Delen via


Containers ondersteunen matrix in Defender voor Cloud

Let op

Dit artikel verwijst naar CentOS, een Linux-distributie die het einde van de levensduur (EOL) is vanaf 30 juni 2024. Overweeg uw gebruik en planning dienovereenkomstig. Zie de Richtlijnen voor het einde van de levensduur van CentOS voor meer informatie.

In dit artikel vindt u een overzicht van de ondersteuningsinformatie voor containermogelijkheden in Microsoft Defender voor Cloud.

Notitie

  • Specifieke functies zijn beschikbaar als preview-versie. De aanvullende voorwaarden van Azure Preview bevatten andere juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta, preview of anderszins nog niet beschikbaar zijn in algemene beschikbaarheid.
  • Alleen de versies van AKS, EKS en GKE die door de cloudleverancier worden ondersteund, worden officieel ondersteund door Defender voor Cloud.

Azure

Hieronder vindt u de functies voor elk van de domeinen in Defender for Containers:

Beheer van beveiligingspostuur

Functie Beschrijving Ondersteunde resources Linux-releasestatus Windows-releasestatus Inschakelingsmethode Sensor Abonnementen Beschikbaarheid van Azure-clouds
Detectie zonder agent voor Kubernetes Biedt geen footprint, OP API gebaseerde detectie van Kubernetes-clusters, hun configuraties en implementaties. AKS GA GA Detectie zonder agent inschakelen in Kubernetes Zonder agent Defender for Containers OF Defender CSPM Commerciële Azure-clouds
Uitgebreide inventarismogelijkheden Hiermee kunt u resources, pods, services, opslagplaatsen, installatiekopieën en configuraties verkennen via Security Explorer om uw assets eenvoudig te bewaken en te beheren. ACR, AKS GA GA Detectie zonder agent inschakelen in Kubernetes Zonder agent Defender for Containers OF Defender CSPM Commerciële Azure-clouds
Analyse van aanvalspad Een algoritme op basis van grafieken waarmee de cloudbeveiligingsgrafiek wordt gescand. De scans maken exploiteerbare paden beschikbaar die aanvallers kunnen gebruiken om uw omgeving te schenden. ACR, AKS GA GA Geactiveerd met plan Zonder agent Defender CSPM (vereist detectie zonder agent voor Kubernetes) Commerciële Azure-clouds
Verbeterde opsporing van risico's Hiermee kunnen beveiligingsbeheerders actief zoeken naar houdingsproblemen in hun containerassets via query's (ingebouwd en aangepast) en beveiligingsinzichten in security Explorer. ACR, AKS GA GA Detectie zonder agent inschakelen in Kubernetes Zonder agent Defender for Containers OF Defender CSPM Commerciële Azure-clouds
Beveiliging van besturingsvlak Evalueert voortdurend de configuraties van uw clusters en vergelijkt deze met de initiatieven die zijn toegepast op uw abonnementen. Wanneer onjuiste configuraties worden gevonden, genereert Defender voor Cloud beveiligingsaankopen die beschikbaar zijn op de pagina Aanbevelingen van Defender voor Cloud. Met de aanbevelingen kunt u problemen onderzoeken en oplossen. ACR, AKS GA GA Geactiveerd met plan Zonder agent Gratis Commerciële clouds

Nationale clouds: Azure Government, Azure beheerd door 21Vianet
Kubernetes-gegevensvlakbeveiliging Beveilig workloads van uw Kubernetes-containers met best practice-aanbevelingen. AKS GA - Azure Policy inschakelen voor Kubernetes-wisselknop Azure Policy Gratis Commerciële clouds

Nationale clouds: Azure Government, Azure beheerd door 21Vianet
Docker CIS Docker CIS-benchmark VM, virtuele-machineschaalset GA - Ingeschakeld met plan Log Analytics-agent Defender for Servers Plan 2 Commerciële clouds

