什麼是資料傳出?傳入與傳出的比較

Kevin Bogusch | Oracle 資深競爭情報分析師 | 2024 年 1 月 22 日

直接將資料傳出簡單定義為「資料離開網路」可能不盡正確。當然,監控和控制資料傳出從來不是件易事。在電子商務、雲端代管 IT 基礎架構和愈來愈多網路攻擊威脅的現代世界中,IT 專業人員和業務經理都需要深入瞭解資料傳出以及其相關成本和安全性風險。

例如,對於在雲端擁有 IT 基礎架構的公司,成本會是一項考量,因為雲端供應商通常會收取資料傳出費用,而且這些費用可能會增加。同時,資料傳出安全性考量關注寶貴或敏感資訊,這些資訊可能不小心從網路傳出,或是遭到威脅行為者蓄意竊取,企圖造成組織難堪或挾持資料勒索贖金。

依賴網際網路和行動應用程式,表示業務營運過程中難免會有資料傳出及其風險。監控這些資料流程對於限制財務和安全性威脅至關重要。

什麼是資料傳出?

資料傳出是指資訊從網路流出 (無論是透過電子郵件、與網站的互動或檔案傳輸) 到雲端儲存容器或其他來源。這是現代組織彼此溝通以及與客戶溝通的方式。當企業移轉到雲端基礎架構並採用軟體即服務 (SaaS) 應用程式時,他們會透過資料傳出和傳入來使用這些服務。事實上,除非組織經營軍用等級的實體隔離網路,而絕對沒有超過其本身界限的連線,否則資訊會不斷流入和流出。

在 1990 年代早期的公有網際網路和雲端運算來臨前,公司網路通常會關閉或只連結至組織有意選擇的網路。這些連結是透過從電信營運商購買的專用私有網路線路建立。當時,資料傳出所帶來的風險完全與安全性相關,也就是敏感資訊可能外洩或遭竊。

現在,隨著大多數公司網路暴露在網際網路下,這些安全性風險也呈指數增加。此外,由於雲端服務供應商有時會出乎意料地收取資料傳出費用,因此還出現了新的成本風險。

七個步驟建立視覺化表示,以呈現傳出過程中涉及的資料流程、安全控制和程序
請依照這 7 個步驟,建立傳出過程中涉及之資料流程、安全控制和程序的視覺化表示。

資料傳出與資料傳入的比較

資料傳出的傳統概念嚴格來說與資料離開公司網路有關,而資料傳入通常可理解為未經要求的資料傳入網路。當資訊傳送至網路以回應內部要求時,防火牆通常會放行而不阻擋。為了保護組織,防火牆通常會阻擋未經要求的資料,除非已建立與此相反的特定規則。

雲端運算的經濟效益使得這個簡單的模型變得複雜。雲端服務供應商會針對資料傳出收取每 GB 的費用,但通常免費允許資料傳入。此外,雲端服務也導入了資料傳出的新概念,那就是實際上會建立比傳統公司網路周邊更多類型的網路界限。例如,使用 Amazon Web Services (AWS) 時,當流量在可用性區域之間移動時,通常會計量同一個虛擬網路的流量並收取費用。可用性區域是指資料中心可能位於相同的地理區域,但有不同的網路營運商和電力供應商,而不太可能同時失敗。藉由將資源分散到多個可用性區域,雲端供應商就能將硬體故障、自然災害和網路中斷對其服務的影響降到最低。但儘管可用性區域最終是正面的,相關傳出費用可能會產生顯著且無法預期的成本負擔,特別是在企業首次移轉到雲端時。

關於監控和安全性,請務必同時對資料傳入和傳出進行分析。雖然防火牆通常會封鎖未知的傳入流量,但流量分析可為安全性團隊提供有用的威脅資訊。由於防火牆的本質和普遍性,監控傳入十分常見。不過,很少有組織會同樣仔細地監控資料傳出。設定防火牆並限制傳出流量至已知目標,可限制攻擊的影響,並提供保護免於惡意軟體的威脅。

重點精華

  • 資料傳出為雲端客戶帶來成本風險,並為所有組織帶來安全性風險。
  • 敏感資料外洩可能會造成重大財務和組織風險。
  • 仔細監控資料傳出可協助管理和最佳化雲端支出,同時及早偵測到惡意攻擊。
  • 您可以設定防火牆,將輸入和輸出流量限制為可信賴的已知位置。
  • 資料遺失預防 (DLP) 工具可協助識別和分類敏感資料,並套用其他控制以防止未經授權的資料傳出。

