O que é saída de dados? Entrada x Saída

Uma definição básica para saída de dados é "dados que saem da rede". É claro que monitorar e controlar a transmissão de dados nunca é uma tarefa simples. E em nosso mundo moderno de comércio eletrônico, infraestrutura de TI hospedada na nuvem e a crescente ameaça de ataques cibernéticos, tanto os profissionais de TI quanto os gerentes de negócios precisam ter um conhecimento profundo da saída de dados e dos custos e riscos de segurança associados.

Por exemplo, o custo é uma preocupação para as empresas com infraestrutura de TI na nuvem. Isso acontece porque os provedores de nuvem normalmente cobram pela saída de dados, e esses custos podem se acumular. Os problemas de segurança na transmissão de dados, por outro lado, se concentram em informações críticas ou confidenciais que podem ser acidentalmente transmitidas para fora da rede ou deliberadamente roubadas por aqueles que ameaçam prejudicar uma organização ou pedir resgate de dados.

Depender da internet e de aplicativos móveis significa que os dados estão sendo enviados, e os riscos atrelados a eles são apenas parte dos negócios. O monitoramento desses fluxos é essencial para controlar as ameaças financeiras e de segurança.

O que é saída de dados?

A saída de dados refere-se às informações que fluem de uma rede, seja por email, interações com sites ou transferências de arquivos, para contêineres de armazenamento em nuvem ou outras fontes. É assim que as organizações modernas se comunicam entre si e com os clientes. À medida que as empresas migram para as infraestruturas de nuvem e adotam aplicações de software como serviço (SaaS), elas também consomem esses serviços por meio da entrada e saída de dados. Na verdade, a menos que uma organização opere uma rede de nível militar fisicamente isolada com conectividade zero além do limite da rede, as informações fluem constantemente.

Antes da chegada da Internet pública e da computação em nuvem no início dos anos 90, as redes corporativas eram geralmente fechadas ou conectadas apenas a redes designadas e cuidadosamente selecionadas. Essas conexões eram feitas por meio de linhas de rede privadas dedicadas adquiridas de operadoras de telecomunicações. Naquela época, os riscos apresentados pela saída de dados estavam totalmente vinculados à segurança, ou seja, a possibilidade de vazamento ou roubo de informações confidenciais.

Agora, com a maioria das redes corporativas expostas à internet, esses riscos de segurança aumentaram exponencialmente. Além disso, há um novo risco de custo, pois os provedores de serviços em nuvem cobram pela saída de dados de maneiras que podem ser inesperadas e, às vezes, contraintuitivas.

Entrada vs. Saída de dados

O conceito tradicional de saída de dados está estritamente relacionado aos dados que saem de uma rede corporativa, enquanto a entrada de dados é comumente entendida como dados não solicitados que entram em uma rede. Se as informações estiverem sendo enviadas para a rede em resposta a uma solicitação interna, o firewall geralmente permitirá que elas passem sem interferir. Para proteger a organização, os firewalls geralmente bloqueiam dados não solicitados, a menos que regras específicas tenham sido estabelecidas em contrário.

A economia da computação em nuvem complica esse modelo simples. Os provedores de serviços de nuvem cobram taxas por gigabyte para saída de dados, mas geralmente permitem a entrada de dados sem custo. Além disso, os serviços em nuvem introduziram novos conceitos de saída de dados que, na prática, estabelecem mais tipos de limites de rede do que o perímetro tradicional da rede corporativa. Por exemplo, para um provedor, o tráfego na mesma rede virtual geralmente é analisado e cobrado ao ser movido entre zonas de disponibilidade. As zonas de disponibilidade são data centers em nuvem localizados na mesma região geográfica, mas que têm diferentes operadoras de rede e provedores de energia, por exemplo, para reduzir ao máximo a probabilidade de falhas simultâneas. Ao distribuir recursos em várias zonas de disponibilidade, os provedores de nuvem podem minimizar o impacto de falhas de hardware, desastres naturais e interrupções de rede em seus serviços. Mas, embora as zonas de disponibilidade sejam benéficas, as taxas de saída relacionadas podem representar um custo significativo e inesperado, especialmente quando uma empresa migra para a nuvem pela primeira vez.

