Zwei Security Agents auf demselben zugrunde liegenden Host - Amazon GuardDuty
ÜbersichtAuswirkungWie GuardDuty geht man mit mehreren Agenten um

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zwei Security Agents auf demselben zugrunde liegenden Host

EC2 Amazon-Instances können mehrere Arten von Workloads unterstützen. Wenn Sie einen automatisierten Security Agent auf einer EC2 Amazon-Instance konfigurieren, verfügt dieselbe EC2 Instance möglicherweise über einen anderen Security Agent über EKS.

Übersicht

Stellen Sie sich ein Szenario vor, in dem Sie Runtime Monitoring aktiviert haben. Jetzt aktivieren Sie den automatisierten Agenten für Amazon EKS über GuardDuty. Sie haben auch den automatisierten Agenten für Amazon aktiviert EC2. Es kann vorkommen, dass derselbe zugrunde liegende Host mit zwei Security Agents installiert wird — einer für Amazon EKS und der andere für Amazon EC2. Dies kann dazu führen, dass zwei Security Agents auf demselben Host laufen, Laufzeitereignisse sammeln und an GuardDuty diese senden und möglicherweise doppelte Ergebnisse generieren.

Auswirkung

  • Wenn mehrere Security Agents auf demselben Host ausgeführt werden, kann es sein, dass Ihr Konto doppelt so viel CPU- und Speicherverarbeitung benötigt. Informationen zu den CPU- und Speicherlimits für jeden Ressourcentyp finden Sie unter Voraussetzungen für diese Ressource.

  • GuardDuty hat die Runtime Monitoring-Funktion so konzipiert, dass Ihr Konto nur für einen Stream von Runtime-Ereignissen belastet wird, selbst wenn sich zwei Security Agents überschneiden, die Runtime-Ereignisse von demselben zugrundeliegenden Host sammeln.

Wie GuardDuty geht man mit mehreren Agenten um

GuardDuty erkennt, wenn zwei Security Agents auf demselben Host laufen, und bestimmt nur einen davon als Security Agent, der aktiv Runtime-Ereignisse sammelt. Der zweite Agent verbraucht nur minimale Systemressourcen, um jegliche Beeinträchtigung der Leistung Ihrer Anwendungen zu verhindern.

GuardDuty berücksichtigt die folgenden Szenarien:

  • Wenn eine EC2 Instance sowohl in den Zuständigkeitsbereich von Amazon EKS als auch von Amazon EC2 Security Agents fällt, hat der EKS-Sicherheitsagent Vorrang. Dies gilt nur, wenn Sie den Security Agent v1.1.0 oder höher für Amazon EC2 verwenden. Ältere Agentenversionen werden weiterhin ausgeführt und sammeln Runtime-Ereignisse, da ältere Agentenversionen von der Priorisierung nicht betroffen sind.

  • Wenn sowohl Amazon EKS als auch Amazon Security Agents GuardDuty verwaltet EC2 haben und Ihre EC2 Amazon-Instance auch SSM-verwaltet wird, werden beide Security Agents auf Host-Ebene installiert. Sobald die Agenten installiert sind, wird GuardDuty entschieden, welcher Security Agent weiterhin ausgeführt wird. Wenn beide Security Agents ausgeführt werden, sammelt letztendlich nur einer von ihnen Runtime-Ereignisse.

  • Wenn die Security Agents, die EC2 sowohl mit EKS verknüpft sind, als auch gleichzeitig ausgeführt werden, GuardDuty kann es nur während der Überschneidung zu doppelten Ergebnissen kommen.

    Dies kann passieren, wenn:

    • Security Agents für beide EC2 und EKS werden GuardDuty (automatisch) konfiguriert, oder

    • Ihre Amazon EKS-Ressource verfügt über einen automatisierten Sicherheitsagenten.

  • Wenn der EKS Security Agent bereits läuft und Sie den EC2 Security Agent manuell auf demselben zugrunde liegenden Host installieren und alle Voraussetzungen erfüllen, wird GuardDuty möglicherweise kein zweiter Security Agent installiert.