Cosa sono i data egress? Ingress ed egress a confronto

Kevin Bogusch | Oracle Senior Competitive Intelligence Analyst | 22 gennaio 2024

La definizione ingannevolmente semplice di data egress è "dati che lasciano una rete". Naturalmente, il monitoraggio e il controllo dell'uscita dei dati non è mai stato una questione semplice. E nel nostro moderno mondo dell'e-commerce, dell'infrastruttura IT ospitata nel cloud e della crescente minaccia di attacchi informatici, i professionisti IT e i manager aziendali hanno bisogno di una comprensione sfumata dell'uscita dei dati e dei relativi costi e rischi per la sicurezza.

I costi, ad esempio, sono una preoccupazione per le aziende con infrastruttura IT nel cloud perché i fornitori di servizi cloud in genere addebitano l'uscita dei dati e tali costi possono aumentare. I problemi di sicurezza legati all'uscita dei dati, nel frattempo, si concentrano su informazioni preziose o sensibili che possono essere accidentalmente trasmesse fuori dalla rete o deliberatamente rubate da un soggetto che cerca di mettere in difficoltà un'organizzazione o tenere i dati per il riscatto.

Affidarsi a Internet e alle app mobili significa che l'uscita dei dati e i relativi rischi fanno parte del business. Il monitoraggio di questi flussi di dati è essenziale per limitare le minacce finanziarie e di sicurezza.

Cosa sono i data egress?

L'uscita dei dati si riferisce alle informazioni che fluiscono da una rete (via e-mail, interazioni con siti Web o trasferimenti di file) a container di storage cloud o ad altre fonti. È così che le organizzazioni moderne comunicano tra loro e con i clienti. Mentre le aziende migrano alle infrastrutture cloud e adottano applicazioni software-as-a-service (SaaS), consumano questi servizi anche tramite l'uscita e l'ingresso dei dati. Infatti, a meno che un'organizzazione non gestisca una rete air-gapped di livello militare che non ha assolutamente connessioni oltre i propri confini, le informazioni scorrono costantemente dentro e fuori.

Prima dell'arrivo della rete Internet pubblica e del cloud computing nei primi anni '90, le reti aziendali erano generalmente chiuse o collegate solo a reti scelte consapevolmente da un'organizzazione. Tali collegamenti sono stati effettuati tramite linee di rete private dedicate acquistate da carrier di telecomunicazioni. All'epoca, i rischi posti dall'uscita dei dati erano interamente legati alla sicurezza, ovvero alla possibilità che informazioni sensibili potessero trapelare all'esterno o essere rubate.

Ora, con la maggior parte delle reti aziendali esposte a Internet, questi rischi per la sicurezza sono aumentati in modo esponenziale. Inoltre, è emerso un nuovo rischio in termini di costi perché i provider di servizi cloud addebitano l'uscita dei dati, a volte in modi poco intuitivi e sorprendenti.

Sette passi per creare una rappresentazione visiva del flusso di dati, dei controlli di sicurezza e delle procedure coinvolte nel processo di uscita
Segui questi 7 passaggi per creare una rappresentazione visiva del flusso di dati, dei controlli di sicurezza e delle procedure coinvolte nel processo di uscita.

Differenze tra dati in uscita e dati in entrata

Il concetto tradizionale di data egress è strettamente correlato ai dati che lasciano una rete aziendale, mentre il data ingress è comunemente inteso come dati non richiesti che entrano in una rete. Quando le informazioni vengono inviate alla rete in risposta a una richiesta interna, i firewall in genere le lasciano passare senza ostacoli. Per proteggere l'organizzazione, i firewall in genere fermano i dati non richiesti a meno che non siano state stabilite regole specifiche.