Com relação ao monitoramento e à segurança, é importante traçar o perfil da entrada e da saída de dados. Embora o tráfego de entrada desconhecido seja normalmente bloqueado por firewalls, a definição do perfil desse tráfego pode fornecer informações úteis sobre ameaças para as equipes de segurança. Devido à natureza e à prevalência dos firewalls, o monitoramento do tráfego de entrada é comum. No entanto, muito menos organizações monitoram a saída de dados com o mesmo cuidado. O firewall e a limitação do tráfego de saída para alvos conhecidos podem limitar o impacto dos ataques e oferecer proteção contra malware.

Principais conclusões

• A saída de dados representa um risco de custo para os clientes da nuvem e um risco de segurança para todas as organizações.
• Os vazamentos de dados confidenciais podem representar riscos financeiros e organizacionais significativos.
• O monitoramento cuidadoso da saída de dados pode ajudar a gerenciar e otimizar os gastos com a nuvem e, ao mesmo tempo, detectar ataques mal-intencionados com antecedência.
• Os firewalls podem ser configurados para limitar o tráfego de entrada e saída a locais conhecidos e confiáveis.
• As ferramentas de prevenção contra perda de dados (DLP) ajudam a identificar e classificar informações confidenciais e a aplicar controles adicionais para evitar a saída não autorizada de dados.

Explicando a saída de dados

A saída de dados é uma constante que deve ser cuidadosamente gerenciada em termos de segurança e custo. Por exemplo, se uma empresa compartilha um catálogo de produtos em um site voltado para o cliente, esses dados devem sair da rede interna na qual o catálogo é mantido e atravessar a Internet para chegar ao navegador em que o cliente está visualizando o site. Se uma empresa estiver compartilhando dados com subsidiárias ou parceiros ou interagindo com clientes pela internet, sempre haverá algum volume de dados saindo da rede da empresa.

Para as empresas que transferiram parte ou todas as infraestruturas de TI para a nuvem, qualquer movimentação de dados pode incorrer em custos de saída de dados da nuvem, dependendo do provedor e do design das aplicações.

Além da despesa, a saída de dados também apresenta o risco de expor dados confidenciais a destinatários não autorizados ou não intencionais. As organizações devem monitorar as atividades mal-intencionadas de agentes de ameaças externas e, ao mesmo tempo, ficar atentas a ataques internos, como vazamentos de dados. A proteção de uma organização contra esses ataques requer uma abordagem abrangente que inclua um projeto de rede sólido, monitoramento contínuo e arquiteturas de aplicações em nuvem configuradas adequadamente. Normalmente, as organizações limitam a saída de dados usando firewalls, monitorando o tráfego de saída em busca de anomalias ou atividades mal-intencionadas. Os grupos de segurança de TI também podem tomar medidas para restringir transferências de dados de alto volume e bloquear destinos de saída específicos.

O monitoramento eficaz requer uma compreensão profunda dos padrões normais de tráfego e de como eles diferem durante um ataque ou violação de dados. Isso também pode representar um verdadeiro desafio para as organizações de TI. A maneira mais comum de monitorar o tráfego de saída de dados é revisar e analisar os arquivos de registro dos dispositivos de rede na borda da nuvem ou das redes on-premises. No entanto, o grande volume de tráfego desses dispositivos torna essa tarefa muito árdua para os administradores. Muitas empresas usam ferramentas de gerenciamento de eventos e informações de segurança (SIEM) para entender melhor as ameaças. As ferramentas SIEM normalmente incluem inteligência sobre padrões de ameaças conhecidas, conformidade regulatória e atualizações automatizadas para se adaptar a novas ameaças. Embora a implementação de sistemas SIEM não seja um processo simples, isso pode melhorar a compreensão da organização sobre os padrões de saída de dados, permitindo que as equipes de segurança identifiquem os ataques com antecedência.

Por exemplo, um aumento repentino na saída de dados pode indicar um ataque de exfiltração de dados, em que um agente de ameaças exporta grandes quantidades de dados para um host ou serviço externo. Da mesma forma, o monitoramento e o controle cuidadosos dos padrões de saída de dados podem ajudar a identificar o malware que se infiltrou em uma rede corporativa, pois ele tenta buscar mais instruções de sua rede de comando e controle. Muitos ataques modernos de ransomware tentam extrair grandes quantidades de dados e extorquir dinheiro das organizações antes de criptografar os dados. Ferramentas como DLP, sistemas de análise de tráfego de rede, como sniffers de pacotes, e estudo do comportamento do usuário para detectar padrões incomuns podem ajudar as equipes de TI a detectar violações. A filtragem de saída, em que a TI monitora o tráfego de saída e bloqueia o tráfego considerado mal-intencionado, também ajuda a reduzir esses riscos.

