Stimare i costi con il calcolatore dei costi Microsoft Defender per il cloud

Il calcolatore dei costi Microsoft Defender per il cloud è uno strumento utile per stimare i costi potenziali associati alle esigenze di sicurezza del cloud. Consente di configurare ambienti e piani diversi, fornendo un dettaglio dei costi, inclusi gli sconti applicabili.

Accedere al calcolatore dei costi

Per iniziare a usare Defender per il cloud Calcolatore costi, passare alla sezione Impostazioni ambiente di Microsoft Defender per il cloud. Selezionare il pulsante Calcolatore costi nella sezione superiore dell'interfaccia.

Configurare piani e ambienti Defender per il cloud

Nella prima pagina del calcolatore selezionare il pulsante Aggiungi asset per iniziare ad aggiungere asset al calcolo dei costi. Sono disponibili tre metodi per aggiungere asset:

• Aggiungere asset con uno script: scaricare ed eseguire uno script per aggiungere automaticamente asset esistenti.
• Aggiungere asset da ambienti di cui è stato eseguito l'onboarding: aggiungere asset da ambienti già onboarding a Defender per il cloud.
• Aggiungere asset personalizzati: aggiungere manualmente gli asset senza usare l'automazione.

Aggiungere asset con uno script

1. Scegliere il tipo di ambiente (Azure, AWS o GCP) e copiare lo script in un nuovo file *.ps1.

   Nota

   Lo script raccoglie solo le informazioni a cui l'utente che lo esegue ha accesso.

2. Eseguire lo script nell'ambiente PowerShell 7.X usando un account utente con privilegi. Lo script raccoglie informazioni sugli asset fatturabili e crea un file CSV. Raccoglie informazioni in due passaggi. Innanzitutto, raccoglie il numero corrente di asset fatturabili che in genere rimangono costanti. In secondo luogo, raccoglie informazioni sugli asset fatturabili che possono cambiare molto durante il mese. Per questi asset, controlla l'utilizzo negli ultimi 30 giorni per valutare il costo. È possibile arrestare lo script dopo il primo passaggio, che richiede alcuni secondi. In alternativa, è possibile continuare a raccogliere gli ultimi 30 giorni di utilizzo per gli asset dinamici, che potrebbero richiedere più tempo per gli account di grandi dimensioni.

3. Caricare questo file CSV nella procedura guidata in cui è stato scaricato lo script.

4. Selezionare i piani di Defender per il cloud desiderati. Il calcolatore stima i costi in base alla selezione e agli eventuali sconti esistenti.

Autorizzazioni necessarie per gli script

Questa sezione offre una panoramica delle autorizzazioni necessarie per eseguire gli script per ogni provider di servizi cloud.

Azure

Per eseguire correttamente questo script per ogni sottoscrizione, l'account usato richiede autorizzazioni che lo consentano:

• Individuare ed elencare le risorse (incluse macchine virtuali, account di archiviazione, servizi gestione API, account Cosmos DB e così via).

• Query Resource Graph (tramite Search-AzGraph).

• Leggere le metriche (tramite Get-AzMetric e le API di Monitoraggio di Azure/Insights).

Ruolo predefinito consigliato:

Nella maggior parte dei casi, il ruolo Lettore nell'ambito della sottoscrizione è sufficiente. Il ruolo Lettore fornisce le funzionalità chiave seguenti necessarie per questo script:

• Leggere tutti i tipi di risorse , in modo da elencare e analizzare elementi come account di archiviazione, macchine virtuali, Cosmos DB e Gestione API e così via.
• Leggere le metriche (Microsoft.Insights/metrics/read) in modo che le chiamate a Get-AzMetric o direct azure Monitor REST query abbiano esito positivo.
• Le query di Resource Graph funzionano purché si abbia almeno l'accesso in lettura a tali risorse nella sottoscrizione.

Se si dispone già di ruoli Collaboratore o Proprietario:

• Collaboratore o Proprietario nella sottoscrizione è più che sufficiente (questi ruoli hanno privilegi più elevati rispetto a Reader).
• Lo script non esegue la creazione o l'eliminazione delle risorse. Pertanto, la concessione di ruoli di alto livello (ad esempio Collaboratore/Proprietario) per l'unico scopo della raccolta dei dati potrebbe essere eccessiva dal punto di vista dei privilegi minimi.

