קווין בוגוש | אנליסט מודיעין תחרותי בכיר ב-Oracle | 22 בינואר 2024
ההגדרה הפשוטה והמטעה של תעבורת נתונים יוצאת היא "נתונים שיוצאים מרשת". כמובן שניטור ובקרה של תעבורת נתונים יוצאת מעולם לא היה עניין פשוט. ובעולם המודרני שלנו של מסחר אלקטרוני, תשתית IT באירוח ענן, והאיום ההולך וגדל של התקפות סייבר - אנשי IT וגם מנהלי העסקים חייבים להבין את הניואנסים של תעבורת הנתונים היוצאת ואת העלויות וסיכוני אבטחה הקשורים בה.
העלויות, למשל, הן מקור לדאגה בחברות שתשתית ה-IT שלהן ממוקמת בענן, כיוון שספקי ענן בדרך כלל מחייבים עבור תעבורת נתונים יוצאת וחיובים אלה עשויים להצטבר. במקביל, נושאי האבטחה של תעבורת נתונים יוצאת מתמקדים במידע רב ערך או רגיש שעשוי לדלוף בטעות אל מחוץ לרשת; איום אפשרי נוסף הוא שחקן איום שעשוי לגנוב את המידע עכדי להביך את הארגון או כדי לדרוש כופר עבורו.
הסתמכות על האינטרנט ועל האפליקציות לנייד פירושה שתעבורת הנתונים היוצאת והסיכונים הטמונים בה הם פשוט חלק מעולם העסקים. ניטור זרימות נתונים אלה הוא חיוני בהגבלת האיומים הכספיים ואיומי האבטחה.
תעבורת נתונים יוצאת היא המידע שזורם החוצה מרשת—בין אם באמצעות דואר אלקטרוני, אינטראקציות עם אתרי אינטרנט או העברת קבצים — למיכלי אחסון בענן או למקורות אחרים. כך ארגונים מודרניים מתקשרים אחד עם השני ועם לקוחות. כאשר עסקים עוברים לתשתיות ענן ומאמצים יישומים של תוכנה כשירות (SaaS), הם צורכים את השירותים האלו באמצעות תעבורת נתונים יוצאת וגם באמצעות תעבורת נתונים נכנסת. למעשה, אם ארגון לא מפעיל רשת בדירוג צבאי עם מרווחי אוויר שאין לה כל קשר מעבר לגבולותיו שלה - המידע יזרום כל הזמן פנימה והחוצה.
לפני הגעת האינטרנט הציבורי ומחשוב הענן' בתחילת שנות ה-90, רשתות ארגוניות היו סגורות או מקושרות רק לרשתות שנבחרו במודע על ידי הארגון, ברוב המקרים. קישורים כאלה נעשו באמצעות קווי רשת פרטיים ייעודיים שנרכשו מספקי תקשורת. הסיכונים שהציבה תעבורת הנתונים היוצאת בזמנו היו קשורים לאבטחה בלבד, כלומר, לאפשרות שמידע רגיש ידלוף או ייגנב.
כיום, כאשר רוב הרשתות הארגוניות חשופות לאינטרנט, מספר סיכוני האבטחה האלו גדל בקצב מסחרר. בנוסף, התעורר סיכון חדש של עלויות כיוון שספקי שירותי הענן גובים תשלום עבור תעבורת הנתונים היוצאת, לפעמים בדרכים מפתיעות ומנוגדות לאינטואיציה.
תעבורת נתונים יוצאת לעומת תעבורת נתונים נכנסת
המושג המקובלי של תעבורת נתונים יוצאת התייחס אך ורק לנתונים שיוצאים מרשת ארגונית, בעוד שהמושג תעבורת נתונים נכנסת התייחס בדרך כלל לנתונים לא קרואים שנכנסים לרשת. כאשר מידע נשלח לרשת בתגובה לבקשה פנימית, חומות האש מאפשרות לו להיכנס ללא הפרעה, בדרך כלל. כדי להגן על הארגון, חומות האש בדרך כלל עוצרות נתונים לא קרואים אלא אם נקבעו כללים ספציפיים מנוגדים.
