Attenzione
Questo articolo fa riferimento a CentOS, una distribuzione Linux che rappresenta la fine del servizio a partire dal 30 giugno 2024. Si prega di considerare il proprio utilizzo e pianificare di conseguenza. Per ulteriori informazioni, consultare la Guida alla fine del ciclo di vita di CentOS.
Questo articolo riepiloga le informazioni sul supporto per le funzionalità dei contenitori in Microsoft Defender per il cloud.
Nota
- Le funzionalità specifiche sono in anteprima. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
- Solo le versioni di AKS, EKS e GKE supportate dal fornitore del Cloud sono ufficialmente supportate da Defender per il Cloud.
Di seguito sono riportate le funzionalità fornite da Defender per contenitori, per gli ambienti cloud supportati e i registri contenitori.
Funzionalità di valutazione della vulnerabilità
| Funzionalità |
Descrizione |
Risorse supportate |
Stato della versione Linux |
Stato della versione Windows |
Metodo di abilitazione |
Piani |
Disponibilità dei cloud |
| Registro dei contenitori VA |
Valutazioni delle vulnerabilità per le immagini nei registri contenitori |
ACR |
GA |
GA |
Richiede accesso al Registro di sistema 1 |
Defender per contenitori o Defender CSPM |
Servizi cloud commerciali
Cloud nazionali: Azure per enti pubblici, Azure con gestione 21Vianet |
| Contenitore di runtime attivazione di contratti multilicenza |
Valutazioni delle vulnerabilità dell'esecuzione di immagini del contenitore |
Indipendente dall'origine del registro contenitori |
Anteprima
(Il contenitore con immagini ACR è in disponibilità generale) |
GA |
Richiede analisi senza agente per i computer e o l'accesso API K8S o il sensore Defender1 |
Defender per contenitori o Defender CSPM |
Cloud commerciali
Cloud nazionali: Azure per enti pubblici, Azure con gestione 21Vianet |
1cloud nazionali vengono abilitati automaticamente e non possono essere disabilitati.
| Funzionalità |
Descrizione |
Risorse supportate |
Stato della versione Linux |
Stato della versione Windows |
Metodo di abilitazione |
Piani |
Disponibilità dei cloud |
| Registro dei contenitori VA |
Valutazioni delle vulnerabilità per le immagini nei registri contenitori |
ECR |
GA |
GA |
Richiede accesso al Registro di sistema |
Defender per contenitori o Defender CSPM |
AWS |
| Contenitore di runtime attivazione di contratti multilicenza |
Valutazioni delle vulnerabilità dell'esecuzione di immagini del contenitore |
Registri contenitori supportati |
Anteprima |
- |
Richiede analisi senza agente per i computer e o accesso API K8S o il sensore di Defender |
Defender per contenitori o Defender CSPM |
AWS |
| Funzionalità |
Descrizione |
Risorse disponibili |
Stato della versione Linux |
Stato della versione Windows |
Metodo di abilitazione |
Piani |
Disponibilità dei cloud |
| Registro contenitori attivazione di contratti multilicenza |
Valutazioni delle vulnerabilità per le immagini nei registri contenitori |
GAR, GCR |
GA |
GA |
Abilitare l'interruttore di accesso al Registro di sistema |
Defender per contenitori o Defender CSPM |
AWS |
| Contenitore di runtime attivazione di contratti multilicenza |
Valutazioni delle vulnerabilità dell'esecuzione di immagini del contenitore |
Registri contenitori supportati |
Anteprima |
- |
Richiede analisi senza agente per i computer e o accesso API K8S o il sensore di Defender |
Defender per contenitori o Defender CSPM |
GCP (Google Cloud Platform) |
| Funzionalità |
Descrizione |
Risorse supportate |
Stato della versione Linux |
Stato della versione Windows |
Metodo di abilitazione |
Piani |
Disponibilità dei cloud |
| Registro contenitori attivazione di contratti multilicenza |
Valutazioni delle vulnerabilità per le immagini nei registri contenitori |
Docker Hub, JFrog Artifactory |
Anteprima |
Anteprima |
Creazione del connettore |
Defender per contenitori o Defender CSPM |
ND |
Supporto di registri e immagini per la valutazione della vulnerabilità
| Aspetto |
Dettagli |
| Registri e immagini |
Supportata
* Immagini del contenitore in formato Docker V2
Immagini con specifica del formato di immagine Open Container Initiative (OCI)
Non supportata
* Immagini super-minimaliste, come le immagini Docker scratch, non sono attualmente supportate.
