Контролируйте данные с точностью до региона: настраиваемые географические границы

Ключевая часть нашей миссии по созданию лучшего Интернета — предоставление клиентам инструментов, необходимых для безопасной и эффективной работы, независимо от их требований к соответствию. Наш продукт Regional Services помогает клиентам достичь именно этого, позволяя им выполнять правовые обязательства по обеспечению суверенитета данных, используя возможности глобальной сети Cloudflare.

Сегодня мы делаем два больших шага вперед: во-первых, мы расширяем список предопределенных регионов для Regional Services, включив в него Турцию, Объединенные Арабские Эмираты (ОАЭ), IRAP (соответствие требованиям Австралии) и ISMAP (соответствие требованиям Японии). Во-вторых, мы представляем следующую эволюцию нашей платформы: пользовательские регионы (Custom Regions).

Прежде чем углубиться в нововведения, давайте вспомним, как Regional Services обеспечивает лучшее из двух миров: локальное соответствие требованиям и безопасность глобального масштаба. Наш подход принципиально отличается от подхода многих поставщиков суверенных облачных услуг. Вместо изоляции вашего трафика в одной географической зоне (и меньшей мощности для устранения атак) мы используем весь масштаб нашей глобальной сети для защиты и проверяем ваши данные только там, где вы нам укажете.

Вот обзор того, как это работает:

1. Глобальный прием и защита от DDoS-атак на уровнях L3/L4: Трафик принимается в ближайшем центре обработки данных Cloudflare, где бы он ни находился в мире. В этой начальной точке входа мы применяем наше масштабное устранение DDoS-атак для блокировки объемных атак на сетевом и транспортном уровнях. Это происходит за пределами вашего назначенного региона, гарантируя, что дальше передается только чистый трафик.

2. Интеллектуальная маршрутизация внутри региона: До любого расшифрования мы проверяем метаданные запроса. Если он прибыл в центр обработки данных за пределами указанного вами региона, мы направляем его по нашему защищенному частному магистральному каналу в центр обработки данных в пределах ваших границ, используя наиболее производительный путь.

3. Терминирование TLS и обработка на уровне L7 внутри региона: Только после подтверждения того, что трафик находится в выбранном вами регионе, мы расшифровываем запрос. Только тогда мы применяем наши сервисы безопасности на уровне приложений, такие как межсетевой экран веб-приложений (WAF) или управление ботами, и выполняем любую логику Cloudflare Workers.

4. Безопасная передача на исходный сервер: После обработки запрос повторно шифруется и безопасно отправляется на ваш исходный сервер.

Эта уникальная архитектура означает, что вы можете локализовать проверку данных по мере необходимости для выполнения ваших юридических обязательств, не жертвуя надежной защитой от DDoS, которую может обеспечить только масштабная глобальная сеть.

Когда мы запустили Regional Services в 2020 году, мы начали всего с трех регионов: ЕС, Великобритания и США. Со временем мы добавили регионы, общие для всех аккаунтов — мы называем их регионами, управляемыми Cloudflare (Cloudflare Managed Regions).

Несколько новых регионов стали доступны: Турция, Объединенные Арабские Эмираты (ОАЭ) и IRAP (соответствие требованиям Австралии), что доводит общее количество до 35 регионов.

Кроме того, теперь мы предоставляем нашим клиентам возможность запросить пользовательский регион, соответствующий потребностям их аккаунта. Это и есть пользовательские регионы (Custom Regions), запуск которых состоялся сегодня.

Хотя наши 35 предопределенных регионов удовлетворяют потребности многих наших клиентов, цифровой мир не является универсальным. Мы вас услышали: вы просили конкретную страну, уникальные комбинации стран и возможность исключить набор стран из региона.

Именно поэтому мы с радостью объявляем о следующей эволюции Regional Services: пользовательских регионах (Custom Regions).

Проще говоря, пользовательские регионы дают вам возможность определять собственные географические границы для обработки трафика. Вместо выбора из списка регионов, определенных нами, вы точно указываете нам, какие местоположения составляют ваш регион.

Эта гибкость открывает новый уровень контроля. Наши клиенты раннего доступа уже использовали пользовательские регионы для:

• Регионализации AI-инференса: Сохранения промптов и ответов больших языковых моделей (LLM) в пределах определенного набора стран для оптимизации производительности и соблюдения правовых обязательств по локализации данных.

• Запуска гипертаргетированных промо-акций: Обслуживания маркетинговых кампаний и контента, оптимизированных под уникальную комбинацию стран.

• Масштабирования государственных операций: Создания регионов, соответствующих договорным обязательствам с государственными структурами.

• Отражания вашей корпоративной структуры: Создания регионов, соответствующих вашим внутренним бизнес-единицам, таким как EMEA, MENA или APAC, для идеально согласованного управления.

Основной механизм остается тем же; меняются только границы. Вместо того чтобы Cloudflare определял регион, это делаете вы.

