开通按量付费服务后,系统会按推荐策略自动开启防护和扫描。本文说明各功能的默认策略内容及计费规则,便于评估费用并避免预期外支出。
选中开启一键接入策略,账单会在使用后的第二天自动的发送到您的账户中,并单击立即开通并授权后,全部服务器绑定防护等级主机全面防护或主机及容器全面防护、全部 Serverless 资产绑定授权、Agentic SOC 推荐的日志接入策略、云安全态势管理和无代理检测的周期性扫描、应用防护接入策略、恶意文件检测 SDK 周期性检测策略等会默认执行。
云安全中心会按照一键接入策略开启防护,绑定相应授权、接入对应的日志并执行相应的扫描和检测。
云安全中心将按照对应功能的计费规则以自然日为统计周期生成费用账单。为了避免产生超出预期的费用,开启该功能前请仔细阅读并理解一键接入策略内容。
一键接入策略说明
主机及容器安全
开通并授权后,云安全中心主机及容器安全功能会自动为当前阿里云账号下的所有服务器绑定防护等级:主机全面防护或主机及容器全面防护。
运行容器环境的服务器资产(包括阿里云 ACK 集群节点、智能计算灵骏、自建 K8s 集群接入的服务器)会自动绑定防护等级主机及容器全面防护,其余资产自动绑定防护等级主机全面防护。
后续,可以在云安全中心控制台总览页面,通过授权管理入口,更换服务器绑定的防护等级。具体操作,请参见管理主机及容器安全授权数。
新增主机默认绑定的防护等级为未防护,建议通过授权管理功能设置新增主机自动绑定的防护等级。
Serverless 安全
开通并授权后,云安全中心 Serverless 安全功能会自动为当前阿里云账号下的所有 Serverless 资产绑定授权。
对于托管版与专有版容器集群 ACK、ACK Serverless 集群、ACS 集群创建的 ECI 资产,必须完成安装并启动云安全中心客户端,才能使用云安全中心提供的 Serverless 安全防护能力。具体操作,请参见1. 为待防护的ECI Pod安装并启动云安全中心客户端。
后续,可以云安全中心控制台页面,在授权管理入口管理资产的绑定状态。具体操作,请参见3.2. 绑定或解绑授权资产。
应用防护
开通并授权后,云安全中心应用防护功能会自动开通全量防护(仅接入 Java 进程),并按照慢速接入方式进行接入。
后续可在页签,调整需接入的服务器和进程。关于自动全量接入的更多信息,请参见自动全量接入说明(仅Java进程)。
恶意文件检测 SDK
开通并授权云安全中心的恶意文件检测功能后,系统会自动创建并启用一条名为 Auto_Create_Config 的默认检测策略。如需调整,请前往页签,单击策略管理区域的策略配置,查看和修改策略。策略详情如下:
检测范围:阿里云账号下的所有 OSS Bucket。
检测对象:开启功能后所有新增或更新的文件。
执行周期:每天一次。
检测方式:默认不解压、不解密。
开通服务当天,即会根据以上策略执行一次检测任务。
云安全态势管理
从未开启过云安全态势管理周期性扫描策略的用户:
扫描频率:每天一次,具体检查时间系统会随机生成。
扫描范围:
对安全实践中常见的高危风险配置进行检查,包括安全防护配置不当、高危端口暴露、白名单开放公网、数据公共读写、身份认证和特权权限的风险检查等,这些检查可提升云产品和云平台的安全性。
可以在云安全中心控制台页面策略管理面板查看默认扫描的检查项。已选中的检查项,即为推荐策略的扫描范围。
开启过云安全态势管理周期性扫描策略的用户:
扫描频率:与历史配置一致。
扫描范围:历史配置的检查项与上述推荐扫描范围所包含检查项的并集。
漏洞修复
开通并授权后,即开通漏洞修复按量付费功能。
云安全中心将配置漏洞自动修复策略,每日 0~6 点,自动修复所有受影响资产的高等级漏洞(包含后续新增主机),修复前会打快照,快照存储时间 1 天。更多信息,请参见查看和处理漏洞。
无代理检测
扫描频率:每隔 5 天扫描一次。
扫描范围:所有的机器,同时会默认勾选新增资产默认扫描。
开通服务次日,会根据以上策略执行一次检测任务。
Agentic SOC
开通并授权后,云安全中心 Agentic SOC 功能将自动接入下表中的阿里云产品和日志源。
如果您的云安全中心的版本为免费版或仅采购增值服务版,系统将不会接入操作审计事件日志。
|
序号 |
阿里云产品 |
数据源名称 |
标准化规则名称 |
标准化方式 |
标准化分类/结构 |
支持的安全能力 |
|
1 |
云安全中心 |
DNS请求日志 |
主机DNS请求日志标准化规则 |
扫描查询 |
主机日志-进程请求DNS日志 |
|
|
2 |
基线日志 |
基线日志标准化规则 |
扫描查询 |
安全日志-主机基线日志 |
|
|
|
3 |
登录流水日志 |
登录流水日志标准化规则 |
扫描查询 |
登录日志-主机登录日志 |
|
|
|
4 |
