- AWS Security Hub›
- AWS Security Hub 定價
定價概觀
AWS Security Hub 會優先處理您的關鍵安全問題,並統一安全營運,以協助大規模應對威脅。它透過關聯和擴充來自多個 AWS 安全服務的訊號,例如來自 Amazon GuardDuty 的威脅偵測訊號與來自 Amazon Inspector 的漏洞管理訊號,來偵測關鍵問題。這樣,您就可以發現並優先處理雲端環境中的風險。Security Hub 可將訊號轉換為切實可行的洞見,從而降低安全風險、提高團隊的工作效率,並保護您的雲端環境。
定價模式
Security Hub 採用簡化的定價模式,合併以資源為基礎的計費方式。啟用 Security Hub 後,您將透過基礎方案獲得預設等級的防護,並透過合併定價模式同時享有 Amazon Inspector、Amazon GuardDuty、AWS Security Hub CSPM 及其他整合式安全服務等多項服務的優惠。這些安全服務的現有計費機制將無縫轉換至 Security Hub 簡化的定價模式,無需採取任何動作。如果未啟用 Security Hub,個別服務仍以標準價格提供。Security Hub 提供基礎方案作為預設防護層級,並可透過附加功能擴展安全防護範圍。請注意,基礎方案的收費以所有受監控的資源為基礎,無論您使用哪些功能。
基礎方案:提供風險分析、漏洞管理、安全態勢管理和安全事件應對管理。預設防護功能隨 Security Hub 一併提供。
增強基礎方案的附加功能:
- 由 Amazon GuardDuty 提供支援的威脅分析方案:偵測 AWS 環境中的潛在安全威脅和未經授權的活動。
- 由 Amazon Inspector 提供支援的 Lambda 程式碼掃描:識別 Lambda 函式程式碼中的安全漏洞。
方案與功能
Security Hub 基礎方案
|
Capability
|
Powered by
|
Standard pricing
|
Security Hub essentials plan
|
|---|---|---|---|
|
定價方法
|
AWS Security Hub
|
每項安全功能單獨計費
|
依資源計費的合併定價模式 (無限次掃描) |
|
風險與暴露分析
|
AWS Security Hub |
不可用 |
包含 |
|
資源清單
|
AWS Security Hub |
不可用 |
包含 |
|
工作流程自動化
|
AWS Security Hub |
不可用 |
包含 |
|
自動化規則
|
AWS Security Hub CSPM |
每一百萬次規則評估 |
包含 |
|
調查結果擷取事件
|
AWS Security Hub CSPM |
前 10,000 個免費;超出 10,000 的部分,每個事件 |
包含 |
|
態勢管理 (CSPM)
|
AWS Security Hub CSPM |
每次檢查 |
包含 |
|
EC2 漏洞掃描
|
Amazon Inspector |
每個執行個體 |
包含 |
|
EC2 CIS 基準評估
|
Amazon Inspector |
每個執行個體每次評估 |
包含 |
|
ECR 漏洞掃描
|
Amazon Inspector |
每個映像 (推送時);每次重新掃描 (保留的映像) |
包含 |
|
Lambda 漏洞掃描
|
Amazon Inspector |
每個 Lambda 函式 |
包含 |
|
EC2/EBS 惡意軟體防護
|
Amazon GuardDuty |
每 GB |
包含 |
Security Hub 威脅分析方案
|
Capability
|
Powered by
|
Standard pricing
|
Security Hub threat analytics plan (requires Security Hub essentials)
|
|---|---|---|---|
|
CloudTrail 威脅分析
|
Amazon GuardDuty
|
每一百萬個事件
|
每一百萬個事件 |
|
VPC 和 DNS 日誌威脅分析
|
Amazon GuardDuty
|
每 GB |
每 GB |
|
