開通隨用隨付服務後,系統會按推薦策略自動開啟防護和掃描。本文說明各功能的預設策略內容及計費規則,便於評估費用並避免預期外支出。
選中開啟一鍵接入策略,賬單會在使用後的第二天自動的發送到您的賬戶中,並單擊立即開通並授權後,全部伺服器綁定防護等級主機全面防護或主機及容器全面防護、全部 Serverless 資產綁定授權、Agentic SOC 推薦的日誌接入策略、雲安全態勢管理和無代理檢測的周期性掃描、應用防護接入策略、惡意檔案檢測 SDK 周期性檢測策略等會預設執行。
Security Center會按照一鍵接入策略開啟防護,綁定相應授權、接入對應的日誌並執行相應的掃描和檢測。
Security Center將按照對應功能的計費規則以自然日為統計周期產生費用賬單。為了避免產生超出預期的費用,開啟該功能前請仔細閱讀並理解一鍵接入策略內容。
一鍵接入策略說明
主機及容器安全
開通並授權後,Security Center主機及容器安全功能會自動為當前阿里雲帳號下的所有伺服器綁定防護等級:主機全面防護或主機及容器全面防護。
運行容器環境的伺服器資產(包括阿里雲 ACK 叢集節點、智能計算靈駿、自建 K8s 叢集接入的伺服器)會自動綁定防護等級主機及容器全面防護,其餘資產自動綁定防護等級主機全面防護。
後續,可以在Security Center控制台概述頁面,通過授權管理入口,更換伺服器綁定的防護等級。具體操作,請參見管理主機及容器安全授權數。
新增主機預設綁定的防護等級為未防護,建議通過授權管理功能設定新增主機自動綁定的防護等級。
Serverless 安全
開通並授權後,Security Center Serverless 安全功能會自動為當前阿里雲帳號下的所有 Serverless 資產綁定授權。
對於託管版與專有版容器叢集 ACK、ACK Serverless 叢集、ACS 叢集建立的 ECI 資產,必須完成安裝並啟動Security Center用戶端,才能使用Security Center提供的 Serverless 安全防護能力。具體操作,請參見1. 為待防護的ECI Pod安裝並啟動Security Center用戶端。
後續,可以Security Center控制台頁面,在授權管理入口管理資產的綁定狀態。具體操作,請參見3.2. 綁定或解除綁定授權資產。
應用防護
開通並授權後,Security Center應用防護功能會自動開通全量防護(僅接入 Java 進程),並按照慢速接入方式進行接入。
後續可在頁簽,調整需接入的伺服器和進程。關於自動全量接入的更多資訊,請參見自動全量接入說明(僅Java進程)。
惡意檔案檢測 SDK
開通並授權Security Center的惡意檔案檢測功能後,系統會自動建立並啟用一條名為 Auto_Create_Config 的預設檢測策略。如需調整,請前往頁簽,單擊策略管理地區的策略配置,查看和修改策略。策略詳情如下:
檢測範圍:阿里雲帳號下的所有 OSS Bucket。
檢測對象:開啟功能後所有新增或更新的檔案。
執行循環:每天一次。
檢測方式:預設不解壓、不解密。
開通服務當天,即會根據以上策略執行一次檢測任務。
雲安全態勢管理
從未開啟過雲安全態勢管理周期性掃描策略的使用者:
掃描頻率:每天一次,具體檢查時間系統會隨機產生。
掃描範圍:
對安全實踐中常見的高危風險配置進行檢查,包括安全防護配置不當、高危連接埠暴露、白名單開放公網、資料公用讀寫、身份認證和特權許可權的風險檢查等,這些檢查可提升雲產品和雲平台的安全性。
可以在Security Center控制台頁面策略管理面板查看預設掃描的檢查項。已選中的檢查項,即為推薦策略的掃描範圍。
開啟過雲安全態勢管理周期性掃描策略的使用者:
掃描頻率:與歷史配置一致。
掃描範圍:歷史配置的檢查項與上述推薦掃描範圍所包含檢查項的並集。
漏洞修複
