AWS Security Hub 요금

Security Hub는 리소스 기반 요금을 사용하는 Security Hub 에센셜 플랜 기능이 포함된 30일 무료 평가판을 제공합니다. 각 리전의 모든 AWS 계정에는 무료 평가판이 제공되며, 이전에 AWS Security Hub CSPM 또는 Amazon Inspector 무료 평가판을 사용한 경우에도 자격이 유지됩니다. Amazon GuardDuty의 위협 분석 및 Amazon Inspector 기반 AWS Lambda 코드 스캔과 확장 플랜을 비롯한 추가 기능은 Security Hub 무료 평가판에 포함되지 않습니다. 무료 체험 후에는 모니터링하는 AWS 리소스(EC2 인스턴스, 컨테이너 이미지, Lambda 함수, IAM 사용자/역할)와 위협 분석 사용량(CloudTrail 이벤트 및 로그 데이터 볼륨)을 기준으로 비용이 산정됩니다.

Security Hub는 에센셜 플랜을 기본으로 제공하며 필요에 따라 위협 분석 또는 Lambda 코드 스캔 기능을 추가할 수 있습니다. 에센셜 플랜에는 위험 분석, 취약성 관리, 보안 태세 관리, 보안 대응 관리가 포함됩니다. 위협 분석에는 AWS 계정 활동, VPC 흐름 로그, DNS 로그 및 기타 보안 데이터에 대한 Amazon GuardDuty 기반 모니터링이 추가되었습니다. 확장 플랜은 엔드포인트, ID, 이메일, 네트워크, 데이터, 브라우저, 클라우드, 인공지능, 보안 운영 전반에 걸쳐 엄선된 파트너 솔루션을 통해 엔터프라이즈 보안을 추가합니다. 전체 기능 설명은 플랜의 세부 정보 섹션을 참조하세요.

Security Hub 에센셜 플랜은 다음과 같은 네 가지 주요 영역에 걸쳐 보안을 제공합니다.

• 위험 및 노출 분석 - 환경 전반에서 발견한 조사 결과의 상관 관계를 분석하여 가장 중요한 보안 문제를 자동으로 식별하고 우선순위를 지정하므로 가장 중요한 문제에 집중하고 위협에 더 빠르게 대응할 수 있습니다.
• 취약성 관리 - EC2 인스턴스, 컨테이너 이미지 및 Lambda 함수를 지속적으로 검사하여 소프트웨어 취약성과 구성 약점을 찾아내므로 보안 격차가 악용되기 전에 이를 해결할 수 있습니다.
• 보안 상태 관리 - 업계 보안 표준 및 모범 사례에 따라 AWS 환경을 평가하여 구성 오류를 식별하여 규정 준수를 유지하고 공격 표면을 줄일 수 있습니다.
• 보안 대응 관리 - 자동화된 워크플로를 통해 보안 결과를 중앙 집중형 보기 기능을 제공하므로, 팀이 전체 AWS 환경에서 문제를 보다 효율적으로 조사하고 해결할 수 있습니다.

이러한 기능을 함께 사용하면 보안 위험을 줄이고 팀 생산성을 향상하며 클라우드 인프라 전반에서 강력한 보안 태세를 유지할 수 있습니다.

예. Security Hub는 사용자 환경에서 관련된 모든 AWS 리소스를 모니터링하여 보다 포괄적인 보안 적용 범위를 제공합니다. 에센셜 플랜 요금은 EC2 인스턴스, ECR 컨테이너 이미지, Lambda 함수, IAM 사용자 및 역할의 네 가지 리소스 유형을 기반으로 합니다. 이러한 간소화된 요금 모델을 통해 Security Hub 비용을 쉽게 예측 및 관리할 수 있습니다.

아니요, 두 플랜이 모두 필요한 것은 아닙니다. Security Hub 에센셜 플랜은 Security Hub를 활성화할 때 기본 서비스 범위가 적용되며 모든 Security Hub 기능에 필요합니다. 위험 및 노출 분석, 취약성 관리, 보안 태세 관리, 보안 대응 관리를 비롯한 보안 기능을 제공합니다. 위협 분석 플랜은 Amazon GuardDuty에서 제공하는 위협 모니터링 기능을 통해 에센셜 플랜을 강화하는 추가 플랜입니다.

