Na Cloudflare, acreditamos que a implantação de medidas eficazes de segurança cibernética é a melhor maneira de proteger a privacidade das informações pessoais e pode ser mais eficaz do que garantir que as informações permaneçam dentro de uma jurisdição específica. No entanto, ouvimos de clientes na Europa, Índia, Austrália, Japão e muitas outras regiões que, como parte de seus programas de privacidade, eles precisam de soluções para localizar dados a fim de cumprir suas obrigações regulatórias.
Então, enquanto pensamos no Dia da privacidade de dados, que está chegando, em 28 de janeiro, nos encontramos em uma posição interessante.: discordamos daqueles que acreditam que a localização dos dados é um representante da melhor privacidade de dados, mas também queremos apoiar nossos clientes que têm que cumprir certos regulamentos.
Por esse motivo, apresentamos nosso Data Localization Suite (DLS) em 2020 para ajudar os clientes a navegar em um cenário de proteção de dados que se concentra cada vez mais na localização de dados. Com o DLS, os clientes podem usar a poderosa rede global e as medidas de segurança da Cloudflare para proteger seus negócios, mantendo os dados que processamos em seu nome no local. Desde o seu lançamento, muitos clientes adotaram o Data Localization Suite. Nesta postagem do blog, queremos compartilhar atualizações sobre como estamos tornando o DLS mais abrangente e fácil de usar.
A situação confusa dos regulamentos de proteção de dados
Frequentemente respondemos a perguntas de clientes que ouvem sobre novas leis locais ou interpretações de regulamentos existentes que parecem limitar o que eles podem fazer com os dados. Isso é especialmente confuso para os clientes que fazem negócios na internet global, porque eles precisam navegar pelos regulamentos que sugerem que os clientes baseados em um país não podem usar produtos de empresas com sede em outro país, a menos que medidas abrangentes sejam implementadas.
Não achamos que essa seja uma maneira de regular a internet. Como vamos falar mais sobre transferências de dados internacionais no nosso post do blog amanhã, somos encorajados a ver novos desenvolvimentos destinados a estabelecer um conjunto comum de proteções de dados entre jurisdições para tornar essas transferências de dados mais perfeitas.
Enquanto isso, temos o Data Localization Suite para ajudar nossos clientes a enfrentar esses desafios.
Uma recapitulação de como funciona o Data Localization Suite
Desenvolvemos o DLS para atender a três preocupações principais do cliente:
- Como posso garantir que minhas chaves de criptografia permaneçam na minha jurisdição?
- Como posso garantir que os serviços de aplicativos, como Caching e WAF, sejam executados apenas na minha jurisdição?
- Como posso garantir que logs e metadados nunca sejam transferidos para fora da minha jurisdição?
Para resolver essas questões, nosso DLS tem um componente de chave de criptografia, um componente que aborda onde o conteúdo em trânsito é terminado e inspecionado e um componente que mantém os metadados dentro da jurisdição do cliente:
1. Chaves de criptografia
Há muito tempo, a Cloudflare oferece o Keyless SSL e o Geo Key Manager, que garantem que o material de chaves SSL/TLS privadas nunca saia da UE. Os clientes que usam nosso Geo Key Manager podem escolher se as chaves de criptografia são armazenadas apenas em data centers na região especificada pelo cliente. O Keyless SSL garante que a Cloudflare nunca tenha a posse do material da chave privada; O Geo Key Manager garante que as chaves sejam protegidas com controle de acesso criptográfico, para que possam ser usadas apenas em regiões especificadas.
2. Regional Services:
Os Regional Services garantem que a Cloudflare só será capaz de descriptografar e inspecionar o conteúdo do tráfego HTTPS dentro da região escolhida pelo cliente. Quando os Regional Services estão ativados, independentemente de qual data center o tráfego atinge primeiro em nossa rede global, em vez de descriptografar o fluxo TCP no primeiro data center, nós o encaminhamos em forma criptografada. Assim que chega a um data center dentro da região escolhida pelo cliente, descriptografamos e aplicamos nossas medidas de segurança da camada 7 para evitar que o tráfego malicioso chegue aos sites de nossos clientes.
3. Customer Metadata Boundary:
Com esta opção habilitada, nenhum log de tráfego de usuário final (que contém endereços de IP), que a Cloudflare processa em nome de nossos clientes, sairá da região escolhida pelo cliente. (Atualmente disponível apenas na UE e nos EUA.)
Expansão do Data Localization Suite para novas regiões
Embora tenhamos lançado o Data Localization Suite inicialmente com a Europa e a América em mente, rapidamente percebemos que muitos de nossos clientes também estavam interessados em versões específicas para a região da Ásia-Pacífico. Em setembro do ano passado, adicionamos suporte para os Regional Services no Japão, Austrália e Índia.
Então, em dezembro de 2022, anunciamos que o Geo Key Manager, agora, está acessível em 15 regiões. Os clientes podem incluir na lista de permissões e proibições as regiões que desejam que suportemos para um controle refinado sobre onde o material das chaves é armazenado.
Veja também nosso aprofundamento técnico sobre como desenvolvemos o Geo Key Manager v2.
Tornar a localização de dados mais acessível
Os Regional Services e o Customer Metadata Boundary oferecem proteções importantes para nossos clientes, mas eram muito difíceis de usar. Ambos exigiam etapas manuais realizadas pelas equipes da Cloudflare e tinham (ou não) APIs públicas confusas.
Hoje, estamos corrigindo isso. Temos o prazer de anunciar duas grandes melhorias na usabilidade:
- Os clientes dos Regional Services agora têm uma interface de usuário e APIs dedicadas para habilitar os Regional Services, acessíveis diretamente na guia DNS. Regiões diferentes agora podem ser definidas por hostname.
- Os clientes que desejam usar o Metadata Boundary podem usar nossa API de autoatendimento para habilitá-lo.
Estamos entusiasmados em facilitar o uso do Data Localization Suite e dar aos clientes mais controle sobre como localizar exatamente as partes de seu tráfego.
O que vem a seguir
O Data Localization Suite está disponível hoje para clientes corporativos. Converse com o representante da sua conta se estiver interessado em usá-lo e encontre mais informações aqui sobre como configurá-lo em nossos documentos para desenvolvedores.
Temos muito mais planejado para o Data Localization Suite este ano. Planejamos oferecer suporte a muitas outras regiões para os Regional Services e o Metadata Boundary. Também planejamos ter suporte total à localização de dados para todos os nossos produtos Zero Trust. Fique ligado no blog para mais.