Assine para receber notificações de novos posts:

Apresentação da Data Localization Suite da Cloudflare

2020-12-07

6 min. de leitura
Este post também está disponível em English, Français, Deutsch, 日本語, Español e 简体中文.

É com grande entusiasmo que hoje anunciamos a Data Localization Suite, que ajuda as empresas a obter os benefícios de desempenho e segurança da rede global da Cloudflare enquanto, facilitamos a definição de regras e controlos periféricos sobre onde os seus dados são armazenados e protegidos.

A Data Localization Suite está agora disponível como add-on (complemento) para os clientes Enterprise.

A rede da Cloudflare foi concebida para ser privada e estar em conformidade com a legislação. Salvaguardar a privacidade do utilizador final é essencial para a nossa missão de construir uma Internet melhor; nunca vendemos dados pessoais de clientes ou utilizadores finais da nossa rede. Cumprimos legislação como o GDPR (Regulamento Geral sobre a Proteção de Dados) e continuamos a ter certificações como a ISO-27001.

Hoje, estamos a anunciar ferramentas para que os nossos clientes incorporem com simplicidade o mesmo rigor nas suas próprias aplicações. Nesta publicação, explicaremos os diferentes tipos de dados que processamos e como a Data Localization Suite mantém estes dados localizados.

Também falaremos sobre como a Cloudflare possibilita a criação de aplicações que estejam em conformidade com as leis de localização de dados, permanecendo ainda rápidas, seguras e ajustáveis à escala.

Porquê manter os dados localizados?

Cada vez mais, os clientes Cloudflare têm apetência ou requisitos específicos de localização dos dados: querem controlar a localização geográfica onde os seus dados são tratados. Muitas categorias de dados que os nossos clientes processam (incluindo dados nas áreas da saúde, legal e financeira) podem estar sujeitas a diretivas que ditam o armazenamento desses dados em locais específicos. As preferências ou os requisitos de localização de dados estão a aumentar em jurisdições como a UE, Índia e Brasil; com o tempo, é expectável que seja pedido a mais clientes e em mais locais que mantenham os seus dados locais.

Apesar de a "localidade dos dados" parecer um conceito simples, as nossas conversas com os clientes Cloudflare desvendam que existem vários desafios únicos que eles enfrentam para tentar caminhar com vista a este objetivo.  A disponibilidade da informação nos seus ativos da Internet irá permanecer global - não querem limitar o acesso aos seus sites a jurisdições locais - mas querem assegurar que os dados se mantêm locais. Invariavelmente, estão a tentar compreender:

  • Como posso embutir requisitos de localização nas minhas operações online globais?

  • Como posso assegurar que o tráfego desencriptado apenas fica disponível localmente?

  • Como garanto que os dados pessoais são manuseados de acordo com as regras de localização?

  • Como posso garantir que as minhas aplicações apenas guardam dados em determinadas localizações?

A Data Localization Suita da Cloudflare tenta responder a estas questões.

Até agora, os clientes que desejassem localizar os seus dados tinham de escolher restringir a sua aplicação a um data center ou a uma região do provedor de nuvem. Esta é uma abordagem frágil que está cheia de desafios ao desempenho, fiabilidade e segurança. A Cloudflare está a criar um novo paradigma: os clientes devem poder obter o desempenho e os benefícios de segurança da nossa rede global, mantendo - no entanto - os seus dados locais sem esforço.

A encriptação é a pedra basilar da privacidade

Antes de passarmos à localidade dos dados, devemos falar sobre encriptação. Não é possível ter privacidade sem uma encriptação forte; de outro modo, qualquer pessoa poderia espreitar os dados dos nossos clientes, independentemente do local onde estejam armazenados.

É frequente ouvir falar sobre dados "em trânsito" e "em repouso". É de vital importância que ambos sejam encriptados. A expressão "dados em trânsito" tem um sentido literal— os dados que estão em movimento através da rede, seja numa rede local ou na Internet pública. "Em repouso" significa, geralmente, que estão armazenados num disco algures, seja num disco rígido convencional ou num SSD moderno.

Em trânsito, a Cloudflare pode assegurar que todo o tráfego para utilizadores finais use um TLS moderno e tenha o maior nível de encriptação possível. Também podemos assegurar que todo o tráfego que regressa aos servidores de origem dos clientes está sempre encriptado. A comunicação entre os nossos data centers periféricos e centrais é sempre encriptada.

