Kevin Bogusch | Oracle Senior Competitive Intelligence Analyst | 22. Januar 2024
Die täuschend einfache Definition von Daten-Egress ist lediglich „Daten, die ein Netzwerk verlassen“. Natürlich war die Überwachung und Kontrolle des Egress-Datenverkehrs nie eine einfache Angelegenheit. Und in unserer modernen Welt des E-Commerce, der in der Cloud gehosteten IT-Infrastruktur und der wachsenden Bedrohung durch Cyberangriffe benötigen IT-Experten und Unternehmensmanager gleichermaßen ein differenziertes Verständnis des Egress-Datenverkehrs und der damit verbundenen Kosten und Sicherheitsrisiken.
Für Unternehmen mit IT-Infrastruktur in der Cloud sind beispielsweise die Kosten ein Problem, da Cloud-Provider in der Regel Gebühren für den Daten-Egress erheben und sich diese summieren können. Sicherheitsbedenken hinsichtlich des Egress-Datenverkehrs konzentrieren sich hingegen auf wertvolle oder sensible Informationen, die versehentlich aus dem Netzwerk übertragen bzw. absichtlich von einem Bedrohungsakteur gestohlen werden können, der ein Unternehmen in Verlegenheit bringen oder Lösegeld für die Daten verlangen möchte.
Die Abhängigkeit vom Internet und mobilen Apps bedeutet, dass der Daten-Egress und die damit verbundenen Risiken nur ein Teil der Geschäftstätigkeit sind. Die Überwachung dieser Datenströme ist unerlässlich, um finanzielle und Sicherheitsbedrohungen zu begrenzen.
Unter Datenausgang versteht man die Informationen, die aus einem Netzwerk – sei es per E-Mail, Interaktionen mit Websites oder Dateiübertragungen – an Cloud-Speichercontainer oder andere Quellen fließen. So kommunizieren moderne Unternehmen untereinander und mit ihren Kunden. Während Unternehmen zu Cloud-Infrastrukturen migrieren und Software-as-a-Service (SaaS)-Anwendungen einsetzen, nutzen sie diese Services auch über den Daten-Egress und -Ingress. Wenn eine Organisation nicht gerade ein militärisches Air-gapped-Netzwerk betreibt, das keine Verbindungen über die eigenen Grenzen hinaus hat, fließen ständig Informationen ein und aus.
Vor der Einführung des öffentlichen Internets und des Cloud-Computing in den frühen 1990er Jahren waren Unternehmensnetzwerke im Allgemeinen geschlossen oder nur mit Netzwerken verbunden, die von einer Organisation bewusst ausgewählt wurden. Diese Verbindungen wurden über private Standleitungen hergestellt, die von Telekommunikationsunternehmen erworben wurden. Zu dieser Zeit waren die Risiken, die mit der Datenweitergabe einhergingen, ausschließlich mit der Sicherheit verknüpft, also mit der Möglichkeit, dass vertrauliche Informationen durchsickern oder gestohlen werden könnten.
Da die meisten Unternehmensnetzwerke nun dem Internet ausgesetzt sind, haben diese Sicherheitsrisiken exponentiell zugenommen. Darüber hinaus ist ein neues Kostenrisiko entstanden, da die Anbieter von Cloud-Services Gebühren für den Datenabfluss erheben, manchmal auf kontraintuitive und überraschende Weise.
Daten-Egress im Vergleich zum Daten-Ingress
Das traditionelle Konzept des Egress-Datenverkehrs bezieht sich ausschließlich auf Daten, die ein Unternehmensnetzwerk verlassen, während unter Ingress-Datenverkehr üblicherweise unerwünschte Daten verstanden werden, die in ein Netzwerk gelangen. Wenn Informationen als Reaktion auf eine interne Anfrage in das Netzwerk gesendet werden, lassen Firewalls diese normalerweise ungehindert durch. Um das Unternehmen zu schützen, blockieren Firewalls im Allgemeinen unerwünschte Daten, sofern keine gegenteiligen spezifischen Regeln festgelegt wurden.