위협 분석 플랜은 단독으로 사용할 수 없으며, Security Hub 에센셜 플랜이 기본으로 필요합니다. 대부분의 에센셜 플랜 기능은 단독으로 작동하지만 Amazon EC2의 맬웨어 차단 기능은 예외입니다. 이 기능은 에센셜 플랜에 포함되어 있지만 위협 분석 플랜도 활성화한 경우에만 작동합니다. 맬웨어 스캔 전에 GuardDuty 위협 탐지를 기반으로 의심스러운 활동을 식별해야 하기 때문입니다.

먼저 에센셜 플랜을 시작 후 보안 모니터링 요구 사항이 늘어남에 따라 위협 분석 기능을 추가할 수 있습니다.

AWS는 서비스를 활성화하기 전에 Security Hub 비용 예측을 지원하는 비용 예측 도구를 제공합니다. 이 계산기는 에센셜 플랜과 추가 기능(위협 분석 및 Lambda 코드 스캔)을 포함하지만 확장 플랜 요금은 포함하지 않습니다. 자세한 내용은 Security Hub 비용 계산기 페이지를 참조하세요.

Security Hub 에센셜 플랜은 Amazon Inspector와 AWS Security Hub CSPM 기능을 예측 가능한 단일 리소스 기반 요금 모델로 결합한 플랜으로 비용을 간소화하고 보안 운영을 강화할 수 있습니다.

기존 Amazon Inspector 고객은 EC2 인스턴스 스캔(에이전트 기반 및 에이전트 없는 방식), 무제한 CIS Benchmark 평가, 예측 가능한 ECR 컨테이너 이미지 모니터링 비용 및 월별 고정 Lambda 함수 모니터링 요금에 대한 통합 리소스 요금을 통해 간소화된 취약성 관리 서비스를 이용할 수 있습니다. 이러한 통합은 포괄적인 취약성 범위를 제공하는 동시에 여러 요금 모델 관리에 대한 복잡성을 제거합니다.

Security Hub CSPM 고객은 사용량 기반 요금에서 리소스 기반 요금 전환을 통한 이점을 누리는 동시에 보다 포괄적인 취약성 상관관계 분석 기능, 무제한 보안 검사 및 조사 결과 수집, Amazon Inspector 취약성 데이터에 대한 상관관계 자동 분석으로 업계 표준에 대한 강화된 규정 준수 모니터링 기능을 확보할 수 있습니다. 이러한 변화를 통해 보안 기능을 확장하는 동시에 비용을 예측할 수 있습니다.

Security Hub 에센셜 플랜은 비용 통합 외에도 취약성 조사 결과에 대한 자동 상관관계 분석 및 규정 준수 검사를 통해 모든 고객을 위한 보안 운영을 혁신하며, 노출 우선순위를 지정하여 경고 노이즈를 줄여줍니다. 보안 팀은 중앙 집중식 운영, 수정 워크플로의 자동화, 보안 요구 사항 발전에 따른 더 포괄적인 위협 탐지로의 확장 유연성을 누리면서, 취약성 심각도와 네트워크 노출 및 규정 준수 격차를 결합하여 상황별 위험에 집중할 수 있습니다.

보안 서비스에 대한 기존 청구는 별도의 조치 없이 Security Hub의 간소화된 요금으로 원활하게 전환 처리됩니다. Security Hub 플랜에 포함된 기능에 대해 별도의 서비스 청구서 대신 Security Hub의 통합 요금으로 받게 됩니다.

Security Hub는 AWS Organization 내에서 계정 수준에 따른 유연성을 제공합니다. 계정에서 Security Hub를 활성화하면 보안 서비스 전반에 걸쳐 해당 계정에 대한 간소화된 요금 책정을 제공합니다. 계정에서 Security Hub를 활성화하지 않으면 해당 계정에서는 각 보안 서비스에 대해 개별 서비스 요금이 책정됩니다. 즉, 단일 AWS Organization 내에서는 Security Hub의 간소화된 요금 모델을 사용하는 계정도 있고, Security Hub의 활성화 여부에 따라 계정 수준에서 결정되는 개별 서비스 요금을 계속 사용하는 계정도 있습니다.

EC2 인스턴스: 평균 EC2 인스턴스 수 = (활성 인스턴스의 총 시간/한 달의 시간 수, 즉, 720시간). 예를 들어, 한 달 동안 서로 다른 시간 동안 활성 상태였던 인스턴스 3개가 있습니다. 첫 번째 인스턴스는 360시간, 두 번째 인스턴스는 350시간, 세 번째는 10시간 동안 활성화되어 총 720시간의 활성 인스턴스가 됩니다. 따라서, 해당 월에 스캔되는 총 인스턴스 720시간을 해당 월의 720시간으로 나눈 값은 평균 EC2 인스턴스 1개입니다.

