Quando lançámos os Regional Services em junho de 2020, os conceitos de localização de dados e soberania de dados estavam extremamente enraizados nos regulamentos europeus. Avançamos para a atualidade, e a pressão para localizar os dados persiste: vários países têm leis que obrigam à localização de dados de alguma forma, os requisitos de contratação no setor público de muitos países exigem que os seus fornecedores restrinjam a localização do processamento de dados, e certos clientes reagem a desenvolvimentos geopolíticos procurando excluir o processamento de dados de certas jurisdições.
É por isso que hoje temos o prazer de anunciar recursos alargados que lhe permitirão configurar os Regional Services para um conjunto mais alargado de regiões definidas, a fim de o ajudar a ir ao encontro dos seus requisitos específicos e poder controlar onde o seu tráfego é tratado. Estas novas regiões estão disponíveis para acesso antecipado a partir do fim de maio de 2024 e planeamos disponibilizá-las ao grande público em junho de 2024.
Foi sempre o nosso objetivo proporcionar-lhe as ferramentas com as soluções necessárias para resolver as suas preocupações de segurança e desempenho, mas também ajudá-lo a cumprir as suas obrigações legais. No que toca à localização de dados, sabemos que alguns precisam que os dados permaneçam numa jurisdição específica, enquanto outros necessitam que os dados evitem determinadas jurisdições. Em resposta a essas necessidades, expandimos as nossas ferramentas de Regional Services para o ajudar a determinar com maior precisão onde o tráfego é inspecionado. Algumas dessas novas ofertas de Regional Services permitem-lhe restringir a inspeção de dados apenas aos data centers dentro de limites jurisdicionais, como Brasil, Arábia Saudita e Suíça. Outras permitem que aceite a inspeção de dados em qualquer lado, exceto em determinadas jurisdições, como a nossa nova oferta Exclusiva de Hong Kong e Macau e nossa oferta Exclusiva da Rússia e Bielorrússia. Também ouvimos os clientes que estão ávidos por demonstrar o seu compromisso com a sustentabilidade, disponibilizando a nossa região Cloudflare Green Energy, que limita a inspeção de dados àqueles data centers que estão empenhados em alimentar as suas operações com energias renováveis.
As novas regiões incluem algumas das nossas áreas e especificações mais solicitadas:
Áustria, Brasil, Cloudflare Green Energy, Área Exclusiva de Hong Kong e Macau, Área Exclusiva da Rússia e Bielorrússia, França, Hong Kong, Itália, NATO, Países Baixos, Rússia, Arábia Saudita, África do Sul, Espanha, Suíça e Taiwan.
Pode obter uma lista completa das nossas ofertas dos Regional Services aqui.
Uma observação sobre a nossa estrutura para a localização de dados de futuro
Ao longo do próximo ano, verá imensas formas novas e interessantes de usar os produtos Cloudflare para ajudar a manter a localização dos seus dados. Mas isto não contradiz toda a premissa da Cloudflare? Somos ou não uma rede anycast global que acredita na Região Terra?
Não acreditamos que esta conversa seja do tipo "ou sim, ou sopas". Embora continuemos a acreditar que a localização de dados não deve ser um substituto para a privacidade e que as restrições às transferências transfronteiriças de dados são prejudiciais para comércio global, continuamos comprometidos em apoiar aqueles que precisam de soluções de localização de dados para cumprir as suas obrigações legais e tolerância de risco.
Infelizmente, variados fornecedores de serviços em nuvem decidiram que a melhor forma de atender às necessidades de conformidade dos seus clientes é criar implementações de infraestrutura fixa chamadas nuvens soberanas. O problema com essas implementações de infraestrutura é que é necessário para si comprometer todo o tráfego a ser regionalizado, independentemente da real necessidade de todo esse tráfego ser confinado a um data center específico numa região específica.
À medida que continuamos a acelerar o desenvolvimento do nosso Pacote de Localização de Dados, desejaria delinear as questões que orientam a nossa linha de pensamento:
E se houvesse uma maneira melhor que lhe permita regionalizar exatamente o que precisa, sem ter de localizar tudo, proporcionando o melhor em termos de conformidade e desempenho? O que conseguiriam os clientes construir se pudessem localizar as API que lidam com informações privadas dos clientes e, ao mesmo tempo, servir os seus ativos estáticos globalmente? Como poderíamos aumentar a conformidade e a privacidade das implementações Zero Trust dos nossos clientes se pudéssemos deixá-los escolher onde ocorre o seu processamento de segurança? E se eles pudessem definir regiões personalizadas e aplicá-las a nomes de anfitrião e produtos Cloudflare específicos e pudessem, ao mesmo tempo, usar um BYOIP ou um IP estático?
Chamamos regionalização definida por software (SDR) a esta abordagem e acreditamos que este é o futuro da localização de dados. Usando a nossa rede global como alicerce, a SDR permite aos nossos clientes fazer escolhas excecionalmente específicas sobre que tráfego regionalizar e onde o regionalizar. Isso permite-lhe criar aplicações rápidas, confiáveis e em conformidade, sem precisar de implementar uma nova infraestrutura física ou de ter várias implementações em nuvem para a mesma aplicação.
