AWS Security Hub – Preise

Security Hub bietet eine kostenlose 30-Tage-Testversion an, die Funktionen des Security Hub Essentials-Plans umfasst. Dabei wird eine ressourcenbasierte Preisgestaltung verwendet. Jedes AWS-Konto in jeder Region erhält eine kostenlose Testversion, und Sie bleiben berechtigt, auch wenn Sie zuvor die kostenlosen Testversionen von AWS Security Hub CSPM oder Amazon Inspector verwendet haben. Add-On-Funktionen wie der Bedrohungsanalytik-Plan von Amazon GuardDuty und das AWS-Lambda-Code-Scannen mit Amazon Inspector und und dem erweiterten Plan sind in der kostenlosen Security-Hub-Testversion nicht enthalten. Nach der kostenlosen Testversion richten sich die Kosten nach den von Ihnen überwachten AWS-Ressourcen (EC2-Instances, Container-Images, Lambda-Funktionen, IAM-Benutzer/-Rollen) und der Nutzung der Bedrohungsanalytik (CloudTrail-Ereignisse und Protokolldatenvolumen).

Security Hub bietet standardmäßig den Essentials-Plan mit der Möglichkeit, bei Bedarf, Bedrohungsanalytik- oder Lambda-Code-Scanfunktionen hinzuzufügen. Der Essentials-Plan umfasst Risikoanalytik, Schwachstellenmanagement, Sicherheitszustandsmanagement und Sicherheitsreaktionsmanagement. Die Bedrohungsanalytik umfasst die von Amazon GuardDuty unterstützte Überwachung der AWS-Kontoaktivitäten, VPC-Flow-Protokolle, DNS-Protokolle und anderer Sicherheitsdaten. Der Extended-Plan bietet Unternehmenssicherheit mit kuratierten Partnerlösungen für Endpunkt, Identität, E-Mail, Netzwerk, Daten, Browser, Cloud, künstliche Intelligenz und Sicherheitsabläufe. Eine vollständige Beschreibung der Features finden Sie im Abschnitt mit den Plan-Details.

Der Essentials-Plan von Security Hub bietet Sicherheitsschutz in vier Schlüsselbereichen:

• Risiko- und Gefährdungsanalytik – Identifiziert und priorisiert automatisch Ihre kritischsten Sicherheitsprobleme, indem die Erkenntnisse in Ihrer gesamten Umgebung miteinander in Beziehung gesetzt werden, sodass Sie sich auf das Wesentliche konzentrieren und schneller auf Bedrohungen reagieren können.
• Schwachstellenmanagement – Scannt Ihre EC2-Instances, Container-Images und Lambda-Funktionen kontinuierlich auf Software-Schwachstellen und Konfigurationsschwächen, sodass Sie Sicherheitslücken schließen können, bevor sie ausgenutzt werden können.
• Sicherheitsmanagement – Evaluiert Ihre AWS-Umgebung anhand von Sicherheitsstandards und bewährten Methoden der Branche, um Fehlkonfigurationen zu identifizieren. Dies hilft Ihnen dabei, die Vorschriften einzuhalten und Ihre Angriffsfläche zu reduzieren.
• Sicherheitsreaktionsmanagement – Bietet eine zentrale Ansicht Ihrer Sicherheitserkenntnisse mit automatisierten Workflows, sodass Ihr Team Probleme in Ihrer gesamten AWS-Umgebung effizienter untersuchen und beheben kann.

Zusammen helfen Ihnen diese Funktionen dabei, Sicherheitsrisiken zu reduzieren, die Teamproduktivität zu verbessern und eine starke Sicherheitslage in Ihrer gesamten Cloud-Infrastruktur aufrechtzuerhalten.

Ja, Security Hub überwacht alle relevanten AWS-Ressourcen in Ihrer Umgebung, um eine umfassendere Sicherheitsabdeckung zu gewährleisten. Die Preise für den Essentials-Plan basieren auf vier Ressourcentypen: EC2-Instances, ECR-Container-Images, Lambda-Funktionen sowie IAM-Benutzer und -Rollen. Dieses vereinfachte Preismodell erleichtert die Schätzung und Verwaltung Ihrer Security-Hub-Kosten.

Nein, Sie brauchen nicht beide. Der Security Hub Essentials-Plan ist die Standarddeckung, die Sie erhalten, wenn Sie Security Hub aktivieren. Er ist für alle Security-Hub-Funktionen erforderlich. Es bietet Sicherheitsfunktionen wie Risiko- und Gefährdungsanalytik, Schwachstellenmanagement, Sicherheitsmanagement und Sicherheitsreaktionsmanagement. Der Bedrohungsanalytik-Plan ist ein Add-on, das Ihren Essentials-Plan um Funktionen zur Bedrohungsüberwachung erweitert, die von Amazon GuardDuty unterstützt werden.

