Ce este ieșirea de date (data egress)? Intrare vs. ieşire

Kevin Bogusch | Oracle Senior Competitive Intelligence Analyst | 22 ianuarie 2024

Definiția înșelător de simplă a ieșirii de date este doar „datele care părăsesc o rețea”. În mod evident, monitorizarea și controlul ieșirii datelor nu a fost niciodată o chestiune simplă. Iar în lumea modernă a comerțului electronic, a infrastructurii IT găzduite în cloud și a amenințării în creștere a atacurilor cibernetice, profesioniștii IT și managerii de afaceri au nevoie de o înțelegere nuanțată a ieșirii datelor și a costurilor și riscurilor de securitate aferente.

De exemplu, costurile reprezintă un motiv de îngrijorare pentru companiile care au infrastructura IT în cloud, deoarece furnizorii de cloud taxează, de obicei, ieșirea datelor, iar aceste taxe se pot acumula. În același timp, preocupările legate de securitatea ieșirii datelor se concentrează asupra informațiilor valoroase sau sensibile care pot fi transmise din greșeală în afara rețelei sau furate în mod deliberat de către un actor amenințător care urmărește să stânjenească o organizație sau să obțină o răscumpărare a datelor.

Faptul că ne bazăm pe internet și pe aplicațiile mobile înseamnă că ieșirea datelor și riscurile aferente fac parte integrantă din activitatea comercială. Monitorizarea acestor fluxuri de date este esențială pentru a limita amenințările financiare și cele de securitate.

Ce este ieșirea de date (data egress)?

Ieșirea datelor se referă la informațiile care pleacă dintr-o rețea – fie prin e-mail, fie prin interacțiuni cu site-uri web sau transferuri de fișiere – către containere de stocare în cloud sau alte surse. Acesta este modul în care organizațiile moderne comunică între ele și cu clienții. Pe măsură ce întreprinderile migrează către infrastructuri cloud și adoptă aplicații software-as-a-service (SaaS), ele consumă aceste servicii și prin intermediul intrărilor și ieșirilor de date. De fapt, cu excepția cazului în care o organizație operează o rețea militară de nivel aerian care nu are absolut nicio conexiune dincolo de propriile granițe, informațiile intră și ies în mod constant.

Înainte de apariția internetului public și a calculului în cloud la începutul anilor 1990, rețelele corporative erau în general închise sau legate doar de rețelele alese în mod conștient de către o organizație. Aceste legături au fost realizate prin intermediul unor linii de rețea private dedicate, achiziționate de la operatorii de telecomunicații. La acea vreme, riscurile reprezentate de ieșirea datelor erau legate în întregime de securitate, adică de posibilitatea ca informațiile sensibile să fie divulgate sau furate.

Acum, când majoritatea rețelelor corporative sunt expuse la internet, aceste riscuri de securitate au crescut exponențial. În plus, a apărut un nou risc legat de costuri, deoarece furnizorii de servicii cloud computing percep taxe pentru ieșirea datelor, uneori în moduri contraintuitive și surprinzătoare.

Șapte pași în vederea creării unei reprezentări vizuale a fluxului de date, a controalelor de securitate și a procedurilor implicate în procesul de ieșire
Urmați acești 7 pași pentru a crea o reprezentare vizuală a fluxului de date, a controalelor de securitate și a procedurilor implicate în procesul de ieșire.

Ieșirea datelor (Data Egress) vs. Intrarea datelor (Data Ingress)

Conceptul tradițional de data egress este strict legat de datele care părăsesc o rețea corporativă, în timp ce data ingress este înțeles în mod obișnuit ca fiind datele nesolicitate care intră într-o rețea. Atunci când informațiile sunt trimise în rețea ca răspuns la o solicitare internă, firewall-urile le lasă de obicei să treacă nestingherite. Pentru a proteja organizația, firewall-urile blochează în general datele nesolicitate, cu excepția cazului în care au fost stabilite reguli specifice contrare.

