Tarification d’AWS Security Hub
Donne la priorité à vos problèmes de sécurité critiques et vous aide à y répondre à l’échelle
Vue d’ensemble des tarifs
AWS Security Hub donne la priorité à vos problèmes de sécurité critiques et unifie vos opérations de sécurité afin de vous aider à réagir à grande échelle. Il détecte les problèmes critiques en corrélant et en enrichissant les signaux provenant de plusieurs services de sécurité AWS, par exemple Amazon GuardDuty pour la détection des menaces et Amazon Inspector pour la gestion des vulnérabilités. Cela vous permet de mettre en évidence et de hiérarchiser les risques dans votre environnement. Security Hub transforme les signaux en informations exploitables qui réduisent les risques de sécurité, améliorent la productivité de votre équipe et protègent votre environnement.
Le plan Essentials est le niveau de couverture par défaut inclus avec Security Hub. Il comprend l’analytique des risques, ainsi que la gestion des vulnérabilités, de la posture de sécurité et des réponses en matière de sécurité. Une couverture supplémentaire est disponible via des fonctionnalités avancées.
Informations de tarification
-
Plan Essentials
-
Fonctionnalités supplémentaires
-
Plan Extended
-
Plan Essentials
-
Le plan Essentials fournit des analyses des risques, la gestion des vulnérabilités, la gestion de la posture de sécurité et la gestion des réponses de sécurité. Il s’agit du niveau de couverture par défaut inclus avec Security Hub. Les frais liés au plan Essentials sont calculés sur la base de toutes les ressources surveillées, quelles que soient les fonctionnalités que vous utilisez.
Plan Essentials
CapacitéOptimisé parTarification standardPlan Security Hub EssentialsApproche tarifaireAWS Security Hub
Payez séparément pour chaque fonctionnalité de sécurité
Tarification consolidée par ressource (analyses illimitées)
Analytique de l’exposition et des risquesAWS Security Hub
Non disponible
Incluse
Inventaire des ressourcesAWS Security Hub
Non disponible
Incluse
Automatisation des flux de travailAWS Security Hub
Non disponible
Incluse
Règles d’automatisationAWS Security Hub CSPM
Par million d’évaluations de règles
Incluse
Ingestions de résultatsAWS Security Hub CSPM
10 000 premiers gratuits ; plus de 10 000 par événement
Incluse
Gestion de la posture (CSPM)AWS Security Hub CSPM
Par contrôle
Incluse
Analyse des vulnérabilités EC2Amazon Inspector
Par instance
Incluse
Évaluation EC2 CIS BenchmarkAmazon Inspector
Par évaluation et par instance
Incluse
Analyse des vulnérabilités ECRAmazon Inspector
Par image (à la mise en ligne) ;
Par nouvelle analyse (images conservées)Incluse
Analyse des vulnérabilités LambdaAmazon Inspector
Par fonction Lambda
Incluse
La tarification est calculée au prorata en fonction de la durée de surveillance des ressources chaque mois. Pour plus d’informations sur le mode de calcul des prix, consultez les Questions fréquentes (FAQ).
Même si toutes les ressources prises en charge sont surveillées pour détecter les risques de sécurité, la tarification par ressource ne s’applique qu’à quatre types de ressources principaux : les instances EC2, les images de conteneurs ECR, les fonctions Lambda et les utilisateurs/rôles IAM. Toutes les autres ressources surveillées sont incluses.
Dans le cadre de la tarification, une instance Amazon EC2 constitue une unité de ressource, une fonction AWS Lambda un douzième d’unité de ressource (12 fonctions = 1 unité de ressource), une image de conteneur Amazon ECR un dix-huitième de ressource (18 images = 1 unité de ressource) et un utilisateur/rôle AWS IAM un cent-vingt-cinquième de ressource (125 ressources IAM = 1 unité de ressource).
-
Fonctionnalités supplémentaires
-
Les modules complémentaires sont des améliorations facultatives de votre plan Essentials. Chaque module complémentaire est facturé séparément en fonction du coût d’utilisation et nécessite l’activation du plan Essentials.
- L’analyse des menaces optimisée par Amazon GuardDuty détecte les menaces de sécurité potentielles et les activités non autorisées dans votre environnement AWS. Les frais sont calculés en fonction du volume d’événements et de données traités chaque mois.