הכלכלה של מחשוב ענן הפכה את המודל הפשוט הזה למורכב יותר. ספקי שירותי ענן גובים תשלום על כל ג'יגהבייט של תעבורת נתונים יוצאת, אבלבדרך כלל מאפשרים תעבורת נתונים נכנסת ללא עלות. בנוסף, שירותי הענן הוסיפו מושגים חדשים לתעבורת נתונים יוצאת, מה שבפועל גרם ליצירת סוגים נוספים של גבולות רשת מעבר להיקף הרשת הארגונית המסורתית. לדוגמה, Amazon Web Services (AWS), לעתים קרובות מודד וגובה תשלום על התעבורה באותה הרשת הווירטואלית עבור מעבר בין אזורי זמינות. אזורי זמינות מתייחסים למרכזי נתונים בענן שעשויים להיות באותו אזור גיאוגרפי אך יש להם, למשל, ספקי רשת וספקי חשמל שונים כדי למזער את הסיכוי של כשל באותו הזמן. על-ידי חלוקת משאבים בין אזורי זמינות מרובים, ספקי ענן יכולים למזער את ההשפעה של כשלי חומרה, אסונות טבע ונפילות רשת על השירותים שלהם. אך למרות שאזורי הזמינות הם פתרון חיובי, התשלום על התעבורה היוצאת הקשורה להם עשוי להיות נטל כספי משמעותי בלתי צפוי, במיוחד במעבר הראשוני של העסק לענן.
בכל הנוגע לניטור ואבטחה, חשוב ליצור פרופילים לתעבורת הנתונים הנכנסת וגם לתעבורת הנתונים היוצאת. בעוד שתעבורה נכנסת לא מוכרת נחסמת בדרך כלל על ידי חומות האש, יצירת פרופיל עבורה עשוי לספק לצוותי האבטחה מידע על איומים. בשל האופי והשכיחות של חומות אש, ניטור התעבורה הנכנסת הוא נפוץ. עם זאת, הרבה פחות ארגונים מנטרים את תעבורת הנתונים היוצאת בקפידה. השימוש בחומות אש ובהגבלת התעבורה היוצאת ליעדים ידועים עשויים להגביל את ההשפעה של התקפות ולספק הגנה מפני תוכנות זדוניות.
תובנות מרכזיות
תעבורת נתונים יוצאת היא קבוע שאותו יש לנהל בזהירות במונחים של אבטחה ועלות. לדוגמה, אם עסק משתף את קטלוג המוצרים שלו באתר אינטרנט מוכוון-לקוח, הנתונים צריכים לצאת מהרשת הפנימית שבה הקטלוג מתוחזק ולעבור דרך האינטרנט כדי להגיע לדפדפן שבו הלקוח צופה באתר. בין אם עסק משתף נתונים עם חברות בנות או שותפים, או יוצר אינטראקציה עם לקוחות באמצעות האינטרנט, תמיד יהיה נפח מסוים של נתונים שייצא מרשת החברה.
לארגונים שהעבירו חלק מתשתיות ה-IT שלהם או את כולן לענן, כל תנועת נתונים עלולה לגרור איתה עלויות על תעבורת נתונים יוצאת בענן, בהתאם לספק שלהם ולמבנה היישומים שלהם.
מעבר להוצאות, תעבורת הנתונים היוצאת מהווה גם סיכון לחשיפת נתונים רגישים לנמענים לא מורשים או לא מיועדים. ארגונים חייבים לנטר איומים מצד שחקני איום חיצוניים תוך מתן תשומת לב לאפשרות של התקפות פנימיות כגון דליפת נתונים על ידי גורמים פנימיים. הגנה על ארגון מפני התקפות אלה דורשת גישה מקיפה שכוללת עיצוב רשת יציבה, ניטור מתמשך, והגדרת תצורה נכונה של ארכיטקטורות יישומי ענן. בדרך כלל, ארגונים יגבילו את תעבורת הנתונים היוצאת באמצעות חומות אש, וינטרו את התעבורה היוצאת כדי לזהות חריגות או איומים. קבוצות אבטחת IT עשויות גם לנקוט צעדים להגבלת העברות נתונים בנפח גבוה ולחסום יעדים יוצאים ספציפיים.
ניטור יעיל דורש הבנה מעמיקה של תבניות תעבורה רגילות וושל האופן שבו הן משתנות במהלך התקפה או תקרית של דליפת נתונים. הניטור עשוי גם להציב אתגר אמיתי לארגוני IT. הדרך הנפוצה ביותר לניטור תעבורת נתונים יוצאת היא בדיקה וניתוח של קובצי יומן מהתקני הרשת בקצה הענן או ברשתות מקומיות. עם זאת, הנפח המוחלט של התעבורה מהתקנים אלה הופך את המשימה הזו למייגעת עבור מנהלי מערכת. חברות רבות משתמשות בכלים של ניהול אבטחת מידע ואירועים (SIEM) כדי להבין את האיומים טוב יותר. כלי ה-SIEM בדרך כלל כוללים בינה לגבי תבניות איום מוכרות, ציות לתקנות ועדכונים אוטומטיים לצורך הסתגלות לאיומים חדשים. יישום מערכות SIEM אינו תהליך פשוט, אך הוא עשוי לשפר את ההבנה של ארגון לגבי תבניות תעבורת נתונים יוצאת, ובכך לאפשר לצוותי האבטחה לזהות התקפות מוקדם יותר.
