Udostępnij za pośrednictwem


Macierz obsługi kontenerów w usłudze Defender dla Chmury

Uwaga

W tym artykule 30 czerwca 2024 r. odwołuje się do systemu CentOS, dystrybucji systemu Linux, która jest systemem End Of Life (EOL). Rozważ odpowiednie użycie i planowanie. Aby uzyskać więcej informacji, zobacz wskazówki dotyczące zakończenia życia systemu CentOS.

Ten artykuł zawiera podsumowanie informacji o obsłudze funkcji kontenera w Microsoft Defender dla Chmury.

Uwaga

  • Określone funkcje są dostępne w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują inne postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
  • Tylko wersje usług AKS, EKS i GKE obsługiwane przez dostawcę chmury są oficjalnie obsługiwane przez Defender dla Chmury.

Poniżej przedstawiono funkcje udostępniane przez usługę Defender for Containers dla obsługiwanych środowisk w chmurze i rejestrów kontenerów.

Azure

Zarządzanie stanem zabezpieczeń

Funkcja opis Obsługiwane zasoby Stan wydania systemu Linux Stan wydania systemu Windows Enablement, metoda Czujnik Plany Dostępność chmur platformy Azure
Odnajdywanie bez agenta dla platformy Kubernetes Zapewnia zerowe ślady, odnajdywanie oparte na interfejsie API klastrów Kubernetes, ich konfiguracji i wdrożeń. AKS Ogólna dostępność Ogólna dostępność Włączanie odnajdywania bez agenta na przełączniku Kubernetes Bez agenta Defender for Containers OR CSPM w usłudze Defender Chmury komercyjne platformy Azure
Kompleksowe możliwości spisu Umożliwia eksplorowanie zasobów, zasobników, usług, repozytoriów, obrazów i konfiguracji za pomocą Eksploratora zabezpieczeń w celu łatwego monitorowania zasobów i zarządzania nimi. ACR, AKS Ogólna dostępność Ogólna dostępność Włączanie odnajdywania bez agenta na przełączniku Kubernetes Bez agenta Defender for Containers OR CSPM w usłudze Defender Chmury komercyjne platformy Azure
Analiza ścieżki ataku Algorytm oparty na grafach, który skanuje wykres zabezpieczeń w chmurze. Skanowania uwidaczniają możliwe do wykorzystania ścieżki, których osoby atakujące mogą używać do naruszenia środowiska. ACR, AKS Ogólna dostępność Ogólna dostępność Aktywowano z planem Bez agenta CSPM w usłudze Defender (wymaga włączenia odnajdywania bez agenta dla platformy Kubernetes) Chmury komercyjne platformy Azure
Ulepszone polowanie na ryzyko Umożliwia administratorom zabezpieczeń aktywne wyszukiwanie problemów ze stanem w swoich konteneryzowanych zasobach za pośrednictwem zapytań (wbudowanych i niestandardowych) oraz szczegółowych informacji o zabezpieczeniach w Eksploratorze zabezpieczeń. ACR, AKS Ogólna dostępność Ogólna dostępność Włączanie odnajdywania bez agenta na przełączniku Kubernetes Bez agenta Defender for Containers OR CSPM w usłudze Defender Chmury komercyjne platformy Azure
Wzmacnianie płaszczyzny sterowania Stale ocenia konfiguracje klastrów i porównuje je z inicjatywami zastosowanymi do subskrypcji. W przypadku znalezienia błędów konfiguracji Defender dla Chmury generuje zalecenia dotyczące zabezpieczeń dostępne na stronie Zalecenia Defender dla Chmury. Zalecenia umożliwiają badanie i korygowanie problemów. ACR, AKS Ogólna dostępność Ogólna dostępność Aktywowano z planem Bez agenta Bezpłatna Chmury komercyjne

Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet
Wzmacnianie płaszczyzny danych kubernetes Ochrona obciążeń kontenerów Kubernetes przy użyciu zaleceń dotyczących najlepszych rozwiązań. AKS Ogólna dostępność - Włączanie przełącznika usługi Azure Policy dla platformy Kubernetes Azure Policy Bezpłatna Chmury komercyjne

Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet
Ciągła integracja platformy Docker Test porównawczy ciS platformy Docker Maszyna wirtualna, zestaw skalowania maszyn wirtualnych Ogólna dostępność - Włączone z planem Agent Log Analytics Defender for Servers (Plan 2) Chmury komercyjne

Chmury krajowe: Azure Government, Microsoft Azure obsługiwane przez firmę 21Vianet

Ocena luk w zabezpieczeniach

Funkcja opis Obsługiwane zasoby Stan wydania systemu Linux Stan wydania systemu Windows Enablement, metoda Czujnik Plany Dostępność chmur platformy Azure
Skanowanie rejestru bez agenta (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) obsługiwane pakiety Ocena luk w zabezpieczeniach obrazów w usłudze ACR ACR, Private ACR Ogólna dostępność Ogólna dostępność Włączanie przełącznika oceny luk w zabezpieczeniach kontenera bez agenta Bez agenta Defender for Containers lub CSPM w usłudze Defender Chmury komercyjne

Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet
Obsługiwane pakiety środowiska uruchomieniowego bez agenta/agenta (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) Ocena luk w zabezpieczeniach na potrzeby uruchamiania obrazów w usłudze AKS AKS Ogólna dostępność Ogólna dostępność Włączanie przełącznika oceny luk w zabezpieczeniach kontenera bez agenta Bez agenta (wymaga odnajdywania bez agenta dla platformy Kubernetes) LUB/I czujnika usługi Defender Defender for Containers lub CSPM w usłudze Defender Chmury komercyjne

Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet
Skanowanie węzłów K8s bez agenta Ocena luk w zabezpieczeniach węzłów K8s AKS Wersja Preview Wersja Preview Włącz Skanowanie bez agentów w poszukiwaniu maszyn Bez agenta Defender for Containers lub Defender for Servers P2 lub CSPM Chmury komercyjne

Ochrona przed zagrożeniami w czasie wykonywania

Funkcja opis Obsługiwane zasoby Stan wydania systemu Linux Stan wydania systemu Windows Enablement, metoda Czujnik Plany Dostępność chmur platformy Azure
Płaszczyzna sterowania Wykrywanie podejrzanych działań dotyczących platformy Kubernetes na podstawie dziennika inspekcji platformy Kubernetes AKS Ogólna dostępność Ogólna dostępność Włączone z planem Bez agenta Defender dla Kontenerów Chmury komercyjne

Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet
Obciążenie Wykrywanie podejrzanych działań związanych z platformą Kubernetes na poziomie klastra, poziomie węzła i poziomie obciążenia AKS Ogólna dostępność - Włączanie przełącznika Usługi Defender na platformie Azure lub wdrażanie czujników usługi Defender w poszczególnych klastrach Czujnik usługi Defender Defender dla Kontenerów Chmury komercyjne

Chmury krajowe: Azure Government, Azure China 21Vianet
Węzeł Wykrywanie złośliwego oprogramowania w węzłach K8s AKS Wersja Preview Wersja Preview Włącz Skanowanie bez agentów w poszukiwaniu maszyn Bez agenta Defender for Containers lub Defender for Servers P2 Chmury komercyjne

Wdrażanie i monitorowanie

Funkcja opis Obsługiwane zasoby Stan wydania systemu Linux Stan wydania systemu Windows Enablement, metoda Czujnik Plany Dostępność chmur platformy Azure
Odnajdywanie niechronionych klastrów Odnajdywanie klastrów Kubernetes z brakującymi czujnikami usługi Defender AKS Ogólna dostępność Ogólna dostępność Włączone z planem Bez agenta Bezpłatna Chmury komercyjne

Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet
Automatyczna aprowizacja czujnika usługi Defender Automatyczne wdrażanie czujnika usługi Defender AKS Ogólna dostępność - Włączanie przełącznika Usługi Defender na platformie Azure Bez agenta Defender dla Kontenerów Chmury komercyjne

Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet
Automatyczne aprowizowanie usługi Azure Policy dla platformy Kubernetes Automatyczne wdrażanie czujnika zasad platformy Azure dla platformy Kubernetes AKS Ogólna dostępność - Włączanie usługi Azure Policy dla przełącznika Kubernetes Bez agenta Bezpłatna Chmury komercyjne

Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet

Obsługa rejestrów i obrazów dla platformy Azure — ocena luk w zabezpieczeniach obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender

Aspekt Szczegóły
Rejestry i obrazy Obsługiwane
* Rejestry usługi ACR
* Rejestry usługi ACR chronione za pomocą usługi Azure Private Link (rejestry prywatne wymagają dostępu do zaufanych usług)
* Obrazy kontenerów w formacie platformy Docker V2
* Obrazy ze specyfikacją formatu obrazu Open Container Initiative (OCI)
Nieobsługiwane
* Bardzo minimalistyczne obrazy, takie jak obrazy tymczasowe platformy Docker
jest obecnie nieobsługiwany
Systemy operacyjne Obsługiwane
* Alpine Linux 3.12-3.21
* Red Hat Enterprise Linux 6-9
* CentOS 6-9. (CentOS to End Of Life (EOL) od 30 czerwca 2024 r. Aby uzyskać więcej informacji, zobacz wskazówki dotyczące zakończenia życia systemu CentOS).
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless (oparte na Debian GNU/Linux 7-12)
* Ubuntu 12.04-22.04
* Fedora 31-37
* Mariner 1-2
* Windows Server 2016, 2019, 2022
Pakiety specyficzne dla języka

Obsługiwane
*Pyton
* Node.js
*.SIEĆ
*Jawa
*Iść

Dystrybucje i konfiguracje platformy Kubernetes dla platformy Azure — ochrona przed zagrożeniami w czasie wykonywania

Aspekt Szczegóły
Dystrybucje i konfiguracje platformy Kubernetes Obsługiwane
* Usługa Azure Kubernetes Service (AKS) z kontrolą dostępu opartą na rolach platformy Kubernetes

Obsługiwane za pośrednictwem platformy Kubernetes z obsługą usługi Arc 1 2
* Hybrydowa usługa Azure Kubernetes Service
* Kubernetes
* Aparat AKS
* Azure Red Hat OpenShift

1 Wszystkie klastry Kubernetes z certyfikatem Cloud Native Computing Foundation (CNCF) powinny być obsługiwane, ale tylko określone klastry zostały przetestowane na platformie Azure.

2 Aby uzyskać ochronę usługi Microsoft Defender for Containers dla środowisk, należy dołączyć platformę Kubernetes z obsługą usługi Azure Arc i włączyć usługę Defender for Containers jako rozszerzenie usługi Arc.

Uwaga

Aby uzyskać dodatkowe wymagania dotyczące ochrony obciążeń platformy Kubernetes, zobacz istniejące ograniczenia.

AWS

Domain Funkcja Obsługiwane zasoby Stan wydania systemu Linux Stan wydania systemu Windows Bez agenta/oparty na czujnikach Warstwa cenowa
Zarządzanie stanem zabezpieczeń Odnajdywanie bez agenta dla platformy Kubernetes EKS Ogólna dostępność Ogólna dostępność Bez agenta Defender for Containers OR CSPM w usłudze Defender
Zarządzanie stanem zabezpieczeń Kompleksowe możliwości spisu ECR, EKS Ogólna dostępność Ogólna dostępność Bez agenta Defender for Containers OR CSPM w usłudze Defender
Zarządzanie stanem zabezpieczeń Analiza ścieżki ataku ECR, EKS Ogólna dostępność Ogólna dostępność Bez agenta Defender CSPM
Zarządzanie stanem zabezpieczeń Ulepszone polowanie na ryzyko ECR, EKS Ogólna dostępność Ogólna dostępność Bez agenta Defender for Containers OR CSPM w usłudze Defender
Zarządzanie stanem zabezpieczeń Ciągła integracja platformy Docker EC2 Ogólna dostępność - Agent Log Analytics Defender for Servers (Plan 2)
Zarządzanie stanem zabezpieczeń Wzmacnianie płaszczyzny sterowania - - - - -
Zarządzanie stanem zabezpieczeń Wzmacnianie płaszczyzny danych kubernetes EKS Ogólna dostępność - Azure Policy dla platformy Kubernetes Defender dla Kontenerów
Ocena luk w zabezpieczeniach Skanowanie rejestru bez agenta (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) obsługiwane pakiety ECR Ogólna dostępność Ogólna dostępność Bez agenta Defender for Containers lub CSPM w usłudze Defender
Ocena luk w zabezpieczeniach Obsługiwane pakiety środowiska uruchomieniowego bez agenta/czujnika (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) EKS Ogólna dostępność Ogólna dostępność Czujnik BEZ agenta LUB/I Defender Defender for Containers lub CSPM w usłudze Defender
Ochrona środowiska uruchomieniowego Płaszczyzna sterowania EKS Ogólna dostępność Ogólna dostępność Bez agenta Defender dla Kontenerów
Ochrona środowiska uruchomieniowego Obciążenie EKS Ogólna dostępność - Czujnik usługi Defender Defender dla Kontenerów
Wdrażanie i monitorowanie Odnajdywanie niechronionych klastrów EKS Ogólna dostępność Ogólna dostępność Bez agenta Defender dla Kontenerów
Wdrażanie i monitorowanie Automatyczna aprowizacja czujnika usługi Defender EKS Ogólna dostępność - - -
Wdrażanie i monitorowanie Automatyczna aprowizacja usługi Azure Policy dla platformy Kubernetes EKS Ogólna dostępność - - -

