Поделиться через


Оценка расходов с использованием калькулятора стоимости Microsoft Defender для облака

Калькулятор стоимости Microsoft Defender для облака представляет собой инструмент для расчета предполагаемых затрат на обеспечение безопасности облачной инфраструктуры. Функционал калькулятора позволяет выполнять настройку планов и сред с формированием детализированного отчета по затратам с учетом действующих скидок.

Доступ к калькулятору затрат

Чтобы начать использование калькулятора затрат Defender для облака, перейдите в раздел "Параметры среды" Microsoft Defender для облака. Нажмите кнопку "Калькулятор затрат", расположенную в верхнем разделе интерфейса.

Снимок экрана: кнопка калькулятора затрат в параметрах среды.

Настройка планов и сред Defender для облака

На первой странице калькулятора нажмите кнопку "Добавить ресурсы ", чтобы начать добавление ресурсов в расчет затрат. У вас есть три метода добавления ресурсов:

Снимок экрана: добавление ресурсов в калькулятор затрат.

Примечание.

Планы резервирования (P3) для Defender для облака не рассматриваются.

Добавление ресурсов с помощью скрипта

  1. Выберите тип среды (Azure, AWS или GCP) и скопируйте скрипт в новый файл *.ps1.

    Примечание.

    Скрипт собирает только сведения, к которым пользователь, на котором он работает.

  2. Запустите скрипт в среде PowerShell 7.X с помощью привилегированной учетной записи пользователя. Скрипт собирает сведения о оплачиваемых ресурсах и создает CSV-файл. Он собирает сведения на двух шагах. Во-первых, он собирает текущее количество оплачиваемых активов, которые обычно остаются постоянными. Во-вторых, он собирает информацию о выставлении счетов активов, которые могут изменить много в течение месяца. Для этих ресурсов он проверяет использование за последние 30 дней, чтобы оценить стоимость. Вы можете остановить скрипт после первого шага, что занимает несколько секунд. Кроме того, вы можете продолжать собирать последние 30 дней использования динамических ресурсов, что может занять больше времени для больших учетных записей.

  3. Отправьте этот CSV-файл в мастер, где вы скачали скрипт.

  4. Выберите нужные планы Defender для облака. Калькулятор оценивает затраты на основе выбора и любых существующих скидок.

Примечание.

  • Планы резервирования для Defender для облака не рассматриваются.
  • Для API Defender: при вычислении стоимости на основе количества вызовов API за последние 30 дней мы автоматически выбираем лучший план Defender для API. Если за последние 30 дней вызовы API отсутствуют, мы автоматически отключаем план для целей вычисления.

Снимок экрана: добавление ресурсов с помощью скрипта.

Необходимые разрешения для скриптов

В этом разделе представлен обзор разрешений, необходимых для запуска скриптов для каждого поставщика облачных служб.

Azure

Для успешного запуска этого скрипта для каждой подписки учетная запись, которую вы используете, требуются разрешения, позволяющие ему:

  • Обнаружение и перечисление ресурсов (включая виртуальные машины, учетные записи хранения, службы APIM, учетные записи Cosmos DB и т. д.).

  • Запрос графа ресурсов (с помощью Search-AzGraph).

  • Чтение метрик (с помощью Get-AzMetric и API Azure Monitor/Insights).

Рекомендуемая встроенная роль:

В большинстве случаев роль читателя в области подписки достаточно. Роль читателя предоставляет следующие ключевые возможности, необходимые для этого сценария:

  • Чтение всех типов ресурсов (поэтому можно перечислить и проанализировать такие вещи, как учетные записи хранения, виртуальные машины, Cosmos DB и APIM и т. д.).
  • Считывайте метрики (Microsoft.Insights/metrics/read), чтобы вызовы Get-AzMetric или прямые запросы REST Azure Monitor были успешно выполнены.
  • Запросы Resource Graph работают, если у вас есть по крайней мере доступ на чтение к этим ресурсам в подписке.

Примечание.