Die Wirtschaftlichkeit des Cloud-Computing erschwert dieses einfache Modell. Cloud-Serviceprovider erheben Gebühren pro Gigabyte für den Daten-Egress, erlauben den Daten-Ingress jedoch in der Regel kostenlos. Darüber hinaus haben Cloud-Services neue Konzepte für den Datenausgang eingeführt, die in der Praxis mehr Arten von Netzwerkgrenzen als den herkömmlichen Unternehmensnetzwerkperimeter festlegen. Beispielsweise wird bei Amazon Web Services (AWS) der Datenverkehr im selben virtuellen Netzwerk häufig gemessen und berechnet, wenn er zwischen Verfügbarkeitszonen verschoben wird. Verfügbarkeitszonen beziehen sich auf Cloud-Data-Center, die sich möglicherweise in derselben geografischen Region befinden, aber beispielsweise über unterschiedliche Netzbetreiber und Stromanbieter verfügen, sodass ein gleichzeitiger Ausfall höchst unwahrscheinlich ist. Durch die Verteilung von Ressourcen auf mehrere Verfügbarkeitszonen können Cloud-Provider die Auswirkungen von Hardwareausfällen, Naturkatastrophen und Netzwerkausfällen auf ihre Services minimieren. Aber auch wenn Verfügbarkeitszonen letztlich positiv sind, können die damit verbundenen Egress-Gebühren eine erhebliche, unvorhergesehene Kostenbelastung darstellen, insbesondere wenn ein Unternehmen zum ersten Mal in die Cloud migriert.
Im Hinblick auf Überwachung und Sicherheit ist es wichtig, sowohl ein- als auch ausgehende Daten zu profilieren. Während unbekannter eingehender Datenverkehr in der Regel von Firewalls blockiert wird, kann die Profilierung dieses Datenverkehrs nützliche Bedrohungsinformationen für Sicherheitsteams liefern. Aufgrund der Art und Prävalenz von Firewalls ist die Überwachung von Ingress üblich. Allerdings überwachen weitaus weniger Unternehmen den Daten-Egress so sorgfältig. Firewalling und die Begrenzung des Egress-Datenverkehrs auf bekannte Ziele können die Auswirkungen von Angriffen begrenzen und Schutz vor Malware bieten.
Wichtige Erkenntnisse
Der Daten-Egress ist eine Konstante, die im Hinblick auf Sicherheit und Kosten sorgfältig verwaltet werden muss. Wenn ein Unternehmen beispielsweise seinen Produktkatalog auf einer kundenorientierten Website bereitstellt, müssen die Daten das interne Netzwerk, in dem der Katalog verwaltet wird, verlassen und das Internet durchqueren, um den Browser zu erreichen, in dem der Kunde die Website anzeigt. Unabhängig davon, ob ein Unternehmen Daten mit Tochtergesellschaften oder Partnern austauscht oder mit Kunden über das Internet interagiert, wird immer ein gewisses Datenvolumen das Unternehmensnetz verlassen.
Für Unternehmen, die einen Teil oder ihre gesamte IT-Infrastruktur in die Cloud verlagert haben, können bei jeder Datenverlagerung je nach Provider und Konzeption ihrer Anwendungen Kosten für den Daten-Egress aus der Cloud anfallen.
Abgesehen von den Kosten birgt der Daten-Egress auch das Risiko, dass sensible Daten unbefugten oder unbeabsichtigten Empfängern zugänglich gemacht werden. Unternehmen müssen auf böswillige Aktivitäten von externen Bedrohungsakteuren achten und gleichzeitig auf interne Angriffe wie die Datenexfiltration durch Insider. Um ein Unternehmen vor diesen Angriffen zu schützen, ist ein umfassender Ansatz erforderlich, der ein solides Netzwerkdesign, kontinuierliche Überwachung und ordnungsgemäß konfigurierte Cloud-Anwendungsarchitekturen umfasst. In der Regel begrenzen Unternehmen den Datenaustritt mithilfe von Firewalls und überwachen den ausgehenden Datenverkehr auf Anomalien oder böswillige Aktivitäten. Außerdem können IT-Sicherheitsgruppen Maßnahmen ergreifen, um die Übertragung großer Datenmengen einzuschränken und bestimmte ausgehende Ziele zu blockieren.
