Matrice de prise en charge des conteneurs dans Defender pour le cloud
Article
Attention
Cet article fait référence à CentOS qui est une distribution Linux dont la fin de service est prévue pour le 30 juin 2024. Veuillez considérer votre utilisation et votre planification en conséquence. Pour plus d’informations, consultez l’aide relative à la fin de vie de CentOS.
Cet article résume les informations de prise en charge des capacités de conteneur dans Microsoft Defender pour le cloud.
Remarque
Des fonctionnalités spécifiques sont en préversion. Les conditions supplémentaires pour les préversions Azure incluent d’autres conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.
Seules les versions d’AKS, EKS et GKE prises en charge par le fournisseur de cloud sont officiellement prises en charge par Defender pour le cloud.
Voici les fonctionnalités fournies par Defender pour conteneurs, pour les environnements cloud et les registres de conteneurs pris en charge.
Fonctionnalités d’évaluation des vulnérabilités (VA)
Clouds nationaux : Azure Government, Azure géré par 21Vianet
Activation en volume du conteneur d’exécution
Évaluations des vulnérabilités de l’exécution d’images conteneur
Indépendant de la source du registre de conteneurs
APERÇU (Le conteneur avec des images ACR est en disponibilité générale)
GA
Nécessite une analyse sans agent pour les machines et l’accès à l’API K8S ou le capteur Defender1
Defender pour conteneurs ou CSPM Defender
Clouds informatiques commerciaux
Clouds nationaux : Azure Government, Azure géré par 21Vianet
1Clouds nationaux sont automatiquement activés et ne peuvent pas être désactivés.
Fonctionnalité
Description
Ressources prises en charge
État de mise en production Linux
État de mise en production Windows
Méthode d’activation
Plans
Disponibilité des clouds
Registre de conteneurs VA
Évaluations des vulnérabilités pour les images dans les registres de conteneurs
ECR
GA
GA
Nécessite l’accès au Registre
Defender pour conteneurs ou CSPM Defender
AWS
Activation en volume du conteneur d’exécution
Évaluations des vulnérabilités de l’exécution d’images conteneur
Registres de conteneurs pris en charge
APERÇU
-
Nécessite une analyse sans agent pour les machines et l’accès à l’API K8S ou le capteur Defender
Defender pour conteneurs ou CSPM Defender
AWS
Fonctionnalité
Description
Ressources prises en charge
État de version de Linux
État de mise en production Windows
Méthode d’activation
Plans
Disponibilité du cloud
Registre de conteneurs VA
Évaluations des vulnérabilités pour les images dans les registres de conteneurs
GAR, GCR
GA
GA
Activer le bouton bascule Accès au registre
Defender pour conteneurs ou CSPM Defender
AWS
Activation en volume du conteneur d’exécution
Évaluations des vulnérabilités de l’exécution d’images conteneur
Registres de conteneurs pris en charge
Aperçu
-
Nécessite une analyse sans agent pour les machines et l’accès à l’API K8S ou le capteur Defender
Defender pour conteneurs ou CSPM Defender
GCP
Fonctionnalité
Description
Ressources prises en charge
État de sortie Linux
État de version de Windows
Méthode d’activation
Plans
Disponibilité du cloud
Registre de conteneurs VA
Évaluations des vulnérabilités pour les images dans les registres de conteneurs
Docker Hub, JFrog Artifactory
Aperçu
Aperçu
Création du connecteur
Defender pour conteneurs ou CSPM Defender
N/D
Prise en charge des registres et des images pour l’évaluation des vulnérabilités
Aspect
Détails
Registres et images
Pris en charge * Images de conteneur au format Docker V2 * Images avec Spécification du format d’image Open Container Initiative (OCI) Non pris en charge * Les images super minimalistes telles que les images de base Docker ne sont actuellement pas prises en charge * Référentiels publics * Listes de manifestes
Systèmes d’exploitation
Pris en charge * Alpine Linux 3.12-3.21 * Red Hat Enterprise Linux 6-9 * CentOS 6-9 (CentOS a atteint la fin de service le 30 juin 2024). Pour plus d’informations, consultez l’aide sur la fin de vie de CentOS.) * Oracle Linux 6-9 * Amazon Linux 1, 2 * openSUSE Leap, openSUSE Tumbleweed * SUSE Enterprise Linux 11-15 * Debian GNU/Linux 7-12 * Google Distroless (basé sur Debian GNU/Linux 7-12) * Ubuntu 12.04-22.04 * Fedora 31-37 * Azure Linux 1-2 * Windows server 2016, 2019, 2022
Packages spécifiques au langage
Pris en charge * Python * Node.js * PHP * Ruby * Rust * .NET * Java * Go
1 Tous les clusters Kubernetes certifiés CNCF (Cloud Native Computing Foundation) doivent être pris en charge, mais seuls les clusters spécifiés ont été testés.