Însă economia cloud computing complică acest model simplu. Furnizorii de servicii cloud percep taxe per gigabyte pentru ieșirea datelor, dar, în general, permit intrarea datelor fără costuri. În plus, serviciile cloud au introdus noi concepte de ieșire a datelor care, în practică, stabilesc mai multe tipuri de limite de rețea decât perimetrul tradițional al rețelei corporative. De exemplu, cu Amazon Web Services (AWS), traficul pe aceeași rețea virtuală este adesea contorizat și taxat atunci când se deplasează între zonele de disponibilitate. Zonele de disponibilitate se referă la centrele de date cloud care se pot afla în aceeași regiune geografică, dar care au, de exemplu, operatori de rețea și furnizori de energie diferiți, ceea ce face foarte puțin probabil ca acestea să eșueze în același timp. Prin distribuirea resurselor în mai multe zone de disponibilitate, furnizorii cloud pot minimiza impactul defecțiunilor hardware, al dezastrelor naturale și al întreruperilor de rețea asupra serviciilor lor. Dar, deși zonele de disponibilitate sunt, în cele din urmă, un aspect pozitiv, taxele de ieșire aferente pot reprezenta o povară semnificativă și neprevăzută, în special atunci când o întreprindere migrează pentru prima dată în cloud.

În ceea ce privește monitorizarea și securitatea, este important să se realizeze un profil atât la intrarea, cât și la ieșirea datelor. În timp ce traficul de intrare necunoscut este de obicei blocat de firewall-uri, profilarea acestui trafic poate furniza informații utile despre amenințări pentru echipele de securitate. Datorită naturii și prevalenței firewall-urilor, monitorizarea intrărilor este un lucru obișnuit. Cu toate acestea, mult mai puține organizații monitorizează la fel de atent ieșirea datelor. Firewalling-ul și limitarea traficului de ieșire către ținte cunoscute pot limita impactul atacurilor și pot oferi protecție împotriva programelor malware.

Concluzii cheie

  • Ieșirea datelor reprezintă un risc de cost pentru clienții cloud și un risc de securitate pentru toate organizațiile.
  • Scurgerile de date sensibile pot prezenta riscuri financiare și organizaționale semnificative.
  • Monitorizarea atentă a ieșirii datelor poate ajuta la gestionarea și optimizarea cheltuielilor în cloud, detectând în același timp atacurile rău intenționate din timp.
  • Firewall-urile pot fi configurate pentru a limita traficul de intrare și de ieșire la locații cunoscute și de încredere.
  • Instrumentele de prevenire a pierderilor de date (Data loss prevention, DLP) ajută la identificarea și clasificarea datelor sensibile și aplică controale suplimentare pentru a preveni ieșirea neautorizată a datelor.

Ieșirea datelor explicată

Ieșirea datelor este o constantă care trebuie gestionată cu atenție din punct de vedere al securității și al costurilor. De exemplu, dacă o întreprindere își partajează catalogul de produse pe un site web destinat clienților, datele trebuie să părăsească rețeaua internă în care este întreținut catalogul și să traverseze internetul pentru a ajunge la browserul prin care clientul vizualizează site-ul. Fie că o întreprindere împărtășește date cu filiale sau parteneri, fie că interacționează cu clienții prin intermediul internetului, va exista întotdeauna un anumit volum de date care va părăsi rețeaua companiei.

Pentru întreprinderile care și-au mutat o parte sau toate infrastructurile IT în cloud, orice mișcare de date poate genera costuri de ieșire a datelor din cloud, în funcție de furnizorul lor și de proiectarea aplicațiilor lor.

Dincolo de cheltuieli, ieșirea datelor prezintă, de asemenea, riscul de a expune datele sensibile unor destinatari neautorizați sau neintenționați. Organizațiile trebuie să monitorizeze activitățile malițioase ale actorilor externi de amenințare și, în același timp, să fie atente la atacurile interne, cum ar fi exfiltrarea de date de către persoane din interior. Protejarea unei organizații împotriva acestor atacuri necesită o abordare cuprinzătoare care include o proiectare solidă a rețelei, o monitorizare continuă și arhitecturi de aplicații cloud configurate corespunzător. De obicei, organizațiile vor limita ieșirea datelor cu ajutorul firewall-urilor, monitorizând traficul de ieșire pentru a detecta anomalii sau activități rău intenționate. De asemenea, grupurile de securitate IT pot lua măsuri pentru a restricționa transferurile de date de mare volum și pentru a bloca anumite destinații de ieșire.

