Bei Cloudflare sind wir der Meinung, dass der Einsatz wirksamer Cybersicherheitsmaßnahmen der beste Schutz für personenbezogene Daten ist. Solche Maßnahmen können aus unserer Sicht mehr zur Sicherheit dieser Informationen beitragen, als wenn man dafür sorgt, dass die Daten ein bestimmtes Gebiet nicht verlassen. Allerdings hören wir von Kunden aus Europa, Indien, Australien, Japan und vielen anderen Teilen der Welt, dass sie Lösungen benötigen, mit denen sie die in ihrem Land geltenden Datenschutzvorschriften einhalten können.
Wir wollten den Europäischen Datenschutztag am 28. Januar zum Anlass für eine Zwischenbilanz nehmen und stellen fest, dass wir uns in einer interessanten Position befinden: Auf der einen Seite gehören wir nicht zu denen, die Datenlokalisierung als Garanten für besseren Datenschutz betrachten. Auf der anderen Seite möchten wir unsere Kunden unterstützen, die bestimmte rechtliche Vorgaben befolgen müssen.
Deshalb haben wir 2020 unsere Data Localization Suite (DLS) eingeführt. Diese soll Kunden dabei helfen, in einem Datenschutzkontext zu bestehen, in dem der Fokus immer stärker auf Datenlokalisierung gelegt wird. Mit der DLS können sie auf das mächtige, weltumspannende Netzwerk von Cloudflare und Sicherheitsmaßnahmen zum Schutz ihrer Unternehmen zurückgreifen. Zugleich haben sie die Gewissheit, dass die von uns in ihrem Auftrag verarbeiteten Daten ein bestimmtes Gebiet nicht verlassen. Seit die Data Localization Suite zur Verfügung steht, wird sie von vielen unserer Kunden genutzt. In diesem Blogbeitrag wird beschrieben, wie wir DLS noch weiter abrunden und anwenderfreundlicher machen.
Unübersichtliche Rechtslage beim Datenschutz
Häufig wenden sich Kunden mit Fragen an uns, wenn sie von neuen lokalen Gesetzen oder Auslegungen bestehender Vorschriften hören, die ihre Möglichkeiten beim Umgang mit Daten einzuschränken scheinen. Besonders verwirrend ist die Situation für Kunden, die über das Internet weltweit geschäftlich tätig sind. Gegebenenfalls sind sie von Vorschriften betroffen, die besagen, dass Kunden in einem Land die Produkte eines in einem anderen Land ansässigen Unternehmens nur verwenden dürfen, wenn zuvor umfangreiche Datenschutzmaßnahmen ergriffen wurden.
Unserer Auffassung nach ist das keine angemessene Art, das Internet zu regulieren. Wir werden in unserem morgigen Blogbeitrag näher auf das Thema grenzüberschreitende Datentransfers eingehen. An dieser Stelle möchten wir nur feststellen, dass uns die Bemühungen um allgemeine Datenschutzregeln Mut machen, die für verschiedene Rechtsräume gelten sollen und solche Datenübermittlungen somit erleichtern werden.
Bis es soweit ist, stehen wir unseren Kunden mit der Data Localization Suite zur Seite, damit sie die Herausforderungen im Bereich Datenschutz meistern können.
Kurzüberblick: Funktionsweise der Data Localization Suite
Wir haben die DLS entwickelt, um drei wesentlichen Anliegen unserer Kunden nachzukommen:
- Wie stelle ich sicher, dass meine Kryptoschlüssel meinen Rechtsraum nicht verlassen?
- Wie stelle ich sicher, dass Anwendungsdienste wie Caching und WAF nur in meinem Rechtsraum betrieben werden?
- Wie stelle ich sicher, dass Protokolle und Metadaten nie an Orte außerhalb meines Rechtsraums übermittelt werden?
Um uns dieser Fragen anzunehmen, haben wir die DLS mit einer Kryptoschlüssel-Komponente ausgestattet. Eine weitere Komponente legt fest, wo bei der Datenübertragung die Verbindung beendet und der Traffic überprüft wird. Eine dritte sorgt dafür, dass Metadaten den Rechtsraum des Kunden nicht verlassen:
1. Kryptoschlüssel
Cloudflare bietet schon seit Langem Keyless SSL und den Geo Key Manager an. Die beiden Lösungen stellen sicher, dass Private Key-Material für SSL/TLS-Verbindungen die Europäische Union niemals verlässt. Kunden, die unseren Geo Key Manager nutzen, können festlegen, dass sich Krytoschlüssel nur in Rechenzentren der vom Kunden ausgewählten Region speichern lassen. Keyless SSL sorgt dafür, dass Cloudflare nie in den Besitz des Private Key-Materials gelangt und der Geo Key Manager gewährleistet den Schutz von Schlüsseln mit kryptografischer Zugangskontrolle, sodass sie nur in zuvor festgelegten Regionen zum Einsatz kommen können.