L'economia del cloud computing complica questo semplice modello. I provider di servizi cloud addebitano tariffe per gigabyte di dati in uscita, ma in genere consentono l'ingresso dei dati senza costi aggiuntivi. Inoltre, i servizi cloud hanno introdotto nuovi concetti per l'uscita dei dati che, in pratica, stabiliscono più tipi di confini di rete rispetto al perimetro di rete aziendale tradizionale. Ad esempio, con Amazon Web Services (AWS), il traffico sulla stessa rete virtuale viene spesso misurato e addebitato quando ci si sposta tra le zone di disponibilità. Le zone di disponibilità si riferiscono ai data center cloud che potrebbero trovarsi nella stessa area geografica, ma che hanno, ad esempio, diversi operatori di rete e provider di alimentazione che rendono altamente improbabile che si verifichino errori contemporaneamente. Distribuendo le risorse in più zone di disponibilità, i provider cloud possono ridurre al minimo l'impatto di guasti hardware, disastri naturali e interruzioni della rete sui propri servizi. Tuttavia, sebbene le zone di disponibilità siano in definitiva positive, i relativi costi di uscita possono presentare un onere significativo e imprevisto, soprattutto quando un'azienda migra per la prima volta al cloud.

Per quanto riguarda il monitoraggio e la sicurezza, è importante creare un profilo sia sull'ingresso che sull'uscita dei dati. Mentre il traffico in entrata sconosciuto è in genere bloccato dai firewall, analizzando tale traffico è possibile fornire informazioni utili sulle minacce per i team di sicurezza. A causa della natura e della prevalenza dei firewall, il monitoraggio in ingresso è comune. Tuttavia, molte meno organizzazioni monitorano l'uscita dei dati con la stessa attenzione. Il firewall e la limitazione del traffico in uscita a destinazioni note possono limitare l'impatto degli attacchi e fornire protezione da malware.

Concetti chiave

  • L'uscita dei dati rappresenta un rischio per i clienti cloud e un rischio per la sicurezza per tutte le organizzazioni.
  • Le perdite di dati sensibili possono comportare rischi finanziari e organizzativi significativi.
  • Il monitoraggio attento dell'uscita dei dati può aiutare a gestire e ottimizzare la spesa cloud rilevando al contempo attacchi dannosi in anticipo.
  • I firewall possono essere configurati in modo da limitare il traffico in entrata e in uscita alle posizioni note e sicure.
  • Gli strumenti DLP (Data Loss Prevention) aiutano a identificare e classificare i dati sensibili e applicare controlli aggiuntivi per prevenire l'uscita di dati non autorizzati.

Data Egress: spiegazione

L'uscita dei dati è una costante che deve essere gestita con attenzione in termini di sicurezza e costi. Ad esempio, se un'azienda condivide il proprio catalogo di prodotti su un sito Web rivolto al cliente, i dati devono uscire dalla rete interna in cui viene mantenuto il catalogo e attraversare Internet per raggiungere il browser in cui il cliente sta visualizzando il sito. Sia che un'azienda condivida dati con società controllate o partner o interagisca con i clienti tramite Internet, ci sarà sempre un certo volume di dati che lasceranno la rete aziendale.

Per le aziende che hanno spostato parte o tutte le loro infrastrutture IT nel cloud, qualsiasi spostamento dei dati potrebbe comportare costi di uscita dei dati cloud a seconda del loro fornitore e della progettazione delle loro applicazioni.

Oltre alla spesa, l'uscita dei dati comporta anche il rischio di esporre i dati sensibili a destinatari non autorizzati o non intenzionali. Le organizzazioni devono monitorare la presenza di attività dannose da parte di attori esterni delle minacce, tenendo d'occhio gli attacchi interni, come l'esfiltrazione dei dati da parte degli addetti ai lavori. La protezione di un'organizzazione da questi attacchi richiede un approccio completo che includa una solida progettazione di rete, un monitoraggio continuo e architetture di applicazioni cloud configurate correttamente. In genere, le organizzazioni limitano l'uscita dei dati utilizzando firewall e monitorando il traffico in uscita per rilevare anomalie o attività dannose. I gruppi di sicurezza IT possono anche adottare misure per limitare i trasferimenti di dati ad alto volume e bloccare destinazioni in uscita specifiche.

