Cloudflare的客户认识到，他们需要保护与web访问者通信的机密性和完整性。对于这个问题，广泛接受的解决方案是使用SSL/TLS协议建立加密的HTTPS会话，然后通过该会话发送安全请求。窃听受到保护，因为只有那些有权访问"私钥"的人才能合法地向浏览器表明身份并解密加密的请求。今天，超过一半的网络流量使用HTTPS，但情况并非总是如此。在SSL的早期，协议被认为是缓慢的，因为每个加密的请求需要在用户的浏览器和web服务器之间往返两次。像Cloudflare这样的公司通过将web服务器靠近最终用户并利用会话恢复来消除除了第一个请求以外的所有请求的往返。扩张的足迹符合地缘政治的担忧随着互联网在全球范围内的普及，公司越来越多地为全球和远程用户提供服务，像Cloudflare这样的提供商不得不继续扩大他们的物理覆盖范围，以满足需求。截至本博客发表之日，Cloudflare在超过55个国家/地区拥有数据中心，我们将继续加快全球网络的建设。尽管这种扩展使我们客户的网站更快、更好地抵御DDoS攻击，无论访客（或攻击者）从何处连接，它都带来了一些相关的安全挑战。首先，随着我们在世界上越来越多的国家安装设备（和SSL私钥），地方政府很可能对隐私和加密通信的神圣性持有不同且经常不断变化的观点。过去，有报告说，某些国家的政府试图强迫各组织将关键材料交给它们。（明确地说，我们的透明度报告中记录的Cloudflare从未将我们的SSL密钥或客户的SSL密钥交给任何人。）即使地方政府值得信任，组织也可能对安全或遵守某些监管框架的授权持有强烈的地缘政治观点。或者他们可能会明白，世界上只有这么多数据中心能够满足我们最严格的物理安全要求和控制。随着Cloudflare网络的发展，我们不可避免地会耗尽这些设施。我们认识到，我们的客户可能希望根据对物理控制的评估来控制其私钥材料的分发。私钥限制以匹配您的安全姿势随着Cloudflare为更大、更跨国和地理分布更广的客户提供服务，我们听到的按物理位置限制私钥分发的请求频率有所增加。我们仔细听取了这些请求，今天我们很高兴介绍一个新功能，将这种基于地理位置的控制权交给您。我们称之为地理密钥管理器。上传新的自定义证书后，您现在可以指示我们的数据中心的哪一个子集应该对您的私钥具有本地访问权限，以便建立HTTPS会话。您告诉我们不允许持有您的密钥的数据中心的连接仍将完全加密并通过HTTPS访问，使用相同的加密算法，但将使用我们的无密钥SSL技术，而不是本地访问密钥。可供使用的初始选项当我们考虑在上图的下拉框中包括哪些选项时，我们联系了人权和公民自由组织、主要金融和银行机构以及其他高度重视安全的团体。这些讨论产生了您今天看到的选项，在接下来的几周里，我们将进行更多的对话。我们在这些会谈中的目标是确定哪些其他名称对我们的客户有意义，这样我们就可以提供容易使用的默认值。到处都是默认情况下，我们不会应用任何限制；将您的密钥安全地存储在我们所有的数据中心中，我们可以为您在全球各地的访问者优化性能。U、 仅限美国或欧盟我们从客户那里听到的一个共同主题是，出于类似的原因，我们希望将私人SSL密钥的分发限制为仅限于美国政府机构或专门为美国客户服务的企业所要求的美国，或仅限于欧盟。在下拉列表中选择其中一个选项将确保您的密钥不会离开此地缘政治名称。截至撰写本文时，Cloudflare在美国25个城市拥有31个数据中心，在21个欧盟国家拥有30个数据中心。安全性最高的数据中心Cloudflare有一个安全要求清单，我们在将设备定位到某处之前需要这些要求。