Nous avons annoncé la Data Localization Suite en 2020, tandis que les besoins en régionalisation de données étaient déjà importants dans l'Union européenne. Depuis lors, nous avons constaté une tendance grandissante à la régionalisation au niveau mondial. Nous nous réjouissons à l'idée d'élargir notre couverture à ces pays de la région Asie Pacifique, et ainsi de permettre à davantage de clients d'utiliser Cloudflare en leur offrant un contrôle précis des parties du réseau Cloudflare en mesure d'exécuter des fonctions telles que le WAF ou la gestion des robots qui exigent une inspection du trafic.
Services régionaux, récapitulatif
En 2020 nous avons présenté les services régionaux, une nouvelle manière pour les clients d'utiliser Cloudflare. Avec les services régionaux, les clients peuvent limiter les datacenters qui déchiffrent et inspectent réellement le trafic. Il s'agit d'un aide utile car certains clients sont soumis à des règlementations concernant les endroits où ils sont autorisés à s'occuper du trafic. D'autres ont conclu des accords avec leurs clients dans le cadre des contrats, qui précisent exactement où sont autorisés le déchiffrement et l'inspection du trafic.
Comme nous l'a dit une banque allemande : « Nous pouvons regarder les règles et règlementations et en débattre autant qu'on veut. Tant que vous me promettez qu'aucune machine en dehors de l'Union européenne ne verra un numéro de compte bancaire déchiffré, nous serons heureux d'utiliser Cloudflare dans n'importe quelle capacité ».
En fonctionnement normal, Cloudflare utilise l'ensemble de son réseau pour exécuter toutes les fonctions. C'est ce que souhaitent la plupart des clients : exploiter tous les datacenters de Cloudflare pour transmettre le trafic aux utilisateurs aussi rapidement que possible. Nous voyons de plus en plus de clients qui souhaitent limiter de manière stricte les datacenters qui traitent leur trafic. Avec les services régionaux, les clients peuvent utiliser le réseau de Cloudflare mais limitent le nombre de datacenters qui peuvent réellement procéder au déchiffrement. Les produits qui nécessitent un chiffrement, tel que le WAF, la gestion des robots et Workers ne seront appliqués qu'au sein de ces datacenters.
Comment fonctionnent les services régionaux ?
Vous vous demandez peut-être comment tout cela peut fonctionner ? Cloudflare n'exploite-t-elle pas un réseau Anycast ? Cloudflare a été intégralement conçue pour tirer profit d'anycast, un protocole de routage. L'ensemble des datacenters de Cloudflare publie les mêmes adresses IP par le Border Gateway Protocol. Quel que soit le datacenter le plus proche de vous du point de vue du réseau, c'est à celui-là que vous accèderez.
C'est très intéressant pour deux raisons. La première est que plus le datacenter est près, plus la réponse est rapide. Le second avantage tient à la commodité que cela représente en cas de vaste attaque DDoS. Les attaque DDoS volumétriques vous envoient beaucoup de faux trafic, qui sature la capacité réseau. Le réseau Anycast est parfait pour gérer ces attaques car elles sont réparties dans l'ensemble du réseau.
Anycast ne respecte aucune frontière régionale, il n'en connaît aucune. C'est pourquoi Cloudflare ne peut pas d'emblée garantir que le trafic à l'intérieur d'un pays y sera également traité. Bien que vous accédiez généralement à un datacenter à l'intérieur de votre pays, il est fort possible que votre fournisseur d'accès à Internet envoie le trafic vers un réseau qui l'achemine vers un autre pays.
Les services régionaux règlent ce problème : lorsqu'ils sont activés, chaque datacenter est conscient de la région dans laquelle il fonctionne. Si un utilisateur d'un pays accède au datacenter qui ne correspond pas à la région sélectionnée par le client, nous nous contentons de transférer le flux TCP brut au format chiffré. Une fois le datacenter atteint dans la bonne région, nous déchiffrons et appliquons tous les produits de la couche 7. Cela couvre les produits tels que le CDN, le WAF, la gestion des robots et Workers.
Prenons un exemple. Un utilisateur se trouve à Kerala en Inde, et son fournisseur d'accès Internet a déterminé que le chemin le plus rapide vers nos datacenters conduit à Colombo au Sri Lanka. Imaginons que dans cet exemple, un client a indiqué que le trafic ne pouvait être traité qu'en Inde. Le datacenter de Colombo constate que ce trafic est limité à la région Inde. Il ne le déchiffre pas, mais le transmet au datacenter le plus proche à l'intérieur de l'Inde. C'est là que nous procédons au déchiffrement et que des produits tels que WAF et Workers sont appliqués, comme si le trafic était arrivé directement dans ce datacenter.
Les services régionaux arrivent en Asie
Par le passé, il nous a semblé que les services régionaux étaient pertinents dans des régions géographiques telles que l'Union européenne et les Amériques. Cependant, depuis ces quelques dernières années, nous constatons un réel intérêt de la part de la région Asie Pacifique. Au vu des commentaires client et de l'analyse des règlementations, nous en sommes rapidement arrivés à la conclusion qu'il existait trois régions clés que nous devions prendre en charge : l'Inde, le Japon et l'Australie. Nous sommes fiers d'annoncer que le service est désormais en disponibilité générale pour les trois régions.
Mais nous n'avons pas terminé ! Nous réalisons qu'il existe de nombreux autres clients qui ont besoin de la régionalisation pour leur région particulière. Nous prévoyons d'en ajouter de nombreuses autres et mettons tout en œuvre pour faciliter la prise en charge de régions supplémentaires. Si vous en avez une en tête, nous serions ravis de la connaître !
Le service est actif pour l'Inde, le Japon et l'Australie dès aujourd'hui ! Si vous êtes intéressé par la Data Localization Suite, contactez l'équipe responsable de votre compte !