Log ind Kom i gang
Tilbage til bloggen

Hvor dine data faktisk ligger

af Kaligon Team 3 min læsning

“Den ligger i EU-regionen” og “den bliver i EU” er to forskellige sætninger. Din udbyders marketing behandler dem som synonymer. Din revisor gør ikke. Og det bør du heller ikke.

En region er et placeringshint for din primære kopi af dataene. Det er det hele. Den fortæller dig, hvor din VM booter, og hvor din block volume ligger. Den siger intet om, hvor dine backups ender, hvilket kontinent dashboardet kører fra, eller hvor support-ingeniøren sidder, når vedkommende åbner en session ind i din konto. At vælge eu-west fra en dropdown er begyndelsen på samtalen, ikke slutningen.

Opbevaring, suverænitet og GDPR-minimumet

De her tre begreber bliver smurt sammen, så lad os skille dem ad.

Opbevaring (residency) er fysisk: hvilket datacenter der holder de bytes, der ligger i hvile. Det er den nemme del, og den del de fleste udbydere faktisk overholder.

Suverænitet er juridisk: hvis love kan nå dataene og de mennesker, der driver dem. En udbyder med hovedkvarter i USA kan blive tvunget til at udlevere data, der ligger i Amsterdam. Disken forlod aldrig Holland; jurisdiktionen fulgte moderselskabet hjem. Opbevaring uden suverænitet er en beroligende halv løsning.

GDPR’s regler om overførsler er den bindende del for europæiske data. At flytte personoplysninger ud af EØS kræver et lovligt grundlag: en tilstrækkelighedsafgørelse, standardkontraktbestemmelser, de rigtige garantier. “Vi replikerer backups til us-east for holdbarhedens skyld” er en overførsel på tværs af grænser, selv hvis ingen besluttede det med vilje. Replikeringsjobbet læser ikke kontrakten.

De luskede lækagepunkter

Dataplanet er sjældent der, hvor tingene går galt. Lækagerne sidder i de rør, ingen tager screenshots af.

  • Control planes. Dine VM’er kører i eu-west, men panelet, API’et og orkestreringshjernen kører ofte fra én hjemmeregion. Hvert API-kald, hver metric, hver konfigurationsændring kan blive dirigeret derigennem. Workloaden er lokal; metadataene om din workload er på et fly.
  • Backups og snapshots. Holdbarhedsfunktioner elsker at kopiere på tværs af regioner for en sikkerheds skyld. Fornuftig ingeniørkunst, frygtelig compliance-overraskelse. Tjek altid, hvor den anden kopi ligger.
  • Support-adgang. Når du åbner en ticket og giver adgang, hvor sidder den ingeniør så? Under hvis jurisdiktion? Et offshore support-niveau kan være en overførsel, der aldrig dukker op i dit arkitekturdiagram.
  • Logs og telemetri. Centraliseret logning er den klassiske utilsigtede exfiltreringskanal. IP-adresser, bruger-ID’er, request-bodies — alt sammen personoplysninger, alt sammen stille sendt afsted til, hvor logclusteret nu tilfældigvis ligger.

Stil din udbyder disse fire spørgsmål skriftligt. Pauserne fortæller dig mere end svarene.

Sådan håndterer Kaligon Cloud det

Vi har designet rundt om disse lækagepunkter i stedet for at lappe over dem bagefter.

Dine data bliver i den region, du vælger. Ikke den primære kopi med stjerner ved — dataene. Block volumes replikeres in-region, snapshots bliver in-region, og der er intet overraskende holdbarhedsjob på tværs af regioner, der sender en kopi et eller andet sted hen “for en sikkerheds skyld”. Ingen egress-gebyrer mellem ressourcer i samme region betyder, at du heller aldrig bliver økonomisk skubbet til at sprede data ud. Den 90-dages audit-log giver dig hvem-gjorde-hvad, in-region, så du kan bevise det i stedet for bare at love det.

GDPR er gulvet, ikke loftet. Vi behandler det som minimumsgrænsen, ikke som marketing-mærkaten. Og supporten taler det sprog, du opretter din ticket på — håndteret af mennesker i jurisdiktioner, der matcher løftet, ikke et offshore-niveau, der stille bliver til en overførsel.

Region bør være en beslutning, du træffer med vilje, med hele billedet synligt — backups, control plane, support, det hele. Vælg en region på prissiden, og det du vælger, er det du får. Ingen små bogstaver, intet andet kontinent du finder ud af under en revision.