開通並授權後,即開通漏洞修複隨用隨付功能。
Security Center將配置漏洞自動修複策略,每日 0~6 點,自動修複所有受影響資產的高等級漏洞(包含後續新增主機),修複前會打快照,快照儲存時間 1 天。更多資訊,請參見查看和處理漏洞。
無代理檢測
掃描頻率:每隔 5 天掃描一次。
掃描範圍:所有的機器,同時會預設勾選新增資產預設掃描。
開通服務次日,會根據以上策略執行一次檢測任務。
Agentic SOC
開通並授權後,Security Center Agentic SOC 功能將自動接入下表中的阿里雲產品和日誌源。
如果您的Security Center的版本為免費版或僅採購增值服務版,系統將不會接入Action Trail事件記錄。
|
序號 |
阿里雲產品 |
資料來源名稱 |
標準化規則名稱 |
標準化方式 |
標準化分類/結構 |
支援的安全能力 |
|
1 |
Security Center |
DNS請求日誌 |
主機DNS請求日誌標準化規則 |
掃描查詢 |
主機日誌-進程請求DNS日誌 |
|
|
2 |
基準日誌 |
基準日誌標準化規則 |
掃描查詢 |
安全日誌-主機基準日誌 |
|
|
|
3 |
登入流水日誌 |
登入流水日誌標準化規則 |
掃描查詢 |
登入日誌-主機登入日誌 |
|
|
|
4 |
網路連接日誌 |
網路連接日誌標準化規則 |
掃描查詢 |
主機日誌-進程網路外聯日誌 |
|
|
|
5 |
進程開機記錄 |
進程開機記錄標準化規則 |
掃描查詢 |
主機日誌-進程開機記錄 |
|
|
|
6 |
安全警示日誌 |
安全警示日誌標準化規則 |
即時消費 |
安全日誌-其他警示日誌 |
預定義劇本 |
|
|
7 |
漏洞日誌 |
漏洞日誌標準化規則 |
掃描查詢 |
安全日誌-漏洞日誌 |
|
|
|
8 |
Web Application Firewall |
WAF警示日誌 |
WAF警示日誌標準化規則 |
即時消費 |
安全日誌-Web Application Firewall警示日誌 |
|
|
9 |
WAF全量/攔截/攔截和觀察日誌 |
WAF全量/攔截/攔截和觀察日誌標準化規則 |
即時消費 |
部落格-HTTP日誌 |
|
|
|
10 |
Cloud Firewall |
Cloud Firewall警示日誌 |
Cloud Firewall警示日誌標準化規則 |
即時消費 |
安全日誌-防火牆警示日誌 |
|
|
11 |
Action Trail |
Action Trail事件記錄 |
Action Trail事件記錄標準化規則 |
即時消費 |
審計日誌-雲平台Action Trail日誌 |
|
防勒索
對伺服器重要檔案路徑做定期備份,如遭受勒索攻擊後可使用備份檔案對伺服器做兜底恢複,如需調整防護範圍可前往防勒索策略管理進行配置。
日誌管理
Security Center日誌將投遞到日誌庫,中國內地預設投遞到華東 2(上海),非中國內地預設投遞到新加坡。
計費說明
基礎服務費
當開啟Security Center任何一項隨用隨付功能時,系統將收取基礎服務費。計費規則如下:
開通後,預設支援DingTalk機器人、安全報告、工作中樞(需先開通或購買漏洞修複功能)服務。
計費方式:根據隨用隨付服務開啟的時間長度計費。
重要最小計費單位為小時,開啟時間長度不足1小時的,按1小時計算。
計費周期:按自然日結算。
價格:0.0072美元/小時。
主機及容器安全
開通主機及容器安全隨用隨付後,費用基於對應防護等級綁定的伺服器數量和實際防護時間長度(僅在用戶端線上狀態下計算時間)以秒為單位累計,按自然日進行結算。
防護等級 | 價格 | 月費用(30天參考價) |
病毒防護 | 0.000000578美元/核/秒 | 1.5美元/核/月 |
