- AWS Security Hub›
- AWS Security Hub 定价
定价概述
AWS Security Hub 会优先处理您的关键安全问题,并统一您的安全运营,以帮助您大规模响应。它通过关联和丰富多个 AWS 安全服务(例如,用于威胁检测的 Amazon GuardDuty 和用于漏洞管理的 Amazon Inspector)中的信号来检测关键问题。使您能识别并优先应对云环境中的风险。Security Hub 将各种信号转化为切实可行的见解,从而降低安全风险、提高团队工作效率,并保护您的云环境。
定价模式
Security Hub 使用简化的定价模式,即按资源进行合并收费。启用 Security Hub 后,您将通过基础计划获得默认级别的防护覆盖范围,并能享受到包括 Amazon Inspector、Amazon GuardDuty、AWS Security Hub CSPM 和其他集成安全服务在内的多种服务的合并定价。这些安全服务的现有账单可无缝过渡到 Security Hub 的简化定价模式,无需采取任何操作。未启用 Security Hub 时,各项服务仍可按标准定价提供。Security Hub 提供基础计划作为默认的覆盖级别,同时还提供附加功能以进一步扩展您的安全覆盖范围。请注意,无论您使用哪种功能,基础计划费用均基于所有受监控的资源。
基础计划:提供风险分析、漏洞管理、安全态势管理以及安全响应管理。Security Hub 包含默认覆盖范围。
增强基础计划的附加功能:
- 由 Amazon GuardDuty 支持的威胁分析计划:检测您的 AWS 环境中潜在的安全威胁和未经授权的活动。
- 由 Amazon Inspector 提供支持的 Lambda 代码扫描:识别 Lambda 函数代码中的安全漏洞。
计划和功能
Security Hub 基础计划
|
Capability
|
Powered by
|
Standard pricing
|
Security Hub essentials plan
|
|---|---|---|---|
|
定价方法
|
AWS Security Hub
|
分别为每项安全功能付费
|
按资源合并定价(无限次扫描) |
|
风险和暴露分析
|
AWS Security Hub |
不适用 |
包含在内 |
|
资源库存
|
AWS Security Hub |
不适用 |
包含在内 |
|
工作流自动化
|
AWS Security Hub |
不适用 |
包含在内 |
|
自动化规则
|
AWS Security Hub CSPM |
每 100 万次规则评估 |
包含在内 |
|
调查发现提取事件
|
AWS Security Hub CSPM |
前 10000 个免费;每个事件超过 10000 个 |
包含在内 |
|
状态管理(CSPM)
|
AWS Security Hub CSPM |
每次检查 |
包含在内 |
|
EC2 漏洞扫描
|
Amazon Inspector |
每个实例 |
包含在内 |
|
EC2 CIS 基准评测
|
Amazon Inspector |
每个实例的每次评测 |
包含在内 |
|
ECR 漏洞扫描
|
Amazon Inspector |
每个图像(推送时);每次重新扫描(保留的图像) |
包含在内 |
|
Lambda 漏洞扫描
|
Amazon Inspector |
按 Lambda 函数 |
包含在内 |
|
EC2/EBS 恶意软件防护
|
Amazon GuardDuty |
每 GB |
包含在内 |
Security Hub 威胁分析计划
|
Capability
|
Powered by
|
Standard pricing
|
Security Hub threat analytics plan (requires Security Hub essentials)
|
|---|---|---|---|
|
CloudTrail 威胁分析
|
Amazon GuardDuty
|
每 1 百万个事件
|
每 1 百万个事件 |
|
VPC 和 DNS 日志威胁分析
|