Eine effektive Überwachung erfordert ein tiefgreifendes Verständnis der normalen Verkehrsmuster und ihrer Unterschiede bei einem Angriff oder Datenexfiltrationsvorfall. Auch für IT-Organisationen kann dies eine echte Herausforderung darstellen. Die gebräuchlichste Methode zur Überwachung des Egress-Datenverkehrs besteht darin, Protokolldateien von Netzwerkgeräten am Rande von Cloud- oder On-Premises-Netzwerken zu überprüfen und zu analysieren. Die schiere Menge des Datenverkehrs, der von diesen Geräten ausgeht, macht dies jedoch zu einer mühsamen Aufgabe für die Administratoren. Viele Unternehmen nutzen SIEM-Tools (Security Information and Event Management), um Bedrohungen besser zu verstehen. SIEM-Tools enthalten in der Regel Informationen zu bekannten Bedrohungsmustern, zur Einhaltung gesetzlicher Vorschriften und zu automatischen Updates zur Anpassung an neue Bedrohungen. Die Implementierung von SIEM-Systemen ist zwar kein einfacher Prozess, aber sie kann das Verständnis eines Unternehmens für Daten-Egress-Muster verbessern und es den Sicherheitsteams ermöglichen, Angriffe viel früher zu erkennen.
Ein plötzlicher Anstieg des Egress-Datenverkehrs könnte beispielsweise auf einen Datenexfiltrationsangriff hinweisen, bei dem ein Bedrohungsakteur große Datenmengen an einen externen Host oder Service exportiert. Ebenso kann eine sorgfältige Überwachung und Kontrolle der Daten-Egress-Muster dazu beitragen, Malware zu identifizieren, die bereits in einem Unternehmensnetzwerk vorhanden ist, während sie versucht, weitere Anweisungen von ihrem Befehls- und Kontrollnetzwerk zu erhalten. Bei vielen modernen Ransomware-Angriffen wird versucht, große Datenmengen auszuschleusen, um Geld von einer Organisation zu erpressen, bevor diese Daten verschlüsselt werden. Tools wie DLP, Systeme zur Analyse des Netzwerkverkehrs (z. B. Paket-Sniffer) und die Analyse des Benutzerverhaltens zur Erkennung abnormaler Muster können der IT-Abteilung helfen, Exfiltrationen zu erkennen. Auch die Egress-Filterung, bei der die IT den ausgehenden Datenverkehr überwacht und als bösartig eingestuften Datenverkehr blockiert, trägt dazu bei, diese Risiken zu mindern.
Neben Firewalls setzen Unternehmen auch DLP-Software zum Schutz vor Datenexfiltration ein. Diese Tools nutzen Techniken wie das Katalogisieren und Markieren von Daten mit Vertraulichkeitskennzeichnungen, Verschlüsselung und Auditing, um zu verhindern, dass sensible Daten das Netzwerk verlassen.
Ein erheblicher Daten-Egress treibt nicht nur die Cloud-Kosten in die Höhe, sondern kann auch auf verschiedene Arten von Bedrohungen hindeuten, z. B. auf einen Datenexfiltrationsangriff eines Bedrohungsakteurs oder auf Malware, die sich über Subnetz-Kommunikation seitlich innerhalb eines Unternehmensnetzwerks bewegt.
Unternehmen können die Sicherheitsrisiken im Zusammenhang mit Daten-Egress auf verschiedene Weise mindern – beispielsweise durch die Neuausrichtung von Cloud-Services, um den ausgehenden Datenverkehr zu begrenzen. Die folgenden sieben Best Practices werden von vielen Unternehmen verwendet, um Sicherheitsrisiken für den Daten-Egress besser zu kontrollieren und zu verwalten:
Beachten Sie, dass es sich bei diesen Praktiken nicht um separate Einzellösungen handelt, sondern dass sie voneinander abhängen. So würden beispielsweise die Datenkategorisierung im Rahmen von DLP und die Erstellung einer Egress-Policy die Firewall-Konfigurationen und die Einstellungen für die Zugriffskontrolle beeinflussen.
Gebühren für den Daten-Egress können zu Beginn des Cloud-Migrationsprozesses eines Unternehmens zu kostspieligen Überraschungen führen. Daher ist es wichtig, die Kosten für den Datenausgang in die Cloud täglich zu überwachen, um sicherzustellen, dass sie innerhalb des Budgets liegen – und zu untersuchen, ob dies nicht der Fall ist. Alle Public Cloud-Provider unterstützen Alerts, die an Ausgaben gebunden sind, sodass die Kosten für den Egress-Datenverkehr genau wie die CPU-Auslastung einer virtuellen Maschine überwacht werden können. Die Überwachung ist jedoch nur der erste Schritt zur Senkung der Kosten für den Daten-Egress in der Cloud. Im Folgenden finden Sie einige Tipps zur Senkung der Egress-Kosten bei Cloud-Anwendungen.
