다음을 통해 공유

클라우드용 Defender의 컨테이너 지원 매트릭스

  • 아티클

주의

이 문서에서는 2024년 6월 30일 현재 서비스 종료인 Linux 배포판인 CentOS를 참조합니다. 이에 따라 사용 및 계획을 고려하세요. 자세한 내용은 CentOS 수명 종료 지침을 참조하세요.

이 문서에는 클라우드용 Microsoft Defender의 컨테이너 기능에 대한 지원 정보가 요약되어 있습니다.

참고

  • 특정 기능은 미리 보기 상태입니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 기타 법률 용어가 포함되어 있습니다.
  • 클라우드 공급업체에서 지원하는 AKS, EKS 및 GKE 버전만 클라우드용 Defender에서 공식적으로 지원합니다.

다음은 지원되는 클라우드 환경 및 컨테이너 레지스트리에 대해 Defender for Containers에서 제공하는 기능입니다.

VA(취약성 평가) 기능

기능 설명 지원되는 리소스 Linux 릴리스 상태 Windows 릴리스 상태 활성화 방법 계획 클라우드 가용성
컨테이너 레지스트리 VA 컨테이너 레지스트리의 이미지에 대한 취약성 평가 ACR GA GA 레지스트리 액세스 필요1 컨테이너용 Defender 또는 Defender CSPM 상용 클라우드

국가별 클라우드: Azure Government, 21Vianet에서 운영하는 Azure
런타임 컨테이너 VA 실행 중인 컨테이너 이미지의 취약성 평가 컨테이너 레지스트리 원본에 구애받지 않습니다. 미리 보기를
(ACR 이미지가 있는 컨테이너는 GA)		 GA 머신용 에이전트 없는 검사K8S API 액세스 또는 Defender 센서 필요1 컨테이너용 Defender 또는 Defender CSPM 상용 클라우드

국가별 클라우드: Azure Government, 21Vianet에서 운영하는 Azure

1국가별 클라우드는 자동으로 사용하도록 설정되며 사용하지 않도록 설정할 수 없습니다.

취약성 평가에 대한 레지스트리 및 이미지 지원

측면 세부 정보
레지스트리 및 이미지 지원됨
* Docker V2 형식의 컨테이너 이미지
* OCI(Open Container Initiative) 이미지 형식 사양이 있는 이미지
지원되지 않음
* Docker 스크래치 이미지와 같은 슈퍼 미니멀한 이미지는 현재 지원되지 않습니다.
* 공용 리포지토리
* 매니페스트 목록
운영 체제 지원됨
* Alpine Linux 3.12-3.21
* Red Hat Enterprise Linux 6-9
* CentOS 6-9(CentOS는 2024년 6월 30일 현재 서비스 종료입니다. 자세한 내용은 CentOS 수명 종료 지침을 참조 하세요.)
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless(Debian GNU/Linux 7-12 기반)
* Ubuntu 12.04-22.04
* 페도라 31-37
* Azure Linux 1-2
* Windows Server 2016, 2019, 2022
언어별 패키지

지원됨
*파이썬
* Node.js
* PHP
*루비
*녹
*.NET
*자바
*가세요

런타임 보호 기능

기능 설명 지원되는 리소스 Linux 릴리스 상태 Windows 릴리스 상태 활성화 방법 계획 클라우드 가용성
제어 플레인 탐지 Kubernetes 감사 내역을 기반으로 Kubernetes에 대한 의심스러운 작업 검색 AKS GA GA 계획으로 활성화됨 컨테이너용 Defender 또는 Defender CSPM 상용 클라우드 국가별 클라우드: Azure Government, 21Vianet에서 운영하는 Azure
워크로드 감지 컨테이너화된 워크로드에서 위협을 모니터링하고 의심스러운 활동에 대한 경고를 제공합니다. AKS GA - Defender 센서 필요 컨테이너용 Defender 상용 클라우드 및 국가별 클라우드: Azure Government, 21Vianet에서 운영하는 Azure
이진 드리프트 검색 컨테이너 이미지에서 런타임 컨테이너의 이진을 검색합니다. AKS GA GA Defender 센서 필요 컨테이너용 Defender 상용 클라우드
XDR의 고급 헌팅 Microsoft XDR에서 클러스터 인시던트 및 경고 보기 AKS 미리 보기 - 현재 감사 로그 및 프로세스 이벤트를 지원합니다. 미리 보기 - 현재 감사 로그 및 프로세스 이벤트를 지원합니다. Defender 센서 필요 컨테이너용 Defender 상용 클라우드 및 국가별 클라우드: Azure Government, 21Vianet에서 운영하는 Azure
XDR의 응답 작업 Microsoft XDR에서 자동화된 수동 수정 제공 AKS 미리 보기를 미리 보기를 Defender 센서K8S 액세스 API 필요 컨테이너용 Defender 상용 클라우드 및 국가별 클라우드: Azure Government, 21Vianet에서 운영하는 Azure
맬웨어 검색 맬웨어 검색 AKS 노드 미리 보기를 미리 보기를 머신용 에이전트 없는 검사 필요 컨테이너용 Defender 또는 서버용 Defender 플랜 2 상용 클라우드

Azure에서 런타임 위협 방지를 위한 Kubernetes 배포 및 구성

측면 세부 정보
Kubernetes 배포 및 구성 지원됨
* Azure Kubernetes Service (AKS)Kubernetes RBAC

Arc 지원 Kubernetes를 통해 지원됨12
* Azure Kubernetes Service 하이브리드
* Kubernetes
* AKS 엔진
* Azure Red Hat OpenShift

1 모든 CNCF(Cloud Native Computing Foundation) 인증 Kubernetes 클러스터가 지원되지만, 지정된 클러스터만 Azure에서 테스트되었습니다.

