Kevin Bogusch | Oracle Senior Competitive Intelligence Analyst | 22 januari 2024
Den bedrägligt enkla definitionen av utgående trafik är ”data som lämnar ett nätverk”. Men i själva verket är övervakning och kontroll av utgående trafik allt annat än enkelt. Och i vår moderna värld av e-handel, molnbaserad IT-infrastruktur och det växande hotet från cyberattacker behöver både IT-proffs och företagsledare en nyanserad förståelse för utgående trafik och tillhörande kostnader och säkerhetsrisker.
Kostnader är till exempel ett problem för företag med IT-infrastruktur i molnet, eftersom molnleverantörer vanligtvis debiterar för utgående trafik, en avgift som kan bli stor med tiden. Säkerhetsproblemen med utgående trafik fokuserar på värdefull eller känslig information som av misstag kan överföras från nätverket eller avsiktligt stjälas av en hotaktör för att sabotera eller utöva utpressning.
Om man litar på internet och mobilappar innebär det att de medföljande risker som följer med utgående trafik ingår i själva paketet. Övervakning av dessa dataflöden är avgörande för att kunna begränsa finansiella och säkerhetsrelaterade hot.
Med utgående trafik avses den information som flödar ut från ett nätverk, antingen via e-post, interaktioner med webbplatser eller filöverföringar, till molnlagringscontainrar eller andra platser. Det är så moderna organisationer kommunicerar med varandra och med sina kunder. När företag migrerar till molninfrastrukturer och inför applikationer för programvara som en tjänst (SaaS), använder även dessa tjänster ingående och utgående trafik. I själva verket flödar information ständigt in och ut, med undantag för organisationer som driver militärklassade frånkopplade nätverk och absolut inte har några anslutningar utanför sina egna gränser.
I början av 1990-talet, innan det publika internet och molntjänster kom, var företagsnätverk i allmänhet helt slutna eller bara kopplade till andra nätverk som var specifikt utvalda. Sådana kopplingar gjordes via särskilda privata nätlinjer som köptes från telekommunikationsföretag. Vid den tiden var riskerna med utgående trafik helt knutna till säkerheten, det vill säga möjligheten att läcka eller stjäla känslig information.
Nu när de flesta företagsnätverk är anslutna till internet har dessa säkerhetsrisker ökat exponentiellt. Dessutom har det uppstått en ny kostnadsrisk eftersom molntjänstleverantörer tar betalt för utgående trafik, ibland på ett svårbegripligt och överraskande sätt.
Utgående och ingående trafik
Det traditionella konceptet med utgående trafik är strikt relaterat till data som lämnar ett företagsnätverk, medan ingående trafik vanligtvis omfattar oönskade data som kommer in i ett nätverk. När information skickas till nätverket som svar på en intern begäran släpper brandväggarna vanligtvis igenom den utan hinder. För att skydda organisationen stoppar brandväggar i allmänhet oönskade data om det inte finns specifika regler för något annat.
Ekonomin inom molntjänsterna komplicerar denna enkla modell. Molntjänstleverantörer debiterar avgifter per gigabyte för utgående trafik, men tillåter vanligtvis ingående trafik utan kostnad. Dessutom har molntjänster introducerat helt nya koncept för utgående trafik som i praktiken definierar fler typer av nätverksgränser än det traditionella företagsnätverket. Med Amazon Web Services (AWS) mäts och debiteras t.ex. ofta trafik i samma virtuella nätverk när den går mellan tillgänglighetszoner. Tillgänglighetszoner avser molndatacenter som kan ligga i samma geografiska region, men som till exempel har olika nätverksoperatörer och elbolag, vilket gör att det är mycket osannolikt att de skulle stöta på problem samtidigt. Genom att distribuera resurser i flera tillgänglighetszoner kan molnleverantörer minimera konsekvenserna av maskinvarufel, naturkatastrofer och nätverksavbrott. Men även om tillgänglighetszoner i slutändan är positiva kan de relaterade avgifterna för utgående trafik utgöra en betydande och ofta oväntad kostnadsbörda, särskilt första gången ett företag migrerar till molnet.
När det gäller övervakning och säkerhet är det viktigt att definiera profiler för både ingående och utgående trafik. Även om okänd ingående trafik vanligtvis blockeras av brandväggar, kan profileringen av denna ge användbar hotinformation för säkerhetsteamen. På grund av brandväggarnas natur och utbredning är det mycket vanligt att ingående trafik övervakas. Men betydligt färre organisationer övervakar sin utgående trafik lika noga. Brandväggar och begränsning av utgående trafik till kända mål kan begränsa effekterna av många attacker och skydda mot skadlig kod.