Если вы хотите быть уверены, что у вас есть необходимые разрешения метрик, вы также можете использовать роль средства чтения мониторинга. Однако стандартная роль читателя уже включает доступ на чтение к метрикам и обычно все, что вам нужно.

Если у вас уже есть роли участника или владельца:

  • Участник или владелец подписки более чем достаточно (эти роли являются более привилегированными, чем читатель).
  • Скрипт не выполняет создание или удаление ресурсов. Таким образом, предоставление высокоуровневых ролей (таких как участник или владелец) для единственной цели сбора данных может быть превышено с точки зрения наименьших привилегий.

Сводка:

Предоставление пользователю или субъекту-службе роли читателя (или любой более привилегированной роли) для каждой подписки, которую вы хотите запросить, гарантирует, что сценарий может:

  • Получение списка подписок.
  • Перечисление и чтение всех соответствующих сведений о ресурсах (с помощью REST или Az PowerShell).
  • Получите необходимые метрики (запросы на ИСПОЛЬЗОВАНИЕ APIM, ЕЗ для Cosmos DB, входящего трафика учетных записей хранения и т. д.).
  • Выполнение запросов Graph ресурсов без проблем.
AWS

Ниже приведен обзор разрешений, необходимых идентификатору AWS (пользователю или роли) для успешного выполнения этого скрипта. Скрипт перечисляет ресурсы (EC2, RDS, EKS, S3 и т. д.) и извлекает метаданные для этих ресурсов. Он не создает, не изменяет или удаляет ресурсы, поэтому доступ только для чтения достаточно в большинстве случаев.

Управляемая политика AWS: ReadOnlyAccess или ViewOnlyAccess

Самый простой подход заключается в подключении одной из встроенных политик AWS только для чтения к субъекту IAM (пользователю или роли), который запускает этот скрипт. Вот некоторые примеры.

  • arn:aws:iam::aws:policy/ReadOnlyAccess
  • arn:aws:iam::aws:policy/job-function/ViewOnlyAccess

Любой из них охватывает разрешения описания и списка для большинства служб AWS. Если политика безопасности среды позволяет ей, ReadOnlyAccess — самый простой способ обеспечить работу скрипта во всех ресурсах AWS, которые он перечисляет.

Ключевые службы и необходимые разрешения:

Если вам нужен более детализированный подход с пользовательской политикой IAM, необходимо разрешить следующие службы и разрешения:

  • EC2
    • ec2:DescribeInstances
    • ec2:DescribeRegions
    • ec2:DescribeInstanceTypes (для получения сведений о VCPU/core)
  • RDS
    • rds:DescribeDBInstances
  • EKS
    • eks:ListClusters
    • eks:DescribeCluster
    • eks:ListNodegroups
    • eks:DescribeNodegroup
  • Автоматическое масштабирование (для базовых экземпляров групп узлов EKS)
    • autoscaling:DescribeAutoScalingGroups
  • S3
    • s3:ListAllMyBuckets
  • STS
    • sts:GetCallerIdentity (для получения идентификатора учетной записи AWS)

Кроме того, если вам нужно перечислить другие ресурсы, которые не отображаются в скрипте, или если вы планируете расширить возможности скрипта, убедитесь, что вы предоставите соответствующие действия "Описание", "Список*" и "Получить" по мере необходимости.

Сводка:

  • Самый простой способ — подключить встроенную политику ReadOnlyAccess AWS, которая уже включает все действия, необходимые для перечисления и описания EC2, RDS, EKS, S3, ресурсов автомасштабирования и вызова STS для получения сведений о учетной записи.
  • Если требуется только достаточно привилегий, создайте настраиваемую политику только для чтения, используя приведенные выше действия "Описание", "Список*" и "Получить" для EC2, RDS, EKS, автомасштабирования, S3 и STS.

Любой подход предоставляет скрипту достаточные разрешения:

  • Список регионов.
  • Получение метаданных экземпляра EC2.
  • Получение экземпляров RDS.
  • Список и описание кластеров EKS и групп узлов (и базовых групп автомасштабирования).
  • Список контейнеров S3.
  • Получите идентификатор учетной записи AWS с помощью stS.