* Repository pubblici
* Elenchi di manifesti
|
| Sistemi operativi |
Supportata
* Alpine Linux 3.12-3.21
* Red Hat Enterprise Linux 6-9
* CentOS 6-9 (CentOS è End Of Service a partire dal 30 giugno 2024. Per altre informazioni, vedere le linee guida per la fine della vita di CentOS.
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless (basato su Debian GNU/Linux 7-12)
* Ubuntu 12.04-22.04
* Fedora 31-37
* Azure Linux 1-2
* Windows server 2016, 2019, 2022 |
Pacchetti specifici della lingua
|
Supportata
*Pitone
* Node.js
* PHP
*Rubino
* Rust
* .NET
*Giava
* Go |
Funzionalità di protezione del runtime
| Funzionalità |
Descrizione |
Risorse supportate |
Stato della versione Linux |
Stato della versione Windows |
Metodo di abilitazione |
Piani |
Disponibilità dei cloud |
| Rilevamento del piano di controllo |
Rilevamento di attività sospette per Kubernetes in base all'audit trail di Kubernetes |
Servizio Azure Kubernetes |
GA |
GA |
Abilitato con piano |
Defender per contenitori o Defender CSPM |
Cloud commerciali Cloud nazionali: Azure per enti pubblici, Azure gestito da 21Vianet |
| Rilevamento del carico di lavoro |
Monitora i carichi di lavoro in contenitori per le minacce e invia avvisi ad attività sospette |
Servizio Azure Kubernetes |
GA |
- |
Richiede un sensore Defender |
Defender per contenitori |
Cloud commerciali e cloud nazionali: Azure per enti pubblici, Azure gestito da 21Vianet |
| Rilevamento della deriva binaria |
Rileva il file binario del contenitore di runtime dall'immagine del contenitore |
Servizio Azure Kubernetes |
GA |
GA |
Richiede un sensore Defender |
Defender per contenitori |
Cloud commerciali |
| Ricerca avanzata in XDR |
Visualizzare gli eventi imprevisti e gli avvisi del cluster in Microsoft XDR |
Servizio Azure Kubernetes |
Anteprima: attualmente supporta i log di controllo degli eventi del processo & |
Anteprima: attualmente supporta i log di controllo e gli eventi di processo |
Richiede un sensore Defender |
Defender per contenitori |
Cloud commerciali e cloud nazionali: Azure per enti pubblici, Azure gestito da 21Vianet |
| Azioni di risposta in XDR |
Fornisce correzioni automatiche e manuali in Microsoft XDR |
Servizio Azure Kubernetes |
Anteprima |
Anteprima |
Richiede un sensore Defender e un'API di accesso K8S |
Defender per contenitori |
Cloud commerciali e cloud nazionali: Azure per enti pubblici, Azure gestito da 21Vianet |
| Rilevamento di malware |
Rilevamento di malware |
Nodi del servizio Azure Kubernetes |
Anteprima |
Anteprima |
Richiede l'analisi senza agente per i computer |
Defender per contenitori o Defender per server piano 2 |
Cloud commerciali |
Distribuzioni e configurazioni di Kubernetes per la protezione dalle minacce di runtime in Azure
1 I cluster Kubernetes certificati Cloud Native Computing Foundation (CNF) sono potenzialmente supportati, ma sono stati testati in Azure solo i cluster specificati.
