Als wir Regional Services im Juni 2020 eingeführt haben, waren die Konzepte der Datenlokalisierung und Datenhoheit in Europa bereits tief in den gesetzlichen Vorschriften und Bestimmungen verwurzelt. Heute besteht die Anforderung der Datenlokalisierung unverändert: In zahlreichen Ländern ist diese in irgendeiner Weise gesetzlich vorgeschrieben. Außerdem wird in etlichen Staaten bei der Vergabe öffentlicher Aufträge von den sich beteiligenden Anbietern verlangt, die Datenverarbeitung räumlich zu beschränken. Darüber hinaus reagieren manche Kunden auf geopolitische Entwicklungen, indem sie versuchen, die Datenverarbeitung aus bestimmten Ländern fernzuhalten.
Deshalb freuen wir uns, Ihnen heute erweiterte Funktionen vorzustellen, mit denen Sie Regional Services für eine größere Anzahl von definierten Regionen konfigurieren und so Ihre individuellen Anforderungen an den Ort erfüllen können, an dem Ihr Traffic verarbeitet wird. Diese neuen Regionen sind ab Ende Mai 2024 per Early Access zugänglich und wir beabsichtigen, sie im Juni allgemein verfügbar zu machen.
Es war schon immer unser Ziel, Ihnen eine ganze Reihe von Lösungen an die Hand zu geben, mit deren Hilfe Sie nicht nur Ihre Sicherheits- und Performanceprobleme bewältigen, sondern auch Ihre rechtlichen Verpflichtungen erfüllen können. Was die Datenlokalisierung angeht, wissen wir, dass manche von Ihnen dafür sorgen müssen, dass Ihre Daten einen bestimmten Rechtsraum nicht verlassen, während in anderen Fällen bestimmte Rechtsräume unbedingt vermieden werden müssen. Zur Erfüllung dieser Anforderungen haben wir das Angebot von Regional Services erweitert, damit Sie genau bestimmen können, wo der Datenverkehr geprüft wird. Damit kann die Überprüfung auf Rechenzentren innerhalb bestimmter Länder wie Brasilien, Saudi-Arabien oder der Schweiz beschränkt werden. Außerdem besteht die Option, die Datenprüfung so gut wie überall zu erlauben und nur ganz bestimmte Rechtsräume auszuschließen. Beispielsweise ist es möglich, nur Hongkong und Macau auszunehmen oder nur Russland und Belarus. Mit der Cloudflare Green Energy-Region haben wir auch die Rückmeldungen von Kunden berücksichtigt, die auf Nachhaltigkeit Wert legen. Bei diesem Angebot wird die Datenüberprüfung auf Rechenzentren beschränkt, die sich zur Nutzung von Ökostrom verpflichtet haben.
Zu den neu eingeführten Regionen gehören einige der am häufigsten nachgefragten Gebiete und Spezifikationen:
Brasilien, Cloudflare Green Energy, Frankreich, Hongkong, Italien, die NATO, die Niederlande, Österreich, sämtliche Regionen außer Hongkong und Macau, sämtliche Regionen außer Russland und Belarus, Russland, Saudi-Arabien, die Schweiz, Spanien, Südafrika und Taiwan.
Eine vollständige Liste unserer Regional Services-Angebote finden Sie hier.
Das haben wir im Bereich Datenlokalisierung noch geplant
Im weiteren Jahresverlauf werden wir neue und spannende Möglichkeiten einführen, mithilfe von Cloudflare-Produkten dafür zu sorgen, dass Daten bestimmte Regionen nicht verlassen. Aber widerspricht das nicht dem gesamten Ansatz von Cloudflare? Sind wir kein globales Anycast-Netzwerk, das sich der Überwindung aller Grenzen verschrieben hat?
Unserer Meinung nach gibt es in dieser Frage nicht nur schwarz oder weiß. Wir sind nach wie vor der Meinung, dass Datenlokalisierung kein Stellvertreter für Datenschutz sein sollte und Beschränkungen bei der grenzüberschreitenden Datenübertragung dem globalen Handel abträglich sind. Andererseits wollen wir all diejenigen unterstützen, die Lösungen zur Datenlokalisierung benötigen, um ihren rechtlichen Verpflichtungen nachzukommen und angemessen mit Risiken umzugehen.
