什么是数据出站?数据出站与数据入站对比

Kevin Bogusch | 甲骨文公司高级竞争情报分析师 | 2024 年 1 月 22 日

数据出站的定义十分简单,那就是“数据离开一个网络”。不过,与定义的简单相比,数据出站的监视和控制从来都不是一件轻松的事情。在今天,一方面是电商和云基础设施如火如荼,另一方面是网络攻击不断增长,IT 人员和企业管理者等等必须精确理解数据出站及其成本和安全风险。

例如,由于云技术供应商往往对数据出站收费且费用会迅速累积成一个沉重负担,数据出站成本已成为当今使用云基础设施的企业关注的一个重点。同时,由于宝贵/敏感信息可能被意外传输到网络以外,可能被意图攻击企业形象或勒索钱财的不法分子窃取,数据出站的安全问题同样不容忽视。

如今,我们这个世界高度依赖互联网和移动应用,数据出站及其成本和风险已成为企业在业务经营过程中不得不面对的一个课题。而要想有效控制数据出站的财务和安全风险,监视数据流动至关重要。

什么是数据出站?

数据出站是指数据从一个网络流动到云存储容器或其它源,无论是通过电子邮件、Web 交互还是文件传输。现代组织正是通过数据出站进行相互间通信以及与客户沟通的。在迁移到云基础设施和采用软件即服务 (SaaS) 应用后,企业在使用云技术服务时也离不开数据出站和入站。事实上,除非使用军用级物理隔离网络,与网络边界以外零连接,信息流出/流入是绝对无法避免的。

在 20 世纪 90 年代早期公共互联网和云计算诞生之前,企业网络一般是封闭的,或者是只连接到精心选择的指定网络。在实施这种连接时,企业要向电信运营商购买专用私有网络线路。此时,数据出站风险也仅限于敏感信息泄露或失窃这类安全问题。

现在,绝大多数企业网络都向互联网开放,安全风险出现了指数级增长。此外,由于云技术服务提供商对数据出站收费,有时甚至以反直觉和出人意料的方式收费,数据出站又迎来了一个新风险,即成本风险。

7 步创建数据出站数据流、安全控制和步骤可视化视图
遵循这 7 个步骤创建数据出站数据流、安全控制和步骤可视化视图。

数据出站与数据入站对比

传统意义上,数据出站仅仅指数据离开一个企业网络,数据入站则一般指数据自发进入一个网络。对于响应内部请求而向网络发送的信息,防火墙通常会让数据毫无阻碍地通过。而对于自发数据流入,防火墙一般会执行拦截操作来实施安全保护 — 除非设置了具体的相反规则。

云计算经济学的到来让这一切变得复杂了起来。云技术服务提供商一般支持免费数据入站,但会按 GB 对数据出站收费。此外,对于数据出站,云技术服务还带来了很多新概念,创造了比传统企业网络更多类型的网络边界。例如,对于可用性区域之间的数据传输,Amazon Web Services (AWS) 通常会计量同一虚拟网络上的流量并收取费用。可用性区域是指云数据中心,云技术提供商可能在同一地理区域内设置多个分别基于不同网络运营商和电力提供商运行的可用性区域来避免同时失效。通过跨多个可用性区域分配资源,云技术提供商能够尽可能降低硬件故障、自然灾害、网络中断对服务的影响。然而,可用性区域相关的数据出站费用可能带来沉重且不可预测的成本负担,尤其是当企业首次迁移到云端时。

在监视和安全性方面,企业需要同时关注数据入站和数据出站。防火墙一般会拦截未知入站流量,通过分析未知入站流量,企业安全团队可获得宝贵的威胁信息和洞察。考虑到防火墙的自身特点和流行度,入站流量监视在现实里十分常见。相比之下,几乎没有组织会严密监视数据出站。其实,通过启用防火墙和实施限制措施,确保出站流量仅流向已知目标,企业可以有效降低攻击事件的影响并可靠防御恶意软件。