Analyse des menaces
CapacitéOptimisé parTarification standardAnalyse des menaces AWS Security Hub (nécessite le plan AWS Security Hub Essentials)Analytique des menaces CloudTrailAmazon GuardDuty
Pour un million d’événements
Pour un million d’événements
Menaces dans les journaux VPC et DNSAmazon GuardDuty
Par Go
Par Go
Protection EC2/EBS contre les programmes malveillantsAmazon GuardDuty
Par Go
Incluse
Analytique des menaces S3Amazon GuardDuty
Pour un million d’événements
Par Go
Analytique des menaces EKSAmazon GuardDuty
Pour un million d’événements
Par Go
Analytique des menaces LambdaAmazon GuardDuty
Par Go
Par Go
- L’analyse du code Lambda optimisée par Amazon Inspector identifie les vulnérabilités de sécurité dans le code des fonctions Lambda. Les frais sont calculés en fonction du nombre de fonctions Lambda analysées par mois.
Analyse de code AWS Lambda
CapacitéOptimisé parTarification standardAnalyse du code Lambda (nécessite le forfait Security Hub Essentials)Analyse de code LambdaAmazon Inspector
Par fonction Lambda
Par fonction Lambda
Remarque : Lorsque vous activez Security Hub, la facturation des fonctionnalités incluses est consolidée grâce à la tarification rationalisée de Security Hub. Toutes les autres fonctionnalités des services de sécurité AWS (y compris les fonctionnalités restantes d’Amazon GuardDuty et Amazon Inspector) non incluses dans les formules Security Hub conservent leur facturation de service d’origine.
-
Plan Extended
-
Le plan Extended renforce la sécurité d’entreprise grâce à des solutions partenaires sélectionnées couvrant les points de terminaison, l’identité, l’e-mail, le réseau, les données, les navigateurs, le cloud, l’intelligence artificielle et les opérations de sécurité. Les frais sont calculés en fonction des solutions partenaires spécifiques que vous activez, les tarifs variant selon la catégorie de sécurité et le volume d’utilisation. La tarification à l’usage s’applique sans engagement initial. Sélectionnez une catégorie ci-dessous pour afficher les solutions disponibles et les tarifs.
-
Point de terminaison
-
Service d’identification
-
E-mail
-
Réseau
-
Données
-
Navigateur
-
Cloud
-
Intelligence artificielle
-
Opérations de sécurité
-
Point de terminaison
-
Point de terminaison
Protégez les points de terminaison grâce à une détection et une réponse basées sur l’IA qui alimentent directement Security Hub.
CatégorieSolution partenaire sélectionnéeDimension de tarificationPrixPoint de terminaisonCrowdStrike (Falcon for Endpoint)
Par point de terminaison et par mois
9,75 USD (protection des conteneurs Fargate) ;
13 USD (postes de travail) ; 16,25 USD (serveurs) ;
22,75 USD (protection des hôtes) ; 52 USD (Cluster de conteneurs et nœud)CrowdStrike – Falcon for Endpoint regroupe un antivirus de nouvelle génération, des fonctionnalités de détection et de réponse au niveau des points de terminaison, ainsi que la protection des charges de travail dans le cloud, le tout via un capteur léger unique qui se déploie en quelques minutes. La prévention basée sur l’IA bloque les menaces avant qu’elles ne causent des dommages sur les postes de travail, les serveurs, les machines virtuelles, les conteneurs et les charges de travail sans serveur sur AWS, Azure, OCI et GCP.
-
Service d’identification
-
Service d’identification
Centralisez l’IAM dans toute votre entreprise grâce à l’authentification, à la gestion des accès privilégiés et à la gouvernance.
CatégorieSolution partenaire sélectionnéeDimension de tarificationPrixIdentity Access Management (IAM)Okta (Workforce Identity for AWS)
Par utilisateur par mois
20 USD (10 utilisateurs minimum)
Gestion des accès privilégiés (PAM)Britive (Privilégier la gestion des accès)
Par identité et par mois
26 USD (NHI : 1/10e d’une identité) ;
10 minimum)Gouvernance et administration des identités (IGA)SailPoint (Identity Security Accelerator)
Par identité et par mois
5,65 USD (minimum de 2 500)
Gouvernance et administration des identités (IGA)Opti (AI-Native Identity)
Par identité humaine par mois
4,65 USD (minimum de 2 000 identités humaines ;
Toutes les NHI sont sans frais supplémentaires)Okta – Workforce Identity for AWS : une solution d’identité unifiée qui sécurise les employés, les sous-traitants et les partenaires grâce à l’authentification unique (SSO), à l’authentification multifactorielle (MFA) résistante au phishing et à l’annuaire universel (Universal Directory) servant de source unique de vérité pour les systèmes AD et RH. Comprend l’assistance Silver et cinq flux de travail automatisés.
Britive – Gestion des accès privilégiés (PAM) PAM natif cloud pour les identités humaines, les IA agentiques et les identités non humaines, qui applique une politique de « zéro privilège permanent » grâce à un accès dynamique et éphémère qui se révoque automatiquement une fois les tâches terminées. Aucun logiciel sur les points de terminaison ni aucune modification de l’architecture n’est requis.
