Compartilhar via


Matriz de suporte de contêineres no Defender para Nuvem

Cuidado

Esse artigo faz referência ao CentOS, uma distribuição Linux que está em fim de vida (EOL) em 30 de junho de 2024. Considere seu uso e planejamento adequadamente. Para obter mais informações, confira as Diretrizes de Fim do Suporte do CentOS.

Esse artigo resume as informações de suporte para recursos de contêiner no Microsoft Defender para Nuvem.

Observação

  • Os recursos específicos estão em versão prévia. Os Termos Complementares de Versões Prévias do Azure incluem termos legais adicionais aplicáveis aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
  • Somente as versões do AKS, EKS e GKE suportadas pelo fornecedor de nuvem são oficialmente suportadas pelo Defender para Nuvem.

Veja a seguir os recursos fornecidos pelo Defender para contêineres para os ambientes de nuvem e registros de contêiner com suporte.

Azure

Gerenciamento da postura de segurança

Recurso Descrição Recursos compatíveis Estado da versão do Linux Estado da versão do Windows Método de ativação Sensor Planos Disponibilidade de nuvens do Azure
Descoberta sem agente para o Kubernetes Proporciona uma descoberta baseada em API, sem necessidade de ocupação de volume de memória, de clusters do Kubernetes, suas configurações e implantações. AKS GA GA Ativar a descoberta sem agente no Kubernetes Sem agente Defender para contêineres OU GPSN do Defender Nuvens comerciais do Azure
Funcionalidades abrangentes de inventário Permite explorar recursos, pods, serviços, repositórios, imagens e configurações por meio do gerenciador de segurança para monitorar e gerenciar facilmente seus ativos. ACR, AKS GA GA Ativar a descoberta sem agente no Kubernetes Sem agente Defender para contêineres OU GPSN do Defender Nuvens comerciais do Azure
Análise do caminho de ataque Um algoritmo baseado em grafo que verifica o grafo de segurança de nuvem. As verificações expõem caminhos exploráveis que os invasores podem usar para violar seu ambiente. ACR, AKS GA GA Ativado com plano Sem agente Defender CSPM (requer a descoberta sem agente para que o Kubernetes seja habilitado) Nuvens comerciais do Azure
Busca de risco aprimorada Permite que os administradores de segurança pesquisem ativamente problemas de postura em seus ativos conteinerizados por meio de consultas (internas e personalizadas) e insights de segurança no gerenciador de segurança. ACR, AKS GA GA Ativar a descoberta sem agente no Kubernetes Sem agente Defender para contêineres OU GPSN do Defender Nuvens comerciais do Azure
Endurecimento do plano de controle Avalia continuamente as configurações de seus clusters e as compara com as iniciativas aplicadas às suas assinaturas. Quando encontrar as configurações incorretas, o Defender para Nuvem gerará as recomendações de segurança que estarão disponíveis na página Recomendações do Defender para Nuvem. As recomendações permitem investigar e corrigir os problemas. ACR, AKS GA GA Ativado com plano Sem agente Gratuita Nuvens comerciais

Nuvens nacionais: Azure Governamental, Azure operado pela 21Vianet
Proteção do plano de dados do Kubernetes Proteja as cargas de trabalho de seus contêineres do Kubernetes com recomendações de práticas recomendadas. AKS GA - Habilitar a alternância Política do Azure para Kubernetes Azure Policy Gratuita Nuvens comerciais

Nuvens nacionais: Azure Governamental, Azure operado pela 21Vianet
Docker CIS Parâmetro de comparação de CIS do Docker VM, Conjunto de Dimensionamento de Máquinas Virtuais GA - Habilitado com plano Agente do Log Analytics Plano 2 do Defender para Servidores Nuvens comerciais

Nuvens nacionais: Azure Governamental, Microsoft Azure operado pela 21Vianet

Avaliação de vulnerabilidade

Recurso Descrição Recursos compatíveis Estado da versão do Linux Estado da versão do Windows Método de ativação Sensor Planos Disponibilidade de nuvens do Azure
Verificação de registro sem agente (da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender) pacotes com suporte Avaliação de vulnerabilidade para imagens no ACR ACR, ACR privado GA GA Ativar a alternância Avaliação de vulnerabilidade de contêiner sem agente Sem agente Defender para Contêineres ou Defender CSPM Nuvens comerciais