לדוגמה, זינוק פתאומי בתעבורת נתונים יוצאת עשוי להצביע על התקפה של דליפת נתונים, שבה שחקן איום מייצא כמויות גדולות של נתונים למארח או לשירות חיצוניים. באותו האופן, ניטור ובקרה קפדניים של תבניות תעבורת נתונים יוצאת עשויים לסייע בזיהוי תוכנה זדונית שכבר נמצאת ברשת של הארגון ומנסה לחפש הנחיות נוספות מרשת השליטה ובקרה שלה. התקפות כופר מודרניות רבות מנסות להדליף נפחים גדולים של נתונים כדי לסחוט כספים מהארגון לפני הצפנת הנתונים. כלים הכוללים DLP, מערכות ניתוח תעבורת רשת כגון רחרחנים (packet sniffers) וניתוחי התנהגות המשתמשים לזיהוי תבניות חריגות עשויים לסייע לאנשי ה-IT לזהות דליפת נתונים. סינון תעבורה יוצאת, שבה צוות ה-IT מנטר תעבורה יוצאת וחוסם תעבורה שנחשבת לאיום פוטנציאלי, מסייע בהפחתת סיכונים אלה גם כן.
מעבר לחומות האש, ארגונים משתמשים גם בתוכנת DLP כדי להתגונן מפני דליפת נתונים. כלים אלו עושים שימוש בטכניקות כמו קטלוג ותיוג נתונים בתוויות רגישות, הצפנה ועריכת ביקורת כדי למנוע מנתונים רגישים לצאת מהרשת.
מלבד ייקור עלויות הענן, תעבורת נתונים יוצאת עשויה להצביע על מספר סוגים של איומים, כולל התקפה של דליפת נתונים על ידי שחקן איום, או חדירה צדדית של תוכנה זדונית בתוך רשת ארגונית באמצעות תקשורת של רשת משנה.
ארגונים יכולים להקטין את סיכוני האבטחה של תעבורת נתונים יוצאת במספר דרכים, כמו ארגון מחדש של שירותי ענן להגבלת תעבורה יוצאת. שבע שיטות העבודה המומלצות הבאות משמשות לארגונים רבים לשלוט ולנהל טוב יותר את סיכוני האבטחה בתעבורה יוצאת:
יש לזכור ששיטות אלו אינן פתרונות נפרדים חד-פעמיים, אלא שהן תלויות זו בזו. לדוגמה, רכיב סיווג הנתונים של DLP יחד עם יצירת מדיניות של תעבורה יוצאת, שולחים מידע לתצורות חומת האש ולהגדרות בקרת הגישה.
חיובי תעבורת נתונים יוצאת עשויים לספק לארגון עלויות מפתיעות בשלב מוקדם של תהליך המעבר לענן; על כן חשוב לנטר באופן יומיומי את עלויות התעבורה היוצאת בענן על מנת לוודא שהן לא חורגות מהתקציב, ואם כן - לחקור אותן. כל ספקי הענן הציבורי תומכים בהתראות הקשורות להוצאות, כדי שניתן יהיה לנטר את עלויות התעבורה היוצאת בדיוק כמו ניטור ניצול ה-CPU של מחשב וירטואלי. עם זאת, ניטור הוא רק השלב הראשון בהפחתת העלות של תעבורה יוצאת בענן. להלן מספר עצות להורדת עלויות התעבורה היוצאת ביישומי ענן.
אמנם יישום שינויים אלו עשוי לדרוש השקעה חד פעמית משמעותית, אך בסופו של דבר הם יכולים להפחית את חשבונות הענן החוזרים, להגדיל את התשואה על העלות הראשונית ולשפר את ניהול עלויות הענן. אם התשלום על תעבורת הנתונים היוצאת מהווה נתח גדול מעלויות הענן של הארגון שלכם, מתן עדיפות לשינויים הנ"ל על פני פרויקטים הנדסיים אחרים עשוי להוביל לרווח נקי.
ספקי ענן שונים גובים סכומים שונים על תעבורת נתונים יוצאת. אפילו אצל ספק ענן יחיד, מודלים של תמחור תעבורת נתונים יוצאת עשויים להשתנות משירות אחד לשני. הפחתת המורכבות והעלות הכוללת של תעבורת נתונים יוצאת היו בין השיקולים העיקריים של Oracle בעת בניית Oracle Cloud Infrastructure (OCI). כיוון ש-Oracle דבקה בעקרונות אלה מההתחלה, היא הצליחה להציע תמחור גלובלי למספר שירותי ענן ולהפחית בהרבה את עלויות תעבורת הנתונים היוצאת ביחס לספקים אחרים, כולל Amazon Web Services (AWS) ו-Google Cloud.
