Toen we in juni 2020 Regional Services lanceerden, waren de concepten gegevenslokaliteit en gegevenssoevereiniteit sterk gebaseerd op Europese wetgeving. De druk om gegevens te lokaliseren blijft vandaag hoog. In meerdere landen gelden wetten die een bepaalde vorm van gegevenslokalisatie verplichten. In veel landen preciseren contracten met de overheid dat leveranciers de locaties van hun gegevensverwerking moeten beperken. Sommige klanten reageren op geopolitieke ontwikkelingen door bepaalde jurisdicties uit te sluiten van gegevensverwerking.
Daarom kondigen we vandaag met trots aan dat je Regional Services kunt configureren voor een groter aantal regio's. Dit stelt je in staat om te voldoen aan specifieke vereisten om te kunnen bepalen waar gegevens worden verwerkt. Deze nieuwe regio's zijn vanaf eind mei 2024 beschikbaar voor vroege toegang. We zijn van plan om ze in juni 2024 algemeen beschikbaar te maken.
Het is altijd ons doel geweest om je alle oplossingen te bieden die je nodig hebt. Niet alleen om beveiligings- en prestatieproblemen aan te pakken, maar ook om aan je wettelijke verplichtingen te voldoen. Wat betreft gegevenslokalisatie zijn we ons ervan bewust dat sommigen van jullie gegevens binnen een bepaalde jurisdictie moeten houden, terwijl anderen ervoor moeten zorgen dat de gegevens niet in bepaalde jurisdicties terechtkomen. Om in deze behoeften te voorzien, hebben we onze Regional Services uitgebreid zodat je preciezer kunt bepalen waar verkeer geïnspecteerd wordt. Met sommige van die nieuwe Regional Services kun je de inspectie van gegevens beperken tot datacenters binnen wettelijke grenzen, zoals Brazilië, Saoedi-Arabië en Zwitserland. Met andere Regional Services kun je overal gegevensinspectie toestaan, behalve binnen bepaalde jurisdicties, zoals met het nieuwe Exclusive of Hong Kong and Macau en Exclusive of Russia and Belarus. We hebben ook geluisterd naar klanten die graag laten zien hoeveel ze zich inzetten voor duurzaamheid en bieden nu de regio Cloudflare Green Energy aan. Deze beperkt de inspectie van gegevens tot datacenters die groene energie voor hun activiteiten gebruiken.
Onder deze nieuwe regio's vallen enkele van de populairste gebieden en specificaties:
Oostenrijk, Brazilië, Cloudflare Green Energy, Exclusive of Hong Kong and Macau, Exclusive of Russia and Belarus, Frankrijk, Hongkong, Italië, NAVO, Nederland, Rusland, Saoedi-Arabië, Zuid-Afrika, Spanje, Zwitserland en Taiwan.
Een volledige lijst van onze Regional Services vind je hier.
Een opmerking over onze infrastructuur voor gegevenslokalisatie in de toekomst
Het komende jaar zul je interessante nieuwe manieren zien waarop je met producten van Cloudflare gegevens lokaal kunt houden. Maar is dit niet in strijd met het hele idee achter Cloudflare? Zijn wij geen wereldwijd anycast-netwerk dat in de regio 'aarde' gelooft?
We denken niet dat dit een 'of/of'-gesprek hoeft te zijn. We zijn er nog altijd van overtuigd dat gegevenslokalisatie geen proxy voor privacy moet zijn. Ook vinden we dat beperkingen op internationale gegevensoverdracht de wereldwijde handel beschadigen. Maar we willen nog altijd ondersteuning bieden aan onze klanten die oplossingen voor gegevenslokalisatie nodig hebben om aan wettelijke verplichtingen te voldoen en om risico's te beperken.
Helaas hebben veel verschillende cloudproviders besloten dat vaste infrastructuren de beste manier zijn om aan de nalevingsbehoeften van hun klanten te voldoen. Deze vaste infrastructuren worden soevereine clouds genoemd. Het probleem met deze infrastructuren is dat je al je verkeer regionaal moet verwerken. Het maakt niet uit of al dat verkeer daadwerkelijk beperkt moet worden tot een specifiek datacenter in een specifieke regio.
Terwijl we hard blijven werken aan de verdere ontwikkeling van onze Data Localization Suite, wil ik graag toelichten welke kwesties leidend zijn in ons denkproces:
Wat als je alleen bepaald verkeer tot een regio kunt beperken zonder dat je alles hoeft te lokaliseren, zodat je van het beste op het gebied van naleving én prestaties profiteert? Wat zouden klanten bouwen als ze de API's die privégegevens van klanten verwerken konden lokaliseren, en tegelijkertijd hun statische assets wereldwijd kunnen leveren? Hoe kunnen we de naleving en privacy van de Zero Trust-architectuur van onze klanten verbeteren als we hen kunnen laten kiezen waar hun beveiligingsverwerking plaatsvindt? Wat als ze zelf regio's kunnen aanwijzen en die regio's kunnen gebruiken voor specifieke hostnames en Cloudflare-producten, en tegelijkertijd gebruik kunnen maken van BYOIP en Static IP?
Deze benadering noemen we softwaregedefinieerde regionalisatie (SDR). We zijn ervan overtuigd dat het de toekomst van gegevenslokalisatie is. Met ons wereldwijde netwerk als basis kunnen klanten via SDR zeer specifieke keuzes maken over welk verkeer moet worden geregionaliseerd en in welke regio. Dit stelt je in staat om applicaties te bouwen die snel, betrouwbaar en conform zijn, zonder dat je nieuwe fysieke infrastructuur of meerdere cloudarchitecturen voor dezelfde applicatie nodig hebt.
