Cuando lanzamos Regional Services en junio de 2020, los conceptos de localización y soberanía de los datos estaban muy arraigados en la normativa europea. El tiempo ha pasado deprisa, y hoy la presión para localizar los datos continúa. Varios países tienen leyes que exigen algún tipo de localización de datos, además, los requisitos de contratación del sector público en muchos países requieren que sus proveedores restrinjan la ubicación del procesamiento de datos. Por otro lado, hay clientes que están respondiendo a la situación geopolítica excluyendo el procesamiento de datos de ciertas jurisdicciones.
Por eso, hoy nos complace anunciar nuevas capacidades que te permitirán configurar Regional Services para aprovechar un mayor conjunto de regiones definidas con el fin de ayudarte a cumplir tus requisitos específicos y poder controlar dónde se gestiona tu tráfico. Podrás acceder de manera anticipada a estas nuevas regiones a partir de finales de mayo de 2024, y prevemos que estarán disponibles de forma general en junio de 2024.
Nuestro objetivo siempre ha sido proporcionarte el conjunto de herramientas que necesitas no solo para resolver tus problemas de seguridad y rendimiento, sino también para ayudarte a cumplir con tus obligaciones legales. En lo que respecta a la localización de datos, sabemos que algunos de vosotros necesitáis que los datos permanezcan en una jurisdicción concreta, mientras que otros queréis que los datos eviten ciertas jurisdicciones. En respuesta a estas necesidades, hemos ampliado nuestro conjunto de herramientas de Regional Services para ayudarte a determinar con mayor precisión dónde se inspecciona el tráfico. Algunas de estas nuevas capacidades de Regional Services te permitirán restringir la inspección de datos a los centros de datos situados únicamente dentro de determinados límites jurisdiccionales como Brasil, Arabia Saudí y Suiza. Otras capacidades permitirán la inspección de datos en todas partes excepto en determinadas jurisdicciones, como nuestra nueva propuesta exclusiva de Hong Kong y Macao y nuestra propuesta exclusiva de Rusia y Bielorrusia. También hemos tenido en cuenta a los clientes que están dispuestos a demostrar su compromiso con la sostenibilidad, y para ello hemos incluido nuestra región Cloudflare Green Energy, que limita la inspección de datos a aquellos centros de datos que están comprometidos a impulsar sus operaciones con energía renovable.
Las nuevas regiones incluyen algunas de nuestras áreas y especificaciones más solicitadas:
Austria, Brasil, Cloudflare Green Energy, "Salvo Hong Kong y Macao", "Salvo Rusia y Bielorrusia", Francia, Hong Kong, Italia, OTAN, Países Bajos, Rusia, Arabia Saudí, Sudáfrica, España, Suiza y Taiwán.
Puedes encontrar una lista completa de nuestras propuestas de Regional Services aquí.
Nota sobre nuestro marco para la localización de datos en el futuro
En el transcurso del próximo año, podrás ver nuevas formas interesantes de utilizar los productos de Cloudflare para ayudar a mantener tus datos locales. Pero, ¿no contradice esto los principios de Cloudflare? ¿No somos una red global Anycast que cree en la region: planeta Tierra?
No creemos que esto tenga que ser un planteamiento excluyente. Si bien seguimos creyendo que la localización de datos no debe ser un indicador de la privacidad y que las restricciones a las transferencias transfronterizas de datos son perjudiciales para el comercio global, seguimos comprometidos a apoyar a aquellos que necesiten soluciones de localización de datos para cumplir con sus obligaciones legales y su tolerancia al riesgo.
Por desgracia, muchos proveedores de nube han decidido que la mejor manera de responder a las necesidades de conformidad de sus clientes es crear implementaciones de infraestructura fija denominadas nubes soberanas. El problema con estas implementaciones de infraestructura es que tienes que garantizar la regionalización de tu tráfico, independientemente de que todo ese tráfico deba limitarse realmente a un centro de datos específico en una región determinada.
A medida que seguimos acelerando el desarrollo de nuestra solución Data Localization Suite, me gustaría plantear las preguntas que nos están ayudando a orientar nuestras ideas:
¿Y si hubiera una mejor manera de avanzar que te permitiera regionalizar exactamente lo que necesitas, sin tener que localizarlo todo, ofreciéndote lo mejor en términos de conformidad y rendimiento? ¿Qué desarrollarían los clientes si pudieran localizar las API que gestionan la información privada de los clientes, al mismo tiempo que sirven sus activos estáticos a nivel global? ¿Cómo podríamos mejorar la conformidad y la privacidad de las implementaciones Zero Trust de nuestros clientes si pudiéramos permitirles elegir dónde procesar la seguridad? ¿Y si pudieran definir regiones personalizadas y aplicar esas regiones a nombres de host y productos de Cloudflare específicos, al mismo tiempo que pudieran utilizar BYOIP o direcciones IP estáticas?