Pris en charge via Kubernetes avec Arc12 * Kubernetes Non pris en charge * Clusters privés EKS
1 Les clusters Kubernetes certifiés CNCF (Cloud Native Computing Foundation) doivent être pris en charge, mais seuls les clusters spécifiés ont été testés.
Pris en charge via Kubernetes avec Arc12 * Kubernetes
Non pris en charge * Clusters de réseau privé * Autopilot GKE * GKE AuthorizedNetworksConfig
1 Les clusters Kubernetes certifiés CNCF (Cloud Native Computing Foundation) doivent être pris en charge, mais seuls les clusters spécifiés ont été testés.
1 Les clusters Kubernetes certifiés CNCF (Cloud Native Computing Foundation) doivent être pris en charge, mais seuls les clusters spécifiés ont été testés.
Fournit la découverte sans empreinte basée sur l’API des clusters Kubernetes, leurs configurations et leurs déploiements.
AKS
GA
GA
Nécessite l’accès à l’API K8S
Defender pour les conteneurs OU CSPM Defender
Clouds commerciaux Azure
Fonctionnalités d’inventaire complètes
Vous permet d’explorer les ressources, les pods, les services, les référentiels, les images et les configurations via l’Explorateur de sécurité pour surveiller et gérer facilement vos ressources.
ACR, AKS
GA
GA
Nécessite l’accès à l’API K8S
Defender pour les conteneurs OU CSPM Defender
Clouds commerciaux Azure
Analyse du chemin d’attaque
Algorithme graphique qui analyse le graphique de sécurité du cloud. Les analyses révèlent les chemins exploitables par les attaquants pour pénétrer dans votre environnement.
ACR, AKS
GA
GA
Nécessite l’accès à l’API K8S
Defender CSPM
Clouds commerciaux Azure
Amélioration de la chasse aux risques
Permet aux administrateurs de sécurité de rechercher activement des problèmes de posture dans leurs ressources conteneurisées via des requêtes (intégrées et personnalisées) et des insights de sécurité dans l’Explorateur de sécurité.
Évalue en permanence les configurations de vos clusters et les compare aux initiatives appliquées à vos abonnements. Lorsqu’il trouve des configurations incorrectes, Defender pour Cloud génère des recommandations de sécurité disponibles sur la page Recommandations de Defender pour cloud. Les recommandations vous permettent d’examiner et de corriger les problèmes.
ACR, AKS
GA
GA
Activé avec le plan
Gratuit
Clouds commerciaux
Clouds nationaux : Azure Government, Azure géré par 21Vianet
Protégez les charges de travail de vos conteneurs Kubernetes avec des recommandations de meilleures pratiques.
AKS
GA
-
Nécessite Azure Policy
Gratuit
Clouds commerciaux
Clouds nationaux : Azure Government, Azure géré par 21Vianet
CIS Azure Kubernetes Service
Benchmark CIS Azure Kubernetes Service
AKS
GA
-
Assigné comme norme de sécurité
Defender pour les conteneurs OU CSPM Defender
Services cloud commerciaux
1 Cette fonctionnalité peut être activée pour un cluster individuel lors de l’activation de Defender pour les conteneurs au niveau de la ressource de cluster.
Fournit la découverte sans empreinte basée sur l’API des clusters Kubernetes, leurs configurations et leurs déploiements.
EKS
GA
GA
Nécessite l’accès à l’API K8S
Defender pour les conteneurs OU CSPM Defender
Clouds commerciaux Azure
Fonctionnalités d’inventaire complètes
Vous permet d’explorer les ressources, les pods, les services, les référentiels, les images et les configurations via l’Explorateur de sécurité pour surveiller et gérer facilement vos ressources.
