Quando lançamos o Regional Services em junho de 2020, o conceito de localização e soberania de dados estava muito enraizado nas regulamentações europeia. Avançando para os dias de hoje, a pressão para localizar dados continua: vários países têm leis que exigem a localização de dados de alguma forma, os requisitos de contratação do setor público em muitos países exigem que seus fornecedores restrinjam a localização do processamento de dados e alguns clientes estão reagindo a desenvolvimentos geopolíticos, buscando excluir o processamento de dados de certas jurisdições.
É por isso que hoje temos o prazer de anunciar recursos expandidos que permitem a configuração do Regional Services para um conjunto maior de regiões definidas para ajudar você a atender às suas necessidades específicas e poder controlar onde seu tráfego é tratado. Essas novas regiões estarão disponíveis para acesso antecipado a partir do final de maio de 2024, e planejamos disponibilizá-las ao público em junho de 2024.
Sempre foi nosso objetivo fornecer a caixa de ferramentas de soluções que você precisa não apenas para atender às suas preocupações de segurança e desempenho, mas também para ajudar a cumprir suas obrigações legais. E quando se trata de localização de dados, sabemos que alguns de vocês precisam que os dados permaneçam em uma determinada jurisdição, enquanto outros precisam que os dados evitem determinadas jurisdições. Em resposta a essas necessidades, expandimos nossa caixa de ferramentas de ofertas do Regional Services para ajudar a determinar com mais precisão onde o tráfego é inspecionado. Algumas dessas novas ofertas do Regional Services permitem restringir a inspeção de dados apenas aos data centers dentro dos limites jurisdicionais, como Brasil, Arábia Saudita e Suíça. Outras permitem que você autorize a inspeção de dados em todos os lugares, exceto em determinadas jurisdições, como nossa nova oferta exclusiva para Hong Kong e Macau e nossa oferta exclusiva para Rússia e Bielorrússia. E também ouvimos clientes que estão ansiosos para demonstrar seu compromisso com a sustentabilidade, oferecendo nossa região Cloudflare Green Energy, que limita a inspeção de dados aos data centers comprometidos em alimentar suas operações com energia renovável.
As novas regiões incluem algumas das nossas áreas e especificações mais solicitadas:
Áustria, Brasil, Cloudflare Green Energy, exclusiva de Hong Kong e Macau, exclusiva da Rússia e Bielorrússia, França, Hong Kong, Itália, OTAN, Países Baixos, Rússia, Arábia Saudita, África do Sul, Espanha, Suíça e Taiwan.
A lista completa das nossas ofertas de Regional Services pode ser encontrada aqui.
Uma observação sobre nossa estrutura para localização de dados daqui para frente
Ao longo do próximo ano, você verá maneiras novas e interessantes de usar os produtos Cloudflare para ajudar a manter seus dados locais. Mas isso não contradiz toda a premissa da Cloudflare? Não somos uma rede global anycast que acredita na Região Terra?
Não acreditamos que esta conversa seja do tipo ou uma coisa ou outra. Embora continuemos a acreditar que a localização de dados não deve ser um substituto para a privacidade e que as restrições às transferências transfronteiriças de dados são prejudiciais para o comércio global, continuamos comprometidos em apoiar aqueles que precisam de soluções de localização de dados para cumprir as suas obrigações legais e tolerância ao risco.
Infelizmente, muitos fornecedores de nuvem diferentes decidiram que a melhor forma de atender às necessidades de conformidade dos seus clientes é criar implementações de infraestrutura fixa chamadas nuvens soberanas. O problema com essas implementações de infraestrutura é que você precisa comprometer todo o seu tráfego para ser regionalizado, independentemente de todo esse tráfego realmente precisar de ser confinado a um data center específico em uma região específica.
À medida que continuamos a acelerar o desenvolvimento do nosso Data Localization Suite, quero estabelecer as perguntas que estão orientando o nosso processo de reflexão:
E se houvesse uma maneira melhor que lhe permitisse regionalizar exatamente o que precisa, sem ter de localizar tudo, proporcionando o melhor em termos de conformidade e desempenho? O que os clientes poderiam criar se pudessem localizar as APIs que lidam com informações privadas dos clientes e, ao mesmo tempo, apresentar seus ativos estáticos globalmente? Como poderíamos aumentar a conformidade e a privacidade das implementações Zero Trust dos nossos clientes se pudéssemos deixá-los escolher onde ocorre o seu processamento de segurança? E se eles pudessem definir regiões personalizadas e aplicá-las a hostnames e produtos Cloudflare específicos e, ao mesmo tempo, ser capazes de usar um BYOIP ou um IP estático?