SailPoint – Identity Security Accelerator : une solution basée sur l’IA combinant un moteur de gouvernance avec la découverte des applications de bout en bout, la hiérarchisation des risques et l’intégration sans intervention. Mettez des centaines d’applications sous gouvernance en quelques jours, et non en plusieurs mois.
Opti – AI-Native Identity : surveille, analyse et corrige en continu et en temps réel les autorisations excessives pour les identités humaines, non humaines et les agents. Fournit des résultats conformes à l’OCSF directement dans AWS Security Hub, éliminant ainsi les vérifications manuelles des accès.
-
E-mail
-
E-mail
Défendez la surface d’attaque des e-mails grâce à une détection avancée des menaces.
CatégorieSolution partenaire sélectionnéeDimension de tarificationPrixE-mailProofpoint (Collaboration Protection)
Par utilisateur par mois
5,00 USD (750 utilisateurs minimum)
Proofpoint – Collaboration Protection se déploie en moins de 48 heures avec une efficacité de 99,999 %, grâce à la pile de détection des menaces Nexus AI qui combine renseignements sur les menaces, ML, graphes de relations, LLM et vision par ordinateur. Bloque les attaques BEC, les exploits basés sur l’IA, les rançongiciels, les bombardements d’e-mails, le phishing par rappel téléphonique et l’ingénierie sociale avancée.
-
Réseau
-
Réseau
Sécurisez l’accès aux applications privées grâce à une architecture à vérification systématique afin d’atténuer les mouvements latéraux.
CatégorieSolution partenaire sélectionnéeDimension de tarificationPrixRéseauZscaler SSE (Plateforme d’accès privé)
Par poste et par mois
545 USD (forfait de 0 à 50 postes) ;
10,50 USD (de 51 à 100 postes) ;
9,50 USD (de 101 à 1 000 postes) ;
8,25 USD (à partir de 1 001 postes)Zscaler SSE – Architecture réseau à vérification systématique alimentée par l’IA pour l’accès privé, offrant une connectivité directe aux applications privées tout en minimisant la surface d’attaque, en éliminant les mouvements latéraux grâce à une segmentation utilisateur-application alimentée par l’IA, et en protégeant contre les attaques sophistiquées grâce à une inspection intégrée du trafic.
-
Données
-
Données
Identifiez, classez et protégez les données dans l’ensemble de l’environnement grâce à une gestion automatisée de la posture de sécurité.
CatégorieSolution partenaire sélectionnéeDimension de tarificationPrixDonnéesCyera (DSPM + Datawatcher)
Par To par mois
73 USD (250 à 500 To) ;
65 USD (501 à 1 000 To) ;
53 USD (1 001 To et plus) ;
Minimum requis de 250 To ;
Datawatcher : 12 % du coût totalCyera DSPM + Datawatcher – Détecte et classe de manière autonome les données sensibles sur les environnements IaaS et DBaaS, établit des corrélations entre les risques d’accès et d’exposition, et met en œuvre des mesures correctives prioritaires à grande échelle. Le module complémentaire Datawatcher, disponible en option, offre une analyse des risques réalisée par des experts ainsi qu’une assistance continue.
-
Navigateur
-
-
Cloud
-
Cloud
Renforcez votre posture de sécurité grâce à une protection basée sur l’exécution sur l’ensemble de votre infrastructure cloud.
CatégorieSolution partenaire sélectionnéeDimension de tarificationPrixCloudUpwind (Sécurité dans le cloud)
Par ressource et par mois
3,75 USD
Upwind Sécurité dans le cloud – Protection des applications natives cloud tirant parti du contexte d’exécution pour la gestion de la posture, la détection et la réponse, la gestion des vulnérabilités, la sécurité des données et la sécurité IA. Protection en temps réel sur AWS, d’autres clouds et sur site.
-
Intelligence artificielle
-
Intelligence artificielle
Sécurisez les modèles IA, les pipelines et les environnements d’exécution grâce à une protection spécialement conçue pour l’IA et les agents.
