Lorsque nous avons lancé les services régionaux en juin 2020, les concepts de régionalisation et de souveraineté des données étaient très ancrés dans les réglementations européennes. Aujourd'hui, les pressions liées à la régionalisation perdurent : plusieurs pays ont introduit des lois exigeant la régionalisation des données sous une forme ou une autre. Les conditions contractuelles du secteur public en vigueur dans de nombreux pays exigent que les fournisseurs restreignent l'emplacement du traitement des données et certains clients réagissent aux perturbations géopolitiques en cherchant à exclure leur processus de traitement de certaines juridictions.
C'est pourquoi aujourd'hui nous sommes heureux d'annoncer le lancement de fonctionnalités supplémentaires qui vous permettront de configurer Regional Services pour un ensemble accru de régions définies. Vous pourrez ainsi répondre aux exigences qui vous sont spécifiques afin de contrôler l'endroit où votre trafic est géré. Ces nouvelles régions seront disponibles en accès anticipé à partir de la fin du mois de mai 2024, et nous prévoyons de les rendre accessibles en disponibilité générale au mois de juin 2024.
Notre objectif a toujours été de vous fournir la boîte à outils de solutions dont vous avez besoin, non seulement pour apporter une solution à vos difficultés en matière de sécurité et de performances, mais aussi pour vous aider à satisfaire à vos obligations légales. Et en ce qui concerne la régionalisation des données, nous savons que certains d'entre vous ont besoin que leurs données restent dans une juridiction particulière, tandis que d'autres ont besoin que leurs données évitent certaines juridictions. En réponse à ces besoins, nous avons enrichi la boîte à outils de notre offre Regional Services afin de vous aider à déterminer avec plus de précision à quel endroit le trafic est inspecté. Certaines de ces nouvelles offres Regional Services vous permettent de limiter l'inspection des données aux seuls datacenters situés au sein de frontières juridictionnelles, comme le Brésil, l'Arabie Saoudite et la Suisse. D'autres vous permettront d'autoriser l'inspection des données partout, sauf dans certaines juridictions, comme notre nouvelle offre exclusive de Hong Kong et Macao et notre offre exclusive de Russie et de Biélorussie. Mais nous sommes aussi à l'écoute de nos clients désireux de démontrer leur engagement envers le développement durable et proposons notre région Cloudflare Green Energy, qui limite l'inspection des données aux datacenters qui s'engagent à fonctionner avec des énergies renouvelables.
Ces nouvelles régions comprennent certains des domaines et spécifications les plus demandés :
Autriche, Brésil, Cloudflare Green Energy, Toutes les régions sauf Hong Kong et Macau, Toutes les régions sauf Russie et Biélorussie, France, Hong Kong, Italie, Pays de l'OTAN, Pays-Bas, Russie, Arabie saoudite, Afrique du Sud, Espagne, Suisse et Taïwan.
Vous trouverez une liste complète de nos offres Regional Services ici.
Une remarque concernant notre cadre de régionalisation des données à l'avenir
L'année à venir sera pour vous l'occasion de découvrir une foule de nouveaux moyens passionnants d'utiliser les produits Cloudflare, conçus pour vous aider à conserver vos données au niveau local. Mais ces offres n'entrent-elles pas en contradiction avec le principe fondamental de Cloudflare ? Ne sommes-nous pas un réseau Anycast mondial qui estime que nous appartenons tous à la région Terre ?
Nous ne pensons pas que l'un exclue l'autre. Nous considérerons toujours que la régionalisation des données ne doit pas être un proxy à la confidentialité et que les restrictions imposées aux transferts de données transfrontaliers sont nuisibles au commerce mondial. Toutefois, nous restons déterminés à soutenir ceux qui, parmi vous, ont besoin de solutions de régionalisation des données afin de répondre à vos obligations juridiques et de renforcer votre tolérance aux risques.
Malheureusement, de nombreux fournisseurs de cloud différents ont décidé que le meilleur moyen de répondre aux besoins de leurs clients en matière de conformité était de proposer des déploiements d'infrastructures fixes nommées clouds souverains. Le problème de ces déploiements d'infrastructures réside dans la nécessité de veiller à ce que tout votre trafic soit régionalisé, indépendamment du fait que l'ensemble de ce trafic doive ou non être limité à un datacenter spécifique situé au sein d'une région spécifique.
Tandis que nous continuons à accélérer le développement de notre solution Data Localization Suite, je souhaite poser les questions qui guident notre processus de réflexion :
Et s'il existait une meilleure solution qui vous permette de régionaliser exactement ce dont vous avez besoin, sans avoir à tout régionaliser, afin de vous offrir le meilleur en termes de conformité et de performances ? Que développeraient nos clients s'ils pouvaient régionaliser les API traitant leurs informations confidentielles, tout en diffusant leurs ressources statiques dans le monde entier ? Comment améliorer la conformité et la confidentialité des déploiements Zero Trust de nos clients si nous pouvions leur permettre de choisir l'endroit où se déroulent leurs opérations de sécurité ? Et si les clients pouvaient définir des régions personnalisées et appliquer ces régions à des noms d'hôte et des produits Cloudflare spécifiques, tout en pouvant utiliser le BYOIP ou le Static IP (adresse IP statique) ?
Nous nommons cette approche la régionalisation définie par logiciel (SDR, Software Defined Regionalization) et pensons qu'il s'agit là de l'avenir de la régionalisation des données. En s'appuyant sur notre réseau mondial, la SDR permet à nos clients d'effectuer des choix exceptionnellement granulaires concernant le trafic à régionaliser et l'endroit où le faire. Cette approche vous permet de développer des applications rapides, fiables et conformes aux réglementations sans avoir à déployer une nouvelle infrastructure physique ni à disposer de plusieurs déploiements cloud pour la même application.