A Cloudflare encripta em repouso todos os dados por si manuseados, geralmente com encriptação a nível do disco. Desde ficheiros em cache na nossa rede periférica, ao estado de configuração em bases de dados nos nossos data centers centrais—  cada byte é encriptado quando em repouso.

Controle onde as chaves privadas TLS podem ser acedidas

Considerando a importância da encriptação, um dos conjuntos de dados mais sensíveis que os nossos clientes confiam à nossa proteção são as suas chaves criptográficas, que permitem a desencriptação dos dados. A Cloudflare oferece duas possibilidades para os clientes poderem assegurar que as suas chaves privadas só são acessíveis em locais por eles especificados.

O Keyless SSL permite que um cliente armazene e faça a gestão das suas próprias chaves privadas SSL para usar com a Cloudflare ou em qualquer infraestrutura externa que escolha. Os clientes podem usar vários sistemas para a sua keystore, incluindo módulos de segurança por hardware ("HSMs"), servidores virtuais e hardware a correr Unix/Linux e Windows alojado em ambientes controlados pelos clientes. A Cloudflare não tem, em circunstância alguma, acesso à chave privada com o Keyless SSL.

O Geo Key Manager dá aos clientes controlo granular sobre quais as localizações nas quais devem guardar as suas chaves. Por exemplo, um cliente pode escolher que as chaves privadas necessárias para inspecionar tráfego só possam ser acedidas dentro de data centers localizados na União Europeia.

Faça a gestão de onde as solicitações e respostas HTTP são inspecionadas

Para implementar o nosso WAF ou detectar tráfego bot malicioso, a Cloudflare tem de terminar o TLS nos nossos data centers periféricos e inspecionar o conteúdo de solicitações e respostas HTTP.

Os Regional Services dão às organizações controlo sobre onde o seu tráfego é inspecionado. Com a ativação dos Regional Services, o tráfego é ingerido pela rede Anycast global da Cloudflare na localização mais próxima do cliente, onde podemos fornecer proteção contra DDoS L3 e L4. Em vez de ser inspecionado ao nível HTTP nesse data center, este tráfego é transmitido de forma segura para os data centers da Cloudflare dentro da região selecionada pelo cliente e tratado lá.

Controle os registos e as análises de dados gerados pelo seu tráfego

Além de tornar as infraestruturas e equipas dos nossos clientes mais rápidas, mais seguras e mais fiáveis, também fornecemos informação especializada sobre o que os nossos serviços fazem e como os clientes podem tirar o melhor partido deles. Recolhemos metadados sobre todo o tráfego que passa pelos nossos data centers periféricos, usando-os para melhorar o funcionamento da nossa própria rede: por exemplo, ao criar regras WAF para bloquear os ataques mais recentes ou desenvolvendo modelos de aprendizagem de máquina para detectar bots maliciosos. Também disponibilizamos esta informação aos nossos clientes na forma de registos e análises de dados.

Isto requer apenas um subconjunto dos metadados a ser processado nos nossos data centers centrais nos EUA/na UE. Estes dados contêm informação sobre o número de solicitações respondidas, o volume de dados enviados e quanto tempo demoraram as solicitações, assim como outras informações essenciais para o funcionamento da nossa rede.

Com o Edge Log Delivery (Entrega de Registos Periféricos), os clientes podem enviar registos diretamente a partir da periferia para o seu parceiro de eleição— por exemplo, um bucket de armazenamento Azure na sua região preferencial, ou uma instância de Splunk a correr num data center dentro das suas instalações. Com esta opção, os clientes conseguem obter registos completos na sua região preferencial, sem que estes tenham de passar primeiro pelos data centers centrais nos EUA ou na UE.

O Edge Log Delivery está em fase beta inicial para clientes Enterprise hoje—queira visitar a nossa página de produto para obter mais informações.

Em última análise, trabalhamos para dar aos clientes total controlo sobre onde os seus metadados são armazenados, bem como sobre a duração do armazenamento. Durante o próximo ano, planeamos poder permitir que os clientes escolham exatamente que campos pretendem armazenar, durante quanto tempo e em que local.

Construir de raiz aplicações sensíveis à localização

Até aqui, temos abordado como os produtos da Cloudflare podem oferecer um nível de desempenho global e soluções de segurança aos nossos clientes, mantendo ao mesmo tempo as suas chaves atuais, dados de aplicações e metadados locais.