CatégorieSolution partenaire sélectionnéeDimension de tarificationPrixIntelligence artificielleNoma (AI-SPM + Discovery) (Noma Red Teaming) (Noma Runtime Protection)
Par ressource et par mois ; par test/mois, en millions de jetons/mois
130 USD par ressource/mois (125 au minimum) ;
650 USD par test/mois (minimum de 167) ;
8 USD par million de jetons/mois (hybride) | (minimum de 3 500) ;
16 USD par million de jetons/mois (hébergé) | (minimum de 1 750)Intelligence artificielleOligo (AI Runtime Security)
Par hôte et par mois
46 USD (minimum de 100 hôtes)
Noma AI-SPM + Discovery, Red Teaming, Runtime Protection – Sécurité de l’IA spécialement conçue pour l’IA et les agents d’IA dans les applications développées en interne, les agents SaaS et les environnements de développement. Trois fonctionnalités principales : la gestion de la posture pour découvrir les ressources, le red teaming pour tester la résistance aux attaques adverses, et la protection en exécution pour bloquer les menaces telles que l’injection d’invites.
Oligo AI Runtime Security – Capteur unifié combinant la gestion de la posture de sécurité IA et la détection et la réponse IA pour une surveillance continue du comportement des modèles, des risques liés à la chaîne d’approvisionnement et des anomalies d’exécution. Surveille les appels des outils d’agent en temps réel pour détecter les manipulations malveillantes et les hallucinations.
-
Opérations de sécurité
-
Opérations de sécurité
Accélérez la détection et la réponse aux menaces grâce à un SIEM de niveau entreprise et à une réponse par agents.
CatégorieSolution partenaire sélectionnéeDimension de tarificationPrixOpérations de sécuritéSplunk (Enterprise Security for Security Hub)
Par Splunk Virtual Compute (SVC) par mois. Stockage mensuel par blocs de 500 Go
10 à 49 SVC : 1 600 USD par SVC et par mois ;
50 à 99 SVC : 1 025 USD par SVC et par mois ;
100 à 199 SVC : 845 USD par SVC et par mois ;
200 à 499 SVC : 730 USD par SVC et par mois ;
500 SVC et plus : 525 USD par SVC et par mois ;Stockage par blocs de 500 Go : 110 USD par bloc de 500 Go et par mois
Informations supplémentaires sur les tarifs :
- Remarque : nécessite un minimum de achat de 10 SVC.
- Les tarifs Splunk varient selon la région.
Vous trouverez ci-dessous les majorations spécifiques à chaque région :
AMER 1,0x | EMEA 1,15x | ANZ 1,25x | APAC 1,5xOpérations de sécurité7AI (Agentic Security Platform)
Par alerte analysée par mois
20 USD
Splunk – Enterprise Security Essentials : associe les informations de haute précision d’AWS Security Hub à la surveillance et à l’analyse de sécurité de Splunk, transformant ainsi les résultats d’AWS en résultats Splunk natifs en temps quasi réel. Enrichit les résultats grâce à un moteur de corrélation propriétaire, à l’IA et aux renseignements sur les menaces afin de réduire considérablement le délai moyen de détection.
7AI – Agentic Security Operations : opérations de sécurité autonomes grâce à des agents d’IA dynamiques qui mènent des enquêtes complètes en quelques minutes avec un raisonnement de niveau expert. Optimise les règles de détection pour réduire les faux positifs et recherche de manière proactive les menaces dans le cloud, les identités, les points de terminaison, le réseau et les sources DLP.
-
Estimez vos coûts avant de commencer
Avant d’activer Security Hub, utilisez l’estimateur des coûts de Security Hub pour comprendre vos dépenses totales estimées pour l’ensemble de votre organisation. Cet outil analyse vos ressources AWS réelles et l’utilisation actuelle des services de sécurité afin de fournir des prévisions de coûts précises pour l’ensemble de vos comptes et régions. Cet estimateur n’inclut pas les tarifs du plan Extended. Comparez la tarification rationalisée de Security Hub à vos coûts de service individuels actuels, identifiez les économies potentielles et planifiez votre budget de sécurité en toute confiance, le tout avant de commencer votre essai gratuit.
Résumé de l’essai gratuit d’AWS Security Hub
Testez gratuitement AWS Security Hub dans le cadre d’un essai de 30 jours qui inclut les fonctionnalités de la formule de base. Chaque compte AWS de chaque région où Security Hub est activé bénéficie d’un essai gratuit, même si vous avez déjà utilisé les essais gratuits d’AWS Security Hub CSPM ou d’Amazon Inspector. Les fonctionnalités complémentaires (analyse des menaces optimisée par Amazon GuardDuty et analyse de code AWS Lambda optimisée par Amazon Inspector) ainsi que le plan Extended ne sont pas inclus dans l’essai gratuit de Security Hub, bien que les essais gratuits des services individuels restent valables si vous ne les avez pas encore utilisés. Pour vous aider à planifier à l’avance, utilisez l’estimateur de coûts Security Hub pour calculer les coûts prévus avant d’activer le service. Vous pouvez surveiller votre utilisation via la console de facturation AWS afin d’estimer vos coûts récurrents sur la base de l’utilisation réelle pendant l’essai gratuit.
