处理安装在主机上的双重安全代理 - Amazon GuardDuty
概述影响如何 GuardDuty 处理多个代理
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

处理安装在主机上的双重安全代理

Amazon EC2 实例可以支持多种类型的工作负载。当您在 Amazon EC2 实例上配置自动安全代理时,同一 EC2 实例可能会通过 EKS 使用另一个安全代理。

概述

假设您启用了运行时监控的场景。现在,您可以通过为 Amazon EKS 启用自动代理 GuardDuty。您还为 Amazon EC2 启用了自动代理。可能会发生这样的情况:同一台底层主机安装了两个安全代理,一个用于 Amazon EKS,另一个用于 Amazon EC2。这可能导致两个安全代理在同一主机内运行,收集运行时事件并将其发送到 GuardDuty,并可能生成重复的发现。

影响

  • 当在同一台主机上运行多个安全代理时,您的账户可能会遇到两倍的 CPU 和内存处理需求。有关每种资源类型的 CPU 和内存限制的信息,先决条件 请参见该资源的相关信息。

  • GuardDuty 在设计运行时监控功能时,即使两个安全代理从同一底层主机收集运行时事件存在重叠,也只会向您的账户收取一个运行时事件流的费用。

如何 GuardDuty 处理多个代理

GuardDuty 检测两个安全客户端何时在同一台主机上运行,并仅将其中一个指定为主动收集运行时事件的安全代理。第二个代理将消耗最少的系统资源,以防止对应用程序性能产生任何影响。

GuardDuty 考虑了以下场景:

  • 当 EC2 实例同时属于 Amazon EKS 和 Amazon EC2 安全代理的范围时,EKS 安全代理优先。这仅适用于您使用适用于 Amazon EC2 的安全代理 v1.1.0 或更高版本。较旧的代理版本将继续运行并收集运行时事件,因为较旧的代理版本不受优先级的影响。

  • 当 Amazon EKS 和 Amazon EC2 都 GuardDuty 托管安全代理并且您的 Amazon EC2 实例也由 SSM 托管时,两个安全代理都将在主机级别安装。安装代理后, GuardDuty 决定哪个安全代理将继续运行。当两个安全代理都在运行时,最终只有一个会收集运行时事件。

  • 当与 EC2 和 EKS 关联的安全代理同时运行时, GuardDuty 可能仅在重叠期间生成重复的发现。

    这可能发生在以下情况下:

    • EC2 和 EKS 的安全代理均通过 GuardDuty (自动)进行配置,或者

    • 您的 Amazon EKS 资源具有自动安全代理。

  • 当 EKS 安全代理已在运行时,如果您在同一台底层主机上手动部署 EC2 安全代理并满足所有先决条件,则 GuardDuty 可能无法安装第二个安全代理。