S3 威脅分析
|
Amazon GuardDuty
|
每一百萬個事件
|
每 GB |
|
EKS 威脅分析
|
Amazon GuardDuty
|
每一百萬個事件
|
每 GB |
|
Lambda 威脅分析
|
Amazon GuardDuty
|
每 GB |
每 GB |
AWS Lambda 程式碼掃描
|
Capability
|
Powered by
|
Standard pricing
|
Lambda code scanning (requires Security Hub essentials plan)
|
|---|---|---|---|
|
Lambda 程式碼掃描
|
Amazon Inspector
|
每個 Lambda 函式
|
每個 Lambda 函式
|
啟用 Security Hub 之前,請使用 Security Hub 成本估算器了解整個組織的總預估支出。此工具會分析您的實際 AWS 資源與目前的安全服務使用情況,提供您的所有帳戶和區域的準確成本預測。在開始免費試用之前,可以先了解 Security Hub 簡化的定價模式與您目前各項服務成本的比較情況,找到潛在的省錢方案,並自信規劃您的安全預算。
AWS Security Hub 免費試用摘要
立即試用 AWS Security Hub,享受為期 30 天的免費試用期,包含基礎方案功能。每個啟用 Security Hub 的區域中的每個 AWS 帳戶皆可享受免費試用,即使您先前使用過 AWS Security Hub CSPM 或 Amazon Inspector 的免費試用版,亦不受影響。Security Hub 免費試用版中不包含附加功能 (由 Amazon GuardDuty 提供支援的威脅分析方案和 Amazon Inspector 提供支援的 AWS Lambda 程式碼掃描),但如果您以前未使用過這些服務,仍可免費試用個別服務。為協助提前規劃,請在啟用服務之前使用 Security Hub 成本估算器計算預期成本。在免費試用期間,可以透過 AWS 帳單主控台監控使用量,根據免費試用期間的實際使用量估算持續費用。
優勢
客戶為何選擇 Security Hub 方案
Security Hub 基礎方案是您啟用 Security Hub 時預設取得的保障層級,必須訂閱才能使用 Security Hub 的所有功能。其提供安全防護功能,包括風險與暴露分析、漏洞管理、安全態勢管理以及安全事件應對管理。
透過統一資源定價實現簡化的漏洞管理,涵蓋 EC2 執行個體掃描 (包含以代理程式為基礎與無代理程式兩種模式)、無限次 CIS 基準評估、可預測的 ECR 容器映像監控成本,以及固定月費制的 Lambda 函式監控費率。此次合併在提供全面漏洞防護的同時,亦可消除管理多個定價模式的複雜性。
在從以使用量為基礎的定價模式轉變為以資源為基礎的定價模式的過程中獲益,在取得更全面的漏洞關聯能力、無限次安全檢查與調查結果擷取,以及強化符合產業標準之合規性監控的同時,還能自動關聯 Amazon Inspector 漏洞資料。在擴展安全能力的同時,提升成本可預測性。
由 Amazon GuardDuty 提供支援的威脅分析方案可作為附加功能,透過識別作用中威脅來增強您的基礎方案。啟用威脅分析方案後,您可以從 Security Hub 合併定價模式中受益,同時透過自動將威脅偵測調查結果與基礎方案中的漏洞和合規資料關聯,獲得增強的風險脈絡。
除合併成本之外,Security Hub 基礎方案透過自動將漏洞調查結果與合規檢查關聯,並藉由風險優先級排序降低警示雜訊,徹底革新安全營運模式。安全團隊可以專注於整合威脅與漏洞嚴重性、網路風險及錯誤設定缺口的脈絡化風險評估,同時受益於集中化營運、自動化修復工作流程,並能隨安全需求演進靈活擴展至更全面的防護範圍。
定價詳細資訊
-
Security Hub 基礎方案
-
附加功能
-
Security Hub 基礎方案
-
Security Hub 基礎方案:
Security Hub 基礎方案依據每月監控的 AWS 資源平均數計費,其定價以 Amazon EC2 執行個體為基準
定價根據每月監控資源的時間按比例計算。有關定價計算方式的詳細資訊,請參閱我們的常見問答集。
