Kevin Bogusch | Analista sénior de inteligencia de competencia de Oracle | 22 de enero de 2024
Una definición engañosamente simple de lo que es la salida de datos indica que se trata solo de "datos que salen de una red". Por supuesto, el monitoreo y control de la salida de datos nunca ha sido una cuestión sencilla. Y en nuestro mundo moderno del comercio electrónico, la infraestructura de TI alojada en la nube y la creciente amenaza de ciberataques, los profesionales de TI y los gerentes de negocios necesitan por igual una comprensión pormenorizada de la salida de datos y de los costes y riesgos de seguridad relacionados.
Los costes, por ejemplo, son una preocupación para las empresas con infraestructura de TI en la nube, ya que los proveedores de servicios de nube suelen cobrar por la salida de datos, y esos cargos pueden acumularse. Las inquietudes de seguridad relativas a la salida la de datos, por su parte, se centran en la información valiosa o sensible que puede transmitirse accidentalmente fuera de la red o que puede ser robada deliberadamente por un ciberdelincuente que busca avergonzar a una organización o retener los datos para obtener un rescate.
La dependencia de Internet y de las aplicaciones móviles hacen que la salida de datos y sus riesgos sean una parte de hacer negocios. La supervisión de estos flujos de datos es esencial para limitar las amenazas financieras y de seguridad.
La salida de datos hace referencia a la información que sale de una red a contenedores de almacenamiento en la nube u otras fuentes, ya sea por correo electrónico, interacciones con sitios web o transferencias de archivos. Así es como las organizaciones modernas se comunican entre sí y con los clientes. A medida que las empresas migran a infraestructuras de nube y adoptan aplicaciones de software como servicio (Software as a Service, SaaS), también consumen estos servicios a través de la salida y entrada de datos. De hecho, a menos que una organización opere una red con aislamiento de categoría militar, que no tenga absolutamente ninguna conexión más allá de sus propios límites, la información fluirá constantemente en tráfico entrante y saliente.
Antes de la llegada de la red pública de Internet y del cloud computing a principios de la década de los noventa, las redes corporativas generalmente se cerraban o estaban vinculadas solo a redes que elegía conscientemente una organización. Estos enlaces se hacían a través de líneas de red privadas dedicadas que se adquirían de operadores de telecomunicaciones. En ese momento, los riesgos que planteaba la salida de datos estaban totalmente vinculados a la seguridad, es decir, a la posibilidad de que se filtrase o robase información sensible.
Ahora que la mayoría de las redes corporativas están expuestas a Internet, esos riesgos de seguridad han aumentado exponencialmente. Además, ha surgido un nuevo riesgo relativo a los costes, ya que los proveedores de servicios de nube cobran por la salida de datos, a veces de forma poco intuitiva y sorprendente.
La salida de datos frente a la entrada de datos
El concepto tradicional de salida de datos está estrictamente relacionado con los datos que salen de una red corporativa, mientras que la entrada de datos se suele entender como los datos espontáneos que entran en una red. Cuando se envía información a la red en respuesta a una solicitud interna, los firewalls normalmente la dejan pasar sin obstáculos. Para proteger a la organización, los firewalls generalmente detienen los datos espontáneos, a menos que se hayan establecido reglas específicas en contrario.
La economía de cloud computing complica este sencillo modelo. Los proveedores de servicios de nube cobran tarifas por gigabyte por la salida de datos, pero generalmente permiten la entrada de datos sin coste alguno. Además, los servicios de nube han introducido nuevos conceptos para la salida de datos que, en la práctica, establecen más tipos de límites de red que el perímetro de red corporativo tradicional. Por ejemplo, con Amazon Web Services (AWS), el tráfico en la misma red virtual a menudo se mide y se carga al desplazarse entre las zonas de disponibilidad. Las zonas de disponibilidad hacen referencia a centros de datos en la nube que pueden estar en la misma región geográfica, pero que, por ejemplo, tienen diferentes operadores de red y proveedores de energía, por lo que es muy poco probable que fallen al mismo tiempo. Al distribuir recursos en varias zonas de disponibilidad, los proveedores de servicios de nube pueden minimizar el impacto de los fallos de hardware, los desastres naturales y las interrupciones de red en sus servicios. Sin embargo, aunque las zonas de disponibilidad son en última instancia positivas, las tarifas de salida derivadas pueden generar unos costes significativos e imprevistos, especialmente cuando una empresa migra por primera vez a la nube.
En cuanto a la supervisión y la seguridad, es importante perfilar tanto la entrada como la salida de datos. Si bien los firewalls suelen bloquear el tráfico de entrada desconocido, la creación de perfiles de tráfico puede proporcionar información útil sobre amenazas para los equipos de seguridad. Dada la naturaleza y la prevalencia de los firewalls, es habitual supervisar la entrada de datos. Sin embargo, son muchas menos las organizaciones que supervisan la salida de datos con la misma atención. El firewall y la limitación del tráfico de salida a objetivos conocidos pueden mermar el impacto de los ataques y proporcionar protección contra el malware.