Nationale clouds: Azure Government, Microsoft Azure beheerd door 21Vianet

Evaluatie van beveiligingsproblemen

Functie Beschrijving Ondersteunde resources Linux-releasestatus Windows-releasestatus Inschakelingsmethode Sensor Abonnementen Beschikbaarheid van Azure-clouds
Registerscan zonder agent (mogelijk gemaakt door Microsoft Defender Vulnerability Management) ondersteunde pakketten Evaluatie van beveiligingsproblemen voor installatiekopieën in ACR ACR, privé-ACR GA GA Schakel de wisselknop Evaluatie van beveiligingsproblemen zonder agent in Zonder agent Defender for Containers of Defender CSPM Commerciële clouds

Nationale clouds: Azure Government, Azure beheerd door 21Vianet
Runtime zonder agent/agent (mogelijk gemaakt door Microsoft Defender Vulnerability Management) ondersteunde pakketten Evaluatie van beveiligingsproblemen voor het uitvoeren van installatiekopieën in AKS AKS GA GA Schakel de wisselknop Evaluatie van beveiligingsproblemen zonder agent in Zonder agent (vereist detectie zonder agent voor Kubernetes) OF/AND Defender-sensor Defender for Containers of Defender CSPM Commerciële clouds

Nationale clouds: Azure Government, Azure beheerd door 21Vianet

Runtime-bedreigingsbeveiliging

Functie Beschrijving Ondersteunde resources Linux-releasestatus Windows-releasestatus Inschakelingsmethode Sensor Abonnementen Beschikbaarheid van Azure-clouds
Besturingsvlak Detectie van verdachte activiteiten voor Kubernetes op basis van Kubernetes-audittrail AKS GA GA Ingeschakeld met plan Zonder agent Defender voor Containers Commerciële clouds

Nationale clouds: Azure Government, Azure beheerd door 21Vianet
Workload Detectie van verdachte activiteit voor Kubernetes voor clusterniveau, knooppuntniveau en workloadniveau AKS GA - Defender Sensor inSchakelen in Azure-wisselknop OF Defender-sensoren implementeren op afzonderlijke clusters Defender-sensor Defender voor Containers Commerciële clouds

Nationale clouds: Azure Government, Azure China 21Vianet

Implementatie en bewaking

Functie Beschrijving Ondersteunde resources Linux-releasestatus Windows-releasestatus Inschakelingsmethode Sensor Abonnementen Beschikbaarheid van Azure-clouds
Detectie van niet-beveiligde clusters Detectie van Kubernetes-clusters die Defender-sensoren missen AKS GA GA Ingeschakeld met plan Zonder agent Gratis Commerciële clouds

Nationale clouds: Azure Government, Azure beheerd door 21Vianet
Automatische inrichting van Defender-sensor Automatische implementatie van Defender-sensor AKS GA - Defender-sensor inschakelen in Azure-wisselknop Zonder agent Defender voor Containers Commerciële clouds

Nationale clouds: Azure Government, Azure beheerd door 21Vianet
Azure Policy voor automatische inrichting van Kubernetes Automatische implementatie van Azure Policy-sensor voor Kubernetes AKS GA - Azure Policy inschakelen voor Kubernetes-wisselknop Zonder agent Gratis Commerciële clouds

Nationale clouds: Azure Government, Azure beheerd door 21Vianet

Ondersteuning voor registers en installatiekopieën voor Azure - Evaluatie van beveiligingsproblemen mogelijk gemaakt door Microsoft Defender Vulnerability Management

Aspect DETAILS
Registers en installatiekopieën Ondersteund
* ACR-registers
* ACR-registers die zijn beveiligd met Azure Private Link (voor privéregisters is toegang tot Vertrouwde services vereist)
* Containerinstallatiekopieën in Docker V2-indeling
* Installatiekopieën met OCI-indelingsspecificatie (Open Container Initiative)
Niet ondersteund
* Super minimalistische installatiekopieën zoals Docker scratch-installatiekopieën
wordt momenteel niet ondersteund
Besturingssystemen Ondersteund
* Alpine Linux 3.12-3.19
* Red Hat Enterprise Linux 6-9
* CentOS 6-9. (CentOS is het einde van de levensduur (EOL) vanaf 30 juni 2024. Zie de richtlijnen voor het einde van de levensduur van CentOS voor meer informatie.)
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE trommelwied
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless (gebaseerd op Debian GNU/Linux 7-12)
* Ubuntu 12.04-22.04
* Fedora 31-37
* Mariner 1-2
* Windows Server 2016, 2019, 2022
Taalspecifieke pakketten