Nuvens nacionais: Azure Governamental, Azure operado pela 21Vianet
Runtime baseado em agente/sem agente (da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender) pacotes com suporte Avaliação de vulnerabilidade para execução de imagens no AKS AKS GA GA Ativar a alternância Avaliação de vulnerabilidade de contêiner sem agente Sem agente (Requer Descoberta sem agente para Kubernetes) OU/E Sensor do Defender Defender para Contêineres ou Defender CSPM Nuvens comerciais

Nuvens nacionais: Azure Governamental, Azure operado pela 21Vianet
Verificação de nó K8s sem agente Avaliação de vulnerabilidade de nós K8s AKS Visualização Visualizar Habilite a verificação sem agente para computadores. Sem agente Defender para contêineres ou Defender para servidores P2 ou GPSN Nuvens comerciais

Proteção contra ameaças contra CLR

Recurso Descrição Recursos compatíveis Estado da versão do Linux Estado da versão do Windows Método de ativação Sensor Planos Disponibilidade de nuvens do Azure
Painel de controle Detecção de atividade suspeita para o Kubernetes com base na trilha de auditoria do Kubernetes AKS GA GA Habilitado com plano Sem agente Defender para Contêineres Nuvens comerciais

Nuvens nacionais: Azure Governamental, Azure operado pela 21Vianet
Carga de trabalho Detecção de atividade suspeita do Kubernetes para nível de cluster, nível de nó e nível de carga de trabalho AKS GA - Ativar a alternância Sensor do Defender no Azure OU implantar os sensores do Defender nos clusters individuais Sensor do Defender Defender para Contêineres Nuvens comerciais

Nuvens nacionais: Azure Government e Azure China 21Vianet
Detecção de malware em nós K8s AKS Visualização Visualizar Habilite a verificação sem agente para computadores. Sem agente Defender para contêineres ou Defender para servidores P2 Nuvens comerciais

Implantação e monitoramento

Recurso Descrição Recursos compatíveis Estado da versão do Linux Estado da versão do Windows Método de ativação Sensor Planos Disponibilidade de nuvens do Azure
Descoberta de clusters descobertos/desprotegidos Descobrir os clusters do Kubernetes ausentes dos sensores do Defender AKS GA GA Habilitado com plano Sem agente Gratuita Nuvens comerciais

Nuvens nacionais: Azure Governamental, Azure operado pela 21Vianet
Provisionamento automático do sensor do Defender Implantação automática do sensor do Defender AKS GA - Habilitar a alternância Agente do Defender no Azure Sem agente Defender para Contêineres Nuvens comerciais

Nuvens nacionais: Azure Governamental, Azure operado pela 21Vianet
Política do Azure para provisionamento automático do Kubernetes Implantação automática do sensor de política do Azure para Kubernetes AKS GA - Habilitar a política do Azure para Kubernetes Sem agente Gratuita Nuvens comerciais

Nuvens nacionais: Azure Governamental, Azure operado pela 21Vianet

Suporte a registros e imagens para o Azure – Avaliação de vulnerabilidades da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender

Aspecto Detalhes
Registros e imagens Com suporte
• Registros de ACR
* Registros de ACR protegidos com o Link Privado do Azure (os registros privados exigem acesso aos serviços confiáveis)
• Imagens de contêiner no formato do Docker V2
Imagens com especificação de formato de imagem de Open Container Initiative (OCI)
Sem suporte
* Imagens super minimalistas, como imagens de rascunho do Docker
não há suporte no momento
Sistemas operacionais Com suporte
* Alpine Linux 3.12-3.21
* Red Hat Enterprise Linux 6-9
* CentOS 6-9. (CentOS é End Of Life (EOL) em 30 de junho de 2024. Para obter mais informações, veja a orientação CentOS End Of Life.)
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
• Google Distroless (baseado no Debian GNU/Linux 7-12)
* Ubuntu 12.04-22.04
* Fedora 31-37
* Mariner 1-2
* Windows Server 2016, 2019, 2022
Pacotes específicos de idioma