Obsługa rejestrów i obrazów dla platformy AWS — ocena luk w zabezpieczeniach obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender

Aspekt Szczegóły
Rejestry i obrazy Obsługiwane
* Rejestry ECR
* Obrazy kontenerów w formacie platformy Docker V2
* Obrazy ze specyfikacją formatu obrazu Open Container Initiative (OCI)
Nieobsługiwane
* Bardzo minimalistyczne obrazy, takie jak obrazy tymczasowe platformy Docker, są obecnie nieobsługiwane
* Repozytoria publiczne
* Listy manifestów
Systemy operacyjne Obsługiwane
* Alpine Linux 3.12-3.21
* Red Hat Enterprise Linux 6-9
* CentOS 6-9 (CentOS to End Of Life) od 30 czerwca 2024 r. Aby uzyskać więcej informacji, zobacz wskazówki dotyczące zakończenia życia systemu CentOS).
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless (oparte na Debian GNU/Linux 7-12)
* Ubuntu 12.04-22.04
* Fedora 31-37
* Mariner 1-2
* Windows Server 2016, 2019, 2022
Pakiety specyficzne dla języka

Obsługiwane
*Pyton
* Node.js
*.SIEĆ
*Jawa
*Iść

Obsługa dystrybucji/konfiguracji platformy Kubernetes dla platformy AWS — ochrona przed zagrożeniami w czasie wykonywania

Aspekt Szczegóły
Dystrybucje i konfiguracje platformy Kubernetes Obsługiwane
* Amazon Elastic Kubernetes Service (EKS)

Obsługiwane za pośrednictwem platformy Kubernetes z obsługą usługi Arc 1 2
* Kubernetes
Nieobsługiwane
* Klastry prywatne EKS

1 Wszystkie klastry Kubernetes z certyfikatem Cloud Native Computing Foundation (CNCF) powinny być obsługiwane, ale przetestowano tylko określone klastry.

2 Aby uzyskać ochronę usługi Microsoft Defender for Containers dla środowisk, należy dołączyć platformę Kubernetes z obsługą usługi Azure Arc i włączyć usługę Defender for Containers jako rozszerzenie usługi Arc.

Uwaga

Aby uzyskać dodatkowe wymagania dotyczące ochrony obciążeń platformy Kubernetes, zobacz istniejące ograniczenia.

Obsługa serwera proxy ruchu wychodzącego — AWS

Obsługiwany jest serwer proxy ruchu wychodzącego bez uwierzytelniania i serwer proxy ruchu wychodzącego z uwierzytelnianiem podstawowym. Serwer proxy ruchu wychodzącego, który oczekuje zaufanych certyfikatów, nie jest obecnie obsługiwany.

