Wir möchten heute die allgemeine Verfügbarkeit einer neuen Region für unsere Regional Services bekannt geben. Dadurch ist es ab sofort möglich, den Traffic auf ISO 27001-zertifizierte Rechenzentren innerhalb der EU zu beschränken. Das ist für Kunden mit strengen Vorgaben im Hinblick auf die Rechenzentren hilfreich, die Traffic entschlüsseln und verarbeiten dürfen. Aktivieren lässt sich diese Funktion mit einem einzigen Klick im Cloudflare-Dashboard.
Regional Services – noch einmal das Wichtigste in Kürze
Im Jahr 2020 sind bei uns mehr Anfragen potenzieller Kunden zu Datenlokalisierung eingegangen, deren Wahlmöglichkeiten im Hinblick auf international tätige Anbieter durch strengere Vorschriften eingeschränkt wurden. Deshalb haben wir Regional Services eingeführt, eine neue Möglichkeit für Kunden, das Cloudflare-Netzwerk zu nutzen. Mit dieser Lösung geben wir ihnen die Kontrolle darüber zurück, welche Rechenzentren zur Verarbeitung ihres Datenverkehrs genutzt werden. Mit Regional Services kann genau festgelegt werden, welche Rechenzentren den HTTPS-Traffic entschlüsseln und verarbeiten dürfen. Es kann beispielsweise sein, dass ein Kunde dafür nur Rechenzentren innerhalb der EU nutzen möchte. Regional Services setzt unser weltumspannendes Netzwerk für die DDoS-Abwehr ein, doch die Entschlüsselung von Traffic und die Anwendung von Produkten auf Schicht 7 erfolgt nur in Rechenzentren, die in der EU angesiedelt sind.
Später haben wir unser Angebot mit der Data Localization Suite und drei zusätzlichen Regionen – Indien, Singapur und Japan – erweitert.
Mit Regional Services erhalten die Kunden das Beste aus beiden Welten: Wir versetzen sie in die Lage, unser internationales Netzwerk zum Schutz vor volumetrischen DDoS-Angriffen einzusetzen und gleichzeitig eine Eingrenzung der Gebiete vorzunehmen, in denen ihr Datenverkehr verarbeitet wird. Dabei wird die reine TCP-Verbindung zwar von dem nächstgelegenen Rechenzentrum entgegengenommen, der Traffic jedoch zur Entschlüsselung an ein Rechenzentrum innerhalb der gewünschten Region weitergeleitet. Somit sind die Rohdaten der HTTP-Anfrage, die sensible Daten wie Bankkontendaten oder medizinische Informationen enthalten kann, nur für Rechner sichtbar, die von den Kunden gezielt ausgewählt wurden.
Eine neue Region und ein neues Nutzerinterface
Erfahrungsgemäß konzentrieren sich die Anfragen bezüglich Datenlokalisierung auf bestimmte Länder oder geografische Regionen. Viele Rechtsvorschriften zwingen Unternehmen, nur mit Anbietern zusammenzuarbeiten, die das Gebiet eingrenzen können, in dem der Traffic verarbeitet wird. Die Wahlmöglichkeiten von Firmen können zwar aus vielen verschiedenen Gründen eingeschränkt sein, aber im Großen und Ganzen lassen sich zwei Kategorien unterscheiden: Regelkonformität und vertragliche Verpflichtungen.
Zuletzt haben sich mehr und mehr Unternehmen mit Fragen zu Sicherheitsanforderungen an uns gewandt. Eine häufig gestellte Frage bezüglich IT-Sicherheit lautet: „Wie sorgen Sie dafür, dass etwas auch wirklich sicher ist?“ Bei einem Rechenzentrum könnte man sich beispielsweise fragen, wie der physische Zugriff verwaltet wird oder wie oft Sicherheitsrichtlinien überprüft und aktualisiert werden. An dieser Stelle kommen Zertifizierungen ins Spiel. Im IT-Bereich ist die ISO 27001-Zertifizierung verbreitet:
Bei ISO.org heißt es:
„ISO/IEC 27001 ist die bekannteste Norm der Welt für Systeme zur Verwaltung von Informationssicherheit (Information Security Management Systems – ISMS). Weitere bewährte Verfahren für Datenschutz und Cyberresilienz werden von mehr als einem Dutzend Normen der ISO/IEC 27000-Serie abgedeckt. Gemeinsam erlauben sie es Unternehmen jeder Größe und aus jeder Branche, den Schutz von Werten wie Finanzdaten, geistigem Eigentum, Mitarbeitendendaten und Informationen, die ihnen von Dritten anvertraut wurden, zu verwalten.“
Kurz gesagt handelt es sich bei ISO 27001 eine Zertifizierung, die ein Rechenzentrum erlangen kann, wenn es gewährleistet, dass eine Reihe von Sicherheitsstandards zu seinem dauerhaften Schutz eingehalten werden. Mit der neuen Region von Regional Services wird HTTPS-Traffic nur in Rechenzentren entschlüsselt, die gemäß ISO 27001 zertifiziert sind. Produkte wie WAF, Bot-Management und Workers kommen dann nur in diesen Rechenzentren zum Einsatz.
Das andere Update, das wir bekannt geben möchten, ist ein brandneues Nutzerinterface zur Konfigurierung der Data Localization Suite. Die Möglichkeiten der bisherigen Oberfläche waren insofern beschränkt, als die Kunden eine Region für eine ganze Zone vorkonfigurieren mussten: Eine flexible Kombination von Regionen war nicht vorgesehen. Doch das neue Interface macht genau dies nun möglich: Jeder einzelne Hostname kann für eine andere Region konfiguriert werden, und zwar direkt über die DNS-Registerkarte:
Eine Region für einen bestimmten Hostnamen lässt sich mit einem einzigen Klick konfigurieren. Änderungen werden binnen Sekunden umgesetzt, sodass dies die bislang einfachste Möglichkeit zur Konfiguration der Datenlokalisierung darstellt. Für Kunden, die Metadata Boundary nutzen, haben wir außerdem ein Nutzerinterface zur Selbstbedienung eingeführt, das eine Konfiguration der Protokollübermittlung ermöglicht:
Wir freuen uns über diese Neuerungen, weil sie den Kunden größere Flexibilität bei der Wahl der richtigen Cloudflare-Rechenzentren verschaffen und es leichter denn je machen, die entsprechende Konfigurierung vorzunehmen. Die neue Region und bereits verfügbare können jetzt mit einem einzigen Klick direkt im Dashboard konfiguriert werden. Wie immer freuen wir uns auch in diesem Fall über Feedback. Insbesondere würde uns interessieren, welche Regionen wir Ihrer Meinung nach als Nächstes in unser Angebot aufnehmen sollten. Sollten Sie in der Zwischenzeit Interesse an der Data Localization Suite haben, wenden Sie sich bitte an Ihre Ansprechpartner(innen) bei Cloudflare.