- AWS Security Hub›
- Preço do AWS Security Hub
Preço do AWS Security Hub
Prioriza seus problemas críticos de segurança e ajuda você a responder em grande escala
Visão geral da definição de preço
O AWS Security Hub prioriza seus problemas críticos de segurança e unifica suas operações de segurança para ajudá-lo a responder em grande escala. Ele detecta problemas críticos correlacionando e enriquecendo sinais em vários serviços de segurança da AWS, por exemplo, do Amazon GuardDuty para detecção de ameaças e do Amazon Inspector para gerenciamento de vulnerabilidades. Isso permite que você identifique e priorize os riscos em seu ambiente de nuvem. O Security Hub transforma sinais em insights acionáveis que reduzem os riscos de segurança, melhoram a produtividade da sua equipe e protegem seu ambiente de nuvem.
Modelo de preços
O Security Hub usa um modelo de preços simplificado com cobranças consolidadas por recurso. Ao habilitar o Security Hub, você recebe o nível padrão de cobertura por meio do plano básico e se beneficia de preços consolidados em vários serviços, incluindo Amazon Inspector, Amazon GuardDuty, AWS Security Hub CSPM e outros serviços de segurança integrados. O faturamento existente desses serviços de segurança faz a transição perfeita para o Security Hub, simplificando os preços, sem a necessidade de nenhuma ação. Os serviços individuais permanecem disponíveis com preços padrão quando o Security Hub não está ativado. O Security Hub fornece o plano básico como o nível padrão de cobertura com recursos adicionais disponíveis para ampliar sua cobertura de segurança. Observe que as cobranças do plano básico são baseadas em todos os recursos monitorados, independentemente dos recursos que você usa.
Plano básico: fornece analytics de risco, gerenciamento de vulnerabilidades, gerenciamento de postura de segurança e gerenciamento de respostas de segurança. Cobertura padrão incluída no Security Hub.
Recursos adicionais para aprimorar seu plano básico:
- Plano de analytics de ameaças desenvolvido pelo Amazon GuardDuty: detecta possíveis ameaças à segurança e atividades não autorizadas em todo o seu ambiente da AWS.
- Escaneamento de código Lambda desenvolvido pelo Amazon Inspector: identifica vulnerabilidades de segurança no código de função do Lambda.
Planos e recursos
Plano básico do Security Hub
|
Capability
|
Powered by
|
Standard pricing
|
Security Hub essentials plan
|
|---|---|---|---|
|
Abordagem de preços
|
AWS Security Hub
|
Pague por cada recurso de segurança separadamente
|
Preços consolidados por recurso (escaneamentos ilimitados) |
|
Analytics de risco e exposição
|
AWS Security Hub |
Não disponível |
Incluído |
|
Inventário de recursos
|
AWS Security Hub |
Não disponível |
Incluído |
|
Automação do fluxo de trabalho
|
AWS Security Hub |
Não disponível |
Incluído |
|
Regras de automação
|
AWS Security Hub CSPM |
Por um milhão de avaliações de regras |
Incluído |
|
Eventos de consumo de descoberta
|
AWS Security Hub CSPM |
Primeiros 10.000 grátis; Mais de 10.000 por evento |
Incluído |
|
Gerenciamento de postura (CSPM)
|
AWS Security Hub CSPM |
Por verificação |
Incluído |
|
Análise de vulnerabilidades do EC2
|
Amazon Inspector |
Por instância |
Incluído |
|
Avaliação de benchmark do EC2 CIS
|
Amazon Inspector |
Por avaliação, por instância |
Incluído |
|
Análise de vulnerabilidades do ECR
|
Amazon Inspector |
Por imagem (no envio); por redigitalização (imagens retidas) |
Incluído |
|
Análise de vulnerabilidades do Lambda
|
Amazon Inspector |
Por função do Lambda |
Incluído |
|
Proteção contra malware no EC2/EBS
|
Amazon GuardDuty |
Por GB |
Incluído |
Plano de analytics de ameaças do Security Hub
|
Capability
|
Powered by
|
Standard pricing
|
