Cloudflare 相信,部署有效的网络安全措施是保护个人信息隐私的最佳方式,比确保信息留在特定司法管辖区内更有效。然而,欧洲、印度、澳大利亚、日本和许多其他地区的客户对我们表示,作为他们隐私计划的一部分,他们需要解决方案来本地化数据,以满足监管义务。
1 月 28 日的数据隐私日即将到来之际,我们处于一个耐人寻味的地位:尽管不认同数据本地化代表了更好的数据隐私,但也想为必须遵守某些法规的客户提供支持。
为此,我们在 2020 年推出了数据本地化 (DLS),以帮助客户驾驭日益专注于数据本地化的环境。通过 DLS,客户可以利用 Cloudflare 强大的全球网络和安全措施来保护他们的业务,同时将我们代表其处理的数据保留在本地。自从发布以来,我们的很多客户已经采用了 DLS。本文分享我们如何使 DLS 更全面、更易使用的更新。
数据保护法规的混乱状态
一些客户经常向我们提出问题,因为他们听说新的本地法律或现有法规的解释似乎限制了他们能对数据进行的操作。这对在全球互联网上开展业务的客户来说尤其困惑,因为根据法规,除非采取广泛措施,一国的客户就不能使用另一国公司的产品。
我们不认为这是监管互联网的正确方式。我们将在明天的博客文章中进一步讨论跨境数据传输,而一些新的发展让我们为之鼓舞:建立一套跨司法管辖区的通用数据保护,使数据转移更加无缝。
与此同时,我们提供 DLS 来帮助客户应对这些挑战。
简单回顾:数据本地化套件如何工作
我们开发 DLS 是为了解决客户的三个主要问题:
如何确保我的加密密钥留在我的司法管辖区内?
如何确保像缓存和 WAF 这样的应用程序服务只在我所属的司法管辖区内运行?
如何确保日志和元数据永远不会转移到我的司法管辖区之外?
为了解决这些问题,我们的 DLS 拥有一个加密密钥组件,一个解决传输中内容在何处终止和检查的组件,以及一个将元数据保存在客户司法管辖区内的组件:
1. 加密密钥Cloudflare 已长期提供 Keyless SSL 和 Geo Key Manager,确保私有 SSL/TLS 密钥材料从不离开欧盟。使用 Geo Key Manager 的客户可以选择将加密密钥仅存储在客户指定地区的数据中心。Keyless SSL 确保 Cloudflare 从不拥有私钥资料;Geo Key Manager 确保密钥受到加密访问控制的保护,以便密钥只能在指定的地区使用。
2. Regional Services:Regional Services 确保 Cloudflare 只能在客户选择的地区解密和检查 HTTPS 通信的内容。Regional Services 启用时,无论流量首先到达我们全球网络上哪一个数据中心,我们都以加密的形式转发 TCP 流,而不是在第一个数据中心对其解密。一旦它到达客户所选地区的数据中心,就会对其进行解密并应用我们的第 7 层安全措施,以防止恶意流量到达客户网站。
3. Customer Metadata Boundary:启用该选项后,Cloudflare 代表客户处理的最终用户流量日志(包含 IP 地址)将不会离开客户所选择的地区。(目前仅在欧盟和美国可用。)
将 DLS 扩展到新的地区
虽然我们最初推出数据本地化套件时考虑的是欧洲和美国,但我们很快意识到许多客户也对专用于亚太地区的版本感兴趣。去年 9 月,我们在日本、澳大利亚和印度增加了 Regional Services 的支持 。
随后,在 2022 年 12 月,我们宣布 Geo Key Manager 现已在 15 个地区提供。客户可以将我们支持的地区加入允许或拒绝列表,以便对其关键资料的存储位置进行细粒度控制。
另请参阅技术深入剖析,了解我们是如何打造 Geo Key Manager v2 的。
使数据本地化更易使用
Regional Services 和 Customer Metadata Boundary 为我们的客户提供了重要的保护——但它们一直难以使用。两者都需要 Cloudflare 团队手动操作,而且都有令人困惑的(或没有)公共 API。
今天,我们将解决这个问题!隆重宣布可用性方面的两项重大改进:
现在有一个专门的 UI 和 API 来启用这项服务,可直接从 DNS 选项卡进入。现在可以对每个主机名设置不同的地区。
客户可以使用我们的自助服务 API 来启用 Metadata Boundary。
我们很高兴能够简化数据本地化套件的使用,并让客户能够更准确地控制如何本地化流量的哪些部分。
下一步
The Data Localization Suite 目前面向 Enterprise 客户提供。如您有意使用,请联系帐户代表。您可在这里找到有关配置的更多信息。
今年,我们对数据本地化套件有更多计划。我们计划为 Regional Services 和 Metadata Boundary 支持更多地区。我们还计划为我们的所有 Zero Trust 提供全面的数据本地化支持。请持续关注本博客。