Zwei Security Agents auf demselben zugrunde liegenden Host - Amazon GuardDuty
-ÜbersichtAuswirkungWie GuardDuty geht man mit mehreren Agenten um

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zwei Security Agents auf demselben zugrunde liegenden Host

Amazon EC2 EC2-Instances können mehrere Arten von Workloads unterstützen. Wenn Sie einen automatisierten Security Agent auf einer Amazon EC2 EC2-Instance konfigurieren, verfügt dieselbe EC2-Instance möglicherweise über EKS über einen anderen Security Agent.

-Übersicht

Stellen Sie sich ein Szenario vor, in dem Sie Runtime Monitoring aktiviert haben. Jetzt aktivieren Sie den automatisierten Agenten für Amazon EKS über GuardDuty. Sie haben auch den automatisierten Agenten für Amazon EC2 aktiviert. Es kann vorkommen, dass derselbe zugrunde liegende Host mit zwei Security Agents installiert wird — einer für Amazon EKS und der andere für Amazon EC2. Dies kann dazu führen, dass zwei Security Agents auf demselben Host laufen, Laufzeitereignisse sammeln und an GuardDuty diese senden und möglicherweise doppelte Ergebnisse generieren.

Auswirkung

  • Wenn mehr als ein Security Agent auf demselben Host ausgeführt wird, kann es sein, dass Ihr Konto doppelt so viel CPU- und Speicherverarbeitung benötigt. Informationen zu den CPU- und Speicherlimits für jeden Ressourcentyp finden Sie unter Voraussetzungen für diese Ressource.

  • GuardDuty hat die Runtime Monitoring-Funktion so konzipiert, dass Ihr Konto nur für einen Stream von Runtime-Ereignissen belastet wird, selbst wenn sich zwei Security Agents überschneiden, die Runtime-Ereignisse von demselben zugrundeliegenden Host sammeln.

Wie GuardDuty geht man mit mehreren Agenten um

GuardDuty erkennt, wenn zwei Security Agents auf demselben Host laufen, und bestimmt nur einen davon als Security Agent, der aktiv Runtime-Ereignisse sammelt. Der zweite Agent verbraucht nur minimale Systemressourcen, um jegliche Beeinträchtigung der Leistung Ihrer Anwendungen zu verhindern.

GuardDuty berücksichtigt die folgenden Szenarien:

  • Wenn eine EC2-Instance sowohl in den Geltungsbereich von Amazon EKS als auch von Amazon EC2-Sicherheitsagenten fällt, hat der EKS-Sicherheitsagent Vorrang. Dies gilt nur, wenn Sie den Security Agent v1.1.0 oder höher für Amazon EC2 verwenden. Ältere Agentenversionen werden weiterhin ausgeführt und sammeln Runtime-Ereignisse, da ältere Agentenversionen von der Priorisierung nicht betroffen sind.

  • Wenn sowohl Amazon EKS als auch Amazon EC2 Security Agents GuardDuty verwaltet haben und Ihre Amazon EC2 EC2-Instance ebenfalls SSM-verwaltet wird, werden beide Security Agents auf Host-Ebene installiert. Sobald die Agenten installiert sind, wird GuardDuty entschieden, welcher Security Agent weiter ausgeführt wird. Wenn beide Security Agents ausgeführt werden, sammelt letztendlich nur einer von ihnen Runtime-Ereignisse.

  • Wenn die Security Agents, die sowohl EC2 als auch EKS zugeordnet sind, gleichzeitig ausgeführt werden, GuardDuty kann es nur während der Überschneidungszeit zu doppelten Ergebnissen kommen.

    Dies kann passieren, wenn:

    • Security Agents für EC2 und EKS werden GuardDuty (automatisch) konfiguriert, oder

    • Ihre Amazon EKS-Ressource verfügt über einen automatisierten Sicherheitsagenten.

  • Wenn der EKS Security Agent bereits läuft und Sie den EC2 Security Agent manuell auf demselben zugrunde liegenden Host bereitstellen und alle Voraussetzungen erfüllen, wird GuardDuty möglicherweise kein zweiter Security Agent installiert.