Security Hub threat analytics plan (requires Security Hub essentials)
|
|---|---|---|---|
|
Analytics de ameaças do CloudTrail
|
Amazon GuardDuty
|
Por um milhão de eventos
|
Por um milhão de eventos |
|
Analytics de ameaças de logs de VPC e DNS
|
Amazon GuardDuty
|
Por GB |
Por GB |
|
Analytics de ameaças do S3
|
Amazon GuardDuty
|
Por um milhão de eventos
|
Por GB |
|
Analytics de ameaças do EKS
|
Amazon GuardDuty
|
Por um milhão de eventos
|
Por GB |
|
Analytics de ameaças do Lambda
|
Amazon GuardDuty
|
Por GB |
Por GB |
Análise de código do AWS Lambda
|
Capability
|
Powered by
|
Standard pricing
|
Lambda code scanning (requires Security Hub essentials plan)
|
|---|---|---|---|
|
Análise de código Lambda
|
Amazon Inspector
|
Por função do Lambda
|
Por função do Lambda
|
Estime seus custos antes de começar
Antes de ativar o Security Hub, use o Estimador de Custos do Security Hub para entender seu gasto total estimado em toda a organização. Essa ferramenta analisa seus recursos reais da AWS e o uso atual dos serviços de segurança para fornecer projeções de custos precisas em todas as suas contas e regiões. Veja como os preços simplificados do Security Hub se comparam aos seus custos atuais de serviços individuais, identifique possíveis economias e planeje seu orçamento de segurança com confiança, tudo isso antes de iniciar seu teste gratuito.
Resumo do teste gratuito do AWS Security Hub
Experimente o AWS Security Hub com um teste gratuito de 30 dias que inclui recursos do plano básico. Cada conta da AWS em cada região habilitada com o Security Hub recebe um teste gratuito, mesmo se você já usou testes gratuitos do AWS Security Hub CSPM ou Amazon Inspector. Os recursos complementares (plano de analytics de ameaças desenvolvido pelo Amazon GuardDuty e escaneamento de código do AWS Lambda desenvolvido pelo Amazon Inspector) não estão incluídos no teste gratuito do Security Hub, embora os testes gratuitos de serviços individuais ainda sejam aplicáveis se você não os tiver usado anteriormente. Para ajudar você a planejar com antecedência, use o Estimador de Custos do Security Hub para calcular os custos esperados antes de ativar o serviço. Durante o teste gratuito, você pode monitorar seu uso por meio do console de faturamento da AWS para estimar seus custos contínuos com base no uso real durante o teste gratuito.
Benefícios
Por que os clientes escolhem os planos do Security Hub
O plano básico do Security Hub é o nível padrão de cobertura que você recebe quando ativa o Security Hub e é necessário para todas as funcionalidades do Security Hub. Ele fornece recursos de segurança, incluindo analytics de risco e exposição, gerenciamento de vulnerabilidades, gerenciamento de postura de segurança e gerenciamento de respostas de segurança.
Obtenha um gerenciamento simplificado de vulnerabilidades com preços unificados de recursos para escaneamentos de instâncias do EC2 (baseadas em agentes e sem agente), avaliações ilimitadas do CIS Benchmark, custos previsíveis de monitoramento de imagens de contêineres ECR e taxas mensais fixas de monitoramento de funções do Lambda. Essa consolidação elimina a complexidade de gerenciar vários modelos de preços e, ao mesmo tempo, fornece uma cobertura abrangente de vulnerabilidades.
Beneficie-se da transição de preços baseados em uso para preços baseados em recursos, ao mesmo tempo em que obtêm recursos de correlação de vulnerabilidades mais abrangentes, verificações de segurança ilimitadas, ingestão de descobertas ilimitadas e monitoramento aprimorado de conformidade em relação aos padrões do setor com correlação automática com dados de vulnerabilidade do Amazon Inspector. Essa mudança fornece previsibilidade de custos e, ao mesmo tempo, expande os recursos de segurança.