儘管所有受支援的資源都會接受安全風險監控,但按資源定價的模式僅適用於四種主要資源類型:EC2 執行個體、ECR 容器映像、Lambda 函式,以及 IAM 使用者與角色。包括其他受監控的所有資源。
定價以 Amazon EC2 執行個體為基準,1 個執行個體為 1 個資源單位,AWS Lambda 函式為 1/12 個資源單位 (12 個函式 = 1 個資源單位),Amazon ECR 容器映像為 1/18 個資源單位 (18 個映像 = 1 個資源單位),AWS IAM 使用者與角色則為 1/125 個資源單位 (125 個 IAM 資源 = 1 個資源單位)。
-
附加功能
-
增強基礎方案的附加功能:
注意:啟用 Security Hub 後,所包含功能的計費將透過 Security Hub 簡化的定價模式合併。Security Hub 方案中不包含的所有其他 AWS 安全服務功能 (包括剩餘的 Amazon GuardDuty 和 Amazon Inspector 功能),將保留其原始服務計費方式。
定價範例
範例 1:中小型組織
您的 AWS 部署中有一個 AWS 區域「美國東部 (維吉尼亞北部)」和一個帳戶。一個月內,您的 Security Hub 環境需分析 200 萬個 CloudTrail 管理事件、800 GB 的資料事件、網路活動及其他日誌,並監控 500 個 EC2 執行個體的安全風險。
每月成本計算:
Security Hub 基礎方案
EC2 執行個體:500 × 1 個單位 = 500 個單位
Security Hub 基礎方案總成本:500 個資源單位 × 每個資源 3.75 USD = 1,875.00 USD
威脅分析方案
CloudTrail 管理事件:2 百萬個事件 × 每百萬個事件 4.00 USD = 8.00 USD
資料事件、網路活動和其他日誌:800 GB × 每 GB 0.55 USD (首 1,000 GB 階層) = 440.00 USD
威脅分析總成本:8 USD + 440 USD = 448.00 USD
每月總成本 = 2,323.00 USD
範例 2:大型企業
您擁有一個大型企業級的 AWS 部署環境,其中包含多種不同類型的資源。一個月內,您的 Security Hub 環境需要處理 1 億個 CloudTrail 管理事件、500 TB 來自日誌與事件的安全資料,並監控多樣化的 AWS 資源:1,000 個 EC2 執行個體、1,800 個容器映像、1,200 個 Lambda 函式,以及 120 個 IAM 使用者。
每月成本計算:
Security Hub 基礎方案
EC2 執行個體:1,000 × 1 個單位 = 1,000 個單位
ECR 容器映像:1,800 × 1/18 單位 = 100 個單位
Lambda 函式:1,200 × 1/12 單位 = 100 個單位
IAM 使用者與角色:1,250 × 1/125 個單位 = 10 個單位
資源單位總計:1,000 + 100 + 100 + 10 = 1,210 個單位
Security Hub 基礎方案總成本:= 1,210 個資源單位 × 每個資源 3.75 USD = 4,537.50 USD
威脅分析方案
CloudTrail 管理事件:1 億個事件 × 每億個事件 400 USD = 400.00 USD 資料事件、網絡活動及其他日誌:
對於 500 TB (總計 512,000 GB),計算方式如下:
首 1,000 GB × 每 GB 0.55 USD = 550,00 USD
接下來的 9,000 GB × 每 GB 0.25 USD = 2,250.00 USD
剩餘的 502,000 GB × 每 GB 0.10 USD = 50,200.00 USD
總額 = 53,000.00 USD
威脅分析總成本:400 USD + 53,000 USD = 53,400.00 USD
每月總成本 = 57,937.50 USD
頁面主題
常見問答集