2 사용자 환경에 대한 컨테이너용 Microsoft Defender 보호를 받으려면 Azure Arc 지원 Kubernetes에 온보딩하고 컨테이너용 Defender를 Arc 확장으로 사용하도록 설정해야 합니다.

참고

Kubernetes 워크로드 보호에 대한 추가 요구 사항은 기존 제한 사항을 참조하세요.

보안 태세 관리 기능

기능 설명 지원되는 리소스 Linux 릴리스 상태 Windows 릴리스 상태 활성화 방법 계획 클라우드 가용성
Kubernetes용 에이전트 없는 검색1 Kubernetes 클러스터와 그 구성 및 배포를 위한 무발자국 API 기반 검색을 제공합니다. AKS GA GA K8S API 액세스가 필요 컨테이너용 Defender 또는 Defender CSPM Azure 상용 클라우드
포괄적인 인벤토리 기능 보안 탐색기를 통해 리소스, Pod, 서비스, 리포지토리, 이미지 및 구성을 탐색하여 자산을 쉽게 모니터링하고 관리할 수 있습니다. ACR, AKS GA GA K8S API 액세스가 필요 컨테이너용 Defender 또는 Defender CSPM Azure 상용 클라우드
공격 경로 분석 클라우드 보안 그래프를 검사하는 그래프 기반 알고리즘입니다. 검사를 통해 공격자가 환경을 위반하는 데 사용할 수 있는 익스플로잇 가능한 경로를 노출합니다. ACR, AKS GA GA K8S API 액세스가 필요 디펜더 CSPM Azure 상용 클라우드
향상된 위험 탐색 보안 관리자는 보안 탐색기의 쿼리(기본 제공 및 사용자 지정)와 보안 인사이트를 통해 컨테이너화된 자산에서 포스처 문제를 적극적으로 찾을 수 있습니다. ACR, AKS GA GA K8S API 액세스가 필요 컨테이너용 Defender 또는 Defender CSPM Azure 상용 클라우드
컨트롤 플레인 강화1 클러스터 구성을 지속적으로 평가하고 이를 구독에 적용된 이니셔티브와 비교합니다. 잘못된 구성이 검색되면 클라우드용 Defender는 클라우드용 Defender의 권장 사항 페이지에서 사용할 수 있는 보안 권장 사항을 생성합니다. 권장 사항을 사용하면 문제를 조사하고 수정할 수 있습니다. ACR, AKS GA GA 계획으로 활성화됨 무료 상용 클라우드

국가별 클라우드: Azure Government, 21Vianet에서 운영하는 Azure
워크로드 강화1 모범 사례 권장 사항을 통해 Kubernetes 컨테이너의 워크로드를 보호합니다. AKS GA - Azure Policy 필요 무료 상용 클라우드

국가별 클라우드: Azure Government, 21Vianet에서 운영하는 Azure
CIS Azure Kubernetes Service CIS Azure Kubernetes Service Benchmark AKS GA - 보안 표준으로 할당됨 컨테이너용 Defender 또는 Defender CSPM 상용 클라우드

1 클러스터 리소스 수준에서 Defender for Containers를 사용하도록 설정할 때 개별 클러스터에 대해 이 기능을 사용하도록 설정할 수 있습니다.

컨테이너 소프트웨어 공급망 보호 기능

기능 설명 지원되는 리소스 Linux 릴리스 상태 Windows 릴리스 상태 활성화 방법 계획 클라우드 가용성
제어된 배포 Kubernetes 환경에 컨테이너 이미지의 제어된 배포 AKS 1.32 이상 미리 보기를 미리 보기를 계획으로 활성화됨 컨테이너용 Defender 또는 Defender CSPM 상용 클라우드 국가별 클라우드: Azure Government, 21Vianet에서 운영하는 Azure

네트워크 제한 사항

측면 세부 정보
아웃바운드 프록시 지원 인증이 없는 아웃바운드 프록시와 기본 인증을 사용하는 아웃바운드 프록시가 지원됩니다. 신뢰할 수 있는 인증서가 예상되는 아웃바운드 프록시는 현재 지원되지 않습니다.
IP 제한이 있는 클러스터 AWS의 Kubernetes 클러스터에 제어 평면 IP 제한이 사용하도록 설정된 경우(Amazon EKS 클러스터 엔드포인트 액세스 제어 - Amazon EKS 참조) 컨트롤 플레인의 IP 제한 구성이 클라우드용 Microsoft Defender CIDR 블록을 포함하도록 업데이트됩니다.

지원되는 호스트 운영 체제

컨테이너용 Defender는 Defender 센서를 여러 기능에 사용합니다. Defender 센서는 다음 호스트 운영 체제에서 Linux 커널 5.4 이상에서만 지원됩니다.

  • Amazon Linux 2
  • CentOS 8(CentOS는 2024년 6월 30일 현재 서비스 종료입니다. 자세한 내용은 CentOS 수명 종료 지침을 참조 하세요.)
  • Debian 10
  • Debian 11
  • Google 컨테이너 최적화 OS
  • Azure Linux 1.0
  • Azure Linux 2.0
  • Red Hat Enterprise Linux 8
  • Ubuntu 16.04
  • Ubuntu 18.04
  • Ubuntu 20.04
  • Ubuntu 22.04

Kubernetes 노드가 확인된 운영 체제 중 하나에서 실행되고 있는지 확인합니다. 지원되지 않는 호스트 운영 체제가 있는 클러스터는 Defender 센서를 사용하는 기능의 이점을 얻지 못합니다.

Defender 센서 제한 사항

AKS V1.28 이하의 디펜더 센서는 Arm64 노드에서 지원되지 않습니다.

다음 단계