Kevin Bogusch | starszy analityk Oracle ds. inteligencji konkurencyjnej | 22 stycznia 2024 r.
Zwodniczo prosta definicja ruchu wychodzącego to „dane opuszczające sieć”. Oczywiście monitorowanie i kontrolowanie ruchu wychodzącego danych nigdy prostą sprawą nie było. IT hostowanej w chmurze i rosnącego zagrożenia cyberatakami, zarówno specjaliści IT, jak i menedżerowie biznesowi muszą dobrze rozumieć ruch wychodzący danych oraz związane z nim koszty i zagrożenia dla bezpieczeństwa.
Na przykład, koszty są problemem dla przedsiębiorstw mających infrastrukturę IT w chmurze, ponieważ dostawcy usług chmurowych zazwyczaj pobierają opłaty za ruch wychodzący danych, a opłaty te mogą się sumować. Tymczasem obawy związane z bezpieczeństwem danych wychodzących skupiają się na cennych lub wrażliwych danych, które mogą zostać przypadkowo przesłane poza sieć lub celowo skradzione przez przestępcę, który chce skompromitować organizację lub zatrzymać dane w celu wyłudzenia okupu.
Zależność od Internetu i aplikacji mobilnych oznacza, że ruch wychodzący danych i związane z nim ryzyko są nieodłącznym elementem prowadzenia działalności gospodarczej. Monitorowanie tych przepływów danych ma zasadnicze znaczenie dla ograniczenia zagrożeń dla finansów i bezpieczeństwa przedsiębiorstwa.
Ruch wychodzący z chmury oznacza informacje, które wypływają z sieci, czy to za sprawą poczty elektronicznej, interakcji z witrynami internetowymi, czy też przesyłania plików do magazynów danych w chmurze lub innych przyczyn. W ten sposób nowoczesne organizacje komunikują się ze sobą i z klientami. W miarę jak przedsiębiorstwa przenoszą swoje zasoby do infrastruktur chmurowych i wdrażają aplikacje typu SaaS (software-as-a-service), korzystają z tych usług właśnie za pośrednictwem ruchu wychodzącego i przychodzącego. O ile zatem przedsiębiorstwo nie korzysta z hermetycznie zamkniętej sieci klasy wojskowej, która nie ma absolutnie żadnych połączeń ze światem zewnętrznym, informacje nieustannie do niego napływają i z niego wypływają.
Na początku lat 90., jeszcze przed pojawieniem się publicznego Internetu i chmury obliczeniowej, sieci korporacyjne były zazwyczaj zamknięte lub połączone tylko z sieciami świadomie wybranymi przez daną organizację. Połączenia takie były obsługiwane przez dedykowane prywatne łącza sieciowe zakupione od operatorów telekomunikacyjnych. W tamtym czasie ryzyko związane z ruchem wychodzącym danych było całkowicie związane z bezpieczeństwem danych, czyli możliwością wycieku lub kradzieży danych wrażliwych.
Obecnie, gdy większość sieci korporacyjnych jest wystawiona na działanie Internetu, zagrożenia dla bezpieczeństwa wzrosły wykładniczo. Ponadto pojawiło się nowe ryzyko związane z kosztami, ponieważ dostawcy usług chmurowych pobierają opłaty za ruch wychodzący danych w sposób niekiedy zaskakujący i sprzeczny z intuicją.
Ruch wychodzący danych a ruch przychodzący danych
Tradycyjna koncepcja ruchu wychodzącego jest ściśle związana z danymi opuszczającymi sieć przedsiębiorstwa, podczas gdy ruch przychodzący jest powszechnie rozumiany jako niezamówione dane przychodzące do sieci. Gdy dane są wysyłane do sieci w odpowiedzi na wewnętrzny wniosek, zapory zazwyczaj przepuszczają je bez przeszkód. Aby chronić organizację, zapory zazwyczaj zatrzymują niechciane dane, chyba że wprowadzono specjalne zasady stanowiące inaczej.
Ekonomika chmury obliczeniowej komplikuje ten prosty model. Dostawcy usług chmurowych pobierają opłaty za ruch wychodzący z chmury w przeliczeniu na gigabajt, ale zazwyczaj nie pobierają opłat za ruch przychodzący. Ponadto dostawcy ci wprowadzili nowe koncepcje ruchu wychodzącego z chmury, które w praktyce wprowadzają więcej rodzajów granic sieci niż tradycyjne granice sieci przedsiębiorstwa. W przypadku na przykład usług Amazon Web Services (AWS) ruch w tej samej sieci wirtualnej jest często mierzony i obciążany opłatami podczas przechodzenia między strefami dostępności. Strefy dostępności to chmurowe centra przetwarzania danych, które mogą znajdować się w tym samym regionie geograficznym, ale mają na przykład różnych operatorów sieci i dostawców usług chmurowych, co sprawia, że jest bardzo mało prawdopodobne, aby uległy awarii w tym samym czasie. Dzięki rozproszeniu zasobów na wiele stref dostępności, dostawcy usług chmurowych mogą zminimalizować wpływ awarii sprzętu, klęsk żywiołowych i przerw w działaniu sieci na swoje usługi. Mimo że strefy dostępności są ostatecznie korzystne, związane z nimi opłaty za ruch wychodzący mogą jednak generować znaczne, nieprzewidziane koszty, zwłaszcza gdy przedsiębiorstwo po raz pierwszy migruje do chmury.