進階版 | 0.000005497 美元/台/秒 | 14.25美元/台/月 |
主機全面防護 | 0.000013599美元/台/秒 | 35.25美元/台/月 |
主機及容器全面防護 | 0.000013599美元/台/秒+0.000000578美元/核/秒 | 35.25美元/台/月+1.5美元/核/月 |
Serverless 安全
開通Serverless資產並完成授權後,Serverless防護採用隨用隨付按月累計的階梯計費模式。
月累計使用量 | 價格 | 費用計算公式(U為一天內使用量,單位為核/秒) |
區間1:0~200,000,000核/秒 | 0.000003美元/核/秒 | 0.000003×U(美元) |
區間2:200,000,001~1,000,000,000核/秒 | 0.000002美元/核/秒 |
|
區間3:1,000,000,001~9,999,999,999,999核/秒 | 0.0000015美元/核/秒 |
|
應用防護
開通應用防護隨用隨付後,系統會統計每分鐘(0~60 秒)線上的所有執行個體數量,按照0.0002 美元/執行個體/分鐘,以自然日為單位計費。
惡意檔案檢測 SDK
使用惡意檔案檢測 SDK 功能會按照檢測的檔案個數計算檔案檢測次數進行收費。開通惡意檔案檢測隨用隨付後,按照0.0002 美元/次以自然日為單位計費。
雲安全態勢管理
授權數:是雲安全態勢管理付費功能的計量單位。對一個資產執行個體成功執行一次計費範圍內的操作(掃描、驗證或修複)時,消耗一次授權數。
例如:有 10 個產品,每個產品含 15 個執行個體。若您選擇 5 個檢查項對所有執行個體進行掃描,則本次任務將消耗
10 * 15 * 5 = 750次授權。資產執行個體:指具體的雲資源,如一個 OSS Bucket、一台 ECS 的安全性群組等。
檢查項:分為免費檢查項和付費檢查項。
免費檢查項:雲產品配置風險功能提供部分免費檢查項,提供基礎風險感知,不限制掃描和驗證次數,僅修複時消耗授權數。
重要對於2023年7月7日前已授權雲安全態勢管理(原雲產品配置檢查)的使用者,在原Security Center版本執行個體到期前或到期後續約,都可繼續享受對應版本的免費檢查項數量(防病毒版80+,進階版90+,企業版/旗艦版250+)。
付費檢查項:需要購買對應的版本服務或單獨開通雲安全態勢管理服務,費用包含在版本服務或消耗授權數。
Security Center預設提供 80+ 條檢查項供免費使用,免費使用的檢查項不計算掃描次數。推薦掃描策略具體的檢查項列表,請參見雲安全態勢管理周期性掃描推薦策略。
雲安全態勢管理支援訂用帳戶付費(預付費)和隨用隨付兩種模式,具體費用如下:
訂用帳戶:售賣價格 × 授權數(雲安全態勢管理的購買數量)× 購買時間長度(按Security Center執行個體的購買時間長度計算)。
授權數
價格(美元/次)
0~100,000
0.0009 美元/次
100,001~500,000
0.00069 美元/次
大於 500,000
0.000625 美元/次。
隨用隨付:按照授權數階梯計費,以自然日為單位計費。
授權數
價格
費用計算公式(Z為一天內使用的授權數,單位為次數)
0~100,000
0.0009美元/次
0.0009×Z(美元)
100,001~500,000
0.0007美元/次
0.0009×100,000+0.0007×(Z-100,000)(美元)
大於500,000
0.00045美元/次
0.0009×100,000+0.0007×400,000+0.00045×(Z-500,000)(美元)
漏洞修複
開通漏洞修複隨用隨付後,按照0.3 美元/次以自然日為單位計費。更多資訊,請參見漏洞修複次數計算規則。
無代理檢測
無代理檢測掃描費
計費方式:隨用隨付。
計費周期:自然日。
