theNet by CLOUDFLARE

Cómo abordar los retos de la regulación de datos

Internet frente a la normativa local de los datos

Internet no tiene fronteras y está descentralizada. Permite que la información circule por todo el mundo en cuestión de milisegundos, lo que ha hecho que servicios y modelos de negocio que hace unas décadas habrían sido inimaginables ahora sean habituales.

Pero la realidad legal y normativa a la que se enfrentan las organizaciones relativa a la información y los datos es mucho más complicada. La preocupación por la privacidad de los datos ha impulsado la creación y la aplicación de estrictas normativas sobre privacidad, como el Reglamento General de Protección de Datos (GDPR) y la Ley de Privacidad del Consumidor de California (CCPA). Más de 100 países han aprobado su propia normativa en materia de datos, cada una de las cuales aplica su propio marco sobre la transmisión transfonteriza de datos.

Puesto que Internet, la red interconectada globalmente, no reconoce fronteras nacionales, las normativas en materia de datos destinadas a proteger la privacidad de los consumidores a veces son difíciles de interpretar, cambian constantemente y son difíciles de cumplir. Varían según el país, y a veces según el sector, lo que dificulta a las organizaciones el cumplimiento de los últimos estándares, las certificaciones necesarias y los requisitos de almacenamiento físico de datos.

Muchas organizaciones, atrapadas entre estas dos realidades, se basan en la localización de datos: la práctica de mantener los datos dentro de una región determinada, en lugar de permitir que circulen por todo el mundo o salgan de una determinada región de la nube para su procesamiento y su almacenamiento.

Sin embargo, la localización de datos conlleva sus propios desafíos.


Desafío n.º 1: seleccionar un modelo de infraestructura de localización

Las organizaciones modernas tienen cuatro opciones principales para elegir dónde quieren ejecutar sus aplicaciones:

  1. El centro de datos local

  2. Nube pública

  3. Nube privada

  4. La infraestructura de nube híbrida

El modelo que elijan afectará tanto a cómo escalarán su negocio como a la forma en que podrán implementar la localización de datos.

1. Centro de datos local: el almacenamiento de los datos de los clientes de la región en un centro de datos local hace que la localización sea relativamente sencilla. Mientras que la infraestructura local esté adecuadamente protegida, los datos que contenga seguirán siendo locales.

Sin embargo, para los clientes de fuera de la región, un enfoque local hace prácticamente imposible la localización de los datos. Para dar servicio a estos clientes, sus datos deben llevarse al centro de datos interno, y fuera de la región de origen de los datos.

2. Nube pública: en muchos sentidos, la informática en la nube pública simplifica cómo dar servicio a un público global en comparación con la informática local, ya que las aplicaciones basadas en la nube pueden ejecutarse en servidores de una amplia gama de regiones de todo el mundo. Sin embargo, la informática en la nube también ofrece menos visibilidad sobre dónde se procesan los datos, y esto supone un desafío para las organizaciones que quieren controlar adónde van los datos.

Las organizaciones que utilizan la informática en la nube pública y quieren localizar sus datos deben tener en cuenta dónde se encuentran las regiones de nube de su proveedor de nube pública. Una "región de nube" es la zona donde se encuentran ubicados físicamente los servidores de un proveedor de nube en los centros de datos. La restricción de los datos a una determinada región de nube debería posibilitar la localización. Sin embargo, no todos los proveedores de nube pública contarán con centros de datos en las regiones necesarias, y no todos pueden garantizar que los datos no saldrán de la región.

3. Nube privada: al igual que el modelo de centro de datos local, el modelo de nube privada resuelve parcialmente el problema de la localización de los datos: si la nube se encuentra en la región necesaria, los datos que contiene se localizan de forma natural. Sin embargo, los clientes de fuera de la región de la nube no pueden tener sus datos localizados a menos que se configuren también nubes privadas adicionales en su región. La ejecución de una nube privada en cada región donde residen los clientes de una organización puede resultar cara de mantener. (Las nubes privadas cuestan más que las públicas, ya que el coste de la infraestructura física no corre a cargo de varios clientes de la nube).