W kontekście monitorowania i bezpieczeństwa ważne jest, aby profilować zarówno ruch przychodzący, jak i wychodzący danych. O ile nieznany ruch przychodzący jest zazwyczaj blokowany przez zapory, o tyle profilowanie tego ruchu może dostarczyć przydatnych informacji o zagrożeniach dla zespołów ds. bezpieczeństwa. Ze względu na charakter i powszechność zapór, monitorowanie ruchu przychodzącego jest powszechne. Znacznie mniej organizacji równie uważnie monitoruje ruch wychodzący danych. Wdrażanie zapór i ograniczanie ruchu wychodzącego do znanych lokalizacji docelowych może ograniczyć ryzyko ataków i zapewnić ochronę przed złośliwym oprogramowaniem.
Kluczowe wnioski
Ruch wychodzący danych jest stałym elementem, który musi być starannie zarządzany pod kątem bezpieczeństwa i kosztów. Jeśli na przykład przedsiębiorstwo udostępnia swój katalog produktów na stronie internetowej skierowanej do klienta, dane muszą opuścić sieć wewnętrzną, w której taki katalog jest przechowywany, aby przez Internet dotrzeć do przeglądarki, w której klient przegląda daną stronę. Niezależnie od tego, czy przedsiębiorstwo udostępnia dane jednostkom zależnym lub partnerom, czy też kontaktuje się z klientami za pośrednictwem Internetu, zawsze pewna ilość danych będzie opuści jego sieć.
W przypadku przedsiębiorstw, które przeniosły część lub całość swojej infrastruktury IT do chmury, każdy ruch danych może powodować powstanie kosztów ruchu wychodzącego danych w chmurze, w zależności od dostawcy usług chmurowych i budowy aplikacji.
Oprócz kosztów, ruch wychodzący danych powoduje również ryzyko ujawnienia danych wrażliwych nieautoryzowanym lub przypadkowym odbiorcom. Organizacje muszą monitorować złośliwe działania złośliwych podmiotów zewnętrznych, jednocześnie uważając na ataki wewnętrzne, takie jak kradzież danych przez osoby z wewnątrz organizacji. Ochrona organizacji przed tymi atakami wymaga kompleksowego podejścia, które uwzględnia dobry projekt sieci, stały monitoring i odpowiednio skonfigurowaną architekturę aplikacji chmurowych. Zazwyczaj organizacje ograniczają ruch wychodzący za pomocą zapór, monitorując ruch wychodzący pod kątem anomalii lub złośliwych działań. Grupy ds. bezpieczeństwa IT mogą również podejmować działania mające na celu ograniczenie transferów danych o dużej objętości i blokowanie określonych lokalizacji docelowych dla ruchu wychodzącego.
Efektywne monitorowanie wymaga bardzo dobrego zrozumienia wzorców zwykłego ruchu i tego, jak różnią się one podczas ataku lub incydentu związanego z kradzieżą danych. Może to również stanowić prawdziwe wyzwanie dla działu IT. Najczęstszym sposobem monitorowania ruchu wychodzącego danych jest przeglądanie i analizowanie plików dziennika z urządzeń sieciowych znajdujących się na brzegu chmury lub sieci lokalnych. Sama wielkość ruchu z tych urządzeń sprawia jednak, że jest to bardzo uciążliwe zadanie dla administratorów. Wiele przedsiębiorstw korzysta z narzędzi do zarządzania informacjami i zdarzeniami dotyczącymi bezpieczeństwa (SIEM), aby lepiej zrozumieć istniejące zagrożenia. Narzędzia te zazwyczaj zawierają informacje dotyczące znanych wzorców zagrożeń i zgodności z przepisami oraz są automatycznie aktualizowane w celu uwzględnienia nowych zagrożeń. Zarządzanie informacjami i zdarzeniami dotyczącymi bezpieczeństwa nie jest prostym procesem, ale może poprawić zrozumienie przez organizację wzorców ruchu wychodzącego danych, umożliwiając zespołom ds. bezpieczeństwa znacznie wcześniejszą identyfikację ataków.