Это гарантирует, что скрипт может обнаруживать ресурсы и получать соответствующие метаданные, не создавая, изменяя или удаляя ничего.

GCP

Ниже приведен обзор разрешений, необходимых для успешного выполнения этого сценария пользователем или учетной записью службы GCP. Короче говоря, скрипту необходимо перечислить и описать ресурсы (экземпляры виртуальных машин, облачные кластеры SQL, кластеры GKE и контейнеры GCS) в выбранном проекте.

Самый простой подход для обеспечения доступа только для чтения во всех этих ресурсах — предоставление учетной записи пользователя или службы роли роли или средства просмотра на уровне проекта (тот же проект, который вы выбираете через проект набора конфигураций gcloud).

Роль ролей и средств просмотра включает доступ только для чтения к большинству служб GCP в этом проекте, включая необходимые разрешения:

  • Подсистема вычислений (список экземпляров виртуальных машин, шаблонов экземпляров, типов компьютеров и т. д.).
  • Cloud SQL (список экземпляров SQL ).
  • Модуль Kubernetes (список кластеров, пулов узлов и т. д.).
  • Облачное хранилище (контейнеры списков).

Подробные разрешения по службе (при создании настраиваемой роли):

Если вы предпочитаете более детализированный подход, вы можете создать настраиваемую роль IAM или набор ролей, которые совместно предоставляют только необходимые действия для чтения и описания списков для каждой службы:

  • Подсистема вычислений (для экземпляров виртуальных машин, регионов, шаблонов экземпляров, диспетчеров групп экземпляров):
    • compute.instances.list
    • compute.regions.list
    • compute.machineTypes.list
    • compute.instanceTemplates.get
    • compute.instanceGroupManagers.get
    • compute.instanceGroups.get
  • Cloud SQL:
    • cloudsql.instances.list
  • Google Kubernetes Engine:
    • container.clusters.list
    • container.clusters.get (необходимо при описании кластеров)
    • container.nodePools.list
    • container.nodePools.get
  • Облачное хранилище:
    • storage.buckets.list

Скрипт не создает или не изменяет ресурсы, поэтому для этого не требуются разрешения на обновление или удаление— только список, получение или описание разрешений типа.

Сводка:

  • Использование ролей и средств просмотра на уровне проекта — самый быстрый и простой способ предоставить достаточно разрешений для успешного выполнения этого сценария.
  • Если вам нужен самый строгий подход с наименьшими привилегиями, создайте или объедините пользовательские роли, которые включают только соответствующий список или описание и получение действий для вычислительной подсистемы, облачного SQL, GKE и облачного хранилища.

При использовании этих разрешений скрипт может:

  • Проверка подлинности (gcloud auth login).
  • Вывод списка экземпляров виртуальных машин, типов компьютеров, диспетчеров групп экземпляров и т. д.
  • Вывод списка экземпляров CLOUD SQL.
  • Список и описание кластеров GKE и пулов узлов.
  • Вывод списка контейнеров GCS.

Этот доступ на уровне чтения позволяет перечислять количество ресурсов и собирать метаданные, не изменяя или создавая какие-либо ресурсы.

Назначение подключенных ресурсов

  1. Выберите из списка сред Azure, уже подключенных к Defender для облака, чтобы включить в расчет затрат.

    Примечание.

    Мы включаем только те ресурсы, для которых мы получили разрешение во время подключения.

  2. Выберите планы. Калькулятор оценивает стоимость на основе выбранных вариантов и любых существующих скидок.

Снимок экрана: назначение подключенных ресурсов.

Назначение пользовательских ресурсов

  1. Выберите имя настраиваемой среды.
  2. Укажите планы и количество оплачиваемых активов для каждого плана.
  3. Выберите типы активов, которые необходимо включить в расчет затрат.
  4. Калькулятор оценивает затраты на основе ваших входных данных и любых существующих скидок.