O plano de analytics de ameaças desenvolvido pelo Amazon GuardDuty está disponível como um complemento que aprimora seu plano básico ao identificar ameaças ativas. Ao ativar o plano de analytics de ameaças, você se beneficia do modelo de preços consolidado do Security Hub e, ao mesmo tempo, obtém um contexto de risco aprimorado por meio da correlação automática das descobertas de detecção de ameaças com os dados de vulnerabilidade e conformidade do plano essencial.
Além da consolidação de custos, o plano básico do Security Hub transforma as operações de segurança por meio da correlação automática das descobertas de vulnerabilidades com verificações de conformidade, reduzindo o ruído de alerta por meio da priorização da exposição. As equipes de segurança podem se concentrar em riscos contextualizados que combinam ameaças e gravidade da vulnerabilidade com exposição à rede e lacunas por configuração incorreta, ao mesmo tempo em que se beneficiam de operações centralizadas, fluxos de trabalho de remediação automatizados e a flexibilidade de expandir para uma cobertura mais abrangente à medida que as necessidades de segurança evoluem.
Detalhes de preço
-
Plano básico do Security Hub
-
Recursos complementares
-
Plano básico do Security Hub
-
Plano básico do Security Hub:
O plano básico do Security Hub é cobrado com base no número médio de recursos da AWS monitorados por mês, com preços baseados nas instâncias do Amazon EC2
Os preços são rateados com base no tempo em que os recursos são monitorados por mês. Para obter informações detalhadas sobre como os preços são calculados, consulte nossas Perguntas frequentes.
Embora todos os recursos suportados sejam monitorados quanto ao risco de segurança, o preço por recurso só se aplica a quatro tipos principais de recursos: instâncias do EC2, imagens de contêiner ECR, funções do Lambda e usuários e perfis do IAM. Todos os outros recursos monitorados estão incluídos.
A definição de preço está ancorada nas instâncias do Amazon EC2 como 1 unidade de recurso, com funções do AWS Lambda em 1/12 de uma unidade de recurso (12 funções = 1 unidade de recurso), imagens de contêiner do Amazon ECR em 1/18 de um recurso (18 imagens = 1 unidade de recurso) e usuários e perfis do AWS IAM em 1/125 de um recurso (125 recursos do IAM = 1 unidade de recurso).
-
Recursos complementares
-
Recursos adicionais para aprimorar seu plano básico:
Observação: quando você ativa o Security Hub, o faturamento dos recursos incluídos é consolidado por meio de preços simplificados do Security Hub. Todos os outros recursos de serviços de segurança da AWS (incluindo os recursos restantes do Amazon GuardDuty e do Amazon Inspector) não incluídos nos planos do Security Hub mantêm seu faturamento original do serviço.
Exemplos de definição de preço
Exemplo 1: organização de pequeno a médio porte
Você tem uma região da AWS, Leste dos EUA (Norte da Virgínia), e uma conta em sua implantação da AWS. Em um mês, seu ambiente do Security Hub analisa 2 milhões de eventos de gerenciamento do CloudTrail, 800 GB de eventos de dados, atividades de rede e outros logs e monitora 500 instâncias do EC2 em busca de riscos de segurança.
Cálculo do custo mensal:
Plano básico do Security Hub
Instâncias EC2:500 × 1 unidade = 500 unidades
Total do plano básico do Security Hub: 500 unidades de recursos × US$ 3,75 por recurso = US$ 1.875,00
Plano de analytics de ameaças
Eventos de gerenciamento do CloudTrail: 2 milhões de eventos a US$ 4,00 por milhão de eventos = US$ 8,00
Eventos de dados, atividades de rede e outros logs: 800 GB a US$ 0,55 por GB (primeiro nível de 1.000 GB) = US$ 440,00
Total da analytics de ameaças: US$ 8 + US$ 400 = US$ 448,00
Custo total mensal = US$ 2.323,00
Exemplo 2: organização de grande porte
Você tem uma grande implantação corporativa da AWS com uma combinação de diferentes tipos de recursos. Em um mês, seu ambiente do Security Hub processa 100 milhões de eventos de gerenciamento do CloudTrail, 500 TB de dados de segurança de logs e eventos e monitora um conjunto diversificado de recursos da AWS: 1.000 instâncias do EC2, 1.800 imagens de contêiner, 1.200 funções do Lambda e 120 usuários do IAM.