Na przykład nagły wzrost ruchu wychodzącego danych może wskazywać na kradzież danych w toku ataku, podczas której przestępca eksportuje duże ilości danych do zewnętrznego hosta lub do zewnętrznej usługi. Uważne monitorowanie i kontrola wzorców ruchu wychodzącego danych może również pomóc w identyfikacji już obecnego w sieci przedsiębiorstwa złośliwego oprogramowania, które próbuje uzyskać dalsze instrukcje ze swojego centrum dowodzenia i kontroli. Wiele współczesnych ataków typu ransomware polega na próbie przejęcia dużych ilości danych w celu wyłudzenia środków od organizacji przed zaszyfrowaniem tych danych. Narzędzia, w tym narzędzia DLP, systemy analizy ruchu sieciowego, w tym sniffery pakietów, oraz analiza zachowań użytkowników w celu wykrycia nieprawidłowych wzorców mogą pomóc działowi IT w wykryciu przypadków kradzieży danych. Filtrowanie ruchu wychodzącego, w ramach którego dział IT monitoruje ruch wychodzący i blokuje ruch uznany za złośliwy, również pomaga ograniczyć to ryzyko.
Oprócz zapór, organizacje używają również oprogramowania DLP do ochrony przed kradzieżą (eksfiltracją) danych. Wykorzystywane są tu takie techniki jak katalogowanie i tagowanie danych za pomocą etykiet oznaczających stopień i wrażliwości, szyfrowanie oraz audyt w celu uniemożliwienia danym wrażliwym opuszczenia sieci.
Oprócz zwiększania kosztów, znaczny ruch wychodzący danych może wskazywać na kilka rodzajów zagrożeń, w tym prowadzonego ataku ukierunkowanego na kradzież danych ub złośliwego oprogramowania przemieszczającego się w ramach sieci korporacyjnej za pośrednictwem łączy podsieci.
Organizacje mogą ograniczyć zagrożenia dla bezpieczeństwa związane z ruchem wychodzącym danych na wiele sposobów, m.in. poprzez takie dostosowanie usług chmurowych, aby zmniejszyć ruch wychodzący. Poniższe siedem najlepszych praktyk jest stosowanych przez wiele organizacji w celu lepszej zapewnienia większej kontroli nad ryzykiem związanym z bezpieczeństwem ruchu wychodzącego oraz lepszego nim zarządzania:
Należy pamiętać, że praktyki te nie są oddzielnymi, jednorazowymi rozwiązaniami; a raczej są od siebie zależne. Na przykład działania w zakresie klasyfikacji danych w ramach funkcji DLP i tworzenia zasad ruchu wychodzącego będą wpływać na konfigurację zapory i ustawienia zasad kontroli dostępu.
Opłaty za ruch wychodzący danych mogą prowadzić do kosztownych niespodzianek na wczesnym etapie procesu migracji do chmury, ważne jest zatem codzienne monitorowanie kosztów ruchu wychodzącego danych w chmurze, aby upewnić się, że mieszczą się one w budżecie. Jeśli natomiast w budżecie się nie mieszczą, trzeba to zbadać. Wszyscy dostawcy usług chmurowych oferują funkcję wysyłania ostrzeżeń dotyczących poziomu wydatków, dzięki czemu koszty ruchu wychodzącego mogą być monitorowane tak samo, jak użycie procesora przez maszynę wirtualną. Wspomniane monitorowanie jest jednak tylko pierwszym krokiem do obniżenia kosztów ruchu wychodzącego z chmury. Oto kilka wskazówek, jak obniżyć koszty ruchu wychodzącego w aplikacjach w chmurze.
O ile wdrożenie tych zmian może wymagać znacznych jednorazowych inwestycji, to w ostatecznym rozrachunku mogą to przyczynić się do obniżenia comiesięcznych rachunków za usługi w chmurze i przełożyć się na znaczny zwrot z poniesionych kosztów początkowych oraz lepsze zarządzanie kosztami chmury. Jeśli opłaty za ruch wychodzący z chmury stanowią dużą część kosztów chmury w organizacji, priorytetowe potraktowanie tych zmian w stosunku do innych projektów inżynieryjnych może okazać się strzałem w dziesiątkę.
Różni dostawcy usług chmurowych pobierają różne opłaty za ruch wychodzący z chmury. Nawet w przypadku jednego dostawcy usług chmurowych modele cenowe dotyczące ruchu wychodzącego danych mogą się różnić w zależności od poszczególnych usług. Zmniejszenie złożoności i ogólnego kosztu ruchu wychodzącego z chmury było jednym z najważniejszych czynników branych pod uwagę przez Oracle podczas tworzenia infrastruktury Oracle Cloud Infrastructure (OCI). Dzięki przestrzeganiu tych zasad od samego początku, Oracle może oferować globalne ceny dla kilku usług chmurowych i znacznie niższe koszty ruchu wychodzącego danych niż inni dostawcy, tacy jak Amazon Web Services (AWS) i Google Cloud.
