Wir freuen uns, Ihnen unsere neue Data Localization Suite vorzustellen, mit der Unternehmen von den Performance- und Sicherheitsvorteilen des globalen Netzwerks von Cloudflare profitieren und zugleich durch die Festlegung von Regeln und Steuerungsmechanismen an der Edge mühelos bestimmen können, wo ihre Daten gespeichert und geschützt werden.

Die Data Localization Suite ist jetzt als Add-on für Enterprise-Kunden verfügbar.

Das Netzwerk von Cloudflare ist auf Datenschutz und Regelkonformität ausgelegt. Die Wahrung des Datenschutzes für Endnutzer ist Kernbestandteil unseres Ziels, ein besseres Internet zu schaffen. Personenbezogenen Daten von Kunden oder Endnutzern unseres Netzwerks werden von uns unter keinen Umständen verkauft. Wir halten gesetzliche Vorschriften wie die DSGVO stets ein und sind unter anderem ISO-27001-zertifiziert.

Die neuen Tools machen es für unsere Kunden einfach, bei der Entwicklung ihrer eigenen Anwendungen die gleichen Anforderungen zu erfüllen. In diesem Beitrag gehe ich auf die verschiedenen Datenkategorien ein, die von uns verarbeitet werden. Außerdem erläutere ich, wie die Data Localization Suite dafür sorgt, dass Daten den für sie vorgesehenen Standort nicht verlassen.

Wir werden uns auch damit befassen, auf welche Weise sich mithilfe von Cloudflare Anwendungen entwickeln lassen, die mit Datenlokalitätsgesetzen konform sind, ohne dabei an Geschwindigkeit, Sicherheit oder Skalierbarkeit einzubüßen.

Was spricht für Datenlokalisierung?

Cloudflare-Kunden wünschen sich zunehmend die Möglichkeit zur Datenlokalisierung oder sind rechtlich sogar dazu verpflichtet: sie möchten selbst bestimmen, an welchem Ort ihre Daten verarbeitet werden. Bei vielen dieser Informationen – seien sie gesundheitlicher, juristischer oder finanzieller Natur – kann eine Speicherung oder Verarbeitung an einem bestimmter Ort verbindlich vorgeschrieben sein. Datenlokalisierung wird in der gesamten Europäischen Union, Indien und Brasilien zunehmend bevorzugt oder verlangt. Es ist anzunehmen, dass man auch anderswo mit der Zeit von immer mehr Kunden erwarten wird, dass sie Datenlokalisierung praktizieren.

Eigentlich klingt das Prinzip der „Datenlokalisierung“ erst einmal einfach. Unsere Gespräche mit Cloudflare-Kunden haben aber gezeigt, dass die Umsetzung dieses Ziels für einige singuläre Herausforderungen bereithält.  Einerseits sollen die Informationen auf ihren Websites und Webapplikationen weiterhin global verfügbar sein, denn sie wollen den Zugriff nicht auf Anwender in ihren jeweiligen Rechtsräumen begrenzen. Gleichzeitig wollen sie aber sicherstellen, dass zugehörigen Daten nur lokal gespeichert werden. Dabei stellen sich diverse Fragen wie:

  • Wie integriere ich die lokalen Anforderungen in meine globalen Online-Aktivitäten?
  • Wie stelle ich sicher, dass unverschlüsselter Traffic nur lokal verfügbar ist?
  • Wie kann ich erreichen, dass beim Umgang mit personenbezogenen Daten die Lokalisierungsvorgaben eingehalten werden?
  • Wie gewährleiste ich, dass meine Anwendungen Daten nur an bestimmten Orten speichern?

Die Data Localization Suite von Cloudflare versucht, eine Antwort auf diese Fragen zu geben.

Bisher mussten Kunden, die ihre Daten an einem bestimmten Ort unterbringen wollten, ihre Anwendung auf ein Rechenzentrum oder eine Weltregion eines Cloud-Providers beschränken. Dieser Ansatz hat jedoch Schwächen, denn dadurch können Performance, Zuverlässigkeit und Sicherheit beeinträchtigt werden. Cloudflare schafft ein neues Paradigma: Die Kunden sollten von der Performance und Sicherheit unseres weltweiten Netzwerks profitieren und zugleich mühelos sicherstellen können, dass ihre Daten nur lokal gespeichert werden.

Kein Datenschutz ohne Verschlüsselung

Bevor wir uns eingehender mit Datenlokalisierung befassen, sollten wir uns jedoch dem Thema Verschlüsselung widmen. Ohne starke Verschlüsselung ist Datenschutz nicht möglich, denn dann könnte jeder die Daten Ihrer Kunden unabhängig von ihrem Speicherort ausspionieren.