Amazon GuardDuty
|
每 GB |
每 GB |
|
S3 威胁分析
|
Amazon GuardDuty
|
每 1 百万个事件
|
每 GB |
|
EKS 威胁分析
|
Amazon GuardDuty
|
每 1 百万个事件
|
每 GB |
|
Lambda 威胁分析
|
Amazon GuardDuty
|
每 GB |
每 GB |
AWS Lambda 代码扫描
|
Capability
|
Powered by
|
Standard pricing
|
Lambda code scanning (requires Security Hub essentials plan)
|
|---|---|---|---|
|
Lambda 代码扫描
|
Amazon Inspector
|
按 Lambda 函数
|
按 Lambda 函数
|
在启用 Security Hub 之前,使用 Security Hub 成本估算器来了解您整个组织的预计总支出。该工具将分析您的实际 AWS 资源用量和当前的安全服务使用情况,以提供所有账户和区域的准确成本预测。查看 Security Hub 的简化定价模式与您当前的个人服务费用相比的情况,找出潜在的节省空间,并安心地规划好您的安全预算,一切都在开始免费试用前进行。
AWS Security Hub 免费试用摘要
免费试用 AWS Security Hub 30 天,其中包括基础计划的功能。启用了 Security Hub 的每个区域的每个 AWS 账户均可免费试用,即使您之前使用过 AWS Security Hub CSPM 或 Amazon Inspector 免费试用。Security Hub 免费试用中不包含附加功能(由 Amazon GuardDuty 提供支持的威胁分析计划和由 Amazon Inspector 提供支持的 AWS Lambda 代码扫描),但如果您之前没有使用过单个服务免费试用,则仍然可以免费试用这些功能。为了帮助您提前规划,请在启用该服务之前使用 Security Hub 成本估算器来计算您的预期成本。在免费试用期间,您可以通过 AWS Billing Console 监控您的用量,以根据免费试用期间的实际用量估算持续成本。
优势
客户为什么选择 Security Hub 计划
Security Hub 基础计划是您在启用 Security Hub 时获得的默认保障级别,也是所有 Security Hub 功能所必须的保障。它提供的安全功能包括风险和暴露分析、漏洞管理、安全态势管理以及安全响应管理。
通过 EC2 实例扫描(基于代理和无代理)的统一资源定价、无限的 CIS 基准评测、可预测的 ECR 容器映像监控成本和固定的每月 Lambda 函数监控费率,获得简化的漏洞管理流程。这种整合消除了管理多种定价模型的复杂性,同时还提供了全面的漏洞保障。
受益于从基于用量的定价转换到基于资源的定价,同时获得更全面的漏洞关联功能、无限的安全检查和调查发现摄取,以及针对行业标准的增强合规性监控(与 Amazon Inspector 漏洞数据自动关联)。这种转变提供了成本可预测性,同时扩展了安全能力。
由 Amazon GuardDuty 提供支持的威胁分析计划作为附加功能提供,它可以通过识别活跃威胁来增强您的基础计划。启用威胁分析计划后,您将受益于 Security Hub 合并定价模型,并且还能通过将威胁检测调查发现与基础计划中的漏洞和合规性数据自动关联的方式,获得更丰富的风险背景信息。
除了费用整合外,Security Hub 基础计划还通过自动关联漏洞调查发现与合规性检查转变安全运营,从而通过风险优先级排序来减少警报噪音。安全团队可以专注于将威胁和漏洞严重性与网络风险和错误配置差距结合起来的情境化风险,同时受益于集中运营、自动修复工作流,以及随着安全需求的变化扩展到更全面的覆盖范围的灵活性。
定价详细信息
-
Security Hub 基础计划
-
附加功能
-
Security Hub 基础计划
-
Security Hub 基础计划:
Security Hub 基础计划根据每月监控的 AWS 资源的平均数量收费,定价以 Amazon EC2 实例为基础