資料傳出說明

資料傳出是一個必須在安全性和成本方面謹慎管理的常數。例如,如果企業在面向客戶的網站上分享產品型錄,則資料必須離開維護型錄的內部網路,並周遊網際網路已抵達客戶用來檢視網站的瀏覽器。無論企業是與子公司或合作夥伴分享資料,還是透過網際網路與客戶互動,一律會有一些資料離開公司網路。

對於已將部分或所有 IT 基礎架構移至雲端的企業,任何資料移動都可能會產生雲端資料傳出成本,視其供應商以及其應用程式的設計而定。

除了這項支出之外,資料傳出也具有對未授權或非預期接收方公開敏感資料的風險。組織必須監控是否有外部威脅行為者的惡意活動,同時注意是否有內部攻擊 (例如內部人員的資料外流)。若要保護組織免於這些攻擊,必須採用全方位的方法,包括穩固的網路設計、持續監控,以及正確設定的雲端應用程式架構。一般而言,組織會使用防火牆限制資料傳出,以監控外送流量是否有異常或惡意活動。IT 安全性群組也可以採取措施來限制大量資料傳輸,並封鎖特定輸出目的地。

有效的監控需要深入瞭解正常流量模式,以及其與攻擊或資料外流事件期間有何不同。這也可能會為 IT 組織帶來真正的挑戰。監控資料傳出流量的最常見方式,就是在雲端邊緣或內部部署網路檢閱和分析網路裝置的日誌檔。不過,這些裝置的流量非常大,因此對管理員而言是非常艱鉅的任務。許多公司使用安全性資訊與事件管理 (SIEM) 工具來進一步瞭解威脅。SIEM 工具通常包括已知威脅模式、法規遵循和自動化更新的相關情報,以因應新威脅。雖然導入 SIEM 系統不是簡單的過程,但這樣做可讓組織更加瞭解資料傳入模式,以便安全性團隊更早識別攻擊。

例如,資料傳出的突然激增可能表示發生資料外流攻擊,其中威脅行為者會將大量資料匯出至外部主機或服務。同樣地,當公司網路中已存在的惡意軟體嘗試從其指揮與控制網路尋求進一步指示時,仔細監控和控制資料傳出模式也可協助識別這些惡意軟體。許多現代勒索軟體攻擊會嘗試將大量未加密的資料外流,藉此向組織勒索錢財。DLP、網路流量分析系統 (例如封包嗅探器) 以及用於偵測異常模式的使用者行為分析等工具,都可協助 IT 部門偵測外流。傳出篩選可讓 IT 部門監控輸出流量,並封鎖判定為惡意的流量,因此也有助於降低這些風險。

除了防火牆之外,組織還使用 DLP 軟體來防止資料外流。這些工具採用了編目,並以敏感度標籤標記資料、加密以及稽核等技術來防止敏感資料離開網路。

雲端資料傳出威脅

大量資料傳出除了會提高雲端成本之外,也會帶來數種威脅,包括威脅行為者的資料外流攻擊,或是透過子網路通訊在公司網路內橫向移動的惡意軟體。

  • 無限資料傳出費用:雲端供應商可能會針對資料傳出收取每 GB 的費用。費用會因雲端服務類型以及目標位置與原始網路或網路區段的距離而異。過高的資料傳出費用可能來自幾個不同的來源。最常見的來源包括應用程式組態錯誤,將具有高網路流量的資源放在地理位置遙遠的區域;以及混合公有和私有系統,導致雲端服務持續將大量資料傳送至內部部署電腦。
  • 雲端儲存服務傳出費用:雲端儲存服務一般會用於代管網站資產 (例如影像或文件),因此費用可能會以驚人的速度增加。這些服務會有兩層傳出費用:一組是針對進出儲存帳戶的讀取和寫入,另一組是針對在區域之間移動或傳送至網際網路的讀取作業。
  • 應用程式效能不佳:設定為在區域之間傳送雲端網路流量的應用程式會有很高的端對端延遲。雖然表面上不會構成安全性或預算問題,但這其實會造成使用者體驗不佳,最終可能會影響收入。
  • 內部人員資料外流攻擊:任何嘗試從網路匯出大量公司資料的內部人員都應加以調查。一種典型的範例是,某位不滿的銷售人員將客戶名單從公司資料庫匯出至個人試算表。
  • 來自外部威脅行為者的資料外流攻擊:外部威脅行為者經常使用的一個策略是,透過簡單的惡意軟體滲透網路,將早期偵測的可能性降到最低。一旦進入內部,惡意軟體可能會連線到外部指揮與控制網站以下載軟體,並擴大其攻擊或將公司資料外流。
  • 未加密的資料傳輸:當敏感資訊在未經加密的情況下傳輸時,有可能被惡意行為者攔截和利用。這可能會導致組織的財務或聲譽嚴重受損。
  • 資料駐留與合規考量:根據組織的國家/地區或產業以及其資料的敏感度,傳出資料至其他區域可能會造成法律與合規風險。這些可能包括資料駐留問題,因為某些國家/地區會依法要求某些類型的資料留在特定地理邊界內。

