Kevin Bogusch | Oracle 資深競爭情報分析師 | 2024 年 1 月 22 日
直接將資料傳出簡單定義為「資料離開網路」可能不盡正確。當然,監控和控制資料傳出從來不是件易事。在電子商務、雲端代管 IT 基礎架構和愈來愈多網路攻擊威脅的現代世界中,IT 專業人員和業務經理都需要深入瞭解資料傳出以及其相關成本和安全性風險。
例如,對於在雲端擁有 IT 基礎架構的公司,成本會是一項考量,因為雲端供應商通常會收取資料傳出費用,而且這些費用可能會增加。同時,資料傳出安全性考量關注寶貴或敏感資訊,這些資訊可能不小心從網路傳出,或是遭到威脅行為者蓄意竊取,企圖造成組織難堪或挾持資料勒索贖金。
依賴網際網路和行動應用程式,表示業務營運過程中難免會有資料傳出及其風險。監控這些資料流程對於限制財務和安全性威脅至關重要。
資料傳出是指資訊從網路流出 (無論是透過電子郵件、與網站的互動或檔案傳輸) 到雲端儲存容器或其他來源。這是現代組織彼此溝通以及與客戶溝通的方式。當企業移轉到雲端基礎架構並採用軟體即服務 (SaaS) 應用程式時,他們會透過資料傳出和傳入來使用這些服務。事實上,除非組織經營軍用等級的實體隔離網路,而絕對沒有超過其本身界限的連線,否則資訊會不斷流入和流出。
在 1990 年代早期的公有網際網路和雲端運算來臨前,公司網路通常會關閉或只連結至組織有意選擇的網路。這些連結是透過從電信營運商購買的專用私有網路線路建立。當時,資料傳出所帶來的風險完全與安全性相關,也就是敏感資訊可能外洩或遭竊。
現在,隨著大多數公司網路暴露在網際網路下,這些安全性風險也呈指數增加。此外,由於雲端服務供應商有時會出乎意料地收取資料傳出費用,因此還出現了新的成本風險。
資料傳出與資料傳入的比較
資料傳出的傳統概念嚴格來說與資料離開公司網路有關,而資料傳入通常可理解為未經要求的資料傳入網路。當資訊傳送至網路以回應內部要求時,防火牆通常會放行而不阻擋。為了保護組織,防火牆通常會阻擋未經要求的資料,除非已建立與此相反的特定規則。
雲端運算的經濟效益使得這個簡單的模型變得複雜。雲端服務供應商會針對資料傳出收取每 GB 的費用,但通常免費允許資料傳入。此外,雲端服務也導入了資料傳出的新概念,那就是實際上會建立比傳統公司網路周邊更多類型的網路界限。例如,使用 Amazon Web Services (AWS) 時,當流量在可用性區域之間移動時,通常會計量同一個虛擬網路的流量並收取費用。可用性區域是指資料中心可能位於相同的地理區域,但有不同的網路營運商和電力供應商,而不太可能同時失敗。藉由將資源分散到多個可用性區域,雲端供應商就能將硬體故障、自然災害和網路中斷對其服務的影響降到最低。但儘管可用性區域最終是正面的,相關傳出費用可能會產生顯著且無法預期的成本負擔,特別是在企業首次移轉到雲端時。
關於監控和安全性,請務必同時對資料傳入和傳出進行分析。雖然防火牆通常會封鎖未知的傳入流量,但流量分析可為安全性團隊提供有用的威脅資訊。由於防火牆的本質和普遍性,監控傳入十分常見。不過,很少有組織會同樣仔細地監控資料傳出。設定防火牆並限制傳出流量至已知目標,可限制攻擊的影響,並提供保護免於惡意軟體的威脅。
重點精華
資料傳出是一個必須在安全性和成本方面謹慎管理的常數。例如,如果企業在面向客戶的網站上分享產品型錄,則資料必須離開維護型錄的內部網路,並周遊網際網路已抵達客戶用來檢視網站的瀏覽器。無論企業是與子公司或合作夥伴分享資料,還是透過網際網路與客戶互動,一律會有一些資料離開公司網路。
對於已將部分或所有 IT 基礎架構移至雲端的企業,任何資料移動都可能會產生雲端資料傳出成本,視其供應商以及其應用程式的設計而定。
除了這項支出之外,資料傳出也具有對未授權或非預期接收方公開敏感資料的風險。組織必須監控是否有外部威脅行為者的惡意活動,同時注意是否有內部攻擊 (例如內部人員的資料外流)。若要保護組織免於這些攻擊,必須採用全方位的方法,包括穩固的網路設計、持續監控,以及正確設定的雲端應用程式架構。一般而言,組織會使用防火牆限制資料傳出,以監控外送流量是否有異常或惡意活動。IT 安全性群組也可以採取措施來限制大量資料傳輸,並封鎖特定輸出目的地。
有效的監控需要深入瞭解正常流量模式,以及其與攻擊或資料外流事件期間有何不同。這也可能會為 IT 組織帶來真正的挑戰。監控資料傳出流量的最常見方式,就是在雲端邊緣或內部部署網路檢閱和分析網路裝置的日誌檔。不過,這些裝置的流量非常大,因此對管理員而言是非常艱鉅的任務。許多公司使用安全性資訊與事件管理 (SIEM) 工具來進一步瞭解威脅。SIEM 工具通常包括已知威脅模式、法規遵循和自動化更新的相關情報,以因應新威脅。雖然導入 SIEM 系統不是簡單的過程,但這樣做可讓組織更加瞭解資料傳入模式,以便安全性團隊更早識別攻擊。