Ondersteund
*Python
* Node.js
*.NET
*JAVA
*Gaan

Kubernetes-distributies en -configuraties voor Azure - Runtime-bedreigingsbeveiliging

Aspect DETAILS
Kubernetes-distributies en -configuraties Ondersteund
* Azure Kubernetes Service (AKS) met Kubernetes RBAC

Ondersteund via Kubernetes 1 2 met Arc
* Hybride azure Kubernetes Service
* Kubernetes
* AKS-engine
* Azure Red Hat OpenShift

1 Alle CNCF-gecertificeerde Kubernetes-clusters (Cloud Native Computing Foundation) moeten worden ondersteund, maar alleen de opgegeven clusters zijn getest in Azure.

2 Als u Microsoft Defender for Containers-beveiliging voor uw omgevingen wilt krijgen, moet u Kubernetes met Azure Arc onboarden en Defender for Containers inschakelen als een Arc-extensie.

Notitie

Zie bestaande beperkingen voor aanvullende vereisten voor Kubernetes-workloadbeveiliging.

AWS

Domein Functie Ondersteunde resources Linux-releasestatus Windows-releasestatus Zonder agent/sensor Prijscategorie
Beheer van beveiligingspostuur Detectie zonder agent voor Kubernetes EKS GA GA Zonder agent Defender for Containers OF Defender CSPM
Beheer van beveiligingspostuur Uitgebreide inventarismogelijkheden ECR, EKS GA GA Zonder agent Defender for Containers OF Defender CSPM
Beheer van beveiligingspostuur Analyse van aanvalspad ECR, EKS GA GA Zonder agent Defender CSPM
Beheer van beveiligingspostuur Verbeterde opsporing van risico's ECR, EKS GA GA Zonder agent Defender for Containers OF Defender CSPM
Beheer van beveiligingspostuur Docker CIS EC2 GA - Log Analytics-agent Defender for Servers Plan 2
Beheer van beveiligingspostuur Beveiliging van besturingsvlak - - - - -
Beheer van beveiligingspostuur Kubernetes-gegevensvlakbeveiliging EKS GA - Azure Policy voor Kubernetes Defender voor Containers
Beoordeling van beveiligingslekken Registerscan zonder agent (mogelijk gemaakt door Microsoft Defender Vulnerability Management) ondersteunde pakketten ECR GA GA Zonder agent Defender for Containers of Defender CSPM
Beoordeling van beveiligingslekken Runtime zonder agent/sensor (mogelijk gemaakt door Microsoft Defender Vulnerability Management) ondersteunde pakketten EKS GA GA Agentloze OR/AND Defender-sensor Defender for Containers of Defender CSPM
Runtimebeveiliging Besturingsvlak EKS GA GA Zonder agent Defender voor Containers
Runtimebeveiliging Workload EKS GA - Defender-sensor Defender voor Containers
Implementatie en bewaking Detectie van niet-beveiligde clusters EKS GA GA Zonder agent Defender voor Containers
Implementatie en bewaking Automatische inrichting van Defender-sensor EKS GA - - -
Implementatie en bewaking Automatische inrichting van Azure Policy voor Kubernetes EKS GA - - -

Ondersteuning voor registers en installatiekopieën voor AWS - Evaluatie van beveiligingsproblemen mogelijk gemaakt door Microsoft Defender Vulnerability Management

Aspect DETAILS
Registers en installatiekopieën Ondersteund
* ECR-registers
* Containerinstallatiekopieën in Docker V2-indeling
* Installatiekopieën met OCI-indelingsspecificatie (Open Container Initiative)
Niet ondersteund
* Super minimalistische installatiekopieën zoals Docker-scratch-installatiekopieën worden momenteel niet ondersteund
* Openbare opslagplaatsen
* Manifestlijsten
Besturingssystemen Ondersteund
* Alpine Linux 3.12-3.19
* Red Hat Enterprise Linux 6-9
* CentOS 6-9 (CentOS is End Of Life (EOL) vanaf 30 juni 2024. Zie de richtlijnen voor het einde van de levensduur van CentOS voor meer informatie.)
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE trommelwied
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless (gebaseerd op Debian GNU/Linux 7-12)
* Ubuntu 12.04-22.04
* Fedora 31-37
* Mariner 1-2
* Windows Server 2016, 2019, 2022
Taalspecifieke pakketten