Chamamos essa abordagem de regionalização definida por software (SDR) e acreditamos que é o futuro da localização de dados. Usando nossa rede global como base, a SDR permite que nossos clientes façam escolhas excepcionalmente granulares sobre qual tráfego regionalizar e onde regionalizá-lo. Isso permite que você crie aplicativos rápidos, confiáveis e compatíveis sem precisar implantar uma nova infraestrutura física ou ter várias implantações em nuvem para o mesmo aplicativo.
Indo um passo além, a SDR permite que você molde a Cloudflare para atender às suas necessidades atuais e futuras. Ela proporciona a flexibilidade necessária para responder rapidamente a novos desafios em um mundo em rápida mudança. Ao fazer escolhas de localização em software, você não se limita pelas restrições físicas de sua geografia de rede existente ou pelos locais de suas implantações em nuvem.
Acreditamos que a regionalização definida por software é o futuro da localização de dados e estamos entusiasmados por estar na vanguarda do seu desenvolvimento.
Como o Regional Services garante que os seus dados sejam processados na região correta
Estar em conformidade com os requisitos de localização de dados não é possível sem uma criptografia forte. Caso contrário, qualquer pessoa poderia bisbilhotar os dados dos seus clientes, independentemente de onde estivessem armazenados. A criptografia forte é o alicerce do Regional Services.
Os dados são frequentemente descritos como “em trânsito” e “em repouso”. É extremamente importante que ambos sejam criptografados. Dados "em trânsito" tem um sentido literal, os dados que estão em movimento através dos cabos, sejam estes de uma rede local ou da internet pública. "Em repouso" geralmente significa armazenado em algum lugar do disco, seja um disco rígido giratório ou um disco de estado sólido moderno.
Em trânsito, a Cloudflare pode ditar que todo o tráfego use TLS moderno e que tenha o maior nível de criptografia possível. Também podemos determinar que todo o tráfego que volta aos servidores de origem dos clientes esteja sempre criptografado. A comunicação entre todos os nossos data centers de borda e centrais é sempre criptografada.
A Cloudflare criptografa todos os dados que lidamos em repouso com criptografia em nível de disco. Desde arquivos armazenados em cache na nossa rede de borda, ao estado de configuração em bancos de dados em nossos data centers centrais, cada byte é criptografado em repouso.
Como então podemos regionalizar o tráfego se ele estiver criptografado? Todos os data centers da Cloudflare anunciam os mesmos endereços de IP por meio do Border Gateway Protocol (BGP). O data center que estiver mais próximo de um usuário final do ponto de vista da rede é aquele que ele vai atingir.
Isto é excelente por dois motivos. O primeiro é que quanto mais próximo o data center estiver do visitante, mais rápida será a resposta. O segundo grande benefício é que isto é muito útil ao lidar com grandes ataques DDoS. Os ataques DDoS volumétricos lançam muito tráfego falso em um aplicativo específico, o que sobrecarrega a capacidade da rede. A rede anycast da Cloudflare é ótima para enfrentar esses ataques, porque eles são distribuídos por toda a rede e mitigados perto de onde se originam.
A anycast não respeita fronteiras regionais, nem sequer sabe que existem. É por isso que, desde o início, a Cloudflare não pode garantir que o tráfego de dentro de um país também será atendido lá. Normalmente, as solicitações chegam a um data center dentro do país de origem, mas é possível que o provedor de internet do usuário envie o tráfego para uma rede que possa encaminhá-lo para um país diferente.
O Regional Services resolve isso: quando ativado, cada data center fica ciente de qual limite, definido pelo Regional Services, está operando. Se o usuário final de um cliente acessar um data center da Cloudflare que não corresponde à região selecionada pelo cliente, nós simplesmente encaminhamos o fluxo TCP bruto em forma criptografada. Assim que chega a um data center na região certa, descriptografamos e aplicamos todos os nossos produtos da camada de aplicação. Isso abrange produtos como CDN, WAF, gerenciamento de bots e Workers.
Vejamos um exemplo. O usuário final de um cliente está em Kerala, na Índia, e o BGP determinou que o data center ideal para a solicitação desse usuário final está em Colombo, no Sri Lanka. Nesse exemplo, um cliente pode ter selecionado a Índia como a única região na qual o tráfego deveria ser atendido. O data center de Colombo verifica que esse tráfego é destinado à região da Índia. Ele não o descriptografa, mas o encaminha para um data center dentro da Índia. Lá, nós descriptografamos e produtos como WAF e Workers são aplicados como se o tráfego tivesse atingido diretamente o data center. As respostas do data center da região refazem o mesmo caminho de volta ao cliente.
Nossos recursos expandidos do Regional Services estão disponíveis para acesso antecipado no final de maio de 2024 e planejamos que estejam disponíveis para o público em junho de 2024. Estamos muito entusiasmados com nossa capacidade de desenvolver nosso Data Localization Suite para ajudar a atender às suas necessidades de localização de dados.
Para obter acesso a esses recursos expandidos, ou se tiver interesse em usar o Data Localization Suite, entre em contato com sua equipe de conta.