Cálculo do custo mensal:
Plano básico do Security Hub
Instâncias EC2:1.000 × 1 unidade = 1.000 unidades
Imagens de contêiner ECR: 1.800 × 1/18 unidade = 100 unidades
Funções do Lambda: 1.200 × 1/12 unidade = 100 unidades
Usuários e perfis do IAM: 1.250 × 1/125 unidade = 10 unidades
Total de unidades de recursos: 1.000 + 100 + 100 + 10 = 1.210 unidades
Total do plano básico do Security Hub: = 1.210 unidades de recursos × US$ 3,75 por recurso = US$ 4.537,50
Plano de analytics de ameaças
Eventos de gerenciamento do CloudTrail: 100 milhões de eventos a US$ 4,00 por milhão de eventos = US$ 400,00 em eventos de dados, atividades de rede e outros logs:
Para 500 TB (total de 512.000 GB), o cálculo é:
primeiros 1.000 GB a US$ 0,55 por GB = US$ 550,00
próximos 9.000 GB a US$ 0,25 por GB = US$ 2.250,00
e os 502.000 GB restantes a US$ 0,10 por GB = US$ 50.200,00
Total = US$ 53.000,00
Total da analytics de ameaças: US$ 400 + US$ 53.000 = US$ 53.400,00
Custo total mensal = US$ 57.937,50
Recursos de definição de preço
Tópicos da página
Perguntas frequentes
Abrir tudoO Security Hub oferece um teste gratuito de 30 dias que inclui os recursos do plano básico do Security Hub, com preços baseados em recursos. Cada conta da AWS em cada região recebe um teste gratuito e você permanece qualificado mesmo que tenha usado anteriormente os testes gratuitos do AWS Security Hub CSPM ou do Amazon Inspector. Recursos complementares, incluindo o plano de analytics de ameaças do Amazon GuardDuty e o escaneamento de código do AWS Lambda desenvolvido pelo Amazon Inspector, não estão incluídos no teste gratuito do Security Hub. Após o teste gratuito, os custos são baseados nos recursos da AWS que você monitora (instâncias do EC2, imagens de contêiner, funções do Lambda, usuários/perfis do IAM) e no uso do plano de analytics de ameaças (eventos do CloudTrail e volume de dados de log).
O Security Hub oferece o plano básico como padrão, com a capacidade de adicionar um plano de analytics de ameaças ou recursos de escaneamento de código Lambda conforme necessário. O plano essencial inclui analytics de risco, gerenciamento de vulnerabilidades, gerenciamento de postura de segurança e gerenciamento de respostas de segurança. O plano de analytics de ameaças adiciona monitoramento baseado no Amazon GuardDuty da atividade da conta da AWS, registros de fluxo de VPC, registros de DNS e outros dados de segurança. Consulte a seção de detalhes do plano para obter descrições completas dos recursos.
O plano básico do Security Hub oferece proteção de segurança em quatro áreas principais:
- Analytics de risco e exposição - Identifica e prioriza automaticamente seus problemas de segurança mais críticos correlacionando as descobertas em todo o ambiente, ajudando você a se concentrar no que é mais importante e a responder mais rapidamente às ameaças.
- Gerenciamento de vulnerabilidades - Verifica continuamente suas instâncias do EC2, imagens de contêiner e funções do Lambda em busca de vulnerabilidades de software e fraquezas de configuração, permitindo que você corrija falhas de segurança antes que elas possam ser exploradas.
- Gerenciamento da postura de segurança - Avalia seu ambiente da AWS em relação aos padrões de segurança e às melhores práticas do setor para identificar configurações incorretas, ajudando você a manter a conformidade e reduzir sua superfície de ataque.
- Gerenciamento de respostas de segurança - Fornece uma visão centralizada de suas descobertas de segurança com fluxos de trabalho automatizados, permitindo que sua equipe investigue e corrija problemas com mais eficiência em todo o seu ambiente da AWS.