Ondersteund
*Python
* Node.js
*.NET
*JAVA
*Gaan

Ondersteuning voor Kubernetes-distributies/-configuraties voor AWS - Bescherming tegen runtimebedreigingen

Aspect DETAILS
Kubernetes-distributies en -configuraties Ondersteund
* Amazon Elastic Kubernetes Service (EKS)

Ondersteund via Kubernetes 1 2 met Arc
* Kubernetes
Niet ondersteund
* Privéclusters van EKS

1 Alle CNCF-gecertificeerde Kubernetes-clusters (Cloud Native Computing Foundation) moeten worden ondersteund, maar alleen de opgegeven clusters zijn getest.

2 Als u Microsoft Defender for Containers-beveiliging voor uw omgevingen wilt krijgen, moet u Kubernetes met Azure Arc onboarden en Defender for Containers inschakelen als een Arc-extensie.

Notitie

Zie bestaande beperkingen voor aanvullende vereisten voor Kubernetes-workloadbeveiliging.

Ondersteuning voor uitgaande proxy - AWS

Uitgaande proxy zonder verificatie en uitgaande proxy met basisverificatie worden ondersteund. Uitgaande proxy die verwacht dat vertrouwde certificaten momenteel niet worden ondersteund.

Clusters met IP-beperkingen - AWS

Als voor uw Kubernetes-cluster in AWS IP-beperkingen voor het besturingsvlak zijn ingeschakeld (zie Toegangsbeheer voor Amazon EKS-clustereindpunt - Amazon EKS), wordt de IP-beperkingsconfiguratie van het besturingsvlak bijgewerkt met het CIDR-blok van Microsoft Defender voor Cloud.

GCP

Domein Functie Ondersteunde resources Linux-releasestatus Windows-releasestatus Zonder agent/sensor Prijscategorie
Beheer van beveiligingspostuur Detectie zonder agent voor Kubernetes GKE GA GA Zonder agent Defender for Containers OF Defender CSPM
Beheer van beveiligingspostuur Uitgebreide inventarismogelijkheden GAR, GCR, GKE GA GA Zonder agent Defender for Containers OF Defender CSPM
Beheer van beveiligingspostuur Analyse van aanvalspad GAR, GCR, GKE GA GA Zonder agent Defender CSPM
Beheer van beveiligingspostuur Verbeterde opsporing van risico's GAR, GCR, GKE GA GA Zonder agent Defender for Containers OF Defender CSPM
Beheer van beveiligingspostuur Docker CIS GCP-VM's GA - Log Analytics-agent Defender for Servers Plan 2
Beheer van beveiligingspostuur Beveiliging van besturingsvlak GKE GA GA Zonder agent Gratis
Beheer van beveiligingspostuur Kubernetes-gegevensvlakbeveiliging GKE GA - Azure Policy voor Kubernetes Defender voor Containers
Beoordeling van beveiligingslekken Registerscan zonder agent (mogelijk gemaakt door Microsoft Defender Vulnerability Management) ondersteunde pakketten GAR, GCR GA GA Zonder agent Defender for Containers of Defender CSPM
Beoordeling van beveiligingslekken Runtime zonder agent/sensor (mogelijk gemaakt door Microsoft Defender Vulnerability Management) ondersteunde pakketten GKE GA GA Agentloze OR/AND Defender-sensor Defender for Containers of Defender CSPM
Runtimebeveiliging Besturingsvlak GKE GA GA Zonder agent Defender voor Containers
Runtimebeveiliging Workload GKE GA - Defender-sensor Defender voor Containers
Implementatie en bewaking Detectie van niet-beveiligde clusters GKE GA GA Zonder agent Defender voor Containers
Implementatie en bewaking Automatische inrichting van Defender-sensor GKE GA - Zonder agent Defender voor Containers
Implementatie en bewaking Automatische inrichting van Azure Policy voor Kubernetes GKE GA - Zonder agent Defender voor Containers