关键要点

  • 数据出站为云客户带来了成本风险,为所有组织带来了安全风险。
  • 敏感数据泄露可能带来严重的财务和组织风险。
  • 通过严密监视数据出站,企业既能尽早检测恶意攻击,又能更好地管理并优化云支出。
  • 企业可通过配置防火墙来确保入站和出站流量仅流向已知的可靠位置。
  • 数据丢失防护 (DLP) 工具能够帮助企业识别并对敏感数据分类,然后实施额外控制措施,防范非授权数据出站。

数据出站详解

数据出站无法避免,必须从安全和成本方面认真管理。例如,当一家企业在面向客户的 Web 站点上分享产品目录时,数据就会通过互联网,从产品目录所在的内部网络传输到客户的 Web 浏览器。无论企业是与分支机构和合作伙伴分享数据,还是通过互联网与客户互动,必然会有一些数据被传输到企业网络以外。

对于已将部分或全部 IT 基础设施迁移到云的企业,任何数据传输都可能引发数据出站成本 — 具体取决于提供商和应用设计。

除了出站费用外,数据出站还会带来敏感数据暴露(至非授权或计划外接收方)风险。企业必须在防范内部攻击(例如内部人员的数据渗漏行为)的同时严密监视外部恶意活动。这需要企业采取一种全面的方法,包括提高网络设计可靠性、持续监视以及正确配置云技术应用架构。企业一般使用防火墙来控制数据出站(监视出站流量,检测异常或恶意活动)。IT 安全团队可能还会限制大容量数据传输,阻止特定出站目的地。

要想有效监视数据出站,企业需要深入了解正常流量模式以及攻击或数据渗漏事件发生时的流量模式变化。这对 IT 部门来说也是一个头疼的问题。最常见的数据出站流量监视方法是审查和分析云或本地网络边缘位置的网络设备的日志文件。然而,来自这些设备的流量规模庞大,对于 IT 管理员无疑是一个沉重负担。很多企业选择使用安全信息和事件管理 (SIEM) 工具来洞悉数据出站威胁。SIEM 工具不仅能提供已知威胁模式情报和监管合规支持,还能够自动更新来响应新型威胁。它虽然实施起来十分复杂,但却有助于企业更好地理解数据出站模式,帮助安全团队尽早识别攻击行为。

例如,数据出站流量突然上涨表示可能发生了数据渗漏攻击,即一名威胁行为者向一个外部主机或服务导出大量数据。同样,严密监视和控制数据出站模式还有助于识别已渗透到企业网络内部的恶意软件 — 当恶意软件进一步请求命令和控制网络指令时。很多现代勒索软件攻击会尝试在企业加密数据前渗漏大量数据,以此敲诈钱财。对此,DLP、网络流量分析系统(例如包嗅探器)以及用户行为分析(旨在检测异常模式)等工具可以帮助 IT 部门检测数据渗漏。出站过滤(IT 部门监视出站流量并阻止恶意流量)也有助于降低这些风险。

除了防火墙外,一些组织还使用 DLP 软件来防范数据渗漏。借助数据编目和标记(基于敏感度标签)、加密和审计等技术,DLP 工具能够有力避免敏感数据被传输到网络以外。