Llamamos a este enfoque regionalización definida por software (SDR) y creemos que es el futuro de la localización de datos. Con el uso de nuestra red global como base, SDR permite a nuestros clientes tomar decisiones excepcionalmente granulares sobre qué tráfico regionalizar y dónde hacerlo. Este enfoque te permite crear aplicaciones rápidas, fiables y compatibles sin tener que implementar nueva infraestructura física o tener varias implementaciones en la nube para la misma aplicación.
Más aún, SDR te permite configurar Cloudflare para satisfacer tus necesidades actuales y futuras. Te ofrece la flexibilidad necesaria para responder rápidamente a los nuevos desafíos en un mundo en constante cambio. Con la elección de la localización en software, no estás sujeto a las limitaciones físicas de la geografía de tu red existente ni a las ubicaciones de tus implementaciones en la nube.
Creemos que la regionalización definida por software es el futuro de la localización de datos, y nos complace estar a la vanguardia de su desarrollo.
Regional Services garantiza que tus datos se procesan en la región correcta
No es posible cumplir con los requisitos de localización de datos sin una encriptación segura. De lo contrario, cualquiera podría espiar los datos de tus clientes, independientemente de dónde estén almacenados. La encriptación segura es la base de Regional Services.
A menudo se suele decir que los datos están "en tránsito" y "en reposo". Es de suma importancia que ambos estén encriptados. Los datos "en tránsito" se refieren precisamente a eso, a datos que circulan por la red, ya sea una red local o la red pública de Internet. Por lo general, los datos "en reposo" son aquellos que están almacenados en un disco en alguna ubicación, tanto en unidades de disco duro como en unidades de estado sólido.
En tránsito, Cloudflare puede garantizar que todo el tráfico a los usuarios finales utilice la seguridad de la capa de transporte (TLS) moderna. También podemos hacer que todo el tráfico de vuelta a los servidores de origen de los clientes esté siempre encriptado. La comunicación entre todos nuestros centros de datos perimetrales y principales está siempre encriptada.
Cloudflare encripta todos los datos que gestionamos en reposo con encriptación de disco. Desde los archivos almacenados en caché en nuestra red perimetral, hasta el estado de configuración en las bases de datos en nuestros centros de datos principales, cada byte se encripta en reposo.
Entonces, ¿cómo podemos regionalizar también el tráfico si está encriptado? Todos los centros de datos de Cloudflare anuncian la misma dirección IP a través del protocolo de puerta de enlace de frontera (BGP). El centro de datos que esté más cerca de un usuario final desde el punto de vista de la red es el que alcanzarán.
Esta ventaja es única por dos razones. La primera es que cuanto más cerca esté el centro de datos, más rápida será la respuesta. La segunda es que resulta muy útil cuando se trata de ataques DDoS a gran escala. Los ataques DDoS volumétricos lanzan una gran cantidad de tráfico fraudulento a una aplicación concreta, lo que satura la capacidad de la red. La red Anycast de Cloudflare es excelente para hacer frente a estos ataques porque se distribuyen por toda la red y se mitigan cerca de su origen.
Anycast no respeta las fronteras regionales, ni siquiera las conoce. Por eso, Cloudflare no puede garantizar que el tráfico originado en un país se inspeccione también en ese país. Normalmente, las solicitudes llegan a un centro de datos del país donde proceden los datos, pero es posible que el proveedor de acceso a Internet del usuario envíe el tráfico a una red que podría enrutarlo a un país diferente.
Regional Services tiene la clave. Cuando se activa, cada centro de datos sabe en qué límite definido por los servicios regionales está operando. Si el usuario final de un cliente accede a un centro de datos de Cloudflare que no coincide con la región que el cliente ha seleccionado, simplemente reenviamos el flujo TCP sin procesar en forma encriptada. Una vez que llega a un centro de datos dentro de la región adecuada, desciframos y aplicamos todos nuestros productos de capa 7 (capa de aplicación). Entre ellos se incluyen la CDN, el WAF, la gestión de bots y Workers.
Veamos un ejemplo. El usuario final del cliente está en Kerala (India) y el BGP ha determinado que el centro de datos óptimo está en Colombo (Sri Lanka). En este ejemplo, el cliente puede haber seleccionado la India como la única región en la que se debe servir el tráfico. El centro de datos de Colombo comprueba que este tráfico se limita a la región de la India. No lo descifra, sino que lo reenvía a un centro de datos de la India. Allí se desencripta y se aplican productos como WAF y Workers como si el tráfico hubiera llegado directamente al centro de datos. Las respuestas del centro de datos de la región recorren el mismo camino de vuelta al cliente.
Podrás acceder de manera anticipada a estas nuevas capacidades a partir de finales de mayo de 2024, y prevemos que estarán disponibles de forma general en junio de 2024. Estamos muy entusiasmados con nuestra capacidad para desarrollar nuestra solución Data Localization Suite para ayudarte a satisfacer tus necesidades de localización de datos.
Para acceder a estas nuevas funciones, o si te interesa utilizar Data Localization Suite, ponte en contacto con tu equipo de cuenta.