- AWS Security Hub›
- Tarification d’AWS Security Hub
Tarification d’AWS Security Hub
Donne la priorité à vos problèmes de sécurité critiques et vous aide à y répondre à l’échelle
Vue d’ensemble des tarifs
AWS Security Hub donne la priorité à vos problèmes de sécurité critiques et unifie vos opérations de sécurité afin de vous aider à réagir à grande échelle. Il détecte les problèmes critiques en corrélant et en enrichissant les signaux provenant de plusieurs services de sécurité AWS, par exemple Amazon GuardDuty pour la détection des menaces et Amazon Inspector pour la gestion des vulnérabilités. Cela vous permet de mettre en évidence et de hiérarchiser les risques dans votre environnement cloud. Security Hub transforme les signaux en informations exploitables qui réduisent les risques de sécurité, améliorent la productivité de votre équipe et protègent votre environnement cloud.
Modèle de tarification
Security Hub utilise un modèle de tarification rationalisé avec des frais consolidés par ressource. Lorsque vous activez Security Hub, vous bénéficiez du niveau de couverture par défaut via la formule de base, ainsi que d’une tarification consolidée pour de nombreux services, notamment Amazon Inspector, Amazon GuardDuty, AWS Security Hub CSPM et d’autres services de sécurité intégrés. La facturation existante de ces services de sécurité passe sans problème à la tarification rationalisée de Security Hub, sans aucune action requise. Les services individuels restent disponibles à la tarification standard lorsque Security Hub n’est pas activé. Security Hub propose la formule de base comme niveau de couverture par défaut avec des fonctionnalités supplémentaires disponibles pour étendre votre couverture de sécurité. Veuillez noter que les frais de la formule de base sont fondés sur toutes les ressources surveillées, quelles que soient les fonctionnalités que vous utilisez.
Formule de base : comprend l’analytique des risques, ainsi que la gestion des vulnérabilités, de la posture de sécurité et des réponses en matière de sécurité. Couverture par défaut incluse avec Security Hub.
Fonctionnalités supplémentaires pour améliorer votre formule de base :
- Formule d’analytique des menaces optimisée par Amazon GuardDuty : détecte les menaces de sécurité potentielles et les activités non autorisées dans votre environnement AWS.
- Analyse de code Lambda optimisée par Amazon Inspector : identifie les failles de sécurité dans le code des fonctions Lambda.
Formules et fonctionnalités
Formule Security Hub de base
|
Capability
|
Powered by
|
Standard pricing
|
Security Hub essentials plan
|
|---|---|---|---|
|
Approche tarifaire
|
AWS Security Hub
|
Payez séparément pour chaque fonctionnalité de sécurité
|
Tarification consolidée par ressource (analyses illimitées) |
|
Analytique de l’exposition et des risques
|
AWS Security Hub |
Non disponible |
Incluse |
|
Inventaire des ressources
|
AWS Security Hub |
Non disponible |
Incluse |
|
Automatisation des flux de travail
|
AWS Security Hub |
Non disponible |
Incluse |
|
Règles d’automatisation
|
AWS Security Hub CSPM |
Par million d’évaluations de règles |
Incluse |
|
Ingestions de résultats
|
AWS Security Hub CSPM |
10 000 premiers gratuits ; plus de 10 000 par événement |
Incluse |
|
Gestion de la posture (CSPM)
|
AWS Security Hub CSPM |
Par contrôle |
Incluse |
|
Analyse des vulnérabilités EC2
|
Amazon Inspector |
Par instance |
Incluse |
|
Évaluation EC2 CIS Benchmark
|
Amazon Inspector |
Par évaluation et par instance |
Incluse |
|
Analyse des vulnérabilités ECR
|
Amazon Inspector |
Par image (à la transmission) ; par nouvelle analyse (images conservées) |
Incluse |
|
Analyse des vulnérabilités Lambda
|
Amazon Inspector |
Par fonction Lambda |
Incluse |
|
Protection EC2/EBS contre les programmes malveillants
|
Amazon GuardDuty |
Par Go |
Incluse |
Formule Security Hub d’analytique des menaces
|
Capability
|
Powered by
|
Standard pricing
|