컨테이너 이미지: 스캔한 컨테이너 이미지 수는 Amazon Inspector 재스캔 구성을 기준으로 매월 Amazon ECR로 푸시된 컨테이너 이미지 수에 해당 월에 다시 스캔할 수 있는 컨테이너 이미지 수를 더한 값입니다. Amazon Inspector는 Amazon ECR에 푸시된 각 컨테이너 이미지에 대한 초기 스캔을 수행합니다. 또한 Amazon Inspector는 이미지 푸시 날짜, 이미지 풀 날짜 및 이미지 마지막 사용 날짜에 대해 구성한 기간을 기반으로 컨테이너 이미지를 다시 스캔하여 새로운 취약성을 찾아냅니다. 예: Amazon ECR 리포지토리에 5,000개의 이미지가 있는데 추가로 한 달에 500개의 이미지를 Amazon ECR에 푸시합니다. 그리고 마지막 사용 날짜를 기준으로 14일 동안 이미지 모니터링을 구성했습니다. 해당 월 동안 리포지토리에 있는 75개의 컨테이너 이미지가 Amazon ECS 또는 Amazon EKS 클러스터에 배포됩니다. Amazon Inspector는 구성된 기간 내에서 각 이미지를 모니터링하는 실제 기간을 기준으로 모니터링하고 요금을 청구합니다. 여기에는 사용 중인 활성 이미지 75개와 각 모니터링 기간 동안 새로 푸시된 500개의 이미지가 모두 포함됩니다. 요금은 각 이미지를 실제로 모니터링한 시간(기본적으로 최대 14일)에 대해서만 적용되며 반드시 한 달 전체에 대한 요금은 아닐 수 있습니다. 해당 모니터링 기간은 필요에 따라 사용자 지정할 수 있습니다.

Lambda 함수: 적격 Lambda 함수는 $LATEST로 표시된 함수를 기반으로 하며 지난 90일 동안 호출되거나 업데이트되었습니다. **Lambda 함수의 평균 수 = (Lambda 함수에 대한 Security Hub 적용 범위의 총 시간) / (한 달의 시간, 즉 720시간). Security Hub 적용 시간은 Lambda 함수가 배포된 시점부터 삭제되는 시점까지의 시간을 나타냅니다.

예를 들어 3개의 배포된 Lambda 함수가 한 달 동안 서로 다른 시간에 Security Hub으로 모니터링되었습니다. 첫 번째는 720시간, 두 번째는 350시간, 세 번째는 10시간으로, 총 1,080시간 동안 배포된 Lambda 함수가 다시 스캔 되고 있습니다. 따라서 해당 월에 스캔되는 총 Lambda 함수 1,080시간을 해당 월의 720시간으로 나눈 값은 평균 Lambda 함수 1.5개입니다.

IAM 사용자 및 역할: 평균 IAM 사용자 및 역할 수 = 한 달 동안 존재했던 IAM 사용자 또는 역할 수(일일 단위로 비례 할당으로 계산)

Security Hub 플랜에 명시되지 않은 기능은 원래 서비스를 통해 계속 요금이 청구됩니다. 예를 들어 위협 분석 플랜에 포함되지 않은 나머지 GuardDuty 기능에 대해서만 GuardDuty 청구서를 받게 됩니다.

예. Amazon Inspector, GuardDuty 및 Security Hub CSPM과 같은 개별 서비스는 Security Hub가 활성화되지 않은 경우에도 표준 요금으로 계속 이용할 수 있습니다.

Security Hub 확장 플랜은 엔드포인트, ID, 이메일, 네트워크, 데이터, 브라우저, 클라우드, 인공지능, 보안 운영 전반에 걸쳐 엄선된 파트너 솔루션을 통해 엔터프라이즈 보안을 추가합니다. 확장 플랜 요금은 활성화한 특정 파트너 솔루션을 기반으로 하며, 보안 범주 및 사용 차원에 따라 다르게 책정됩니다. AWS 리소스에 기반한 리소스 기반 요금을 사용하는 에센셜 플랜과 달리 확장 플랜 요금은 솔루션별로 적용되며 각 보안 범주에 적합한 규모(예: 사용자당, 엔드포인트당 또는 TB당)를 기준으로 합니다. 확장 플랜을 추가하면 Security Hub 적용 범위를 AWS 환경을 넘어 조직 전체로 강화할 수 있습니다.