Ondersteuning voor registers en installatiekopieën voor GCP - Evaluatie van beveiligingsproblemen mogelijk gemaakt door Microsoft Defender Vulnerability Management

Aspect DETAILS
Registers en installatiekopieën Ondersteund
* Google-registers (GAR, GCR)
* Containerinstallatiekopieën in Docker V2-indeling
* Installatiekopieën met OCI-indelingsspecificatie (Open Container Initiative)
Niet ondersteund
* Super minimalistische installatiekopieën zoals Docker-scratch-installatiekopieën worden momenteel niet ondersteund
* Openbare opslagplaatsen
* Manifestlijsten
Besturingssystemen Ondersteund
* Alpine Linux 3.12-3.19
* Red Hat Enterprise Linux 6-9
* CentOS 6-9 (CentOS is End Of Life (EOL) vanaf 30 juni 2024. Zie de richtlijnen voor het einde van de levensduur van CentOS voor meer informatie.)
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE trommelwied
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless (gebaseerd op Debian GNU/Linux 7-12)
* Ubuntu 12.04-22.04
* Fedora 31-37
* Mariner 1-2
* Windows Server 2016, 2019, 2022
Taalspecifieke pakketten

Ondersteund
*Python
* Node.js
*.NET
*JAVA
*Gaan

Ondersteuning voor Kubernetes-distributies/-configuraties voor GCP - Runtime-bedreigingsbeveiliging

Aspect DETAILS
Kubernetes-distributies en -configuraties Ondersteund
* Google Kubernetes Engine (GKE) Standard

Ondersteund via Kubernetes 1 2 met Arc
* Kubernetes

Niet ondersteund
* Privénetwerkclusters
* GKE Autopilot
* GKE AuthorizedNetworksConfig

1 Alle CNCF-gecertificeerde Kubernetes-clusters (Cloud Native Computing Foundation) moeten worden ondersteund, maar alleen de opgegeven clusters zijn getest.

2 Als u Microsoft Defender for Containers-beveiliging voor uw omgevingen wilt krijgen, moet u Kubernetes met Azure Arc onboarden en Defender for Containers inschakelen als een Arc-extensie.

Notitie

Zie bestaande beperkingen voor aanvullende vereisten voor Kubernetes-workloadbeveiliging.

Ondersteuning voor uitgaande proxy - GCP

Uitgaande proxy zonder verificatie en uitgaande proxy met basisverificatie worden ondersteund. Uitgaande proxy die verwacht dat vertrouwde certificaten momenteel niet worden ondersteund.

Clusters met IP-beperkingen - GCP

Als voor uw Kubernetes-cluster in GCP IP-beperkingen voor het besturingsvlak zijn ingeschakeld (zie Geautoriseerde netwerken toevoegen voor toegang tot het besturingsvlak | Google Kubernetes Engine (GKE) | Google Cloud), de IP-beperkingsconfiguratie van het besturingsvlak wordt bijgewerkt met het CIDR-blok van Microsoft Defender voor Cloud.

On-premises Kubernetes-clusters met Arc

Domein Functie Ondersteunde resources Linux-releasestatus Windows-releasestatus Zonder agent/sensor Prijscategorie
Beheer van beveiligingspostuur Docker CIS Vm's met Arc Preview uitvoeren - Log Analytics-agent Defender for Servers Plan 2
Beheer van beveiligingspostuur Beveiliging van besturingsvlak - - - - -
Beheer van beveiligingspostuur Kubernetes-gegevensvlakbeveiliging K8s-clusters met Arc GA - Azure Policy voor Kubernetes Defender voor Containers
Runtimebeveiliging Bedreigingsbeveiliging (besturingsvlak) OpenShift-clusters met Arc Preview Preview Defender-sensor Defender voor Containers
Runtimebeveiliging Bedreigingsbeveiliging (workload) OpenShift-clusters met Arc Preview uitvoeren - Defender-sensor Defender voor Containers
Implementatie en bewaking Detectie van niet-beveiligde clusters K8s-clusters met Arc Preview uitvoeren - Zonder agent Gratis
Implementatie en bewaking Automatische inrichting van Defender-sensor K8s-clusters met Arc Preview Preview Zonder agent Defender voor Containers
Implementatie en bewaking Automatische inrichting van Azure Policy voor Kubernetes K8s-clusters met Arc Preview uitvoeren - Zonder agent Defender voor Containers