Security Hub threat analytics plan (requires Security Hub essentials)
|
|---|---|---|---|
|
Analytique des menaces CloudTrail
|
Amazon GuardDuty
|
Pour un million d’événements
|
Pour un million d’événements |
|
Analytique des menaces liées aux journaux VPC et DNS
|
Amazon GuardDuty
|
Par Go |
Par Go |
|
Analytique des menaces S3
|
Amazon GuardDuty
|
Pour un million d’événements
|
Par Go |
|
Analytique des menaces EKS
|
Amazon GuardDuty
|
Pour un million d’événements
|
Par Go |
|
Analytique des menaces Lambda
|
Amazon GuardDuty
|
Par Go |
Par Go |
Analyse de code AWS Lambda
|
Capability
|
Powered by
|
Standard pricing
|
Lambda code scanning (requires Security Hub essentials plan)
|
|---|---|---|---|
|
Analyse de code Lambda
|
Amazon Inspector
|
Par fonction Lambda
|
Par fonction Lambda
|
Estimez vos coûts avant de commencer
Avant d’activer Security Hub, utilisez l’estimateur des coûts de Security Hub pour comprendre vos dépenses totales estimées pour l’ensemble de votre organisation. Cet outil analyse vos ressources AWS réelles et l’utilisation actuelle des services de sécurité afin de fournir des prévisions de coûts précises pour l’ensemble de vos comptes et régions. Comparez la tarification rationalisée de Security Hub à vos coûts de service individuels actuels, identifiez les économies potentielles et planifiez votre budget de sécurité en toute confiance, le tout avant de commencer votre essai gratuit.
Résumé de l’essai gratuit d’AWS Security Hub
Testez gratuitement AWS Security Hub dans le cadre d’un essai de 30 jours qui inclut les fonctionnalités de la formule de base. Chaque compte AWS de chaque région où Security Hub est activé bénéficie d’un essai gratuit, même si vous avez déjà utilisé les essais gratuits d’AWS Security Hub CSPM ou d’Amazon Inspector. Les fonctionnalités supplémentaires (formule d’analytique des menaces optimisée par Amazon GuardDuty et analyse de code AWS Lambda optimisée par Amazon Inspector) ne sont pas incluses dans l’essai gratuit de Security Hub, bien que les essais gratuits des services individuels restent applicables si vous ne les avez jamais utilisés auparavant. Pour vous aider à planifier à l’avance, utilisez l’estimateur de coûts Security Hub pour calculer les coûts prévus avant d’activer le service. Vous pouvez surveiller votre utilisation via la console de facturation AWS afin d’estimer vos coûts récurrents sur la base de l’utilisation réelle pendant l’essai gratuit.
Avantages
Pourquoi les clients choisissent les formules Security Hub
La formule Security Hub de base est le niveau de couverture par défaut dont vous bénéficiez lorsque vous activez Security Hub et est requise pour toutes les fonctionnalités de Security Hub. Elle fournit des fonctionnalités de sécurité, notamment l’analytique de l’exposition au risque, ainsi que la gestion des vulnérabilités, de la posture de sécurité et des réponses en matière de sécurité.
Bénéficiez d’une gestion rationalisée des vulnérabilités grâce à une tarification unifiée des ressources pour les analyses des instances EC2 (avec ou sans agent), à des évaluations CIS Benchmark illimitées, à des coûts de surveillance des images de conteneurs ECR prévisibles et à des taux mensuels fixes de surveillance des fonctions Lambda. Ce regroupement élimine la complexité liée à la gestion de plusieurs modèles de tarification tout en fournissant une couverture complète des vulnérabilités.
Bénéficiez de la transition d’une tarification basée sur l’utilisation à une tarification basée sur les ressources, tout en profitant de fonctionnalités de corrélation des vulnérabilités plus complètes, de contrôles de sécurité illimités et d’ingestions de résultats, ainsi que d’une surveillance de conformité améliorée par rapport aux normes du secteur grâce à une corrélation automatique avec les données de vulnérabilité d’Amazon Inspector. Cette évolution assure la prévisibilité des coûts tout en élargissant les capacités de sécurité.