Juntos, esses recursos ajudam você a reduzir os riscos de segurança, melhorar a produtividade da equipe e manter uma forte postura de segurança em toda a sua infraestrutura de nuvem.
Sim, o Security Hub monitora todos os recursos relevantes da AWS em seu ambiente para oferecer uma cobertura de segurança mais abrangente. O preço do plano básico é baseado em quatro tipos de recursos: instâncias do EC2, imagens de contêiner ECR, funções do Lambda e usuários e perfis do IAM. Esse modelo simplificado de preços facilita a estimativa e o gerenciamento dos custos do Security Hub.
Não, você não precisa dos dois planos. O plano básico do Security Hub é o nível padrão de cobertura que você recebe quando ativa o Security Hub e é necessário para todas as funcionalidades do Security Hub. Ele fornece recursos de segurança, incluindo analytics de risco e exposição, gerenciamento de vulnerabilidades, gerenciamento de postura de segurança e gerenciamento de respostas de segurança. O plano de analytics de ameaças é um complemento que aprimora seu plano essencial com recursos de monitoramento de ameaças fornecidos pelo Amazon GuardDuty.
O plano de analytics de ameaças não pode ser usado sozinho — ele requer o plano básico do Security Hub como base. Embora a maioria dos recursos do plano básico funcione de forma independente, a proteção contra malware para o Amazon EC2 é um caso especial: ela está incluída no plano básico, mas só funciona quando você também tem o plano de analytics de ameaças ativo, pois depende da detecção de ameaças do GuardDuty para identificar atividades suspeitas antes de verificar se há malware.
Você pode começar apenas com o plano básico e adicionar recursos de analytics de ameaças posteriormente, à medida que suas necessidades de monitoramento de segurança evoluírem.
A AWS fornece uma ferramenta de estimativa de custos para ajudar você a estimar os custos do Security Hub antes de ativar o serviço. Consulte a página do Security Hub Cost Estimator para obter mais detalhes.
O plano básico do Security Hub combina os recursos do Amazon Inspector e do AWS Security Hub CSPM em um modelo de preços único e previsível baseado em recursos que simplifica os custos e aprimora as operações de segurança.
Os clientes atuais do Amazon Inspector obtêm gerenciamento simplificado de vulnerabilidades com preços unificados de recursos para escaneamentos de instâncias do EC2 (baseados em agentes e sem agente), avaliações ilimitadas do CIS Benchmark, custos previsíveis de monitoramento de imagens de contêineres ECR e taxas fixas mensais de monitoramento de funções do Lambda. Essa consolidação elimina a complexidade de gerenciar vários modelos de preços e, ao mesmo tempo, fornece uma cobertura abrangente de vulnerabilidades.
Os clientes do Security Hub CSPM se beneficiam da transição de preços baseados em uso para preços baseados em recursos, ao mesmo tempo em que obtêm recursos de correlação de vulnerabilidades mais abrangentes, verificações de segurança ilimitadas, ingestão de descobertas ilimitadas e monitoramento aprimorado de conformidade em relação aos padrões do setor com correlação automática com dados de vulnerabilidade do Amazon Inspector. Essa mudança fornece previsibilidade de custos e, ao mesmo tempo, expande os recursos de segurança.
Além da consolidação de custos, o plano básico do Security Hub transforma as operações de segurança de todos os clientes por meio da correlação automática das descobertas de vulnerabilidades com verificações de conformidade, reduzindo o ruído de alerta por meio da priorização da exposição. As equipes de segurança podem se concentrar em riscos contextualizados que combinam a gravidade da vulnerabilidade com a exposição da rede e as lacunas de conformidade, ao mesmo tempo em que se beneficiam de operações centralizadas, fluxos de trabalho automatizados de remediação e a flexibilidade de expandir para uma detecção de ameaças mais abrangente à medida que as necessidades de segurança evoluem.
O faturamento existente dos serviços de segurança faz a transição perfeita para o Security Hub, simplificando os preços, sem a necessidade de nenhuma ação. Você receberá cobranças consolidadas no Security Hub em vez de contas de serviço separadas pelos recursos incluídos nos planos do Security Hub.