O monitorizare eficientă necesită o înțelegere aprofundată a modelelor normale de trafic și a modului în care acestea diferă în timpul unui atac sau al unui incident de exfiltrare a datelor. De asemenea, poate reprezenta o adevărată provocare pentru organizațiile IT. Cea mai frecventă modalitate de monitorizare a traficului de ieșire a datelor este examinarea și analiza fișierelor jurnal de la dispozitivele de rețea de la marginea rețelelor cloud sau locale. Cu toate acestea, volumul mare de trafic de la aceste dispozitive face ca această sarcină să fie dificilă pentru administratori. Multe firme folosesc instrumente de gestionare a informațiilor și evenimentelor de securitate (SIEM) pentru a înțelege mai bine amenințările. Instrumentele SIEM includ, de obicei, informații privind modelele de amenințări cunoscute, conformitatea cu reglementările și actualizări automate pentru a se adapta la noile amenințări. Deși implementarea sistemelor SIEM nu este un proces simplu, acest lucru poate îmbunătăți înțelegerea de către o organizație a modelelor de ieșire a datelor, permițând echipelor de securitate să identifice atacurile mult mai devreme.

De exemplu, o creștere bruscă a ieșirii de date ar putea indica un atac de exfiltrare a datelor, în care un agent de amenințare exportă cantități mari de date către o gazdă sau un serviciu extern. De asemenea, o monitorizare și un control atent al modelelor de ieșire a datelor pot ajuta la identificarea programelor malware care sunt deja prezente într-o rețea corporativă în timp ce încearcă să caute instrucțiuni suplimentare de la rețeaua de comandă și control. Multe atacuri ransomware moderne încearcă să exfiltreze volume mari de date pentru a extorca fonduri de la o organizație înainte de a cripta datele respective. Instrumentele, inclusiv DLP, sistemele de analiză a traficului de rețea, cum ar fi snifferul de pachete, și analiza comportamentului utilizatorilor pentru a detecta tipare anormale pot ajuta departamentul IT să detecteze exfiltrarea. Filtrarea ieșirii, prin care IT monitorizează traficul de ieșire și blochează traficul considerat rău intenționat, contribuie la reducerea acestor riscuri.

Dincolo de firewall-uri, organizațiile folosesc, de asemenea, software DLP pentru a se proteja împotriva exfiltrării datelor. Aceste instrumente utilizează tehnici precum catalogarea și etichetarea datelor cu etichete de sensibilitate, criptarea și auditul pentru a împiedica datele sensibile să părăsească rețeaua.

Amenințări privind ieșirea datelor din cloud

Pe lângă creșterea costurilor de cloud computing, ieșirea substanțială a datelor poate indica mai multe tipuri de amenințări, inclusiv un atac de exfiltrare a datelor de către un actor amenințător sau un malware care se deplasează lateral în cadrul unei rețele corporative prin intermediul comunicațiilor subnet.