Avantages
La formule Security Hub de base est le niveau de couverture par défaut dont vous bénéficiez lorsque vous activez Security Hub et est requise pour toutes les fonctionnalités de Security Hub. Elle fournit des fonctionnalités de sécurité, notamment l’analytique de l’exposition au risque, ainsi que la gestion des vulnérabilités, de la posture de sécurité et des réponses en matière de sécurité.
Bénéficiez d’une gestion rationalisée des vulnérabilités grâce à une tarification unifiée des ressources pour les analyses des instances EC2 (avec ou sans agent), à des évaluations CIS Benchmark illimitées, à des coûts de surveillance des images de conteneurs ECR prévisibles et à des taux mensuels fixes de surveillance des fonctions Lambda. Cette consolidation élimine la complexité liée à la gestion de plusieurs modèles de tarification tout en offrant une couverture plus complète des vulnérabilités.
Bénéficiez de la transition d’une tarification basée sur l’utilisation à une tarification basée sur les ressources, tout en profitant de fonctionnalités de corrélation des vulnérabilités plus complètes, de contrôles de sécurité illimités et d’ingestions de résultats, ainsi que d’une surveillance de conformité améliorée par rapport aux normes du secteur grâce à une corrélation automatique avec les données de vulnérabilité d’Amazon Inspector. Cette évolution assure la prévisibilité des coûts tout en élargissant les capacités de sécurité.
L’analyse des menaces optimisée par Amazon GuardDuty est disponible sous forme de module complémentaire qui enrichit votre plan Essentials en identifiant les menaces actives. Lorsque vous activez la formule d’analytique des menaces, vous bénéficiez du modèle tarifaire consolidé de Security Hub tout en profitant d’un contexte de risque amélioré grâce à la corrélation automatique des résultats de détection des menaces avec les données de vulnérabilité et de conformité de la formule de base.
Le plan Extended ajoute des solutions partenaires sélectionnées dans neuf catégories de sécurité : point de terminaison, identités, e-mail, réseau, données, navigateur, cloud, intelligence artificielle et opérations de sécurité. Simplifiez vos achats grâce à une facture unique, une assistance consolidée et une tarification à l’usage sans engagement initial. Activez les solutions directement depuis la console AWS Security Hub, commencez par ce dont vous avez besoin et étendez la couverture à mesure que vos besoins en matière de sécurité évoluent, en étendant la protection au-delà d’AWS à vos environnements multicloud et sur site.
Au-delà de la consolidation des coûts, la formule de base de Security Hub transforme les opérations de sécurité en corrélant automatiquement les résultats en matière de vulnérabilités avec les contrôles de conformité, réduisant ainsi le bruit des alertes grâce à la hiérarchisation de l’exposition au risque. Les équipes de sécurité peuvent se concentrer sur les risques contextualisés qui combinent la gravité des menaces et des vulnérabilités avec l’exposition du réseau et les erreurs de configuration, tout en bénéficiant d’opérations centralisées, de flux de travail de correction automatisés et de la flexibilité nécessaire pour développer une couverture plus complète à mesure que les besoins de sécurité évoluent.
Exemples de tarification
Exemple 1 : PME
Vous avez une seule Région AWS, USA Est (Virginie du Nord), et un seul compte dans votre déploiement AWS. En un mois, votre environnement Security Hub analyse 2 millions d’événements de gestion CloudTrail, 800 Go d’événements de données, l’activité du réseau et d’autres journaux, et surveille 500 instances EC2 pour détecter les risques de sécurité.
Calcul du coût mensuel :
Formule Security Hub de base
Instances EC2 : 500 × 1 unité = 500 unités
Total de la formule Security Hub de base : 500 unités de ressources × 3,75 USD par ressource = 1 875 USD
Analyse des menaces
Événements de gestion CloudTrail : 2 millions d’événements à 4 USD par million d’événements = 8 USD
Événements de données, activité réseau et autres journaux : 800 Go à 0,55 USD par Go (niveau des premiers 1 000 Go) = 440,00 USD
Total de l’analytique des menaces : 8 USD + 440 USD = 448 USD
Total des frais mensuels = 2 323,00 USD
Exemple 2 : grande entreprise
Vous disposez d’un déploiement AWS dans une grande entreprise avec une combinaison de différents types de ressources. En un mois, votre environnement Security Hub traite 100 millions d’événements de gestion CloudTrail, 500 To de données de sécurité provenant de journaux et d’événements, et surveille un ensemble diversifié de ressources AWS : 1 000 instances EC2, 1 800 images de conteneurs, 1 200 fonctions Lambda et 120 utilisateurs IAM.