全部開啟Security Hub 提供為期 30 天的免費試用,包含 Security Hub 基礎方案的功能,採用以資源為基礎的定價模式。每個區域內的每個 AWS 帳戶皆可獲得免費試用資格,即使您先前曾使用過 AWS Security Hub CSPM 或 Amazon Inspector 的免費試用版本,仍可繼續享有此資格。Security Hub 免費試用中不包含 Amazon GuardDuty 的威脅分析方案以及由 Amazon Inspector 提供支援的 AWS Lambda 程式碼掃描等附加功能。免費試用結束後,費用根據您監控的 AWS 資源 (EC2 執行個體、容器映像、Lambda 函式、IAM 使用者/角色) 以及威脅分析方案的使用量 (CloudTrail 事件與日誌資料量) 計算得出。
Security Hub 預設提供基礎方案,可根據需要新增威脅分析方案或 Lambda 程式碼掃描功能。基礎方案包括風險分析、漏洞管理、安全態勢管理和安全事件應對管理。威脅分析方案新增由 Amazon GuardDuty 提供支援的 AWS 帳戶活動、VPC 流量日誌、DNS 日誌及其他安全資料監控。如需完整的功能描述,請參閱方案詳細資訊部分。
Security Hub 基礎方案可在四個關鍵領域提供安全防護:
- 風險與暴露分析 - 透過關聯分析環境中的各項調查結果,自動識別並優先處理最關鍵的安全問題,協助您聚焦於最重要的事項,並更快應對威脅。
- 漏洞管理 - 持續掃描您的 EC2 執行個體、容器映像及 Lambda 函式,偵測軟體漏洞與組態弱點,讓您能在安全漏洞遭利用前及時將其修復。
- 安全態勢管理 - 評估您的 AWS 環境是否符合產業安全標準與最佳實務,以識別錯誤設定,協助您維持合規性並減小受攻擊面。
- 安全事件應對管理 - 提供集中化的安全調查結果檢視,搭配自動化工作流程,可協助您的團隊更有效率地調查並修復整個 AWS 環境中的問題。
這些功能可共同協助您降低安全風險、提升團隊工作效率,並在整個雲端基礎結構中維持強健的安全態勢。
會,Security Hub 會監控您環境中的所有相關 AWS 資源,以提供更全面的安全防護。基礎方案的定價基於四種資源類型:EC2 執行個體、ECR 容器映像、Lambda 函式,以及 IAM 使用者與角色。這個簡化的定價模式可助力更輕鬆地估算和管理 Security Hub 成本。
否,不需要同時訂閱這兩個方案。Security Hub 基礎方案是您啟用 Security Hub 時預設取得的保障層級,必須訂閱才能使用 Security Hub 的所有功能。其提供安全防護功能,包括風險與暴露分析、漏洞管理、安全態勢管理以及安全事件應對管理。威脅分析方案是一項附加功能,透過 Amazon GuardDuty 提供的威脅監控功能,強化您的基礎方案。
威脅分析方案無法獨立使用,必須以 Security Hub 基礎方案作為其基礎。雖然大多數基礎方案功能皆可獨立運作,但針對 Amazon EC2 的惡意軟體防護屬特殊情況:此功能雖包含在基礎方案中,卻僅在威脅分析方案同時啟用時方能運作,因其仰賴 GuardDuty 威脅偵測功能先識別可疑活動,再掃描惡意軟體。
您可先從基礎方案開始,隨著安全監控需求的演進,後續再新增威脅分析功能。
AWS 提供成本估算工具,可協助您在啟用 Security Hub 服務之前估算其成本。如需詳細資訊,請參閱 Security Hub 成本估算器頁面。
Security Hub 基礎方案將 Amazon Inspector 和 AWS Security Hub CSPM 功能合併到一個可預測的、以資源為基礎的定價模式中,在簡化成本的同時增強安全營運。
現有 Amazon Inspector 客戶可透過統一資源定價實現簡化的漏洞管理,涵蓋 EC2 執行個體掃描 (包含以代理程式為基礎與無代理程式兩種模式)、無限次 CIS 基準評估、可預測的 ECR 容器映像監控成本,以及固定月費制的 Lambda 函式監控費率。此次合併在提供全面漏洞防護的同時,亦可消除管理多個定價模式的複雜性。
從以使用量為基礎的定價模式轉變為以資源為基礎的定價模式時,Security Hub CSPM 客戶可獲益,在取得更全面的漏洞關聯能力、無限次安全檢查與調查結果擷取,以及強化符合產業標準之合規性監控的同時,還能自動關聯 Amazon Inspector 漏洞資料。在擴展安全能力的同時,提升成本可預測性。
