Kevin Bogusch | Oracle Senior Competitive Intelligence Analyst | 22 gennaio 2024
La definizione ingannevolmente semplice di data egress è "dati che lasciano una rete". Naturalmente, il monitoraggio e il controllo dell'uscita dei dati non è mai stato una questione semplice. E nel nostro moderno mondo dell'e-commerce, dell'infrastruttura IT ospitata nel cloud e della crescente minaccia di attacchi informatici, i professionisti IT e i manager aziendali hanno bisogno di una comprensione sfumata dell'uscita dei dati e dei relativi costi e rischi per la sicurezza.
I costi, ad esempio, sono una preoccupazione per le aziende con infrastruttura IT nel cloud perché i fornitori di servizi cloud in genere addebitano l'uscita dei dati e tali costi possono aumentare. I problemi di sicurezza legati all'uscita dei dati, nel frattempo, si concentrano su informazioni preziose o sensibili che possono essere accidentalmente trasmesse fuori dalla rete o deliberatamente rubate da un soggetto che cerca di mettere in difficoltà un'organizzazione o tenere i dati per il riscatto.
Affidarsi a Internet e alle app mobili significa che l'uscita dei dati e i relativi rischi fanno parte del business. Il monitoraggio di questi flussi di dati è essenziale per limitare le minacce finanziarie e di sicurezza.
L'uscita dei dati si riferisce alle informazioni che fluiscono da una rete (via e-mail, interazioni con siti Web o trasferimenti di file) a container di storage cloud o ad altre fonti. È così che le organizzazioni moderne comunicano tra loro e con i clienti. Mentre le aziende migrano alle infrastrutture cloud e adottano applicazioni software-as-a-service (SaaS), consumano questi servizi anche tramite l'uscita e l'ingresso dei dati. Infatti, a meno che un'organizzazione non gestisca una rete air-gapped di livello militare che non ha assolutamente connessioni oltre i propri confini, le informazioni scorrono costantemente dentro e fuori.
Prima dell'arrivo della rete Internet pubblica e del cloud computing nei primi anni '90, le reti aziendali erano generalmente chiuse o collegate solo a reti scelte consapevolmente da un'organizzazione. Tali collegamenti sono stati effettuati tramite linee di rete private dedicate acquistate da carrier di telecomunicazioni. All'epoca, i rischi posti dall'uscita dei dati erano interamente legati alla sicurezza, ovvero alla possibilità che informazioni sensibili potessero trapelare all'esterno o essere rubate.
Ora, con la maggior parte delle reti aziendali esposte a Internet, questi rischi per la sicurezza sono aumentati in modo esponenziale. Inoltre, è emerso un nuovo rischio in termini di costi perché i provider di servizi cloud addebitano l'uscita dei dati, a volte in modi poco intuitivi e sorprendenti.
Differenze tra dati in uscita e dati in entrata
Il concetto tradizionale di data egress è strettamente correlato ai dati che lasciano una rete aziendale, mentre il data ingress è comunemente inteso come dati non richiesti che entrano in una rete. Quando le informazioni vengono inviate alla rete in risposta a una richiesta interna, i firewall in genere le lasciano passare senza ostacoli. Per proteggere l'organizzazione, i firewall in genere fermano i dati non richiesti a meno che non siano state stabilite regole specifiche.
L'economia del cloud computing complica questo semplice modello. I provider di servizi cloud addebitano tariffe per gigabyte di dati in uscita, ma in genere consentono l'ingresso dei dati senza costi aggiuntivi. Inoltre, i servizi cloud hanno introdotto nuovi concetti per l'uscita dei dati che, in pratica, stabiliscono più tipi di confini di rete rispetto al perimetro di rete aziendale tradizionale. Ad esempio, con Amazon Web Services (AWS), il traffico sulla stessa rete virtuale viene spesso misurato e addebitato quando ci si sposta tra le zone di disponibilità. Le zone di disponibilità si riferiscono ai data center cloud che potrebbero trovarsi nella stessa area geografica, ma che hanno, ad esempio, diversi operatori di rete e provider di alimentazione che rendono altamente improbabile che si verifichino errori contemporaneamente. Distribuendo le risorse in più zone di disponibilità, i provider cloud possono ridurre al minimo l'impatto di guasti hardware, disastri naturali e interruzioni della rete sui propri servizi. Tuttavia, sebbene le zone di disponibilità siano in definitiva positive, i relativi costi di uscita possono presentare un onere significativo e imprevisto, soprattutto quando un'azienda migra per la prima volta al cloud.
Per quanto riguarda il monitoraggio e la sicurezza, è importante creare un profilo sia sull'ingresso che sull'uscita dei dati. Mentre il traffico in entrata sconosciuto è in genere bloccato dai firewall, analizzando tale traffico è possibile fornire informazioni utili sulle minacce per i team di sicurezza. A causa della natura e della prevalenza dei firewall, il monitoraggio in ingresso è comune. Tuttavia, molte meno organizzazioni monitorano l'uscita dei dati con la stessa attenzione. Il firewall e la limitazione del traffico in uscita a destinazioni note possono limitare l'impatto degli attacchi e fornire protezione da malware.