例如,資料傳出的突然激增可能表示發生資料外流攻擊,其中威脅行為者會將大量資料匯出至外部主機或服務。同樣地,當公司網路中已存在的惡意軟體嘗試從其指揮與控制網路尋求進一步指示時,仔細監控和控制資料傳出模式也可協助識別這些惡意軟體。許多現代勒索軟體攻擊會嘗試將大量未加密的資料外流,藉此向組織勒索錢財。DLP、網路流量分析系統 (例如封包嗅探器) 以及用於偵測異常模式的使用者行為分析等工具,都可協助 IT 部門偵測外流。傳出篩選可讓 IT 部門監控輸出流量,並封鎖判定為惡意的流量,因此也有助於降低這些風險。
除了防火牆之外,組織還使用 DLP 軟體來防止資料外流。這些工具採用了編目,並以敏感度標籤標記資料、加密以及稽核等技術來防止敏感資料離開網路。
大量資料傳出除了會提高雲端成本之外,也會帶來數種威脅,包括威脅行為者的資料外流攻擊,或是透過子網路通訊在公司網路內橫向移動的惡意軟體。
組織可以透過一些方式來降低與資料傳出相關的安全性風險,例如重新調整雲端服務以限制輸出流量。許多組織使用下列七個最佳實務,更妥善地控制和管理資料傳出安全性風險:
請注意,這些實務不是個別的一次性解決方案,而會互相依賴。例如,DLP 的資料分類元素和傳出政策的建立都會影響防火牆組態和存取控制設定。
資料傳出費用可能會導致組織雲端移轉流程的初期發生一些昂貴的意外,因此請務必每日監控雲端資料傳出成本,以確保符合預算,並在不符合時進行調查。所有公有雲供應商都支援與支出相關的警示,因此您可以像虛擬機器的 CPU 使用率一樣監控資料傳出成本。不過,監控只是降低雲端資料傳出成本的第一步。以下是一些降低雲端應用程式傳出成本的祕訣。
雖然這些變更可能需要大量的一次性投資才能導入,但最終可降低經常性雲端費用,進而提高初始成本的報酬率並改善雲端成本管理。如果資料傳出費用佔組織雲端成本很大的一部分,優先考量這些變更會比考量其他工程專案更容易贏得勝利。
不同的雲端供應商會針對資料傳出收取不同的費用。即使是同一個雲端供應商,資料傳出定價模型也可能因個別服務而異。降低資料傳出的複雜性和整體成本是 Oracle 在建立 Oracle Cloud Infrastructure (OCI) 時的首要考量。藉由從一開始就遵循這些原則,Oracle 已能夠為數項雲端服務提供全球定價,並且比其他供應商 (包括 Amazon Web Services (AWS) 和 Google Cloud) 提供更低的資料傳出成本。
OCI 的更低資料傳出費率讓企業可以在雲端區域之間移動大量資料 (不論是在內部還是傳送至客戶)。例如,北美洲和歐洲的 OCI 客戶將 100 TB 的資料輸出至公有網際網路上的位置須支付 783 美元,而 AWS 和 Google Cloud 使用者則須支付約 8,000 美元。購買 OCI FastConnect 10 Gbps 專用私有線路的客戶,每月針對無限資料傳出須支付 918 美元的固定費率;假設該線路的使用率為 50% (已傳輸 1,620 TB),透過 AWS Direct Connect 私有線路的相對成本會是 34,020 美元。
對於建置需要大量頻寬之雲端服務的組織而言,OCI 資料傳出定價是一項重大決定因素。利用這些費率的大規模應用程式包括即時視訊串流、視訊會議和遊戲。
若要評估組織作為 Oracle Cloud 客戶的資料傳出和其他雲端成本,請使用 OCI 費用預估工具。
無限資料傳出可能會為組織帶來安全性和財務風險。在雲端部署非雲端原生或設計不良的應用程式,可能會導致資料傳出成本未經查核且安全性不足,使得組織面臨資料外流和勒索軟體攻擊的風險。
因此,限制、強化和監控公司網路的輸出流量非常重要。簡而言之,組織必須控制資料可以在何處移動,並找出任何異常模式。網路安全性組織的最佳實務包括實施良好的事件回應計畫,以及採用 SIEM 和 DLP 技術。此外,根據需求選擇合適的雲端供應商,以及將資料傳出成本納入考量來設計或重新架構應用程式,都可大幅提升組織的雲端投資報酬率。
AI 可協助資訊長分析資料以最佳化雲端支出,並向架構師建議程式碼調整以將傳出降到最低。瞭解如何立即利用人工智慧的強大能力來應對人才、安全性和其他挑戰。
資料傳出成本為何?
除了運算和儲存資源的成本之外,雲端供應商還會計量資料傳出並收取費用。雖然這些成本可能會因雲端供應商而異,但通常會針對在雲端區域、可用性區域之間移動,或是傳送至網際網路或內部部署網路的資料收取每 GB 的費用。資料傳出費用也可能會因目標位置和雲端供應商而異。您可以壓縮資料、利用內容傳遞網路和共置資料限制跨區域流量,藉此降低成本。
在雲端運算中,傳出是指什麼?
傳出可定義為從一個網路到另一個網路的資料,但這個詞彙在雲端運算中有更複雜的定義。使用虛擬機器和網路時,雲端區域或可用性區域之間的標準網路流量即為資料傳出。此外,從雲端返回內部部署網路或網際網路的資料也會以資料傳出形式計量。