Deux agents de sécurité sur le même hôte sous-jacent - Amazon GuardDuty
PrésentationImpactComment GuardDuty gère plusieurs agents

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Deux agents de sécurité sur le même hôte sous-jacent

EC2 Les instances Amazon peuvent prendre en charge plusieurs types de charges de travail. Lorsque vous configurez un agent de sécurité automatique sur une EC2 instance Amazon, la même EC2 instance peut disposer d'un autre agent de sécurité via EKS.

Présentation

Imaginons un scénario dans lequel vous avez activé la surveillance du temps d'exécution. Vous pouvez désormais activer l'agent automatisé pour Amazon EKS via GuardDuty. Vous avez également activé l'agent automatique pour Amazon EC2. Il peut arriver que le même hôte sous-jacent soit installé avec deux agents de sécurité, l'un pour Amazon EKS et l'autre pour Amazon EC2. Cela peut entraîner l'exécution de deux agents de sécurité sur le même hôte, collectant des événements d'exécution et les envoyant à GuardDuty, et générant potentiellement des résultats dupliqués.

Impact

  • Lorsque plusieurs agents de sécurité sont exécutés sur le même hôte, il est possible que votre compte ait besoin de deux fois plus de processeur et de mémoire. Pour plus d'informations sur les limites de processeur et de mémoire pour chaque type de ressource, consultez la section Prérequis relative à cette ressource.

  • GuardDuty a conçu la fonctionnalité de surveillance du temps d'exécution de telle sorte que même si deux agents de sécurité collectent des événements d'exécution auprès du même hôte sous-jacent se chevauchent, votre compte ne sera débité que pour un seul flux d'événements d'exécution.

Comment GuardDuty gère plusieurs agents

GuardDuty détecte lorsque deux agents de sécurité sont exécutés sur le même hôte et désigne un seul d'entre eux comme étant l'agent de sécurité qui collecte activement les événements d'exécution. Le second agent consommera un minimum de ressources système afin d'éviter tout impact sur les performances de vos applications.

GuardDuty prend en compte les scénarios suivants :

  • Lorsqu'une EC2 instance entre dans le champ d'application d'Amazon EKS et des agents EC2 de sécurité Amazon, l'agent de sécurité EKS est prioritaire. Cela ne s'applique que lorsque vous utilisez l'agent de sécurité v1.1.0 ou supérieur pour Amazon EC2. Les anciennes versions de l'agent continueront à s'exécuter et à collecter les événements d'exécution, car les anciennes versions de l'agent ne sont pas affectées par la hiérarchisation.

  • Lorsque Amazon EKS et Amazon EC2 ont tous deux GuardDuty géré des agents de sécurité et que votre EC2 instance Amazon est également gérée par SSM, les deux agents de sécurité sont installés au niveau de l'hôte. Une fois les agents installés, GuardDuty décide quel agent de sécurité continuera de fonctionner. Lorsque les deux agents de sécurité sont en cours d'exécution, un seul d'entre eux finira par collecter les événements d'exécution.

  • Lorsque les agents de sécurité associés à la fois à EKS EC2 et à EKS s'exécutent en même temps, GuardDuty cela peut générer des résultats dupliqués uniquement pendant la période de chevauchement.

    Cela peut se produire lorsque :

    • Les agents de sécurité pour les deux EC2 et pour EKS sont configurés via GuardDuty (automatiquement), ou

    • Votre ressource Amazon EKS dispose d'un agent de sécurité automatisé.

  • Lorsque l'agent de sécurité EKS est déjà en cours d'exécution, si vous le déployez manuellement sur le EC2 même hôte sous-jacent et que vous répondez à toutes les conditions requises, il est GuardDuty possible que vous n'installiez pas un deuxième agent de sécurité.