Man spricht oft von Daten „in Bewegung“ oder „im Ruhezustand“. Es ist absolut entscheidend, dass die Daten in beiden Fällen verschlüsselt werden. Mit Daten „in Bewegung“ ist genau das gemeint – Daten, die sich durch ein lokales Netzwerk oder das öffentliche Internet bewegen. Daten „im Ruhestand“ verweist meist auf solche, die auf einer Festplatte gespeichert sind. Dabei kann es sich um eine rotierende HDD ebenso wie um eine moderne SSD handeln.

Cloudflare kann erzwingen, dass der gesamte Datenverkehr zu Endnutzern das moderne TLS verwendet und die höchstmögliche Verschlüsselung erhält. Wir können auch durchsetzen, dass der Traffic auf dem Rückweg zu den Ursprungsservern der Kunden grundsätzlich verschlüsselt wird. Die Kommunikation zwischen unseren Rechenzentren im Kern und am Rand des Netzwerks erfolgt immer verschlüsselt.

Normalerweise werden alle Daten, die Cloudflare verarbeitet, im Ruhezustand auf Festplattenebene verschlüsselt. Von zwischengespeicherten Dateien in unserem Edge-Netzwerk bis hin zum Konfigurationsstatus in Datenbanken in unseren Rechenzentren im Kern – jedes Byte wird im Ruhezustand verschlüsselt.

Kontrolle über den Zugriffsort für private TLS-Schlüssel

Angesichts der Bedeutung der Kryptographie zählen Verschlüsselungscodes zu den sensibelsten Daten, die unsere Kunden uns anvertrauen. Cloudflare bietet Kunden zwei Möglichkeiten, um sicherzustellen, dass ihre privaten Schlüssel nur an von ihnen festgelegten Orten zugänglich sind.

Keyless SSL ermöglicht es Kunden, ihre eigenen privaten Schlüssel für SSL zur Verwendung mit Cloudflare in einer externen Infrastruktur ihrer Wahl zu speichern und zu verwalten. Für ihren Keystore steht ihnen eine Vielzahl von Systemen zur Auswahl, darunter Hardware-Sicherheitsmodule („HSMs“), virtuelle Server und Hardware, auf denen Unix/Linux und Windows ausgeführt werden. Diese Systeme sind in Umgebungen untergebracht, die unter der Kontrolle des Kunden stehen. Mit Keyless SSL hat Cloudflare grundsätzlich keinen Zugang zu dem privaten Schlüssel.

Geo Key Manager gibt Kunden die Möglichkeit, präziser zu steuern, an welchen Orten ihre Schlüssel gespeichert werden sollen. Beispielsweise kann ein Kunde festlegen, dass die für die Prüfung des Datenverkehrs erforderlichen privaten Schlüssel nur innerhalb von Rechenzentren in der Europäischen Union zugänglich sind.

Bestimmen, wo HTTPS-Anfragen und -Antworten geprüft werden

Um unsere WAF einsetzen oder bösartigen Bot-Verkehr aufspüren zu können, muss Cloudflare TLS in unseren Edge-Rechenzentren beenden und die Nutzdaten in den HTTPS-Anfragen und -Antworten überprüfen.

Regional Services gibt Unternehmen die Kontrolle darüber, wo ihr Traffic überprüft wird. Wenn Regional Services aktiviert ist, wird Datenverkehr über das globale Anycast-Netzwerk von Cloudflare an einem dem Kunden nächstgelegenen Standort empfangen, an dem wir L3- und L4-DDoS-Schutz anbieten können. Der Traffic wird nicht auf HTTP-Ebene in diesem Rechenzentrum überprüft, sondern sicher an Cloudflare-Rechenzentren innerhalb der vom Kunden ausgewählten Weltregion übertragen und dort verarbeitet.

Kontrolle über die durch Ihren Datenverkehr generierten Protokolle und Analysedaten

Wir machen nicht nur die Infrastruktur und die Teams unserer Kunden schneller, sicherer und zuverlässiger, sondern geben auch einen Einblick, was unsere Dienste leisten und wie die Kunden sie besser nutzen können. Wir sammeln Metadaten über den Traffic, der über unsere Edge-Rechenzentren läuft, um anhand dieser Informationen den Betrieb unseres eigenen Netzwerks zu optimieren: zum Beispiel durch die Erstellung von WAF-Regeln zur Abwehr der neuesten Angriffe oder durch die Entwicklung von Modellen für maschinelles Lernen zur Erkennung bösartiger Bots. Diese Daten stellen wir in Form von Protokollen und Analysen auch unseren Kunden zur Verfügung.

Dafür muss nur ein Teil der Metadaten in unseren Kernrechenzentren in den USA / der EU verarbeitet werden. Diese Daten enthalten Informationen darüber, wie viele Anfragen gestellt und wie viele Daten gesendet wurden, wie lange Anfragen gedauert haben und andere Angaben, die für den Betrieb unseres Netzwerks maßgeblich sind.