Un monitoraggio efficace richiede una comprensione approfondita dei normali modelli di traffico e di come differiscono durante un attacco o un incidente di esfiltrazione dei dati. Può anche rappresentare una vera sfida per le organizzazioni IT. Il modo più comune per monitorare il traffico in uscita dei dati è rivedere e analizzare i file di log dai dispositivi di rete ai margini delle reti cloud oppure on-premise. L'enorme volume di traffico da tali dispositivi, tuttavia, rende questo un compito arduo per gli amministratori. Molte aziende utilizzano strumenti SIEM (Security Information and Event Management) per comprendere meglio le minacce. Gli strumenti SIEM in genere includono intelligence su pattern di minacce noti, compliance normativa e aggiornamenti automatici per adattarsi a nuove minacce. Sebbene l'implementazione dei sistemi SIEM non sia un processo semplice, ciò può migliorare la comprensione da parte di un'organizzazione dei modelli di uscita dei dati, consentendo ai team di sicurezza di identificare gli attacchi molto prima.

Ad esempio, un improvviso aumento dell'uscita dei dati potrebbe indicare un attacco di esfiltrazione dei dati, in cui un soggetto di minacce esporta grandi quantità di dati in un host o servizio esterno. Allo stesso modo, un attento monitoraggio e controllo dei modelli di uscita dei dati può aiutare a identificare il malware già presente all'interno di una rete aziendale mentre cerca ulteriori istruzioni dalla sua rete di comando e controllo. Molti attacchi ransomware moderni tentano di estrarre grandi volumi di dati per estorcere fondi da un'organizzazione prima di crittografare tali dati. Strumenti quali DLP, sistemi di analisi del traffico di rete, come sniffer di pacchetti, e analisi del comportamento degli utenti per rilevare modelli anomali possono aiutare l'IT a rilevare l'esfiltrazione. Il filtro in uscita, in cui l'IT monitora il traffico in uscita e blocca il traffico considerato dannoso, aiuta a mitigare anche questi rischi.

Oltre ai firewall, le organizzazioni utilizzano anche il software DLP per proteggersi dall'esfiltrazione dei dati. Questi strumenti utilizzano tecniche come la catalogazione e l'applicazione di tag ai dati con etichette di sensibilità, crittografia e auditing per impedire ai dati sensibili di uscire dalla rete.

Cloud Data Egress Threats

Oltre ad aumentare i costi del cloud, l'uscita sostanziale di dati può indicare diversi tipi di minacce, tra cui un attacco di esfiltrazione dei dati da parte di un attore di minacce o malware che si muove lateralmente all'interno di una rete aziendale tramite comunicazioni di sottoreti.