Verder kun je met SDR Cloudflare op je huidige en toekomstige behoeften afstemmen. Het geeft je de flexibiliteit om snel op nieuwe uitdagingen te reageren in een wereld die in rap tempo verandert. Door lokalisatiekeuzes via software te maken, ben je niet gebonden aan de fysieke geografische beperkingen van je bestaande netwerk of de locaties van je cloudarchitectuur.
We zijn ervan overtuigd dat regionalisatie via software de toekomst van gegevenslokalisatie is. Daarom zijn we trots dat we bij de ontwikkeling van deze technologie aan kop lopen.
Hoe Regional Services zorgt dat je gegevens in de juiste regio worden verwerkt
Zonder sterke versleuteling is het onmogelijk om aan de vereisten voor gegevenslokalisatie te voldoen. Anders kan iedereen gegevens van je klanten bespioneren, ongeacht waar ze opgeslagen zijn. Sterke versleuteling is de basis van Regional Services.
Gegevens worden vaak beschreven als 'in transit' en 'at rest'. Versleuteling is voor beide essentieel. Gegevens 'in transit' zijn simpelweg gegevens die zich verplaatsen, zowel op een lokaal netwerk als op internet. 'At rest' betekent meestal ergens opgeslagen op een schijf. Dat kan een draaiende harde schijf zijn of een moderne solid state drive.
Als gegevens in transit zijn, kan Cloudflare forceren dat al het verkeer van moderne TLS gebruikmaakt en het hoogst mogelijke versleutelingsniveau krijgt. We kunnen ook forceren dat al het verkeer dat terugkeert naar de oorspronkelijke servers van klanten altijd versleuteld is. Communicatie tussen al onze datacenters aan de edge en in de kern is altijd versleuteld.
Cloudflare versleutelt alle gegevens die we verwerken at rest, met versleuteling op schijfniveau. Elke byte wordt at rest versleuteld, van gecachete bestanden in ons edge-netwerk tot configuratiestatussen in databases in onze kerndatacenters.
Hoe kunnen we verkeer regionaliseren als het versleuteld is? Alle datacenters van Cloudflare tonen dezelfde IP-adressen via Border Gateway Protocol (BGP). Een eindgebruiker komt terecht bij het datacenter dat qua netwerk het dichtst bij de eindgebruiker in de buurt is.
Er zijn twee redenen waarom dit zo goed is. De eerste is dat hoe dichter het datacenter in de buurt is van een eyeball, hoe sneller het antwoord terugkomt. Het tweede grote voordeel is dat dit erg handig is om grote DDoS-aanvallen af te weren. Volumetrische DDoS-aanvallen bestoken een specifieke applicatie met zoveel nepverkeer dat de netwerkcapaciteit het niet aankan. Het anycast-netwerk van Cloudflare weert deze aanvallen zeer goed af, omdat het ze verdeelt over het hele netwerk en terugstuurt naar waar ze vandaan komen.
Anycast kijkt niet naar regionale grenzen. Het kent ze niet eens. Daarom kan Cloudflare standaard niet garanderen dat verkeer vanuit een land ook daar verwerkt wordt. Meestal treffen verzoeken een datacenter in het land van oorsprong, maar mogelijk stuurt de internetprovider van de gebruiker verkeer naar een netwerk dat het naar een ander land doorstuurt.
Regional Services lost dit probleem op. Als het aanstaat, weet elk datacenter binnen welke door Regional Services bepaalde grens het actief is. Als een eindgebruiker van een klant een Cloudflare-datacenter treft dat niet overeenkomt met de regio die de klant geselecteerd heeft, sturen we de ruwe TCP-stroom door in versleutelde vorm. Zodra die een datacenter in de juiste regio bereikt, ontsleutelen we hem en passen we al onze producten van laag 7 toe. Dit zijn producten als CDN, WAF, botbeheer en Workers.
Laten we een voorbeeld bekijken. Een eindgebruiker van een klant bevindt zich in Kerala, India, en BGP heeft vastgesteld dat het optimale datacenter voor het verzoek van die eindgebruiker in Colombo, Sri Lanka staat. In dit voorbeeld heeft een klant misschien India aangewezen als enige regio waarbinnen verkeer verwerkt mag worden. Dit datacenter in Colombo ziet dat dit verkeer voor de regio India bedoeld is. Het ontsleutelt het verkeer niet, maar stuurt het door naar een datacenter in India. Daar ontsleutelen we het en passen we producten als WAF en Workers toe, alsof het verkeer rechtstreeks bij het datacenter terechtgekomen is. De antwoorden van het datacenter binnen die regio volgen hetzelfde pad terug naar de client.
Onze uitgebreide Regional Services-mogelijkheden zijn eind mei 2024 beschikbaar voor vroege toegang. We zijn van plan om ze in juni 2024 algemeen beschikbaar te maken. We zijn erg enthousiast over de verdere ontwikkeling van onze Data Localization Suite waarmee je in jouw behoeften op het gebied van gegevenslokalisatie kunt voorzien.
Neem contact op met je accountteam om toegang tot deze uitgebreide mogelijkheden te krijgen of als je interesse hebt in de Data Localization Suite.