Calcul du coût mensuel :
Formule Security Hub de base
Instances EC2 : 1 000 × 1 unité = 1 000 unités
Images de conteneurs ECR : 1 800 × 1/18 unité = 100 unités
Fonctions Lambda : 1 200 × 1/12 unité = 100 unités
Utilisateurs et rôles IAM : 1 250 × 1/125 unité = 10 unités
Nombre total d’unités de ressources : 1 000 + 100 + 100 + 10 = 1 210 unités
Total de la formule Security Hub de base : 1 210 unités de ressources × 3,75 USD par ressource = 4 537,50 USD
Analyse des menaces
Événements de gestion CloudTrail : 100 millions d’événements à 4 USD par million d’événements = 400 USD Événements liés aux données, activité du réseau et autres journaux :
Pour 500 To (512 000 Go au total), le calcul est le suivant :
Premiers 1 000 Go à 0,55 USD par Go = 550 USD
9 000 Go suivants à 0,25 USD par Go = 2 250 USD
et les 502 000 Go restants à 0,10 USD par Go = 50 200 USD
Total = 53 000,00 USD
Total de l’analytique des menaces : 400 USD + 53 000 USD = 53 400 USD
Total des frais mensuels = 57 937,50 USD
Ressources de tarification
Questions fréquentes (FAQ)
Ouvrir toutSecurity Hub propose un essai gratuit de 30 jours qui inclut les fonctionnalités de la formule Security Hub de base, qui utilise une tarification basée sur les ressources. Chaque compte AWS de chaque région bénéficie d’un essai gratuit, et vous restez éligible même si vous avez déjà utilisé les essais gratuits d’AWS Security Hub CSPM ou d’Amazon Inspector. Les modules complémentaires, notamment l’analyse des menaces par Amazon GuardDuty et l’analyse de code AWS Lambda à technologie Amazon Inspector, ainsi que le plan Extended, ne sont pas incluses dans l’essai gratuit de AWS Security Hub. Après l’essai gratuit, les coûts sont calculés en fonction des ressources AWS que vous surveillez (instances EC2, images de conteneurs, fonctions Lambda, utilisateurs/rôles IAM) et de l’utilisation de l’analyse des menaces (événements CloudTrail et volume de données de journaux).
Security Hub propose le plan Essentials par défaut, avec la possibilité d’ajouter les modules complémentaires Threat Analytics ou d’analyse de code Lambda selon vos besoins. Le plan Essentials comprend l’analyse des risques, la gestion des vulnérabilités, la gestion de la posture de sécurité et la gestion des interventions de sécurité. Threat Analytics ajoute une surveillance, optimisée par Amazon GuardDuty, de l’activité des comptes AWS, des journaux de flux VPC, des journaux DNS et d’autres données de sécurité. Le plan Extended renforce la sécurité d’entreprise grâce à des solutions partenaires sélectionnées couvrant les points de terminaison, l’identité, l’e-mail, le réseau, les données, les navigateurs, le cloud, l’intelligence artificielle et les opérations de sécurité. Consultez la section Détails du plan pour obtenir une description complète des fonctionnalités.
- Analytique de l’exposition et des risques : identifie et hiérarchise automatiquement vos problèmes de sécurité les plus critiques en corrélant les résultats obtenus dans l’ensemble de votre environnement, ce qui vous permet de vous concentrer sur l’essentiel et de réagir plus rapidement aux menaces.
- Gestion des vulnérabilités : analyse en permanence vos instances EC2, vos images de conteneurs et vos fonctions Lambda pour détecter les vulnérabilités logicielles et les faiblesses de configuration, ce qui vous permet de corriger les failles de sécurité avant qu’elles ne soient exploitées.
- Gestion de la posture de sécurité : évalue votre environnement AWS par rapport aux normes de sécurité et aux bonnes pratiques du secteur afin d’identifier les erreurs de configuration, ce qui vous permet de maintenir la conformité et de réduire votre surface d’attaque.
- Gestion des réponses de sécurité : fournit une vue centralisée de vos résultats de sécurité grâce à des flux de travail automatisés, permettant à votre équipe d’étudier et de résoudre les problèmes plus efficacement dans l’ensemble de votre environnement AWS.
La formule Security Hub de base fournit une protection dans quatre domaines clés :
Ensemble, ces fonctionnalités vous aident à réduire les risques de sécurité, à améliorer la productivité de votre équipe et à maintenir une posture de sécurité robuste sur l’ensemble de votre infrastructure cloud.
Oui, Security Hub surveille toutes les ressources AWS pertinentes de votre environnement afin de fournir une couverture de sécurité plus complète. La tarification de la formule de base est fondée sur quatre types de ressources : les instances EC2, les images de conteneurs ECR, les fonctions Lambda et les utilisateurs et rôles IAM. Ce modèle de tarification simplifié facilite l’estimation et la gestion de vos coûts Security Hub.