Além dos firewalls, as organizações também usam o software DLP para se proteger contra o vazamento de dados. Essas ferramentas usam técnicas como catalogação e marcação de dados com rótulos de sensibilidade, criptografia e auditoria para garantir que os dados confidenciais não saiam da rede.

Ameaças à saída de dados da nuvem

O envio de quantidades significativas de dados pode significar não apenas o aumento dos custos da nuvem, mas também uma série de ameaças, como agentes de ameaças ou malware que se movem lateralmente dentro da rede corporativa por meio de comunicações de sub-rede.

• Taxas de saída de dados não limitadas: os fornecedores de nuvem podem cobrar pela saída de dados por gigabyte. As cobranças dependem do tipo de serviço em nuvem e da distância do local de destino em relação à rede ou ao segmento de rede de origem. Cobranças excessivas de saída de dados podem ter várias origens. As mais comuns são as configurações incorretas de aplicações que colocam recursos com tráfego de rede intenso em regiões geograficamente distantes e sistemas híbridos público-privados nos quais os serviços de nuvem enviam constantemente grandes volumes de dados para computadores on-premises.
• Taxas de saída do serviço de armazenamento em nuvem: os serviços de armazenamento em nuvem são comumente usados para hospedar ativos do site, como imagens ou documentos, e as taxas podem aumentar de forma surpreendentemente rápida. Esses serviços aplicam duas camadas de cobranças de saída. Uma é um conjunto de leituras e gravações na conta de armazenamento e a outra é quando as operações de leitura atravessam a região da nuvem ou a internet.
• Aplicações com baixo desempenho: as aplicações configuradas para enviar tráfego de rede em nuvem entre regiões terão alta latência de ponta a ponta. Embora não seja um problema de segurança ou de orçamento, isso gera uma experiência de usuário abaixo do ideal, o que pode afetar a receita.
• Ataques de vazamento de dados internos: qualquer tentativa de exportação de grandes volumes de dados corporativos da rede por parte de um membro interno deve ser investigada. Um exemplo comum seria um vendedor insatisfeito exportando uma lista de clientes de um banco de dados da empresa para uma planilha pessoal.
• Ataques de vazamento de dados de agentes de ameaças externas: uma tática frequentemente usada por agentes de ameaças externas é minimizar a possibilidade de detecção antecipada infiltrando-se em uma rede usando o malware mais simples possível. Após conseguir invadir, o malware pode se conectar a um site externo de comando e controle para fazer download de software, expandir o ataque ou extrair dados corporativos.
• Transferência de dados não criptografados: quando informações confidenciais são transferidas sem criptografia, elas podem ser interceptadas e exploradas por agentes mal-intencionados. Isso pode levar a prejuízos financeiros ou danos à reputação significativos para uma organização.
• Residência de dados e problemas de conformidade: dependendo do país ou do setor de uma organização e da sensibilidade de seus dados, a saída de dados para outras regiões pode representar riscos legais e de conformidade. Isso pode incluir problemas de residência de dados, pois alguns países exigem legalmente que determinados tipos de dados permaneçam dentro de determinados limites geográficos.

7 melhores práticas de segurança para o gerenciamento da saída de dados da nuvem

As organizações podem reduzir os riscos de segurança relacionados à saída de dados de várias maneiras, como realinhar os serviços de nuvem para limitar o tráfego de saída. As sete práticas recomendadas a seguir são usadas por muitas organizações para controlar e gerenciar melhor os riscos de segurança da saída de dados:

1. Use um firewall para controlar o tráfego de saída: a maioria das organizações usa firewalls para limitar o tráfego de entrada. O controle rígido do tráfego de saída usando firewalls é muito menos comum, mesmo em redes de servidores onde residem os dados mais confidenciais. Os administradores de rede também devem controlar rigorosamente o tráfego de saída, fortalecendo assim os controles de monitoramento e segurança.
2. Crie uma política de saída de dados: estabelecer uma política que limite o acesso do usuário a serviços pré-aprovados, especialmente para redes que armazenam dados confidenciais, limita o potencial de ataques de exfiltração de dados.
3. Use o SIEM para monitorar o tráfego da rede: é impossível um administrador de rede analisar todo o tráfego de todos os dispositivos gerenciados em uma rede grande. Com a automação alimentada por regras estabelecidas pelo administrador e machine learning e tecnologia de IA, uma ferramenta SIEM pode ajudar a identificar ataques com antecedência e fornecer níveis adicionais de proteção.
4. Use o DLP para categorizar, rotular e proteger ativos de dados confidenciais: Assim como o SIEM, o DLP também usa o machine learning para inspecionar dados, entender seu contexto, compará-los com políticas de saída de dados estabelecidas e bloquear transferências de dados que possam violar essas políticas.
5. Controle o acesso a dados confidenciais: depois que os locais dos ativos de dados mais confidenciais forem identificados e catalogados por meio do DLP, os administradores de rede poderão refinar ainda mais os controles de acesso a esses conjuntos de dados.
6. Criptografe dados confidenciais: a criptografia pode fornecer uma última linha de defesa contra ataques de exfiltração de dados. Se as informações forem criptografadas em trânsito e em repouso, mesmo que os dados sejam comprometidos, eles não poderão ser lidos sem a chave de criptografia adequada.
7. Implemente um plano de resposta a incidentes: no caso de um ataque ou violação de dados, ter um plano de resposta claramente definido pode acelerar o tempo de resposta de uma organização e aumentar sua eficácia geral. Assim como um plano de recuperação de desastres, um plano de resposta a incidentes deve ser aprovado pela gerência e testado regularmente por meio de exercícios simulados para garantir que todos entendam suas funções.

Observe que essas práticas não são soluções isoladas, mas interdependentes. Por exemplo, o elemento de categorização de dados do DLP e a criação de uma política de saída informariam as configurações do firewall e as definições de controle de acesso.

Como reduzir as taxas de saída de dados da nuvem

Os encargos de saída de dados podem levar a algumas despesas inesperadas no início do processo de migração para a nuvem de uma organização, por isso é importante monitorar diariamente os custos de saída de dados da nuvem para garantir que elas estejam dentro do orçamento e investigar se estiverem fora do limite. Todos os provedores de nuvem pública oferecem suporte a alertas vinculados a gastos, de modo que os custos de saída de dados possam ser monitorados da mesma forma que a utilização da CPU de uma máquina virtual. No entanto, o monitoramento é apenas a primeira etapa para reduzir o custo da saída de dados da nuvem. Veja algumas dicas para reduzir os custos de saída em aplicações de nuvem.

• Mantenha os recursos da nuvem na mesma região: embora isso possa parecer senso comum, alguns serviços podem estar disponíveis em algumas regiões de nuvem e em outras não, o que leva a implementações caras entre elas.
• Economize com o armazenamento em cache: o armazenamento de dados em cache na memória próximo à aplicação pode eliminar as transferências para bancos de dados e serviços de armazenamento.
• Compre linhas privadas dedicadas: as conexões diretas de rede privada oferecem preços mais baixos de transferência de dados, às vezes até uma taxa fixa por mês para saída ilimitada de dados, dependendo do provedor de nuvem.
• Use redes de distribuição de conteúdo (CDNs): da mesma forma, os aplicativos podem usar CDNs para armazenar em cache ativos da Web, como imagens, documentos e vídeos, mais próximos dos usuários. Além de reduzir os custos de saída de dados, o emprego de CDNs geralmente resulta em uma melhor experiência de navegação para os usuários.
• Comprimir o tráfego de rede sempre que possível: O emprego da compactação de dados sempre que o tráfego de rede trafegar entre regiões ou zonas de disponibilidade também pode manter os custos baixos. Por exemplo, se estiver replicando um banco de dados usado para dar suporte à recuperação de desastres em outra região, o custo da CPU para compactar e descompactar esses dados poderá ser muito menor do que o custo de saídas de dados.
• Implante a deduplicação: principalmente nos processos de backup, o uso da deduplicação junto com a compactação pode reduzir ainda mais o volume de dados transferidos, diminuindo assim os custos.
• Reprojete aplicações: a modificação de aplicações existentes para torná-las nativas da nuvem pode melhorar a eficiência do uso de dados e reduzir os custos de saída.