O Security Hub oferece flexibilidade em nível de conta no AWS Organizations. Quando você ativa o Security Hub em uma conta, essa conta recebe preços simplificados em todos os serviços de segurança. Quando você não ativa o Security Hub em uma conta, essa conta usa preços de serviço individuais para cada serviço de segurança. Isso significa que, em um único AWS Organization, você pode ter algumas contas usando o modelo de preços simplificado do Security Hub, enquanto outras contas continuam com os preços de serviços individuais, determinados no nível da conta com base no fato de o Security Hub estar habilitado nessa conta específica.
Instâncias do EC2: número médio de instâncias do EC2 = (total de horas de instâncias ativas/número de horas em um mês, ou seja, 720 horas). Por exemplo, você tem três instâncias que ficaram ativas por diferentes períodos durante um mês: a primeira por 360 horas, a segunda por 350 horas e a terceira por 10 horas, totalizando 720 horas de instâncias ativas. Portanto, 720 horas totais de instâncias que estavam sendo verificadas naquele mês dividido por 720, que corresponde ao total de horas em um mês, fornece a média de 1 instância do EC2.
Imagens de contêiner: número de imagens de contêiner digitalizadas = número de imagens de contêiner enviadas para o Amazon ECR a cada mês mais o número de imagens de contêiner que estão no escopo de redigitalização durante o mês, com base na configuração de redigitalização do Amazon Inspector. O Amazon Inspector executa um escaneamento inicial de cada imagem de contêiner enviada para o Amazon ECR. Além disso, o Amazon Inspector verifica novamente as imagens do contêiner em busca de novas vulnerabilidades com base nos prazos que você configura para data de envio, data de extração e data da última utilização da imagem. Exemplo: você tem 5.000 imagens em seu repositório Amazon ECR e envia 500 imagens adicionais para o Amazon ECR em um mês. Você configurou o monitoramento de imagens por 14 dias com base na data da última utilização. Durante o mês, 75 imagens de contêiner do repositório são implantadas nos clusters Amazon ECS ou Amazon EKS. O Amazon Inspector monitora e cobra com base na duração real de cada imagem monitorada em sua janela configurada — isso inclui as 75 imagens ativas enquanto elas permanecem em uso e as 500 imagens recém-enviadas para seus respectivos períodos de monitoramento. Observe que as cobranças se aplicam somente ao tempo em que cada imagem é realmente monitorada (até 14 dias por padrão), não necessariamente ao mês inteiro, e esse período de monitoramento pode ser personalizado de acordo com suas necessidades.
Funções do Lambda: as funções elegíveis do Lambda são baseadas nas funções marcadas como $LATEST e foram invocadas ou atualizadas nos últimos 90 dias. Número médio de funções do Lambda = (total de horas de cobertura do Security Hub para uma função do Lambda) / (número de horas em um mês, ou seja, 720 horas). As horas de cobertura do Security Hub representam o momento em que a função Lambda é implantada até o momento em que ela é excluída.
Exemplo: você implantou três funções do Lambda que foram monitoradas pelo Security Hub por diferentes períodos durante um mês: a primeira por 720 horas, a segunda por 350 horas e a terceira por 10 horas, totalizando uma verificação de 1,080 horas de funções do Lambda implantadas. Portanto, 1,080 horas totais de funções do Lambda que estavam sendo verificadas naquele mês dividido por 720, que corresponde ao total de horas em um mês, fornece a média de 1,5 funções do Lambda.
Usuários e perfis do IAM: número médio de usuários e perfis do IAM = número de usuários ou perfis do IAM que existiram durante o mês, rateado diariamente.
Os recursos não listados explicitamente nos planos do Security Hub continuam sendo cobrados por meio de seus serviços originais. Por exemplo, você só receberá o faturamento do GuardDuty por quaisquer recursos restantes dele que não estejam incluídos no plano de analytics de ameaças.
Sim, serviços individuais, como Amazon Inspector, GuardDuty e Security Hub CSPM, permanecem disponíveis com seus preços padrão quando o Security Hub não está ativado.