計費單價:0.03美元/GB。
計費量:根據掃描的鏡像的實際資料量計算,而非磁碟總容量。
ECS 資源使用費
重要推薦在配置主機檢測任務時,勾選僅保留存在風險的鏡像,系統將在掃描結束後自動刪除無風險鏡像,以節省儲存成本。具體操作參見儲存時間配置。
鏡像費用:檢測任務會為伺服器建立鏡像,會按照鏡像使用容量和時間長度收取相應的費用,此費用由Elastic Compute Service收取,詳情請參見鏡像計費。
加密盤掃描資源費用:由於掃描ECS加密盤需要,每次掃描時我們會在您賬戶下建立如下資源,部分資源會產生少量費用,掃描結束後立即釋放。
ECS執行個體:當您有要掃描的ECS加密盤選擇的是服務密鑰加密的時候,我們會建立一台搶佔式ECS執行個體做加密盤掃描使用,此費用由Elastic Compute Service收取,詳情請參見執行個體規格計費。
VPC執行個體:一個名稱為 alibaba-cloud-security-scan-vpc 的Virtual Private Cloud執行個體,此執行個體建立不涉及費用。
VSwitch執行個體:一個名稱為 alibaba-cloud-security-scan-subnet 的交換器(VSwitch)執行個體,此執行個體建立不涉及費用。
Agentic SOC
Agentic SOC 按照接入產品的日誌量和儲存在日誌管理中的資料容量收取相應費用。
訂用帳戶計費:
日志接入流量:採用階梯到達計費,起售量100 GB/天,購買步長為100 GB/天。具體計費價格如下(X為一天內接入的流量):
X=100 GB:0.45美元/GB/天。
200 GB=<X<9,999,999,999 GB:0.42美元/GB/天。
日誌儲存容量:100美元/1000GB/月(1,000 GB起售,購買步長為1,000 GB)。
智能分析用量:
起售量100 GB/天,購買數量不支援自動填寫,需與日志接入流量保持一致。
計費價格:9.6美元/100GB/天。
說明每天零點用量清零,超過後系統將自動限流。
受管理的執行個體數:
10個執行個體/月起售,購買步長為10個執行個體/月。
1.434美元/個執行個體/月。
說明同一執行個體只計算一次,自動去重。
隨用隨付:按照每天產品接入的日誌流量進行階梯累計計費,最終每天的賬單為各用量區間產生的費用之和。
重要最小計費單位為GB,不足1GB的部分,按照1GB計費。
日誌接入流量區間
價格
費用計算公式(Y為一天內接入的流量,單位為GB)
1~10(GB/天)
2.2美元/GB
2.2×Y(美元)
11~50(GB/天)
1.6美元/GB
2.2×10+1.6×(Y-10)(美元)
51~100(GB/天)
1.4美元/GB
2.2×10+1.6×40+1.4×(Y-50)(美元)
>100(GB/天)
1.2美元/GB
2.2×10+1.6×40+1.4×50+1.2×(Y-100)(美元)
防勒索
按備份檔案大小及儲存時間收費,價格為0.00013 美元/GB/小時。
日誌管理
按每個自然日的日累計儲存量(GB)計費,價格為7.2 美元/1000GB。
常見問題
推薦策略啟用後可以修改嗎?
可以。各功能的推薦策略啟用後均可在對應管理頁面進行修改。
修改伺服器綁定的防護等級的具體操作,請參見管理主機及容器安全授權數。
修改 Serverless 資產授權綁定關係的具體操作,請參見3.2. 綁定或解除綁定授權資產。
修改惡意檔案檢測 SDK 對於 OSS 檔案預設檢測策略的具體操作,請參見惡意檔案檢測。
修改雲安全態勢管理周期掃描策略的具體操作,請參見設定並執行檢查策略。
修改無代理檢測掃描策略的具體操作,請參見無代理檢測使用指南。
修改 Agentic SOC 產品接入日誌類型的具體操作,請參見產品接入。
修改應用防護策略接入配置,請參見防護策略管理。