2 Per ottenere la protezione di Microsoft Defender per contenitori per gli ambienti, è necessario eseguire l'onboarding di Kubernetes abilitato per Azure Arc e abilitare Defender per contenitori come estensione Arc.
Nota
Per altri requisiti per la protezione del carico di lavoro Kubernetes, vedere limitazioni esistenti.
| Funzionalità |
Descrizione |
Risorse supportate |
Stato della versione Linux |
Stato della versione Windows |
Metodo di abilitazione |
Piani |
Disponibilità dei cloud |
| Rilevamento del piano di controllo |
Rilevamento di attività sospette per Kubernetes in base all'audit trail di Kubernetes |
EKS |
GA |
GA |
Abilitato con piano |
Defender per contenitori o Defender CSPM |
AWS |
| Rilevamento del carico di lavoro |
Monitora i carichi di lavoro in contenitori per le minacce e invia avvisi ad attività sospette |
EKS |
GA |
- |
Richiede un sensore Defender |
Defender per contenitori |
AWS |
| Rilevamento della deriva binaria |
Rileva il file binario del contenitore di runtime dall'immagine del contenitore |
EKS |
GA |
GA |
Richiede un sensore Defender |
Defender per contenitori |
AWS |
| Ricerca avanzata in XDR |
Visualizzare gli eventi imprevisti e gli avvisi del cluster in Microsoft XDR |
EKS |
Anteprima: supporta attualmente i log di controllo degli eventi di processo & |
Anteprima: attualmente supporta i log di controllo e gli eventi del processo & |
Richiede un sensore Defender |
Defender per contenitori |
AWS |
| Azioni di risposta in XDR |
Fornisce correzioni automatiche e manuali in Microsoft XDR |
EKS |
Anteprima |
Anteprima |
Richiede un sensore Defender e un'API di accesso K8S |
Defender per contenitori |
AWS |
| Rilevamento di malware |
Rilevamento di malware |
- |
- |
- |
- |
- |
- |
Supporto di distribuzioni/configurazioni kubernetes per la protezione dalle minacce di runtime in AWS
1 I cluster Kubernetes certificati Cloud Native Computing Foundation (CNF) sono potenzialmente supportati, ma sono stati testati solo i cluster specificati.
2 Per ottenere la protezione di Microsoft Defender per contenitori per gli ambienti, è necessario eseguire l'onboarding di Kubernetes abilitato per Azure Arc e abilitare Defender per contenitori come estensione Arc.
Nota
Per altri requisiti per la protezione del carico di lavoro Kubernetes, vedere limitazioni esistenti.
| Funzionalità |
Descrizione |
Risorse supportate |
Stato della versione Linux |
Stato della versione Windows |
Metodo di abilitazione |
Piani |
Disponibilità dei cloud |
| Rilevamento del piano di controllo |
Rilevamento di attività sospette per Kubernetes in base all'audit trail di Kubernetes |
GKE |
GA |
GA |
Abilitato con piano |
Defender per contenitori |
GCP (Piattaforma Cloud di Google) |
| Rilevamento del carico di lavoro |
Monitora i carichi di lavoro in contenitori per le minacce e invia avvisi ad attività sospette |
GKE |
GA |
- |
Richiede un sensore Defender |
Defender per contenitori |
GCP |
| Rilevamento della deriva binaria |
Rileva il file binario del contenitore di runtime dall'immagine del contenitore |
GKE |
GA |
GA |
Richiede un sensore Defender |
Defender per contenitori |
GCP |
| Ricerca avanzata in XDR |
Visualizzare gli eventi imprevisti e gli avvisi del cluster in Microsoft XDR |
GKE |
Anteprima: attualmente supporta i log di controllo e gli eventi di processo |
Anteprima: attualmente supporta i log di controllo e gli eventi di processo |
Richiede un sensore Defender |
Defender per contenitori |
GCP (Google Cloud Platform) |
| Azioni di risposta in XDR |
Fornisce correzioni automatiche e manuali in Microsoft XDR |
GKE |
Anteprima |
Anteprima |
Richiede un sensore Defender e un'API di accesso K8S |
Defender per contenitori |
GCP |
| Rilevamento di malware |
Rilevamento di malware |
- |
- |
- |
- |
- |
- |
Supporto delle distribuzioni/configurazioni Kubernetes per la protezione dalle minacce durante il runtime in GCP
| Aspetto |
Dettagli |
| Distribuzioni e configurazioni Kubernetes |
Supportata
* Google Kubernetes Engine (GKE) Standard
Supportato tramite Kubernetes abilitato per Arc12
* Kubernetes
Non supportata
* Cluster di rete privata
* Autopilot GKE
* GKE AuthorizedNetworksConfig |
1 I cluster Kubernetes certificati Cloud Native Computing Foundation (CNF) sono potenzialmente supportati, ma sono stati testati solo i cluster specificati.