La formule d’analytique des menaces optimisée par Amazon GuardDuty est disponible en tant que module complémentaire qui enrichit votre formule de base en identifiant les menaces actives. Lorsque vous activez la formule d’analytique des menaces, vous bénéficiez du modèle tarifaire consolidé de Security Hub tout en profitant d’un contexte de risque amélioré grâce à la corrélation automatique des résultats de détection des menaces avec les données de vulnérabilité et de conformité de la formule de base.
Au-delà de la consolidation des coûts, la formule de base de Security Hub transforme les opérations de sécurité en corrélant automatiquement les résultats en matière de vulnérabilités avec les contrôles de conformité, réduisant ainsi le bruit des alertes grâce à la hiérarchisation de l’exposition au risque. Les équipes de sécurité peuvent se concentrer sur les risques contextualisés qui combinent la gravité des menaces et des vulnérabilités avec l’exposition du réseau et les erreurs de configuration, tout en bénéficiant d’opérations centralisées, de flux de travail de correction automatisés et de la flexibilité nécessaire pour développer une couverture plus complète à mesure que les besoins de sécurité évoluent.
Informations de tarification
-
Formule Security Hub de base
-
Fonctionnalités supplémentaires
-
Formule Security Hub de base
-
Formule Security Hub de base :
Les frais de la formule Security Hub de base reposent sur le nombre moyen de ressources AWS surveillées par mois, la tarification étant ancrée sur les instances Amazon EC2.
La tarification est calculée au prorata en fonction de la durée de surveillance des ressources chaque mois. Pour plus d’informations sur le mode de calcul des prix, consultez les Questions fréquentes (FAQ).
Même si toutes les ressources prises en charge sont surveillées pour détecter les risques de sécurité, la tarification par ressource ne s’applique qu’à quatre types de ressources principaux : les instances EC2, les images de conteneurs ECR, les fonctions Lambda et les utilisateurs/rôles IAM. Toutes les autres ressources surveillées sont incluses.
Dans le cadre de la tarification, une instance Amazon EC2 constitue une unité de ressource, une fonction AWS Lambda un douzième d’unité de ressource (12 fonctions = 1 unité de ressource), une image de conteneur Amazon ECR un dix-huitième de ressource (18 images = 1 unité de ressource) et un utilisateur/rôle AWS IAM un cent-vingt-cinquième de ressource (125 ressources IAM = 1 unité de ressource).
-
Fonctionnalités supplémentaires
-
Fonctionnalités supplémentaires pour améliorer votre formule de base :
Remarque : Lorsque vous activez Security Hub, la facturation des fonctionnalités incluses est consolidée grâce à la tarification rationalisée de Security Hub. Toutes les autres fonctionnalités des services de sécurité AWS (y compris les fonctionnalités restantes d’Amazon GuardDuty et Amazon Inspector) non incluses dans les formules Security Hub conservent leur facturation de service d’origine.
Exemples de tarification
Exemple 1 : PME
Vous avez une seule Région AWS, USA Est (Virginie du Nord), et un seul compte dans votre déploiement AWS. En un mois, votre environnement Security Hub analyse 2 millions d’événements de gestion CloudTrail, 800 Go d’événements de données, l’activité du réseau et d’autres journaux, et surveille 500 instances EC2 pour détecter les risques de sécurité.
Calcul du coût mensuel :
Formule Security Hub de base
Instances EC2 : 500 × 1 unité = 500 unités
Total de la formule Security Hub de base : 500 unités de ressources × 3,75 USD par ressource = 1 875 USD
Formule d’analytique des menaces
Événements de gestion CloudTrail : 2 millions d’événements à 4 USD par million d’événements = 8 USD
Événements de données, activité réseau et autres journaux : 800 Go à 0,55 USD par Go (niveau des premiers 1 000 Go) = 440,00 USD
Total de l’analytique des menaces : 8 USD + 440 USD = 448 USD
Total des frais mensuels = 2 323,00 USD
Exemple 2 : grande entreprise
Vous disposez d’un déploiement AWS dans une grande entreprise avec une combinaison de différents types de ressources. En un mois, votre environnement Security Hub traite 100 millions d’événements de gestion CloudTrail, 500 To de données de sécurité provenant de journaux et d’événements, et surveille un ensemble diversifié de ressources AWS : 1 000 instances EC2, 1 800 images de conteneurs, 1 200 fonctions Lambda et 120 utilisateurs IAM.