Примечание.

Планы резервирования для Defender для облака не рассматриваются.

Снимок экрана: добавление пользовательской среды.

Настройка отчета

После создания отчета можно настроить планы и количество оплачиваемых активов:

  1. Выберите среду, которую вы хотите изменить, щелкнув значок редактирования (карандаша).
  2. Откроется страница конфигурации, позволяющая настроить планы, количество оплачиваемых активов и среднее ежемесячное время.
  3. Нажмите кнопку перерасчета , чтобы обновить оценку затрат.

Экспорт отчета

Когда вы удовлетворены отчетом, его можно экспортировать в виде CSV-файла:

  1. Нажмите кнопку "Экспорт в CSV", расположенную в нижней части панели "Сводка" справа.
  2. Сведения о затратах скачиваются в виде CSV-файла.

Часто задаваемые вопросы

Что такое калькулятор затрат?

Калькулятор затрат — это средство, предназначенное для упрощения процесса оценки затрат на защиту безопасности. При определении области требуемых планов и сред калькулятор предоставляет подробную разбивку потенциальных расходов, включая любые применимые скидки.

Как работает калькулятор затрат?

Калькулятор позволяет выбрать среды и планы, которые вы хотите включить. Затем он выполняет процесс обнаружения, чтобы автоматически заполнять количество единиц выставления счетов для каждого плана на среду. Вы также можете вручную настроить количество единиц и уровни скидки.

Что такое процесс обнаружения?

Процесс обнаружения создает отчет выбранной среды, включая инвентаризацию оплачиваемых активов различными планами Defender для облака. Этот процесс основан на разрешениях пользователя и состоянии среды во время обнаружения. Для больших сред этот процесс может занять около 30–60 минут, так как динамические ресурсы также выборки.

Нужно ли предоставить какое-либо специальное разрешение для калькулятора затрат для выполнения процесса обнаружения?

Калькулятор затрат использует существующие разрешения пользователя для запуска скрипта и автоматического обнаружения, гарантируя, что он собирает необходимые данные, не требуя дополнительных прав доступа. Чтобы узнать, какие разрешения пользователю нужно запустить скрипт, см . раздел "Необходимые разрешения для сценариев ".

Точно ли оценка прогнозирует мою стоимость?

Калькулятор предоставляет оценку на основе информации, доступной при выполнении скрипта. Различные факторы могут влиять на окончательные затраты, поэтому его следует считать приблизительным расчетом.

Что такое оплачиваемые единицы?

Стоимость планов основана на единицах, которые они защищают. Каждый план взимается за другой тип единицы, который можно найти на странице параметров Microsoft Defender для облака.

Можно ли настроить оценки вручную?

Да, калькулятор затрат позволяет выполнять автоматическую сбор данных и корректировку вручную. Вы можете изменить количество единиц и уровни скидки, чтобы лучше отразить ваши потребности и узнать, как эти изменения влияют на общую стоимость.

Поддерживает ли калькулятор несколько поставщиков облачных служб?

Да, она обеспечивает поддержку нескольких облаков, обеспечивая возможность получения точных оценок затрат независимо от поставщика облачных служб.

Как поделиться оценкой затрат?

После создания оценки затрат можно легко экспортировать и поделиться ими для планирования бюджета и утверждений. Эта функция гарантирует, что у всех заинтересованных лиц есть доступ к необходимой информации.

Где я могу получить помощь, если у меня есть вопросы?

Наша группа поддержки готова помочь вам с любыми вопросами или проблемами, которые у вас могут быть. Вы можете обратиться к нам за помощью.

Как попробовать калькулятор затрат?

Мы предлагаем вам попробовать новый калькулятор затрат и испытать свои преимущества в первую очередь. Перейдите к средству и начните определять область защиты, которую необходимо приступить к работе. Чтобы использовать калькулятор затрат Defender для облака, перейдите к параметрам Microsoft Defender для облака и нажмите кнопку "Калькулятор затрат" в верхнем разделе.