Kevin Bogusch | Oracle Kıdemli Rekabetçi İstihbarat Analisti | 22 Ocak 2024
Veri çıkışının aldatıcı derecede basit tanımı sadece "ağı terk eden veri "dir. Elbette veri çıkışını izlemek ve kontrol etmek hiçbir zaman basit bir mesele olmamıştır. E-ticaret, bulutta barındırılan BT altyapısı ve artan siber saldırı tehdidinden oluşan modern dünyamızda, BT uzmanları ve işletme yöneticileri, veri çıkışı ve bununla ilgili maliyetler ve güvenlik riskleri hakkında incelikli bir anlayışa ihtiyaç duymaktadır.
Örneğin maliyetler, bulutta BT altyapısı olan şirketler için bir endişe kaynağıdır çünkü bulut sağlayıcıları genellikle veri çıkışı için ücret alır ve bu ücretler birikebilir. Bu arada, veri çıkış güvenliği endişeleri, yanlışlıkla ağ dışına iletilebilecek veya bir kuruluşu utandırmak veya verileri fidye için elinde tutmak isteyen bir tehdit aktörü tarafından kasıtlı olarak çalınabilecek değerli veya hassas bilgilere odaklanır.
İnternet ve mobil uygulamalara bağımlılık, veri çıkışının ve risklerinin iş yapmanın sadece bir parçası olduğu anlamına gelir. Bu veri akışlarının izlenmesi, finansal ve güvenlik tehditlerinin sınırlandırılması için çok önemlidir.
Veri çıkışı, e-posta, web siteleriyle etkileşimler veya dosya aktarımları yoluyla bir ağdan bulut depolama kaplarına veya diğer kaynaklara akan bilgileri ifade eder. Modern kuruluşlar birbirleriyle ve müşterileriyle bu şekilde iletişim kurar. İşletmeler bulut altyapılarına geçtikçe ve hizmet olarak yazılım (SaaS) uygulamalarını benimsedikçe, bu hizmetleri veri çıkışı ve girişi yoluyla da tüketmektedirler. Aslında, bir kuruluş kendi sınırlarının ötesinde kesinlikle hiçbir bağlantısı olmayan askeri düzeyde hava boşluklu bir ağ işletmediği sürece, bilgi sürekli olarak içeri ve dışarı akar.
1990'ların başında genel internetin ve bulut bilişimin ortaya çıkmasından önce, kurumsal ağlar genellikle kapalıydı veya yalnızca bir kuruluş tarafından bilinçli olarak seçilen ağlara bağlıydı. Bu bağlantılar telekomünikasyon taşıyıcılarından satın alınan özel ağ hatları üzerinden gerçekleştirilmiştir. O zamanlar veri çıkışının yarattığı riskler tamamen güvenlikle, yani hassas bilgilerin sızdırılması veya çalınması potansiyeliyle bağlantılıydı.
Şimdi, çoğu kurumsal ağın internete maruz kalmasıyla birlikte, bu güvenlik riskleri katlanarak artmıştır. Buna ek olarak, bulut hizmet sağlayıcılarının veri çıkışı için bazen mantıksız ve şaşırtıcı şekillerde ücret talep etmesi nedeniyle yeni bir maliyet riski ortaya çıkmıştır.
Veri Girişine Karşılık Veri Çıkışı
Geleneksel veri çıkışı kavramı, kurumsal bir ağdan ayrılan verilerle ilgilidir ve veri girişi genellikle bir ağa gelen istenmeyen veriler olarak anlaşılır. Dahili bir talebe yanıt olarak ağa bilgi gönderildiğinde, güvenlik duvarları genellikle bunun engellenmeden geçmesine izin verir. Güvenlik duvarları, kurumu korumak için, aksi yönde özel kurallar belirlenmediği sürece genellikle istenmeyen verileri durdurur.