定价根据每月监控资源的时间按比例计算。有关如何计算定价的详细信息,请参阅我们的常见问题。
尽管所有支持的资源都受到安全风险监控,但按资源进行的定价仅适用于四种主要资源类型:EC2 实例、ECR 容器映像、Lambda 函数以及 IAM 用户和角色。所有其他受监控的资源都包括在内。
Amazon EC2 实例的定价以 1 个资源单位为基础,AWS Lambda 函数为一个资源单位的 1/12(12 个函数 = 1 个资源单位),Amazon ECR 容器映像为一个资源的 1/18(18 个映像 = 1 个资源单位),AWS IAM 用户和角色为一个资源的 1/125(125 个 IAM 资源 = 1 个资源单位)。
-
附加功能
-
增强基础计划的附加功能:
注意:启用 Security Hub 后,所含功能的账单将通过 Security Hub 简化定价模式进行合并。Security Hub 计划中未包含的所有其他 AWS 安全服务功能(包括剩余的 Amazon GuardDuty 和 Amazon Inspector 功能)均保留其原始服务账单。
定价示例
示例 1:中小型组织
在您的 AWS 部署中有一个 AWS 区域,即美国东部(弗吉尼亚州北部),共一个账户。在一个月内,您的 Security Hub 环境将分析 200 万个 CloudTrail 管理事件、800GB 的数据事件、网络活动和其他日志,并监控 500 个 EC2 实例是否存在安全风险。
每月成本计算:
Security Hub 基础计划
EC2 实例:500 × 1 单位 = 500 个单位
Security Hub 基础计划总计:500 个资源单位 × 每个资源 3.75 美元 = 1875.00 美元
威胁分析计划
CloudTrail 管理事件:200 万个事件 * 每 1 百万个事件 4.00 美元 = 8.00 美元
数据事件、网络活动和其他日志:800GB * 每 GB 0.55 美元(前 1000GB 套餐)= 440.00 美元
威胁分析总费用:8 美元 + 400 美元 = 448.00 美元
月度总费用 = 2323.00 美元
示例 2:大型组织
您有一个大型企业 AWS 部署,其中混合了不同的资源类型。在一个月内,您的 Security Hub 环境将处理 1 亿个 CloudTrail 管理事件、来自日志和事件的 500TB 安全数据,并监控各种各样的 AWS 资源:1000 个 EC2 实例、1800 个容器映像、1200 个 Lambda 函数和 120 个 IAM 用户。
每月成本计算:
Security Hub 基础计划
EC2 实例:1000 × 1 单位 = 1000 个单位
ECR 容器映像:1800 × 1/18 单位 = 100 个单位
Lambda 函数:1200 × 1/12 单位 = 100 个单位
IAM 用户和角色:1250 × 1/125 单位 = 10 个单位
总资源单位:1000 + 100 + 100 + 10 = 1210 单位
Security Hub 基础计划总计:1210 个资源单位 × 每个资源 3.75 美元 = 4537.50 美元
威胁分析计划
CloudTrail 管理事件:1 亿个事件 * 每 1 百万个事件 4.00 美元 = 400.00 美元,数据事件、网络活动和其他日志:
对于 500TB(总计 512000 GB),计算结果为:
前 1000 GB * 每 GB 0.55 美元 = 550.00 美元
接下来的 9000 GB * 每 GB 0.25 美元 = 2250.00 美元
剩余的 502000 GB * 每 GB 0.10 美元 = 50200.00 美元
总计 = 53000.00 美元
威胁分析总费用:400 美元 + 53000 美元 = 53400.00 美元
月度总费用 = 57937.50 美元
页面主题
常见问题