Externe containerregisters

Domein Functie Ondersteunde resources Linux-releasestatus Windows-releasestatus Zonder agent/sensor Prijscategorie
Beheer van beveiligingspostuur Uitgebreide inventarismogelijkheden Docker Hub, Jfrog Artifactory Preview Preview Zonder agent Foundational CSPM OR Defender for Containers OR Defender CSPM
Beheer van beveiligingspostuur Analyse van aanvalspad Docker Hub, Jfrog Artifactory Preview Preview Zonder agent Defender CSPM
Beoordeling van beveiligingslekken Registerscan zonder agent (mogelijk gemaakt door Microsoft Defender Vulnerability Management) ondersteunde pakketten Docker Hub, JfFrog Artifactory Preview Preview Zonder agent Defender for Containers OF Defender CSPM
Beoordeling van beveiligingslekken Runtime zonder agent/sensor (mogelijk gemaakt door Microsoft Defender Vulnerability Management) ondersteunde pakketten Docker Hub, Jfrog Artifactory Preview Preview Agentloze OR/AND Defender-sensor Defender for Containers OF Defender CSPM

Kubernetes-distributies en -configuraties

Aspect DETAILS
Kubernetes-distributies en -configuraties Ondersteund via Kubernetes 1 2 met Arc
* Hybride azure Kubernetes Service
* Kubernetes
* AKS-engine
* Azure Red Hat OpenShift
* Red Hat OpenShift (versie 4.6 of hoger)
* VMware Tanzu Kubernetes Grid
* Rancher Kubernetes Engine

1 Alle CNCF-gecertificeerde Kubernetes-clusters (Cloud Native Computing Foundation) moeten worden ondersteund, maar alleen de opgegeven clusters zijn getest.

2 Als u Microsoft Defender for Containers-beveiliging voor uw omgevingen wilt krijgen, moet u Kubernetes met Azure Arc onboarden en Defender for Containers inschakelen als een Arc-extensie.

Notitie

Zie bestaande beperkingen voor aanvullende vereisten voor Kubernetes-workloadbeveiliging.

Ondersteunde hostbesturingssystemen

Defender for Containers is afhankelijk van de Defender-sensor voor verschillende functies. De Defender-sensor wordt alleen ondersteund met Linux Kernel 5.4 en hoger, op de volgende hostbesturingssystemen:

  • Amazon Linux 2
  • CentOS 8 (CentOS is End Of Life (EOL) vanaf 30 juni 2024. Zie de richtlijnen voor het einde van de levensduur van CentOS voor meer informatie.)
  • Debian 10
  • Debian 11
  • Google Container-Optimized OS
  • Mariner 1.0
  • Mariner 2.0
  • Red Hat Enterprise Linux 8
  • Ubuntu 16.04
  • Ubuntu 18.04
  • Ubuntu 20.04
  • Ubuntu 22.04

Zorg ervoor dat uw Kubernetes-knooppunt wordt uitgevoerd op een van deze geverifieerde besturingssystemen. Clusters met niet-ondersteunde hostbesturingssystemen krijgen niet de voordelen van functies die afhankelijk zijn van Defender-sensor.

Defender-sensorbeperkingen

De Defender-sensor in AKS V1.28 en hieronder wordt niet ondersteund op Arm64-knooppunten.

Netwerkbeperkingen

Ondersteuning uitgaande proxy

Uitgaande proxy zonder verificatie en uitgaande proxy met basisverificatie worden ondersteund. Uitgaande proxy die verwacht dat vertrouwde certificaten momenteel niet worden ondersteund.

Volgende stappen