Dando um passo mais além, a SDR permite-lhe moldar a Cloudflare para atender às suas necessidades atuais e futuras. Dá-lhe a flexibilidade para responder rapidamente a novos desafios num mundo em rápida mudança. Ao fazer escolhas de localização no software, não ficará limitado pelas restrições físicas da geografia da sua rede existente ou pelos locais de implementação da sua nuvem.
Acreditamos que a regionalização definida por software é o futuro da localização de dados e estamos entusiasmados por estar na vanguarda do seu desenvolvimento.
Como os Regional Services garantem que os seus dados são processados na região correta
Estar em conformidade com os requisitos de localização de dados não é possível sem uma encriptação forte; caso contrário, qualquer pessoa poderia bisbilhotar os dados dos seus clientes, independentemente de onde estejam armazenados. A encriptação forte é o alicerce dos Regional Services.
Os dados são frequentemente descritos como “em trânsito” e “em repouso”. É de vital importância que ambos sejam encriptados. A expressão "dados em trânsito" tem um sentido literal – os dados que estão em movimento através dos cabos, sejam estes de uma rede local ou da Internet pública. "Em repouso" geralmente significa armazenado num disco em qualquer lado, seja um disco rígido giratório ou um disco de estado sólido moderno.
Em trânsito, a Cloudflare pode ditar que todo o tráfego use um TLS moderno e que tenha o maior nível de encriptação possível. Também podemos ditar que todo o tráfego que regressa aos servidores de origem dos clientes esteja sempre encriptado. A comunicação entre os nossos data centers periféricos e centrais é sempre encriptada.
A Cloudflare encripta todos os dados que gerimos em repouso, com encriptação ao nível do disco. Desde arquivos armazenados em cache na nossa rede periférica até ao estado de configuração em bases de dados nos nossos data centers principais: cada byte é encriptado em repouso.
Como podemos, então, regionalizar o tráfego se este estiver encriptado? Todos os data centers da Cloudflare anunciam os mesmos endereços IP através do Protocolo Border Gateway (BGP). Seja qual for o data center que esteja mais próximo de um utilizador final do ponto de vista da rede, é aquele que ele atingirá.
Isto é excelente por dois motivos. O primeiro é que quanto mais próximo o data center estiver de quem visualiza, mais rápida será a resposta. O segundo grande benefício é que isto é muito prático ao lidar com grandes ataques DDoS. Os ataques DDoS volumétricos lançam imenso tráfego falso a uma aplicação específica, o que sobrecarrega a capacidade da rede. A rede anycast da Cloudflare é fantástica para enfrentar esses ataques, porque eles são distribuídos por toda a rede e mitigados perto de onde têm origem.
O anycast não respeita fronteiras regionais – nem sequer sabe que existem. É por isso que, desde o início, a Cloudflare não pode garantir que o tráfego de dentro de um país também será atendido lá. Normalmente, as solicitações chegam a um data center dentro do país de origem, mas é possível que o provedor de Internet do utilizador envie tráfego para uma rede que o possa encaminhar para um país diferente.
Os Regional Services resolvem isso: quando estão ativados, cada data center fica ciente de qual é o limite definido pelos Regional Services em que está a operar. Se o utilizador final de um cliente aceder a um data center da Cloudflare que não corresponda à região que o cliente selecionou, simplesmente encaminhamos o fluxo TCP em bruto em formato encriptado. Assim que chega a um data center na região correta, desencriptamos e aplicamos todos os nossos produtos de camadas de aplicação. Isto abrange produtos como o CDN, WAF, Gestão de Bots e Workers.
Vejamos um exemplo. O utilizador final de um cliente está em Kerala, na Índia, e o BGP determinou que o data center ideal para esse utilizador final fica em Colombo, no Sri Lanka. Neste exemplo, um cliente poderá ter selecionado a Índia como a única região na qual o tráfego deveria ser atendido. O data center de Colombo percebe que esse tráfego se destina à região da Índia. Ele não o desencripta, mas, em vez disso, encaminha-o para um data center na Índia. Aí, desencriptamos e aplicamos produtos como o WAF e o Workers, como se o tráfego tivesse atingido o data center diretamente. As respostas do data center da mesma região reidentificam o mesmo caminho novamente para o cliente.
As nossas capacidades de Regional Services estão disponíveis parra acesso antecipado em finais de maio de 2024, e planeamos disponibilizá-las ao grande público em junho de 2024. Estamos muito entusiasmados com a nossa capacidade de desenvolver o nosso Pacote de Localização de Dados para o ajudar a satisfazer as suas necessidades de localização de dados.
Para aceder a estas capacidades alargadas, ou se está interessado em usar o Pacote de Localização de Dados, contacte a nossa equipa de contas.