全部打开Security Hub 提供 30 天免费试用,其中包括 Security Hub 基础计划功能,该计划使用基于资源的定价。每个区域的每个 AWS 账户均可免费试用,即使您之前使用过 AWS Security Hub CSPM 或 Amazon Inspector 免费试用,仍然有资格。Security Hub 免费试用中不包含 Amazon GuardDuty 提供的威胁分析计划和 Amazon Inspector 支持的 AWS Lambda 代码扫描等附加功能。免费试用后,费用基于您监控的 AWS 资源(EC2 实例、容器映像、Lambda 函数、IAM 用户/角色)和威胁分析计划的使用情况(CloudTrail 事件和日志数据量)计算。
Security Hub 默认提供基础计划,同时还可以根据需要添加威胁分析计划或 Lambda 代码扫描功能。基础计划包括风险分析、漏洞管理、安全态势管理以及安全响应管理。威胁分析计划增加了由 Amazon GuardDuty 支持的对 AWS 账户活动、VPC 流量日志、DNS 日志和其他安全数据的监控。有关完整功能说明,请参阅计划详细信息部分。
Security Hub 基础计划在四个关键领域提供安全保护:
- 风险和暴露分析:通过关联整个环境的调查发现,自动识别最关键的安全问题并对其进行优先排序,从而帮助您专注于最重要的事情并更快地应对威胁。
- 漏洞管理:持续扫描您的 EC2 实例、容器映像和 Lambda 函数是否存在软件漏洞和配置缺陷,使您能够在安全漏洞被利用之前对其进行修复。
- 安全态势管理:根据行业安全标准和最佳实践评估您的 AWS 环境,以识别错误配置,从而帮助您保持合规性并缩小攻击面。
- 安全响应管理:通过自动化工作流提供安全调查发现的集中视图,从而使您的团队能够更有效地调查和修复整个 AWS 环境中的问题。
这些功能共同作用,帮助您降低安全风险、提高团队工作效率,并在您的云基础设施中保持强大的安全态势。
是,Security Hub 监控您环境中的所有相关的 AWS 资源,以提供更全面的安全保障。基础计划定价基于四种资源类型:EC2 实例、ECR 容器映像、Lambda 函数以及 IAM 用户和角色。这种简化的定价模型可以更轻松地估算和管理您的 Security Hub 成本。
不,您不需要同时有这两个计划。Security Hub 基础计划是您在启用 Security Hub 时获得的默认保障级别,也是所有 Security Hub 功能所必须的保障。它提供的安全功能包括风险和暴露分析、漏洞管理、安全态势管理以及安全响应管理。威胁分析计划是一个附加组件,它通过由 Amazon GuardDuty 提供支持的威胁监控功能来增强您的基础计划。
威胁分析计划不能单独使用——它需要 Security Hub 基础计划作为基础。虽然大多数基础计划的功能可以独立运行,但针对 Amazon EC2 的恶意软件保护是一个特殊情况:它包含在基础计划中,但只有当您激活了威胁分析计划时才会起作用,因为它依赖于 GuardDuty 威胁检测在扫描恶意软件之前识别可疑活动。
您可以从基础计划开始,然后随着安全监控需求的变化再使用威胁分析功能。
AWS 提供了成本估算工具,可帮助您在启用服务之前估算 Security Hub 的成本。有关更多详细信息,请参阅 Security Hub 成本估算器页面。
Security Hub 基础计划将 Amazon Inspector 和 AWS Security Hub CSPM 功能整合到单个可预测的基于资源的定价模型中,该模型可在简化成本的同时增强安全运营。
现有的 Amazon Inspector 客户通过 EC2 实例扫描(基于代理和无代理)的统一资源定价、无限的 CIS 基准评测、可预测的 ECR 容器映像监控成本和固定的每月 Lambda 函数监控费率,获得简化的漏洞管理流程。这种整合消除了管理多种定价模型的复杂性,同时还提供了全面的漏洞保障。
Security Hub CSPM 客户受益于从基于用量的定价转换到基于资源的定价,同时获得更全面的漏洞关联功能、无限的安全检查和调查发现摄取,以及针对行业标准的增强合规性监控(与 Amazon Inspector 漏洞数据自动关联)。这种转变提供了成本可预测性,同时扩展了安全能力。