  • Corrispettivi in uscita dei dati non limitati: i fornitori di servizi cloud possono addebitare l'uscita dei dati per gigabyte. Gli addebiti variano in base al tipo di servizio cloud e alla distanza della posizione di destinazione dal segmento di rete o di rete di origine. Le tariffe di uscita dei dati in eccesso possono provenire da alcune origini diverse. I più comuni sono le configurazioni errate delle applicazioni che posizionano risorse con traffico di rete pesante in aree geograficamente distanti e sistemi ibridi pubblico-privati in cui i servizi cloud inviano costantemente grandi volumi di dati ai computer on-premise.
  • Costi di uscita del servizio di storage cloud: i servizi di storage cloud sono comunemente utilizzati per ospitare asset di siti Web, come immagini o documenti, e i costi possono sommarsi in modo sorprendentemente rapido. Questi servizi applicano due livelli di addebiti in uscita: un set per le operazioni di lettura e scrittura da e verso l'account di storage e un altro se tali operazioni di lettura attraversano regioni o passano su Internet.
  • Prestazioni delle applicazioni scadenti: le applicazioni configurate per inviare traffico di rete cloud tra le aree avranno una latenza end-to-end elevata. Sebbene non si tratti di un problema relativo alla sicurezza o al budget, ciò crea un'esperienza utente non ottimale, che potrebbe in ultima analisi influire sui ricavi.
  • Attacchi all'esfiltrazione dei dati interni: è necessario esaminare qualsiasi insider che tenta di esportare grandi volumi di dati aziendali dalla rete. Un tipico esempio potrebbe essere un rappresentante commerciale scontento che esporta un elenco di clienti da un database aziendale in un foglio di calcolo personale.
  • Attacchi di estrazione dei dati da attori esterni delle minacce: una tattica spesso utilizzata da attori esterni delle minacce è quella di ridurre al minimo la possibilità di rilevamento precoce, infiltrando nella rete malware bare-bones. Una volta all'interno, il malware può connettersi a un sito di comando e controllo esterno per scaricare il software ed espandere il suo attacco o esfiltrare i dati aziendali.
  • Trasferimento di dati non cifrati: quando le informazioni riservate vengono trasferite senza cifratura, possono essere potenzialmente intercettate e sfruttate da attori malintenzionati. Ciò può portare a danni finanziari o reputazionali significativi per un'organizzazione.
  • Problemi di residenza e conformità dei dati: a seconda del Paese o del settore di un'organizzazione e della sensibilità dei dati, l'uscita dei dati in altre aree potrebbe comportare rischi legali e di conformità. Questi possono includere problemi di residenza dei dati in quanto alcuni Paesi richiedono legalmente che determinati tipi di dati rimangano entro confini geografici specifici.

7 best practice di sicurezza per la gestione dell'uscita dei dati nel cloud

Le organizzazioni possono mitigare i rischi per la sicurezza legati all'uscita dei dati in diversi modi, ad esempio riallineando i servizi cloud per limitare il traffico in uscita. Le sette best practice riportate di seguito vengono utilizzate da molte organizzazioni per controllare e gestire meglio i rischi per la sicurezza in uscita dei dati:

  1. Utilizzare un firewall per controllare il traffico in uscita: la maggior parte delle organizzazioni utilizza i firewall per limitare il traffico in entrata. Un numero nettamente inferiore usa i firewall per controllare strettamente il traffico in uscita, anche per le reti di server in cui risiedono i dati più sensibili. Anche gli amministratori di rete dovrebbero controllare strettamente il traffico in uscita, rafforzando così sia il monitoraggio che i controlli di sicurezza.
  2. Creare una policy di uscita dei dati: la creazione di una policy che limiti l'accesso degli utenti ai servizi preapprovati, in particolare per le reti in cui vengono memorizzati i dati sensibili, limita la possibilità di attacchi di estrazione dei dati.
  3. Usare SIEM per monitorare il traffico di rete: è impossibile per un amministratore di rete controllare tutto il traffico proveniente da tutti i dispositivi gestiti su una rete di grandi dimensioni. Grazie all'automazione basata su regole stabilite dall'amministratore, dal machine learning e dalla tecnologia AI, uno strumento SIEM può aiutare a identificare gli attacchi in anticipo e fornire livelli di protezione aggiuntivi.
  4. Utilizzare DLP per classificare, etichettare e proteggere gli asset di dati riservati: come SIEM, DLP utilizza anche il machine learning per ispezionare i dati, comprenderne il contesto, abbinarli a criteri di uscita dei dati stabiliti e bloccare i trasferimenti di dati che potrebbero violare tali criteri.
  5. Controllare l'accesso ai dati riservati: una volta identificate e catalogate le posizioni degli asset di dati più sensibili tramite DLP, gli amministratori di rete possono perfezionare ulteriormente i controlli di accesso per tali set di dati.
  6. Eseguire la cifratura dei dati sensibili: la cifratura può fornire un'ultima linea di difesa dagli attacchi di estrazione dei dati. Se le informazioni sono crittografate in transito e in archivio, i dati rimarranno illeggibili se sono esfiltrabili senza la chiave di cifratura appropriata.
  7. Implementare un piano di risposta agli incidenti: in caso di attacco o violazione dei dati, avere un piano di risposta chiaramente definito può accelerare i tempi di risposta di un'organizzazione e aumentarne l'efficacia complessiva. Come un piano di disaster recovery, un piano di risposta agli incidenti dovrebbe essere approvato da un dirigente e regolarmente testato tramite simulazioni in modo che tutti capiscano il loro ruolo.