Возможности безграничны. Например, ваш регион может быть:

• Северная Америка: Канада, Соединенные Штаты, Мексика

• Везде, кроме Северной Америки: Не Канада, не США, не Мексика

• Страны, использующие градусы Фаренгейта: США, Багамы, Каймановы острова, Маршалловы острова, Либерия

В основе Regional Services лежит обеспечение соблюдения простого правила: терминирование TLS и обработка на уровне 7 происходят только внутри выбранного вами региона. Пользовательские регионы расширяют эту возможность, позволяя вам выбирать собственные определения регионов.

Регионы, управляемые Cloudflare, и пользовательские регионы основываются на трех строительных блоках: определение состава региона, выбор пункта назначения внутри региона и обеспечение соблюдения границ на периферии сети (edge).

Регион, в конечном счете, представляет собой набор центров обработки данных Cloudflare.

• Регионы, управляемые Cloudflare, используют предопределенный набор участников.

• Пользовательские регионы определяют состав с помощью выражения. Наиболее распространенным полем является country_code: код ISO страны, в которой расположен каждый центр обработки данных:

Это выражение оценивается относительно метаданных центров обработки данных. Совпадения становятся набором участников вашего региона и распространяются глобально, поэтому каждый центр обработки данных может быстро ответить: "Нахожусь ли я в этом регионе?"

По мере развития инфраструктуры Cloudflare состав обновляется, поэтому новые соответствующие критериям центры обработки данных могут присоединяться автоматически. Вам не нужно беспокоиться о том, когда центры обработки данных добавляются или удаляются из определения; Cloudflare позаботится об этом за вас.

Если запрос попадает в Cloudflare за пределами вашего региона, следующий шаг — выбор наилучшего пункта назначения внутри региона для этого места входа.

Выбор Cloudflare — это двухэтапный процесс:

1. Разрешенные пункты назначения: Набор участников региона (какие центры обработки данных находятся внутри региона).

2. Лучший пункт назначения для этого места входа: Ранжированный по производительности список, адаптированный к центру обработки данных, в который поступил запрос в нашу сеть.

Эти рейтинги для каждого места входа вычисляются централизованно и распространяются на периферию через Quicksilver. Они строятся на основе измеренного качества пути в нашей сети (не только физического расстояния) с использованием таких сигналов, как:

• Сетевая производительность: Показатели задержки и надежности (например, потери и таймауты).

• Емкость и нагрузка: Доступные ресурсы и текущая утилизация.

• Рабочее состояние: Работоспособность и доступность.

Во время маршрутизации мы пересекаем ранжированный список с набором участников региона и выбираем из лучших кандидатов. Окончательный выбор проверяется на основе текущей доступности: пункты назначения, которые отключены или иным образом недоступны, пропускаются, поэтому трафик может переключиться на следующую лучшую опцию внутри региона.

Вот процесс, когда запрос поступает в Cloudflare:

1. Вход (Ingress). Запрос поступает в ближайший центр обработки данных. Немедленно применяется устранение DDoS-атак на уровнях 3/4.

2. Поиск конфигурации. Настроен ли регион для этой зоны?

3. Проверка членства. Находится ли этот центр обработки данных в настроенном регионе?

4. Решение о маршрутизации.

   • Внутри региона: Обработать локально. Терминирование TLS и все сервисы уровня 7 выполняются здесь.

   • За пределами региона: Выбирается центр обработки данных внутри региона, и запрос пересылается по частному магистральному каналу Cloudflare.

5. Внутрирегиональная обработка. TLS завершается впервые. На этом этапе работают сервисы уровня 7.

6. Подключение к источнику. Обработанный запрос отправляется на ваш сервер-источник.

Как уже отмечалось выше, Cloudflare не расшифровывает запрос за пределами вашего заданного региона. Вместо этого мы пересылаем его в ближайший дата-центр внутри вашего региона, где и происходят расшифровка и работа сервисов уровня 7.

Отказоустойчивость заложена на нескольких уровнях:

• Несколько вариантов: Маршрутизация рассматривает несколько вариантов внутри региона и выбирает доступное направление в реальном времени.

• Маршрутизация с учетом состояния: Неработоспособные или отключенные дата-центры исключаются.

• Контрольные точки качества данных: Актуальные данные для маршрутизации публикуются только при наличии достаточного объема данных мониторинга.

• Принцип "закрываться при сбое": Если допустимого направления внутри региона не существует, соединение разрывается, а обработка не выносится за пределы вашего региона.

Новые управляемые регионы Cloudflare уже доступны клиентам, использующим Regional Services. Если вы хотите их использовать, просто следуйте стандартной процедуре включения через Cloudflare Dashboard или Cloudflare API. Custom Regions — это новая функция, и для них действует другой процесс.

Чтобы гарантировать идеальное соответствие вашим потребностям, первоначальная настройка Custom Regions представляет собой совместный процесс. Чтобы начать, просто свяжитесь с командой по работе с вашим аккаунтом. Они совместно с вами определят ваш регион и развернут его. Хотя сервис пока не является полностью самообслуживаемым, мы постоянно развиваем технологию и пересмотрим этот подход по мере развития функции. Обратите внимание, что могут действовать некоторые технические ограничения, и ваш инженер по решениям — идеальный человек для обсуждения деталей.