利用Cloudflare數(shù)據(jù)本地化套件，駕馭不斷變化的數(shù)據(jù)本地化形勢

Cloudflare相信，部署有效的網(wǎng)絡(luò)安全措施是保護個人信息隱私的最佳方式，比確保信息留在特定司法管轄區(qū)內(nèi)更有效。然而，歐洲、印度、澳大利亞、日本和許多其他地區(qū)的客戶對我們表示，作為他們隱私計劃的一部分，他們需要解決方案來來更好地應(yīng)對數(shù)據(jù)本地化，以滿足監(jiān)管義務(wù)。

為此，我們在2020年推出了數(shù)據(jù)本地化服務(wù)（DLS），以幫助客戶駕馭日益專注于數(shù)據(jù)本地化的環(huán)境。通過DLS，客戶可以利用Cloudflare強大的全球網(wǎng)絡(luò)和安全措施來保護他們的業(yè)務(wù)，同時將我們代表其處理的數(shù)據(jù)保留在本地。自從發(fā)布以來，我們的很多客戶已經(jīng)采用了DLS。本文將分享我們?nèi)绾吾槍LS不斷地進行更全面、更易使用的革新。

數(shù)據(jù)保護相關(guān)法規(guī)的混亂狀態(tài)

一些客戶經(jīng)常向我們提出問題，因為他們聽說新的本地法律或現(xiàn)有法規(guī)的解釋似乎限制了他們能對數(shù)據(jù)進行的操作。這對在全球互聯(lián)網(wǎng)上開展業(yè)務(wù)的客戶來說尤其困惑，因為根據(jù)法規(guī)，除非采取廣泛措施，一國的客戶就不能使用另一國公司的產(chǎn)品。

我們不認為這是監(jiān)管互聯(lián)網(wǎng)的正確方式。針對這一方面，我們?nèi)〉昧艘恍┬碌倪M展：建立一套相對通用的數(shù)據(jù)保護框架，使數(shù)據(jù)轉(zhuǎn)移更加無縫。

與此同時，我們提供DLS來幫助客戶應(yīng)對這些挑戰(zhàn)。

簡單回顧：數(shù)據(jù)本地化套件如何工作

開發(fā)DLS是為了解決客戶的三個主要問題：

1.如何確保我的加密密鑰留在我的司法管轄區(qū)內(nèi)？

2.如何確保像緩存和WAF這樣的應(yīng)用程序服務(wù)只在我所屬的司法管轄區(qū)內(nèi)運行？

3.如何確保日志和元數(shù)據(jù)永遠不會轉(zhuǎn)移到我的司法管轄區(qū)之外？

為了解決這些問題，我們的DLS擁有一個加密密鑰組件，一個解決傳輸中內(nèi)容在何處終止和檢查的組件，以及一個將元數(shù)據(jù)保存在客戶司法管轄區(qū)內(nèi)的組件：

1.加密密鑰

Cloudflare已長期提供Keyless SSL和Geo Key Manager。使用Geo Key Manager的客戶可以選擇將加密密鑰僅存儲在客戶指定地區(qū)的數(shù)據(jù)中心。Keyless SSL確保Cloudflare從不擁有私鑰資料；Geo Key Manager確保密鑰受到加密訪問控制的保護，以便密鑰只能在指定的地區(qū)使用。

2.Regional Services:

Regional Services確保Cloudflare只能在客戶選擇的地區(qū)解密和檢查HTTPS通信的內(nèi)容。Regional Services啟用時，無論流量首先到達我們?nèi)蚓W(wǎng)絡(luò)上哪一個數(shù)據(jù)中心，我們都以加密的形式轉(zhuǎn)發(fā)TCP流，而不是在第一個數(shù)據(jù)中心對其解密。一旦它到達客戶所選地區(qū)的數(shù)據(jù)中心，就會對其進行解密并應(yīng)用我們的第7層安全防護措施，以防止惡意流量到達客戶網(wǎng)站。

3.Customer Metadata Boundary：

啟用該選項后，Cloudflare代表客戶處理的最終用戶流量日志（包含IP地址）將不會離開客戶所選擇的地區(qū)。（目前僅在歐盟和美國可用。）

將DLS擴展到新的地區(qū)

雖然我們最初推出數(shù)據(jù)本地化套件時考慮的是歐洲和美國，但我們很快意識到許多客戶也對專用于亞太地區(qū)的版本感興趣。去年9月，我們在日本、澳大利亞和印度增加了Regional Services的支持。

隨后，在2022年12月，我們宣布Geo Key Manager現(xiàn)已在15個地區(qū)提供服務(wù)。客戶可以將我們支持的地區(qū)加入允許或拒絕列表，以便對其關(guān)鍵資料的存儲位置進行細顆粒度控制。

另請參閱技術(shù)深入剖析，了解我們是如何打造Geo Key Manager v2的。

使數(shù)據(jù)本地化更易使用

Regional Services和Customer Metadata Boundary為我們的客戶提供了重要的保護——但它們一直難以使用。兩者都需要Cloudflare團隊手動操作，而且都有令人困惑的（或沒有）公共API。

今天，我們將解決這個問題！隆重宣布可用性方面的兩項重大改進：

現(xiàn)在有一個專門的UI和API來啟用這項服務(wù)，可直接從DNS選項卡進入。現(xiàn)在可以對每個主機名設(shè)置不同的地區(qū)。

客戶可以使用我們的自助服務(wù)API來啟用Metadata Boundary。

我們很高興能夠簡化數(shù)據(jù)本地化套件的使用，并且能夠讓客戶根據(jù)業(yè)務(wù)需求更精準地對指定流量進行本地化設(shè)置。

下一步

數(shù)據(jù)本地化套件目前面向Enterprise客戶提供。如您有意使用，請聯(lián)系我們的工作人員。同時，您可在這里找到有關(guān)配置的更多信息。

今年，我們對數(shù)據(jù)本地化套件有更多計劃。我們計劃為Regional Services和Metadata Boundary提供面向更多地區(qū)的支持。我們還計劃為我們的所有Zero Trust提供全面的數(shù)據(jù)本地化支持。