4. Infraestructura híbrida: en los modelos híbridos también se plantean desafíos de localización de datos similares a los ya descritos. En un modelo de nube híbrida, las organizaciones suelen tener dificultades para garantizar que los datos vayan al lugar correcto, lo que supone un desafío especialmente cuando se sincronizan datos en varias plataformas de nube y varios tipos de infraestructura diferentes.

Solución al desafío n.º 1: asociarse con una red perimetral global independiente de la infraestructura

El mantenimiento de toda la infraestructura en una sola región inhibe la capacidad de llegar a un público global. Por el contrario, para la mayoría de las organizaciones es insostenible mantener la infraestructura en todo el mundo.

La mejor solución es asociarse con una red perimetral global, ya sea un proveedor de CDN o un proveedor que ofrezca servicios adicionales junto con el almacenamiento en caché de CDN, que es independiente de la infraestructura. Esto permite que los sitios web y las aplicaciones amplíen su alcance a un público global, independientemente de si utilizan una nube híbrida, una nube pública, una nube privada o un modelo local.


Desafío n.º 2: llegar a un público global al mismo tiempo que se localizan los datos

Sin un control granular sobre dónde se procesan los datos, no es posible su localización. Pero sin una presencia no local ampliamente distribuida, no es posible dar servicio a un público global. La localización y la globalización son capacidades opuestas, pero lo ideal es que un socio de localización de datos pueda ofrecer ambas simultáneamente.

Solución al desafío n.º 2: garantizar que la red perimetral global permita un control localizado del flujo de datos.

Para las organizaciones que necesitan localizar los datos, el objetivo final es controlar dónde estos se procesan y almacenan. Las organizaciones deben evaluar a los proveedores de redes perimetrales para asegurarse de que permiten un control localizado de adónde van los datos y cómo se procesan.


Desafío n.º 3: desencriptación localizada

Las organizaciones que recopilan datos de usuarios utilizan la encriptación para proteger esos datos tanto en tránsito como en reposo, de modo que solo las partes autorizadas puedan verlos, procesarlos o modificarlos. Para los datos que atraviesan las redes, el protocolo de encriptación más utilizado actualmente es Transport Layer Security (TLS). TLS se basa en la encriptación asimétrica, que requiere dos claves: una pública y otra privada. Mientras que la clave pública está disponible para todo Internet, la clave privada se mantiene secreta.

El lugar donde se almacena la clave privada determina dónde se desencriptan los datos encriptados, incluidos los datos potencialmente confidenciales. Esto es importante para la localización, porque una vez desencriptados los datos, son visibles para cualquiera que tenga acceso a los datos desencriptados.

Solución al desafío n.º 3: dos funciones esenciales para el desencriptado localizado

El encriptado TLS es lo suficientemente fuerte como para resistir prácticamente cualquier intento de desencriptado. Esto significa que los datos encriptados con TLS pueden atravesar con seguridad zonas fuera de la región localizada, siempre que permanezcan encriptados. Para garantizar que el desencriptado solo tiene lugar en una región designada, las organizaciones necesitan dos funciones esenciales:

  1. Capacidad 1: almacenamiento local de claves TLS. Las organizaciones necesitan poder guardar sus claves privadas en servidores en la región localizada. Esto garantiza que los datos encriptados con TLS solo puedan desencriptarse y visualizarse en esa región. Si una organización utiliza un proveedor externo para TLS, ese proveedor debe ofrecer SSL sin clave para garantizar que la clave no sale de la infraestructura de la organización.

  2. Capacidad 2: redireccionamiento mediante proxy de las conexiones encriptadas. Las organizaciones que quieran implementar la localización de datos deben combinar el almacenamiento localizado de claves privadas con una red global que pueda redireccionar mediante proxy de forma eficaz las conexiones encriptadas de sus clientes a las ubicaciones donde se almacenan las claves privadas y donde la encriptación TLS se puede terminar con seguridad.