Conclusiones clave
La salida de datos es una constante que debe gestionarse cuidadosamente en términos de seguridad y coste. Por ejemplo, si una empresa comparte su catálogo de productos en un sitio web de cara al cliente, los datos tienen que salir de la red interna donde se aloja el catálogo y recorrer Internet para llegar al navegador donde el cliente está viendo el sitio. Tanto si una empresa comparte datos con las filiales o socios como si interactúa con los clientes a través de Internet, siempre habrá algún volumen de datos que salga de la red de la empresa.
Para las empresas que han trasladado una parte o la totalidad de sus infraestructuras de TI a la nube, cualquier movimiento de datos puede generar costes de salida de datos en la nube que dependerán de su proveedor y del diseño de sus aplicaciones.
Más allá del gasto, la salida de datos también plantea el riesgo de divulgar datos sensibles a destinatarios no autorizados o no deseados. Las organizaciones deben supervisar las actividades maliciosas de los ciberdelincuentes externos al tiempo que vigilan los ataques internos, como la exfiltración de datos por parte de los agentes internos. La protección de una organización contra estos ataques requiere adoptar un enfoque integral que incluya un diseño de red sólido, supervisión continua y arquitecturas de aplicaciones de nube correctamente configuradas. Normalmente, las organizaciones limitarán la salida de datos mediante firewalls y supervisarán el tráfico saliente para detectar anomalías o actividades maliciosas. Los grupos de seguridad de TI también pueden tomar medidas para restringir las transferencias de datos de gran volumen y bloquear ciertos destinos de salida específicos.
Para lograr una supervisión efectiva es necesario comprender en profundidad los patrones de tráfico normales y cómo difieren durante un ataque o un incidente de exfiltración de datos. También puede suponer un verdadero desafío para las organizaciones de TI. La forma más habitual de supervisar el tráfico de salida de datos es revisar y analizar los archivos de registro de los dispositivos de red en el perímetro de las redes locales o en la nube. Sin embargo, el gran volumen de tráfico de esos dispositivos hace que esta resulte una tarea ardua para los administradores. Muchas empresas utilizan herramientas de gestión de eventos e información de seguridad (SIEM) para comprender mejor las amenazas. Las herramientas SIEM suelen incluir información sobre los patrones de amenazas conocidos, el cumplimiento normativo y las actualizaciones automatizadas para adaptarse a las nuevas amenazas. Si bien la implementación de sistemas SIEM no es un proceso sencillo, hacerlo puede ayudar a una organización a comprender mejor los patrones de salida de datos, lo que permite a los equipos de seguridad identificar los ataques mucho antes.
Por ejemplo, un aumento repentino en la salida de datos podría indicar un ataque de exfiltración de datos, donde un ciberdelincuente exporta grandes cantidades de datos a un host o servicio externo. Del mismo modo, la supervisión y el control cuidadosos de los patrones de salida de datos pueden ayudar a identificar malware que ya está presente dentro de una red corporativa, ya que trata de recabar más instrucciones de su red de comandos y controles. Muchos ataques de ransomware modernos intentan exfiltrar grandes volúmenes de datos para extorsionar fondos de una organización antes de cifrar esos datos. Herramientas como DLP, sistemas de análisis de tráfico de red, como rastreadores de paquetes y análisis del comportamiento del usuario para detectar patrones anormales, pueden ayudar al departamento de TI a detectar la exfiltración. El filtrado de salida, donde el departamento de TI supervisa el tráfico saliente y bloquea el tráfico que se considera malicioso, también ayuda a mitigar estos riesgos.
Más allá de los firewalls, las organizaciones también utilizan el software DLP para protegerse contra la exfiltración de datos. Estas herramientas emplean técnicas como la categorización y el etiquetado de datos con etiquetas de sensibilidad, cifrado y auditoría para evitar que los datos sensibles salgan de la red.
Además de aumentar los costes de la nube, la salida sustancial de datos puede indicar varios tipos de amenazas, incluido un ataque de exfiltración de datos por parte de un ciberdelincuente o malware que se desplaza lateralmente dentro de una red corporativa a través de comunicaciones de subred.
Las organizaciones pueden mitigar los riesgos de seguridad relacionados con la salida de datos de varias maneras; por ejemplo, con la realineación de los servicios en la nube para limitar el tráfico saliente. Muchas organizaciones utilizan las siguientes siete mejores prácticas para controlar y gestionar mejor los riesgos de seguridad de salida de datos:
Tenga en cuenta que estas prácticas no son soluciones puntuales independientes, sino que dependen unas de otras. Por ejemplo, en el elemento de categorización de datos de DLP y en la creación de una política de salida se indicarían tanto las configuraciones de firewall como la configuración de control de acceso.