Riepilogo:

Concedere all'utente o all'entità servizio il ruolo Lettore (o qualsiasi ruolo con privilegi più elevati) in ogni sottoscrizione su cui si vuole eseguire una query garantisce che lo script possa:

• Recuperare l'elenco di sottoscrizioni.
• Enumerare e leggere tutte le informazioni pertinenti sulle risorse (tramite REST o Az PowerShell).
• Recuperare le metriche necessarie (richieste di Gestione API, consumo di UR per Cosmos DB, ingresso degli account di archiviazione e così via).
• Eseguire query di Resource Graph senza problemi.

AWS

Di seguito è riportata una panoramica delle autorizzazioni necessarie per eseguire correttamente questo script con AWS Identity (utente o ruolo). Lo script enumera le risorse (EC2, RDS, EKS, S3 e così via) e recupera i metadati per tali risorse. Non crea, modifica o elimina risorse, quindi l'accesso in sola lettura è sufficiente nella maggior parte dei casi.

Criteri gestiti di AWS: ReadOnlyAccess o ViewOnlyAccess

L'approccio più semplice consiste nel collegare uno dei criteri di sola lettura predefiniti di AWS all'entità IAM (utente/ruolo) che esegue questo script. Ecco alcuni esempi:

• arn:aws:iam::aws:policy/ReadOnlyAccess
• arn:aws:iam::aws:policy/job-function/ViewOnlyAccess

In entrambi i casi vengono descritte le autorizzazioni di descrizione ed elenco per la maggior parte dei servizi AWS. Se i criteri di sicurezza dell'ambiente lo consentono, ReadOnlyAccess è il modo più semplice per garantire che lo script funzioni in tutte le risorse AWS enumerate.

Servizi chiave e autorizzazioni necessarie:

Se è necessario un approccio più granulare con un criterio IAM personalizzato , di seguito sono riportati i servizi e le autorizzazioni che è necessario consentire:

• EC2
  • ec2:DescribeInstances
  • ec2:DescribeRegions
  • ec2:DescribeInstanceTypes (per il recupero di informazioni vCPU/core)
• SERVIZI DESKTOP REMOTO
  • rds:DescribeDBInstances
• EKS
  • eks:ListClusters
  • eks:DescribeCluster
  • eks:ListNodegroups
  • eks:DescribeNodegroup
• Ridimensionamento automatico (per i gruppi di nodi del servizio Azure Kubernetes)
  • scalabilità automatica:DescribeAutoScalingGroups
• S3
  • s3:ListAllMyBuckets
• M
  • sts:GetCallerIdentity (per recuperare l'ID account AWS)

Inoltre, se è necessario elencare altre risorse non visualizzate nello script o se si prevede di espandere le funzionalità dello script, assicurarsi di concedere le azioni Describe*, List*e Get* appropriate in base alle esigenze.

Riepilogo:

• Il modo più semplice consiste nel collegare i criteri ReadOnlyAccess predefiniti di AWS, che includono già tutte le azioni necessarie per elencare e descrivere EC2, RDS, EKS, S3, risorse di ridimensionamento automatico e chiamare il servizio token di sicurezza per ottenere le informazioni sull'account.
• Se si vogliono disporre di privilegi sufficienti, creare criteri di sola lettura personalizzati con le azioni Describe*, List*e Get* per EC2, RDS, EKS, Ridimensionamento automatico, S3 e STS.

Entrambi gli approcci offrono allo script autorizzazioni sufficienti per:

• Elencare le aree.
• Recuperare i metadati dell'istanza EC2.
• Recuperare le istanze di Servizi Desktop remoto.
• Elencare e descrivere i cluster e i gruppi di nodi del servizio Azure Kubernetes (e i gruppi di ridimensionamento automatico sottostanti).
• Elencare i bucket S3.
• Ottenere l'ID dell'account AWS tramite il servizio token di sicurezza.

In questo modo, lo script può individuare le risorse e recuperare i metadati pertinenti senza creare, modificare o eliminare elementi.