2. Regional Services:
Regional Services garantiert, dass Cloudflare HTTPS-Traffic nur innerhalb der vom Kunden ausgewählten Region entschlüsseln und überprüfen kann. Wenn Regional Services aktiviert ist, leiten wir den TCP-Datenstrom verschlüsselt weiter, anstatt ihn beim ersten Hop zu entschlüsseln – unabhängig davon, über welches Rechenzentrum unseres globalen Netzwerks der Traffic eingespeist wird. Sobald der Datenverkehr ein Rechenzentrum in der vom Kunden ausgewählten Region erreicht, entschlüsseln wir ihn. Dann wenden wir unsere Layer-7-Sicherheitsmaßnahmen an, um zu verhindern, dass bösartiger Traffic bis zu den Websites unserer Kunden vordringt.
3. Customer Metadata Boundary:
Ist diese Option aktiviert, verlassen Protokolle zu Endnutzer-Traffic (die IP-Adressen enthalten), die von Cloudflare im Auftrag unserer Kunden verarbeitet werden, die von diesen festgelegte Region grundsätzlich nicht. (Aktuell ist dieses Angebot nur für die EU und die USA verfügbar.)
Ausweitung des Anwendungsbereichs der Data Localization Suite
Bei der Einführung der Data Localization Suite standen für uns zwar Europa und die Amerika im Vordergrund, doch uns ist schnell klargeworden, dass viele unserer Kunden auch an einer Version für den Asien-Pazifik-Raum interessiert sind. Seit September 2022 wird Regional Services daher auch in Japan, Australien und Indien unterstützt.
Im Dezember 2022 haben wir zudem bekannt gegeben, dass der Geo Key Manager ab sofort in 15 Regionen verfügbar ist. Um im Detail darüber zu bestimmen, wo ihr Schlüsselmaterial gespeichert wird, können die Kunden per Zulassungs- und Sperrliste festlegen, welche Regionen von uns unterstützt werden sollen.
Wenn Sie genauer wissen möchten, wie wir den Geo Key Manager v2 entwickelt haben, finden Sie hier eine ausführliche Erläuterung mit technischen Details.
Datenlokalisierung einfacher gestalten
Regional Services und Customer Metadata Boundary bieten unseren Kunden wichtigen Schutz, stellten sie bislang bei der Nutzung aber vor gewisse Herausforderungen. Beide Lösungen erforderten bisher zur Aktivierung ein manuelles Eingreifen von Cloudflare-Mitarbeitenden. Zudem waren ihre öffentlichen APIs (sofern überhaupt vorhanden) verwirrend ausgestaltet.
Doch diese Probleme haben wir jetzt gelöst. Wir freuen uns, dass wir die Nutzerfreundlichkeit unter zwei wichtigen Aspekten verbessern konnten:
- Kunden, die Regional Services verwenden, verfügen jetzt über ein eigenes Nutzerinterface und eine API zur Aktivierung von Regional Services, die direkt über die DNS-Registerkarte aufgerufen werden können.
- Metadata Boundary kann nun von unseren Kunden bei Bedarf selbst über unsere API aktiviert werden.
Wir sind stolz darauf, dass die Data Localization Suite jetzt leichter zu benutzen ist und unsere Kunden somit mehr Kontrolle darüber haben, welche Teile des Traffic sie auf welche Weise lokalisieren möchten.
Was kommt als Nächstes?
Die Data Localization Suite ist ab sofort für Enterprise-Kunden verfügbar. Wenden Sie sich bei Interesse bitte an den/die für Sie zuständige/n Kundenbetreuer/in. Mehr zur Konfiguration erfahren Sie hier in unserer Dokumentation für Entwickler.
Dieses Jahr haben wir noch einiges für die Data Localization Suite geplant. Sowohl Regional Services als auch Metadata Boundary sollen künftig für viele weitere Regionen freigeschaltet werden. Außerdem beabsichtigen wir, in Zukunft eine umfassende Unterstützung der Datenlokalisierung für alle unsere Zero Trust-Produkte anzubieten. Schauen Sie gern hin und wieder auf unserem Blog vorbei, um zu erfahren, was es bei uns Neues gibt!