2 Per ottenere la protezione di Microsoft Defender per contenitori per gli ambienti, è necessario eseguire l'onboarding di Kubernetes abilitato per Azure Arc e abilitare Defender per contenitori come estensione Arc.
Nota
Per altri requisiti per la protezione del carico di lavoro Kubernetes, vedere limitazioni esistenti.
| Funzionalità |
Descrizione |
Risorse supportate |
Stato della versione Linux |
Stato della versione Windows |
Metodo di abilitazione |
Piani |
Disponibilità dei cloud |
| Rilevamento del piano di controllo |
Rilevamento di attività sospette per Kubernetes in base all'audit trail di Kubernetes |
Cluster K8s abilitati per Arc |
Anteprima |
Anteprima |
Richiede un sensore Defender |
Defender per contenitori |
|
| Rilevamento del carico di lavoro |
Monitora i carichi di lavoro in contenitori per le minacce e invia avvisi ad attività sospette |
Cluster Kubernetes con abilitazione di Arc |
Anteprima |
- |
Richiede un sensore Defender |
Defender per contenitori |
|
| Rilevamento della deriva binaria |
Rileva il file binario del contenitore di runtime dall'immagine del contenitore |
|
- |
- |
- |
- |
- |
| Ricerca avanzata in XDR |
Visualizzare gli eventi imprevisti e gli avvisi del cluster in Microsoft XDR |
Cluster Kubernetes con abilitazione di Arc |
Anteprima: attualmente supporta i log di controllo e gli eventi di processo |
Visualizzazione di Anteprima: attualmente supporta i log di controllo degli eventi di processo & |
Richiede un sensore Defender |
Defender per contenitori |
|
| Azioni di risposta in XDR |
Fornisce correzioni automatiche e manuali in Microsoft XDR |
- |
- |
- |
- |
- |
|
| Rilevamento di malware |
Rilevamento di malware |
- |
- |
- |
- |
- |
- |
Distribuzioni/configurazioni di Kubernetes per la protezione dalle minacce di runtime in Kubernetes con abilitazione di Arc
1 I cluster Kubernetes certificati Cloud Native Computing Foundation (CNF) sono potenzialmente supportati, ma sono stati testati solo i cluster specificati.
2 Per ottenere la protezione di Microsoft Defender per contenitori per gli ambienti, è necessario eseguire l'onboarding di Kubernetes abilitato per Azure Arc e abilitare Defender per contenitori come estensione Arc.
Nota
Per altri requisiti per la protezione del carico di lavoro Kubernetes, vedere limitazioni esistenti.