Non, vous n’avez pas besoin des deux formules. La formule Security Hub de base est le niveau de couverture par défaut dont vous bénéficiez lorsque vous activez Security Hub et est requise pour toutes les fonctionnalités de Security Hub. Elle fournit des fonctionnalités de sécurité, notamment l’analytique de l’exposition au risque, ainsi que la gestion des vulnérabilités, de la posture de sécurité et des réponses en matière de sécurité. La formule d’analytique des menaces est un module complémentaire qui enrichit la formule de base grâce à des fonctionnalités de surveillance des menaces optimisées par Amazon GuardDuty.
Cette formule ne peut pas être utilisée seule : elle a besoin de la formule Security Hub de base comme socle. Bien que la plupart des fonctionnalités de la formule de base fonctionnent indépendamment, la protection contre les programmes malveillants pour Amazon EC2 constitue un cas particulier : elle est incluse dans la formule de base, mais ne fonctionne que lorsque la formule d’analytique des menaces est également active, car elle repose sur la détection des menaces de GuardDuty pour identifier les activités suspectes avant de rechercher des logiciels malveillants.
Vous pouvez commencer avec la formule de base et ajouter les fonctionnalités d’analytique des menaces ultérieurement à mesure que vos besoins en matière de surveillance de la sécurité évoluent.
AWS fournit un outil d’estimation des coûts pour vous aider à estimer les coûts de Security Hub avant d’activer le service. Cet estimateur couvre le plan Essentials et les modules complémentaires (Threat Analytics et analyse de code Lambda), mais n’inclut pas les tarifs du plan Extended. Consultez la page Security Hub Cost Estimator page pour plus de détails.
La formule Security Hub de base combine les fonctionnalités d’Amazon Inspector et d’AWS Security Hub CSPM dans un modèle de tarification unique et prévisible basé sur les ressources qui simplifie les coûts tout en améliorant les opérations de sécurité.
Les clients existants d’Amazon Inspector bénéficient d’une gestion rationalisée des vulnérabilités grâce à une tarification unifiée des ressources pour les analyses des instances EC2 (avec ou sans agent), à des évaluations CIS Benchmark illimitées, à des coûts de surveillance des images de conteneurs ECR prévisibles et à des taux mensuels fixes de surveillance des fonctions Lambda. Ce regroupement élimine la complexité liée à la gestion de plusieurs modèles de tarification tout en fournissant une couverture complète des vulnérabilités.
Les clients de Security Hub CSPM bénéficient de la transition d’une tarification basée sur l’utilisation à une tarification basée sur les ressources, tout en profitant de fonctionnalités de corrélation des vulnérabilités plus complètes, de contrôles de sécurité illimités et d’ingestions de résultats, ainsi que d’une surveillance de conformité améliorée par rapport aux normes du secteur grâce à une corrélation automatique avec les données de vulnérabilité d’Amazon Inspector. Cette évolution assure la prévisibilité des coûts tout en élargissant les capacités de sécurité.
Au-delà de la consolidation des coûts, la formule de base de Security Hub transforme les opérations de sécurité de tous les clients en corrélant automatiquement les résultats en matière de vulnérabilités avec les contrôles de conformité, réduisant ainsi le bruit des alertes grâce à la hiérarchisation de l’exposition au risque. Les équipes de sécurité peuvent se concentrer sur les risques contextualisés qui combinent la gravité des vulnérabilités avec l’exposition du réseau et les lacunes de conformité, tout en bénéficiant d’opérations centralisées, de flux de travail de correction automatisés et de la flexibilité nécessaire pour développer une détection des menaces plus complète à mesure que les besoins de sécurité évoluent.
La facturation existante de services de sécurité passe sans problème à la tarification rationalisée de Security Hub, sans aucune action requise. Vous devrez régler des frais consolidés dans le cadre de Security Hub au lieu de factures de service distinctes pour les fonctionnalités incluses dans les formules Security Hub.
Security Hub offre une flexibilité au niveau des comptes au sein d’AWS Organizations. Lorsque vous activez Security Hub dans un compte, celui-ci bénéficie d’une tarification rationalisée pour tous les services de sécurité. Lorsque vous n’activez pas Security Hub dans un compte, celui-ci bénéficie d’une tarification de service individuelle pour chaque service de sécurité. Cela signifie qu’au sein d’une même organisation AWS, certains comptes peuvent bénéficier du modèle de tarification rationalisé de Security Hub, tandis que d’autres continuent à utiliser la tarification de services individuels. Cela est déterminé au niveau du compte spécifique en fonction de l’activation ou non de Security Hub sur celui-ci.