除合併成本之外,Security Hub 基礎方案透過自動將漏洞調查結果與合規性檢查關聯,並藉由風險優先級排序降低警示雜訊,為所有客戶徹底革新安全營運模式。安全團隊可專注於結合漏洞嚴重性、網路風險與合規性缺口的脈絡化風險評估,同時受益於集中化營運、自動化修復工作流程,並能隨安全需求的不斷變化,靈活擴展至更全面的威脅偵測方案。
現有安全服務的計費機制將無縫轉換至 Security Hub 簡化的定價模式,無需採取任何動作。您將透過 Security Hub 收到合併費用,而非針對 Security Hub 方案所包含功能分別開立的服務帳單。
Security Hub 為 AWS Organizations 提供帳戶層級的靈活性。當您在帳戶中啟用 Security Hub 時,該帳戶將獲得涵蓋所有安全服務的簡化定價方案。若未在帳戶中啟用 Security Hub,該帳戶將針對各項安全服務採用獨立的服務定價。這意味著在單一 AWS Organization 內,部分帳戶可採用 Security Hub 簡化的定價模式,其他帳戶則繼續採用個別服務定價模式,具體依該特定帳戶是否啟用 Security Hub,於帳戶層級決定。
EC2 執行個體:EC2 執行個體的平均數 = (作用中執行個體總時數/一個月的小時數,即 720 小時)。例如,在一個月內,您有 3 個執行個體處於作用中狀態,每個執行個體的作用時長各不相同:第一個執行個體 360 小時,第二個 350 小時,第三個 10 小時,總計作用時長 720 小時。因此,當月被掃描的執行個體總時數 720 小時/當月 720 小時 = 平均 1 個 EC2 執行個體。
容器映像:被掃描的容器映像數量 = 每月推送至 Amazon ECR 的容器映像數量,加上當月根據 Amazon Inspector 重新掃描設定而需重新掃描的容器映像數量。Amazon Inspector 將對推送至 Amazon ECR 的每個容器映像執行初始掃描。此外,Amazon Inspector 會根據您設定的映像推送日期、映像提取日期及映像最後使用日期等時間範圍,重新掃描容器映像以偵測新漏洞。範例:您在 Amazon ECR 儲存庫中有 5,000 個映像,並在一個月內將額外的 500 個映像推送至 Amazon ECR。您已根據最後使用日期設定為期 14 天的映像監控。該月內,共有 75 個來自儲存庫的容器映像部署至 Amazon ECS 或 Amazon EKS 叢集。Amazon Inspector 根據您設定的監控時段內,每個映像實際被監控的時間長度進行監控與計費,這包括正被使用的 75 個作用中映像,以及各自對應的監控期內新推送的 500 個映像。請注意,費用僅涵蓋每個映像實際被監控的時間 (預設最長為 14 天),未必涵蓋整個月份,且此監控期可根據您的需求自訂。
Lambda 函式:符合條件的 Lambda 函式基於標記為 $LATEST,且在過去 90 天內被調用或更新的函式。Lambda 函式的平均數 = (Security Hub 監控 Lambda 函式的總時數)/(一個月的小時數,即 720 小時)。Security Hub 監控小時數表示 Lambda 函式被部署至其被刪除的時間。
範例:您有 3 個已部署的 Lambda 函式,在一個月內,Security Hub 對它們進行不同時長的監控:第一個函式被監控 720 小時,第二個被監控 350 小時,第三個被監控 10 小時,對已部署的 Lambda 函式總計進行 1,080 小時的掃描。因此,當月被掃描的 Lambda 函式總計 1,080 小時/當月 720 小時 = 平均 1.5 個 Lambda 函式。
IAM 使用者與角色:IAM 使用者與角色的平均數 = 當月存在的 IAM 使用者或角色數量,以日按比例計算。
未明確列於 Security Hub 方案中的功能,將繼續透過其原始服務計費。例如,您只會收到針對威脅分析方案未涵蓋之任何剩餘 GuardDuty 功能的 GuardDuty 帳單。
可以,即使未啟用 Security Hub,Amazon Inspector、GuardDuty、Security Hub CSPM 等個別服務,仍可照常使用,並維持其標準定價。