En este mundo en el que, cada vez más, las cargas de trabajo están migrando a la nube, suele ser difícil saber con certeza cómo se mueven los datos por Internet y en qué países se procesan. Hoy, Cloudflare tiene el placer de anunciar que estamos dando a nuestros clientes el control. Con Regional Services, estamos proporcionando a los clientes un control total sobre dónde se gestiona exactamente su tráfico.

Manejamos una red global que abarca más de 200 ciudades. Todos los centros de datos utilizan servidores con la misma pila de software. Esto ha permitido a Cloudflare añadir capacidad de forma rápida y eficaz cuando es necesario. También permite a nuestros ingenieros enviar funciones con facilidad: se implementa una sola vez y está disponible en todo el mundo.

La misma ventaja se aplica a nuestros clientes: se configura una sola vez y este cambio se aplica en todas partes en pocos segundos, independientemente de si están cambiando las características de seguridad, añadiendo un registro DNS o implementando un Cloudflare Worker que contenga código.

Tener una red homogénea es formidable desde el punto de vista del enrutamiento: cada vez que un usuario realiza una solicitud HTTP, el centro de datos más cercano puede encontrarse gracias a la red Anycast de Cloudflare. BGP se fija en los saltos que habría que recorrer para encontrar el centro de datos más cercano. Esto significa que alguien cerca de la frontera canadiense (pongamos por caso Dakota del Norte) podría encontrarse fácilmente enrutado hacia Winnipeg (en el interior de Canadá) en lugar de hacia un centro de datos en EE.UU. Esto es lo que generalmente nuestros clientes desean y esperan: encontrar la forma más rápida de servir el tráfico, independientemente de la ubicación geográfica.

Cloudflare TV

Algunas organizaciones, no obstante, han expresado su preferencia por mantener el control regional de sus datos por varias razones. Por ejemplo, pueden estar obligadas por acuerdos con sus propios clientes que incluyan restricciones geográficas a los flujos de datos o al procesamiento de los mismos. Como resultado, algunos clientes han solicitado el control del lugar donde se atiende su tráfico web.

Regional Services ofrece a los clientes la posibilidad de cumplir las restricciones regionales sin dejar de utilizar la red perimetral global de Cloudflare. A partir de hoy, los clientes de Enterprise pueden añadir Regional Services a sus contratos. Con Regional Services, los clientes pueden elegir qué subconjunto de centros de datos es capaz de gestionar el tráfico en el nivel HTTP. Pero no vamos a reducir la capacidad de la red para hacerlo: eso no sería el método de Cloudflare. En su lugar, estamos permitiendo a los clientes utilizar toda nuestra red para la protección contra DDoS, pero limitando los centros de datos que aplican funciones de seguridad y rendimiento de nivel 7 superior, como WAF, Workers y Bot Management.

El tráfico es asimilado por nuestra red global Anycast en la ubicación más cercana al cliente, como de costumbre, y luego pasa a los centros de datos dentro de la región geográfica elegida por el cliente. Las claves TLS son solo almacenadas y utilizadas para manejar realmente el tráfico dentro de esa misma región. Esto permite a nuestros clientes beneficiarse de nuestra enorme red de baja latencia y alto rendimiento, capaz de soportar incluso los mayores ataques de DDoS, a la vez que les proporciona además un control local: solo los centros de datos situados en la región geográfica preferida por el cliente tendrán el acceso necesario para aplicar las políticas de seguridad.

El siguiente diagrama muestra cómo funciona este proceso. Cuando los usuarios se conectan a Cloudflare, alcanzan el centro de datos más cercano a ellos, por la naturaleza de nuestra red Anycast. Dicho centro de datos detecta y mitiga los ataques DDoS. El tráfico legítimo es transferido a un centro de datos en la región geográfica elegida por el cliente. Dentro de dicho centro de datos, el tráfico se inspecciona en la capa OSI 7 y los productos HTTP pueden ejercer su magia:

  • El contenido puede ser devuelto y almacenado en la caché
  • El WAF mira dentro de las cargas útiles de HTTP
  • La gestión de bots detecta y bloquea toda actividad sospechosa
  • Los scripts de Workers se ejecutan
  • Las políticas de Access se aplican
  • Los Load Balancers buscan el mejor origen para gestionar el tráfico

El lanzamiento de hoy incluye regiones geográficas preconfiguradas; intentaremos añadir más en función de la demanda de los clientes. Actualmente, las regiones de EE. UU. y UE están inmediatamente disponibles, lo cual significa que los productos de la capa 7 (HTTP) pueden configurarse para que solo se apliquen dentro de esas regiones y no fuera de ellas.

Los mapas de EE. UU. y UE se muestran a continuación. Los puntos morados representan los centros de datos que aplican la protección contra DDoS y la aceleración de red. Los puntos naranjas representan los centros de datos que procesan el tráfico.

EE. UU.

UE

Estamos muy ilusionados de proporcionar nuevas herramientas a nuestros clientes, permitiéndoles dictar cuáles de nuestros centros de datos emplean funciones HTTP y cuáles no. Si estás interesado en saber más, ponte en contacto con [email protected]