Cloudflare相信,部署有效的網(wǎng)絡安全措施是保護個人信息隱私的最佳方式,比確保信息留在特定司法管轄區(qū)內更有效���。
Cloudflare相信,部署有效的網(wǎng)絡安全措施是保護個人信息隱私的最佳方式�,比確保信息留在特定司法管轄區(qū)內更有效。然而���,歐洲���、印度、澳大利亞���、日本和許多其他地區(qū)的客戶對我們表示�,作為他們隱私計劃的一部分,他們需要解決方案來來更好地應對數(shù)據(jù)本地化�,以滿足監(jiān)管義務。
為此�����,我們在2020年推出了數(shù)據(jù)本地化服務(DLS)����,以幫助客戶駕馭日益專注于數(shù)據(jù)本地化的環(huán)境。通過DLS����,客戶可以利用Cloudflare強大的全球網(wǎng)絡和安全措施來保護他們的業(yè)務����,同時將我們代表其處理的數(shù)據(jù)保留在本地。自從發(fā)布以來�,我們的很多客戶已經(jīng)采用了DLS。本文將分享我們如何針對DLS不斷地進行更全面����、更易使用的革新。
數(shù)據(jù)保護相關法規(guī)的混亂狀態(tài)
一些客戶經(jīng)常向我們提出問題,因為他們聽說新的本地法律或現(xiàn)有法規(guī)的解釋似乎限制了他們能對數(shù)據(jù)進行的操作����。這對在全球互聯(lián)網(wǎng)上開展業(yè)務的客戶來說尤其困惑,因為根據(jù)法規(guī)���,除非采取廣泛措施�,一國的客戶就不能使用另一國公司的產品�。
我們不認為這是監(jiān)管互聯(lián)網(wǎng)的正確方式。針對這一方面�,我們取得了一些新的進展:建立一套相對通用的數(shù)據(jù)保護框架,使數(shù)據(jù)轉移更加無縫�����。
與此同時�����,我們提供DLS來幫助客戶應對這些挑戰(zhàn)���。
簡單回顧:數(shù)據(jù)本地化套件如何工作
開發(fā)DLS是為了解決客戶的三個主要問題:
1.如何確保我的加密密鑰留在我的司法管轄區(qū)內�?
2.如何確保像緩存和WAF這樣的應用程序服務只在我所屬的司法管轄區(qū)內運行���?
3.如何確保日志和元數(shù)據(jù)永遠不會轉移到我的司法管轄區(qū)之外����?
為了解決這些問題,我們的DLS擁有一個加密密鑰組件����,一個解決傳輸中內容在何處終止和檢查的組件,以及一個將元數(shù)據(jù)保存在客戶司法管轄區(qū)內的組件:
1.加密密鑰
Cloudflare已長期提供Keyless SSL和Geo Key Manager�����。使用Geo Key Manager的客戶可以選擇將加密密鑰僅存儲在客戶指定地區(qū)的數(shù)據(jù)中心���。Keyless SSL確保Cloudflare從不擁有私鑰資料���;Geo Key Manager確保密鑰受到加密訪問控制的保護���,以便密鑰只能在指定的地區(qū)使用�。
2.Regional Services:
Regional Services確保Cloudflare只能在客戶選擇的地區(qū)解密和檢查HTTPS通信的內容�����。Regional Services啟用時,無論流量首先到達我們全球網(wǎng)絡上哪一個數(shù)據(jù)中心�����,我們都以加密的形式轉發(fā)TCP流�����,而不是在第一個數(shù)據(jù)中心對其解密����。一旦它到達客戶所選地區(qū)的數(shù)據(jù)中心,就會對其進行解密并應用我們的第7層安全防護措施�,以防止惡意流量到達客戶網(wǎng)站。
3.Customer Metadata Boundary:
啟用該選項后����,Cloudflare代表客戶處理的最終用戶流量日志(包含IP地址)將不會離開客戶所選擇的地區(qū)。(目前僅在歐盟和美國可用�����。)
將DLS擴展到新的地區(qū)
雖然我們最初推出數(shù)據(jù)本地化套件時考慮的是歐洲和美國�,但我們很快意識到許多客戶也對專用于亞太地區(qū)的版本感興趣。去年9月���,我們在日本����、澳大利亞和印度增加了Regional Services的支持。
隨后���,在2022年12月���,我們宣布Geo Key Manager現(xiàn)已在15個地區(qū)提供服務??蛻艨梢詫⑽覀冎С值牡貐^(qū)加入允許或拒絕列表,以便對其關鍵資料的存儲位置進行細顆粒度控制���。
另請參閱技術深入剖析�����,了解我們是如何打造Geo Key Manager v2的�。
使數(shù)據(jù)本地化更易使用
Regional Services和Customer Metadata Boundary為我們的客戶提供了重要的保護——但它們一直難以使用�����。兩者都需要Cloudflare團隊手動操作���,而且都有令人困惑的(或沒有)公共API����。
今天���,我們將解決這個問題����!隆重宣布可用性方面的兩項重大改進:
現(xiàn)在有一個專門的UI和API來啟用這項服務���,可直接從DNS選項卡進入?��,F(xiàn)在可以對每個主機名設置不同的地區(qū)。
客戶可以使用我們的自助服務API來啟用Metadata Boundary�����。
我們很高興能夠簡化數(shù)據(jù)本地化套件的使用���,并且能夠讓客戶根據(jù)業(yè)務需求更精準地對指定流量進行本地化設置����。
下一步
數(shù)據(jù)本地化套件目前面向Enterprise客戶提供。如您有意使用�����,請聯(lián)系我們的工作人員����。同時,您可在這里找到有關配置的更多信息���。
今年�,我們對數(shù)據(jù)本地化套件有更多計劃�。我們計劃為Regional Services和Metadata Boundary提供面向更多地區(qū)的支持。我們還計劃為我們的所有Zero Trust提供全面的數(shù)據(jù)本地化支持���。
閩公網(wǎng)安備 35010202001226號