Klastry z ograniczeniami adresów IP — AWS

Jeśli klaster Kubernetes na platformie AWS ma włączone ograniczenia adresów IP płaszczyzny sterowania (zobacz Kontrola dostępu punktu końcowego klastra Amazon EKS — Amazon EKS, ), konfiguracja ograniczeń adresów IP płaszczyzny sterowania zostanie zaktualizowana w celu uwzględnienia bloku CIDR Microsoft Defender dla Chmury.

GCP

Domain Funkcja Obsługiwane zasoby Stan wydania systemu Linux Stan wydania systemu Windows Bez agenta/oparty na czujnikach Warstwa cenowa
Zarządzanie stanem zabezpieczeń Odnajdywanie bez agenta dla platformy Kubernetes GKE Ogólna dostępność Ogólna dostępność Bez agenta Defender for Containers OR CSPM w usłudze Defender
Zarządzanie stanem zabezpieczeń Kompleksowe możliwości spisu GAR, GCR, GKE Ogólna dostępność Ogólna dostępność Bez agenta Defender for Containers OR CSPM w usłudze Defender
Zarządzanie stanem zabezpieczeń Analiza ścieżki ataku GAR, GCR, GKE Ogólna dostępność Ogólna dostępność Bez agenta Defender CSPM
Zarządzanie stanem zabezpieczeń Ulepszone polowanie na ryzyko GAR, GCR, GKE Ogólna dostępność Ogólna dostępność Bez agenta Defender for Containers OR CSPM w usłudze Defender
Zarządzanie stanem zabezpieczeń Ciągła integracja platformy Docker Maszyny wirtualne GCP Ogólna dostępność - Agent Log Analytics Defender for Servers (Plan 2)
Zarządzanie stanem zabezpieczeń Wzmacnianie płaszczyzny sterowania GKE Ogólna dostępność Ogólna dostępność Bez agenta Bezpłatna
Zarządzanie stanem zabezpieczeń Wzmacnianie płaszczyzny danych kubernetes GKE Ogólna dostępność - Azure Policy dla platformy Kubernetes Defender dla Kontenerów
Ocena luk w zabezpieczeniach Skanowanie rejestru bez agenta (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) obsługiwane pakiety GAR, GCR Ogólna dostępność Ogólna dostępność Bez agenta Defender for Containers lub CSPM w usłudze Defender
Ocena luk w zabezpieczeniach Obsługiwane pakiety środowiska uruchomieniowego bez agenta/czujnika (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) GKE Ogólna dostępność Ogólna dostępność Czujnik BEZ agenta LUB/I Defender Defender for Containers lub CSPM w usłudze Defender
Ochrona środowiska uruchomieniowego Płaszczyzna sterowania GKE Ogólna dostępność Ogólna dostępność Bez agenta Defender dla Kontenerów
Ochrona środowiska uruchomieniowego Obciążenie GKE Ogólna dostępność - Czujnik usługi Defender Defender dla Kontenerów
Wdrażanie i monitorowanie Odnajdywanie niechronionych klastrów GKE Ogólna dostępność Ogólna dostępność Bez agenta Defender dla Kontenerów
Wdrażanie i monitorowanie Automatyczna aprowizacja czujnika usługi Defender GKE Ogólna dostępność - Bez agenta Defender dla Kontenerów
Wdrażanie i monitorowanie Automatyczna aprowizacja usługi Azure Policy dla platformy Kubernetes GKE Ogólna dostępność - Bez agenta Defender dla Kontenerów

Obsługa rejestrów i obrazów dla platformy GCP — ocena luk w zabezpieczeniach obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender

Aspekt Szczegóły
Rejestry i obrazy Obsługiwane
* Rejestry Google (GAR, GCR)
* Obrazy kontenerów w formacie platformy Docker V2
* Obrazy ze specyfikacją formatu obrazu Open Container Initiative (OCI)
Nieobsługiwane
* Bardzo minimalistyczne obrazy, takie jak obrazy tymczasowe platformy Docker, są obecnie nieobsługiwane
* Repozytoria publiczne
* Listy manifestów
Systemy operacyjne Obsługiwane
* Alpine Linux 3.12-3.21
* Red Hat Enterprise Linux 6-9
* CentOS 6-9 (CentOS to End Of Life) od 30 czerwca 2024 r. Aby uzyskać więcej informacji, zobacz wskazówki dotyczące zakończenia życia systemu CentOS).
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless (oparte na Debian GNU/Linux 7-12)
* Ubuntu 12.04-22.04
* Fedora 31-37
* Mariner 1-2
* Windows Server 2016, 2019, 2022
Pakiety specyficzne dla języka