  • Taxe de ieșire a datelor fără limită: Furnizorii de cloud pot percepe taxe pentru ieșirea datelor pe fiecare gigabyte. Taxele variază în funcție de tipul de serviciu cloud și de distanța dintre locația țintă și rețeaua sau segmentul de rețea de origine. Taxele excesive de ieșire a datelor pot proveni din câteva surse diferite. Cele mai frecvente sunt configurațiile greșite ale aplicațiilor care plasează resursele cu trafic de rețea intens în regiuni îndepărtate din punct de vedere geografic și sistemele hibride public-privat în care serviciile de cloud computing trimit în mod constant volume mari de date către computerele din incintă.
  • Taxele de ieșire din serviciile de stocare în cloud: Serviciile de stocare în cloud sunt utilizate în mod obișnuit pentru a găzdui activele site-ului web, cum ar fi imagini sau documente, iar taxele se pot aduna surprinzător de repede. Aceste servicii aplică două niveluri de taxe de ieșire: un set pentru citirile și scrierile în și din contul de stocare și un altul în cazul în care aceste operațiuni de citire traversează regiuni sau ies pe internet.
  • Performanță slabă a aplicațiilor: Aplicațiile configurate pentru a trimite trafic de rețea cloud între regiuni vor avea o latență end-to-end ridicată. Deși, la prima vedere, nu este o problemă de securitate sau de buget, acest lucru duce la o experiență de utilizare suboptimală, ceea ce ar putea avea un impact asupra veniturilor.
  • Atacuri de exfiltrare a datelor din interior: Orice persoană din interior care încearcă să exporte volume mari de date corporative din rețea ar trebui să fie investigată. Un exemplu tipic ar fi un vânzător nemulțumit care exportă o listă de clienți dintr-o bază de date a companiei într-o foaie de calcul personală.
  • Atacurile de exfiltrare a datelor din partea actorilor externi de amenințări: O tactică frecvent utilizată de actorii externi de amenințări este aceea de a minimiza posibilitatea de detectare timpurie prin infiltrarea într-o rețea cu un malware de bază. Odată intrat în interior, malware-ul se poate conecta la un site extern de comandă și control pentru a descărca software și pentru a-și extinde atacul sau pentru a exfiltra date corporative.
  • Transferul de date necriptate: Atunci când informațiile sensibile sunt transferate fără criptare, acestea pot fi potențial interceptate și exploatate de actori rău intenționați. Acest lucru poate duce la daune financiare sau reputaționale semnificative pentru o organizație.
  • Preocupări legate de rezidența datelor și de conformitate: În funcție de țara sau de industria unei organizații și de sensibilitatea datelor sale, ieșirea datelor către alte regiuni ar putea prezenta riscuri juridice și de conformitate. Acestea pot include probleme legate de rezidența datelor, deoarece unele țări impun din punct de vedere juridic ca anumite tipuri de date să rămână în anumite limite geografice.

7 bune practici de securitate pentru gestionarea ieșirii datelor din cloud

Organizațiile pot atenua riscurile de securitate legate de ieșirea datelor în mai multe moduri, cum ar fi realinierea serviciilor cloud pentru a limita traficul de ieșire. Următoarele șapte bune practici sunt utilizate de multe organizații pentru a controla și gestiona mai bine riscurile de securitate privind ieșirea datelor:

  1. Utilizați un firewall pentru a controla traficul de ieșire: Majoritatea organizațiilor utilizează firewall-uri pentru a limita traficul de intrare. Mult mai puțini, însă, își folosesc firewall-urile pentru a controla strict traficul de ieșire, chiar și în cazul rețelelor de servere în care se află cele mai sensibile date. Administratorii de rețea ar trebui să controleze cu strictețe și traficul de ieșire, consolidând astfel atât monitorizarea, cât și controalele de securitate.
  2. Creați o politică de ieșire a datelor: Stabilirea unei politici care să limiteze accesul utilizatorilor la servicii aprobate în prealabil, în special pentru rețelele în care sunt stocate date sensibile, limitează posibilitatea atacurilor de exfiltrare a datelor.
  3. Utilizați instrumente SIEM pentru a monitoriza traficul de rețea: Este imposibil pentru un administrator de rețea să analizeze tot traficul de la toate dispozitivele gestionate într-o rețea mare. Cu ajutorul automatizării alimentate de reguli stabilite de administratori și de învățare automată și tehnologie AI, un instrument SIEM poate ajuta la identificarea mai devreme a atacurilor și poate oferi niveluri suplimentare de protecție.
  4. Utilizați DLP pentru a clasifica, eticheta și proteja activele de date sensibile: La fel ca SIEM, și DLP utilizează învățarea automată pentru a inspecta datele, pentru a înțelege contextul lor, pentru a le compara cu politicile de ieșire a datelor stabilite și pentru a bloca transferurile de date care ar putea încălca aceste politici.
  5. Controlați accesul la datele confidențiale: Odată ce locațiile celor mai sensibile active de date au fost identificate și catalogate prin DLP, administratorii de rețea pot rafina în continuare controalele de acces pentru aceste seturi de date.
  6. Criptarea datelor sensibile: Criptarea poate oferi o ultimă linie de apărare împotriva atacurilor de exfiltrare a datelor. Dacă informațiile sunt criptate în tranzit și în repaus, datele vor rămâne ilizibile în cazul în care sunt exfiltrate fără cheia de criptare adecvată.
  7. Implementați un plan de răspuns la incidente: În cazul unui atac sau al unei încălcări a securității datelor, existența unui plan de răspuns clar definit poate accelera timpul de răspuns al unei organizații și poate spori eficiența generală a acesteia. La fel ca un plan de recuperare în caz de dezastru, un plan de răspuns la incidente ar trebui să fie semnat de un director executiv și testat în mod regulat prin discuții de tip tabletop exercises, astfel încât toată lumea să își înțeleagă rolul.

