Der Datenverkehr unterliegt in Netzwerken und der Cloud einem definierten Regelwerk. Dabei fallen mitunter auch die Begriffe Ingress und Egress. Doc Storage erklärt die Bedeutung.
Leserfrage: In einem Vortrag wurden in Verbindung mit dem Datenverkehr Cloud die Begriffe Ingress und Egress erwähnt. Was ist darunter zu verstehen?
Antwort Doc Storage:
Egress meint in der Welt der Netzwerke den Datenverkehr, der einen Teil eines oder ein gesamtes Netzwerk verlässt. Unter Ingress versteht sich derjenige Datenverkehr, der die Grenze eines Netzwerks von außen überschreitet. Während dies bei der Nutzung von Standard-Dienstanbietern (meist für Internet-Dienste) des Netzwerks relativ klar ist, unterscheidet es sich im Fall eines Rechenzentrums oder einer Cloud etwas.
In der Cloud bedeutet Egress immer noch denjenigen Datenverkehr, der aus einem privaten Netzwerk in das öffentliche Netz gelangt. Ingress bedeutet allerdings etwas anderes: Genauer gesagt beziehen sich private Netzwerke hier auf Ressourcen innerhalb der Netzwerkgrenzen eines Rechenzentrums oder einer Cloud-Umgebung. Der Adressbereich unterliegt vollständig der Kontrolle derjenigen Organisation, die ihn betreibt.
Da der Datenverkehr häufig über eine Adressübersetzung (NAT) in ein privates Netzwerk übersetzt wird, beispielsweise eine Cloud, betrachtet man die Antwort von einem öffentlichen Endpunkt auf eine Anfrage, die von Innerhalb eines privaten Netzwerks kommt, nicht als Eingang. Erfolgt eine Anfrage aus einem privaten Netzwerk an eine öffentliche IP-Adresse, antwortet der Server im öffentlichen Raum auf diese Anfrage mit einer in dieser definierten Portnummer. In diesem Fall lässt eine Firewall die Verbindung zu, da es sich um eine Sitzung, basierend auf einer bekannten Portnummer handelt.
Wie sich leicht folgern lässt, bezieht sich Ingress auf – meist – unerwünschten Datenverkehr, der von einer Adresse im öffentlichen Netz an eine Adresse im privaten Netzwerk gesendet wird. Es handelt sich dabei nicht um eine Antwort auf eine Anfrage, die von einem internen System gesendet wurde. In diesem Fall sind Firewalls so konfiguriert, dass sie diese Anforderung ablehnen. Es sei denn, es gibt bestimmte Richtlinien und Konfigurationen, die eingehende Verbindungen zulassen.
Gruß
Doc Storage
- Doc Storage: Ist Archiving-to-the-Cloud heute bereits sinnvoll?
- Doc Storage: Cloud vs. On-Premises: Wichtige Daten nur inhouse speichern
- Doc Storage: Cloud-defined Storage – Hat das eine Zukunft?