Obsługiwane
*Pyton
* Node.js
*.SIEĆ
*Jawa
*Iść

Obsługa dystrybucji/konfiguracji platformy Kubernetes dla platformy GCP — ochrona przed zagrożeniami w czasie wykonywania

Aspekt Szczegóły
Dystrybucje i konfiguracje platformy Kubernetes Obsługiwane
* Google Kubernetes Engine (GKE) Standard

Obsługiwane za pośrednictwem platformy Kubernetes z obsługą usługi Arc 1 2
* Kubernetes

Nieobsługiwane
* Klastry sieci prywatnej
* Autopilot GKE
* GKE AuthorizedNetworksConfig

1 Wszystkie klastry Kubernetes z certyfikatem Cloud Native Computing Foundation (CNCF) powinny być obsługiwane, ale przetestowano tylko określone klastry.

2 Aby uzyskać ochronę usługi Microsoft Defender for Containers dla środowisk, należy dołączyć platformę Kubernetes z obsługą usługi Azure Arc i włączyć usługę Defender for Containers jako rozszerzenie usługi Arc.

Uwaga

Aby uzyskać dodatkowe wymagania dotyczące ochrony obciążeń platformy Kubernetes, zobacz istniejące ograniczenia.

Obsługa serwera proxy ruchu wychodzącego — GCP

Obsługiwany jest serwer proxy ruchu wychodzącego bez uwierzytelniania i serwer proxy ruchu wychodzącego z uwierzytelnianiem podstawowym. Serwer proxy ruchu wychodzącego, który oczekuje zaufanych certyfikatów, nie jest obecnie obsługiwany.

Klastry z ograniczeniami adresów IP — GCP

Jeśli klaster Kubernetes w GCP ma włączone ograniczenia adresów IP płaszczyzny sterowania (zobacz Dodawanie autoryzowanych sieci na potrzeby dostępu do płaszczyzny sterowania | Google Kubernetes Engine (GKE) | Google Cloud ), konfiguracja ograniczeń adresów IP płaszczyzny sterowania została zaktualizowana w celu uwzględnienia bloku CIDR Microsoft Defender dla Chmury.

Lokalne klastry Kubernetes z obsługą usługi Arc

Domain Funkcja Obsługiwane zasoby Stan wydania systemu Linux Stan wydania systemu Windows Bez agenta/oparty na czujnikach Warstwa cenowa
Zarządzanie stanem zabezpieczeń Ciągła integracja platformy Docker Maszyny wirtualne z obsługą usługi Arc Podgląd - Agent Log Analytics Defender for Servers (Plan 2)
Zarządzanie stanem zabezpieczeń Wzmacnianie płaszczyzny sterowania - - - - -
Zarządzanie stanem zabezpieczeń Wzmacnianie płaszczyzny danych kubernetes Klastry K8s z obsługą usługi Arc Ogólna dostępność - Azure Policy dla platformy Kubernetes Defender dla Kontenerów
Ochrona środowiska uruchomieniowego Ochrona przed zagrożeniami (płaszczyzna sterowania) Klastry OpenShift z obsługą usługi Arc Wersja Preview Wersja Preview Czujnik usługi Defender Defender dla Kontenerów
Ochrona środowiska uruchomieniowego Ochrona przed zagrożeniami (obciążenie) Klastry OpenShift z obsługą usługi Arc Podgląd - Czujnik usługi Defender Defender dla Kontenerów
Wdrażanie i monitorowanie Odnajdywanie niechronionych klastrów Klastry K8s z obsługą usługi Arc Podgląd - Bez agenta Bezpłatna
Wdrażanie i monitorowanie Automatyczna aprowizacja czujnika usługi Defender Klastry K8s z obsługą usługi Arc Wersja Preview Wersja Preview Bez agenta Defender dla Kontenerów
Wdrażanie i monitorowanie Automatyczna aprowizacja usługi Azure Policy dla platformy Kubernetes Klastry K8s z obsługą usługi Arc Podgląd - Bez agenta Defender dla Kontenerów

