Dois agentes de segurança no mesmo host subjacente
As instâncias do Amazon EC2 podem suportar vários tipos de workloads. Ao configurar o agente de segurança automatizado em uma instância do Amazon EC2, a mesma instância do EC2 pode ter outro agente de segurança por meio do EKS.
Visão geral
Considere um cenário em que se tenha ativado o Monitoramento de runtime. Agora, habilite o agente automatizado para o Amazon EKS usando o GuardDuty. O agente automatizado para o Amazon EC2 também foi habilitado. Pode acontecer de o mesmo host subjacente ser instalado com dois agentes de segurança: um para o Amazon EKS e outro para o Amazon EC2. Isso pode resultar em dois agentes de segurança funcionando dentro do mesmo host, coletando eventos de runtime e enviando-os ao GuardDuty, gerando potencialmente descobertas duplicadas.
Impacto
-
Quando há mais de um agente de segurança em execução no mesmo host, sua conta pode ter o dobro das necessidades de processamento de CPU e memória. Para obter informações sobre os limites de CPU e memória para cada tipo de recurso, consulte Pré-requisitos para esse recurso.
-
O GuardDuty projetou o atributo de Monitoramento de runtime de forma que, mesmo que haja uma sobreposição de dois agentes de segurança coletando eventos de runtime do mesmo host subjacente, será cobrado de sua conta apenas um fluxo de eventos de runtime.
Como o GuardDuty lida com vários agentes
O GuardDuty detecta quando dois agentes de segurança estão sendo executados no mesmo host e designa apenas um deles como o agente de segurança que coleta ativamente os eventos de runtime. O segundo agente consumirá recursos mínimos do sistema para evitar qualquer impacto no desempenho de seus aplicativos.
O GuardDuty considera os seguintes cenários:
-
Quando uma instância do EC2 se enquadra no escopo dos agentes de segurança do Amazon EKS e do Amazon EC2, o agente de segurança EKS tem prioridade. Isso se aplicará somente quando o agente de segurança v1.1.0 ou superior for usado para o Amazon EC2. As versões mais antigas do agente continuarão sendo executadas e coletando eventos de runtime porque as versões mais antigas do agente não são afetadas pela priorização.
-
Quando o Amazon EKS e o Amazon EC2 tiverem agentes de segurança gerenciados pelo GuardDuty e sua instância do Amazon EC2 também for gerenciada por SSM, os dois agentes de segurança serão instalados no nível do host. Depois que os agentes são instalados, o GuardDuty decide qual agente de segurança continuará sendo executado. Quando os dois agentes de segurança estiverem em execução, em algum momento, apenas um deles coletará eventos de runtime.
-
Quando os agentes de segurança associados ao EC2 e ao EKS são executados ao mesmo tempo, o GuardDuty pode gerar descobertas duplicadas somente durante o período de sobreposição.
Isso pode acontecer se:
-
Os agentes de segurança do EC2 e do EKS são configurados por meio do GuardDuty (automaticamente) ou
-
O recurso do Amazon EKS utilizado tem um agente de segurança automatizado.
-
-
Quando o agente de segurança EKS já estiver em execução, caso o agente de segurança EC2 seja implantado manualmente no mesmo host subjacente e atenda a todos os pré-requisitos, é possível que o GuardDuty não instale um segundo agente de segurança.