雲端資料傳出管理的 7 個安全性最佳實務

組織可以透過一些方式來降低與資料傳出相關的安全性風險,例如重新調整雲端服務以限制輸出流量。許多組織使用下列七個最佳實務,更妥善地控制和管理資料傳出安全性風險:

  1. 使用防火牆控制輸出流量:大多數組織都會使用防火牆來限制輸入流量。很少有組織會使用防火牆來嚴密控制輸出流量,即使對於最敏感資料所在的伺服器網路也一樣。網路管理員也應該嚴密控制輸出流量,藉此強化監控和安全性控制。
  2. 建立資料傳出政策:建立限制使用者存取預先核准服務的政策 (特別是對於儲存敏感資料的網路),有助於限制資料外流攻擊的可能性。
  3. 使用 SIEM 監控網路流量:網路管理員無法檢閱大型網路上所有受管理裝置的所有流量。透過管理員所建立規則以及機器學習和 AI 技術推動的自動化,SIEM 工具可協助更早識別攻擊,並提供額外的保護層級。
  4. 使用 DLP 分類、標示和保護敏感資料資產:如同 SIEM,DLP 也會使用機器學習來檢查資料、瞭解其情境、比對既有的資料傳出政策,並封鎖可能違反這些政策的資料傳輸。
  5. 控制對敏感資料的存取:透過 DLP 識別並分類最敏感資料資產的位置之後,網路管理員就可以進一步調整對這些資料集的存取控制。
  6. 加密敏感資料:加密可為資料外流攻擊提供最後一道防線。如果加密傳輸中和靜態的資訊,即使資料在沒有適當加密金鑰的情況下遭到外流,也會保持無法讀取的狀態。
  7. 實施事件回應計畫:在發生攻擊或資料外洩的情況下,具備明確定義的回應計畫可加速組織的回應時間並提升其整體成效。如同災難復原計畫,事件回應計畫應經過高階主管簽核,並透過桌上模擬演練定期測試,以便所有人都瞭解自己的角色。

請注意,這些實務不是個別的一次性解決方案,而會互相依賴。例如,DLP 的資料分類元素和傳出政策的建立都會影響防火牆組態和存取控制設定。

如何減少雲端資料傳出費用

資料傳出費用可能會導致組織雲端移轉流程的初期發生一些昂貴的意外,因此請務必每日監控雲端資料傳出成本,以確保符合預算,並在不符合時進行調查。所有公有雲供應商都支援與支出相關的警示,因此您可以像虛擬機器的 CPU 使用率一樣監控資料傳出成本。不過,監控只是降低雲端資料傳出成本的第一步。以下是一些降低雲端應用程式傳出成本的祕訣。