Viktiga lärdomar
Utgående trafik är en konstant närvarande risk som kräver noggrannhet med både säkerhet och kostnader. Om ett företag till exempel delar sin produktkatalog på en kundcentrerad webbplats, måste uppgifterna lämna det interna nätverket där katalogen ligger och överföras via internet till webbläsaren som kunden använder. Oavsett om ett företag delar data med dotterbolag och partners eller interagerar med kunder via internet, flödar alltid en viss mängd data ut från företagsnätverket.
För företag som har flyttat delar av eller hela sin IT-infrastruktur till molnet kan all dataförflyttning leda till kostnader för utgående trafik, beroende på leverantören och applikationernas utformning.
Utöver kostnaden utgör utgående trafik också risker för att känsliga data exponeras för obehöriga eller oavsiktliga mottagare. Organisationer måste hela tiden övervaka nätverket beträffande skadliga aktiviteter från externa hotaktörer och samtidigt se upp för interna attacker som dataexfiltrering av insiders. För att skydda en organisation mot dessa attacker krävs ett omfattande tillvägagångssätt som inkluderar en solid nätverksdesign, kontinuerlig övervakning och korrekt konfigurerade molnapplikationer. Vanligtvis begränsar organisationer utgående trafik med hjälp av brandväggar och letar efter avvikelser och skadliga aktiviteter. IT-säkerhetsgrupper kan dessutom vidta åtgärder för att begränsa stora dataöverföringar och blockera specifika utgående mål.
Effektiv övervakning kräver en djupgående förståelse för normala trafikmönster och hur de skiljer sig åt under en attack eller dataexfiltreringsincident. Det kan också innebära en verklig utmaning för IT-organisationer. Det vanligaste sättet att övervaka utgående trafik är att granska och analysera loggfiler från nätverksenheter vid utkanten av molnet eller lokala nätverk. Den stora mängden trafik från sådana enheter gör dock detta till en mödosam uppgift för administratörer. Många företag använder verktyg för säkerhetsinformation och händelsehantering (SIEM) för att bättre förstå hot. SIEM-verktyg inkluderar vanligtvis information om kända hotmönster, regelefterlevnad och automatiserade uppdateringar för att anpassa sig till nya hot. Det är inte enkelt att implementera SIEM-system, men det kan förbättra en organisations förståelse av mönster för utgående trafik så att säkerhetsteam kan identifiera attacker mycket tidigare.
Till exempel kan en plötslig ökning av utgående trafik indikera en dataexfiltreringsattack, där en hotaktör exporterar stora mängder data till en extern värd eller tjänst. På samma sätt kan noggrann övervakning och kontroll av mönster för utgående trafik leda till att skadlig kod i ett företagsnätverk identifieras, där koden försöker inhämta instruktioner från sitt kontrollnätverk. Många moderna ransomware-attacker försöker exfiltrera stora mängder data för att utöva utpressning mot en organisation innan de krypterar dessa data. Verktyg som DLP, system för analys av nätverkstrafik, t.ex. paketsniffers och analys av användarbeteenden för att upptäcka onormala mönster kan hjälpa IT att upptäcka en pågående exfiltrering. Även filtrering av utgående trafik, där IT övervakar utgående trafik och blockerar trafik som anses vara skadlig, bidrar till att minska dessa risker.
Utöver brandväggar använder organisationer också DLP-programvara för att skydda mot dataexfiltrering. De här verktygen använder sig av tekniker som katalogisering och taggning av data med känslighetsklassning, kryptering och granskning för att förhindra att känsliga data lämnar nätverket.
Utöver att driva upp molnkostnaderna kan stora mängder utgående trafik indikera flera typer av hot, t.ex. en dataexfiltreringsattack av en hotaktör eller skadlig kod som flyttar sig genom ett företagsnätverk via subnätskommunikationer.
Organisationer kan minska säkerhetsriskerna kring utgående trafik på ett antal olika sätt, till exempel genom att justera molntjänster till att begränsa utgående trafik. Följande sju strategier används av många organisationer för att bättre kontrollera och hantera säkerhetsrisker för utgående trafik:
Observera att dessa metoder inte är separata lösningar, utan snarare beroende av varandra. Datakategoriseringselementet i DLP och skapandet av en policy för utgående trafik skulle till exempel både informera brandväggskonfigurationer och inställningar för åtkomstkontroll.