除了费用整合外,Security Hub 基础计划还通过自动关联漏洞调查发现与合规性检查转变所有客户的安全运营,从而通过风险优先级排序来减少警报噪音。安全团队可以专注于将漏洞严重性与网络风险和合规性差距结合起来的情境化风险,同时受益于集中运营、自动修复工作流,以及随着安全需求的变化扩展到更全面的威胁检测的灵活性。
安全服务的现有账单可无缝过渡到 Security Hub 的简化定价模式,无需采取任何操作。您将收到 Security Hub 的合并费用,而不是针对 Security Hub 计划中包含的功能单独支付服务账单。
Security Hub 在 AWS Organizations 内提供账户级别的灵活性。当您在账户中启用 Security Hub 时,该账户将获得跨安全服务的简化定价。如果您未在账户中启用 Security Hub,则该账户将对每项安全服务使用单独的服务定价。这意味着在一个 AWS 组织中,您可以让一些账户使用 Security Hub 简化的定价模型,而另一些账户则继续使用单独的服务定价,具体则基于该特定账户中是否启用了 Security Hub 在账户级别决定。
EC2 实例:EC2 实例的平均数量 =(有效实例的总小时数/一个月内的小时数,即 720 小时)。例如,您在一个月内具有 3 个有效时间不同的实例:第一个实例的扫描时长是 360 小时,第二个实例的扫描时长是 350 小时,第三个实例的扫描时长是 10 小时,则有效实例的总计时长是 720 小时。因此,当月扫描实例共计 720 小时/当月 720 小时 = 1 个平均 EC2 实例。
容器映像:扫描的容器映像数量 = 根据 Amazon Inspector 重新扫描配置,每月推送到 Amazon ECR 的容器映像数量加上当月可以重新扫描的容器映像数量。Amazon Inspector 对推送到 Amazon ECR 的每个容器映像进行初始扫描。此外,Amazon Inspector 会根据您为映像推送日期、映像提取日期和映像上次使用日期配置的时间范围,重新扫描容器映像中是否存在新的漏洞。示例:您在 Amazon ECR 存储库中有 5000 个映像,并在一个月内将 500 个额外的映像推送到 Amazon ECR。您已根据上次使用日期将映像监控配置为 14 天。在本月中,将来自存储库的 75 个容器映像部署到 Amazon ECS 或 Amazon EKS 集群。Amazon Inspector 根据您在配置的时段内实际监控每个映像的时长进行监控和计费,这包括 75 个仍在使用期间的有效映像以及在各自监控期内新推送的 500 个映像。请注意,费用仅适用于实际监控每个映像的时间(默认情况下最多 14 天),不一定是整个月,并且可以根据您的需求自定义此监控期。
Lambda 函数:符合条件的 Lambda 函数基于标记为 $LATEST 且在过去 90 天内被调用或更新的函数。Lambda 函数平均数量 =(Security Hub 覆盖某个 Lambda 函数的总计小时数)/(一个月内的小时数,即 720 小时)。Security Hub 的覆盖时间指的是从 Lambda 函数部署完成到其被删除的这段时间。
示例:您在一个月内部署了 3 个 Security Hub 监控时长各不相同的 Lambda 函数:第一个的扫描时长是 720 小时,第二个的扫描时长是 350 小时,第三个的扫描时长是 10 小时,则部署的 Lambda 函数的总计扫描时长是 1080 小时。因此,当月 Lambda 函数的扫描实例共计 1080 小时/当月 720 小时 = 1.5 个平均 Lambda 函数。
IAM 用户和角色:IAM 用户和角色的平均数量 = 当月存在的 IAM 用户或角色数量,按每日比例计算。
Security Hub 计划中未明确列出的功能将继续通过其原有的服务进行计费。例如,您只会收到未包含在威胁分析计划中的任何剩余 GuardDuty 功能的 GuardDuty 账单。
可以,在未启用 Security Hub 的情况下,Amazon Inspector、GuardDuty 和 Security Hub CSPM 之类的个人服务仍按标准定价提供。