Desafío n.º 4: localizar el acceso

Una vez localizados los datos, las organizaciones deben tomar precauciones para garantizar que permanezcan en su región localizada. El control de acceso interno es extremadamente importante para mantener los datos localizados, especialmente para las organizaciones con presencia internacional. Si un empleado de fuera de la región localizada accede a los datos desde dentro de la región, esto significa que todos los esfuerzos realizados para la localización de los datos han sido en vano.

Por desgracia, hoy en día muchas organizaciones cuentan con sistemas de autorización heredados que confían en cualquier persona dentro de la red corporativa, independientemente de su ubicación. Esta configuración, conocida como modelo perimetral, no se adapta fácilmente a un enfoque de localización de datos. Si cualquier persona de la organización puede acceder a los datos, independientemente de su ubicación, la localización de los datos es inútil.

Solución al desafío n.º 4: la ubicación como factor de autorización

Las organizaciones pueden resolver este desafío considerando la ubicación como un factor de autorización para el acceso a los datos.

Esto es más fácil de implementar cuando las organizaciones adoptan un modelo Zero Trust en lugar de un modelo perimetral. En un modelo Zero Trust, por defecto no se confía en ningún usuario o dispositivo, ni siquiera desde dentro de la red corporativa. La solución Zero Trust puede evaluar varios factores antes de conceder el acceso: postura del dispositivo, identidad y privilegios del usuario, ubicación, etc.


Proceso perimetral: una nueva solución de infraestructura para la localización

En el proceso perimetral, las aplicaciones no se ejecutan en unos pocos centros de datos aislados, sino en una red perimetral con muchos puntos de presencia. Esto ofrece la ventaja de que el código se ejecuta en todo el mundo. Por lo tanto, se proporciona un mejor servicio a los usuarios y se procesan los datos lo más cerca posible de esos usuarios. Este aspecto del proceso perimetral hace que la localización sea más factible.

Otra ventaja del proceso perimetral, desde el punto de vista de la localización y el cumplimiento de la normativa, es que se puede ejecutar código diferente en distintas partes del perímetro. Esto permite tanto la localización eficaz de los datos como el cumplimiento de las normativas locales: es posible implementar funciones de aplicación ligeramente diferentes en distintas regiones, según las normativas de esas regiones.


Cloudflare y la privacidad de los datos

La privacidad en Internet es fundamental para la seguridad de nuestra vida personal y profesional, pero Internet no se desarrolló pensando en la privacidad. Como resultado, está muy extendido el temor en torno a cómo las empresas tecnológicas basadas en Internet gestionan los datos y la privacidad.

La misión de Cloudflare de ayudar a mejorar Internet incluye centrarse en solucionar este fallo fundamental del diseño con la creación de productos y tecnologías que mejoren la privacidad.

El conjunto de soluciones de localización de datos de Cloudflare absorbe el tráfico en más de 250 ubicaciones de todo el mundo y, a continuación, reenvía todo el tráfico de los clientes de localización a los centros de datos de la región localizada. El tráfico no se inspecciona ni desencripta hasta que llega a un centro de datos de la región. Con Geo Key Manager, los clientes pueden mantener sus claves TLS en una región determinada. Esto permite a los clientes de Cloudflare combinar las ventajas de confiar en una red global para obtener rendimiento, seguridad y disponibilidad con la necesidad de localización.

Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.


CONCLUSIONES CLAVE

Después de leer este artículo podrás:

  • Las complejidades de la normativa en materia de datos

  • Los 4 desafíos que conlleva la localización de datos

  • Cómo resolver cada uno de estos desafíos

  • Las ventajas que puede ofrecer el proceso perimetral


Recursos relacionados


Más información sobre este tema

Más información sobre cómo Cloudflare mantiene la privacidad de los datos con encriptación y localización.

¿Quieres recibir un resumen mensual de la información más solicitada de Internet?