  • 將雲端資源保留在相同的區域:雖然這似乎是常識,但某些服務可能只會在部分雲端區域提供,導致昂貴的跨區域部署。
  • 透過快取減少現金支出:將資料儲存在接近應用程式的記憶體內部快取中,可免除資料庫和儲存服務的往返。
  • 購買專用私有線路:直接私有網路連線提供更低的資料傳輸定價,視雲端供應商而定,有時甚至針對無限資料傳出提供每月固定費率。
  • 使用內容傳遞網路 (CDN):同樣地,應用程式可以使用 CDN 在較接近使用者的位置快取 Web 資產 (例如影像、文件和影片)。除了降低資料傳出成本之外,採用 CDN 通常還能為使用者提供更好的瀏覽體驗。
  • 盡可能壓縮網路流量:每次網路流量在區域或可用性區域之間移動時都採用資料壓縮,也可以降低成本。例如,將忙碌的資料庫複寫到另一個區域以支援災難復原時,壓縮和解壓縮該資料的 CPU 成本可能遠低於潛在的資料傳出成本。
  • 部署重複資料刪除:特別是針對備份流程,搭配壓縮使用重複資料刪除可進一步減少傳輸的資料量,進而降低成本。
  • 重新架構應用程式:修訂現有應用程式使其成為雲端原生應用程式,可提高應用程式使用資料的效率,藉此降低傳出成本。

雖然這些變更可能需要大量的一次性投資才能導入,但最終可降低經常性雲端費用,進而提高初始成本的報酬率並改善雲端成本管理。如果資料傳出費用佔組織雲端成本很大的一部分,優先考量這些變更會比考量其他工程專案更容易贏得勝利。

利用 Oracle 降低資料傳出成本

不同的雲端供應商會針對資料傳出收取不同的費用。即使是同一個雲端供應商,資料傳出定價模型也可能因個別服務而異。降低資料傳出的複雜性和整體成本是 Oracle 在建立 Oracle Cloud Infrastructure (OCI) 時的首要考量。藉由從一開始就遵循這些原則,Oracle 已能夠為數項雲端服務提供全球定價,並且比其他供應商 (包括 Amazon Web Services (AWS) 和 Google Cloud) 提供更低的資料傳出成本。

OCI 的更低資料傳出費率讓企業可以在雲端區域之間移動大量資料 (不論是在內部還是傳送至客戶)。例如,北美洲和歐洲的 OCI 客戶將 100 TB 的資料輸出至公有網際網路上的位置須支付 783 美元,而 AWS 和 Google Cloud 使用者則須支付約 8,000 美元。購買 OCI FastConnect 10 Gbps 專用私有線路的客戶,每月針對無限資料傳出須支付 918 美元的固定費率;假設該線路的使用率為 50% (已傳輸 1,620 TB),透過 AWS Direct Connect 私有線路的相對成本會是 34,020 美元。

對於建置需要大量頻寬之雲端服務的組織而言,OCI 資料傳出定價是一項重大決定因素。利用這些費率的大規模應用程式包括即時視訊串流、視訊會議和遊戲。

若要評估組織作為 Oracle Cloud 客戶的資料傳出和其他雲端成本,請使用 OCI 費用預估工具

無限資料傳出可能會為組織帶來安全性和財務風險。在雲端部署非雲端原生或設計不良的應用程式,可能會導致資料傳出成本未經查核且安全性不足,使得組織面臨資料外流和勒索軟體攻擊的風險。

因此,限制、強化和監控公司網路的輸出流量非常重要。簡而言之,組織必須控制資料可以在何處移動,並找出任何異常模式。網路安全性組織的最佳實務包括實施良好的事件回應計畫,以及採用 SIEM 和 DLP 技術。此外,根據需求選擇合適的雲端供應商,以及將資料傳出成本納入考量來設計或重新架構應用程式,都可大幅提升組織的雲端投資報酬率。

AI 可協助資訊長分析資料以最佳化雲端支出,並向架構師建議程式碼調整以將傳出降到最低。瞭解如何立即利用人工智慧的強大能力來應對人才、安全性和其他挑戰。

資料傳出常見問題

資料傳出成本為何?

除了運算和儲存資源的成本之外,雲端供應商還會計量資料傳出並收取費用。雖然這些成本可能會因雲端供應商而異,但通常會針對在雲端區域、可用性區域之間移動,或是傳送至網際網路或內部部署網路的資料收取每 GB 的費用。資料傳出費用也可能會因目標位置和雲端供應商而異。您可以壓縮資料、利用內容傳遞網路和共置資料限制跨區域流量,藉此降低成本。

在雲端運算中,傳出是指什麼?

傳出可定義為從一個網路到另一個網路的資料,但這個詞彙在雲端運算中有更複雜的定義。使用虛擬機器和網路時,雲端區域或可用性區域之間的標準網路流量即為資料傳出。此外,從雲端返回內部部署網路或網際網路的資料也會以資料傳出形式計量。