云数据出站威胁

大规模数据出站不仅可能导致云成本上涨,还会带来多种类型的威胁,包括威胁行为者发起数据渗漏攻击;恶意软件通过子网通信的方式在企业网络内部横向移动。

  • 失控的数据出站费用:云技术供应商可能按 GB 对数据出站收取费用。数据出站费用不仅取决于相关云技术服务的类型,还受目的地位置与源网络/源网段的距离的影响。数据出站费用过高可能是多种原因造成的。最常见的是应用配置错误,例如将具有高网络流量需求的资源部署到地理上相隔遥远的云区域,或部署到设计欠佳(导致云技术服务持续向本地计算机传输大量数据)的混合系统中。
  • 云存储服务数据出站费用:云存储服务一般被应用于托管 Web 资产,例如图像或文档,这导致其数据出站费用可能会以惊人的速度上涨。这些服务要支付双重数据出站费用:一是从/向存储帐户读取/写入产生的出站费用,二是当读取操作要跨越云区域或经过互联网时,产生的出站费用。
  • 应用性能下降:一些需要跨云区域发送云网络流量的应用可能面临端到端的高延迟问题。这虽然不会产生安全或预算问题,但却会影响用户体验,最终影响企业收入。
  • 内部数据渗漏攻击:企业应仔细调查组织内部发生的所有试图导出大量数据的行为。内部数据渗漏的一个典型示例就是心怀不满的销售人员将企业数据库中的客户名单导出到个人电子表格。
  • 外部数据渗漏攻击:外部威胁行为者的一个常见策略是使用最简单的恶意软件潜入网络,尽可能降低在早期被发现的可能性。一旦潜入,恶意软件就可能连接外部的命令和控制站点,然后下载软件,扩大攻击范围或执行数据渗漏操作。
  • 非加密数据传输:当在非加密状态下传输敏感信息时,敏感信息可能被恶意行为者拦截和利用。这可能导致企业遭受代价高昂的财务和声誉损失。
  • 数据驻留和合规问题:根据所在国家/地区和行业的要求以及受数据的敏感度影响,面向其它地区执行数据出站可能带来法律和合规风险。这其中包括数据驻留问题 — 一些国家的法律规定特定类型的数据必须保留在特定地理边界以内。

7 项云数据出站管理优秀实践

企业和组织可通过多种方式降低数据出站的安全风险,例如调整云技术服务来限制出站流量。很多组织使用以下 7 项优秀实践来控制和管理数据出站的安全风险:

  1. 使用防火墙控制出站流量:绝大多数组织都使用防火墙来控制入站流量。但很少有组织使用防火墙来控制出站流量,即使是在存储了最敏感数据的服务器网络中。其实,网络管理员同样应该严格控制出站流量,增强流量监视和安全控制。
  2. 创建数据出站策略:通过创建适当的策略来确保用户仅访问预认证服务(尤其是在存储了最敏感数据的网络中),企业可以降低数据渗漏攻击风险。
  3. 使用 SIEM 工具监视网络流量:对于网络管理员来说,审查一个大型网络中所有托管设备的所有流量是不现实的。而得益于管理员规则驱动的自动化以及机器学习和 AI 技术,SIEM 工具能够在更早阶段识别攻击,提供额外保护。
  4. 使用 DLP 工具执行敏感数据编目、标记和保护:与 SIEM 类似,DLP 同样能使用机器学习技术来检查数据,理解数据情境,将数据匹配到适当的数据出站策略,以及阻止违反出站策略的数据传输操作。
  5. 控制敏感数据访问:在识别最敏感数据所处位置和使用 DLP 工具进行数据编目后,网络管理员可以进一步优化数据访问控制。
  6. 加密敏感数据:数据加密能够在遭到数据渗漏攻击后提供最后一道安全防线。在实施静态和动态加密后,即使发生了数据渗漏,数据也不可读取 — 除非使用适当的加密秘钥。
  7. 实施事件响应计划:在遭到攻击或发生数据泄露后,一个清晰的响应计划能够帮助组织更快速做出响应,提高效应有效性。与灾难恢复计划类似,事件响应计划应由高管签署并定期通过桌面练习开展测试,确保组织内所有人都正确认识自身角色。

注意,这些优秀实践并不是孤立的一次性解决方案,而是相互依赖和相互促进的。例如,通过进行数据编目(使用 DLP 工具)和创建数据出站策略,组织可以更好地配置防火墙和实施访问控制。

如何降低云数据出站费用?