ERC, EKS
GA
GA
Nécessite l’accès à l’API K8S
Defender pour les conteneurs OU CSPM Defender
AWS
Analyse du chemin d’attaque
Algorithme graphique qui analyse le graphique de sécurité du cloud. Les analyses révèlent les chemins exploitables par les attaquants pour pénétrer dans votre environnement.
ERC, EKS
GA
GA
Nécessite l’accès à l’API K8S
CSPM Defender (nécessite la détection sans agent pour que Kubernetes soit activé)
AWS
Amélioration de la chasse aux risques
Permet aux administrateurs de sécurité de rechercher activement des problèmes de posture dans leurs ressources conteneurisées via des requêtes (intégrées et personnalisées) et des insights de sécurité dans l’Explorateur de sécurité.
Évalue en permanence les configurations de vos clusters et les compare aux initiatives appliquées à vos abonnements. Lorsqu’il trouve des configurations incorrectes, Defender pour Cloud génère des recommandations de sécurité disponibles sur la page Recommandations de Defender pour cloud. Les recommandations vous permettent d’examiner et de corriger les problèmes.
Fournit la découverte sans empreinte basée sur l’API des clusters Kubernetes, leurs configurations et leurs déploiements.
GKE
GA
GA
Nécessite l’accès à l’API K8S
Defender pour les conteneurs OU CSPM Defender
GCP
Fonctionnalités d’inventaire complètes
Vous permet d’explorer les ressources, les pods, les services, les référentiels, les images et les configurations via l’Explorateur de sécurité pour surveiller et gérer facilement vos ressources.
GCR, GAR, GKE
GA
GA
Nécessite l’accès à l’API K8S
Defender pour les conteneurs OU CSPM Defender
GCP
Analyse du chemin d’attaque
Algorithme graphique qui analyse le graphique de sécurité du cloud. Les analyses révèlent les chemins exploitables par les attaquants pour pénétrer dans votre environnement.
GCR, GAR, GKE
GA
GA
Nécessite l’accès à l’API K8S
Defender CSPM
GCP
Chasse aux risques renforcée
Permet aux administrateurs de sécurité de rechercher activement des problèmes de posture dans leurs ressources conteneurisées via des requêtes (intégrées et personnalisées) et des insights de sécurité dans l’Explorateur de sécurité.
Évalue en permanence les configurations de vos clusters et les compare aux initiatives appliquées à vos abonnements. Lorsqu’il trouve des configurations incorrectes, Defender pour Cloud génère des recommandations de sécurité disponibles sur la page Recommandations de Defender pour cloud. Les recommandations vous permettent d’examiner et de corriger les problèmes.
Fournit la découverte sans empreinte basée sur l’API des clusters Kubernetes, leurs configurations et leurs déploiements.
-
-
-
-
-
-
Fonctionnalités d’inventaire complètes
Vous permet d’explorer les ressources, les pods, les services, les référentiels, les images et les configurations via l’Explorateur de sécurité pour surveiller et gérer facilement vos ressources.
-
-
-
-
-
-
Analyse du chemin d’attaque
Algorithme graphique qui analyse le graphique de sécurité du cloud. Les analyses révèlent les chemins exploitables par les attaquants pour pénétrer dans votre environnement.
-
-
-
-
-
-
Amélioration de la détection des risques
Permet aux administrateurs de sécurité de rechercher activement des problèmes de posture dans leurs ressources conteneurisées via des requêtes (intégrées et personnalisées) et des insights de sécurité dans l’Explorateur de sécurité.
Évalue en permanence les configurations de vos clusters et les compare aux initiatives appliquées à vos abonnements. Lorsqu’il trouve des configurations incorrectes, Defender pour Cloud génère des recommandations de sécurité disponibles sur la page Recommandations de Defender pour cloud. Les recommandations vous permettent d’examiner et de corriger les problèmes.
Protégez les charges de travail de vos conteneurs Kubernetes avec des recommandations de meilleures pratiques.