Si noti che queste pratiche non sono soluzioni una tantum separate; piuttosto, dipendono l'una dall'altra. Ad esempio, l'elemento di categorizzazione dei dati di DLP e la creazione di un criterio di uscita informerebbero le configurazioni del firewall e le impostazioni di controllo degli accessi.

Come ridurre i costi di uscita dei dati cloud

I costi di uscita dei dati possono portare a costose sorprese all'inizio del processo di migrazione cloud di un'organizzazione, quindi è importante monitorare quotidianamente i costi di uscita dei dati cloud per avere la certezza di rispettare il budget e di indagare se vanno oltre il budget stabilito. Tutti i provider di cloud pubblico supportano gli avvisi legati alla spesa, quindi i costi di uscita dei dati possono essere monitorati proprio come l'utilizzo della CPU di una virtual machine. Tuttavia, il monitoraggio è solo il primo passo per ridurre il costo dei dati in uscita dal cloud. Ecco alcuni suggerimenti per ridurre i costi di uscita nelle applicazioni cloud.

  • Mantenere le risorse cloud nella stessa area: sebbene questo possa sembrare semplice buon senso, alcuni servizi potrebbero essere disponibili in alcune aree cloud e non in altre, il che porta a costose implementazioni tra più aree.
  • Ridurre gli sprechi con il caching: la memorizzazione dei dati nelle cache in-memory vicine all'applicazione può eliminare i round trip nei database e nei servizi di storage.
  • Acquistare linee private dedicate: le connessioni di rete private dirette offrono prezzi di trasferimento dei dati inferiori, a volte anche una tariffa fissa al mese per l'uscita illimitata dei dati, a seconda del provider cloud.
  • Usare reti CDN (Content Delivery Network): in modo analogo, le app possono utilizzare le CDN per memorizzare nella cache gli asset Web, ad esempio immagini, documenti e video, più vicini agli utenti. Oltre a ridurre i costi di uscita dei dati, l'utilizzo di CDN in genere si traduce in una migliore esperienza di navigazione per gli utenti.
  • Comprimere il traffico di rete quando possibile: utilizzare la compressione dei dati ogni volta che il traffico di rete viaggia tra aree o zone di disponibilità può anche ridurre i costi. Ad esempio, quando si replica un database occupato in un'altra area per supportare il disaster recovery, i costi della CPU per la compressione e la decompressione di tali dati possono essere molto inferiori ai potenziali costi di uscita dei dati.
  • Distribuire la deduplicazione: in particolare per i processi di backup, l'utilizzo della deduplicazione insieme alla compressione può ridurre ulteriormente il volume dei dati trasferiti, riducendo così i costi.
  • Applicazioni ripensate: la revisione delle applicazioni esistenti per renderle cloud native può ridurre i costi di uscita migliorando l'efficienza con cui utilizzano i dati.

Sebbene questi cambiamenti possano richiedere un investimento significativo una tantum da implementare, possono in ultima analisi ridurre le fatture cloud ricorrenti, con un conseguente forte ritorno sui costi iniziali e una migliore gestione dei costi del cloud. Se i costi di uscita dei dati rappresentano una parte importante dei costi cloud della tua organizzazione, dare la priorità a questi cambiamenti rispetto ad altri progetti di ingegneria potrebbe essere una vittoria netta.