Pour aller plus loin, la SDR vous permet en quelque sorte de façonner Cloudflare afin de répondre à la fois à vos besoins d'aujourd'hui et de demain. Elle vous confère la flexibilité nécessaire pour réagir rapidement aux nouveaux défis d'un monde en évolution rapide. En effectuant des choix de régionalisation à l'échelon logiciel, vous n'êtes pas limité par les contraintes physiques liées à l'emplacement géographique de votre réseau existant ou aux emplacements de vos déploiements cloud.
Nous pensons que la régionalisation définie par logiciel est l'avenir de la régionalisation des données et nous réjouissons d'être à l'avant-garde de son développement.
Comment les services régionaux s'assurent que vos données sont bien traitées au sein de la région appropriée
Il est impossible de se conformer aux exigences en matière de régionalisation des données sans un chiffrement fort, car n'importe qui pourrait alors espionner les données de vos clients, où qu'elles soient stockées. Le chiffrement fort constitue la pierre angulaire de nos services régionaux.
Les spécialistes parlent souvent de données « en transit » et « au repos ». Il est capital que les deux soient chiffrés. Le terme « en transit » fait référence aux données en cours de transfert, que ce soit sur un réseau local ou sur l'Internet public. Les données « au repos », quant à elles, impliquent généralement un stockage sur disque quelque part, qu'il s'agisse d'un disque dur rotatif ou d'un SSD moderne.
Pendant le transit, Cloudflare peut faire en sorte que l'ensemble du trafic recoure au protocole TLS moderne et parvienne à un niveau de chiffrement le plus élevé possible. Nous pouvons également forcer le chiffrage permanent de l'intégralité du trafic de retour vers les serveurs d'origine du client. La communication entre l'ensemble de nos datacenters, qu'ils soient centralisés ou périphériques, est toujours chiffrée.
Cloudflare chiffre toutes les données que nous traitons au repos, généralement avec un chiffrement au niveau du disque. Des fichiers mis en cache en périphérie de notre réseau à l'état de configuration dans les bases de données de nos datacenters centralisés, chaque octet est chiffré au repos.
Or, comment pouvons-nous régionaliser le trafic s'il est chiffré ? Tous les datacenters de Cloudflare annoncent les mêmes adresses IP par le biais du protocole BGP (Border Gateway Protocol). Quel que soit le datacenter le plus proche de vous du point de vue du réseau, c'est à celui-ci que l'utilisateur final accèdera.
Cette approche est très intéressante pour deux raisons. La première est que plus le datacenter est proche de l'utilisateur final, plus la réponse est rapide. Son deuxième grand avantage est qu'elle s'avère particulièrement pratique pour faire face aux attaques DDoS de grande ampleur. Les attaques DDoS volumétriques envoient une grande quantité de faux trafic vers une application particulière, afin de saturer sa capacité réseau. Le réseau Anycast de Cloudflare est parfait pour s'opposer à ces attaques, car elles sont alors réparties sur l'ensemble du réseau et atténuées à proximité de leur origine.
La technique Anycast ne respecte aucune frontière régionale, car elle n'en connaît aucune. C'est pourquoi Cloudflare ne peut pas garantir d'emblée que le trafic provenant d'un pays sera également traité dans ce dernier. Si les requêtes accèdent généralement à un datacenter situé au sein du pays d'origine, il est fort possible que votre fournisseur d'accès à Internet envoie le trafic vers un réseau susceptible de l'acheminer vers un autre pays.
Les services régionaux permettent de résoudre ce problème. Lorsqu'ils sont activés, chaque datacenter prend conscience des limites géographiques (définies par les services régionaux) au sein desquelles il opère. Si un utilisateur accède à un datacenter Cloudflare qui ne correspond pas à la région sélectionnée par le client, nous retransmettons simplement le flux TCP brut sous forme chiffrée. Lorsque ce dernier atteint un datacenter situé dans la bonne région, nous le déchiffrons et mettons en œuvre l'ensemble de nos produits de couche 7. Ces derniers incluent divers produits, comme notre CDN, notre pare-feu WAF, ainsi que nos solutions Bot Management et Workers.
Prenons un exemple. Un utilisateur se trouve à Kerala (en Inde) et le BGP a déterminé que le datacenter le plus optimal pour son trafic se situe à Colombo, au Sri Lanka. Imaginons que dans cet exemple un client ait indiqué que le trafic ne pouvait être servi qu'en Inde. Le datacenter de Colombo constate que ce trafic est limité à la région Inde. Il ne le déchiffre pas, mais le transmet au datacenter le plus proche situé au sein du territoire indien. C'est là que nous procédons au déchiffrement et que nos autres produits (comme le pare-feu WAF et Workers) sont appliqués, comme si le trafic était arrivé directement dans ce datacenter. Les réponses provenant du datacenter de la région suivent le même chemin de retour vers le client.
Les fonctionnalités ajoutées à Regional Services seront disponibles en accès anticipé à la fin du mois de mai 2024, et nous prévoyons une disponibilité générale pour le mois de juin 2024. Nous sommes très enthousiastes à l'idée de développer notre solution Data Localization Suite, afin de vous accompagner dans vos besoins en matière de régionalisation des données.
Pour bénéficier de ces fonctionnalités enrichies ou si l'utilisation de la Data Localization Suite vous intéresse, contactez l'équipe responsable de votre compte.