Niższe stawki za ruch wychodzący danych w chmurze OCI umożliwiają przedsiębiorstwom przenoszenie znacznych ilości danych między regionami chmury, zarówno wewnętrznie, jak i w kierunku klientów. Użytkownicy OCI w Ameryce Północnej i Europie zapłaciliby na przykład 783 USD za 100 terabajtów (TB) danych wychodzących w kierunku lokalizacji w publicznym Internecie, w porównaniu do około 8000 USD płaconych przez użytkowników AWS i Google Cloud. Klienci, którzy zakupili dedykowane łącze prywatne OCI FastConnect o przepustowości 10 GB/s, płacą zryczałtowaną stawkę w wysokości 918 USD miesięcznie za nieograniczony ruch wychodzący danych; zakładając 50% wykorzystanie tego łącza (transfer na poziomie 1620 TB), równoważny koszt na łączu prywatnym AWS Direct Connect wyniósłby 34 020 USD.
Ceny ruchu wychodzącego z chmury OCI są istotnym kryterium konkurencyjnym dla organizacji korzystających z usług chmurowych wymagających dużej szerokości pasma. Rozwiązania, które intensywnie przetwarzają dane i mogą skorzystać z naszej oferty cenowej, to m.in. usługi przesyłania strumieniowego filmów na żywo, wideokonferencje i gry.
Aby oszacować koszty ruchu wychodzącego z chmury i inne koszty chmury ponoszone przez użytkowników Oracle Cloud, skorzystaj z kalkulatora kosztów OCI.
Nieograniczony ruch wychodzący danych może stanowić zarówno zagrożenie dla bezpieczeństwa, jak i ryzyko finansowe dla organizacji. Wdrożenie natywnej lub źle zaprojektowanej aplikacji w chmurze może prowadzić do pojawienia się niekontrolowanych kosztów ruchu wychodzącego z chmury i stosowania nieodpowiednich zabezpieczeń, które narażają organizacje na ryzyko kradzieży danych i ataków typu ransomware.
W związku z tym konieczne jest ograniczenie, wzmocnienie zabezpieczeń i monitorowanie ruchu wychodzącego z sieci przedsiębiorstwa. Krótko mówiąc, organizacje muszą kontrolować swoje transmisje danych i zwracać uwagę na wszelkie anomalie. Najlepsze praktyki dla organizacji zajmujących się bezpieczeństwem sieci obejmują wdrożenie dobrego planu reagowania na incydenty oraz stosowanie technologii SIEM i DLP. Wybór odpowiedniego dostawcy usług chmurowych oraz budowa lub przebudowa aplikacji pod kątem obniżania kosztów ruchu wychodzącego z chmury również może znacząco przyczynić się do zwiększenia zwrotu z inwestycji w chmurę.
Sztuczna inteligencja może pomóc dyrektorom ds. informatyki analizować dane w celu optymalizacji wydatków na chmurę i sugerować architektom poprawki kodu w celu zminimalizowania ruchu wychodzącego. Dowiedz się, jak wykorzystać potencjał sztucznej inteligencji, aby sprostać wyzwaniom związanym z zatrudnianiem pracownikom, bezpieczeństwem i innymi kwestiami.
Czym są koszty ruchu wychodzącego?
Oprócz opłat za zasoby obliczeniowe i magazyn danych, dostawcy usług chmurowych naliczają również opłaty za ruch wychodzący danych. Opłaty te mogą się różnić w zależności od dostawcy usług chmurowych, ale zazwyczaj są naliczane za gigabajt danych przesyłanych między regionami chmury, strefami dostępności, Internetem lub sieciami lokalnymi. Opłaty za ruch wychodzący z chmury mogą również różnić się w zależności od lokalizacji docelowej. Opłaty te można zmniejszyć poprzez kompresję danych, wykorzystanie sieci CDN i kolokację danych w celu ograniczenia ruchu między regionami.
Czym jest ruch wychodzący w chmurze obliczeniowej? .
Ruch wychodzący (egress) to dane, które przechodzą z jednej sieci do drugiej, ale w przypadku chmury obliczeniowej znaczenie tego terminu jest bardziej złożone. W przypadku maszyn wirtualnych i sieci standardowy ruch sieciowy między regionami chmury lub strefami dostępności jest uważany za ruch wychodzący danych. Ponadto dane przesyłane z chmury z powrotem do sieci lokalnych lub Internetu są również uznawane za ruch wychodzący danych.