Riduci i costi di uscita dei dati con Oracle

Diversi provider cloud addebitano importi diversi per l'uscita dei dati. Anche con un unico fornitore di servizi cloud, i modelli di prezzo per l'uscita dei dati possono variare tra i singoli servizi. La riduzione della complessità e del costo complessivo dell'uscita dei dati è stata tra le principali considerazioni di Oracle quando si è creato Oracle Cloud Infrastructure (OCI). Seguendo questi principi fin dall'inizio, Oracle è stata in grado di offrire prezzi globali per diversi servizi cloud e costi di uscita dei dati notevolmente inferiori rispetto ad altri provider, tra cui Amazon Web Services (AWS) e Google Cloud.

Le tariffe di uscita dei dati più basse di OCI consentono alle aziende di spostare volumi significativi di dati tra le regioni cloud, sia internamente che ai clienti. Ad esempio, i clienti OCI in Nord America e in Europa pagherebbero 783 dollari per 100 terabyte (TB) di dati in uscita alle sedi della rete Internet pubblica, rispetto a circa 8.000 dollari per gli utenti AWS e Google Cloud. I clienti che acquistano una linea privata dedicata OCI FastConnect da 10 gigabit al secondo pagano una tariffa fissa di 918 dollari al mese per l'uscita illimitata dei dati; ipotizzando un utilizzo del 50% di quella linea (1.620 TB trasferiti), il costo equivalente su una linea privata AWS Direct Connect sarebbe di 34.020 dollari.

I prezzi dei dati in uscita OCI sono un grande elemento di differenziazione per le organizzazioni che creano servizi cloud con grandi quantità di larghezza di banda. Le applicazioni su larga scala che sfruttano queste tariffe includono streaming video in diretta, videoconferenze e giochi.

Per valutare quali sarebbero i dati in uscita della tua organizzazione e altri costi cloud come clienti Oracle Cloud, utilizza la stima dei costi OCI.

L'uscita illimitata dei dati può comportare sia un rischio finanziario che di sicurezza per le organizzazioni. L'implementazione di un'applicazione non cloud nativa o mal progettata nel cloud può portare a costi di uscita dei dati non controllati e a una sicurezza inadeguata che mette le organizzazioni a rischio di esfiltrazione dei dati e attacchi ransomware.

Pertanto, è importante limitare, rafforzare e monitorare il traffico in uscita da una rete aziendale. In breve, le organizzazioni devono controllare dove i loro dati possono viaggiare e cercare eventuali modelli anomali. Le best practice per le organizzazioni di sicurezza di rete includono l'implementazione di un buon piano di risposta agli incidenti e l'utilizzo di tecnologie SIEM e DLP. Inoltre, scegliere il provider cloud giusto per le proprie esigenze e progettare o riprogettare applicazioni con in mente i costi di uscita dei dati può contribuire in modo significativo al ROI del cloud di un'organizzazione.

L'intelligenza artificiale può aiutare i CIO ad analizzare i dati per ottimizzare la spesa cloud e suggerire modifiche al codice per progettare e ridurre al minimo i dati in uscita. Scopri come sfruttare ora il potere dell'intelligenza artificiale per affrontare talenti, sicurezza e altre sfide.

Domande frequenti su Data Egress

Quali sono i costi?

Oltre al costo delle risorse di computazione e storage, i provider cloud misurano e fatturano anche i dati in uscita. Sebbene questi costi possano variare a seconda del provider cloud, in genere vengono addebitati per gigabyte di dati che viaggiano tra aree cloud, zone di disponibilità o su Internet o reti on-premise. Le tariffe di uscita dei dati possono anche differire in base alla posizione di destinazione e al provider cloud. Possono essere ridotti comprimendo i dati, sfruttando le reti di distribuzione dei contenuti e condividendo i dati per limitare il traffico tra più aree.

In cosa consiste l'egress nel cloud computing?

L'egress è definito come dati che vanno da una rete all'altra, ma il termine assume un'ulteriore complessità nel cloud computing. Con le virtual machine e le reti, il traffico di rete standard tra le aree cloud o le zone di disponibilità viene considerato come data egress. Inoltre, anche i dati che viaggiano dal cloud alle reti on-premise o a Internet vengono misurati come data egress.