Der Bedrohungsanalytik-Plan kann nicht alleine verwendet werden – er erfordert den Essentials-Plan von Security Hub als Grundlage. Während die meisten Features des Essentials-Plans unabhängig voneinander funktionieren, ist der Malware-Schutz für Amazon EC2 ein Sonderfall: Er ist im Essentials-Plan enthalten, funktioniert aber nur, wenn Sie auch den Bedrohungsanalytik-Plan aktiviert haben, da er auf der GuardDuty-Bedrohungserkennung basiert, um verdächtige Aktivitäten zu erkennen, bevor nach Malware gesucht wird.

Sie können nur mit dem Essentials-Plan beginnen und später Funktionen zur Bedrohungsanalytik hinzufügen, wenn sich Ihre Anforderungen an die Sicherheitsüberwachung weiterentwickeln.

AWS bietet ein Tool zur Kostenschätzung, mit dem Sie die Security-Hub-Kosten abschätzen können, bevor Sie den Service aktivieren. Dieser Kostenvoranschlag deckt den Essentials-Plan und die Add-On-Funktionen (Bedrohungsanalytik und Lambda-Code-Scanning) ab, beinhaltet jedoch nicht die Preise für den erweiterten Tarif. Weitere Informationen finden Sie auf der Seite mit dem Security-Hub-Kostenschätzer.

Der Security-Hub-Essentials-Plan kombiniert die CSPM-Funktionen von Amazon Inspector und AWS Security Hub in einem einzigen, vorhersehbaren, ressourcenbasierten Preismodell, das die Kosten vereinfacht und gleichzeitig die Sicherheitsabläufe verbessert.

Bestandskunden von Amazon Inspector profitieren von einem optimierten Schwachstellenmanagement mit einheitlichen Ressourcenpreisen für EC2-Instance-Scans (sowohl agentenbasiert als auch ohne Agenten), unbegrenzten CIS-Benchmark-Bewertungen, vorhersehbaren Kosten für die Überwachung von ECR-Container-Images und pauschalen monatlichen Lambda-Funktionsüberwachungsraten. Diese Konsolidierung macht die Verwaltung mehrerer Preismodelle überflüssig und bietet gleichzeitig eine umfassende Abdeckung von Schwachstellen.

Security Hub CSPM-Kunden profitieren von der Umstellung von nutzungsabhängiger auf ressourcenbasierte Preisgestaltung und profitieren gleichzeitig von umfassenderen Funktionen zur Korrelation von Schwachstellen, unbegrenzten Sicherheitsprüfungen und Erkenntnisaufnahmen sowie einer verbesserten Compliance-Überwachung anhand von Industriestandards mit automatischer Korrelation mit Amazon-Inspector-Schwachstellendaten. Diese Verschiebung bietet Kostenvorhersehbarkeit und erweitert gleichzeitig die Sicherheitsfunktionen.

Neben der Kostenkonsolidierung transformiert der Essentials-Plan von Security Hub die Sicherheitsabläufe für alle Kunden, indem er die Schwachstellenerkenntnisse automatisch mit Compliance-Prüfungen korreliert und Warnmeldungen durch Priorisierung der Gefährdung reduziert. Sicherheitsteams können sich auf kontextualisierte Risiken konzentrieren, bei denen der Schweregrad der Schwachstelle mit Netzwerkrisiken und Compliance-Lücken kombiniert wird. Gleichzeitig profitieren sie von zentralisierten Abläufen, automatisierten Abhilfemaßnahmen und der Flexibilität, bei sich ändernden Sicherheitsanforderungen auf eine umfassendere Bedrohungserkennung auszuweiten.

Die bestehende Abrechnung für Sicherheitsservices wird nahtlos auf die optimierte Preisgestaltung von Security Hub übertragen, ohne dass Maßnahmen erforderlich sind. Sie erhalten konsolidierte Gebühren im Rahmen von Security Hub statt separater Servicerechnungen für die Funktionen, die in den Security-Hub-Plänen enthalten sind.

Security Hub bietet Flexibilität auf Kontoebene innerhalb von AWS Organizations. Wenn Sie Security Hub in einem Konto aktivieren, erhalten Sie für dieses Konto optimierte Preise für alle Sicherheitsservices. Wenn Sie Security Hub in einem Konto nicht aktivieren, gelten für dieses Konto individuelle Servicepreise für jeden Sicherheitsservice. Das bedeutet, dass Sie innerhalb einer einzelnen AWS-Organisation einige Konten haben können, die das optimierte Preismodell von Security Hub verwenden, während für andere Konten weiterhin individuelle Servicepreise gelten, die auf Kontoebene festgelegt werden, je nachdem, ob Security Hub in diesem bestimmten Konto aktiviert ist.

EC2-Instances: Durchschnittliche Anzahl der EC2-Instances = (Gesamtzahl der Stunden der aktiven Instances/Anzahl der Stunden in einem Monat, d. h. 720 Stunden). Zum Beispiel haben Sie 3 Instances, die während eines Monats unterschiedlich lange aktiv waren: Die erste für 360 Stunden, die zweite für 350 Stunden und die dritte für 10 Stunden, was insgesamt 720 Stunden aktiver Instances ergibt. 720 Gesamtstunden von gescannten Instances in diesem Monat / 720 Stunden im Monat = 1 EC2-Instance im Durchschnitt.