Funzionalità di gestione del comportamento di sicurezza
| Funzionalità |
Descrizione |
Risorse supportate |
Stato della versione Linux |
Stato della versione Windows |
Metodo di abilitazione |
Piani |
Disponibilità dei cloud |
| Scoperta senza agente in Kubernetes1 |
Fornisce una scoperta senza impronta, basata su API, dei cluster Kubernetes, delle loro configurazioni e distribuzioni. |
Servizio Azure Kubernetes |
GA |
GA |
Richiede accesso all'API K8S |
Defender per contenitori O Defender CSPM |
Cloud commerciali di Azure |
| Funzionalità complete di inventario |
Consente di esplorare risorse, pod, servizi, repository, immagini e configurazioni tramite Esploratore sicurezza per monitorare e gestire facilmente gli asset. |
ACR, AKS |
GA |
GA |
Richiede accesso all'API K8S |
Defender per contenitori O Defender CSPM |
Cloud commerciali di Azure |
| Analisi del percorso di attacco |
Un algoritmo a base di grafi che scansiona il grafo della sicurezza cloud. Le analisi espongono percorsi sfruttabili che gli utenti malintenzionati potrebbero usare per violare l'ambiente. |
ACR, AKS |
GA |
GA |
Richiede accesso all'API K8S |
CSPM Defender |
Cloud commerciali di Azure |
| Ricerca avanzata dei rischi |
Consente agli amministratori della sicurezza di cercare attivamente problemi di comportamento negli asset in contenitori tramite query (predefinite e personalizzate) e informazioni dettagliate sulla sicurezza in Esploratore sicurezza. |
ACR, AKS |
GA |
GA |
Richiede accesso all'API K8S |
Defender per contenitori O Defender CSPM |
Cloud commerciali di Azure |
| Rafforzamento del piano di controllo1 |
Valuta continuamente le configurazioni dei cluster e le confronta con le iniziative applicate alle sottoscrizioni. Quando rileva errori di configurazione, Defender per il cloud genera raccomandazioni sulla sicurezza disponibili nella pagina Raccomandazioni di Defender per il cloud. Le raccomandazioni consentono di analizzare e correggere i problemi. |
ACR, AKS |
GA |
GA |
Abilitato con piano |
Gratuito |
Servizi cloud commerciali
Cloud nazionali: Azure per enti pubblici, Azure con gestione 21Vianet |
| Indurimento del carico di lavoro1 |
Proteggere i carichi di lavoro dei contenitori Kubernetes con raccomandazioni sulle procedure consigliate. |
Servizio Azure Kubernetes |
GA |
- |
Richiede Criteri di Azure |
Gratuito |
Cloud commerciali
Cloud nazionali: Azure per enti pubblici, Azure con gestione 21Vianet |
| CIS Azure Kubernetes Service |
Benchmark servizio Azure Kubernetes CIS |
Servizio Azure Kubernetes |
GA |
- |
Assegnato come standard di sicurezza |
Defender per contenitori O Defender CSPM |
Cloud commerciali
|
1 Questa funzionalità può essere abilitata per un singolo cluster quando si abilita Defender per contenitori a livello di risorsa cluster.
| Funzionalità |
Descrizione |
Risorse supportate |
Stato della versione Linux |
Stato della versione Windows |
Metodo di abilitazione |
Piani |
Disponibilità dei cloud |
| Scoperta senza agente per Kubernetes |
Fornisce una scoperta dei cluster Kubernetes basata su API con impatto nullo, insieme alle relative configurazioni e distribuzioni. |
EKS |
GA |
GA |
Richiede accesso all'API K8S |
Defender per contenitori O Defender CSPM |
Cloud commerciali di Azure |
| Funzionalità complete di inventario |
Consente di esplorare risorse, pod, servizi, repository, immagini e configurazioni tramite Esploratore sicurezza per monitorare e gestire facilmente gli asset. |
ECR, EKS |
GA |
GA |
Richiede accesso all'API K8S |
Defender per contenitori O Defender CSPM |
AWS |
| Analisi del percorso di attacco |
Algoritmo basato su grafo che analizza il grafo della sicurezza cloud. Le analisi espongono percorsi sfruttabili che gli utenti malintenzionati potrebbero usare per violare l'ambiente. |