Mas sabemos que os clientes também estão a ter dificuldades em usar os sistemas existentes de nuvem tradicionais para gerir as necessidades de localização dos seus dados. As plataformas atuais podem permitir implementar código ou dados numa região específica, mas ter cópias de aplicações em cada região e gerir o estado em todas elas pode ser, no melhor dos cenários, um desafio - no pior, poderá ser impossível.

A derradeira promessa da abolição de servidores tem sido permitir a qualquer programador dizer "não quero saber onde corre o meu código, só quero que seja ajustável à escala". Cada vez mais se revelará necessária a promessa de "quero saber onde corre o meu código e preciso de maior controlo para satisfazer o meu departamento de conformidade legal." A Cloudflare Workers permite-lhe ter o melhor dos dois mundos, com escalonamento instantâneo, localizações que abrangem mais de 100 países em todo o mundo e a granularidade para escolher exatamente o que precisa.

Estamos a anunciar uma melhoria significativa que permite aos clientes controlar onde as suas aplicações armazenam dados: o Workers Durable Objects suportará Jurisdiction Restrictions (Restrições de Jurisdição). O Durable Objects fornece um estado globalmente consistente e coordenação com as aplicações sem servidor a correr na plataforma Cloudflare Workers. O Jurisdiction Restrictions permitirá aos utilizadores assegurar que os seus Durable Objects não guardam dados ou correm fora de uma determinada jurisdição — tornando muito simples a construção de aplicações que combinem o desempenho global com o cumprimento de legislação local. Com a migração automática de Durable Objects, a adaptação a novas regras será tão simples como adicionar uma tag a um conjunto de Durable Objects.

Construir para o longo-prazo

O panorama da localização de dados está em constante evolução. Desde que começámos a trabalhar na Data Localization Suite, o Conselho Europeu de Proteção de Dados emitiu novas diretrizes sobre como os dados podem ser transferidos entre a UE e os EUA. Sabemos que, de facto, isto é apenas o início - ao longo do tempo, mais regiões e mais indústrias implementarão requisitos de localização de dados.

Na Cloudflare mantemo-nos a par dos últimos desenvolvimentos no âmbito da proteção de dados para que os nossos clientes não tenham de o fazer. A Data Localization Suite dá aos nossos clientes as ferramentas para definir regras e controlos na periferia, determinando onde os seus dados são armazenados e protegidos enquanto tiram partido da nossa rede global.

Protegemos redes corporativas inteiras, ajudamos os clientes a criarem aplicativos em escala de internet com eficiência, aceleramos qualquer site ou aplicativo de internet, evitamos os ataques de DDoS, mantemos os invasores afastados e podemos ajudar você em sua jornada rumo ao Zero Trust.

Acesse 1.1.1.1 a partir de qualquer dispositivo para começar a usar nosso aplicativo gratuito que torna sua internet mais rápida e mais segura.

Para saber mais sobre nossa missão de construir uma internet melhor, comece aqui. Se estiver procurando uma nova carreira para trilhar, confira nossas vagas disponíveis.
Privacy WeekCloudflare NetworkPrivacy

Seguir no X

Cloudflare|@cloudflare

Posts relacionados

07 de outubro de 2024 às 13:00

Thermal design supporting Gen 12 hardware: cool, efficient and reliable

Great thermal solutions play a crucial role in hardware reliability and performance. Gen 12 servers have implemented an exhaustive thermal analysis to ensure optimal operations within a wide variety of temperature conditions and use cases. By implementing new design and control features for improved power efficiency on the compute nodes we also enabled the support of powerful accelerators to serve our customers....

25 de setembro de 2024 às 13:00

Cloudflare’s 12th Generation servers — 145% more performant and 63% more efficient

Cloudflare is thrilled to announce the general deployment of our next generation of server — Gen 12 powered by AMD Genoa-X processors. This new generation of server focuses on delivering exceptional performance across all Cloudflare services, enhanced support for AI/ML workloads, significant strides in power efficiency, and improved security features....

25 de setembro de 2024 às 13:00

New standards for a faster and more private Internet

Cloudflare's customers can now take advantage of Zstandard (zstd) compression, offering 42% faster compression than Brotli and 11.3% more efficiency than GZIP. We're further optimizing performance for our customers with HTTP/3 prioritization and BBR congestion control, and enhancing privacy through Encrypted Client Hello (ECH)....