Mit Edge Log Delivery können Kunden Protokolle direkt von der Edge aus an den Partner ihrer Wahl senden – zum Beispiel einen Azure Storage Bucket in ihrer bevorzugten Weltregion oder eine Instanz von Splunk, die in einem Rechenzentrum vor Ort läuft. Mit dieser Option erhalten Kunden immer noch ihre vollständigen Protokolle in der von ihnen bevorzugten Weltregion, ohne dass diese Protokolle zuerst durch unsere Kernrechenzentren in den USA oder der EU geleitet werden.

Edge Log Delivery befindet sich jetzt in der frühen Betaphase für Enterprise-Kunden – auf unserer Produktseite finden Sie weitere Informationen dazu.

Letztendlich arbeiten wir darauf hin, den Kunden die volle Kontrolle darüber zu geben, wo und wie lange ihre Metadaten gespeichert werden. Sie sollen im kommenden Jahr die Möglichkeit haben, genau auszuwählen, welche Datenfelder wie lange und an welchem Ort gespeichert werden.

Standortorientierte Anwendungen von Grund auf neu entwickeln

Bisher sind wir darauf eingegangen, wie die Produkte von Cloudflare unseren Kunden globale Performance- und Sicherheitslösungen bieten können, während ihre vorhandenen Schlüssel, Anwendungsdaten und Metadaten vor Ort bleiben.

Wir wissen jedoch, dass unsere Kunden auch Schwierigkeiten haben, bestehende, traditionelle Cloud-Systeme zur Verwaltung ihrer Anforderungen hinsichtlich Datenlokalisierung einzusetzen. Vorhandene Plattformen ermöglichen zwar gegebenenfalls die Bereitstellung von Code oder Daten in einer bestimmten Weltregion, aber Kopien von Anwendungen in jeder Weltregion zu unterhalten und den Status in jeder dieser Weltregionen zu verwalten, ist bestenfalls eine Herausforderung (und schlimmstenfalls unmöglich).

Das ultimative Versprechen von Serverlosigkeit war es, jedem Entwickler die Möglichkeit zu geben, zu sagen: „Es ist mir egal, wo mein Code läuft, er soll einfach skalieren.“ In zunehmendem Maße wird ein weiteres Versprechen lauten müssen: „Es ist mir nicht egal, wo mein Code läuft, und ich brauche mehr Kontrolle, um meine Compliance-Abteilung zufriedenzustellen.“ Cloudflare Workers bietet Ihnen das Beste aus beiden Welten: sofortige Skalierung, Standorte, die sich über mehr als 100 Länder auf der ganzen Welt erstrecken, und die Granularität, genau das auszuwählen, was Sie benötigen.

Wir möchten eine wichtige Verbesserung ankündigen, mit der Kunden steuern können, wo ihre Anwendungen Daten speichern: Workers Durable Objects wird Ortsbeschränkungen („Jurisdiction Restrictions“) unterstützen. Durable Objects bietet einen weltweit einheitlichen Status und Koordination für serverlose Anwendungen, die auf der Cloudflare Workers-Plattform laufen. Mithilfe von Jurisdiction Restrictions können Nutzer sicherstellen, dass ihre Durable Objects keine Daten speichern oder nicht außerhalb einer bestimmten Region ausgeführt werden – dadurch lassen sich mühelos Anwendungen entwickeln, die globale Performance mit lokaler Regelkonformität in Einklang bringen. Dank der automatischen Migration von Durable Objects wird die Anpassung an neue Vorschriften keinen größeren Aufwand erfordern als das Hinzufügen eines Tags zu einem Satz Durable Objects.

Arbeit mit Weitsicht

Der Bereich Datenlokalisierung ist in einem steten Wandel begriffen. Seit wir unsere Arbeit an der Data Localization Suite begonnen haben, hat der Europäische Datenschutzausschuss neue Leitlinien dazu veröffentlicht, wie Daten zwischen der EU und den USA übermittelt werden dürfen. Und wir wissen, dass das erst der Anfang ist. Mit der Zeit werden mehr Wirtschaftsräume und mehr Branchen Datenlokalisierung vorschreiben.

Bei Cloudflare behalten wir den Überblick über die aktuellen Entwicklungen im Bereich Datenschutz, damit unsere Kunden es nicht tun müssen. Die Data Localization Suite gibt unseren Kunden das nötige Werkzeug an die Hand, um Regeln und Steuerungsmechanismen an der Edge festzulegen, wo ihre Daten gespeichert und geschützt werden. Zugleich können Sie von den Vorzügen unseres globalen Netzwerks profitieren.