RAPORT TCO: Chmura czy On-Premise?
dla rozwiązań SIEM/SOAR

Raport został podzielony na dwa scenariusze: Średnia Organizacja (200GB dziennie) oraz Duża Instytucja (1TB dziennie), ponieważ skala może zmieniać opłacalność poszczególnych modeli. W raporcie porównuję budowę własnej serwerowni w standardach Tier 1 – Tier 4 z rozwiązaniem chmurowym klasy SaaS, który wygrał ranking SIEM (Microsoft Azure). Celem raportu jest obiektywne porównanie dwóch typów rozwiązań tej samej klasy oraz pokazanie w którym scenariuszu występuje przewaga rozwiązania chmurowego, a w którym on-premise.

ABC rozwiązania w chmurze

Tutaj (np. Microsoft Azure, AWS, Google) nie kupujesz sprzętu, a usługę. Korzystasz z mocy obliczeniowej czyjejś serwerowni.
PLUSYŁatwiejsze wdrożenie: Postawienie nowoczesnego SOC w chmurze to kwestia konfiguracji, a nie śrubokręta. Klikasz i działasz (o ile znasz się). Potężna analityka (AI): Chmura daje dostęp do modeli sztucznej inteligencji i Threat Intelligence, które uczą się na atakach z całego świata. Wykrywają zagrożenia szybciej, niż zrobiłby to jakikolwiek człowiek. Skalowalność: Masz atak DDoS i ilość logów skacze o 1000%? Chmura rozciągnie się w chwilę, by to obsłużyć. Bezpieczeństwo fizyczne: Nie oszukujmy się – data center Microsoftu (Tier 4+) jest lepiej strzeżone fizycznie niż jakakolwiek firmowa serwerownia w Polsce.
MINUSYPułapka kosztowa (OPEX): Model "płać za użycie" jest świetny, dopóki ktoś nie popełni błędu w konfiguracji. Źle ustawiona retencja logów może wygenerować ogromny rachunek. To wymaga dyscypliny finansowej . Model współdzielonej odpowiedzialności: Dostawca chroni chmurę, ale Ty musisz chronić to, co w niej trzymasz. Wiele wycieków to wina złej konfiguracji klienta, a nie awarii chmury.


ABC rozwiązania on-premise

To klasyczne podejście. Kupujesz sprzęt, stawiasz go u siebie. Masz poczucie pełnej kontroli, bo widzisz mrugające diody.
PLUSYTotalna suwerenność: Dane fizycznie nie opuszczają Twojego budynku. Możesz odciąć kabel od Internetu ("air-gap") i stworzyć system całkowicie odizolowany. Dla niektórych branż (wojsko, specyficzne finanse) to jedyna opcja. Przewidywalność kosztów (CAPEX): Płacisz raz za sprzęt i licencje. Przez kolejne 3-5 lat koszty są stałe. Nie zaskoczy Cię faktura za to, że system "przemielił" w nocy za dużo danych. Niezależność: Nie martwisz się zmianą cennika dostawcy chmury czy zerwanym łączem internetowym. Twój system działa, dopóki masz prąd.
MINUSYIluzja bezpieczeństwa: Wiele firm myśli, że firewall na brzegu sieci załatwia sprawę. To błąd. Zbudowanie u siebie systemu klasy światowej (z SIEM, SOAR i analizą behawioralną) jest koszmarnie drogie i trudne w utrzymaniu. Brak elastyczności: Potrzebujesz więcej mocy na "już"? Zapomnij. Proces zakupowy, dostawa i montaż serwera to tygodnie. W cyberbezpieczeństwie to wieczność. Utrzymanie to dodatkowe etaty: Ty odpowiadasz za wszystko od wymiany dysków, przez klimatyzację, po aktualizację każdego kawałka softu. Nie tylko Twój zespół analityczny SIEM powinien pracować całą dobę, ale także zespół odpowiedzialny za obsługę serwerowni - to ogromny koszt jeśli chcesz to zrobić dobrze.

SCENARIUSZRozwiązanieInwestycja "Na wejściu" (Gotówka)Średni koszt miesięczny (Utrzymanie)TCO po 3 latach (Całość)
200 GB1. Microsoft Sentinel0 zł79 000 zł2 850 000 zł
2. Splunk (Wynajem DC)400 000 zł76 000 zł3 130 000 zł
3. Splunk (Własne DC)1 100 000 zł74 000 zł3 750 000 zł
1 TB1. Microsoft Sentinel0 zł360 000 zł13 020 000 zł
2. Splunk (Wynajem DC)1 800 000 zł300 000 zł12 600 000 zł
3. Splunk (Własne DC)3 800 000 zł303 000 zł14 700 000 zł

Raport TCO
Total Cost of Ownership

W chmurze Microsoft (Sentinel + Defender) otrzymujemy usługę w standardzie Tier 4+ z Geo-Redundancją. Oznacza to, że dane są replikowane w trzech niezależnych budynkach w jednym regionie (Availability Zones) - np. Polska, dodatkowo mogą być kopiowane do innego kraju (Geo-DR).

