Due agenti di sicurezza sullo stesso host sottostante - Amazon GuardDuty
PanoramicaImpattoCome GuardDuty gestisce più agenti

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Due agenti di sicurezza sullo stesso host sottostante

EC2 Le istanze Amazon possono supportare diversi tipi di carichi di lavoro. Quando configuri un agente di sicurezza automatizzato su un' EC2 istanza Amazon, la stessa EC2 istanza potrebbe avere un altro agente di sicurezza tramite EKS.

Panoramica

Prendi in considerazione uno scenario in cui hai abilitato il Runtime Monitoring. Ora puoi abilitare l'agente automatizzato per Amazon EKS tramite GuardDuty. Hai anche abilitato l'agente automatico per Amazon EC2. Può succedere che sullo stesso host sottostante vengano installati due agenti di sicurezza, uno per Amazon EKS e l'altro per Amazon EC2. Ciò potrebbe comportare l'esecuzione di due agenti di sicurezza all'interno dello stesso host, che raccolgono eventi di runtime e li inviano a GuardDuty, generando potenzialmente risultati duplicati.

Impatto

  • Quando più di un security agent è in esecuzione sullo stesso host, il tuo account potrebbe avere il doppio delle esigenze di elaborazione della CPU e della memoria. Per informazioni sui limiti di CPU e memoria per ogni tipo di risorsa, consulta Prerequisiti per quella risorsa.

  • GuardDuty ha progettato la funzionalità Runtime Monitoring in modo tale che, anche in caso di sovrapposizione di due security agent che raccolgono eventi di runtime dallo stesso host sottostante, all'account venga addebitato solo un flusso di eventi di runtime.

Come GuardDuty gestisce più agenti

GuardDuty rileva quando due security agent sono in esecuzione sullo stesso host e ne designa solo uno come agente di sicurezza che raccoglie attivamente gli eventi di runtime. Il secondo agente consumerà risorse di sistema minime in modo da prevenire qualsiasi impatto sulle prestazioni delle applicazioni.

GuardDuty considera i seguenti scenari:

  • Quando un' EC2 istanza rientra nell'ambito sia di Amazon EKS che degli agenti EC2 di sicurezza Amazon, l'agente di sicurezza EKS ha la priorità. Ciò si applica solo quando utilizzi il security agent v1.1.0 o successivo per Amazon. EC2 Le versioni precedenti dell'agente continueranno a funzionare e a raccogliere eventi di runtime perché le versioni precedenti dell'agente non sono influenzate dalla prioritizzazione.

  • Quando sia Amazon EKS che Amazon EC2 dispongono di agenti di sicurezza GuardDuty gestiti e l' EC2istanza Amazon è gestita anche tramite SSM, entrambi gli agenti di sicurezza verranno installati a livello di host. Una volta installati gli agenti, GuardDuty decide quale agente di sicurezza continuerà a funzionare. Quando entrambi i security agent sono in esecuzione, alla fine solo uno di essi raccoglierà gli eventi di runtime.

  • Quando i security agent associati a entrambi EC2 e a EKS vengono eseguiti contemporaneamente, GuardDuty potrebbero generare risultati duplicati solo durante il periodo di sovrapposizione.

    Questo può succedere quando:

    • Gli agenti di sicurezza EC2 sia per EKS che per EKS vengono configurati tramite GuardDuty (automaticamente) o

    • La tua risorsa Amazon EKS dispone di un agente di sicurezza automatizzato.

  • Quando l'agente di sicurezza EKS è già in esecuzione, se lo EC2 distribuisci manualmente sullo stesso host sottostante e soddisfi tutti i prerequisiti, GuardDuty potresti non installare un secondo agente di sicurezza.