GCP

Di seguito è riportata una panoramica delle autorizzazioni necessarie all'account utente o al servizio GCP per eseguire correttamente questo script. In breve, lo script deve elencare e descrivere le risorse (istanze di vm, cloud SQL, cluster GKE e bucket GCS) nel progetto scelto.

Ruolo predefinito consigliato: Visualizzatore progetti

L'approccio più semplice per garantire l'accesso in sola lettura in tutte queste risorse consiste nel concedere all'utente o all'account del servizio il ruolo ruoli/visualizzatore a livello di progetto (lo stesso progetto selezionato tramite gcloud config set project).

Il ruolo ruoli/visualizzatore include l'accesso in sola lettura alla maggior parte dei servizi GCP all'interno di tale progetto, incluse le autorizzazioni necessarie per:

• Motore di calcolo (elencare istanze di macchina virtuale, modelli di istanza, tipi di computer e così via).
• Cloud SQL (elencare le istanze SQL).
• Motore Kubernetes (elencare cluster, pool di nodi e così via).
• Archiviazione cloud (bucket di elenco).

Autorizzazioni granulari per servizio (se si crea un ruolo personalizzato):

Se si preferisce un approccio più granulare, è possibile creare un ruolo IAM personalizzato o un set di ruoli che concedono collettivamente solo le azioni di lettura-elenco-descrizione necessarie per ogni servizio:

• Motore di calcolo (per istanze di macchine virtuali, aree, modelli di istanza, gestori gruppi di istanze):
  • compute.instances.list
  • compute.regions.list
  • compute.machineTypes.list
  • compute.instanceTemplates.get
  • compute.instanceGroupManagers.get
  • compute.instanceGroups.get
• Cloud SQL:
  • cloudsql.instances.list
• Motore di Google Kubernetes:
  • container.clusters.list
  • container.clusters.get (necessario quando si descrivono i cluster)
  • container.nodePools.list
  • container.nodePools.get
• Archiviazione cloud:
  • storage.buckets.list

Lo script non crea o modifica alcuna risorsa, quindi non richiede autorizzazioni di aggiornamento o eliminazione, ma solo autorizzazioni per l'elenco, il recupero o la descrizione del tipo.

Riepilogo:

• L'uso di ruoli/visualizzatore a livello di progetto è il modo più rapido e semplice per concedere autorizzazioni sufficienti per il successo di questo script.
• Se è necessario l'approccio più rigoroso con privilegi minimi, creare o combinare ruoli personalizzati che includono solo l'elenco/descrivere/ottenere azioni pertinenti per il motore di calcolo, Cloud SQL, GKE e Archiviazione cloud.

Con queste autorizzazioni disponibili, lo script può:

• Eseguire l'autenticazione (account di accesso con autenticazione gcloud).
• Elencare istanze di macchina virtuale, tipi di computer, gestori di gruppi di istanze e così via.
• Elencare le istanze di Cloud SQL.
• Elencare/descrivere cluster GKE e pool di nodi.
• Elencare i bucket GCS.

Questo accesso a livello di lettura consente di enumerare i conteggi delle risorse e raccogliere metadati senza modificare o creare risorse.

Assegnare asset di onboarding

1. Selezionare dall'elenco degli ambienti Azure già onboarding in Defender per il cloud da includere nel calcolo dei costi.

   Nota

   Sono incluse solo le risorse per cui è stata ricevuta l'autorizzazione durante l'onboarding.

2. Scegliere i piani. Il calcolatore stima il costo in base alle selezioni e agli eventuali sconti esistenti.

Assegnare asset personalizzati

1. Scegliere un nome per l'ambiente personalizzato.
2. Specificare i piani e il numero di asset fatturabili per ogni piano.
3. Selezionare i tipi di asset da includere nel calcolo dei costi.
4. Il calcolatore stima i costi in base agli input e agli eventuali sconti esistenti.

Modificare il report

Dopo aver generato il report, è possibile modificare i piani e il numero di asset fatturabili:

1. Scegliere l'ambiente da modificare selezionando l'icona di modifica (matita).
2. Viene visualizzata una pagina di configurazione che consente di modificare i piani, il numero di asset fatturabili e le ore mensili medie.
3. Selezionare il pulsante Ricalcola per aggiornare la stima dei costi.