הורדת תעריפי תעבורת הנתונים היוצאת של OCI מאפשרת לארגונים להעביר נפחים משמעותיים של נתונים בין אזורי ענן, באופן פנימי או ללקוחות שלהם. לדוגמה, לקוחות OCI בצפון אמריקה ובאירופה ישלמו 783 דולר אמריקאי עבור 100 טרהבייט (TB) של נתונים יוצאים למיקומים באינטרנט הציבורי, בהשוואה לכ- 8,000 דולר עבור משתמשי AWS ו-Google Cloud. לקוחות שרוכשים קו פרטי ייעודי של OCI FastConnect של 10 ג'יגהבייט לשנייה משלמים תעריף אחיד של 918 דולר לחודש עבור תעבורת נתונים יוצאת בלתי מוגבלת; בהנחה שינוצלו 50% מקו זה (העברת 1,620 טרהבייט) - העלות המקבילה לקו פרטי של AWS Direct Connect תהיה 34,020 דולר.
התמחור של OCI לתעבורת נתונים יוצאת הוא גורם מבדל גדול לארגונים שבונים שירותי ענן שדורשים כמויות גדולות של רוחב פס. יישומים בקנה מידה גדול שמנצלים את יתרונות התעריפים האלו כוללים הזרמת וידאו חיה, שיחות ועידה בווידאו ומשחקים.
כדי להעריך מה יהיו עלות תעבורת הנתונים היוצאת ושאר עלויות הענן של הארגון שלכם כלקוחות Oracle Cloud, השתמשו באומדן העלויות של OCI.
תעבורת נתונים יוצאת בלתי נשלטת עשויה להוות סיכון אבטחה וסיכון פיננסי לארגונים. פריסת יישום שאינו יישום ענן מקורי או יישום שתוכנן באופן לקוי, עשויה לגרום לעלויות תעבורת נתונים יוצאת שלא עברו בדיקה ולאבטחה לא מספקת שמציבה את הארגונים בסיכון לדליפת נתונים ולהתקפות כופר.
לכן, חשוב להגביל, לבצר ולנטר תעבורה יוצאת מרשת של חברה. בקיצור, ארגונים צריכים לקבוע לאן הנתונים שלהם יכולים לנוע ולהיזהר מכל תבנית חריגה. שיטות העבודה המומלצות לארגוני אבטחת רשת כוללות יישום תוכנית טובה של תגובה לאירוע (IR) ויישום טכנולוגיות SIEM ו-DLP. בנוסף, בחירת ספק הענן הנכון שיתאים לדרישות שלהם ולעיצוב או לתכנון מחדש של יישומים תוך לקיחת עלויות תעבורת הנתונים היוצאת בחשבון, תתרום באופן משמעותי להחזר ההשקעה בענן של ארגונים.
בינה מלאכותית (AI) יכולה לעזור למנהלי מערכות מידע לנתח נתונים לצורך אופטומיזציה של ההוצאות על ענן, ולהציע שיפורים בקוד לתכנון מזעור התעבורה היוצאת. למדו כיצד לרתום את כוחה של הבינה המלאכותית כדי להתמודד עם אתגרי אבטחה, גיוס ואחרים.
מהי העלות של תעבורת נתונים יוצאת?
נוסף על העלות של משאבי מחשוב ואחסון, ספקי ענן מודדים את תעבורת הנתונים היוצאת וגובים עליה תשלום. עלויות אלו עשויות להשתנות מספק ענן אחד לאחר, אך בדרך כלל הן מחויבות על בסיס כל ג'יגהבייט של נתונים שעובר בין אזורי ענן, אזורי זמינות, לאינטרנט או לרשתות מקומיות. תשלומים על תעבורת הנתוניםהיוצאת עשויים להשתנות גם על פי מיקום היעד וספק הענן. ניתן להפחית את התשלומים על ידי דחיסת נתונים, מינוף של רשתות הפצת תוכן, ומיקום משותף (colocating) של נתונים כדי להגביל את תעבורת הנתונים בין האזורים.
מהי תעבורה יוצאת במחשוב ענן?
תעבורה יוצאת מוגדרת כנתונים שעוברים מרשת אחת לאחרת, אך מונח זה מורכבות יותר במחשוב ענן. במקרה של מחשבים וירטואליים ושל רשתות וירטואליות, תעבורת רשת סטנדרטית בין אזורי ענן או בין אזורי זמינות, נחשבת לתעבורת נתונים יוצאת. בנוסף, גם נתונים שעוברים מהענן בחזרה לרשתות המקומיות או לאינטרנט נמדדים כתעבורת נתונים יוצאת.