Uwaga
W tym artykule odwołuje się do systemu CentOS, dystrybucji systemu Linux, której wsparcie zostanie zakończone 30 czerwca 2024 r. Weź pod uwagę swoje użycie i odpowiednio zaplanuj. Aby uzyskać więcej informacji, zobacz wskazówki dotyczące zakończenia życia systemu CentOS.
Ten artykuł zawiera podsumowanie informacji o obsłudze funkcji kontenera w Microsoft Defender dla Chmury.
Uwaga
- Określone funkcje są dostępne w wersji zapoznawczej.
Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują inne postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
- Tylko wersje usług AKS, EKS i GKE obsługiwane przez dostawcę chmury są oficjalnie obsługiwane przez Defender dla Chmury.
Poniżej przedstawiono funkcje udostępniane przez usługę Defender for Containers dla obsługiwanych środowisk w chmurze i rejestrów kontenerów.
Funkcje oceny luk w zabezpieczeniach
| Funkcja |
opis |
Obsługiwane zasoby |
Stan wydania systemu Linux |
Stan wydania systemu Windows |
Metoda umożliwiania |
Plany |
Dostępność chmur |
| Repozytorium kontenerów VA |
Oceny luk w zabezpieczeniach obrazów w rejestrach kontenerów |
ACR |
Ogólna dostępność |
Ogólna dostępność |
Wymaga dostępu do rejestru1 |
Defender for Containers lub Defender CSPM |
Chmury komercyjne
Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet |
| Kontener środowiska uruchomieniowego VA |
Oceny luk w zabezpieczeniach uruchamiania obrazów kontenerów |
Niezależne od źródła rejestru kontenerów |
Podgląd
(Kontener z obrazami usługi ACR jest ogólnie dostępny) |
Ogólna dostępność |
Wymaga skanowania bez agenta dla maszyn i dostępu do interfejsu API K8S lub czujnika Defender1 |
Defender for Containers lub Defender CSPM |
Chmury komercyjne
Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet |
| Węzły VA platformy Kubernetes |
Oceny luk w zabezpieczeniach węzłów platformy Kubernetes |
Węzły AKS |
Ogólna dostępność |
GA |
Wymaga skanowania bez agenta dla maszyn |
Defender for Containers lub Defender CSPM lub Defender for Servers P2 |
Chmury komercyjne |
1Chmury krajowe są automatycznie włączone i nie można ich wyłączyć.
| Funkcja |
opis |
Obsługiwane zasoby |
Stan wydania systemu Linux |
Stan wydania systemu Windows |
Metoda umożliwiania |
Plany |
Dostępność chmur |
| Repozytorium kontenerów VA |
Analizy luk w zabezpieczeniach obrazów w rejestrach kontenerów |
ECR |
Ogólna dostępność |
Ogólna dostępność |
Wymaga dostępu do rejestru |
Defender for Containers lub Defender CSPM |
AWS |
| Kontener środowiska uruchomieniowego VA |
Oceny luk w zabezpieczeniach uruchamiania obrazów kontenerów |
Obsługiwane rejestry kontenerów |
Podgląd |
- |
Wymaga skanowania bezagentowego dla urządzeń i dostępu do interfejsu API K8S lub czujnika Defender |
Defender for Containers lub Defender CSPM |
AWS |
| Funkcja |
opis |
Obsługiwane zasoby |
Stan wydania systemu Linux |
Stan wydania systemu Windows |
Metoda umożliwiania |
Plany |
Dostępność chmur |
| Repozytorium kontenerów VA |
Oceny podatności obrazów w rejestrach kontenerów |
GAR, GCR |
Ogólna dostępność |
Ogólna dostępność |
Włącz przełącznik Dostępu do rejestru |
Defender for Containers lub Defender CSPM |
AWS |
| Kontener środowiska uruchomieniowego VA |
Oceny luk w zabezpieczeniach uruchamiania obrazów kontenerów |
Obsługiwane rejestry kontenerów |
Podgląd |
- |
Wymaga skanowania bezagentowego dla urządzeń i dostępu do interfejsu API K8S lub czujnika Defender |
Defender for Containers lub Defender CSPM |
GCP |
| Funkcja |
opis |
Obsługiwane zasoby |
Stan wydania systemu Linux |
Stan wydania systemu Windows |
Metoda umożliwiania |
Plany |
Dostępność chmur |
| Repozytorium kontenerów VA |
Analiza podatności obrazów w rejestrach kontenerów |
Docker Hub, JFrog Artifactory |
Podgląd |
Podgląd |
Tworzenie łącznika |
Defender for Containers lub Defender CSPM |
NIE |
Rejestry i obrazy obsługują ocenę luk w zabezpieczeniach
| Aspekt |
Szczegóły |
| Rejestry i obrazy |
Obsługiwane
* Obrazy kontenerów w formacie platformy Docker V2
* Obrazy ze specyfikacją formatu obrazu Open Container Initiative (OCI)
Nieobsługiwane
* Bardzo minimalistyczne obrazy, takie jak obrazy tymczasowe platformy Docker, są obecnie nieobsługiwane
* Repozytoria publiczne
* Listy manifestów
|
| Systemy operacyjne |
Obsługiwane
* Alpine Linux 3.12-3.21
* Red Hat Enterprise Linux 6-9
* CentOS 6-9 (CentOS to koniec usługi od 30 czerwca 2024 r.). Aby uzyskać więcej informacji, zobacz wskazówki dotyczące zakończenia życia systemu CentOS).