Calcul du coût mensuel :
Formule Security Hub de base
Instances EC2 : 1 000 × 1 unité = 1 000 unités
Images de conteneurs ECR : 1 800 × 1/18 unité = 100 unités
Fonctions Lambda : 1 200 × 1/12 unité = 100 unités
Utilisateurs et rôles IAM : 1 250 × 1/125 unité = 10 unités
Nombre total d’unités de ressources : 1 000 + 100 + 100 + 10 = 1 210 unités
Total de la formule Security Hub de base : 1 210 unités de ressources × 3,75 USD par ressource = 4 537,50 USD
Formule d’analytique des menaces
Événements de gestion CloudTrail : 100 millions d’événements à 4 USD par million d’événements = 400 USD Événements liés aux données, activité du réseau et autres journaux :
Pour 500 To (512 000 Go au total), le calcul est le suivant :
Premiers 1 000 Go à 0,55 USD par Go = 550 USD
9 000 Go suivants à 0,25 USD par Go = 2 250 USD
et les 502 000 Go restants à 0,10 USD par Go = 50 200 USD
Total = 53 000,00 USD
Total de l’analytique des menaces : 400 USD + 53 000 USD = 53 400 USD
Total des frais mensuels = 57 937,50 USD
Ressources de tarification
Sujets de la page
Questions fréquentes (FAQ)
Ouvrir toutSecurity Hub propose un essai gratuit de 30 jours qui inclut les fonctionnalités de la formule Security Hub de base, qui utilise une tarification basée sur les ressources. Chaque compte AWS de chaque région bénéficie d’un essai gratuit, et vous restez éligible même si vous avez déjà utilisé les essais gratuits d’AWS Security Hub CSPM ou d’Amazon Inspector. Les fonctionnalités supplémentaires, notamment la formule d’analytique des menaces d’Amazon GuardDuty et l’analyse de code AWS Lambda optimisée par Amazon Inspector, ne sont pas incluses dans la version d’essai gratuite de Security Hub. Après l’essai gratuit, les coûts dépendent des ressources AWS que vous surveillez (instances EC2, images de conteneurs, fonctions Lambda, utilisateurs/rôles IAM) et de l’utilisation de la formule d’analytique des menaces (événements CloudTrail et volume de données de journal).
Security Hub propose la formule de base par défaut, avec la possibilité d’ajouter une formule d’analytique des menaces ou des fonctionnalités d’analyse de code Lambda selon les besoins. La formule de base comprend l’analytique des risques, ainsi que la gestion des vulnérabilités, de la posture de sécurité et des réponses en matière de sécurité. La formule d’analytique des menaces intègre une surveillance de l’activité des comptes AWS propulsée par Amazon GuardDuty, des journaux de flux VPC, des journaux DNS et d’autres données de sécurité. Consultez la section des détails de la formule pour une description complète des fonctionnalités.
La formule Security Hub de base fournit une protection dans quatre domaines clés :
- Analytique de l’exposition et des risques : identifie et hiérarchise automatiquement vos problèmes de sécurité les plus critiques en corrélant les résultats obtenus dans l’ensemble de votre environnement, ce qui vous permet de vous concentrer sur l’essentiel et de réagir plus rapidement aux menaces.
- Gestion des vulnérabilités : analyse en permanence vos instances EC2, vos images de conteneurs et vos fonctions Lambda pour détecter les vulnérabilités logicielles et les faiblesses de configuration, ce qui vous permet de corriger les failles de sécurité avant qu’elles ne soient exploitées.
- Gestion de la posture de sécurité : évalue votre environnement AWS par rapport aux normes de sécurité et aux bonnes pratiques du secteur afin d’identifier les erreurs de configuration, ce qui vous permet de maintenir la conformité et de réduire votre surface d’attaque.
- Gestion des réponses de sécurité : fournit une vue centralisée de vos résultats de sécurité grâce à des flux de travail automatisés, permettant à votre équipe d’étudier et de résoudre les problèmes plus efficacement dans l’ensemble de votre environnement AWS.
Ensemble, ces fonctionnalités vous aident à réduire les risques de sécurité, à améliorer la productivité de votre équipe et à maintenir une posture de sécurité robuste sur l’ensemble de votre infrastructure cloud.
