risultati che potrebbero influire sull'asset non saranno disponibili nella pagina Asset.
- Punteggi di esposizione agli attacchi e percorsi di attacco
I punteggi di esposizione agli attacchi e i percorsi di attacco non sono soggetti al controllo della residenza dei dati e vengono archiviati a livello globale.
- Esportazioni BigQuery
Le configurazioni di BigQuery Export sono soggette a controlli sulla residenza dei dati e vengono archiviate nella località in cui le crei. Si applicano solo ai risultati residenti nella stessa località.
- Esportazioni continue
Le configurazioni di esportazione continua sono soggette a controlli di residenza dei dati e vengono archiviate nella località in cui le crei. Si applicano solo ai risultati residenti nella stessa località.
- Risultati
I risultati sono soggetti a controlli di residenza dei dati e vengono archiviati nella località di Security Command Center in cui si trova la risorsa interessata. Se una risorsa interessata si trova al di fuori di una località supportata o non ha un identificatore di località, tutti i risultati per l'istanza della risorsa vengono archiviati nella località predefinita.
- Regole di disattivazione
Le configurazioni delle regole di disattivazione sono soggette ai controlli di residenza dei dati e vengono archiviate nella località in cui le crei. Si applicano solo ai risultati residenti nella stessa località.
- Impostazioni di Security Command Center
La maggior parte delle impostazioni di Security Command Center, come quelle che definiscono quali servizi abilitare o quale livello è attivo, non sono soggette ai controlli di residenza dei dati e vengono archiviate a livello globale. Fanno eccezione le impostazioni di configurazione per le esportazioni in BigQuery, le esportazioni continue in Pub/Sub e la disattivazione delle regole. Queste impostazioni sono specifiche per la posizione in cui le crei.
Visualizzazione dei dati sulla posizione nella console Google Cloud
Quando la residenza dei dati è abilitata e selezioni una località nella console Google Cloud, ogni pagina di Security Command Center mostra risultati, regole di disattivazione ed esportazioni continue solo dalla località selezionata.
Ad esempio, quando selezioni la visualizzazione globale, vedi solo i dati globali. Per visualizzare i risultati, la disattivazione delle regole o le esportazioni continue da un'altra posizione, devi modificare la visualizzazione della console Google Cloud nell'altra posizione.
Determinazione della località dei dati dopo l'abilitazione
La località in cui vengono archiviati i risultati e le configurazioni di Security Command Center che contengono i tuoi dati viene determinata in un paio di punti dopo l'abilitazione della residenza dei dati:
- Quando tu o Security Command Center genera o crea un risultato o una configurazione.
- Quando visualizzi o recuperi un risultato o una configurazione.
Determinazione della località durante la creazione delle configurazioni
Quando crei un'esportazione continua, un'esportazione in BigQuery o una regola di disattivazione, Security Command Center archivia la configurazione risultante come risorsa. Una configurazione di esportazione continua viene archiviata come risorsa NotificationConfig, una configurazione di esportazione BigQuery viene archiviata come risorsa BiqQueryExport e una configurazione di regola di disattivazione viene archiviata come risorsa MuteConfig.
Prima di creare una configurazione di esportazione o una regola di disattivazione, devi selezionare la posizione in cui crearle. La posizione selezionata è quella in cui risiedono i risultati che vuoi esportare o disattivare.
Nella console Google Cloud, devi impostare la visualizzazione della console Google Cloud nella posizione appropriata prima di creare un'esportazione continua o una regola di disattivazione.
Quando crei una regola di disattivazione o di esportazione continua utilizzando l'API Security Command Center o Google Cloud CLI, devi specificare la località nella chiamata API o nel comando gcloud che utilizzi per creare la configurazione notificationConfig o muteConfig.
Per ulteriori informazioni sulla creazione delle configurazioni, consulta:
- Crea un'esportazione continua:
- Crea una regola di disattivazione:
Individuazione della località in cui vengono generati i risultati
Quando uno dei servizi di Security Command Center rileva un problema di sicurezza nel tuo ambiente, Security Command Center determina dove archiviare il risultato risultante in base alla località della risorsa interessata.
Se la risorsa interessata si trova in una località dei dati supportata da Security Command Center, Security Command Center archivia il risultato nella stessa località.
Se la risorsa interessata non si trova in una località dei dati supportata o non specifica una località nei metadati, Security Command Center archivia il risultato nella località predefinita dei dati specificata quando era abilitata la residenza dei dati.
Determinazione della località quando visualizzi i dati di Security Command Center
Per visualizzare i risultati, le regole di disattivazione e le esportazioni continue di una località specifica nella console Google Cloud, devi prima impostare la visualizzazione della console Google Cloud su quella località.
Puoi impostare la posizione di visualizzazione nell'angolo in alto a sinistra della maggior parte delle pagine di Security Command Center della console Google Cloud, direttamente sotto il selettore di progetti:
Quando la visualizzazione della console Google Cloud è impostata su una località, la console Google Cloud mostra solo i risultati, le regole di disattivazione e le esportazioni continue che risiedono nella località.
Per recuperare i risultati o le configurazioni utilizzando l'API o gcloud CLI, devi specificare la località in cui sono archiviati i risultati o le configurazioni.
Supporto della residenza dei dati per funzionalità e integrazioni
Quando la residenza dei dati è abilitata, le seguenti funzionalità, funzioni e integrazioni con altri prodotti non sono supportate:
- Riepiloghi AI
- Web Security Scanner
- Rapid Vulnerability Detection
- Terraform
Passaggi successivi
Per scoprire come attivare Security Command Center con la residenza dei dati abilitata, consulta Attivare Security Command Center per un'organizzazione per la prima volta.