Embora essas mudanças possam exigir um investimento único significativo para serem implementadas, elas podem, em última análise, reduzir as contas recorrentes da nuvem, resultando em um retorno significativo sobre o custo inicial e melhor gerenciamento dos custos da nuvem. Se as taxas de saída de dados representarem uma grande parte dos custos de nuvem de sua organização, priorizar essas alterações em relação a outros projetos de engenharia pode ser mais vantajoso.

Reduza os custos de saída de dados com a Oracle

Diferentes provedores de nuvem cobram valores diferentes pela saída de dados. Mesmo com um único provedor de nuvem, os modelos de preços de saída de dados podem variar entre os serviços individuais. Reduzir a complexidade e o custo geral da saída de dados estava entre as principais considerações da Oracle ao criar a Oracle Cloud Infrastructure (OCI). Ao seguir esses princípios desde o início, a Oracle conseguiu oferecer preços globais para vários serviços em nuvem e custos de saída de dados muito mais baixos do que os de outros provedores.

As taxas mais baixas de saída de dados da OCI permitem que as empresas movam volumes significativos de dados entre regiões de nuvem, seja internamente ou para seus clientes. Por exemplo, os clientes da OCI na América do Norte e na Europa pagariam US$ 783 por 100 terabytes (TB) de dados de saída para locais na internet pública, enquanto usuários de outras plataformas de nuvem pagariam cerca de US$ 8.000. Um cliente que adquire uma linha privada dedicada de 10 gigabits por segundo no OCI FastConnect paga uma taxa fixa de US$ 918 por mês para transferência ilimitada de dados. Supondo uma utilização de 50% dessa linha (1.620 TB transferidos), o custo equivalente de uma linha privada de uma concorrente seria de US$ 34.020.

O preço de saída de dados da OCI é um grande diferencial para as organizações que criam serviços em nuvem que exigem grandes quantidades de largura de banda. Os aplicativos de grande escala que aproveitam essas taxas incluem streaming de vídeo ao vivo, videoconferência e jogos.

Para avaliar quais seriam os custos de saída de dados e outros custos de nuvem de sua organização como cliente da Oracle Cloud, use o estimador de custos da OCI.

A saída irrestrita de dados pode representar um risco financeiro e de segurança para as organizações. A implantação de uma aplicação não nativa da nuvem ou mal projetada pode levar a custos de saída de dados não controlados e a uma segurança inadequada, expondo as organizações ao risco de violações de dados e ataques de ransomware.

Por isso, é importante restringir, fortalecer e monitorar o tráfego de saída da rede da empresa. Isso significa que as organizações precisam controlar por onde seus dados podem trafegar e procurar padrões incomuns. As práticas recomendadas para organizações de segurança de rede incluem a implementação de um bom plano de resposta a incidentes e o emprego de tecnologias SIEM e DLP. Além disso, escolher o provedor de nuvem certo para seus requisitos e projetar ou rearquitetar aplicações tendo em mente os custos de saída de dados pode contribuir significativamente para o ROI da nuvem de uma organização.

Perguntas frequentes sobre saída de dados

O que é o custo de saída de dados?

Além do custo dos recursos de computação e armazenamento, os provedores de nuvem também medem e cobram pela saída de dados. Embora esses custos possam variar de acordo com o provedor de nuvem, eles normalmente são cobrados por gigabyte para dados que trafegam entre regiões de nuvem, zonas de disponibilidade ou para a internet ou redes on-premises. As taxas de saída de dados também podem variar de acordo com o local de destino e o provedor de nuvem. Você pode reduzir essas cobranças compactando dados, aproveitando redes de fornecimento de conteúdo e limitando o tráfego entre regiões por meio da colocation de dados.

O que é saída na computação em nuvem?

A saída é definida como a movimentação de dados de uma rede para outra, mas na computação em nuvem, o termo se torna mais complexo. Com máquinas e redes virtuais, o tráfego de rede padrão entre regiões de nuvem ou zonas de disponibilidade é considerado saída de dados. Além disso, os dados enviados da nuvem de volta para a rede on-premises ou para a internet também são medidos como saída de dados.