数据出站费用可能在云迁移过程的早期给组织带来意料之外的高昂账单,为此组织需要每日监视云数据出站成本,以此避免超支并在超支后开展深入调查。如今,所有公有云技术提供商都支持支出警报功能,组织可以如同监视虚拟机 CPU 利用率一样监视数据出站成本。然而,要想降低云数据出站成本,监视仅仅是第一步。以下技巧可帮助组织降低云技术应用的数据出站成本。

  • 将云资源部署在同一云区域:这种方法显而易见有助于降低出站成本,然而现实中某些服务可能仅在特定云区域可用,导致不得不选择成本高昂的跨云区域部署方案。
  • 使用缓存技术降低现金支出:通过将数据存储在靠近应用的内存中缓存中,组织可以消除应用与数据库和存储服务之间的数据往返。
  • 购买专用私有线路:基于直接私有网络连接的数据传输的定价更低,有些云技术提供商甚至还支持组织只需支付固定的月度费用即可进行无限制的数据出站。
  • 使用内容分发网络 (CDN):组织可使用 CDN 在更靠近用户的位置缓存 Web 资产,例如图像、文档和视频。除了降低数据出站成本,CDN 还能改善用户的浏览体验。
  • 尽可能压缩网络流量:对于跨云区域或跨可用性区域的网络流量,数据压缩能够降低成本。例如,当为了满足灾难恢复需求而将一个繁忙的数据库复制到另一个云区域时,流量压缩和解压缩导致的 CPU 成本远低于潜在的数据出站成本。
  • 实施数据去重:数据去重(及压缩)能够进一步降低传输的数据量,进而降低成本 — 尤其是在备份流程中。
  • 重构应用:通过对现有应用进行云原生改造,应用可以更高效地利用数据,由此降低出站成本。

虽然可能需要进行重大的一次性投资,以上措施最终都能降低经常性云帐单,带来可观的初始成本回报并改善云成本管理。对于数据出站费用消耗了大部分云成本的组织而言,优先实施以上措施(而不是其它工程项目)绝对是有利无害。

使用 Oracle 解决方案降低数据出站成本

对于构建和使用具有高带宽要求的云技术服务的组织,OCI 数据出站定价也是一个巨大的差异化优势。可以充分利用这种定价优势的大型应用包括实时视频流传输、视频会议和游戏等等。

Oracle Cloud 客户还可以使用 OCI 成本估算器来评估数据出站成本以及其它云成本。

不受约束的数据出站可能会给组织带来安全和财务风险。当在云端部署非云原生应用或设计欠佳的应用时,不仅数据出站成本会失控,组织还可能暴露在数据渗漏和勒索软件攻击风险中。

因此,出站流量控制、保护和监视至关重要,简而言之,组织必须严格控制数据出站目的地并监视和识别所有异常模式。对此,行之有效的网络安全部门实践是实施适当的事件响应计划,采用 SIEM 和 DLP 技术。此外,通过基于自身需求选择适当的云技术提供商和将数据出站成本意识融入应用设计和重构工作,组织也能显著提高云技术的投资回报。

AI 不仅能帮助 CIO 更好地分析数据,优化云支出,还能提供代码改进建议,尽可能降低数据出站需求。了解如何充分利用 AI 的力量来解决人才和安全性等难题。

数据出站常见问题解答

什么是数据出站成本?

除了对计算和存储资源收取费用,云技术提供商还会计量数据出站流量并收取费用。数据出站成本具体取决于云技术提供商,但一般是按 GB 收费,对跨云区域和跨可用性区域传输的数据以及向互联网或本地网络传输的数据收费。另外,数据出站费用还受出站目的地位置和云技术提供商影响。企业可通过压缩数据、使用内容分发网络以及托管数据(以降低跨区域传输的流量)的方式来降低数据出站成本。

在云计算领域,什么是出站?

出站是指数据从一个网络传输到另一个网络,然而在云计算技术中,这一术语变得更加复杂。数据出站不仅计量云区域或可用性区域之间的标准网络流量(从虚拟机到虚拟机,从网络到网络),还计量从云端向本地网络或互联网传输的数据。

注:为免疑义,本网页所用以下术语专指以下含义:

  1. 除Oracle隐私政策外,本网站中提及的“Oracle”专指Oracle境外公司而非甲骨文中国 。
  2. 相关Cloud或云术语均指代Oracle境外公司提供的云技术或其解决方案。