Concetti chiave
L'uscita dei dati è una costante che deve essere gestita con attenzione in termini di sicurezza e costi. Ad esempio, se un'azienda condivide il proprio catalogo di prodotti su un sito Web rivolto al cliente, i dati devono uscire dalla rete interna in cui viene mantenuto il catalogo e attraversare Internet per raggiungere il browser in cui il cliente sta visualizzando il sito. Sia che un'azienda condivida dati con società controllate o partner o interagisca con i clienti tramite Internet, ci sarà sempre un certo volume di dati che lasceranno la rete aziendale.
Per le aziende che hanno spostato parte o tutte le loro infrastrutture IT nel cloud, qualsiasi spostamento dei dati potrebbe comportare costi di uscita dei dati cloud a seconda del loro fornitore e della progettazione delle loro applicazioni.
Oltre alla spesa, l'uscita dei dati comporta anche il rischio di esporre i dati sensibili a destinatari non autorizzati o non intenzionali. Le organizzazioni devono monitorare la presenza di attività dannose da parte di attori esterni delle minacce, tenendo d'occhio gli attacchi interni, come l'esfiltrazione dei dati da parte degli addetti ai lavori. La protezione di un'organizzazione da questi attacchi richiede un approccio completo che includa una solida progettazione di rete, un monitoraggio continuo e architetture di applicazioni cloud configurate correttamente. In genere, le organizzazioni limitano l'uscita dei dati utilizzando firewall e monitorando il traffico in uscita per rilevare anomalie o attività dannose. I gruppi di sicurezza IT possono anche adottare misure per limitare i trasferimenti di dati ad alto volume e bloccare destinazioni in uscita specifiche.
Un monitoraggio efficace richiede una comprensione approfondita dei normali modelli di traffico e di come differiscono durante un attacco o un incidente di esfiltrazione dei dati. Può anche rappresentare una vera sfida per le organizzazioni IT. Il modo più comune per monitorare il traffico in uscita dei dati è rivedere e analizzare i file di log dai dispositivi di rete ai margini delle reti cloud oppure on-premise. L'enorme volume di traffico da tali dispositivi, tuttavia, rende questo un compito arduo per gli amministratori. Molte aziende utilizzano strumenti SIEM (Security Information and Event Management) per comprendere meglio le minacce. Gli strumenti SIEM in genere includono intelligence su pattern di minacce noti, compliance normativa e aggiornamenti automatici per adattarsi a nuove minacce. Sebbene l'implementazione dei sistemi SIEM non sia un processo semplice, ciò può migliorare la comprensione da parte di un'organizzazione dei modelli di uscita dei dati, consentendo ai team di sicurezza di identificare gli attacchi molto prima.
Ad esempio, un improvviso aumento dell'uscita dei dati potrebbe indicare un attacco di esfiltrazione dei dati, in cui un soggetto di minacce esporta grandi quantità di dati in un host o servizio esterno. Allo stesso modo, un attento monitoraggio e controllo dei modelli di uscita dei dati può aiutare a identificare il malware già presente all'interno di una rete aziendale mentre cerca ulteriori istruzioni dalla sua rete di comando e controllo. Molti attacchi ransomware moderni tentano di estrarre grandi volumi di dati per estorcere fondi da un'organizzazione prima di crittografare tali dati. Strumenti quali DLP, sistemi di analisi del traffico di rete, come sniffer di pacchetti, e analisi del comportamento degli utenti per rilevare modelli anomali possono aiutare l'IT a rilevare l'esfiltrazione. Il filtro in uscita, in cui l'IT monitora il traffico in uscita e blocca il traffico considerato dannoso, aiuta a mitigare anche questi rischi.
Oltre ai firewall, le organizzazioni utilizzano anche il software DLP per proteggersi dall'esfiltrazione dei dati. Questi strumenti utilizzano tecniche come la catalogazione e l'applicazione di tag ai dati con etichette di sensibilità, crittografia e auditing per impedire ai dati sensibili di uscire dalla rete.
Oltre ad aumentare i costi del cloud, l'uscita sostanziale di dati può indicare diversi tipi di minacce, tra cui un attacco di esfiltrazione dei dati da parte di un attore di minacce o malware che si muove lateralmente all'interno di una rete aziendale tramite comunicazioni di sottoreti.
Le organizzazioni possono mitigare i rischi per la sicurezza legati all'uscita dei dati in diversi modi, ad esempio riallineando i servizi cloud per limitare il traffico in uscita. Le sette best practice riportate di seguito vengono utilizzate da molte organizzazioni per controllare e gestire meglio i rischi per la sicurezza in uscita dei dati:
Si noti che queste pratiche non sono soluzioni una tantum separate; piuttosto, dipendono l'una dall'altra. Ad esempio, l'elemento di categorizzazione dei dati di DLP e la creazione di un criterio di uscita informerebbero le configurazioni del firewall e le impostazioni di controllo degli accessi.