Während die Implementierung dieser Änderungen möglicherweise eine erhebliche einmalige Investition erfordert, können sie letztendlich die wiederkehrenden Cloud-Rechnungen senken. So kann die Rendite auf die anfänglichen Kosten erhöht und ein besseres Cloud-Kostenmanagement erreicht werden. Wenn die Gebühren für den Datenausgang einen großen Teil der Cloud-Kosten Ihres Unternehmens ausmachen, könnte die Priorisierung dieser Änderungen gegenüber anderen technischen Projekten ein Nettogewinn sein.
Die OCI Daten-Egress-Tarife ist ein wichtiges Unterscheidungsmerkmal für Unternehmen, die Cloud-Services entwickeln, die große Mengen an Bandbreite benötigen. Zu den groß angelegten Anwendungen, die diese Tarife nutzen, gehören Live-Video-Streaming, Videokonferenzen und Spiele.
Um einzuschätzen, wie hoch der Daten-Egress und andere Cloud-Kosten Ihres Unternehmens als Oracle Cloud-Kunde sein würden, verwenden Sie den OCI-Kostenrechner.
Ein ungehinderter Daten-Egress kann für Unternehmen sowohl ein Sicherheits- als auch ein finanzielles Risiko darstellen. Das Deployment einer nicht Cloud-nativen oder schlecht konzipierten Anwendung in der Cloud kann zu unkontrollierten Daten-Egress-Kosten und unzureichender Sicherheit führen, die Unternehmen dem Risiko der Datenexfiltration und Ransomware-Angriffen aussetzt.
Daher ist es wichtig, den ausgehenden Datenverkehr aus einem Unternehmensnetzwerk einzuschränken, zu stärken und zu überwachen. Kurz gesagt, Unternehmen müssen kontrollieren, wohin ihre Daten gelangen können, und auf anormale Muster achten. Zu den Best Practices für Netzwerksicherheitsorganisationen gehören die Implementierung eines guten Reaktionsplans für Zwischenfälle und der Einsatz von SIEM- und DLP-Technologien. Darüber hinaus kann die Auswahl des richtigen Cloud-Providers für ihre Anforderungen und die Entwicklung bzw. Neuarchitektur von Anwendungen unter Berücksichtigung der Datenausgabekosten erheblich zum Cloud-ROI eines Unternehmens beitragen.
KI kann CIOs dabei helfen, Daten zu analysieren, um die Cloud-Ausgaben zu optimieren und dem Architekten Code-Optimierungen vorzuschlagen, um den Datenverkehr zu minimieren. Erfahren Sie, wie Sie das Potenzial der künstlichen Intelligenz jetzt nutzen können, um Talente, Sicherheit und andere Herausforderungen anzugehen.
Was versteht man unter den Kosten für den Daten-Egress?
Zusätzlich zu den Kosten für Compute- und Storage-Ressourcen messen und berechnen Cloud-Provider auch den Egress-Datenverkehr. Obwohl diese Kosten je nach Cloud-Provider variieren können, werden sie in der Regel pro Gigabyte für Daten berechnet, die zwischen Cloud-Regionen, Verfügbarkeitszonen oder ins Internet bzw. On-Premises-Netzwerke übertragen werden. Die Gebühren für den Daten-Egress können auch je nach Zielstandort und Cloud-Provider unterschiedlich sein. Sie können durch die Komprimierung von Daten, die Nutzung von Content Delivery Networks und die gemeinsame Platzierung von Daten zur Begrenzung des überregionalen Datenverkehrs reduziert werden.
Was versteht man unter Egress beim Cloud-Computing?
Egress wird als Daten definiert, die von einem Netzwerk in ein anderes übertragen werden. Beim Cloud-Computing wird der Begriff jedoch noch komplexer. Bei virtuellen Maschinen und Netzwerken gilt der Standard-Netzwerkverkehr zwischen Cloud-Regionen oder Verfügbarkeitszonen als Egress-Datenverkehr. Darüber hinaus werden Daten, die von der Cloud zurück in On-Premises-Netzwerke oder das Internet gelangen, ebenfalls als Egress-Daten erfasst.