Leider sind viele Cloud-Anbieter zu dem Schluss gekommen, dass sich die Compliance-Anforderungen ihrer Kunden am besten erfüllen lassen, indem feste Infrastrukturen – sogenannte souveräne Clouds – dafür geschaffen werden. Das Problem bei diesem Ansatz ist jedoch, dass Sie in diesem Fall für Ihren gesamten Datenverkehr eine Region festlegen müssen – unabhängig davon, ob dieser Traffic tatsächlich vollständig auf ein bestimmtes Rechenzentrum in einer bestimmten Region beschränkt werden muss.
Hier sollen nun die Fragen dargelegt werden, die uns bei der Weiterentwicklung unserer Data Localization Suite leiten:
Was, wenn es einen besseren Weg gäbe? Einen, der es Ihnen ermöglicht, unter Erzielung optimaler Compliance und Performance eine Lokalisierung nur für die Daten vorzunehmen, für die das wirklich nötig ist, ohne sich für den gesamten Traffic auf eine bestimmte Region festlegen zu müssen? Was würden Kunden erschaffen, wenn sie die API, die vertrauliche Kundendaten verarbeiten, lokalisieren und gleichzeitig ihre statischen Assets global bereitstellen könnten? In welcher Weise könnten wir die Compliance und den Datenschutz bei den Zero Trust-Implementierungen unserer Kunden verbessern, wenn wir es ihnen überlassen könnten, wo ihre sichersheitsbezogene Datenverarbeitung stattfindet? Was wäre, wenn sie Regionen selbst definieren, diese Regionen auf bestimmte Hostnamen und Cloudflare-Produkte anwenden und gleichzeitig BYOIP oder statische IP-Adressen verwenden könnten?
Unserer Meinung nach stellt dieser Ansatz der softwaredefinierten Regionalisierung (SDR) die Zukunft der Datenlokalisierung dar. Mit SDR können unsere Kunden auf Grundlage unseres globalen Netzwerks äußerst präzise entscheiden, für welchen Traffic sie eine Region festlegen wollen und um welche es sich handeln soll. So können schnelle, zuverlässige und gesetzeskonforme Anwendungen erstellt werden, ohne dass eine neue physische Infrastruktur bereitgestellt oder mehrere Cloud-Implementierungen für dieselbe Anwendungen genutzt werden müssen.
SDR geht eine Schritt weiter und ermöglicht es Ihnen, Cloudflare so zu gestalten, dass wir Ihren Anforderungen sowohl heute als auch in Zukunft gerecht werden. Die Lösung bietet Ihnen die Flexibilität, in einem sich rasant verändernden Umfeld schnell auf neue Herausforderungen zu reagieren. Wenn Sie Entscheidungen bezüglich der Lokalisierung im Software-Bereich treffen, sind Sie nicht an die physischen Einschränkungen Ihres bestehenden Netzwerks oder der Standorte Ihrer Cloud-Implementierungen gebunden.
Wir sind davon überzeugt, dass softwaredefinierte Regionalisierung die Zukunft der Datenlokalisierung ist, und freuen uns, bei dieser Entwicklung eine Führungsrolle einzunehmen.
So stellt Regional Services sicher, dass Ihre Daten in der richtigen Region verarbeitet werden
Ohne starke Verschlüsselung ist eine ordnungsgemäße Datenlokalisierung nicht möglich, weil sonst jeder die Daten Ihrer Kunden unabhängig von ihrem Speicherort ausspionieren könnte. Deshalb bildet eine starke Verschlüsselung die Grundlage von Regional Services.
Man spricht oft von Daten „in Bewegung“ oder „im Ruhezustand“. In beiden Fällen müssen die Daten unbedingt verschlüsselt werden. Daten „in Bewegung“ meint genau das – Daten, die sich durch ein lokales Netzwerk oder das öffentliche Internet bewegen. Daten „im Ruhestand“ verweist meist auf solche, die auf einer Festplatte gespeichert sind. Dabei kann es sich um eine HDD ebenso wie um eine moderne Solid State Disk (SSD) handeln.
Cloudflare kann erzwingen, dass der gesamte Datenverkehr das moderne TLS-Protokoll verwendet und die höchstmögliche Verschlüsselung erhält. Wir können auch durchsetzen, dass der Traffic auf dem Rückweg zu den Ursprungsservern der Kunden grundsätzlich verschlüsselt wird. Die Kommunikation zwischen unseren Rechenzentren im Zentrum und am Rand des Netzwerks erfolgt immer verschlüsselt.