Los cargos por la salida de datos pueden dar algunas sorpresas que salgan caras al principio del proceso de migración a la nube de una organización, por lo que es importante supervisar los costes diarios de salida de datos en la nube para garantizar que estén dentro del presupuesto e investigar si no lo están. Todos los proveedores de nube pública admiten alertas vinculadas al gasto, por lo que los costes de salida de datos se pueden supervisar de la misma manera que el uso de CPU de una máquina virtual. Sin embargo, la supervisión es solo el primer paso para reducir el coste de la salida de datos en la nube. Estos son algunos consejos para reducir los costes de salida en las aplicaciones de nube.
Si bien estos cambios pueden requerir una inversión única significativa para su implementación, en última instancia, pueden reducir las facturas de nube recurrentes, lo que facilita un alto retorno del coste inicial y mejora la gestión de costes de nube. Si las tarifas de salida de datos representan una gran parte de los costes de la nube de su organización, priorizar estos cambios, en lugar de otros proyectos de ingeniería, podría aportar una ganancia neta.
Los distintos proveedores de nube cobran diferentes cantidades por la salida de datos. Incluso con un único proveedor de nube, los modelos de precios de salida de datos pueden variar entre servicios individuales. La reducción de la complejidad y el coste general de la salida de datos se encontraban entre los principales aspectos que Oracle tuvo en cuenta a la hora de crear Oracle Cloud Infrastructure (OCI). Siguiendo estos principios desde un primer momento, Oracle ha podido ofrecer precios globales para varios servicios de nube y costes de salida de datos mucho más bajos que otros proveedores, incluidos Amazon Web Services (AWS) y Google Cloud.
Las tasas de salida de datos más bajas de OCI permiten a las empresas mover volúmenes significativos de datos entre regiones de nube, ya sea internamente o a sus clientes. Por ejemplo, los clientes de OCI en Norteamérica y Europa pagarían 783 USD por 100 terabytes (TB) de datos salientes a ubicaciones en la red pública de Internet, en comparación con alrededor de 8000 USD de los usuarios de AWS y Google Cloud. Los clientes que compran una línea privada dedicada de 10 gigabits por segundo de OCI FastConnect pagan una tarifa plana de 918 USD al mes por una salida de datos ilimitada; suponiendo una utilización del 50 % de esa línea (1620 TB transferidos), el coste equivalente en una línea privada de AWS Direct Connect sería de 34 020 USD.
Los precios de salida de datos de OCI son un gran diferenciador para las organizaciones que crean servicios de nube que requieren grandes cantidades de ancho de banda. Entre las aplicaciones a gran escala que aprovechan estas tarifas se incluyen la transmisión de video en directo, las videoconferencia y los juegos.
Para evaluar cuál sería el coste de la salida de datos de tu organización y otros costes de nube como cliente de Oracle Cloud, utiliza el estimador de costes de OCI.
La salida de datos sin restricciones puede suponer un riesgo financiero y de seguridad para las organizaciones. El despliegue en la nube de una aplicación nativa que no ha sido creada para la nube o que está mal diseñada puede generar costes de salida de datos incontrolados y una seguridad inadecuada que expone a las organizaciones al riesgo de exfiltración de datos y ataques de ransomware.
Por tanto, es importante restringir, fortalecer y monitorear el tráfico saliente de una red empresarial. En resumen, las organizaciones deben controlar dónde pueden viajar sus datos y buscar los patrones anómalos. Las mejores prácticas para las organizaciones de seguridad de red incluyen la implementación de un buen plan de respuesta a incidentes y el empleo de tecnologías SIEM y DLP. Además, elegir el proveedor de nube adecuado para sus requisitos y diseñar o rediseñar las aplicaciones teniendo en cuenta los costes de salida de datos puede contribuir significativamente al ROI de la nube de una organización.
La IA puede ayudar a los CIO a analizar datos para optimizar el gasto de nube y sugerir ajustes de código que permitan diseñar y minimizar la salida. Descubre ahora cómo aprovechar el poder de la inteligencia artificial para abordar el talento, la seguridad y otros desafíos.
¿Cuál es el coste de salida de datos?
Además del coste de los recursos informáticos y de almacenamiento, los proveedores de servicios de nube también miden y facturan la salida de datos. Aunque estos costes pueden variar según el proveedor de nube, normalmente se cobran por cada gigabyte de los datos que viajan entre las regiones de nube, las zonas de disponibilidad o a Internet y las redes locales. Las tarifas de salida de datos también pueden variar en función de la ubicación de destino y el proveedor de nube. Se pueden reducir mediante la compresión de datos, el aprovechamiento de las redes de entrega de contenido y la ubicación de los datos para limitar el tráfico entre regiones.
¿Qué significa "salida" en cloud computing?
La salida se define como los datos que van de una red a otra, pero el término adquiere mayor complejidad en la cloud computing. Con las máquinas virtuales y las redes, se denomina salida de datos al tráfico de red estándar entre regiones de la nube o zonas de disponibilidad. Además, los datos que viajan de la nube a las redes locales o a Internet también se miden como salida de datos.