ECS on Fargate構成でのSysdig導入における全体費用感を把握してみよう

こんにちはカスタマーソリューション部のこーへいです！

皆さんはSysdigを検討したものの、実際に導入した際の費用感のイメージがつかず困ったことはないでしょうか。

今回は「Sysdigを利用するためのライセンス費」と「Sysdig環境に必要なAWSリソース費」の観点にて解説しますので、本記事がSysdig導入の一助となれば幸いです。

Sysdig Secureとは

簡単に説明すると、Sysdig Secureは実行されているコンテナで発生した攻撃を検知・防御するランタイムセキュリティと呼ばれるカテゴリの製品です。

“GuardDutyとSysdigのランタイムセキュリティ機能を比較してみる”というタイトルで LTしました#hibiyatechより

最近では、GuardDutyがランタイムセキュリティ機能をサポート(詳しくは【総まとめ】GuardDutyによるコンテナランタイム脅威検知の注意事項と設定手順と検出の様子 #AWSreInventにて)しました。

GuardDutyのランタイム機能とSysdigとの詳細な違いはこちらを確認していただくとして、Sysdigの強みはランタイムセキュリティ機能に特化している部分であり、現在ではランタイムセキュリティ製品としてデファクトスタンダード的存在になっていると言っても良いでしょう。

結論

以下を前提とした場合の具体例では1ヶ月あたり合計約56ドルほどの費用がかかる。

• 前提
  • 一ヶ月(31日)安定的にECSタスクが2台起動している
  • Auto Scalingは使用しない
  • 「Secure Workload Sec CaaS」のライセンスを2つ購入済み
• 利用費
  • ライセンス費用
    • 「Secure Workload Sec CaaS」の12ドル×2タスク分のライセンス=24ドル
  • AWSリソース費用(固定費のみ)
    • Orchestrator AgentECSタスクの約11~2ドル
    • NLBの固定費部分約20ドル
• 合計費用
  • 24ドル+12ドル+20ドル=1ヶ月あたり約56ドル

※各種変動費(ログや通信費など)等は省略しております。本記事では費用感の把握を目的としてしており厳密な費用を担保するものではありません。
※2024年4月時点での計算となります。

料金解説

こちらでは「Sysdigを利用するためのライセンス費」と「Sysdig環境に必要なAWSリソース費」の2種を解説いたします。

ライセンス費

今回、ライセンスはAWSのマーケットプレイスからの購入を前提といたします。

Sysdig Cloud Security and Observabilityより

項目が色々ありますが、ECS Fargate環境で考える必要のある項目は上記画像の赤枠部分の2つです。

• Secure Workload Sec CaaS
  • 監視するECSタスク1つあたりのライセンス費用
  • 月額版ライセンスだと12ドル/月、年額版ライセンスだと10ドル/月(以降、月額版ライセンス費をベースに具体例等を記載します)
• Additional usage fee for Secure Workload Security CaaS
  • 購入したライセンスでは時間が不足した場合に発生する延長料のようなもの
  • イメージが付きやすいのはAuto Scalingを使用している場合で、2タスク分のライセンス費用しか購入していないのにスケールアウトにより一時的に4タスクになった場合など不足することが考えられる(具体例は後ほど)
  • 一ヶ月を31日とした場合、1時間あたりの「Secure Workload Sec CaaS」のコストは12ドル/744≒0.016ドルなので、1時間あたりの「Additional usage fee for Secure Workload Security CaaS」のコストは0.0３ドルとほぼ倍なので出来るだけこちらのコストを払わないように済むライセンスの購入方法を考えたい

具体例

「費用項目だけを説明されてもイメージわかないよ！」という声が聞こえてくるので具体例を考えました。

パターン1

• 前提
  • 一ヶ月(31日)安定的にECSタスクが2台起動している
  • Auto Scalingは使用しない
  • 「Secure Workload Sec CaaS」のライセンスを2つ購入済み
• 利用費
  • 「Secure Workload Sec CaaS」の12ドル×2=24ドル
• 合計費用
  • 24ドル

パターン2

• 前提
  • 一ヶ月(31日)基本的にECSタスクが2台起動している
  • Auto Scalingを使用しており、月に10時間だけスケールアウトし4タスクが起動している時間があった
  • 「Secure Workload Sec CaaS」のライセンスを2つ購入済み
• 利用費
  • 「Secure Workload Sec CaaS」の12ドル×2=24ドル
  • 「Additional usage fee for Secure Workload Security CaaS」の0.03ドル×10時間×2タスク=0.6ドル
• 合計費用
  • 24.6ドル

AWSリソース費

下記構成図と東京リージョンの価格を前提といたします。また各種コンポーネントについてはこちらの記事もご参照ください。

Sysdig Serverless Agentで保護しているAWS Fargateに対する脅威検知テストより

• Orchestrator Agent
  • 独立したECSタスク1台を用意
  • ワークロードによるものの、250タスク程度までであれば0.25vCPU 、512MB分のスペックでの利用実績がある模様
    • その場合は約11~2ドル/月程度
• NLB
  • 監視対象のコンテナを監視しているWorkload Agent(サイドカーコンテナ)で発生したイベントをOrchestrator Agentに通信するために必要
  • 料金のNLCU要素は変動するので、一旦NLBの固定費約20ドル/月
• Workload Agent
  • 監視対象のコンテナとサイドカーコンテナとしてECSタスク内に同居
  • エージェントなしのECSタスクに対してCPUで1.25x程度、メモリは200MB程度プラスするイメージ
  • ワークロードによるため一旦考慮外とする
• NAT Gateway
  • Orchestrator AgentがSysdig社管理のサーバーと通信するために必要
  • 構成によるので一旦考慮外とする
• その他
  • 各種リソースが増えた分等のログ費用や通信費等は考慮外とする

上記を前提とするとAWSリソースの合計費用は約30ドル~からとなる。

結論(再掲)

• 前提
  • 一ヶ月(31日)安定的にECSタスクが2台起動している
  • Auto Scalingは使用しない
  • 「Secure Workload Sec CaaS」のライセンスを2つ購入済み
• 利用費
  • ライセンス費用
    • 「Secure Workload Sec CaaS」の12ドル×2タスク分のライセンス=24ドル
  • AWSリソース費用(固定費のみ)
    • Orchestrator AgentECSタスクの約11~2ドル
    • NLBの固定費部分約20ドル
• 合計費用
  • 24ドル+12ドル+20ドル=1ヶ月あたり約56ドル

まとめ

Sysdigの費用感イメージが湧きましたでしょうか？試算してみることで個人的にはかなり安くて良い製品だなと感じました。

皆さんも是非ランタイムセキュリティ製品としてSysdigを検討してみてください。本記事がSysdig導入の一助となれば幸いです。

その他参考

• Sysdig Documentation Hub
• Amazon ECS の料金
• Elastic Load Balancing 料金表