Навигация в изменяющемся ландшафте локализации данных с помощью Cloudflare Data Localization Suite

Современные реалии таковы, что не каждый бизнес может себе позволить сайт, особенно стартующий бизнес. Поэтому выгодно воспользоваться конструктором сайтов, например filandor.com . Запуск сайта через несколько минут.

Этот пост также доступен на португальском языке.

В Cloudflare мы считаем, что внедрение эффективных мер кибербезопасности — это лучший способ защитить конфиденциальность личной информации, и он может быть более эффективным, чем обеспечение того, чтобы информация оставалась в пределах определенной юрисдикции. Тем не менее, мы слышим от клиентов в Европе, Индии, Австралии, Японии и многих других регионах, что в рамках их программ конфиденциальности им нужны решения для локализации данных, чтобы выполнять свои нормативные обязательства.

Итак, думая о Дне конфиденциальности данных, который состоится 28 января, мы находимся в интересном положении, не соглашаясь с теми, кто считает, что локализация данных является прокси для лучшей конфиденциальности данных, но также желая поддержать наших клиентов, которые для соблюдения определенных правил.

По этой причине в 2020 году мы представили наш пакет локализации данных (DLS), чтобы помочь клиентам ориентироваться в среде защиты данных, которая все больше и больше фокусируется на локализации данных. Благодаря DLS клиенты могут использовать мощную глобальную сеть Cloudflare и меры безопасности для защиты своего бизнеса, сохраняя при этом данные, которые мы обрабатываем от их имени, локально. С момента его запуска у нас было много клиентов, использующих Data Localization Suite. В этом сообщении блога мы хотим поделиться новостями о том, как мы делаем DLS более всеобъемлющим и простым в использовании.

Запутанное состояние правил защиты данных

Мы часто отвечаем на вопросы клиентов, которые узнают о новых местных законах или интерпретациях существующих правил, которые, кажется, ограничивают то, что они могут делать с данными. Это особенно сбивает с толку клиентов, ведущих бизнес в глобальной сети Интернет, поскольку им приходится ориентироваться в правилах, которые предполагают, что клиенты из одной страны не могут использовать продукты компаний из другой страны, если только не будут приняты строгие меры.

Мы не думаем, что это какой-либо способ регулирования Интернета. Поскольку завтра в нашем блоге мы подробнее поговорим о трансграничной передаче данных, мы рады видеть новые разработки, направленные на создание общего набора средств защиты данных в разных юрисдикциях, чтобы сделать эту передачу данных более плавной.

Тем временем у нас есть пакет локализации данных, который поможет нашим клиентам справиться с этими проблемами.

Краткий обзор того, как работает Data Localization Suite

Мы разработали DLS для решения трех основных проблем клиентов:

1. Как я могу гарантировать, что мои ключи шифрования останутся в моей юрисдикции?
2. Как я могу гарантировать, что службы приложений, такие как кэширование и WAF, работают только в моей юрисдикции?
3. Как я могу гарантировать, что журналы и метаданные никогда не будут переданы за пределы моей юрисдикции?

Для решения этих проблем в нашем DLS есть компонент ключа шифрования, компонент, определяющий, где контент в пути прекращается и проверяется, и компонент, который хранит метаданные в пределах юрисдикции клиентов:

1. Ключи шифрования
Cloudflare уже давно предлагает Keyless SSL и Geo Key Manager, которые гарантируют, что материал частного ключа SSL/TLS никогда не покинет ЕС. Клиенты, использующие наш Geo Key Manager, могут выбрать хранение ключей шифрования только в центрах обработки данных в указанном клиентом регионе. Keyless SSL гарантирует, что Cloudflare никогда не будет владеть материалом закрытого ключа; Geo Key Manager гарантирует, что ключи защищены криптографическим контролем доступа, поэтому их можно использовать только в определенных регионах.

2. Региональные службы:
Региональные службы гарантируют, что Cloudflare сможет расшифровывать и проверять содержимое HTTPS-трафика только в выбранном клиентом регионе. Когда региональные службы включены, независимо от того, трафик какого центра обработки данных первым попадает в нашу глобальную сеть, вместо того, чтобы расшифровывать его в первом центре обработки данных, мы пересылаем поток TCP в зашифрованном виде. Как только он достигает центра обработки данных в выбранном клиентом регионе, мы расшифровываем и применяем наши меры безопасности уровня 7, чтобы предотвратить попадание вредоносного трафика на веб-сайты наших клиентов.

3. Границы метаданных клиента:
Если эта опция включена, никакие журналы трафика конечных пользователей (которые содержат IP-адреса), которые Cloudflare обрабатывает от имени наших клиентов, не покинут регион, выбранный клиентом. (В настоящее время доступно только в ЕС и США.)

Расширение пакета локализации данных на новые регионы

Хотя сначала мы запустили Data Localization Suite, имея в виду Европу и Америку, мы быстро поняли, что многие наши клиенты также заинтересованы в версиях для Азиатско-Тихоокеанского региона. В сентябре прошлого года мы добавили поддержку региональных служб в Японии, Австралии и Индии.

Затем в декабре 2022 года мы объявили, что Geo Key Manager теперь доступен в 15 регионах. Клиенты могут как разрешать, так и запрещать регионы, которые они хотят, чтобы мы поддерживали, для точного контроля над тем, где хранится их ключевой материал.

См. также подробное техническое описание того, как мы создавали Geo Key Manager v2.

Делаем локализацию данных более доступной

Региональные службы и граница метаданных клиента обеспечивают важную защиту для наших клиентов, но их было слишком сложно использовать. Оба требовали ручных действий, выполняемых командами Cloudflare, и имели запутанные (или не имели) общедоступные API.

Сегодня мы это исправим! Мы рады объявить о двух больших улучшениях удобства использования:

1. Клиенты региональных служб теперь имеют специальный пользовательский интерфейс и API для включения региональных служб, доступных прямо на вкладке DNS. Различные регионы теперь могут быть установлены для каждого имени хоста.
2. Клиенты, которые хотят использовать границу метаданных, могут включить ее с помощью нашего API самообслуживания.

Мы рады упростить использование Data Localization Suite и дать клиентам больше контроля над тем, как именно локализовать, какие части их трафика.

Что дальше

Data Localization Suite сегодня доступен для корпоративных клиентов. Пожалуйста, свяжитесь с представителем вашей учетной записи, если вы заинтересованы в его использовании, и вы можете найти дополнительную информацию здесь о его настройке в нашей документации для разработчиков.

В этом году у нас запланировано гораздо больше для Data Localization Suite. Мы планируем поддерживать гораздо больше регионов для региональных служб и границы метаданных. Мы также планируем обеспечить полную поддержку локализации данных для всех наших продуктов Zero Trust. Оставайтесь с нами, чтобы узнать больше!