本頁說明適用於 Security Command Center 的資料和基礎架構安全措施。
資料處理
註冊使用 Security Command Center 時,系統會處理您使用的 Google Cloud 服務相關資訊,包括: Google Cloud
- 與 Google Cloud資源相關聯的設定和中繼資料
- 身分與存取權管理 (IAM) 政策和使用者的設定與中繼資料
- Google Cloud層級的 API 存取模式和使用情況
- 貴機構的 Cloud Logging 內容 Google Cloud
- Security Command Center 中繼資料,包括服務設定和安全性發現項目
Security Command Center 會處理您設定掃描或監控的雲端記錄和資產相關資料,包括遙測和其他資料,以提供調查結果並改善服務。因此,掃描和監控報告會由 Google 根據《Google Cloud 隱私權聲明》的條款,以服務資料的形式處理。
為保護資產免於遭受不斷演變的新威脅,Security Command Center 會分析與設定錯誤的資產、記錄檔中的遭入侵指標和攻擊媒介相關的資料。這類活動可能包括處理資料,以改善服務模型、強化客戶環境的建議、服務的有效性和品質,以及使用者體驗。如果您不想讓系統處理您的資料,以改善服務品質,可以聯絡Google Cloud 支援團隊選擇停用這項功能。如果您選擇停用,可能無法使用某些需要安全遙測資料的功能。例如根據您的環境量身打造的偵測功能,以及納入服務設定的服務改善項目。
系統會加密靜態資料,以及在內部系統間傳輸的資料。此外,Security Command Center 的資料存取權符合《健康保險流通與責任法案》(HIPAA) 和其他 Google Cloud 法規遵循服務。
限制敏感資料
貴機構的管理員和其他具備權限的使用者,在將資料新增至 Security Command Center 時,必須採取適當的防護措施。
具備權限的使用者可透過 Security Command Center,為掃描產生的資源和結果新增說明資訊。在某些情況下,使用者可能會在不知情的情況下,透過產品轉送機密資料,例如在結果中新增客戶名稱或帳號。為保護您的資料,建議您在命名或註解資產時,避免新增機密資訊。Google Cloud
為進一步防護,Security Command Center 可與 Sensitive Data Protection 整合。Sensitive Data Protection 可偵測、分類及遮蓋機密資料和個人資訊,例如信用卡號碼、身分證字號和 Google Cloud 憑證。
視資訊量而定,Sensitive Data Protection 的費用可能相當高昂。請遵循控管 Sensitive Data Protection 費用的最佳做法。
如需設定 Security Command Center 的指引 (包括管理資源),請參閱「最佳化 Security Command Center」。
調查結果的資料保留期限
Security Command Center 處理的資料會擷取並儲存在發現項目中,這些發現項目會找出貴機構、資料夾和專案中資源和資產的威脅、安全漏洞和設定錯誤。發現項目包含一系列每日快照,可擷取每天的發現項目狀態和屬性。
下表列出 Security Command Center 發現項目的保留期限。
| 發現項目 | 保留期限 |
|---|---|
| 未解決的安全漏洞 | 7 天 |
| 設定錯誤 (已停用) | 30 天 |
| 所有有效內容 (威脅除外) | 在下列時間過後刪除:
如果錯誤設定或安全漏洞發現項目的根本問題仍未解決或再次發生,Security Command Center 會在後續的偵測掃描中重新建立發現項目。 |
| 所有其他發現項目 | 90 天 |
只要 Security Command Center 包含至少一個快照,且該快照仍在適用的保留期限內,系統就會保留該發現項目。如要將發現項目和所有資料保留更久,請匯出至其他儲存位置。詳情請參閱「匯出 Security Command Center 資料」。
活動時間超過保留期限後,系統會刪除所有第三方發現項目。如果發現項目是錯誤產生,或沒有任何安全性、風險或法規遵循價值,系統隨時可能會刪除這類項目。
刪除機構時的行為
如果機構從 Google Cloud刪除,所有層級的資料保留期限都會例外。刪除機構後,系統會在保留期限內,刪除從該機構及其資料夾和專案衍生的所有調查結果。如要瞭解保留期限,請參閱「Google Cloud 上的資料刪除作業」。
刪除專案時的行為
如果刪除專案,系統不會同時刪除專案的發現項目,而是會保留這些項目,以供稽核包含已刪除專案的機構。保留期限取決於已刪除專案中使用的層級:Enterprise 和 Premium 層級為 13 個月,Standard 和 Standard-legacy 層級則為 35 天。
如果您刪除專案,並需要同時刪除專案的所有發現項目,請與 Cloud Customer Care聯絡,他們可以為您提前刪除專案中的所有發現項目。
刪除資產時的行為
如果與發現項目相關聯的資產遭到刪除,Security Command Center 可能會將發現項目重新指派給機構,也就是發現項目的上層成為機構。資產刪除後幾天,系統就會重新指派擁有者,但前提是發現項目已更新。即使原始資產已不存在,這項重新指派作業仍可讓稽核人員查看該發現項目。
磁碟副本的資料保留時間
虛擬機器威脅偵測會建立 VM 永久磁碟的短期複製版本,並將這些版本儲存在 Google 擁有的專案中,與區域磁碟位於相同區域,或與地區磁碟位於相同地區。VM 威脅偵測會掃描磁碟副本,並在完成磁碟掃描活動和處理錯誤 (例如逾時) 後一小時內刪除副本。
基礎架構安全性
Security Command Center 的基礎架構與 Google 用於自家消費者和企業服務的基礎架構相同。我們的基礎架構採用層級式安全防護設計,可保護 Google Cloud中的所有服務、資料、通訊和作業。
如要進一步瞭解 Google 的基礎架構安全性,請參閱 Google 基礎架構安全性設計總覽。
後續步驟
如要瞭解 Security Command Center 的功能和優點,請參閱「Security Command Center 總覽」。