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless (oparte na Debian GNU/Linux 7-12)
* Ubuntu 12.04-22.04
* Fedora 31-37
* Azure Linux 1-2
* Windows Server 2016, 2019, 2022 |
Pakiety specyficzne dla języka
|
Obsługiwane
*Pyton
* Node.js
* PHP
*Rubin
*Rdza
.NET
*Jawa
Idź |
Funkcje ochrony środowiska uruchomieniowego
| Funkcja |
opis |
Obsługiwane zasoby |
Stan wydania systemu Linux |
Stan wydania systemu Windows |
Metoda umożliwiania |
Plany |
Dostępność chmur |
| Wykrywanie płaszczyzny sterowania |
Wykrywanie podejrzanych działań dotyczących platformy Kubernetes na podstawie dziennika inspekcji platformy Kubernetes |
AKS |
Ogólna dostępność |
Ogólna dostępność |
Włączone w ramach planu |
Defender for Containers lub Defender CSPM |
Chmury komercyjne Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet |
| Wykrywanie obciążenia |
Monitoruje konteneryzowane obciążenia robocze pod kątem zagrożeń i wysyła alerty w przypadku podejrzanych działań. |
AKS |
Ogólna dostępność |
- |
Wymaga czujnika Defender |
Defender for Containers |
Chmury komercyjne i chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet |
| Wykrywanie binarnego przesunięcia |
Wykrywa dane binarne kontenera środowiska uruchomieniowego z obrazu kontenera |
AKS |
Ogólna dostępność |
Ogólna dostępność |
Wymaga czujnika Defender |
Defender for Containers |
Chmury komercyjne |
| Zaawansowane wyszukiwanie zagrożeń w usłudze XDR |
Wyświetlanie zdarzeń i alertów klastra w usłudze Microsoft XDR |
AKS |
Wersja zapoznawcza — obecnie obsługuje dzienniki inspekcji i zdarzenia procesów |
Wersja zapoznawcza — obecnie obsługuje dzienniki inspekcji i zdarzenia procesów |
Wymaga czujnika Defender |
Defender for Containers |
Chmury komercyjne i chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet |
| Akcje odpowiedzi w systemie XDR |
Zapewnia zautomatyzowane i ręczne korygowanie w usłudze Microsoft XDR |
AKS |
Podgląd |
Podgląd |
Wymaga sensora Defender i interfejsu API dostępu K8S |
Obrońca kontenerów |
Chmury komercyjne i chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet |
| Wykrywanie złośliwego oprogramowania |
Wykrywanie złośliwego oprogramowania |
Węzły AKS |
Ogólna dostępność (GA) |
Ogólna dostępność |
Wymaga skanowania bez agenta dla maszyn |
Defender for Containers lub Defender for Servers Plan 2 |
Chmury komercyjne |
Dystrybucje i konfiguracje platformy Kubernetes na potrzeby ochrony środowiska uruchomieniowego przed zagrożeniami na platformie Azure
1 Wszystkie klastry Kubernetes z certyfikatem Cloud Native Computing Foundation (CNCF) powinny być obsługiwane, ale tylko określone klastry zostały przetestowane na platformie Azure.
2 Aby uzyskać ochronę usługi Microsoft Defender for Containers dla środowisk, należy dołączyć platformę Kubernetes z obsługą usługi Azure Arc i włączyć usługę Defender for Containers jako rozszerzenie usługi Arc.
Uwaga
Aby uzyskać dodatkowe wymagania dotyczące ochrony obciążeń platformy Kubernetes, zobacz istniejące ograniczenia.
| Funkcja |
opis |
Obsługiwane zasoby |
Stan wydania systemu Linux |
Stan wydania systemu Windows |
Metoda umożliwiania |
Plany |
Dostępność chmur |
| Wykrywanie płaszczyzny sterowania |
Wykrywanie podejrzanych działań dotyczących platformy Kubernetes na podstawie dziennika inspekcji platformy Kubernetes |
EKS |
Ogólna dostępność |
Ogólna dostępność |
Włączone w ramach planu |
Defender for Containers lub Defender CSPM |
AWS |
| Wykrywanie obciążenia |
Monitoruje konteneryzowane obciążenia robocze pod kątem zagrożeń i wysyła alerty w przypadku podejrzanych działań. |
EKS |
Ogólna dostępność |
- |
Wymaga czujnika Defender |
Defender for Containers |
AWS |
| Wykrywanie binarnego przesunięcia |
Wykrywa dane binarne kontenera środowiska uruchomieniowego z obrazu kontenera |
EKS |
Ogólna dostępność |
Ogólna dostępność |
Wymaga czujnika Defender |
Defender for Containers |
AWS |
| Zaawansowane wyszukiwanie zagrożeń w usłudze XDR |
Wyświetlanie zdarzeń i alertów klastra w usłudze Microsoft XDR |
EKS |
Wersja zapoznawcza — obecnie obsługuje dzienniki inspekcji i zdarzenia procesów |
Wersja zapoznawcza — obecnie obsługuje dzienniki inspekcji i zdarzenia procesów |
Wymaga czujnika Defender |
Defender for Containers |
AWS |
| Akcje odpowiedzi w systemie XDR |
Zapewnia zautomatyzowane i ręczne korygowanie w usłudze Microsoft XDR |
EKS |
Podgląd |
Podgląd |
Wymaga sensora Defender i interfejsu API dostępu K8S |
Defender for Containers |
AWS |
| Wykrywanie złośliwego oprogramowania |
Wykrywanie złośliwego oprogramowania |
- |
- |
- |
- |
- |
- |
Obsługa dystrybucji/konfiguracji platformy Kubernetes na potrzeby ochrony przed zagrożeniami w środowisku uruchomieniowym na platformie AWS
1 Wszystkie klastry Kubernetes z certyfikatem Cloud Native Computing Foundation (CNCF) powinny być obsługiwane, ale przetestowano tylko określone klastry.
2 Aby uzyskać ochronę usługi Microsoft Defender for Containers dla środowisk, należy dołączyć platformę Kubernetes z obsługą usługi Azure Arc i włączyć usługę Defender for Containers jako rozszerzenie usługi Arc.
Uwaga
Aby uzyskać dodatkowe wymagania dotyczące ochrony obciążeń platformy Kubernetes, zobacz istniejące ograniczenia.
| Funkcja |
opis |
Obsługiwane zasoby |
Stan wydania systemu Linux |
Stan wydania systemu Windows |
Metoda umożliwiania |
Plany |
Dostępność chmur |
| Wykrywanie płaszczyzny sterowania |
Wykrywanie podejrzanych działań dotyczących platformy Kubernetes na podstawie dziennika inspekcji platformy Kubernetes |
GKE |
Ogólna dostępność |
Ogólna dostępność (GA) |
Włączone w ramach planu |
Defender for Containers |
GCP |
| Wykrywanie obciążenia |
Monitoruje konteneryzowane obciążenia robocze pod kątem zagrożeń i wysyła alerty w przypadku podejrzanych działań. |
GKE |
Ogólna dostępność |
- |
Wymaga czujnika Defender |
Ochrona dla Kontenerów |
GCP |
| Wykrywanie binarnego przesunięcia |
Wykrywa dane binarne kontenera środowiska uruchomieniowego z obrazu kontenera |
GKE |
GA - Ogólna dostępność |
Ogólna dostępność |
Wymaga czujnika Defender |
Defender for Containers |
GCP |
| Zaawansowane wyszukiwanie zagrożeń w usłudze XDR |
Wyświetlanie zdarzeń i alertów klastra w usłudze Microsoft XDR |
GKE |
Wersja zapoznawcza — obecnie obsługuje dzienniki inspekcji i zdarzenia procesów |
Wersja zapoznawcza — obecnie obsługuje dzienniki inspekcji i zdarzenia procesów |
Wymaga czujnika Defender |
Defender for Containers |
GCP |
| Akcje odpowiedzi w systemie XDR |
Zapewnia zautomatyzowane i ręczne korygowanie w usłudze Microsoft XDR |
GKE |
Podgląd |
Podgląd |
Wymaga sensora Defender i interfejsu API dostępu K8S |
Obrońca dla kontenerów |
GCP |
| Wykrywanie złośliwego oprogramowania |
Wykrywanie złośliwego oprogramowania |
- |
- |
- |
- |
- |
- |
Obsługa dystrybucji/konfiguracji platformy Kubernetes na potrzeby ochrony środowiska uruchomieniowego przed zagrożeniami w GCP
| Aspekt |
Szczegóły |
| Dystrybucje i konfiguracje platformy Kubernetes |
Obsługiwane
*
Google Kubernetes Engine (GKE) Standard
Obsługiwane przez Kubernetes z obsługą Arc12
*
Kubernetes
Nieobsługiwane
* Klastry sieci prywatnej
* GKE autopilot
* GKE AuthorizedNetworksConfig |
1 Wszystkie klastry Kubernetes z certyfikatem Cloud Native Computing Foundation (CNCF) powinny być obsługiwane, ale przetestowano tylko określone klastry.
2 Aby uzyskać ochronę usługi Microsoft Defender for Containers dla środowisk, należy dołączyć platformę Kubernetes z obsługą usługi Azure Arc i włączyć usługę Defender for Containers jako rozszerzenie usługi Arc.
Uwaga
Aby uzyskać dodatkowe wymagania dotyczące ochrony obciążeń platformy Kubernetes, zobacz istniejące ograniczenia.
| Funkcja |
opis |
Obsługiwane zasoby |
Stan wydania systemu Linux |
Stan wydania systemu Windows |
Metoda umożliwiania |
Plany |
Dostępność chmur |
| Wykrywanie płaszczyzny sterowania |
Wykrywanie podejrzanych działań dotyczących platformy Kubernetes na podstawie dziennika inspekcji platformy Kubernetes |
Klastry K8s z obsługą usługi Arc |
Podgląd |
Podgląd |
Wymaga czujnika Defender |
Defender for Containers (Ochrona dla kontenerów) |
|
| Wykrywanie obciążenia |
Monitoruje konteneryzowane obciążenia robocze pod kątem zagrożeń i wysyła alerty w przypadku podejrzanych działań. |
Klastry Kubernetes z obsługą Arc |
Podgląd |
- |
Wymaga czujnika Defender |
Defender for Containers |
|
| Wykrywanie binarnego przesunięcia |
Wykrywa dane binarne kontenera środowiska uruchomieniowego z obrazu kontenera |
|
- |
- |
- |
- |
- |
| Zaawansowane polowanie w XDR |
Wyświetlanie zdarzeń i alertów klastra w usłudze Microsoft XDR |
Klastry Kubernetes z obsługą Arc |
Wersja zapoznawcza — obecnie obsługuje dzienniki inspekcji i zdarzenia procesów |
Wersja zapoznawcza — obecnie obsługuje dzienniki inspekcji i zdarzenia procesów |
Wymaga czujnika Defender |
Ochrona dla Kontenerów |
|
| Akcje odpowiedzi w systemie XDR |
Zapewnia zautomatyzowane i ręczne korygowanie w usłudze Microsoft XDR |
- |
- |
- |
- |
- |
|
| Wykrywanie złośliwego oprogramowania |
Wykrywanie złośliwego oprogramowania |
- |
- |
- |
- |
- |
- |
Dystrybucje/konfiguracje platformy Kubernetes do ochrony środowiska uruchomieniowego przed zagrożeniami w rozwiązaniu Kubernetes z obsługą Arc
1 Wszystkie klastry Kubernetes z certyfikatem Cloud Native Computing Foundation (CNCF) powinny być obsługiwane, ale przetestowano tylko określone klastry.
2 Aby uzyskać ochronę usługi Microsoft Defender for Containers dla środowisk, należy dołączyć platformę Kubernetes z obsługą usługi Azure Arc i włączyć usługę Defender for Containers jako rozszerzenie usługi Arc.
Uwaga
Aby uzyskać dodatkowe wymagania dotyczące ochrony obciążeń platformy Kubernetes, zobacz istniejące ograniczenia.
Funkcje zarządzania stanem zabezpieczeń
| Funkcja |
opis |
Obsługiwane zasoby |
Stan wydania systemu Linux |
Stan wydania systemu Windows |
Metoda umożliwiania |
Plany |
Dostępność chmur |
|
Odnajdywanie bez agenta dla platformy Kubernetes1 |
Zapewnia bezśladowe, oparte na API odkrywanie klastrów Kubernetes, wraz z ich konfiguracjami i wdrożeniami. |
AKS |
Ogólna dostępność |
Ogólna dostępność |
Wymaga dostępu do interfejsu API K8S |
Defender dla Kontenerów OR Defender CSPM |
Chmury komercyjne platformy Azure |
| Kompleksowe możliwości inwentaryzacji |
Umożliwia eksplorowanie zasobów, zasobników, usług, repozytoriów, obrazów i konfiguracji za pomocą Eksploratora zabezpieczeń w celu łatwego monitorowania zasobów i zarządzania nimi. |
ACR, AKS |
Ogólna dostępność |
Ogólna dostępność |
Wymaga dostępu do interfejsu API K8S |
Defender dla Kontenerów OR Defender CSPM |
Chmury komercyjne platformy Azure |
| Analiza ścieżki ataku |
Algorytm oparty na grafach, który skanuje wykres zabezpieczeń w chmurze. Skanowania uwidaczniają możliwe do wykorzystania ścieżki, których osoby atakujące mogą używać do naruszenia środowiska. |
ACR, AKS |
Ogólna dostępność |
Ogólna dostępność |
Wymaga dostępu do interfejsu API K8S |
Defender CSPM |
Chmury komercyjne platformy Azure |
| Ulepszone polowanie na ryzyko |
Umożliwia administratorom zabezpieczeń aktywne wyszukiwanie problemów z postawą w swoich konteneryzowanych zasobach za pośrednictwem zapytań (wbudowanych i niestandardowych) oraz wglądów w zabezpieczenia w Eksploratorze zabezpieczeń. |
ACR, AKS |
Ogólna dostępność |
Ogólna dostępność |
Wymaga dostępu do interfejsu API K8S |
Defender dla Kontenerów OR Defender CSPM |
Chmury komercyjne platformy Azure |
|
Wzmacnianie płaszczyzny kontrolnej1 |
Nieustannie ocenia konfiguracje Twoich klastrów i porównuje je z inicjatywami zastosowanymi w Twoich subskrypcjach. W przypadku znalezienia błędów konfiguracji Defender dla Chmury generuje zalecenia dotyczące zabezpieczeń dostępne na stronie Zalecenia Defender dla Chmury. Zalecenia umożliwiają badanie i korygowanie problemów. |
ACR, AKS |
Ogólna dostępność |
Ogólna dostępność |
Włączone w ramach planu |
Bezpłatna |
Chmury komercyjne
Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet |
|
Uodpornienie obciążenia1 |
Ochrona obciążeń kontenerów Kubernetes przy użyciu zaleceń dotyczących najlepszych rozwiązań. |
AKS |
Ogólna dostępność |
- |
Wymaga Azure Policy |
Bezpłatna |
Chmury komercyjne
Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet |
| CIS Azure Kubernetes Service |
CIS Azure Kubernetes Service Benchmark |
AKS |
Ogólna dostępność |
- |
Przypisane jako standard zabezpieczeń |
Defender dla Kontenerów OR Defender CSPM |
Chmury komercyjne
|
1 Tę funkcję można włączyć dla pojedynczego klastra podczas włączania usługi Defender for Containers na poziomie zasobu klastra.
| Funkcja |
opis |
Obsługiwane zasoby |
Stan wydania systemu Linux |
Stan wydania systemu Windows |
Metoda umożliwiania |
Plany |
Dostępność chmur |
|
Odnajdywanie bez agenta dla platformy Kubernetes |
Zapewnia bezśladowe, oparte na API odkrywanie klastrów Kubernetes, wraz z ich konfiguracjami i wdrożeniami. |
EKS |
GA (Ogólna dostępność) |
Ogólna dostępność |
Wymaga dostępu do interfejsu API K8S |
Defender dla Kontenerów OR Defender CSPM |
Chmury komercyjne platformy Azure |
| Kompleksowe możliwości inwentaryzacji |
Umożliwia eksplorowanie zasobów, zasobników, usług, repozytoriów, obrazów i konfiguracji za pomocą Eksploratora zabezpieczeń w celu łatwego monitorowania zasobów i zarządzania nimi. |
ECR, EKS |
Ogólna dostępność |
Ogólna dostępność |
Wymaga dostępu do interfejsu API K8S |
Defender dla Kontenerów OR Defender CSPM |
AWS |
| Analiza ścieżki ataku |
Algorytm oparty na grafach, który skanuje wykres zabezpieczeń w chmurze. Skanowania uwidaczniają możliwe do wykorzystania ścieżki, których osoby atakujące mogą używać do naruszenia środowiska. |
ECR, EKS |
Ogólna dostępność |
Ogólna dostępność |
Wymaga dostępu do interfejsu API K8S |
Defender CSPM (wymaga włączenia odnajdywania bezagentowego na platformie Kubernetes) |
AWS |
| Ulepszone polowanie na ryzyko |
Umożliwia administratorom zabezpieczeń aktywne wyszukiwanie problemów z postawą w swoich konteneryzowanych zasobach za pośrednictwem zapytań (wbudowanych i niestandardowych) oraz wglądów w zabezpieczenia w Eksploratorze zabezpieczeń. |
ECR, EKS |
Ogólna dostępność |
Ogólna dostępność |
Wymaga dostępu do interfejsu API K8S |
Defender dla Kontenerów OR Defender CSPM |
AWS |
|
Wzmacnianie płaszczyzny sterowania |
Nieustannie ocenia konfiguracje Twoich klastrów i porównuje je z inicjatywami zastosowanymi w Twoich subskrypcjach. W przypadku znalezienia błędów konfiguracji Defender dla Chmury generuje zalecenia dotyczące zabezpieczeń dostępne na stronie Zalecenia Defender dla Chmury. Zalecenia umożliwiają badanie i korygowanie problemów. |
- |
- |
- |
- |
- |
- |
|
Wzmacnianie obciążenia |
Ochrona obciążeń kontenerów Kubernetes przy użyciu zaleceń dotyczących najlepszych rozwiązań. |
EKS |
Ogólna dostępność |
- |
Wymaga automatycznego aprowizowania rozszerzenia usługi Azure Policy dla usługi Azure Arc |
Bezpłatna |
AWS |
| CIS Azure Kubernetes Service |
CIS Azure Kubernetes Service Benchmark |
EKS |
Ogólna dostępność |
- |
Przypisane jako standard zabezpieczeń |
Defender dla Kontenerów OR Defender CSPM |
AWS |
| Funkcja |
opis |
Obsługiwane zasoby |
Stan wydania systemu Linux |
Stan wydania systemu Windows |
Metoda umożliwiania |
Plany |
Dostępność chmur |
|
Odnajdywanie bez agenta dla platformy Kubernetes |
Zapewnia bezśladowe, oparte na API odkrywanie klastrów Kubernetes, wraz z ich konfiguracjami i wdrożeniami. |
GKE |
Ogólna dostępność |
Ogólna dostępność |
Wymaga dostępu do interfejsu API K8S |
Defender dla Kontenerów OR Defender CSPM |
GCP |
| Kompleksowe możliwości inwentaryzacji |
Umożliwia eksplorowanie zasobów, zasobników, usług, repozytoriów, obrazów i konfiguracji za pomocą Eksploratora zabezpieczeń w celu łatwego monitorowania zasobów i zarządzania nimi. |
GCR, GAR, GKE |
Ogólna dostępność |
Ogólna dostępność |
Wymaga dostępu do interfejsu API K8S |
Defender dla Kontenerów OR Defender CSPM |
GCP |
| Analiza ścieżki ataku |
Algorytm oparty na grafach, który skanuje wykres zabezpieczeń w chmurze. Skanowania uwidaczniają możliwe do wykorzystania ścieżki, których osoby atakujące mogą używać do naruszenia środowiska. |
GCR, GAR, GKE |
Ogólna dostępność |
Ogólna dostępność |
Wymaga dostępu do interfejsu API K8S |
Defender CSPM |
GCP |
| Ulepszone polowanie na ryzyko |
Umożliwia administratorom zabezpieczeń aktywne wyszukiwanie problemów z postawą w swoich konteneryzowanych zasobach za pośrednictwem zapytań (wbudowanych i niestandardowych) oraz wglądów w zabezpieczenia w Eksploratorze zabezpieczeń. |
GCR, GAR, GKE |
Ogólna dostępność |
Ogólna dostępność |
Wymaga dostępu do interfejsu API K8S |
Defender dla Kontenerów OR Defender CSPM |
GCP |
|
Wzmacnianie płaszczyzny sterowania |
Nieustannie ocenia konfiguracje Twoich klastrów i porównuje je z inicjatywami zastosowanymi w Twoich subskrypcjach. W przypadku znalezienia błędów konfiguracji Defender dla Chmury generuje zalecenia dotyczące zabezpieczeń dostępne na stronie Zalecenia Defender dla Chmury. Zalecenia umożliwiają badanie i korygowanie problemów. |
GKE |
Ogólna dostępność |
Ogólna dostępność |
Aktywowano wraz z planem |
Bezpłatna |
GCP |
|
Wzmacnianie obciążenia |
Ochrona obciążeń kontenerów Kubernetes przy użyciu zaleceń dotyczących najlepszych rozwiązań. |
GKE (Google Kubernetes Engine) |
Ogólna dostępność |
- |
Wymaga automatycznego aprowizowania rozszerzenia usługi Azure Policy dla usługi Azure Arc |
Bezpłatna |
GCP |
| CIS Azure Kubernetes Service |
CIS Azure Kubernetes Service Benchmark |
GKE |
Ogólna dostępność |
- |
Przypisane jako standard zabezpieczeń |
Defender dla Kontenerów OR Defender CSPM |
GCP |
| Funkcja |
opis |
Obsługiwane zasoby |
Stan wydania systemu Linux |
Stan wydania systemu Windows |
Metoda umożliwiania |
Plany |
Dostępność chmur |
|
Odnajdywanie bez agenta dla platformy Kubernetes |
Zapewnia bezśladowe, oparte na API odkrywanie klastrów Kubernetes, wraz z ich konfiguracjami i wdrożeniami. |
- |
- |
- |
- |
- |
- |
| Kompleksowe możliwości inwentaryzacji |
Umożliwia eksplorowanie zasobów, zasobników, usług, repozytoriów, obrazów i konfiguracji za pomocą Eksploratora zabezpieczeń w celu łatwego monitorowania zasobów i zarządzania nimi. |
- |
- |
- |
- |
- |
- |
| Analiza ścieżki ataku |
Algorytm oparty na grafach, który skanuje wykres zabezpieczeń w chmurze. Skanowania uwidaczniają możliwe do wykorzystania ścieżki, których osoby atakujące mogą używać do naruszenia środowiska. |
- |
- |
- |
- |
- |
- |
| Ulepszone polowanie na ryzyko |
Umożliwia administratorom zabezpieczeń aktywne wyszukiwanie problemów z postawą w swoich konteneryzowanych zasobach za pośrednictwem zapytań (wbudowanych i niestandardowych) oraz wglądów w zabezpieczenia w Eksploratorze zabezpieczeń. |
- |
- |
- |
- |
- |
- |
|
Wzmacnianie płaszczyzny sterowania |
Nieustannie ocenia konfiguracje Twoich klastrów i porównuje je z inicjatywami zastosowanymi w Twoich subskrypcjach. W przypadku znalezienia błędów konfiguracji Defender dla Chmury generuje zalecenia dotyczące zabezpieczeń dostępne na stronie Zalecenia Defender dla Chmury. Zalecenia umożliwiają badanie i korygowanie problemów. |
- |
- |
- |
- |
- |
- |
|
Wzmacnianie obciążenia |
Ochrona obciążeń kontenerów Kubernetes przy użyciu zaleceń dotyczących najlepszych rozwiązań. |
Klaster Kubernetes z obsługą Arc |
Ogólna dostępność |
- |
Wymaga automatycznego aprowizowania rozszerzenia usługi Azure Policy dla usługi Azure Arc |
Defender dla Kontenerów |
Klaster Kubernetes z obsługą Arc |
| CIS Azure Kubernetes Service |
CIS Azure Kubernetes Service Benchmark |
Maszyny wirtualne obsługujące Arc |
Podgląd |
- |
Przypisane jako standard zabezpieczeń |
Defender dla Kontenerów OR Defender CSPM |
Klaster Kubernetes z obsługą Arc |
| Funkcja |
opis |
Obsługiwane zasoby |
Stan wydania systemu Linux |
Stan wydania systemu Windows |
Metoda umożliwiania |
Plany |
Dostępność chmur |
| Kompleksowe możliwości inwentaryzacji |
Umożliwia eksplorowanie zasobów, zasobników, usług, repozytoriów, obrazów i konfiguracji za pomocą Eksploratora zabezpieczeń w celu łatwego monitorowania zasobów i zarządzania nimi. |
Docker Hub, JFrog Artifactory |
Podgląd |
Podgląd |
Tworzenie łącznika |
Podstawowe CSPM LUB Defender CSPM LUB Defender dla Kontenerów |
- |
| Analiza ścieżki ataku |
Algorytm oparty na grafach, który skanuje wykres zabezpieczeń w chmurze. Skanowania uwidaczniają możliwe do wykorzystania ścieżki, których osoby atakujące mogą używać do naruszenia środowiska. |
Docker Hub, JFrog Artifactory |
Podgląd |
Podgląd |
Tworzenie łącznika |
Defender CSPM |
- |
| Ulepszone polowanie na ryzyko |
Umożliwia administratorom zabezpieczeń aktywne wyszukiwanie problemów z postawą w swoich konteneryzowanych zasobach za pośrednictwem zapytań (wbudowanych i niestandardowych) oraz wglądów w zabezpieczenia w Eksploratorze zabezpieczeń. |
Docker Hub, JFrog |
Podgląd |
Podgląd |
Tworzenie łącznika |
Defender dla Kontenerów OR Defender CSPM |
|
Funkcje ochrony łańcucha dostaw dla oprogramowania kontenerów
| Funkcja |
opis |
Obsługiwane zasoby |
Stan wydania systemu Linux |
Stan wydania systemu Windows |
Metoda umożliwiania |
Plany |
Dostępność chmur |
| Wdrożenie kontrolowane |
Bramne wdrażanie obrazów kontenerów w środowisku Kubernetes |
Wersja AKS 1.32 lub nowsza |
Podgląd |
Podgląd |
Włączone w ramach planu |
Defender for Containers lub Defender CSPM |
Chmury komercyjne Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet |
| Funkcja |
opis |
Obsługiwane zasoby |
Stan wydania systemu Linux |
Stan wydania systemu Windows |
Metoda umożliwiania |
Plany |
Dostępność chmur |
| Wdrożenie kontrolowane |
Kontrolowane wdrażanie obrazów kontenerów do środowiska Kubernetes |
- |
- |
- |
- |
- |
- |
| Funkcja |
opis |
Obsługiwane zasoby |
Stan wydania systemu Linux |
Stan wydania systemu Windows |
Metoda umożliwiania |
Plany |
Dostępność chmur |
| Wdrożenie kontrolowane |
Bramne wdrażanie obrazów kontenerów w środowisku Kubernetes |
- |
- |
- |
- |
- |
- |
| Funkcja |
opis |
Obsługiwane zasoby |
Stan wydania systemu Linux |
Stan wydania systemu Windows |
Metoda umożliwiania |
Plany |
Dostępność chmur |
| Wdrożenie kontrolowane |
Bramne wdrażanie obrazów kontenerów w środowisku Kubernetes |
- |
- |
- |
- |
- |
- |
Ograniczenia sieci
| Aspekt |
Szczegóły |
| Obsługa wychodzącego serwera proxy |
Obsługiwany jest serwer proxy ruchu wychodzącego bez uwierzytelniania i serwer proxy ruchu wychodzącego z uwierzytelnianiem podstawowym. Serwer proxy ruchu wychodzącego, który oczekuje zaufanych certyfikatów, nie jest obecnie obsługiwany. |
| Klastry z ograniczeniami adresów IP |
Jeśli klaster Kubernetes na platformie AWS ma włączone ograniczenia adresów IP płaszczyzny sterowania (zobacz Kontrola dostępu do punktu końcowego klastra Amazon EKS — Amazon EKS), konfiguracja ograniczeń adresów IP płaszczyzny sterowania zostanie zaktualizowana w celu uwzględnienia bloku CIDR Microsoft Defender dla Chmury. |
| Aspekt |
Szczegóły |
| Obsługa wychodzącego serwera proxy |
Obsługiwany jest serwer proxy ruchu wychodzącego bez uwierzytelniania i serwer proxy ruchu wychodzącego z uwierzytelnianiem podstawowym. Serwer proxy ruchu wychodzącego, który oczekuje zaufanych certyfikatów, nie jest obecnie obsługiwany. |
| Klastry z ograniczeniami adresów IP |
Jeśli klaster Kubernetes w GCP ma włączone ograniczenia adresów IP płaszczyzny sterowania (zobacz GKE — Dodawanie autoryzowanych sieci na potrzeby dostępu do płaszczyzny sterowania ), konfiguracja ograniczeń adresów IP płaszczyzny sterowania zostanie zaktualizowana w celu uwzględnienia bloku CIDR usługi Microsoft Defender for Cloud. |
| Aspekt |
Szczegóły |
| Obsługa wychodzącego serwera proxy |
Obsługiwany jest serwer proxy ruchu wychodzącego bez uwierzytelniania i serwer proxy ruchu wychodzącego z uwierzytelnianiem podstawowym. Serwer proxy ruchu wychodzącego, który oczekuje zaufanych certyfikatów, nie jest obecnie obsługiwany. |
Obsługiwane systemy operacyjne hosta
Defender for Containers korzysta z czujnika Defender do kilku funkcji. Czujnik usługi Defender jest obsługiwany tylko w przypadku jądra systemu Linux w wersji 5.4 lub nowszej w następujących systemach operacyjnych hosta:
- Amazon Linux 2
- CentOS 8 (CentOS to koniec usługi od 30 czerwca 2024 r.). Aby uzyskać więcej informacji, zobacz wskazówki dotyczące zakończenia życia systemu CentOS).
- Debian 10
- Debian 11
- System operacyjny Zoptymalizowany pod kątem kontenera Google
- Azure Linux 1.0
- Azure Linux 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
Upewnij się, że węzeł Kubernetes jest uruchomiony w jednym z tych zweryfikowanych systemów operacyjnych. Klastry z nieobsługiwanymi systemami operacyjnymi hosta nie czerpią korzyści z funkcji zależnych od czujnika usługi Defender.
Ograniczenia czujnika programu Defender
W wersji AKS 1.28 lub starszej czujnik usługi Defender nie jest obsługiwany w węzłach Arm64.
Następne kroki