亚马逊云科技提供了丰富的安全和管理服务,例如:Amazon Security Hub, [Amazon GuardDuty](https://aws.amazon.com/cn/guardduty/?trk=cndc-detail), Amazon WAF, [Amazon Inspector](https://aws.amazon.com/cn/inspector/?trk=cndc-detail), [Amazon CloudWatch](https://aws.amazon.com/cn/cloudwatch/?trk=cndc-detail), Amazon CloudTrail, Amazon Config, Amazon Systems Manager, Amazon Compute Optimizer等等。充分利用亚马逊云科技提供的安全和管理服务,来保障云上环境和应用的安全稳定运行。不过需要注意的是,随着业务的拓展,运行的应用越来越多,资源数量规模越来越大的时候,这些安全和管理服务本身产生的成本会随着资源数量和业务负载的增加而增加。而且这些关联成本由于不是由业务负载所用的资源直接产生,因此不易在上线前的评估阶段计算。
一个典型的例子是,在已经启用了Amazon Security Hub,并将其与Amazon System Manager的OpsCenter集成的情况下,在虚机数量较多的情况下,如果再开启[Amazon Inspector](https://aws.amazon.com/cn/inspector/?trk=cndc-detail),每个虚机可能产生上百条Inspector Findings,从而产生大量的Security Hub Findings(默认情况下只要同时开启了[Amazon Inspector](https://aws.amazon.com/cn/inspector/?trk=cndc-detail)和Amazon Security Hub,两者就会自动集成),此时就会再产生大量OpsItem,从而产生Amazon System Manager的成本(中国区的定价是每 1000 个 OpsItems 收费 ¥20.91)
我们可以参考业务负载对安全和管理服务的成本影响以及各服务间的集成关系,对这部分的成本进行评估:
| | Security Hub | GuardDuty | Inspector | CloudWatch | Systems Manager | Compute Optimizer | S3 |
| --- | --- | --- | --- | --- | --- | --- | --- |
| Workload Resources | 影响成本 | 影响成本 | 非常影响成本 | 取决于配置 | 影响成本 | 影响成本 | |
| Security Hub | | | | | 关联 | | |
| GuardDuty | 关联 | | | 关联 | | | |
| Inspector | 关联 | | | | | | 关联 |
| CloudWatch | | | | | 关联 | 关联 | |
| CloudTrail | | 关联 | | 关联 | | | 关联 |
| Config | 关联 | | | | 关联 | | 关联 |
| Systems Manager | 关联 | | | | 关联 | | |
| Compute Optimizer | | | | | | | 关联 |
需要注意的是,除了直接的集成配置,大部分安全与管理服务,还可以通过EventBridge和SNS等服务与其他服务产生关联带来间接成本。
以下是一些应对安全和管理服务关联成本的建议:
- 在应用上线或变更过程中的成本评估阶段,引入安全和管理服务的成本评估内容,尤其是要留意已配置的安全和管理服务间的关联,评估应用负载的变化会带来哪些关联成本的变化。
- 定期检查Amazon Cost Explorer和账单信息,了解安全与管理服务的使用情况
- 开启Amazon Cost Anomaly Detection,自动发现关联成本的变化
- 根据业务和运维的实际需要,优化调整安全与管理服务的配置