Alle von Cloudflare verarbeiteten Daten werden im Ruhezustand auf Festplattenebene verschlüsselt. Von zwischengespeicherten Dateien in unserem Edge-Netzwerk bis hin zum Konfigurationsstatus in Datenbanken in unseren Hauptrechenzentren – jedes Byte wird im Ruhezustand verschlüsselt.
Doch wie lässt sich Traffic auf eine bestimmte Region beschränken, wenn er verschlüsselt ist? Alle Rechenzentren von Cloudflare geben mittels des Border Gateway Protokoll (BGP) dieselben IP-Adressen bekannt. Die Endnutzer erreichen immer das Rechenzentrum, das ihnen aus Netzwerkperspektive am nächsten ist.
Das ist aus zwei Gründen eine gute Nachricht. Erstens erfolgt die Antwort umso schneller, je näher sich das Rechenzentrum an einem Nutzer befindet. Ein zweiter großer Vorteil besteht darin, dass diese Lösung bei großen DDoS-Angriffen praktisch ist. Bei einer volumetrischen DDoS-Attacke wird eine bestimmte Anwendung mit riesigen Mengen an Fake-Traffic bombardiert, bis die Netzwerkkapazität dem nicht mehr gewachsen ist. Das Anycast-Netzwerk von Cloudflare ist bestens zur Bekämpfung solcher Angriffe geeignet, weil der betreffende Traffic über das gesamte Netzwerk verteilt und in der Nähe seines Ursprungs abgewehrt wird.
Anycast berücksichtigt keine nationalen Grenzen und ist sich dieser nicht einmal bewusst. Deshalb kann Cloudflare im Grundmodus erst einmal nicht garantieren, dass der Datenverkehr aus einem bestimmten Land auch dort verarbeitet wird. Normalerweise werden die Anfragen an ein Rechenzentrum im Ursprungsland weitergeleitet. Es ist jedoch möglich, dass der Internetdienstanbieter des Nutzers den Datenverkehr an ein Netzwerk sendet, das ihn in ein anderes Land weiterleitet.
Nach Aktivierung von Regional Services ist jedoch jedem Rechenzentrum bekannt, in welcher durch Regional Services definierten Grenze es sich befindet. Wenn ein Endnutzer eines Kunden in Kontakt mit einem Cloudflare-Rechenzentrum kommt, das sich nicht in der von dem Kunden ausgewählten Region befindet, wird der TCP-Rohdatenstrom einfach in verschlüsselter Form weitergeleitet. Sobald dieser ein Rechenzentrum erreicht, das in der richtigen Region angesiedelt ist, erfolgt eine Entschlüsselung und Anwendung aller unserer Layer 7-Produkte. Dazu zählen unter anderem unser CDN, unsere WAF, unser Bot-Management sowie Workers.
Schauen wir uns dazu folgendes Beispiel an. Die Endnutzerin eines Kunden befindet sich im indischen Kerala und BGP hat festgestellt, dass das optimale Rechenzentrum für die Anfrage dieser Endnutzerin in der sri-lankischen Hauptstadt Colombo steht. Nehmen wir an, der Kunde hat festgelegt, dass der Traffic zwingend in Indien verarbeitet werden muss. Dann registriert das Rechenzentrum in Colombo, dass der betreffende Datenverkehr für die Region Indien bestimmt ist. Deshalb entschlüsselt es ihn nicht, sondern leitet ihn an ein Rechenzentrum in Indien weiter. Erst dort erfolgt die Entschlüsselung, sodass Dienste wie die WAF und Workers zum Einsatz kommen können – ganz so, als habe der Traffic dieses Rechenzentrum direkt angesteuert. Antworten vom Rechenzentrum in der Region nehmen den gleichen Pfad zurück zum Client.
Die erweiterten Regional Services sind per Early Access ab Ende Mai 2024 zugänglich und wir beabsichtigen, sie im Juni allgemein verfügbar zu machen. Wir freuen uns sehr darüber, unsere Data Localization Suite so weiterentwickeln zu können, dass wir Sie damit bei der Erfüllung Ihrer Anforderungen an Datenlokalisierung unterstützen können.
Wenn Sie Zugang zu diesen erweiterten Funktionen erhalten oder die Data Localization Suite verwenden möchten, wenden Sie sich an Ihren Ansprechpartnerin oder Ihren Ansprechpartner bei Cloudflare.