每次安装时，我们都确保我们的部署符合国际公认的安全标准，包括PCI DSS 3.2和SSAE-18 SOC 2。我们的内部安全人员每季度以及每年由独立的第三方审计师对该安全审查进行重新评估。作为评估的一部分，我们将数据中心分为安全层，利用这些知识帮助制定部署和运营决策及战略。基线要求至少，我们所有的数据中心都提供以下物理控制：外部和内部安全数据中心必须具有物理安全性，外围控制应满足行业公认的最低要求（例如，上锁的门、高墙、防人装置、报警系统等）。限制设施进入访问权限仅限于Cloudflare员工和指定授权个人。每个访问请求都必须经过授权，并且请求者的访问必须使用政府颁发的ID进行确认。所有的访问请求都会被记录下来，并定期检查这些日志。任何试图实际访问、修改或移除我们设备的行为都会对安全和操作团队产生警报。全天候现场安保保安人员每周7天，每天24小时都在现场。中国中央电视台设施由闭路电视摄像机监控。安全服务器机柜对Cloudflare服务器机柜的访问通过物理安全锁和其他机制进行控制。所有系统上的物理篡改检测。机柜内部署的所有硬件都配备了物理篡改检测系统，这些系统已启用并配置为报告任何篡改尝试。附加的"高安全性"要求虽然我们确保每个Cloudflare数据中心都符合最低行业安全标准，但我们的顶级数据中心的标准要高得多。这些都有基本的安全要求以及：预先安排、生物特征控制的设施访问允许访问该设施的Cloudflare员工必须事先安排好访问，然后才能授予访问权限。通过使用生物识别手持读卡器和指定的访问代码来控制对设施入口的访问。带生物识别读卡器的私人笼子所有设备都放在私人笼子里，通过生物特征控制物理访问，并记录在审计日志中。参赛者必须通过5个独立的读卡器才能进入笼子。外部安全控制和监控所有入口/出口点都由入侵检测系统（IDS）监控，授权用户和访问事件存档以备历史审查。内部安全控制和监控入口/出口的内部点由门禁子系统控制，入口通过捕捉区。所有区域都用闭路电视监控和记录，数据至少保存30天。外墙是气密的，可能包括额外的安全措施，如钢筋混凝土、Kevlar防弹板、蒸汽屏障或防弹前门。我们指定符合上述"最高安全性"数据中心的设施。怎么了？如前所述，在协商会话的对称加密密钥时，向不持有私钥的数据中心发出的第一个HTTPS请求需要一些开销。我们所说的"开销"是指当联系远程设备以帮助建立安全通道时，会引入一点网络延迟。这个密钥持有的数据中心距离正在建立HTTPS请求的地方越远（物理上），等待的时间就越长。例如，第一次向莫斯科请求一个只有在我们"最高安全"设施中的钥匙保护的资源，往返斯德哥尔摩需要额外的三分之一秒（30毫秒）。或者是从莫斯科到法兰克福再回来的四分之一秒（40毫秒）。这需要一个额外的cloudhop请求，以获得一个额外的cloudhop请求。然而，由于SSL/TLS会话恢复，初始请求之后的所有后续请求都将与密钥在本地一样快。此页由地理密钥管理器提供给您为了证明性能影响最小，我们设置blog.cloudflare.com只使用我们最安全的数据中心。如果你在博客上点击一下，你会发现，虽然页面是加密的，但在浏览时没有明显的延迟。根据博客流量的地理分布，我们估计平均每个用户的第一次请求延迟平均增加约65ms。在那之后，后续的请求将像密钥分发到我们所有的数据中心一样快。期待产品提供明智的，我们计划扩展Geo-Key-Manager来使用专用证书。一旦这是可用的，我们将在博客或知识库文章中交流新闻。此外，我们计划很快允许企业用户指定一个精确的列表，列出他们希望或不希望在哪些数据中心保存密钥；例如，对特定国家或地区有顾虑的客户可以使用此功能获得罚款