Rețineți că aceste practici nu sunt soluții unice separate, ci, mai degrabă depind unele de altele. De exemplu, elementul de clasificare a datelor din DLP și crearea unei politici de ieșire ar trebui să informeze atât configurațiile de firewall, cât și setările de control al accesului.

Cum să reduceți taxele de ieșire a datelor din cloud

Taxele de ieșire a datelor pot provoca surprize costisitoare la începutul procesului de migrare în cloud al unei organizații, așa că este important să monitorizați zilnic costurile de ieșire a datelor din cloud pentru a vă asigura că acestea se încadrează în buget – și să investigați dacă nu se încadrează. Toți furnizorii de cloud public oferă alerte legate de cheltuieli, astfel încât costurile de ieșire a datelor pot fi monitorizate la fel ca și utilizarea CPU a unei mașini virtuale. Cu toate acestea, monitorizarea este doar primul pas în reducerea costurilor de ieșire a datelor din cloud. Iată câteva sfaturi pentru reducerea costurilor de ieșire privind aplicațiile cloud.

  • Păstrați resursele cloud în aceeași regiune: Deși acest lucru poate părea de bun simț, anumite servicii pot fi disponibile doar în unele regiuni cloud, ceea ce duce la implementări costisitoare între regiuni.
  • Reduceți cheltuielile de numerar cu ajutorul memoriei cache: Stocarea datelor în memoria cache în apropierea aplicației poate elimina călătoriile dus-întors către bazele de date și serviciile de stocare.
  • Cumpărați linii private dedicate: Conexiunile directe de rețea privată oferă prețuri mai mici pentru transferul de date, uneori chiar și o rată fixă pe lună pentru ieșirea nelimitată de date, în funcție de furnizorul de cloud.
  • Utilizați rețelele de livrare de conținut (CDN): În mod similar, aplicațiile pot utiliza CDN pentru a stoca în memoria cache active web, cum ar fi imagini, documente și videoclipuri, mai aproape de utilizatori. Pe lângă reducerea costurilor de ieșire a datelor, utilizarea CDN-urilor duce, în general, la o experiență de navigare mai bună pentru utilizatori.
  • Comprimarea traficului de rețea atunci când este posibil: Utilizarea comprimării datelor ori de câte ori traficul de rețea se deplasează între regiuni sau zone de disponibilitate poate, de asemenea, să mențină costurile la un nivel scăzut. De exemplu, atunci când se replică o bază de date ocupată într-o altă regiune pentru a sprijini recuperarea în caz de dezastru, costurile CPU de comprimare și decomprimare a acestor date pot fi mult mai mici decât costurile potențiale de ieșire a datelor.
  • Implementarea deduplicării: În special pentru procesele de backup, utilizarea deduplicării alături de comprimare poate reduce și mai mult volumul de date transferate, reducând astfel costurile.
  • Reconfigurarea aplicațiilor: Revizuirea aplicațiilor existente pentru a le face native în cloud poate reduce costurile de ieșire prin îmbunătățirea eficienței cu care acestea utilizează datele.

În timp ce aceste schimbări pot necesita o investiție semnificativă o singură dată pentru a fi implementate, în cele din urmă pot reduce facturile recurente pentru cloud, ceea ce duce la o rentabilitate puternică a costului inițial și la o mai bună gestionare a costurilor cloud. Dacă taxele de ieșire a datelor reprezintă o mare parte din costurile cloud ale organizației dvs., prioritizarea acestor modificări față de alte proiecte de inginerie ar putea fi un câștig net.

Reduceți costurile de ieșire a datelor cu Oracle

Diferiți furnizori de cloud impun sume diferite pentru ieșirea datelor. Chiar și în cazul unui singur furnizor de cloud computing, modelele de tarifare pentru ieșirea datelor pot varia de la un serviciu la altul. Reducerea complexității și a costului total al ieșirii datelor au fost printre principalele considerente ale Oracle atunci când a construit Oracle Cloud Infrastructure (OCI). Urmând aceste principii încă de la început, Oracle a reușit să ofere prețuri globale pentru mai multe servicii cloud și costuri de ieșire a datelor mult mai mici decât alți furnizori – inclusiv Amazon Web Services (AWS) și Google Cloud.