Bulut bilişimin ekonomisi bu basit modeli karmaşıklaştırmaktadır. Bulut hizmet sağlayıcıları veri çıkışı için gigabayt başına ücret almasına karşın genellikle veri girişine ücretsiz olarak izin verir. Ayrıca bulut hizmetleri veri çıkışı için yeni kavramlar getirmiştir ve bunlar pratikte geleneksel kurumsal ağ çevresinden daha fazla ağ sınırı oluşturmaktadır. Örneğin, Amazon Web Services (AWS) ile, aynı sanal ağ üzerindeki trafik genellikle ölçülür ve kullanılabilirlik bölgeleri arasında hareket ederken ücretlendirilir. Kullanılabilirlik bölgeleri, aynı coğrafi bölgede olabilen ancak örneğin farklı ağ taşıyıcılarına ve güç sağlayıcılarına sahip olan ve aynı anda arızalanma olasılığı çok düşük olan bulut veri merkezlerini ifade eder. Bulut sağlayıcıları, kaynakları birden fazla kullanılabilirlik bölgesine dağıtarak donanım arızalarının, doğal afetlerin ve ağ kesintilerinin hizmetleri üzerindeki etkisini en aza indirebilir. Ancak kullanılabilirlik bölgeleri nihayetinde olumlu olsa da, ilgili çıkış ücretleri, özellikle bir işletme buluta ilk kez geçtiğinde önemli ve beklenmedik bir maliyet yükü oluşturabilir.
İzleme ve güvenlikle ilgili olarak, hem veri girişini hem de çıkışını profillemek önemlidir. Bilinmeyen giriş trafiği genellikle güvenlik duvarları tarafından engellenirken, bu trafiğin profilinin çıkarılması güvenlik ekipleri için yararlı tehdit bilgileri sağlayabilir. Güvenlik duvarlarının doğası ve yaygınlığı nedeniyle, girişin izlenmesi yaygındır. Ancak çok daha az sayıda kuruluş veri çıkışını aynı dikkatle izlemektedir. Güvenlik duvarı ve çıkış trafiğinin bilinen hedeflerle sınırlandırılması saldırıların etkisini sınırlayabilir ve kötü amaçlı yazılımlara karşı koruma sağlayabilir.
Ana Fikirler
Veri çıkışı, güvenlik ve maliyet açısından dikkatle yönetilmesi gereken bir sabittir. Örneğin, bir işletme ürün kataloğunu müşteriye yönelik bir web sitesinde paylaşıyorsa, verilerin kataloğun tutulduğu dahili ağdan ayrılması ve müşterinin siteyi görüntülediği tarayıcıya ulaşmak için interneti kat etmesi gerekir. Bir işletme ister iştirakleri veya ortaklarıyla veri paylaşıyor isterse internet üzerinden müşterileriyle etkileşim kuruyor olsun, her zaman şirket ağından ayrılan bir miktar veri olacaktır.
BT altyapılarının bir kısmını veya tamamını buluta taşıyan kuruluşlar için, herhangi bir veri hareketi, sağlayıcılarına ve uygulamalarının tasarımına bağlı olarak bulut veri çıkış maliyetlerine neden olabilir.
Masrafların ötesinde, veri çıkışı hassas verilerin yetkisiz veya istenmeyen alıcılara ifşa edilmesi riskini de beraberinde getirir. Kuruluşlar bir yandan dış tehdit aktörlerinin kötü niyetli faaliyetlerini izlerken, diğer yandan içeriden veri sızdırma gibi dahili saldırılara karşı dikkatli olmalıdır. Bir kuruluşu bu saldırılara karşı korumak için sağlam bir ağ tasarımı, sürekli izleme ve uygun şekilde yapılandırılmış bulut uygulama mimarilerini içeren kapsamlı bir yaklaşım gerekir. Tipik olarak, kuruluşlar güvenlik duvarlarını kullanarak veri çıkışını sınırlar, anormallikler veya kötü niyetli faaliyetler için giden trafiği izler. BT güvenlik grupları ayrıca yüksek hacimli veri aktarımlarını kısıtlamak ve belirli giden hedefleri engellemek için adımlar atabilir.
Etkili izleme, normal trafik modellerinin ve bunların bir saldırı veya veri sızma olayı sırasında nasıl değiştiğinin derinlemesine anlaşılmasını gerektirir. BT kuruluşları için de gerçek bir zorluk teşkil edebilir. Veri çıkış trafiğini izlemenin en yaygın yolu, bulut veya şirket içi ağların ucundaki ağ cihazlarından gelen günlük dosyalarını incelemek ve analiz etmektir. Ancak bu cihazlardan gelen trafik hacmi, bunu yöneticiler için zorlu bir görev haline getirmektedir. Birçok firma tehditleri daha iyi anlamak için güvenlik bilgi ve olay yönetimi (SIEM) araçlarını kullanır. SIEM araçları tipik olarak bilinen tehdit modellerine ilişkin istihbarat, mevzuata uygunluk ve yeni tehditlere uyum sağlamak için otomatik güncellemeler içerir. SIEM sistemlerini uygulamak basit bir süreç olmasa da, bunu yapmak bir kuruluşun veri çıkış modellerini anlamasını geliştirebilir ve güvenlik ekiplerinin saldırıları çok daha erken tespit etmesini sağlayabilir.
