Amazon Inspector 是一项自动化持续漏洞扫描服务,用于在 Amazon ECR 中以及持续集成和持续交付(CI/CD)工具内评测 Amazon Elastic Compute Cloud(EC2)实例、AWS Lambda 函数和容器镜像以提高基础设施工作负载的安全性和合规性。您每月的费用取决于扫描的不同工作负载:
Amazon EC2 实例扫描:持续扫描每个 EC2 实例以查找软件漏洞和意外网络暴露。 这适用于基于代理的扫描和无代理的扫描。总月度成本基于一个月内评测的 EC2 实例的平均* 数量。对于间歇性运行的实例,基于一个月内的总运行时间按比例分配价格。
Amazon EC2 CIS 基准评测:Amazon Inspector 支持互联网安全中心的 CIS 基准。它支持针对 Amazon EC2 实例的操作系统级 CIS 配置基准进行按需和有针对性的评测。Amazon EC2 实例中操作系统的 CIS 基准评测按每个实例的每次评估收费。
Amazon ECR 容器映像扫描:评测推送到为 Amazon Inspector 扫描配置的 Amazon ECR 的每个容器映像以查找软件漏洞。总月度成本基于推送到 Amazon ECR 时初始扫描的镜像数量和这些镜像每月重新扫描的次数。
按需容器映像扫描(包括在 CI/CD 工具中和由 Amazon Inspector 启动的扫描):每个容器映像都会在 Jenkins 和 TeamCity 等开发人员工具中评测软件漏洞。费用基于每月在 CI/CD 工具中扫描的映像数量,以及在 CI/CD 工具之外进行按需扫描的成本。
AWS Lambda 标准扫描:会持续评测每个已部署的 Lambda 函数是否存在软件包漏洞。每月总成本基于每月扫描的 Lambda 函数的平均数量。价格根据一个月内 Lambda 函数的 Amazon Inspector 覆盖小时总数(从函数被 Amazon Inspector 发现到函数被删除或从扫描中排除的小时数)按比例分配。
AWS Lambda 代码扫描:我们会持续评测每个已部署的 Lambda 函数是否存在代码漏洞,例如您编写的应用程序代码中是否存在注入缺陷和嵌入密钥。每月总成本基于每月扫描的 Lambda 函数的平均数量。价格根据一个月内扫描函数的 Amazon Inspector 总覆盖时长按比例分配。小时数反映了从 Amazon Inspector 发现该功能到该功能被删除或排除在扫描范围之外的持续时间。
使用 Amazon Inspector,您只需按实际使用量付费,没有最低费用,也没有预先承诺。
Amazon Inspector 的所有新账户均有资格获得 15 天的免费试用,用于评估服务及估计成本。试用期间,免费持续扫描推送到 Amazon Elastic Container Registry(ECR)的所有合格的 Amazon Elastic Compute Cloud(EC2)实例、AWS Lambda 函数和容器映像。对于 CI/CD 工具中的按需容器映像扫描,每个帐户可一次性免费使用 25 次映像评测。注意:CIS 基准评测不包含在 15 天免费试用中。
此外,您可以查看 Amazon Inspector 控制台中的预估费用,包括中心 Amazon Inspector 管理员账户中的聚合企业范围内费用。这样您便能在转为付费使用前,理解和估计使用 Amazon Inspector 进行整个企业的跨 Amazon EC2、Amazon ECR 和 Lambda 函数自动化和持续的漏洞扫描成本。
*EC2 实例的平均数量 =(扫描的有效支持实例总用时)/(一个月内的小时数,即 720 小时)。例如,您在一个月内具有 3 个有效和不同扫描时长的支持实例:第一个支持实例的扫描时长是 360 小时,第二个支持实例的扫描时长是 350 小时,并且第三个支持实例的扫描时长是 10 小时,则有效支持实例的总计扫描时长是 720 小时。因此,当月扫描实例共计 720 小时/当月 720 小时 = 1 个平均 EC2 实例。
**Lambda 函数平均数量 =(Amazon Inspector 覆盖某个 Lambda 函数的总计小时数)/(一个月内的小时数,即 720 小时)。Amazon Inspector 覆盖时间是指从 Lambda 函数部署到该函数被删除或排除在 Amazon Inspector 扫描范围之外的时长。例如,您在一个月内部署了 3 个 Amazon Inspector 监控时长各不相同的 Lambda 函数:第一个的扫描时长是 720 小时,第二个的扫描时长是 350 小时,第三个的扫描时长是 10 小时,则部署的 Lambda 函数实例的总计扫描时长是 1080 小时。因此,当月 Lambda 函数的扫描实例共计 1080 小时/当月 720 小时 = 1.5 个平均 Lambda 函数。
***如果您使用 Amazon Inspector API(该 API 将软件物料清单[SBOM]作为输入并提供漏洞结果),则适用相同的价格(0.03 USD)
****Inspector 在客户账户中创建并临时存储 Amazon Elastic Block Store(Amazon EBS)快照,以进行无代理扫描。快照存储成本与 EC2 的 Inspector 无代理扫描分开定价。有关快照存储成本,请参阅 Amazon EBS 定价。
定价示例
示例1:Amazon EC2 实例扫描
您输入一个新账单月,该月使用为 Amazon Inspector 扫描安装和配置的 AWS Systems Manager Agent 对 10 个 Amazon EC2 实例进行美国东部(弗吉尼亚北部)部署。这些实例运行一整个月。此外,在本月账单期使用 Amazon Inspector 启动和持续扫描了 10 个额外实例。但是,每个新实例在账单期仅有效 15 天。美国东部(弗吉尼亚州北部)的 Amazon Inspector 费用计算如下所示:
10 个 EC2 实例,扫描 30 天,每个 1.258 USD = 10 * 1.258 USD = 12.58 USD
10 个 EC2 实例,扫描仅 15 天,平均 5 个实例,每个 1.258 USD = 5 * 1.258 USD = 6.29 USD
您当月的 Amazon Inspector 账单将为 18.87 USD。
实例 2:使用持续扫描的 Amazon ECR 容器镜像
您输入一个新账单月,该月对用于持续扫描而配置的 ECR 存储库中过去 30 天推送、扫描和保留的 500 条容器镜像进行美国东部(弗吉尼亚北部)部署。您还在当月将 1000 个新容器镜像推送到相同的存储库。您的成本将包括推送到 ECR 时初始扫描的 1000 个新容器镜像和共计 1500 个保留容器镜像的重新扫描费用。该月存在 Amazon Inspector 漏洞数据库的更新,唤起了 15 次重新扫描。美国东部(弗吉尼亚州北部)的 Amazon Inspector 费用计算如下所示:
1000 个新推送初始扫描容器镜像,每个 0.09 USD = 1000 * 0.09 USD = 90.00 USD
(1,000 个新推送容器镜像 + 存储库中已有的 500 个之前推送和扫描的容器镜像 = 1000 + 500 = 存储库中共计 1500 个镜像)
1500 个镜像,每个平均重新扫描 15 次,每次重新扫描 0.01 USD = 1500 * 15 * 0.01 USD = 225.00 USD
您的当月 Amazon Inspector 账单将为 315.00 USD。
示例 3:使用推送时扫描的 Amazon ECR 容器镜像
您输入一个新账单月,该月对用于推送时扫描而配置的 Amazon ECR 存储库中 500 条之前推送、扫描和保留的容器镜像进行美国东部(弗吉尼亚州北部)部署。您在当月将 1000 个新容器镜像推送到相同的存储库。您的成本将仅包括当推送到 Amazon ECR 时,扫描的 1000 个新容器镜像。由于为推送时扫描配置了存储库,因此不会出现重新扫描,因此不收取额外费用。美国东部(弗吉尼亚州北部)的 Amazon Inspector 费用计算如下所示:
1000 个新推送初始扫描容器镜像,每个 0.09 USD = 90.00 USD
(500 个之前扫描的镜像不收费。)
您的当月 Amazon Inspector 账单将为 90.00 USD。
示例 4:AWS Lambda 函数标准扫描
您以美国东部(弗吉尼亚州北部)定价标准部署的 20 个 Lambda 函数进入了新的记费月份。美国东部(弗吉尼亚州北部)的 Amazon Inspector 费用计算如下所示:
30 天每一天都扫描了 10 个 Lambda 函数,每个函数的价格是 0.30 USD = 3.00 USD
只有 15 天扫描了 10 个 Lambda 函数(即扫描 15 天后删除),每个函数的价格是 0.30 USD = 1.50 USD
(重新扫描无需额外付费。)
您当月的 Amazon Inspector 账单将为 4.50 USD。
示例 5:AWS Lambda 函数标准扫描加上代码扫描
您以美国东部(弗吉尼亚州北部)定价标准部署的 20 个 Lambda 函数进入了新的记费月份。美国东部(弗吉尼亚州北部)的 Amazon Inspector 费用计算如下所示:
30 天每一天都扫描了 10 个 Lambda 函数,每个函数的价格是 0.90 USD(0.30 USD + 0.60 USD)= 9.00 USD
只有 15 天扫描了 10 个 Lambda 函数(即扫描 15 天后删除),每个函数的价格是 0.90 USD(0.30 USD + 0.60 USD) = 4.50 USD
(重新扫描无需额外付费。)
您当月的 Amazon Inspector 账单将为 13.50 USD。
示例 6:Amazon EC2 无代理扫描
您为包含 10 个 Amazon EC2 实例的美国东部(弗吉尼亚州北部)部署输入了一个新的账单月,并安装和配置 AWS Systems Manager Agent(SSM)进行 Amazon Inspector EC2 扫描,这些实例整月都在运行。此外,在此月度计费期内,还会使用无代理扫描启动和扫描另外 10 个实例。美国东部(弗吉尼亚州北部)的 Amazon Inspector 费用计算如下所示:
10 个使用基于 SSM-Agent 的扫描功能进行扫描的 EC2 实例,每个 1.258 USD = 12.58 USD
10 个使用无代理扫描功能进行扫描的 EC2 实例,每个 1.75 USD = 17.50 USD
您当月的 Amazon Inspector 账单将为 30.08 USD。
示例 7:按需容器映像评测(包括在 CI/CD 工具中)
您为 CI/CD 工具中有 1000 个容器镜像的美国东部(弗吉尼亚州北部)部署输入一个新的账单月。美国东部(弗吉尼亚州北部)的 Amazon Inspector 费用计算如下所示:
CI/CD 工具中有 1000 个容器映像,每个镜像 0.03 USD = 30.00 USD
您当月的 Amazon Inspector 账单将为 30.00 USD。
示例 8:Amazon EC2 实例中操作系统的互联网安全中心(CIS)基准评测
您为安装了 AWS Systems Manager 代理的 10 个 EC2 实例的美国东部(弗吉尼亚州北部)部署输入新的账单月份。您每月为 10 个实例安排两次 CIS 基准评测。美国东部(弗吉尼亚州北部)的 Amazon Inspector 费用计算如下所示:
10 个 EC2 实例进行了两次评测,每个 0.03 USD = 0.30*2 USD
您当月的 Amazon Inspector 账单将为 0.60 USD。