ECR, EKS |
GA |
GA |
Richiede accesso all'API K8S |
Defender CSPM (richiede l'abilitazione dell'individuazione senza agente per Kubernetes) |
AWS |
| Individuazione avanzata dei rischi |
Consente agli amministratori della sicurezza di cercare attivamente problemi di comportamento negli asset in contenitori tramite query (predefinite e personalizzate) e informazioni dettagliate sulla sicurezza in Esploratore sicurezza. |
ECR, EKS |
GA |
GA |
Richiede accesso all'API K8S |
Defender per contenitori O Defender CSPM |
AWS |
| Rafforzamento del piano di controllo |
Valuta continuamente le configurazioni dei cluster e le confronta con le iniziative applicate alle sottoscrizioni. Quando rileva errori di configurazione, Defender per il cloud genera raccomandazioni sulla sicurezza disponibili nella pagina Raccomandazioni di Defender per il cloud. Le raccomandazioni consentono di analizzare e correggere i problemi. |
- |
- |
- |
- |
- |
- |
| Irrobustimento del carico di lavoro |
Proteggere i carichi di lavoro dei contenitori Kubernetes con raccomandazioni sulle procedure consigliate. |
EKS |
GA |
- |
Richiede il provisioning automatico dell'estensione Criteri di Azure per Azure Arc |
Gratuito |
AWS |
| Servizio Azure Kubernetes CIS |
Benchmark servizio Azure Kubernetes CIS |
EKS |
GA |
- |
Assegnato come standard di sicurezza |
Defender per contenitori O Defender CSPM |
AWS |
| Funzionalità |
Descrizione |
Risorse supportate |
Stato della versione Linux |
Stato della versione Windows |
Metodo di abilitazione |
Piani |
Disponibilità dei cloud |
| Scoperta senza agente per Kubernetes |
Fornisce un footprint zero, l'individuazione basata su API dei cluster Kubernetes, le relative configurazioni e distribuzioni. |
GKE |
GA |
GA |
Richiede accesso all'API K8S |
Defender per contenitori O Defender CSPM |
GCP |
| Funzionalità complete di inventario |
Consente di esplorare risorse, pod, servizi, repository, immagini e configurazioni tramite Esploratore sicurezza per monitorare e gestire facilmente gli asset. |
GCR, GAR, GKE |
GA |
GA |
Richiede accesso all'API K8S |
Defender per contenitori O Defender CSPM |
GCP (Google Cloud Platform) |
| Analisi del percorso di attacco |
Algoritmo basato su grafo che analizza il grafo della sicurezza cloud. Le analisi espongono percorsi sfruttabili che gli utenti malintenzionati potrebbero usare per violare l'ambiente. |
GCR, GAR, GKE |
GA |
GA |
Richiede accesso all'API K8S |
CSPM Defender |
GCP |
| Ricerca avanzata dei rischi |
Consente agli amministratori della sicurezza di cercare attivamente problemi di comportamento negli asset in contenitori tramite query (predefinite e personalizzate) e informazioni dettagliate sulla sicurezza in Esploratore sicurezza. |
GCR, GAR, GKE |
GA |
GA |
Richiede accesso all'API K8S |
Defender per contenitori O Defender CSPM |
GCP |
| Rafforzamento del piano di controllo |
Valuta continuamente le configurazioni dei cluster e le confronta con le iniziative applicate alle sottoscrizioni. Quando rileva errori di configurazione, Defender per il cloud genera raccomandazioni sulla sicurezza disponibili nella pagina Raccomandazioni di Defender per il cloud. Le raccomandazioni consentono di analizzare e correggere i problemi. |
GKE |
GA |
GA |
Attivato con piano |
Gratuito |
GCP |
| Indurimento del carico di lavoro |
Proteggere i carichi di lavoro dei contenitori Kubernetes con raccomandazioni sulle procedure consigliate. |
GKE |
GA |
- |
Richiede il provisioning automatico dell'estensione Criteri di Azure per Azure Arc |
Gratuito |
GCP |
| CIS Servizio Azure Kubernetes |
CIS Azure Kubernetes Service Benchmark |
GKE |
GA |