Ratele de ieșire a datelor mai mici ale OCI permit întreprinderilor să mute volume semnificative de date între regiunile de cloud, fie intern, fie către clienții lor. De exemplu, clienții OCI din America de Nord și Europa ar plăti 783 USD pentru 100 de terabytes (TB) de date de ieșire către locații de pe internetul public, în comparație cu aproximativ 8.000 USD pentru utilizatorii AWS și Google Cloud. Clienții care achiziționează o linie privată dedicată OCI FastConnect de 10 gigabiți pe secundă plătesc o rată fixă de 918 dolari pe lună pentru ieșirea nelimitată de date; presupunând o utilizare de 50 % a acestei linii (1 620 TB transferați), costul echivalent pentru o linie privată AWS Direct Connect ar fi de 34.020 dolari.

Prețul de ieșire a datelor OCI este un factor de diferențiere important pentru organizațiile care creează servicii cloud care necesită cantități mari de lățime de bandă. Printre aplicațiile la scară largă care profită de aceste tarife se numără streamingul video în direct, conferințele video și jocurile.

Pentru a evalua care ar fi costurile de ieșire a datelor și alte costuri de cloud ale organizației dvs. în calitate de client Oracle Cloud, utilizați OCI Cost Estimator.

Ieșirea necontrolată a datelor poate reprezenta atât un risc de securitate, cât și un risc financiar pentru organizații. Implementarea în cloud a unei aplicații care nu este nativă pentru cloud sau a unei aplicații slab concepute poate duce la costuri necontrolate de ieșire a datelor și la o securitate inadecvată care expune organizațiile la riscul de exfiltrare a datelor și la atacuri ransomware.

Ca atare, este important să restricționați, să fortificați și să monitorizați traficul de ieșire din rețeaua unei companii. Pe scurt, organizațiile trebuie să controleze unde pot călători datele lor și să fie atente la orice tip de anomalie. Cele mai bune practici pentru organizațiile de securitate a rețelelor includ implementarea unui plan bun de răspuns la incidente și utilizarea tehnologiilor SIEM și DLP. În plus, alegerea furnizorului cloud potrivit pentru cerințele lor și proiectarea sau re-arhitecturarea aplicațiilor ținând cont de costurile de ieșire a datelor pot contribui în mod semnificativ la rentabilitatea investiției în cloud a unei organizații.

Inteligența artificială îi poate ajuta pe directorii IT să analizeze datele pentru a optimiza cheltuielile în cloud și să sugereze modificări de cod pentru arhitectură pentru a minimiza ieșirea. Aflați cum puteți valorifica puterea inteligenței artificiale chiar acum pentru a aborda problemele legate de talente, securitate și alte provocări.

Întrebări frecvente privind ieșirea datelor

Ce este costul de ieșire a datelor?

Pe lângă costul resurselor de calcul și de stocare, furnizorii de cloud computing contorizează și facturează, de asemenea, ieșirea datelor. În timp ce aceste costuri pot varia în funcție de furnizorul cloud, ele sunt de obicei percepute pe baza unui gigabyte pentru datele care circulă între regiunile de cloud, zonele de disponibilitate sau către internet sau rețelele locale. Taxele de ieșire a datelor pot fi, de asemenea, diferite în funcție de locația țintă și de furnizorul cloud. Acestea pot fi reduse prin comprimarea datelor, prin utilizarea rețelelor de livrare de conținut și prin colocarea datelor pentru a limita traficul între regiuni.

Ce este egress-ul în cloud computing?

Egress-ul este definit ca fiind datele care trec dintr-o rețea în alta, dar termenul capătă o complexitate suplimentară în cloud computing. În cazul mașinilor virtuale și al rețelelor, traficul de rețea standard între regiunile cloud sau zonele de disponibilitate este considerat ieșire de date. În plus, datele care călătoresc din cloud înapoi în rețelele locale sau către internet sunt, de asemenea, contorizate ca ieșire de date.