[新产品/新功能] AWS Network Firewall 现已支持通过 Transit Gateway 进行灵活的成本分摊

**发布时间:** 2025-11-21 **厂商:** AWS **类型:** WHATSNEW **原始链接:** https://aws.amazon.com/about-aws/whats-new/2025/11/network-firewall-flexible-cost-allocation/ ---  [新产品/新功能] AWS Network Firewall 现已支持通过 Transit Gateway 进行灵活的成本分摊   # 产品功能分析 ## 新功能/新产品概述 AWS Network Firewall 推出了一项与 **AWS Transit Gateway** 集成的新功能，支持灵活的成本分摊。该功能旨在解决在集中式网络安全架构中，所有网络流量检测成本都归集到防火墙所有者账户的痛点。 - **核心定义**：该功能允许组织根据实际网络流量使用情况，将 **AWS Network Firewall** 的数据处理费用自动分配给不同的AWS账户。 - **技术原理**：通过创建新的 **计量策略 (metering policies)**，系统可以根据预设的组织内部成本回收（Chargeback）要求，将费用归属到产生流量的源账户或目标账户。这依赖于 **AWS Transit Gateway** 的原生附件（native attachments）机制，该机制能够识别并追踪跨账户的流量来源。 - **目标用户**：在大型企业中负责管理集中式安全基础设施的安全团队和网络团队，以及负责云成本管理的FinOps团队。 - **市场定位**：此功能是针对企业级客户的一项关键FinOps（云财务运营）能力增强。它强化了AWS在集中式安全治理和分布式成本问责场景下的解决方案成熟度，使得采用“中心辐射型”（Hub-and-Spoke）网络架构更具财务可行性。 ## 关键客户价值 - **自动化成本分摊与内部计费** - 彻底改变了以往所有费用集中在单一账户的模式，实现了基于“谁使用，谁付费”原则的自动化成本归属。 - 无需再依赖自定义的成本管理脚本或第三方工具来手动拆分账单，显著降低了安全和财务团队的运营开销。 - **提升财务透明度与成本问责制** - 使应用团队或业务部门能够清晰地看到其业务流量所产生的安全检测成本，从而促进成本意识，推动构建更具成本效益的应用架构。 - 将安全成本与业务价值直接挂钩，加强了各部门的成本责任感。 - **巩固集中式安全架构的优势** - 通过解决成本归属这一核心障碍，降低了企业采纳集中式“检测VPC”（Inspection VPC）模型的门槛。 - 安全团队可以在不成为组织财务瓶颈的前提下，统一实施和管理网络安全策略，实现了安全治理与财务敏捷性的平衡。 - **无额外费用，降低采纳门槛** - 该功能本身不产生额外费用，客户只需支付标准的 **AWS Network Firewall** 和 **AWS Transit Gateway** 使用费，这大大降低了企业启用此功能的决策成本。 ## 关键技术洞察 - **与AWS Transit Gateway的深度原生集成** - 该功能的核心实现强依赖于 **AWS Transit Gateway** 作为网络枢纽的角色。Transit Gateway能够天然地识别连接到它的每个VPC及其所属账户，为流量的来源追溯和成本归属提供了基础数据。 - **基于元数据的流量计量机制** - 成本分摊并非简单的平均分配，而是基于*实际使用量*。这表明其底层机制能够近乎实时地追踪通过防火墙端点的网络流，并利用来自 **AWS Transit Gateway** 附件的元数据（如源VPC、源账户ID）对流量进行标记和计量。 - **策略驱动的声明式管理** - 引入 **计量策略** 提供了一种声明式（declarative）的管理方式。管理员只需定义成本分摊的规则，而无需关心底层复杂的流量追踪和计费集成逻辑，这使得配置和管理更加简单、可靠且易于扩展。 ## 其他信息 - **广泛的区域可用性** - 该功能在支持 **AWS Network Firewall** 和 **AWS Transit Gateway** 附件的所有AWS商业区域和中国区域同步上线，表明这是一项经过充分验证的全球性功能，而非区域性预览。 - **提升生态系统竞争力** - 此功能是AWS针对企业级客户运营痛点的直接回应，显著提升了其网络安全解决方案在FinOps维度的成熟度，使其在与Azure Firewall、Google Cloud Firewall等竞品的中心化部署方案比较中，具备了更强的财务管理和治理优势。   # AWS Network Firewall 现已支持通过 Transit Gateway 实现灵活的成本分摊 **原始链接:** [https://aws.amazon.com/about-aws/whats-new/2025/11/network-firewall-flexible-cost-allocation/](https://aws.amazon.com/about-aws/whats-new/2025/11/network-firewall-flexible-cost-allocation/) **发布时间:** 2025-11-21 **厂商:** AWS **类型:** WHATSNEW --- # AWS Network Firewall 现已支持通过 Transit Gateway 实现灵活的成本分摊发布于: 2025年11月21日 [AWS Network Firewall](https://aws.amazon.com/network-firewall/) 现已通过 [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/) 的原生附件 (native attachments) 支持灵活的成本分摊 (flexible cost allocation)，使您能够自动将数据处理成本分配到不同的 AWS 账户。客户可以创建计量策略 (metering policies)，根据其组织的内部成本分摊要求来应用数据处理费用，而无需将所有费用都整合到防火墙所有者账户中。此功能通过将费用根据实际使用情况分配给应用程序团队，帮助安全和网络团队更好地管理集中式防火墙成本。组织现在可以保持集中式安全控制，同时自动将检测成本分配给相应的业务部门或应用程序所有者，从而无需使用自定义成本管理解决方案。灵活的成本分摊功能已在所有支持 AWS Network Firewall 和 Transit Gateway 附件的 [AWS 商业区域](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/) 和亚马逊中国区域上线。除了 [AWS Network Firewall](https://aws.amazon.com/network-firewall/pricing/) 和 [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/pricing/) 的标准定价外，使用此附件或灵活的成本分摊功能不会产生额外费用。要了解更多信息，请访问 AWS Network Firewall 服务[文档](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-creating.html) 。