I costi di uscita dei dati possono portare a costose sorprese all'inizio del processo di migrazione cloud di un'organizzazione, quindi è importante monitorare quotidianamente i costi di uscita dei dati cloud per avere la certezza di rispettare il budget e di indagare se vanno oltre il budget stabilito. Tutti i provider di cloud pubblico supportano gli avvisi legati alla spesa, quindi i costi di uscita dei dati possono essere monitorati proprio come l'utilizzo della CPU di una virtual machine. Tuttavia, il monitoraggio è solo il primo passo per ridurre il costo dei dati in uscita dal cloud. Ecco alcuni suggerimenti per ridurre i costi di uscita nelle applicazioni cloud.
Sebbene questi cambiamenti possano richiedere un investimento significativo una tantum da implementare, possono in ultima analisi ridurre le fatture cloud ricorrenti, con un conseguente forte ritorno sui costi iniziali e una migliore gestione dei costi del cloud. Se i costi di uscita dei dati rappresentano una parte importante dei costi cloud della tua organizzazione, dare la priorità a questi cambiamenti rispetto ad altri progetti di ingegneria potrebbe essere una vittoria netta.
Diversi provider cloud addebitano importi diversi per l'uscita dei dati. Anche con un unico fornitore di servizi cloud, i modelli di prezzo per l'uscita dei dati possono variare tra i singoli servizi. La riduzione della complessità e del costo complessivo dell'uscita dei dati è stata tra le principali considerazioni di Oracle quando si è creato Oracle Cloud Infrastructure (OCI). Seguendo questi principi fin dall'inizio, Oracle è stata in grado di offrire prezzi globali per diversi servizi cloud e costi di uscita dei dati notevolmente inferiori rispetto ad altri provider, tra cui Amazon Web Services (AWS) e Google Cloud.
Le tariffe di uscita dei dati più basse di OCI consentono alle aziende di spostare volumi significativi di dati tra le regioni cloud, sia internamente che ai clienti. Ad esempio, i clienti OCI in Nord America e in Europa pagherebbero 783 dollari per 100 terabyte (TB) di dati in uscita alle sedi della rete Internet pubblica, rispetto a circa 8.000 dollari per gli utenti AWS e Google Cloud. I clienti che acquistano una linea privata dedicata OCI FastConnect da 10 gigabit al secondo pagano una tariffa fissa di 918 dollari al mese per l'uscita illimitata dei dati; ipotizzando un utilizzo del 50% di quella linea (1.620 TB trasferiti), il costo equivalente su una linea privata AWS Direct Connect sarebbe di 34.020 dollari.
I prezzi dei dati in uscita OCI sono un grande elemento di differenziazione per le organizzazioni che creano servizi cloud con grandi quantità di larghezza di banda. Le applicazioni su larga scala che sfruttano queste tariffe includono streaming video in diretta, videoconferenze e giochi.
Per valutare quali sarebbero i dati in uscita della tua organizzazione e altri costi cloud come clienti Oracle Cloud, utilizza la stima dei costi OCI.
L'uscita illimitata dei dati può comportare sia un rischio finanziario che di sicurezza per le organizzazioni. L'implementazione di un'applicazione non cloud nativa o mal progettata nel cloud può portare a costi di uscita dei dati non controllati e a una sicurezza inadeguata che mette le organizzazioni a rischio di esfiltrazione dei dati e attacchi ransomware.
Pertanto, è importante limitare, rafforzare e monitorare il traffico in uscita da una rete aziendale. In breve, le organizzazioni devono controllare dove i loro dati possono viaggiare e cercare eventuali modelli anomali. Le best practice per le organizzazioni di sicurezza di rete includono l'implementazione di un buon piano di risposta agli incidenti e l'utilizzo di tecnologie SIEM e DLP. Inoltre, scegliere il provider cloud giusto per le proprie esigenze e progettare o riprogettare applicazioni con in mente i costi di uscita dei dati può contribuire in modo significativo al ROI del cloud di un'organizzazione.
L'intelligenza artificiale può aiutare i CIO ad analizzare i dati per ottimizzare la spesa cloud e suggerire modifiche al codice per progettare e ridurre al minimo i dati in uscita. Scopri come sfruttare ora il potere dell'intelligenza artificiale per affrontare talenti, sicurezza e altre sfide.
Quali sono i costi?
Oltre al costo delle risorse di computazione e storage, i provider cloud misurano e fatturano anche i dati in uscita. Sebbene questi costi possano variare a seconda del provider cloud, in genere vengono addebitati per gigabyte di dati che viaggiano tra aree cloud, zone di disponibilità o su Internet o reti on-premise. Le tariffe di uscita dei dati possono anche differire in base alla posizione di destinazione e al provider cloud. Possono essere ridotti comprimendo i dati, sfruttando le reti di distribuzione dei contenuti e condividendo i dati per limitare il traffico tra più aree.
In cosa consiste l'egress nel cloud computing?
L'egress è definito come dati che vanno da una rete all'altra, ma il termine assume un'ulteriore complessità nel cloud computing. Con le virtual machine e le reti, il traffico di rete standard tra le aree cloud o le zone di disponibilità viene considerato come data egress. Inoltre, anche i dati che viaggiano dal cloud alle reti on-premise o a Internet vengono misurati come data egress.