Cluster Kubernetes avec Arc
GA
-
Nécessite l’approvisionnement automatique de l’extension Azure Policy pour Azure Arc
Defender pour les conteneurs
Cluster Kubernetes activé par Arc
CIS Azure Kubernetes Service
Benchmark CIS Azure Kubernetes Service
Machines virtuelles avec Arc
APERÇU
-
Désigné comme norme de sécurité
Defender pour les conteneurs OU CSPM Defender
Cluster Kubernetes activé par Arc
Fonctionnalité
Description
Ressources prises en charge
État de sortie Linux
État de mise en production Windows
Méthode d’activation
Plans
Disponibilité du cloud
Fonctionnalités d’inventaire complètes
Vous permet d’explorer les ressources, les pods, les services, les référentiels, les images et les configurations via l’Explorateur de sécurité pour surveiller et gérer facilement vos ressources.
Docker Hub, JFrog Artifactory
APERÇU
APERÇU
Création du connecteur
CSPM de base OU CSPM Defender OU Defender pour les conteneurs
-
Analyse du chemin d’attaque
Algorithme graphique qui analyse le graphique de sécurité du cloud. Les analyses révèlent les chemins exploitables par les attaquants pour pénétrer dans votre environnement.
Docker Hub, JFrog Artifactory
Aperçu
Aperçu
Création du connecteur
Defender CSPM
-
Amélioration de la chasse aux risques
Permet aux administrateurs de sécurité de rechercher activement des problèmes de posture dans leurs ressources conteneurisées via des requêtes (intégrées et personnalisées) et des insights de sécurité dans l’Explorateur de sécurité.
Docker Hub, JFrog
APERÇU
APERÇU
Création du connecteur
Defender pour les conteneurs OU CSPM Defender
Fonctionnalités de protection de la chaîne d'approvisionnement des logiciels de conteneurs
Les proxys sortants sans authentification et les proxys sortants avec l’authentification de base sont pris en charge. Les proxys sortants qui attendent des certificats approuvés ne sont pas pris en charge actuellement.
Clusters avec restrictions IP
Dans AWS, si des restrictions d’adresses IP du plan de contrôle sont activées dans votre cluster Kubernetes (consultez Contrôle d’accès au point de terminaison du cluster – Amazon EKS), la configuration des restrictions d’adresses IP du plan de contrôle est mise à jour pour inclure le bloc CIDR de Microsoft Defender for Cloud.
Aspect
Détails
Prise en charge du proxy sortant
Les proxys sortants sans authentification et les proxys sortants avec l’authentification de base sont pris en charge. Les proxys sortants qui attendent des certificats approuvés ne sont pas pris en charge actuellement.
Clusters avec restrictions IP
Si votre cluster Kubernetes dans GCP a des restrictions IP de plan de contrôle activées (voir GKE - Ajouter des réseaux autorisés pour l’accès au plan de contrôle ), la configuration de restriction IP du plan de contrôle est mise à jour pour inclure le bloc CIDR de Microsoft Defender pour cloud.
Aspect
Détails
Prise en charge du proxy sortant
Les proxys sortants sans authentification et les proxys sortants avec l’authentification de base sont pris en charge. Les proxys sortants qui attendent des certificats approuvés ne sont pas pris en charge actuellement.
Systèmes d’exploitation hôtes pris en charge
Defender pour les conteneurs dépend du capteur Defender pour plusieurs fonctionnalités. Le capteur Defender est pris en charge uniquement avec le noyau Linux 5.4 et versions ultérieures, sur les systèmes d’exploitation hôtes suivants :
Amazon Linux 2
CentOS 8 (CentOS a atteint la fin de service le 30 juin 2024). Pour plus d’informations, consultez l’aide sur la fin de vie de CentOS.)
Debian 10
Debian 11
Système d’exploitation optimisé Google Container
Azure Linux 1.0
Azure Linux 2.0
Red Hat Enterprise Linux 8
Ubuntu 16.04
Ubuntu 18.04
Ubuntu 20.04
Ubuntu 22.04
Vérifiez que votre nœud Kubernetes s’exécute sur l’un de ces systèmes d’exploitation vérifiés. Les clusters avec des systèmes d’exploitation hôtes non pris en charge ne bénéficient pas des avantages des fonctionnalités reposant sur le capteur Defender.
Limitations du capteur Defender
Le capteur Defender dans AKS V1.28 et versions antérieures n’est pas pris en charge sur les nœuds ARM64.