Geo Key Manager
Geo Key Managerは、プライベートSSL/TLSキーの保存場所に対する強化された制御を提供し、地域のデータ規制およびセキュリティ要件への準拠を確保します。
デフォルトでは、プライベートキーは暗号化され、各データセンターに安全に配布され、そこでローカルSSL/TLSターミネーションに利用されます。Geo Key Managerを使用すると、プライベートキーを保存する場所を選択できます。
Geo Key Managerは、米国、EU、および高セキュリティデータセンターに制限されていましたが、新しいバージョンのGeo Key Managerでは、Closed Beta ↗で利用可能になり、プライベートキーが保存される国のallowlistsとblocklistsを作成できるようになりました。つまり、特定の地理的場所にキーを保存することができ、たとえば、プライベートキーをオーストラリアにのみ保存したり、EUおよびUKにプライベートキーの保存を制限したりすることができます。
以下の図は、プライベートTLSキーなしのCloudflareデータセンターのフローの高レベルの例です。このプロセスでは、データセンターはプライベートTLSキーを保持するCloudflareデータセンターに連絡してTLSターミネーションを実行するために、一時的なセッションキーを要求し、作成する必要があります。
sequenceDiagram
participant User as End user
participant CloudflarePoP as Closest data center without TLS Key
participant CloudflarePoPwTLS as Data center with TLS Key
User->>CloudflarePoP: Initial request
Note right of CloudflarePoP: Closest data center cannot decrypt
CloudflarePoP-->>CloudflarePoPwTLS: Requests TLS Signature
CloudflarePoPwTLS-->>CloudflarePoP: Sends TLS Signature in order to establish Session Key
Note right of CloudflarePoP: Decrypts and performs business logic (for example, WAF, Configuration Rules, Load Balancing)
CloudflarePoP-->>User: Subsequent requests use the Session Key
User-->>CloudflarePoP: Subsequent requests use the Session Key
セットアップおよびサポートされているオプションに関する詳細情報は、Geo Key Manager documentationを参照してください。