网络连接日志 |
网络连接日志标准化规则 |
扫描查询 |
主机日志-进程网络外联日志 |
|
|
|
5 |
进程启动日志 |
进程启动日志标准化规则 |
扫描查询 |
主机日志-进程启动日志 |
|
|
|
6 |
安全告警日志 |
安全告警日志标准化规则 |
实时消费 |
安全日志-其他告警日志 |
预定义剧本 |
|
|
7 |
漏洞日志 |
漏洞日志标准化规则 |
扫描查询 |
安全日志-漏洞日志 |
|
|
|
8 |
Web应用防火墙 |
WAF告警日志 |
WAF告警日志标准化规则 |
实时消费 |
安全日志-Web应用防火墙告警日志 |
|
|
9 |
WAF全量/拦截/拦截和观察日志 |
WAF全量/拦截/拦截和观察日志标准化规则 |
实时消费 |
网络日志-HTTP日志 |
|
|
|
10 |
云防火墙 |
云防火墙告警日志 |
云防火墙告警日志标准化规则 |
实时消费 |
安全日志-防火墙告警日志 |
|
|
11 |
操作审计 |
操作审计事件日志 |
操作审计事件日志标准化规则 |
实时消费 |
审计日志-云平台操作审计日志 |
|
防勒索
对服务器重要文件路径做定期备份,如遭受勒索攻击后可使用备份文件对服务器做兜底恢复,如需调整防护范围可前往防勒索策略管理进行配置。
日志管理
云安全中心日志将投递到日志库,中国内地默认投递到华东 2(上海),非中国内地默认投递到新加坡。
计费说明
基础服务费
当开启云安全中心任何一项按量付费功能时,系统将收取基础服务费。计费规则如下:
开通后,默认支持钉钉机器人、安全报告、任务中心(需先开通或购买漏洞修复功能)服务。
计费方式:根据按量付费服务开启的时长计费。
重要最小计费单位为小时,开启时长不足1小时的,按1小时计算。
计费周期:按自然日结算。
价格:0.0072美元/小时。
主机及容器安全
开通主机及容器安全按量付费后,费用基于对应防护等级绑定的服务器数量和实际防护时长(仅在客户端在线状态下计算时间)以秒为单位累计,按自然日进行结算。
防护等级 | 价格 | 月费用(30天参考价) |
病毒防护 | 0.000000578美元/核/秒 | 1.5美元/核/月 |
高级版 | 0.000005497 美元/台/秒 | 14.25美元/台/月 |
主机全面防护 | 0.000013599美元/台/秒 | 35.25美元/台/月 |
主机及容器全面防护 | 0.000013599美元/台/秒+0.000000578美元/核/秒 | 35.25美元/台/月+1.5美元/核/月 |
Serverless 安全
开通Serverless资产并完成授权后,Serverless防护采用按量计费按月累计的阶梯计费模式。
月累计使用量 | 价格 | 费用计算公式(U为一天内使用量,单位为核/秒) |
区间1:0~200,000,000核/秒 | 0.000003美元/核/秒 | 0.000003×U(美元) |
区间2:200,000,001~1,000,000,000核/秒 | 0.000002美元/核/秒 |
|
区间3:1,000,000,001~9,999,999,999,999核/秒 | 0.0000015美元/核/秒 |
|
应用防护
开通应用防护按量付费后,系统会统计每分钟(0~60 秒)在线的所有实例数量,按照0.0002 美元/实例/分钟,以自然日为单位计费。
恶意文件检测 SDK
使用恶意文件检测 SDK 功能会按照检测的文件个数计算文件检测次数进行收费。开通恶意文件检测按量付费后,按照0.0002 美元/次以自然日为单位计费。
云安全态势管理
授权数:是云安全态势管理付费功能的计量单位。对一个资产实例成功执行一次计费范围内的操作(扫描、验证或修复)时,消耗一次授权数。
例如:有 10 个产品,每个产品含 15 个实例。若您选择 5 个检查项对所有实例进行扫描,则本次任务将消耗
10 * 15 * 5 = 750次授权。资产实例:指具体的云资源,如一个 OSS Bucket、一台 ECS 的安全组等。
检查项:分为免费检查项和付费检查项。
免费检查项:云产品配置风险功能提供部分免费检查项,提供基础风险感知,不限制扫描和验证次数,仅修复时消耗授权数。
重要对于2023年7月7日前已授权云安全态势管理(原云产品配置检查)的用户,在原云安全中心版本实例到期前或到期后续费,都可继续享受对应版本的免费检查项数量(防病毒版80+,高级版90+,企业版/旗舰版250+)。
付费检查项:需要购买对应的版本服务或单独开通云安全态势管理服务,费用包含在版本服务或消耗授权数。
云安全中心默认提供 80+ 条检查项供免费使用,免费使用的检查项不计算扫描次数。推荐扫描策略具体的检查项列表,请参见云安全态势管理周期性扫描推荐策略。
云安全态势管理支持包年包月付费(预付费)和按量付费两种模式,具体费用如下:
包年包月:售卖价格 × 授权数(云安全态势管理的购买数量)× 购买时长(按云安全中心实例的购买时长计算)。
授权数
价格(美元/次)
0~100,000
0.0009 美元/次
100,001~500,000
0.00069 美元/次
大于 500,000
0.000625 美元/次。
按量付费:按照授权数阶梯计费,以自然日为单位计费。
授权数
价格
费用计算公式(Z为一天内使用的授权数,单位为次数)
0~100,000
0.0009美元/次
0.0009×Z(美元)
100,001~500,000
0.0007美元/次
0.0009×100,000+0.0007×(Z-100,000)(美元)
大于500,000
0.00045美元/次
0.0009×100,000+0.0007×400,000+0.00045×(Z-500,000)(美元)
漏洞修复
开通漏洞修复按量付费后,按照0.3 美元/次以自然日为单位计费。更多信息,请参见漏洞修复次数计算规则。
无代理检测
无代理检测扫描费
计费方式:按量计费。
计费周期:自然日。
计费单价:0.03美元/GB。
计费量:根据扫描的镜像的实际数据量计算,而非磁盘总容量。
ECS 资源使用费
重要推荐在配置主机检测任务时,勾选仅保留存在风险的镜像,系统将在扫描结束后自动删除无风险镜像,以节省存储成本。具体操作参见保存时间配置。
镜像费用:检测任务会为服务器创建镜像,会按照镜像使用容量和时长收取相应的费用,此费用由云服务器ECS收取,详情请参见镜像计费。
加密盘扫描资源费用:由于扫描ECS加密盘需要,每次扫描时我们会在您账户下创建如下资源,部分资源会产生少量费用,扫描结束后立即释放。
ECS实例:当您有要扫描的ECS加密盘选择的是服务密钥加密的时候,我们会创建一台抢占式ECS实例做加密盘扫描使用,此费用由云服务器ECS收取,详情请参见实例规格计费。
VPC实例:一个名称为 alibaba-cloud-security-scan-vpc 的专有网络(VPC)实例,此实例创建不涉及费用。
VSwitch实例:一个名称为 alibaba-cloud-security-scan-subnet 的交换机(VSwitch)实例,此实例创建不涉及费用。
Agentic SOC
Agentic SOC 按照接入产品的日志量和存储在日志管理中的数据容量收取相应费用。
包年包月计费:
日志接入流量:采用阶梯到达计费,起售量100 GB/天,购买步长为100 GB/天。具体计费价格如下(X为一天内接入的流量):
X=100 GB:0.45美元/GB/天。
200 GB=<X<9,999,999,999 GB:0.42美元/GB/天。
日志存储容量:100美元/1000GB/月(1,000 GB起售,购买步长为1,000 GB)。
智能分析用量:
起售量100 GB/天,购买数量不支持自动填写,需与日志接入流量保持一致。
计费价格:9.6美元/100GB/天。
说明每天零点用量清零,超过后系统将自动限流。
托管实例数:
10个实例/月起售,购买步长为10个实例/月。
1.434美元/个实例/月。
说明同一实例只计算一次,自动去重。
按量计费:按照每天产品接入的日志流量进行阶梯累计计费,最终每天的账单为各用量区间产生的费用之和。
重要最小计费单位为GB,不足1GB的部分,按照1GB计费。
日志接入流量区间
价格
费用计算公式(Y为一天内接入的流量,单位为GB)
1~10(GB/天)
2.2美元/GB
2.2×Y(美元)
11~50(GB/天)
1.6美元/GB
2.2×10+1.6×(Y-10)(美元)
51~100(GB/天)
1.4美元/GB
2.2×10+1.6×40+1.4×(Y-50)(美元)
>100(GB/天)
1.2美元/GB
2.2×10+1.6×40+1.4×50+1.2×(Y-100)(美元)
防勒索
按备份文件大小及存储时间收费,价格为0.00013 美元/GB/小时。
日志管理
按每个自然日的日累计存储量(GB)计费,价格为7.2 美元/1000GB。
常见问题
推荐策略启用后可以修改吗?
可以。各功能的推荐策略启用后均可在对应管理页面进行修改。
修改服务器绑定的防护等级的具体操作,请参见管理主机及容器安全授权数。
修改 Serverless 资产授权绑定关系的具体操作,请参见3.2. 绑定或解绑授权资产。
修改恶意文件检测 SDK 对于 OSS 文件默认检测策略的具体操作,请参见恶意文件检测。
修改云安全态势管理周期扫描策略的具体操作,请参见设置并执行检查策略。
修改无代理检测扫描策略的具体操作,请参见无代理检测使用指南。
修改 Agentic SOC 产品接入日志类型的具体操作,请参见产品接入。
修改应用防护策略接入配置,请参见防护策略管理。