Rejestry kontenerów zewnętrznych

Domain Funkcja Obsługiwane zasoby Stan wydania systemu Linux Stan wydania systemu Windows Bez agenta/oparty na czujnikach Warstwa cenowa
Zarządzanie stanem zabezpieczeń Kompleksowe możliwości spisu Docker Hub , JFrog Artifactory Wersja Preview Wersja Preview Bez agenta Podstawowy CSPM LUB Defender for Containers OR CSPM w usłudze Defender
Zarządzanie stanem zabezpieczeń Analiza ścieżki ataku Docker Hub , JFrog Artifactory Wersja Preview Wersja Preview Bez agenta Defender CSPM
Ocena luk w zabezpieczeniach Skanowanie rejestru bez agenta (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) obsługiwane pakiety Docker Hub, JfFrog Artifactory Wersja Preview Wersja Preview Bez agenta Defender for Containers OR CSPM w usłudze Defender
Ocena luk w zabezpieczeniach Obsługiwane pakiety środowiska uruchomieniowego bez agenta/czujnika (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) Docker Hub , JFrog Artifactory Wersja Preview Wersja Preview Czujnik BEZ agenta LUB/I Defender Defender for Containers OR CSPM w usłudze Defender

Dystrybucje i konfiguracje platformy Kubernetes

Aspekt Szczegóły
Dystrybucje i konfiguracje platformy Kubernetes Obsługiwane za pośrednictwem platformy Kubernetes z obsługą usługi Arc 1 2
* Hybrydowa usługa Azure Kubernetes Service
* Azure Red Hat OpenShift
* Red Hat OpenShift (wersja 4.6 lub nowsza)

1 Wszystkie klastry Kubernetes z certyfikatem Cloud Native Computing Foundation (CNCF) powinny być obsługiwane, ale przetestowano tylko określone klastry.

2 Aby uzyskać ochronę usługi Microsoft Defender for Containers dla środowisk, należy dołączyć platformę Kubernetes z obsługą usługi Azure Arc i włączyć usługę Defender for Containers jako rozszerzenie usługi Arc.

Uwaga

Aby uzyskać dodatkowe wymagania dotyczące ochrony obciążeń platformy Kubernetes, zobacz istniejące ograniczenia.

Obsługiwane systemy operacyjne hosta

Usługa Defender for Containers korzysta z czujnika usługi Defender dla kilku funkcji. Czujnik usługi Defender jest obsługiwany tylko w przypadku jądra systemu Linux w wersji 5.4 lub nowszej w następujących systemach operacyjnych hosta:

  • Amazon Linux 2
  • CentOS 8 (CentOS to End Of Life (EOL) od 30 czerwca 2024 r. Aby uzyskać więcej informacji, zobacz wskazówki dotyczące zakończenia życia systemu CentOS).
  • Debian 10
  • Debian 11
  • System operacyjny Zoptymalizowany pod kątem kontenera Google
  • Mariner 1.0
  • Mariner 2.0
  • Red Hat Enterprise Linux 8
  • Ubuntu 16.04
  • Ubuntu 18.04
  • Ubuntu 20.04
  • Ubuntu 22.04

Upewnij się, że węzeł Kubernetes jest uruchomiony w jednym z tych zweryfikowanych systemów operacyjnych. Klastry z nieobsługiwanymi systemami operacyjnymi hosta nie uzyskują korzyści z funkcji opartych na czujniku usługi Defender.

Ograniczenia czujnika usługi Defender

Czujnik usługi Defender w usłudze AKS w wersji 1.28 lub starszej nie jest obsługiwany w węzłach Arm64.

Ograniczenia sieci

Obsługa wychodzącego serwera proxy

Obsługiwany jest serwer proxy ruchu wychodzącego bez uwierzytelniania i serwer proxy ruchu wychodzącego z uwierzytelnianiem podstawowym. Serwer proxy ruchu wychodzącego, który oczekuje zaufanych certyfikatów, nie jest obecnie obsługiwany.

Następne kroki