- |
Designato come standard di sicurezza |
Defender per contenitori O Defender CSPM |
GCP |
| Funzionalità |
Descrizione |
Risorse supportate |
Stato della versione Linux |
Stato della versione Windows |
Metodo di abilitazione |
Piani |
Disponibilità dei cloud |
| Rilevamento senza agente per Kubernetes |
Fornisce individuazione tramite API dei cluster Kubernetes, le loro configurazioni e distribuzioni, senza alcun ingombro. |
- |
- |
- |
- |
- |
- |
| Funzionalità complete di inventario |
Consente di esplorare risorse, pod, servizi, repository, immagini e configurazioni tramite Esploratore sicurezza per monitorare e gestire facilmente gli asset. |
- |
- |
- |
- |
- |
- |
| Analisi del percorso di attacco |
Algoritmo basato su grafo che analizza il grafo della sicurezza cloud. Le analisi espongono percorsi sfruttabili che gli utenti malintenzionati potrebbero usare per violare l'ambiente. |
- |
- |
- |
- |
- |
- |
| Ricerca avanzata dei rischi |
Consente agli amministratori della sicurezza di cercare attivamente problemi di comportamento negli asset in contenitori tramite query (predefinite e personalizzate) e informazioni dettagliate sulla sicurezza in Esploratore sicurezza. |
- |
- |
- |
- |
- |
- |
| Protezione avanzata del piano di controllo |
Valuta continuamente le configurazioni dei cluster e le confronta con le iniziative applicate alle sottoscrizioni. Quando rileva errori di configurazione, Defender per il cloud genera raccomandazioni sulla sicurezza disponibili nella pagina Raccomandazioni di Defender per il cloud. Le raccomandazioni consentono di analizzare e correggere i problemi. |
- |
- |
- |
- |
- |
- |
| Indurimento del carico di lavoro |
Proteggere i carichi di lavoro dei contenitori Kubernetes con raccomandazioni sulle procedure consigliate. |
Cluster Kubernetes con abilitazione di Arc |
GA |
- |
Richiede il provisioning automatico dell'estensione Criteri di Azure per Azure Arc |
Defender per contenitori |
Cluster Kubernetes con abilitazione di Arc |
| CIS Servizio Azure Kubernetes |
Benchmark del Servizio Azure Kubernetes di CIS |
Macchine virtuali con abilitazione Arc |
Anteprima |
- |
Assegnato come standard di sicurezza |
Defender per contenitori O Defender CSPM |
Cluster Kubernetes con abilitazione di Arc |
| Funzionalità |
Descrizione |
Risorse supportate |
Stato della versione Linux |
Stato della versione Windows |
Metodo di abilitazione |
Piani |
Disponibilità dei cloud |
| Funzionalità complete di inventario |
Consente di esplorare risorse, pod, servizi, repository, immagini e configurazioni tramite Esploratore sicurezza per monitorare e gestire facilmente gli asset. |
Docker Hub, JFrog Artifactory |
Anteprima |
Anteprima |
Creazione del connettore |
CSPM di base O Defender CSPM O Defender per contenitori |
- |
| Analisi del percorso di attacco |
Un algoritmo basato su grafo che scansiona il grafico della sicurezza cloud. Le analisi espongono percorsi sfruttabili che gli utenti malintenzionati potrebbero usare per violare l'ambiente. |
Docker Hub, JFrog Artifactory |
Anteprima |
Anteprima |
Creazione del connettore |
CSPM Defender |
- |
| Ricerca avanzata dei rischi |
Consente agli amministratori della sicurezza di cercare attivamente problemi di comportamento negli asset in contenitori tramite query (predefinite e personalizzate) e informazioni dettagliate sulla sicurezza in Esploratore sicurezza. |
Docker Hub, JFrog |
Anteprima |
Anteprima |
Creazione del connettore |
Defender per contenitori O Defender CSPM |
|
Funzionalità di protezione della catena di approvvigionamento del software dei contenitori
| Funzionalità |
Descrizione |
Risorse supportate |
Stato della versione Linux |
Stato della versione Windows |