Container-Images: Anzahl der gescannten Container-Images = Anzahl der Container-Images, die jeden Monat an Amazon ECR übertragen werden, plus Anzahl der Container-Images, die im Laufe des Monats erneut gescannt werden müssen, basierend auf der Konfiguration von Amazon Inspector für den erneuten Scan. Amazon Inspector führt einen ersten Scan jedes Container-Images durch, das an Amazon ECR übertragen wird. Darüber hinaus scannt Amazon Inspector die Container-Images erneut auf neue Schwachstellen auf der Grundlage der Zeitrahmen, die Sie für das Datum der Image-eröffentlichung, das Abrufdatum der Images und das Datum der letzten Verwendung des Images konfiguriert haben. Beispiel: Sie haben 5 000 Images in Ihrem Amazon-ECR-Repository und übertragen innerhalb eines Monats 500 weitere Images an Amazon ECR. Sie haben die Bildüberwachung für 14 Tage auf der Grundlage des Datums der letzten Nutzung konfiguriert. Im Laufe des Monats werden 75 Container-Images aus dem Repository in Amazon ECS- oder Amazon EKS-Clustern bereitgestellt. Amazon Inspector überwacht und berechnet Gebühren auf der Grundlage der tatsächlichen Dauer, für die jedes Image innerhalb Ihres konfigurierten Zeitfensters überwacht wird. Dazu gehören sowohl die 75 aktiven Images, solange sie verwendet werden, als auch die 500 neu übertragenen Images für den jeweiligen Überwachungszeitraum. Beachten Sie, dass Gebühren nur für die Zeit anfallen, in der jedes Image tatsächlich überwacht wird (standardmäßig bis zu 14 Tage), nicht unbedingt für den gesamten Monat. Dieser Überwachungszeitraum kann an Ihre Bedürfnisse angepasst werden.

Lambda-Funktionen: Zulässige Lambda-Funktionen basieren auf Funktionen, die mit $LATEST gekennzeichnet sind und in den letzten 90 Tagen aufgerufen oder aktualisiert wurden. **Durchschnittliche Anzahl von Lambda-Funktionen = (Gesamtstunden der Security-Hub-Abdeckung für eine Lambda-Funktion) / (Anzahl der Stunden in einem Monat, d. h. 720 Stunden). Die Security-Hub-Abdeckungsstunden stellen die Zeit von der Bereitstellung der Lambda-Funktion bis zu dem Zeitpunkt dar, an dem sie gelöscht wird.

Beispielsweise verfügen Sie über 3 bereitgestellte Lambda-Funktionen, die von Security Hub während eines Monats für unterschiedliche Zeiträume überwacht wurden: Die erste 720 Stunden lang, die zweite 350 Stunden lang und die dritte 10 Stunden lang. Somit wurden insgesamt 1 080 Stunden an bereitgestellten Lambda-Funktionen gescannt. Daher werden in diesem Monat insgesamt 1 080 Stunden Lambda-Funktionen gescannt / 720 Stunden im Monat = 1,5 durchschnittliche Lambda-Funktionen.

IAM-Benutzer und -Rollen: Durchschnittliche Anzahl von IAM-Benutzern und -Rollen = Anzahl der IAM-Benutzer oder -Rollen, die im Laufe des Monats existierten, anteilig täglich.

Funktionen, die nicht ausdrücklich in den Security-Hub-Plänen aufgeführt sind, werden weiterhin über ihre ursprünglichen Services abgerechnet. Beispielsweise erhalten Sie GuardDuty-Rechnungen nur für alle verbleibenden GuardDuty-Funktionen, die nicht im Plan für Bedrohungsanalytik enthalten sind.

Ja, einzelne Services wie Amazon Inspector, GuardDuty und Security Hub CSPM bleiben zu ihren Standardpreisen verfügbar, wenn Security Hub nicht aktiviert ist.

Der erweiterte Plan von Security Hub bietet Unternehmenssicherheit mit kuratierten Partnerlösungen für Endpunkt-, Identitäts-, E-Mail-, Netzwerk-, Daten-, Browser-, Cloud-, künstliche Intelligenz- und Sicherheitsabläufe. Die Gebühren für erweiterte Tarife richten sich nach den spezifischen Partnerlösungen, die Sie aktivieren. Die Preise variieren je nach Sicherheitskategorie und Nutzungsdimension. Im Gegensatz zum Essentials-Plan, bei dem ressourcenbasierte Preise auf AWS-Ressourcen basieren, sind die Preise für den erweiterten Tarif lösungsspezifisch und basieren auf Dimensionen, die für jede Sicherheitskategorie geeignet sind – z. B. pro Benutzer, pro Endpunkt oder pro TB. Sie können den erweiterten Plan hinzufügen, um Ihre Security-Hub-Abdeckung über AWS-Umgebungen hinaus für Ihr gesamtes Unternehmen zu erweitern.