Avgifter för utgående trafik kan tidigt leda till kostsamma överraskningar i en organisations molnmigreringsprocess. Därför är det viktigt att dagligen övervaka utgående molntrafik för att säkerställa att den ligger inom budgeten – och undersöka varför om så inte är fallet. Alla leverantörer av publika moln har stöd för aviseringar kopplade till utgifter, så att kostnader för utgående trafik kan övervakas på samma sätt som CPU-användningen hos en virtuell maskin. Men övervakning är bara det första steget till att minska kostnaderna för utgående molntrafik. Här är några tips för att sänka kostnaderna för utgående trafik i molnapplikationer.
Även om sådana förändringar kan kräva en betydande engångsinvestering kan de i slutändan sänka de återkommande molnräkningarna, vilket ger god avkastning på den initiala kostnaden och bättre hantering av molnkostnaderna. Om avgifterna för utgående trafik utgör en stor del av organisationens molnkostnader, kan molnförändringar som prioriteras framför andra teknikprojekt innebära en nettovinst.
Olika molnleverantörer debiterar olika mycket för utgående trafik. Även med en enda molnleverantör kan prismodellerna för utgående trafik variera mellan olika tjänster. Att minska komplexiteten och den totala kostnaden för utgående trafik var ett av de viktigaste övervägandena när Oracle utvecklade Oracles molninfrastruktur (OCI). Genom att följa de här principerna redan från början kan Oracle erbjuda globala priser på flera molntjänster och mycket lägre avgifter för utgående trafik än andra leverantörer, däribland Amazon Web Services (AWS) och Google Cloud.
Med OCI:s lägre avgifter för utgående trafik kan företag flytta stora datavolymer mellan molnregioner, internt eller till sina kunder. OCI-kunder i Nordamerika och Europa betalar till exempel 783 USD för 100 terabyte utgående trafik till platser på det publika internet, jämfört med cirka 8 000 USD för AWS- och Google Cloud-användare. Kunder som köper den speciella privata linjen OCI FastConnect med 10 gigabit/s betalar en fast avgift på 918 USD per månad för obegränsad utgående trafik. Om linjen utnyttjas 50 % (1 620 terabyte överfört) blir motsvarande kostnad för en privat linje med AWS Direct Connect 34 020 USD.
OCI:s priser för utgående trafik är en viktig faktor för organisationer som bygger molntjänster som kräver stor bandbredd. Exempel på storskaliga appar där priserna betyder mycket är livevideo, videokonferenser och spel.
Om du vill bedöma hur organisationens kostnader för utgående trafik och andra molntjänster skulle vara som Oracle Cloud-kund, kan du använda kostnadsberäkningen för OCI.
Okontrollerad utgående trafik kan utgöra både en säkerhetsrisk och en ekonomisk risk för organisationer. Att distribuera en dåligt konstruerad eller icke-molnspecific applikation i molnet kan leda till okontrollerade kostnader för utgående trafik och bristande säkerhet som utsätter organisationer för risker som dataexfiltrering och ransomware-attacker.
Därför är det viktigt att begränsa, skydda och övervaka utgående trafik från ett företagsnätverk. Mer specifikt måste organisationer kontrollera var deras data överförs och se upp för eventuella avvikande mönster. Bästa praxis för nätverkssäkerhetsorganisationer inkluderar att implementera en välfungerande incidenthanteringsplan och använda SIEM- och DLP-teknik. Att välja rätt molnleverantör för organisationens krav och konstruera eller omstrukturera applikationernas arkitektur för att påverka kostnaderna för utgående trafik kan verkligen göra att organisationen får bättre avkastning på molninvesteringen.
AI kan hjälpa IT-chefer analysera data för att optimera molnutgifterna och föreslå kodjusteringar till utvecklaren för att minimera utgående trafik. Lär dig hur du kan dra nytta av artificiell intelligens för att hantera utmaningar med kompetens, säkerhet och mycket annat.
Vad kostar utgående trafik?
Utöver kostnaden för beräknings- och lagringsresurser mäter och fakturerar molnleverantörer också för utgående trafik. Även om dessa kostnader kan variera mellan molnleverantörer debiteras de vanligtvis per gigabyte för data som överförs mellan molnregioner, tillgänglighetszoner, eller till internet eller lokala nätverk. Avgifterna för utgående trafik kan också skilja sig åt beroende på målplats och molnleverantör. De kan minskas genom att komprimera data, dra nytta av nätverk för innehållsleverans och samlokalisera data för att begränsa trafiken mellan regioner.
Vad innebär utgående trafik i molntjänster?
Utgående trafik definieras som data som överförs från ett nätverk till ett annat, men termen blir mer komplicerad när det gäller molntjänster. Med virtuella maskiner och nätverk betraktas vanlig nätverkstrafik mellan molnregioner eller tillgänglighetszoner som utgående trafik. Även data som skickas från molnet tillbaka till lokala nätverk eller internet räknas som utgående trafik.