Örneğin, veri çıkışındaki ani bir artış, bir tehdit aktörünün büyük miktarda veriyi harici bir ana bilgisayara veya hizmete aktardığı bir veri sızma saldırısına işaret edebilir. Aynı şekilde, veri çıkış modellerinin dikkatli bir şekilde izlenmesi ve kontrol edilmesi, komuta ve kontrol ağından daha fazla talimat almaya çalışırken kurumsal bir ağda zaten mevcut olan kötü amaçlı yazılımların tespit edilmesine yardımcı olabilir. Birçok modern fidye yazılımı saldırısı, verileri şifrelemeden önce bir kuruluştan para sızdırmak için büyük hacimlerde veriyi dışarı sızdırmaya çalışır. DLP, paket koklayıcılar gibi ağ trafiği analiz sistemleri ve anormal kalıpları tespit etmek için kullanıcı davranışı analizi gibi araçlar, BT'nin dışarı sızmayı tespit etmesine yardımcı olabilir. BT'nin giden trafiği izlediği ve kötü niyetli olduğu düşünülen trafiği engellediği çıkış filtrelemesi de bu riskleri azaltmaya yardımcı olur.
Güvenlik duvarlarının ötesinde, kuruluşlar veri sızıntısına karşı koruma sağlamak için DLP yazılımı da kullanmaktadır. Bu araçlar, hassas verilerin ağdan çıkmasını önlemek için verileri hassasiyet etiketleriyle kataloglama ve etiketleme, şifreleme ve denetleme gibi teknikler kullanır.
Bulut maliyetlerini artırmanın yanı sıra, önemli miktarda veri çıkışı, bir tehdit aktörünün veri sızma saldırısı veya alt ağ iletişimleri yoluyla kurumsal bir ağda yanal olarak hareket eden kötü amaçlı yazılımlar dahil olmak üzere çeşitli tehdit türlerine işaret edebilir.
Kuruluşlar, giden trafiği sınırlandırmak için bulut hizmetlerini yeniden düzenlemek gibi çeşitli yollarla veri çıkışıyla ilgili güvenlik risklerini azaltabilir. Aşağıdaki yedi en iyi uygulama, birçok kuruluş tarafından veri çıkışı güvenlik risklerini daha iyi kontrol etmek ve yönetmek için kullanılmaktadır:
Bu uygulamaların ayrı ayrı tek seferlik çözümler olmadığını, aksine birbirlerine bağlı olduklarını unutmayın. Örneğin, DLP'nin veri kategorizasyonu unsuru ve bir çıkış politikasının oluşturulması hem güvenlik duvarı yapılandırmalarını hem de erişim kontrolü ayarlarını bilgilendirecektir.
Veri çıkış ücretleri, bir kuruluşun buluta geçiş sürecinin başlarında bazı maliyetli sürprizlere yol açabilir, bu nedenle bütçe dahilinde olduklarından emin olmak için bulut veri çıkış maliyetlerini günlük olarak izlemek ve değilse araştırmak önemlidir. Tüm genel bulut sağlayıcıları harcamalara bağlı uyarıları destekler, böylece veri çıkış maliyetleri tıpkı bir sanal makinenin CPU kullanımı gibi izlenebilir. Ancak izleme, bulut veri çıkışının maliyetini azaltmanın yalnızca ilk adımıdır. İşte bulut uygulamalarında çıkış maliyetlerini düşürmek için birkaç ipucu.
Bu değişikliklerin uygulanması tek seferlik önemli bir yatırım gerektirse de, sonuçta yinelenen bulut faturalarını düşürebilir, böylece ilk maliyetten güçlü bir geri dönüş ve daha iyi bulut maliyeti yönetimi sağlayabilir. Veri çıkış ücretleri kuruluşunuzun bulut maliyetlerinin büyük bir bölümünü oluşturuyorsa, bu değişikliklere diğer mühendislik projelerine göre öncelik vermek net bir kazanç olabilir.
Farklı bulut sağlayıcıları veri çıkışı için farklı tutarlar talep etmektedir. Tek bir bulut sağlayıcısında bile, veri çıkış fiyatlandırma modelleri bireysel hizmetler arasında farklılık gösterebilir. Veri çıkışının karmaşıklığını ve toplam maliyetini azaltmak, Oracle Oracle Cloud Infrastructure (OCI) oluştururken göz önünde bulundurduğu en önemli hususlar arasındaydı. Başından beri bu ilkeleri takip eden Oracle, çeşitli bulut hizmetleri için küresel fiyatlandırma ve Amazon Web Services (AWS) ve Google Cloud da dahil olmak üzere diğer sağlayıcılardan çok daha düşük veri çıkış maliyetleri sunabildi.