Oui, Security Hub surveille toutes les ressources AWS pertinentes de votre environnement afin de fournir une couverture de sécurité plus complète. La tarification de la formule de base est fondée sur quatre types de ressources : les instances EC2, les images de conteneurs ECR, les fonctions Lambda et les utilisateurs et rôles IAM. Ce modèle de tarification simplifié facilite l’estimation et la gestion de vos coûts Security Hub.
Non, vous n’avez pas besoin des deux formules. La formule Security Hub de base est le niveau de couverture par défaut dont vous bénéficiez lorsque vous activez Security Hub et est requise pour toutes les fonctionnalités de Security Hub. Elle fournit des fonctionnalités de sécurité, notamment l’analytique de l’exposition au risque, ainsi que la gestion des vulnérabilités, de la posture de sécurité et des réponses en matière de sécurité. La formule d’analytique des menaces est un module complémentaire qui enrichit la formule de base grâce à des fonctionnalités de surveillance des menaces optimisées par Amazon GuardDuty.
Cette formule ne peut pas être utilisée seule : elle a besoin de la formule Security Hub de base comme socle. Bien que la plupart des fonctionnalités de la formule de base fonctionnent indépendamment, la protection contre les programmes malveillants pour Amazon EC2 constitue un cas particulier : elle est incluse dans la formule de base, mais ne fonctionne que lorsque la formule d’analytique des menaces est également active, car elle repose sur la détection des menaces de GuardDuty pour identifier les activités suspectes avant de rechercher des logiciels malveillants.
Vous pouvez commencer avec la formule de base et ajouter les fonctionnalités d’analytique des menaces ultérieurement à mesure que vos besoins en matière de surveillance de la sécurité évoluent.
AWS fournit un outil d’estimation des coûts pour vous aider à estimer les coûts de Security Hub avant d’activer le service. Consultez la page Security Hub Cost Estimator page pour plus de détails.
La formule Security Hub de base combine les fonctionnalités d’Amazon Inspector et d’AWS Security Hub CSPM dans un modèle de tarification unique et prévisible basé sur les ressources qui simplifie les coûts tout en améliorant les opérations de sécurité.
Les clients existants d’Amazon Inspector bénéficient d’une gestion rationalisée des vulnérabilités grâce à une tarification unifiée des ressources pour les analyses des instances EC2 (avec ou sans agent), à des évaluations CIS Benchmark illimitées, à des coûts de surveillance des images de conteneurs ECR prévisibles et à des taux mensuels fixes de surveillance des fonctions Lambda. Ce regroupement élimine la complexité liée à la gestion de plusieurs modèles de tarification tout en fournissant une couverture complète des vulnérabilités.
Les clients de Security Hub CSPM bénéficient de la transition d’une tarification basée sur l’utilisation à une tarification basée sur les ressources, tout en profitant de fonctionnalités de corrélation des vulnérabilités plus complètes, de contrôles de sécurité illimités et d’ingestions de résultats, ainsi que d’une surveillance de conformité améliorée par rapport aux normes du secteur grâce à une corrélation automatique avec les données de vulnérabilité d’Amazon Inspector. Cette évolution assure la prévisibilité des coûts tout en élargissant les capacités de sécurité.
Au-delà de la consolidation des coûts, la formule de base de Security Hub transforme les opérations de sécurité de tous les clients en corrélant automatiquement les résultats en matière de vulnérabilités avec les contrôles de conformité, réduisant ainsi le bruit des alertes grâce à la hiérarchisation de l’exposition au risque. Les équipes de sécurité peuvent se concentrer sur les risques contextualisés qui combinent la gravité des vulnérabilités avec l’exposition du réseau et les lacunes de conformité, tout en bénéficiant d’opérations centralisées, de flux de travail de correction automatisés et de la flexibilité nécessaire pour développer une détection des menaces plus complète à mesure que les besoins de sécurité évoluent.
La facturation existante de services de sécurité passe sans problème à la tarification rationalisée de Security Hub, sans aucune action requise. Vous devrez régler des frais consolidés dans le cadre de Security Hub au lieu de factures de service distinctes pour les fonctionnalités incluses dans les formules Security Hub.
