Kevin Bogusch | 甲骨文公司高级竞争情报分析师 | 2024 年 1 月 22 日
数据出站的定义十分简单,那就是“数据离开一个网络”。不过,与定义的简单相比,数据出站的监视和控制从来都不是一件轻松的事情。在今天,一方面是电商和云基础设施如火如荼,另一方面是网络攻击不断增长,IT 人员和企业管理者等等必须精确理解数据出站及其成本和安全风险。
例如,由于云技术供应商往往对数据出站收费且费用会迅速累积成一个沉重负担,数据出站成本已成为当今使用云基础设施的企业关注的一个重点。同时,由于宝贵/敏感信息可能被意外传输到网络以外,可能被意图攻击企业形象或勒索钱财的不法分子窃取,数据出站的安全问题同样不容忽视。
如今,我们这个世界高度依赖互联网和移动应用,数据出站及其成本和风险已成为企业在业务经营过程中不得不面对的一个课题。而要想有效控制数据出站的财务和安全风险,监视数据流动至关重要。
数据出站是指数据从一个网络流动到云存储容器或其它源,无论是通过电子邮件、Web 交互还是文件传输。现代组织正是通过数据出站进行相互间通信以及与客户沟通的。在迁移到云基础设施和采用软件即服务 (SaaS) 应用后,企业在使用云技术服务时也离不开数据出站和入站。事实上,除非使用军用级物理隔离网络,与网络边界以外零连接,信息流出/流入是绝对无法避免的。
在 20 世纪 90 年代早期公共互联网和云计算诞生之前,企业网络一般是封闭的,或者是只连接到精心选择的指定网络。在实施这种连接时,企业要向电信运营商购买专用私有网络线路。此时,数据出站风险也仅限于敏感信息泄露或失窃这类安全问题。
现在,绝大多数企业网络都向互联网开放,安全风险出现了指数级增长。此外,由于云技术服务提供商对数据出站收费,有时甚至以反直觉和出人意料的方式收费,数据出站又迎来了一个新风险,即成本风险。
数据出站与数据入站对比
传统意义上,数据出站仅仅指数据离开一个企业网络,数据入站则一般指数据自发进入一个网络。对于响应内部请求而向网络发送的信息,防火墙通常会让数据毫无阻碍地通过。而对于自发数据流入,防火墙一般会执行拦截操作来实施安全保护 — 除非设置了具体的相反规则。
云计算经济学的到来让这一切变得复杂了起来。云技术服务提供商一般支持免费数据入站,但会按 GB 对数据出站收费。此外,对于数据出站,云技术服务还带来了很多新概念,创造了比传统企业网络更多类型的网络边界。例如,对于可用性区域之间的数据传输,Amazon Web Services (AWS) 通常会计量同一虚拟网络上的流量并收取费用。可用性区域是指云数据中心,云技术提供商可能在同一地理区域内设置多个分别基于不同网络运营商和电力提供商运行的可用性区域来避免同时失效。通过跨多个可用性区域分配资源,云技术提供商能够尽可能降低硬件故障、自然灾害、网络中断对服务的影响。然而,可用性区域相关的数据出站费用可能带来沉重且不可预测的成本负担,尤其是当企业首次迁移到云端时。
在监视和安全性方面,企业需要同时关注数据入站和数据出站。防火墙一般会拦截未知入站流量,通过分析未知入站流量,企业安全团队可获得宝贵的威胁信息和洞察。考虑到防火墙的自身特点和流行度,入站流量监视在现实里十分常见。相比之下,几乎没有组织会严密监视数据出站。其实,通过启用防火墙和实施限制措施,确保出站流量仅流向已知目标,企业可以有效降低攻击事件的影响并可靠防御恶意软件。
关键要点
数据出站无法避免,必须从安全和成本方面认真管理。例如,当一家企业在面向客户的 Web 站点上分享产品目录时,数据就会通过互联网,从产品目录所在的内部网络传输到客户的 Web 浏览器。无论企业是与分支机构和合作伙伴分享数据,还是通过互联网与客户互动,必然会有一些数据被传输到企业网络以外。
对于已将部分或全部 IT 基础设施迁移到云的企业,任何数据传输都可能引发数据出站成本 — 具体取决于提供商和应用设计。
除了出站费用外,数据出站还会带来敏感数据暴露(至非授权或计划外接收方)风险。企业必须在防范内部攻击(例如内部人员的数据渗漏行为)的同时严密监视外部恶意活动。这需要企业采取一种全面的方法,包括提高网络设计可靠性、持续监视以及正确配置云技术应用架构。企业一般使用防火墙来控制数据出站(监视出站流量,检测异常或恶意活动)。IT 安全团队可能还会限制大容量数据传输,阻止特定出站目的地。
