Macierz obsługi kontenerów w usłudze Defender dla Chmury
Uwaga
W tym artykule 30 czerwca 2024 r. odwołuje się do systemu CentOS, dystrybucji systemu Linux, która jest systemem End Of Life (EOL). Rozważ odpowiednie użycie i planowanie. Aby uzyskać więcej informacji, zobacz wskazówki dotyczące zakończenia życia systemu CentOS.
Ten artykuł zawiera podsumowanie informacji o obsłudze funkcji kontenera w Microsoft Defender dla Chmury.
Uwaga
- Określone funkcje są dostępne w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują inne postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
- Tylko wersje usług AKS, EKS i GKE obsługiwane przez dostawcę chmury są oficjalnie obsługiwane przez Defender dla Chmury.
Poniżej przedstawiono funkcje udostępniane przez usługę Defender for Containers dla obsługiwanych środowisk w chmurze i rejestrów kontenerów.
Azure
Zarządzanie stanem zabezpieczeń
Funkcja | opis | Obsługiwane zasoby | Stan wydania systemu Linux | Stan wydania systemu Windows | Enablement, metoda | Czujnik | Plany | Dostępność chmur platformy Azure |
---|---|---|---|---|---|---|---|---|
Odnajdywanie bez agenta dla platformy Kubernetes | Zapewnia zerowe ślady, odnajdywanie oparte na interfejsie API klastrów Kubernetes, ich konfiguracji i wdrożeń. | AKS | Ogólna dostępność | Ogólna dostępność | Włączanie odnajdywania bez agenta na przełączniku Kubernetes | Bez agenta | Defender for Containers OR CSPM w usłudze Defender | Chmury komercyjne platformy Azure |
Kompleksowe możliwości spisu | Umożliwia eksplorowanie zasobów, zasobników, usług, repozytoriów, obrazów i konfiguracji za pomocą Eksploratora zabezpieczeń w celu łatwego monitorowania zasobów i zarządzania nimi. | ACR, AKS | Ogólna dostępność | Ogólna dostępność | Włączanie odnajdywania bez agenta na przełączniku Kubernetes | Bez agenta | Defender for Containers OR CSPM w usłudze Defender | Chmury komercyjne platformy Azure |
Analiza ścieżki ataku | Algorytm oparty na grafach, który skanuje wykres zabezpieczeń w chmurze. Skanowania uwidaczniają możliwe do wykorzystania ścieżki, których osoby atakujące mogą używać do naruszenia środowiska. | ACR, AKS | Ogólna dostępność | Ogólna dostępność | Aktywowano z planem | Bez agenta | CSPM w usłudze Defender (wymaga włączenia odnajdywania bez agenta dla platformy Kubernetes) | Chmury komercyjne platformy Azure |
Ulepszone polowanie na ryzyko | Umożliwia administratorom zabezpieczeń aktywne wyszukiwanie problemów ze stanem w swoich konteneryzowanych zasobach za pośrednictwem zapytań (wbudowanych i niestandardowych) oraz szczegółowych informacji o zabezpieczeniach w Eksploratorze zabezpieczeń. | ACR, AKS | Ogólna dostępność | Ogólna dostępność | Włączanie odnajdywania bez agenta na przełączniku Kubernetes | Bez agenta | Defender for Containers OR CSPM w usłudze Defender | Chmury komercyjne platformy Azure |
Wzmacnianie płaszczyzny sterowania | Stale ocenia konfiguracje klastrów i porównuje je z inicjatywami zastosowanymi do subskrypcji. W przypadku znalezienia błędów konfiguracji Defender dla Chmury generuje zalecenia dotyczące zabezpieczeń dostępne na stronie Zalecenia Defender dla Chmury. Zalecenia umożliwiają badanie i korygowanie problemów. | ACR, AKS | Ogólna dostępność | Ogólna dostępność | Aktywowano z planem | Bez agenta | Bezpłatna | Chmury komercyjne Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet |
Wzmacnianie płaszczyzny danych kubernetes | Ochrona obciążeń kontenerów Kubernetes przy użyciu zaleceń dotyczących najlepszych rozwiązań. | AKS | Ogólna dostępność | - | Włączanie przełącznika usługi Azure Policy dla platformy Kubernetes | Azure Policy | Bezpłatna | Chmury komercyjne Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet |
Ciągła integracja platformy Docker | Test porównawczy ciS platformy Docker | Maszyna wirtualna, zestaw skalowania maszyn wirtualnych | Ogólna dostępność | - | Włączone z planem | Agent Log Analytics | Defender for Servers (Plan 2) | Chmury komercyjne Chmury krajowe: Azure Government, Microsoft Azure obsługiwane przez firmę 21Vianet |
Ocena luk w zabezpieczeniach
Funkcja | opis | Obsługiwane zasoby | Stan wydania systemu Linux | Stan wydania systemu Windows | Enablement, metoda | Czujnik | Plany | Dostępność chmur platformy Azure |
---|---|---|---|---|---|---|---|---|
Skanowanie rejestru bez agenta (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) obsługiwane pakiety | Ocena luk w zabezpieczeniach obrazów w usłudze ACR | ACR, Private ACR | Ogólna dostępność | Ogólna dostępność | Włączanie przełącznika oceny luk w zabezpieczeniach kontenera bez agenta | Bez agenta | Defender for Containers lub CSPM w usłudze Defender | Chmury komercyjne Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet |
Obsługiwane pakiety środowiska uruchomieniowego bez agenta/agenta (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) | Ocena luk w zabezpieczeniach na potrzeby uruchamiania obrazów w usłudze AKS | AKS | Ogólna dostępność | Ogólna dostępność | Włączanie przełącznika oceny luk w zabezpieczeniach kontenera bez agenta | Bez agenta (wymaga odnajdywania bez agenta dla platformy Kubernetes) LUB/I czujnika usługi Defender | Defender for Containers lub CSPM w usłudze Defender | Chmury komercyjne Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet |
Skanowanie węzłów K8s bez agenta | Ocena luk w zabezpieczeniach węzłów K8s | AKS | Wersja Preview | Wersja Preview | Włącz Skanowanie bez agentów w poszukiwaniu maszyn | Bez agenta | Defender for Containers lub Defender for Servers P2 lub CSPM | Chmury komercyjne |
Ochrona przed zagrożeniami w czasie wykonywania
Funkcja | opis | Obsługiwane zasoby | Stan wydania systemu Linux | Stan wydania systemu Windows | Enablement, metoda | Czujnik | Plany | Dostępność chmur platformy Azure |
---|---|---|---|---|---|---|---|---|
Płaszczyzna sterowania | Wykrywanie podejrzanych działań dotyczących platformy Kubernetes na podstawie dziennika inspekcji platformy Kubernetes | AKS | Ogólna dostępność | Ogólna dostępność | Włączone z planem | Bez agenta | Defender dla Kontenerów | Chmury komercyjne Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet |
Obciążenie | Wykrywanie podejrzanych działań związanych z platformą Kubernetes na poziomie klastra, poziomie węzła i poziomie obciążenia | AKS | Ogólna dostępność | - | Włączanie przełącznika Usługi Defender na platformie Azure lub wdrażanie czujników usługi Defender w poszczególnych klastrach | Czujnik usługi Defender | Defender dla Kontenerów | Chmury komercyjne Chmury krajowe: Azure Government, Azure China 21Vianet |
Węzeł | Wykrywanie złośliwego oprogramowania w węzłach K8s | AKS | Wersja Preview | Wersja Preview | Włącz Skanowanie bez agentów w poszukiwaniu maszyn | Bez agenta | Defender for Containers lub Defender for Servers P2 | Chmury komercyjne |
Wdrażanie i monitorowanie
Funkcja | opis | Obsługiwane zasoby | Stan wydania systemu Linux | Stan wydania systemu Windows | Enablement, metoda | Czujnik | Plany | Dostępność chmur platformy Azure |
---|---|---|---|---|---|---|---|---|
Odnajdywanie niechronionych klastrów | Odnajdywanie klastrów Kubernetes z brakującymi czujnikami usługi Defender | AKS | Ogólna dostępność | Ogólna dostępność | Włączone z planem | Bez agenta | Bezpłatna | Chmury komercyjne Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet |
Automatyczna aprowizacja czujnika usługi Defender | Automatyczne wdrażanie czujnika usługi Defender | AKS | Ogólna dostępność | - | Włączanie przełącznika Usługi Defender na platformie Azure | Bez agenta | Defender dla Kontenerów | Chmury komercyjne Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet |
Automatyczne aprowizowanie usługi Azure Policy dla platformy Kubernetes | Automatyczne wdrażanie czujnika zasad platformy Azure dla platformy Kubernetes | AKS | Ogólna dostępność | - | Włączanie usługi Azure Policy dla przełącznika Kubernetes | Bez agenta | Bezpłatna | Chmury komercyjne Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet |
Obsługa rejestrów i obrazów dla platformy Azure — ocena luk w zabezpieczeniach obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
Aspekt | Szczegóły |
---|---|
Rejestry i obrazy | Obsługiwane * Rejestry usługi ACR * Rejestry usługi ACR chronione za pomocą usługi Azure Private Link (rejestry prywatne wymagają dostępu do zaufanych usług) * Obrazy kontenerów w formacie platformy Docker V2 * Obrazy ze specyfikacją formatu obrazu Open Container Initiative (OCI) Nieobsługiwane * Bardzo minimalistyczne obrazy, takie jak obrazy tymczasowe platformy Docker jest obecnie nieobsługiwany |
Systemy operacyjne | Obsługiwane * Alpine Linux 3.12-3.21 * Red Hat Enterprise Linux 6-9 * CentOS 6-9. (CentOS to End Of Life (EOL) od 30 czerwca 2024 r. Aby uzyskać więcej informacji, zobacz wskazówki dotyczące zakończenia życia systemu CentOS). * Oracle Linux 6-9 * Amazon Linux 1, 2 * openSUSE Leap, openSUSE Tumbleweed * SUSE Enterprise Linux 11-15 * Debian GNU/Linux 7-12 * Google Distroless (oparte na Debian GNU/Linux 7-12) * Ubuntu 12.04-22.04 * Fedora 31-37 * Mariner 1-2 * Windows Server 2016, 2019, 2022 |
Pakiety specyficzne dla języka |
Obsługiwane *Pyton * Node.js *.SIEĆ *Jawa *Iść |
Dystrybucje i konfiguracje platformy Kubernetes dla platformy Azure — ochrona przed zagrożeniami w czasie wykonywania
Aspekt | Szczegóły |
---|---|
Dystrybucje i konfiguracje platformy Kubernetes | Obsługiwane * Usługa Azure Kubernetes Service (AKS) z kontrolą dostępu opartą na rolach platformy Kubernetes Obsługiwane za pośrednictwem platformy Kubernetes z obsługą usługi Arc 1 2 * Hybrydowa usługa Azure Kubernetes Service * Kubernetes * Aparat AKS * Azure Red Hat OpenShift |
1 Wszystkie klastry Kubernetes z certyfikatem Cloud Native Computing Foundation (CNCF) powinny być obsługiwane, ale tylko określone klastry zostały przetestowane na platformie Azure.
2 Aby uzyskać ochronę usługi Microsoft Defender for Containers dla środowisk, należy dołączyć platformę Kubernetes z obsługą usługi Azure Arc i włączyć usługę Defender for Containers jako rozszerzenie usługi Arc.
Uwaga
Aby uzyskać dodatkowe wymagania dotyczące ochrony obciążeń platformy Kubernetes, zobacz istniejące ograniczenia.
AWS
Domain | Funkcja | Obsługiwane zasoby | Stan wydania systemu Linux | Stan wydania systemu Windows | Bez agenta/oparty na czujnikach | Warstwa cenowa |
---|---|---|---|---|---|---|
Zarządzanie stanem zabezpieczeń | Odnajdywanie bez agenta dla platformy Kubernetes | EKS | Ogólna dostępność | Ogólna dostępność | Bez agenta | Defender for Containers OR CSPM w usłudze Defender |
Zarządzanie stanem zabezpieczeń | Kompleksowe możliwości spisu | ECR, EKS | Ogólna dostępność | Ogólna dostępność | Bez agenta | Defender for Containers OR CSPM w usłudze Defender |
Zarządzanie stanem zabezpieczeń | Analiza ścieżki ataku | ECR, EKS | Ogólna dostępność | Ogólna dostępność | Bez agenta | Defender CSPM |
Zarządzanie stanem zabezpieczeń | Ulepszone polowanie na ryzyko | ECR, EKS | Ogólna dostępność | Ogólna dostępność | Bez agenta | Defender for Containers OR CSPM w usłudze Defender |
Zarządzanie stanem zabezpieczeń | Ciągła integracja platformy Docker | EC2 | Ogólna dostępność | - | Agent Log Analytics | Defender for Servers (Plan 2) |
Zarządzanie stanem zabezpieczeń | Wzmacnianie płaszczyzny sterowania | - | - | - | - | - |
Zarządzanie stanem zabezpieczeń | Wzmacnianie płaszczyzny danych kubernetes | EKS | Ogólna dostępność | - | Azure Policy dla platformy Kubernetes | Defender dla Kontenerów |
Ocena luk w zabezpieczeniach | Skanowanie rejestru bez agenta (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) obsługiwane pakiety | ECR | Ogólna dostępność | Ogólna dostępność | Bez agenta | Defender for Containers lub CSPM w usłudze Defender |
Ocena luk w zabezpieczeniach | Obsługiwane pakiety środowiska uruchomieniowego bez agenta/czujnika (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) | EKS | Ogólna dostępność | Ogólna dostępność | Czujnik BEZ agenta LUB/I Defender | Defender for Containers lub CSPM w usłudze Defender |
Ochrona środowiska uruchomieniowego | Płaszczyzna sterowania | EKS | Ogólna dostępność | Ogólna dostępność | Bez agenta | Defender dla Kontenerów |
Ochrona środowiska uruchomieniowego | Obciążenie | EKS | Ogólna dostępność | - | Czujnik usługi Defender | Defender dla Kontenerów |
Wdrażanie i monitorowanie | Odnajdywanie niechronionych klastrów | EKS | Ogólna dostępność | Ogólna dostępność | Bez agenta | Defender dla Kontenerów |
Wdrażanie i monitorowanie | Automatyczna aprowizacja czujnika usługi Defender | EKS | Ogólna dostępność | - | - | - |
Wdrażanie i monitorowanie | Automatyczna aprowizacja usługi Azure Policy dla platformy Kubernetes | EKS | Ogólna dostępność | - | - | - |
Obsługa rejestrów i obrazów dla platformy AWS — ocena luk w zabezpieczeniach obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
Aspekt | Szczegóły |
---|---|
Rejestry i obrazy | Obsługiwane * Rejestry ECR * Obrazy kontenerów w formacie platformy Docker V2 * Obrazy ze specyfikacją formatu obrazu Open Container Initiative (OCI) Nieobsługiwane * Bardzo minimalistyczne obrazy, takie jak obrazy tymczasowe platformy Docker, są obecnie nieobsługiwane * Repozytoria publiczne * Listy manifestów |
Systemy operacyjne | Obsługiwane * Alpine Linux 3.12-3.21 * Red Hat Enterprise Linux 6-9 * CentOS 6-9 (CentOS to End Of Life) od 30 czerwca 2024 r. Aby uzyskać więcej informacji, zobacz wskazówki dotyczące zakończenia życia systemu CentOS). * Oracle Linux 6-9 * Amazon Linux 1, 2 * openSUSE Leap, openSUSE Tumbleweed * SUSE Enterprise Linux 11-15 * Debian GNU/Linux 7-12 * Google Distroless (oparte na Debian GNU/Linux 7-12) * Ubuntu 12.04-22.04 * Fedora 31-37 * Mariner 1-2 * Windows Server 2016, 2019, 2022 |
Pakiety specyficzne dla języka |
Obsługiwane *Pyton * Node.js *.SIEĆ *Jawa *Iść |
Obsługa dystrybucji/konfiguracji platformy Kubernetes dla platformy AWS — ochrona przed zagrożeniami w czasie wykonywania
Aspekt | Szczegóły |
---|---|
Dystrybucje i konfiguracje platformy Kubernetes | Obsługiwane * Amazon Elastic Kubernetes Service (EKS) Obsługiwane za pośrednictwem platformy Kubernetes z obsługą usługi Arc 1 2 * Kubernetes Nieobsługiwane * Klastry prywatne EKS |
1 Wszystkie klastry Kubernetes z certyfikatem Cloud Native Computing Foundation (CNCF) powinny być obsługiwane, ale przetestowano tylko określone klastry.
2 Aby uzyskać ochronę usługi Microsoft Defender for Containers dla środowisk, należy dołączyć platformę Kubernetes z obsługą usługi Azure Arc i włączyć usługę Defender for Containers jako rozszerzenie usługi Arc.
Uwaga
Aby uzyskać dodatkowe wymagania dotyczące ochrony obciążeń platformy Kubernetes, zobacz istniejące ograniczenia.
Obsługa serwera proxy ruchu wychodzącego — AWS
Obsługiwany jest serwer proxy ruchu wychodzącego bez uwierzytelniania i serwer proxy ruchu wychodzącego z uwierzytelnianiem podstawowym. Serwer proxy ruchu wychodzącego, który oczekuje zaufanych certyfikatów, nie jest obecnie obsługiwany.
Klastry z ograniczeniami adresów IP — AWS
Jeśli klaster Kubernetes na platformie AWS ma włączone ograniczenia adresów IP płaszczyzny sterowania (zobacz Kontrola dostępu punktu końcowego klastra Amazon EKS — Amazon EKS, ), konfiguracja ograniczeń adresów IP płaszczyzny sterowania zostanie zaktualizowana w celu uwzględnienia bloku CIDR Microsoft Defender dla Chmury.
GCP
Domain | Funkcja | Obsługiwane zasoby | Stan wydania systemu Linux | Stan wydania systemu Windows | Bez agenta/oparty na czujnikach | Warstwa cenowa |
---|---|---|---|---|---|---|
Zarządzanie stanem zabezpieczeń | Odnajdywanie bez agenta dla platformy Kubernetes | GKE | Ogólna dostępność | Ogólna dostępność | Bez agenta | Defender for Containers OR CSPM w usłudze Defender |
Zarządzanie stanem zabezpieczeń | Kompleksowe możliwości spisu | GAR, GCR, GKE | Ogólna dostępność | Ogólna dostępność | Bez agenta | Defender for Containers OR CSPM w usłudze Defender |
Zarządzanie stanem zabezpieczeń | Analiza ścieżki ataku | GAR, GCR, GKE | Ogólna dostępność | Ogólna dostępność | Bez agenta | Defender CSPM |
Zarządzanie stanem zabezpieczeń | Ulepszone polowanie na ryzyko | GAR, GCR, GKE | Ogólna dostępność | Ogólna dostępność | Bez agenta | Defender for Containers OR CSPM w usłudze Defender |
Zarządzanie stanem zabezpieczeń | Ciągła integracja platformy Docker | Maszyny wirtualne GCP | Ogólna dostępność | - | Agent Log Analytics | Defender for Servers (Plan 2) |
Zarządzanie stanem zabezpieczeń | Wzmacnianie płaszczyzny sterowania | GKE | Ogólna dostępność | Ogólna dostępność | Bez agenta | Bezpłatna |
Zarządzanie stanem zabezpieczeń | Wzmacnianie płaszczyzny danych kubernetes | GKE | Ogólna dostępność | - | Azure Policy dla platformy Kubernetes | Defender dla Kontenerów |
Ocena luk w zabezpieczeniach | Skanowanie rejestru bez agenta (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) obsługiwane pakiety | GAR, GCR | Ogólna dostępność | Ogólna dostępność | Bez agenta | Defender for Containers lub CSPM w usłudze Defender |
Ocena luk w zabezpieczeniach | Obsługiwane pakiety środowiska uruchomieniowego bez agenta/czujnika (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) | GKE | Ogólna dostępność | Ogólna dostępność | Czujnik BEZ agenta LUB/I Defender | Defender for Containers lub CSPM w usłudze Defender |
Ochrona środowiska uruchomieniowego | Płaszczyzna sterowania | GKE | Ogólna dostępność | Ogólna dostępność | Bez agenta | Defender dla Kontenerów |
Ochrona środowiska uruchomieniowego | Obciążenie | GKE | Ogólna dostępność | - | Czujnik usługi Defender | Defender dla Kontenerów |
Wdrażanie i monitorowanie | Odnajdywanie niechronionych klastrów | GKE | Ogólna dostępność | Ogólna dostępność | Bez agenta | Defender dla Kontenerów |
Wdrażanie i monitorowanie | Automatyczna aprowizacja czujnika usługi Defender | GKE | Ogólna dostępność | - | Bez agenta | Defender dla Kontenerów |
Wdrażanie i monitorowanie | Automatyczna aprowizacja usługi Azure Policy dla platformy Kubernetes | GKE | Ogólna dostępność | - | Bez agenta | Defender dla Kontenerów |
Obsługa rejestrów i obrazów dla platformy GCP — ocena luk w zabezpieczeniach obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
Aspekt | Szczegóły |
---|---|
Rejestry i obrazy | Obsługiwane * Rejestry Google (GAR, GCR) * Obrazy kontenerów w formacie platformy Docker V2 * Obrazy ze specyfikacją formatu obrazu Open Container Initiative (OCI) Nieobsługiwane * Bardzo minimalistyczne obrazy, takie jak obrazy tymczasowe platformy Docker, są obecnie nieobsługiwane * Repozytoria publiczne * Listy manifestów |
Systemy operacyjne | Obsługiwane * Alpine Linux 3.12-3.21 * Red Hat Enterprise Linux 6-9 * CentOS 6-9 (CentOS to End Of Life) od 30 czerwca 2024 r. Aby uzyskać więcej informacji, zobacz wskazówki dotyczące zakończenia życia systemu CentOS). * Oracle Linux 6-9 * Amazon Linux 1, 2 * openSUSE Leap, openSUSE Tumbleweed * SUSE Enterprise Linux 11-15 * Debian GNU/Linux 7-12 * Google Distroless (oparte na Debian GNU/Linux 7-12) * Ubuntu 12.04-22.04 * Fedora 31-37 * Mariner 1-2 * Windows Server 2016, 2019, 2022 |
Pakiety specyficzne dla języka |
Obsługiwane *Pyton * Node.js *.SIEĆ *Jawa *Iść |
Obsługa dystrybucji/konfiguracji platformy Kubernetes dla platformy GCP — ochrona przed zagrożeniami w czasie wykonywania
Aspekt | Szczegóły |
---|---|
Dystrybucje i konfiguracje platformy Kubernetes | Obsługiwane * Google Kubernetes Engine (GKE) Standard Obsługiwane za pośrednictwem platformy Kubernetes z obsługą usługi Arc 1 2 * Kubernetes Nieobsługiwane * Klastry sieci prywatnej * Autopilot GKE * GKE AuthorizedNetworksConfig |
1 Wszystkie klastry Kubernetes z certyfikatem Cloud Native Computing Foundation (CNCF) powinny być obsługiwane, ale przetestowano tylko określone klastry.
2 Aby uzyskać ochronę usługi Microsoft Defender for Containers dla środowisk, należy dołączyć platformę Kubernetes z obsługą usługi Azure Arc i włączyć usługę Defender for Containers jako rozszerzenie usługi Arc.
Uwaga
Aby uzyskać dodatkowe wymagania dotyczące ochrony obciążeń platformy Kubernetes, zobacz istniejące ograniczenia.
Obsługa serwera proxy ruchu wychodzącego — GCP
Obsługiwany jest serwer proxy ruchu wychodzącego bez uwierzytelniania i serwer proxy ruchu wychodzącego z uwierzytelnianiem podstawowym. Serwer proxy ruchu wychodzącego, który oczekuje zaufanych certyfikatów, nie jest obecnie obsługiwany.
Klastry z ograniczeniami adresów IP — GCP
Jeśli klaster Kubernetes w GCP ma włączone ograniczenia adresów IP płaszczyzny sterowania (zobacz Dodawanie autoryzowanych sieci na potrzeby dostępu do płaszczyzny sterowania | Google Kubernetes Engine (GKE) | Google Cloud ), konfiguracja ograniczeń adresów IP płaszczyzny sterowania została zaktualizowana w celu uwzględnienia bloku CIDR Microsoft Defender dla Chmury.
Lokalne klastry Kubernetes z obsługą usługi Arc
Domain | Funkcja | Obsługiwane zasoby | Stan wydania systemu Linux | Stan wydania systemu Windows | Bez agenta/oparty na czujnikach | Warstwa cenowa |
---|---|---|---|---|---|---|
Zarządzanie stanem zabezpieczeń | Ciągła integracja platformy Docker | Maszyny wirtualne z obsługą usługi Arc | Podgląd | - | Agent Log Analytics | Defender for Servers (Plan 2) |
Zarządzanie stanem zabezpieczeń | Wzmacnianie płaszczyzny sterowania | - | - | - | - | - |
Zarządzanie stanem zabezpieczeń | Wzmacnianie płaszczyzny danych kubernetes | Klastry K8s z obsługą usługi Arc | Ogólna dostępność | - | Azure Policy dla platformy Kubernetes | Defender dla Kontenerów |
Ochrona środowiska uruchomieniowego | Ochrona przed zagrożeniami (płaszczyzna sterowania) | Klastry OpenShift z obsługą usługi Arc | Wersja Preview | Wersja Preview | Czujnik usługi Defender | Defender dla Kontenerów |
Ochrona środowiska uruchomieniowego | Ochrona przed zagrożeniami (obciążenie) | Klastry OpenShift z obsługą usługi Arc | Podgląd | - | Czujnik usługi Defender | Defender dla Kontenerów |
Wdrażanie i monitorowanie | Odnajdywanie niechronionych klastrów | Klastry K8s z obsługą usługi Arc | Podgląd | - | Bez agenta | Bezpłatna |
Wdrażanie i monitorowanie | Automatyczna aprowizacja czujnika usługi Defender | Klastry K8s z obsługą usługi Arc | Wersja Preview | Wersja Preview | Bez agenta | Defender dla Kontenerów |
Wdrażanie i monitorowanie | Automatyczna aprowizacja usługi Azure Policy dla platformy Kubernetes | Klastry K8s z obsługą usługi Arc | Podgląd | - | Bez agenta | Defender dla Kontenerów |
Rejestry kontenerów zewnętrznych
Domain | Funkcja | Obsługiwane zasoby | Stan wydania systemu Linux | Stan wydania systemu Windows | Bez agenta/oparty na czujnikach | Warstwa cenowa |
---|---|---|---|---|---|---|
Zarządzanie stanem zabezpieczeń | Kompleksowe możliwości spisu | Docker Hub , JFrog Artifactory | Wersja Preview | Wersja Preview | Bez agenta | Podstawowy CSPM LUB Defender for Containers OR CSPM w usłudze Defender |
Zarządzanie stanem zabezpieczeń | Analiza ścieżki ataku | Docker Hub , JFrog Artifactory | Wersja Preview | Wersja Preview | Bez agenta | Defender CSPM |
Ocena luk w zabezpieczeniach | Skanowanie rejestru bez agenta (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) obsługiwane pakiety | Docker Hub, JfFrog Artifactory | Wersja Preview | Wersja Preview | Bez agenta | Defender for Containers OR CSPM w usłudze Defender |
Ocena luk w zabezpieczeniach | Obsługiwane pakiety środowiska uruchomieniowego bez agenta/czujnika (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) | Docker Hub , JFrog Artifactory | Wersja Preview | Wersja Preview | Czujnik BEZ agenta LUB/I Defender | Defender for Containers OR CSPM w usłudze Defender |
Dystrybucje i konfiguracje platformy Kubernetes
Aspekt | Szczegóły |
---|---|
Dystrybucje i konfiguracje platformy Kubernetes | Obsługiwane za pośrednictwem platformy Kubernetes z obsługą usługi Arc 1 2 * Hybrydowa usługa Azure Kubernetes Service * Azure Red Hat OpenShift * Red Hat OpenShift (wersja 4.6 lub nowsza) |
1 Wszystkie klastry Kubernetes z certyfikatem Cloud Native Computing Foundation (CNCF) powinny być obsługiwane, ale przetestowano tylko określone klastry.
2 Aby uzyskać ochronę usługi Microsoft Defender for Containers dla środowisk, należy dołączyć platformę Kubernetes z obsługą usługi Azure Arc i włączyć usługę Defender for Containers jako rozszerzenie usługi Arc.
Uwaga
Aby uzyskać dodatkowe wymagania dotyczące ochrony obciążeń platformy Kubernetes, zobacz istniejące ograniczenia.
Obsługiwane systemy operacyjne hosta
Usługa Defender for Containers korzysta z czujnika usługi Defender dla kilku funkcji. Czujnik usługi Defender jest obsługiwany tylko w przypadku jądra systemu Linux w wersji 5.4 lub nowszej w następujących systemach operacyjnych hosta:
- Amazon Linux 2
- CentOS 8 (CentOS to End Of Life (EOL) od 30 czerwca 2024 r. Aby uzyskać więcej informacji, zobacz wskazówki dotyczące zakończenia życia systemu CentOS).
- Debian 10
- Debian 11
- System operacyjny Zoptymalizowany pod kątem kontenera Google
- Mariner 1.0
- Mariner 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
Upewnij się, że węzeł Kubernetes jest uruchomiony w jednym z tych zweryfikowanych systemów operacyjnych. Klastry z nieobsługiwanymi systemami operacyjnymi hosta nie uzyskują korzyści z funkcji opartych na czujniku usługi Defender.
Ograniczenia czujnika usługi Defender
Czujnik usługi Defender w usłudze AKS w wersji 1.28 lub starszej nie jest obsługiwany w węzłach Arm64.
Ograniczenia sieci
Obsługa wychodzącego serwera proxy
Obsługiwany jest serwer proxy ruchu wychodzącego bez uwierzytelniania i serwer proxy ruchu wychodzącego z uwierzytelnianiem podstawowym. Serwer proxy ruchu wychodzącego, który oczekuje zaufanych certyfikatów, nie jest obecnie obsługiwany.
Następne kroki
- Dowiedz się, jak Defender dla Chmury zbiera dane przy użyciu agenta usługi Log Analytics.
- Dowiedz się, jak Defender dla Chmury zarządza danymi i zabezpiecza je.
- Przejrzyj platformy, które obsługują Defender dla Chmury.