Esportare il report

Dopo aver soddisfatto il report, è possibile esportarlo come file CSV:

1. Selezionare il pulsante Esporta in CSV nella parte inferiore del pannello Riepilogo a destra.
2. Le informazioni sui costi vengono scaricate come file CSV.

Domande frequenti

Che cos'è il calcolatore dei costi?

Il calcolatore dei costi è uno strumento progettato per semplificare il processo di stima dei costi per le esigenze di protezione della sicurezza. Quando si definisce l'ambito dei piani e degli ambienti desiderati, il calcolatore fornisce una suddivisione dettagliata delle potenziali spese, inclusi eventuali sconti applicabili.

Come funziona il calcolatore dei costi?

Il calcolatore consente di selezionare gli ambienti e i piani da abilitare. Esegue quindi un processo di individuazione per popolare automaticamente il numero di unità fatturabili per ogni piano per ambiente. È anche possibile regolare manualmente le quantità di unità e i livelli di sconto.

Che cos'è il processo di individuazione?

Il processo di individuazione genera un report dell'ambiente selezionato, incluso l'inventario degli asset fatturabili in base ai vari piani Defender per il cloud. Questo processo si basa sulle autorizzazioni utente e sullo stato dell'ambiente al momento dell'individuazione. Per ambienti di grandi dimensioni, questo processo potrebbe richiedere circa 30-60 minuti perché vengono campionati anche asset dinamici.

È necessario concedere un'autorizzazione speciale per il calcolatore dei costi per eseguire il processo di individuazione?

Il calcolatore costi usa le autorizzazioni esistenti dell'utente per eseguire lo script ed eseguire automaticamente l'individuazione, assicurandosi che raccolga i dati necessari senza richiedere ulteriori diritti di accesso. Per informazioni sulle autorizzazioni necessarie per eseguire lo script, vedere la sezione Autorizzazioni necessarie per gli script .

Le stime stimano accuratamente il costo?

Il calcolatore fornisce una stima in base alle informazioni disponibili quando viene eseguito lo script. Vari fattori possono influenzare il costo finale, quindi deve essere considerato un calcolo approssimativo.

Quali sono le unità fatturabili?

Il costo dei piani è basato sulle unità protette. Ogni piano addebita un tipo di unità diverso, disponibile nella pagina impostazioni di Microsoft Defender per il cloud.

È possibile modificare manualmente le stime?

Sì, il calcolatore dei costi consente sia la raccolta automatica dei dati che le regolazioni manuali. È possibile modificare la quantità di unità e i livelli di sconto per riflettere meglio le esigenze specifiche e vedere come queste modifiche influiscono sul costo complessivo.

Il calcolatore supporta più provider di servizi cloud?

Sì, offre supporto multicloud, assicurandosi di ottenere stime accurate dei costi indipendentemente dal provider di servizi cloud.

Come posso condividere la stima dei costi?

Dopo aver generato la stima dei costi, è possibile esportarla e condividerla facilmente per la pianificazione e le approvazioni del budget. Questa funzionalità garantisce che tutti gli stakeholder abbiano accesso alle informazioni necessarie.

Dove posso ottenere assistenza se ho domande?

Il nostro team di supporto è pronto per aiutarti a rispondere a eventuali domande o dubbi che potresti avere. È possibile contattare Microsoft per ricevere assistenza.

Come è possibile provare il calcolatore dei costi?

Vi invitiamo a provare il nuovo calcolatore dei costi e a sperimentare i suoi vantaggi in prima persona. Accedere allo strumento e iniziare a definire l'ambito della protezione necessaria per iniziare. Per usare il calcolatore dei costi Defender per il cloud, passare alla Microsoft Defender per il cloud Impostazioni e selezionare il pulsante Calcolatore costi nella sezione superiore.

Contenuto correlato

• Prezzi di Microsoft Defender per il cloud
• Ottimizzare i costi di Microsoft Defender per il cloud con un piano di preacquisto