要想有效监视数据出站,企业需要深入了解正常流量模式以及攻击或数据渗漏事件发生时的流量模式变化。这对 IT 部门来说也是一个头疼的问题。最常见的数据出站流量监视方法是审查和分析云或本地网络边缘位置的网络设备的日志文件。然而,来自这些设备的流量规模庞大,对于 IT 管理员无疑是一个沉重负担。很多企业选择使用安全信息和事件管理 (SIEM) 工具来洞悉数据出站威胁。SIEM 工具不仅能提供已知威胁模式情报和监管合规支持,还能够自动更新来响应新型威胁。它虽然实施起来十分复杂,但却有助于企业更好地理解数据出站模式,帮助安全团队尽早识别攻击行为。
例如,数据出站流量突然上涨表示可能发生了数据渗漏攻击,即一名威胁行为者向一个外部主机或服务导出大量数据。同样,严密监视和控制数据出站模式还有助于识别已渗透到企业网络内部的恶意软件 — 当恶意软件进一步请求命令和控制网络指令时。很多现代勒索软件攻击会尝试在企业加密数据前渗漏大量数据,以此敲诈钱财。对此,DLP、网络流量分析系统(例如包嗅探器)以及用户行为分析(旨在检测异常模式)等工具可以帮助 IT 部门检测数据渗漏。出站过滤(IT 部门监视出站流量并阻止恶意流量)也有助于降低这些风险。
除了防火墙外,一些组织还使用 DLP 软件来防范数据渗漏。借助数据编目和标记(基于敏感度标签)、加密和审计等技术,DLP 工具能够有力避免敏感数据被传输到网络以外。
大规模数据出站不仅可能导致云成本上涨,还会带来多种类型的威胁,包括威胁行为者发起数据渗漏攻击;恶意软件通过子网通信的方式在企业网络内部横向移动。
企业和组织可通过多种方式降低数据出站的安全风险,例如调整云技术服务来限制出站流量。很多组织使用以下 7 项优秀实践来控制和管理数据出站的安全风险:
注意,这些优秀实践并不是孤立的一次性解决方案,而是相互依赖和相互促进的。例如,通过进行数据编目(使用 DLP 工具)和创建数据出站策略,组织可以更好地配置防火墙和实施访问控制。
数据出站费用可能在云迁移过程的早期给组织带来意料之外的高昂账单,为此组织需要每日监视云数据出站成本,以此避免超支并在超支后开展深入调查。如今,所有公有云技术提供商都支持支出警报功能,组织可以如同监视虚拟机 CPU 利用率一样监视数据出站成本。然而,要想降低云数据出站成本,监视仅仅是第一步。以下技巧可帮助组织降低云技术应用的数据出站成本。
虽然可能需要进行重大的一次性投资,以上措施最终都能降低经常性云帐单,带来可观的初始成本回报并改善云成本管理。对于数据出站费用消耗了大部分云成本的组织而言,优先实施以上措施(而不是其它工程项目)绝对是有利无害。
对于构建和使用具有高带宽要求的云技术服务的组织,OCI 数据出站定价也是一个巨大的差异化优势。可以充分利用这种定价优势的大型应用包括实时视频流传输、视频会议和游戏等等。
Oracle Cloud 客户还可以使用 OCI 成本估算器来评估数据出站成本以及其它云成本。
不受约束的数据出站可能会给组织带来安全和财务风险。当在云端部署非云原生应用或设计欠佳的应用时,不仅数据出站成本会失控,组织还可能暴露在数据渗漏和勒索软件攻击风险中。
因此,出站流量控制、保护和监视至关重要,简而言之,组织必须严格控制数据出站目的地并监视和识别所有异常模式。对此,行之有效的网络安全部门实践是实施适当的事件响应计划,采用 SIEM 和 DLP 技术。此外,通过基于自身需求选择适当的云技术提供商和将数据出站成本意识融入应用设计和重构工作,组织也能显著提高云技术的投资回报。
AI 不仅能帮助 CIO 更好地分析数据,优化云支出,还能提供代码改进建议,尽可能降低数据出站需求。了解如何充分利用 AI 的力量来解决人才和安全性等难题。
什么是数据出站成本?
除了对计算和存储资源收取费用,云技术提供商还会计量数据出站流量并收取费用。数据出站成本具体取决于云技术提供商,但一般是按 GB 收费,对跨云区域和跨可用性区域传输的数据以及向互联网或本地网络传输的数据收费。另外,数据出站费用还受出站目的地位置和云技术提供商影响。企业可通过压缩数据、使用内容分发网络以及托管数据(以降低跨区域传输的流量)的方式来降低数据出站成本。
在云计算领域,什么是出站?
出站是指数据从一个网络传输到另一个网络,然而在云计算技术中,这一术语变得更加复杂。数据出站不仅计量云区域或可用性区域之间的标准网络流量(从虚拟机到虚拟机,从网络到网络),还计量从云端向本地网络或互联网传输的数据。
注:为免疑义,本网页所用以下术语专指以下含义: