Dos agentes de seguridad en el mismo host subyacente
Las instancias de Amazon EC2 pueden admitir varios tipos de cargas de trabajo. Cuando se configura un agente de seguridad automatizado en una instancia de Amazon EC2, es posible que la misma instancia de EC2 tenga otro agente de seguridad a través de EKS.
Información general
Considere un escenario en el que ha habilitado la Supervisión en tiempo de ejecución. Ahora, habilita el agente automatizado para Amazon EKS a través de GuardDuty. Además, ha habilitado el agente automatizado para Amazon EC2. Puede ocurrir que el mismo host subyacente se instale con dos agentes de seguridad: uno para Amazon EKS y otro para Amazon EC2. Esto podría dar lugar a que dos agentes de seguridad se ejecuten en el mismo host, recopilen eventos en tiempo de ejecución, los envíen a GuardDuty y, potencialmente, generen resultados duplicados.
Impact
-
Cuando hay más de un agente de seguridad en ejecución en el mismo host, es posible que la cuenta experimente el doble de demanda de CPU y memoria. Para obtener más información acerca de los límites de CPU y memoria para cada tipo de recurso, consulte Requisitos previos para ese recurso.
-
GuardDuty ha diseñado la característica de Supervisión en tiempo de ejecución para garantizar que, incluso si dos agentes de seguridad recopilan eventos en tiempo de ejecución del mismo host subyacente, la cuenta solo incurra en un cargo por una única secuencia de eventos en tiempo de ejecución.
Cómo GuardDuty gestiona a varios agentes
GuardDuty detecta cuando dos agentes de seguridad se ejecutan en el mismo host y designa solo a uno de los dos como el agente de seguridad que recopila activamente los eventos en tiempo de ejecución. El segundo agente consumirá un mínimo de recursos del sistema para evitar cualquier impacto en el rendimiento de las aplicaciones.
GuardDuty considera las siguientes situaciones:
-
Cuando una instancia de EC2 entra en el ámbito tanto de los agentes de seguridad de Amazon EKS como de Amazon EC2, el agente de seguridad de EKS tiene prioridad. Esto se aplicará únicamente si utiliza la versión 1.1.0 o posterior del agente de seguridad para Amazon EC2. Las versiones más antiguas de los agentes seguirán en ejecución y aún recopilarán eventos en tiempo de ejecución, ya que las versiones más antiguas no se ven afectadas por la priorización.
-
Cuando tanto Amazon EKS como Amazon EC2 tienen agentes de seguridad administrados de GuardDuty y la instancia de Amazon EC2 también es administrada por SSM, ambos agentes de seguridad se instalarán a nivel de host. Una vez instalados los agentes, GuardDuty decidirá qué agente de seguridad se mantendrá en ejecución. Cuando ambos agentes de seguridad se ejecutan, finalmente solo uno de ellos recopila eventos en tiempo de ejecución.
-
Si los agentes de seguridad asociados a EC2 y EKS se ejecutan al mismo tiempo, es posible que GuardDuty genere resultados duplicados únicamente durante el periodo de superposición.
Esto puede ocurrir si:
-
Los agentes de seguridad tanto para EC2 como para EKS se configuran a través de GuardDuty (automáticamente), o bien
-
El recurso de Amazon EKS cuenta con un agente de seguridad automatizado.
-
-
Cuando el agente de seguridad de EKS se encuentra en ejecución, si se implementa manualmente el agente de seguridad de EC2 en el mismo host subyacente y se cumplen todos los requisitos previos, es posible que GuardDuty no instale un segundo agente de seguridad.