Instances EC2 : nombre moyen d’instances EC2 = (total d’heures d’instances actives/nombre d’heures dans un mois, c’est-à-dire 720 heures). Par exemple, vous avez 3 instances qui étaient actives pour différentes durées pendant un mois : la première pendant 360 heures, la deuxième pendant 350 heures et la troisième pendant 10 heures, pour un total de 720 heures d’instances actives. Par conséquent, total de 720 heures d’instances analysées ce mois-là / 720 heures dans le mois = 1 instance EC2 en moyenne.
Images de conteneurs : nombre d’images de conteneurs analysées = nombre d’images de conteneurs transmises à Amazon ECR chaque mois, plus nombre d’images de conteneurs susceptibles d’être à nouveau analysées au cours du mois, en fonction de la configuration de nouvelle analyse d’Amazon Inspector. Amazon Inspector effectue une analyse initiale de chaque image de conteneur transmise à Amazon ECR. En outre, Amazon Inspector analyse à nouveau les images de conteneurs à la recherche de nouvelles vulnérabilités en fonction des délais que vous configurez pour la date de transmission de l’image, la date d’extraction de l’image et la date de dernière utilisation de l’image. Exemple : vous avez 5 000 images dans votre référentiel Amazon ECR et vous transférez 500 images supplémentaires vers Amazon ECR en un mois. Vous avez configuré la surveillance des images pendant 14 jours en fonction de la dernière date d’utilisation. Au cours du mois, 75 images de conteneurs provenant du référentiel sont déployées sur des clusters Amazon ECS ou Amazon EKS. Amazon Inspector surveille et facture en fonction de la durée réelle de surveillance de chaque image dans la fenêtre que vous avez configurée. Cela inclut à la fois les 75 images actives pendant leur utilisation et les 500 images récemment transmises pendant leurs périodes de surveillance respectives. Veuillez noter que les frais ne s’appliquent que pour la durée pendant laquelle chaque image est réellement surveillée (jusqu’à 14 jours par défaut), pas nécessairement pour le mois entier. Cette période de surveillance peut être personnalisée en fonction de vos besoins.
Fonctions Lambda : les fonctions Lambda éligibles sont basées sur les fonctions marquées $LATEST et ont été invoquées ou mises à jour au cours des 90 derniers jours. Nombre moyen de fonctions Lambda = (nombre total d’heures de couverture de Security Hub pour une fonction Lambda) / (nombre d’heures dans un mois, soit 720 heures). Les heures de couverture de Security Hub représentent le délai entre le déploiement de la fonction Lambda et sa suppression.
Exemple : vous avez 3 fonctions Lambda déployées qui ont été surveillées par Security Hub pendant différentes périodes au cours d’un mois : la première pendant 720 heures, la deuxième pendant 350 heures et la troisième pendant 10 heures, soit un total de 1 080 heures de fonctions Lambda déployées analysées. Par conséquent, total de 1 080 heures de fonctions Lambda analysées ce mois-là / 720 heures dans le mois = 1,5 fonction Lambda en moyenne.
Utilisateurs et rôles IAM : nombre moyen d’utilisateurs et de rôles IAM = nombre d’utilisateurs ou de rôles IAM qui existaient au cours du mois, au prorata quotidien.
Les fonctionnalités qui ne sont pas explicitement répertoriées dans les formules Security Hub continuent d’être facturées via leurs services d’origine. Par exemple, vous ne recevrez une facture GuardDuty que pour les fonctionnalités restantes de GuardDuty qui ne sont pas incluses dans la formule d’analytique des menaces.
Oui, des services individuels tels qu’Amazon Inspector, GuardDuty et Security Hub CSPM restent disponibles à leur tarification standard lorsque Security Hub n’est pas activé.
Le plan Security Hub Extended renforce la sécurité d’entreprise grâce à des solutions partenaires sélectionnées couvrant les points de terminaison, l’identité, l’e-mail, le réseau, les données, les navigateurs, le cloud, l’intelligence artificielle et les opérations de sécurité. Les frais du plan Extended sont calculés en fonction des solutions partenaires spécifiques que vous activez, les tarifs variant selon la catégorie de sécurité et le volume d’utilisation. Contrairement au plan Essentials, dont la tarification est basée sur les ressources AWS, la tarification du plan Extended est spécifique à chaque solution et s’appuie sur des dimensions adaptées à chaque catégorie de sécurité, telles que par utilisateur, par point de terminaison ou par To. Vous pouvez ajouter le plan Extended pour étendre la couverture de Security Hub au-delà des environnements AWS à l’ensemble de votre organisation.