Security Hub offre une flexibilité au niveau des comptes au sein d’AWS Organizations. Lorsque vous activez Security Hub dans un compte, celui-ci bénéficie d’une tarification rationalisée pour tous les services de sécurité. Lorsque vous n’activez pas Security Hub dans un compte, celui-ci bénéficie d’une tarification de service individuelle pour chaque service de sécurité. Cela signifie qu’au sein d’une même organisation AWS, certains comptes peuvent bénéficier du modèle de tarification rationalisé de Security Hub, tandis que d’autres continuent à utiliser la tarification de services individuels. Cela est déterminé au niveau du compte spécifique en fonction de l’activation ou non de Security Hub sur celui-ci.
Instances EC2 : nombre moyen d’instances EC2 = (total d’heures d’instances actives/nombre d’heures dans un mois, c’est-à-dire 720 heures). Par exemple, vous avez 3 instances qui étaient actives pour différentes durées pendant un mois : la première pendant 360 heures, la deuxième pendant 350 heures et la troisième pendant 10 heures, pour un total de 720 heures d’instances actives. Par conséquent, total de 720 heures d’instances analysées ce mois-là / 720 heures dans le mois = 1 instance EC2 en moyenne.
Images de conteneurs : nombre d’images de conteneurs analysées = nombre d’images de conteneurs transmises à Amazon ECR chaque mois, plus nombre d’images de conteneurs susceptibles d’être à nouveau analysées au cours du mois, en fonction de la configuration de nouvelle analyse d’Amazon Inspector. Amazon Inspector effectue une analyse initiale de chaque image de conteneur transmise à Amazon ECR. En outre, Amazon Inspector analyse à nouveau les images de conteneurs à la recherche de nouvelles vulnérabilités en fonction des délais que vous configurez pour la date de transmission de l’image, la date d’extraction de l’image et la date de dernière utilisation de l’image. Exemple : vous avez 5 000 images dans votre référentiel Amazon ECR et vous transférez 500 images supplémentaires vers Amazon ECR en un mois. Vous avez configuré la surveillance des images pendant 14 jours en fonction de la dernière date d’utilisation. Au cours du mois, 75 images de conteneurs provenant du référentiel sont déployées sur des clusters Amazon ECS ou Amazon EKS. Amazon Inspector surveille et facture en fonction de la durée réelle de surveillance de chaque image dans la fenêtre que vous avez configurée. Cela inclut à la fois les 75 images actives pendant leur utilisation et les 500 images récemment transmises pendant leurs périodes de surveillance respectives. Veuillez noter que les frais ne s’appliquent que pour la durée pendant laquelle chaque image est réellement surveillée (jusqu’à 14 jours par défaut), pas nécessairement pour le mois entier. Cette période de surveillance peut être personnalisée en fonction de vos besoins.
Fonctions Lambda : les fonctions Lambda éligibles sont basées sur les fonctions marquées $LATEST et ont été invoquées ou mises à jour au cours des 90 derniers jours. Nombre moyen de fonctions Lambda = (nombre total d’heures de couverture de Security Hub pour une fonction Lambda) / (nombre d’heures dans un mois, soit 720 heures). Les heures de couverture de Security Hub représentent le délai entre le déploiement de la fonction Lambda et sa suppression.
Exemple : vous avez 3 fonctions Lambda déployées qui ont été surveillées par Security Hub pendant différentes périodes au cours d’un mois : la première pendant 720 heures, la deuxième pendant 350 heures et la troisième pendant 10 heures, soit un total de 1 080 heures de fonctions Lambda déployées analysées. Par conséquent, total de 1 080 heures de fonctions Lambda analysées ce mois-là / 720 heures dans le mois = 1,5 fonction Lambda en moyenne.
Utilisateurs et rôles IAM : nombre moyen d’utilisateurs et de rôles IAM = nombre d’utilisateurs ou de rôles IAM qui existaient au cours du mois, au prorata quotidien.
Les fonctionnalités qui ne sont pas explicitement répertoriées dans les formules Security Hub continuent d’être facturées via leurs services d’origine. Par exemple, vous ne recevrez une facture GuardDuty que pour les fonctionnalités restantes de GuardDuty qui ne sont pas incluses dans la formule d’analytique des menaces.
Oui, des services individuels tels qu’Amazon Inspector, GuardDuty et Security Hub CSPM restent disponibles à leur tarification standard lorsque Security Hub n’est pas activé.