OCI'nin düşük veri çıkış hızları, kurumların önemli hacimlerdeki verileri bulut bölgeleri arasında dahili olarak veya müşterilerine taşımasına olanak tanır. Örneğin, Kuzey Amerika ve Avrupa'daki OCI müşterileri, genel internet üzerindeki konumlara giden 100 terabayt (TB) veri için 783 ABD doları öderken, bu rakam AWS ve Google Cloud kullanıcıları için yaklaşık 8.000 ABD dolarıdır. OCI FastConnect saniyede 10 gigabit özel hat satın alan müşteriler, sınırsız veri çıkışı için aylık 918 ABD doları sabit ücret ödemektedir; bu hattın %50 oranında kullanıldığı (1.620 TB aktarıldığı) varsayıldığında, AWS Direct Connect özel hat üzerinden eşdeğer maliyet 34.020 ABD doları olacaktır.
OCI veri çıkış fiyatlandırması, büyük miktarlarda bant genişliği gerektiren bulut hizmetleri oluşturan kuruluşlar için büyük bir farklılaştırıcıdır. Bu oranlardan yararlanan büyük ölçekli uygulamalar arasında canlı video akışı, video konferans ve oyun yer alıyor.
Oracle Cloud müşterisi olarak kuruluşunuzun veri çıkışı ve diğer bulut maliyetlerinin ne olacağını değerlendirmek için OCI maliyet tahmincisini kullanın.
Sınırsız veri çıkışı, kuruluşlar için hem güvenlik hem de mali risk oluşturabilir. Bulutta yerel olmayan veya kötü tasarlanmış bir uygulamanın dağıtılması, kontrol edilmeyen veri çıkış maliyetlerine ve kuruluşları veri sızıntısı ve fidye yazılımı saldırıları riskiyle karşı karşıya bırakan yetersiz güvenliğe yol açabilir.
Bu nedenle, bir şirket ağından giden trafiği kısıtlamak, güçlendirmek ve izlemek önemlidir. Kısacası, kuruluşların verilerinin nereye gidebileceğini kontrol etmeleri ve herhangi bir anormal modele dikkat etmeleri gerekir. Ağ güvenliği kuruluşları için en iyi uygulamalar, iyi bir olay müdahale planı uygulamayı ve SIEM ve DLP teknolojilerini kullanmayı içerir. Buna ek olarak, gereksinimleri için doğru bulut sağlayıcısını seçmek ve uygulamaları veri çıkış maliyetlerini göz önünde bulundurarak tasarlamak veya yeniden tasarlamak, bir kuruluşun bulut yatırım getirisine önemli ölçüde katkıda bulunabilir.
Yapay zeka, CIO'ların bulut harcamalarını optimize etmek için verileri analiz etmelerine ve çıkışı en aza indirmek için mimarlara kod değişiklikleri önermelerine yardımcı olabilir. Yetenek, güvenlik ve diğer zorlukların üstesinden gelmek için yapay zekanın gücünden nasıl yararlanacağınızı şimdi öğrenin.
Veri çıkış maliyeti nedir?
Bilgi işlem ve depolama kaynaklarının maliyetine ek olarak, bulut sağlayıcıları veri çıkışını da ölçer ve faturalandırır. Bu maliyetler bulut sağlayıcısına göre değişebilmekle birlikte, genellikle bulut bölgeleri, kullanılabilirlik bölgeleri arasında veya internete ya da şirket içi ağlara taşınan veriler için gigabayt başına ücretlendirilir. Veri çıkış ücretleri de hedef konuma ve bulut sağlayıcısına göre farklılık gösterebilir. Veriler sıkıştırılarak, içerik dağıtım ağlarından yararlanılarak ve bölgeler arası trafiği sınırlandırmak için veriler ortak konumlandırılarak azaltılabilir.
Bulut bilişimde çıkış nedir?
Çıkış, bir ağdan diğerine giden veri olarak tanımlanmasına karşın bu terim bulut bilişimde daha karmaşık bir hal alır. Sanal makineler ve ağlar ile bulut bölgeleri veya kullanılabilirlik bölgeleri arasındaki standart ağ trafiği veri çıkışı olarak kabul edilir. Ayrıca, buluttan şirket içi ağlara veya internete geri dönen veriler de veri çıkışı olarak ölçülür.