Metodo di abilitazione |
Piani |
Disponibilità dei cloud |
| Distribuzione controllata |
Distribuzione controllata delle immagini del contenitore nell'ambiente Kubernetes |
AKS 1.32 o versione successiva |
Anteprima |
Anteprima |
Abilitato con piano |
Defender per contenitori o Defender CSPM |
Cloud commerciali Cloud nazionali: Azure per enti pubblici, Azure gestito da 21Vianet |
| Funzionalità |
Descrizione |
Risorse supportate |
Stato della versione Linux |
Stato della versione Windows |
Metodo di abilitazione |
Piani |
Disponibilità dei cloud |
| Distribuzione controllata |
Distribuzione controllata delle immagini del contenitore nell'ambiente Kubernetes |
- |
- |
- |
- |
- |
- |
| Funzionalità |
Descrizione |
Risorse supportate |
Stato della versione Linux |
Stato della versione Windows |
Metodo di abilitazione |
Piani |
Disponibilità dei cloud |
| Distribuzione controllata |
Distribuzione controllata delle immagini del contenitore nell'ambiente Kubernetes |
- |
- |
- |
- |
- |
- |
| Funzionalità |
Descrizione |
Risorse supportate |
Stato della versione Linux |
Stato della versione Windows |
Metodo di abilitazione |
Piani |
Disponibilità dei cloud |
| Distribuzione controllata |
Distribuzione gestita delle immagini container nell'ambiente Kubernetes |
- |
- |
- |
- |
- |
- |
Restrizioni di rete
| Aspetto |
Dettagli |
| Supporto proxy per traffico in uscita |
I proxy in uscita senza autenticazione e i proxy in uscita con autenticazione di base sono supportati. Il proxy in uscita che prevede certificati attendibili non è attualmente supportato. |
| Cluster con restrizioni IP |
Se il cluster Kubernetes in AWS ha restrizioni IP del piano di controllo abilitate (vedere Controllo di accesso degli endpoint del cluster Amazon EKS - Amazon EKS), la configurazione delle restrizioni IP del piano di controllo viene aggiornata per includere il blocco CIDR di Microsoft Defender per il cloud. |
| Aspetto |
Dettagli |
| Supporto proxy per traffico in uscita |
Proxy in uscita senza autenticazione e proxy in uscita con autenticazione di base sono supportati. Il proxy in uscita che prevede certificati attendibili non è attualmente supportato. |
| Cluster con restrizioni IP |
Se il cluster Kubernetes in GCP ha restrizioni IP del piano di controllo abilitate (vedere GKE - Aggiungere reti autorizzate per l'accesso al piano di controllo ), la configurazione delle restrizioni IP del piano di controllo viene aggiornata per includere il blocco CIDR di Microsoft Defender for Cloud. |
| Aspetto |
Dettagli |
| Supporto proxy per traffico in uscita |
Il proxy in uscita senza autenticazione e il proxy in uscita con autenticazione di base sono supportati. Il proxy in uscita che prevede certificati attendibili non è attualmente supportato. |
Sistemi operativi host supportati
Defender per contenitori si basa sul sensore Defender per diverse funzionalità. Il sensore Defender è supportato solo con Linux Kernel 5.4 e versioni successive, nei sistemi operativi host seguenti:
- Amazon Linux 2
- CentOS 8 (CentOS è End Of Service a partire dal 30 giugno 2024). Per altre informazioni, vedere le linee guida per la fine della vita di CentOS.
- Debian 10
- Debian 11
- Sistema operativo ottimizzato per Google Container
- Azure Linux 1.0
- Azure Linux 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
Verificare che il nodo Kubernetes sia in esecuzione in uno di questi sistemi operativi verificati. I cluster con sistemi operativi host non supportati non ottengono i vantaggi delle funzionalità che si basano sul sensore di Defender.
Limitazioni dei sensori di Defender
Il sensore Defender in AKS V1.28 e versioni successive non è supportato sui nodi Arm64.
Passaggi successivi