Aby zbudować to samo samemu ("On-Premise"), musimy wyposażyć i utrzymać DWA ośrodki:

  1. Site A (Produkcja): Klaster wydajnościowy (przetwarzanie logów).

  2. Site B (Zapas - DR): Ośrodek oddalony o min. 10-20km, zdolny przejąć 100% ruchu.

  3. Łącze DCI: Światłowód do replikacji danych w czasie rzeczywistym.

Kluczowe założenia analizy (Rok 2025/2026)

  1. Kurs waluty: 1 USD = 4,10 PLN.

  2. Architektura On-Premise (Klasa Azure):

      1. Site A (Produkcja): Klaster wydajnościowy (przetwarzanie logów).

      2. Site B (Zapas - DR): Ośrodek oddalony o min. 10-20km, zdolny przejąć 100% ruchu.

      3. Łącze DCI: Światłowód do replikacji danych w czasie rzeczywistym.


  3. Licencja Microsoft 365 E5:

    • Uwzględniono Data Grant (5 MB/użytkownika/dzień gratis).

    • Uwzględniono darmowy import logów z usług Microsoft (Office 365, Defender alerts, Defender for Cloud Apps), co realnie obniża płatny wolumen o ok. 15-20%.

  4. Personel (Koszty ukryte):

    • Chmura: 0 PLN za utrzymanie infrastruktury (robi to Microsoft).

    • On-Premise: Wymagany zespół inżynierów (utrzymanie OS, macierzy, sieci, klastra Splunk).

SCENARIUSZ 1:
200 GB logów dziennie

Przy tym wolumenie koszty stałe rozwiązania On-Premise (utrzymanie dwóch serwerowni i personelu) są nieproporcjonalnie wysokie, co czyni chmurę bezkonkurencyjną.

1. Chmura: Microsoft Sentinel

Model operacyjny (OpEx). Brak kosztów sprzętowych.

  • Licencje i Infrastruktura:

    • Wykorzystanie poziomu rezerwacji (Commitment Tier) 200 GB dla Sentinel i Log Analytics.

    • Zysk z E5: Przyjęto organizację 2 000 pracowników. Zysk z grantu (10 GB) + darmowe źródła Microsoft (np. 30 GB) oznaczają, że realnie płacisz za ~160 GB, ale korzystasz z Tieru 200 GB (ryczałt).

    • Koszt dzienny (West Europe): ~640 USD.

    • Koszt roczny: 640 USD * 365 * 4,10 PLN ≈ 957 000 PLN.

  • Personel infrastrukturalny: 0 PLN (w cenie usługi).

  • CapEx (Inwestycja na start): 0 PLN.

2. On-Premise: Splunk (HA + DR w 2 lokalizacjach)

  • Licencja: Splunk Enterprise Term (200GB). Koszt rynkowy ok. 550 000 PLN rocznie.

  • Sprzęt (Hardware): Wymagane łącznie 8-10 serwerów (4-5 na lokalizację) + Storage.

    • Amortyzacja roczna (3 lata): ~130 000 PLN.

  • Personel (Utrzymanie): Wymagany 1 etat Administratora Systemów/Infrastruktury (nie mylić z analitykiem SOC).

    • Koszt pracodawcy: 240 000 PLN rocznie.

Wariant A: Wynajem Serwerowni (Kolokacja) Wynajem 2 szaf (po 1 w każdym DC) u operatorów Tier III (np. Equinix/Atman).

  • Czynsz + Prąd + Łącze między DC: ~120 000 PLN rocznie.

  • SUMA ROCZNA (TCO): 550k + 130k + 240k + 120k = 1 040 000 PLN.

Wariant B: Budowa własnych serwerowni (Klasa Azure) Budowa dwóch serwerowni klasy Tier III dla jednej szafy jest ekonomicznym absurdem.

  • Inwestycja (CapEx): Adaptacja dwóch pomieszczeń (klimatyzacja precyzyjna N+1, gaszenie gazem, podłoga techniczna, UPS, Agregat). Min. 350 tys. PLN na lokalizację.

    • Łącznie na start: 700 000 PLN.

  • Utrzymanie (OpEx): Prąd, serwis agregatów, klimatyzacji: ~80 000 PLN rocznie.

  • SUMA ROCZNA (TCO z amortyzacją): ~1 140 000 PLN.

Wniosek (200 GB): Sentinel jest tańszy, a przede wszystkim bezpieczniejszy finansowo (brak 700 tys. PLN inwestycji w mury).

SCENARIUSZ 2: 1 TB (1000 GB) logów dziennie

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.