Com suporte
* Python
* Node.js
* .NET
* Java
* Go

Distribuições e configurações do Kubernetes para o Azure – Proteção contra ameaças contra CLR

Aspecto Detalhes
Distribuições e configurações do Kubernetes Com suporte
* Serviço de Kubernetes do Azure (AKS) com RBAC do Kubernetes

Compatível com Kubernetes habilitado para Arc 1 2
* Serviço de Kubernetes do Azure híbrido
* Kubernetes
* Mecanismo do AKS
* Red Hat OpenShift no Azure

1 Todos os clusters Kubernetes certificados pela Cloud Native Computing Foundation (CNCF) devem ser suportados, mas apenas os clusters especificados foram testados no Azure.

2 Para obter proteção do Microsoft Defender para contêineres para seus ambientes, você precisa integrar o Kubernetes habilitado para Azure Arc e habilitar o Defender para contêineres como uma extensão do Arc.

Observação

Para obter requisitos adicionais para a proteção de cargas de trabalho do Kubernetes, confira limitações existentes.

AWS

Domínio Recurso Recursos com suporte Estado da versão do Linux Estado da versão do Windows Baseado em Sensor/Sem agente Tipo de preços
Gerenciamento da postura de segurança Descoberta sem agente para o Kubernetes EKS GA GA Sem agente Defender para contêineres OU GPSN do Defender
Gerenciamento da postura de segurança Funcionalidades abrangentes de inventário ECR, EKS GA GA Sem agente Defender para contêineres OU GPSN do Defender
Gerenciamento da postura de segurança Análise do caminho de ataque ECR, EKS GA GA Sem agente GPSN do Defender
Gerenciamento da postura de segurança Busca de risco aprimorada ECR, EKS GA GA Sem agente Defender para contêineres OU GPSN do Defender
Gerenciamento da postura de segurança Docker CIS EC2 GA - Agente do Log Analytics Plano 2 do Defender para Servidores
Gerenciamento da postura de segurança Proteção do painel de controle - - - - -
Gerenciamento da postura de segurança Proteção do plano de dados do Kubernetes EKS GA - Azure Policy para Kubernetes Defender para Contêineres
Avaliação de vulnerabilidade Verificação de registro sem agente (da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender) pacotes com suporte ECR GA GA Sem agente Defender para Contêineres ou Defender CSPM
Avaliação de vulnerabilidade Pacotes compatíveis com o runtime baseado em sem agente/sensor (alimentado pelo Gerenciamento de Vulnerabilidades do Microsoft Defender) EKS GA GA Se, agente OU/E sensor do Defender Defender para Contêineres ou Defender CSPM
Proteção do runtime Painel de controle EKS GA GA Sem agente Defender para Contêineres
Proteção do runtime Carga de trabalho EKS GA - Sensor do Defender Defender para Contêineres
Implantação e monitoramento Descoberta de clusters descobertos/desprotegidos EKS GA GA Sem agente Defender para Contêineres
Implantação e monitoramento Provisionamento automático do sensor do Defender EKS GA - - -
Implantação e monitoramento Provisionamento automático de Azure Policy para Kubernetes EKS GA - - -

Suporte a registros e imagens para AWS – Avaliação de vulnerabilidades da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender

Aspecto Detalhes
Registros e imagens Com suporte
• Registros de ECR
• Imagens de contêiner no formato do Docker V2
Imagens com especificação de formato de imagem de Open Container Initiative (OCI)
Sem suporte
• No momento, imagens super minimalistas, como imagens de rascunhos do Docker, não têm suporte
• Repositórios públicos
• Listas de manifesto
Sistemas operacionais Com suporte
* Alpine Linux 3.12-3.21
* Red Hat Enterprise Linux 6-9
• CentOS 6-9 (o CentOS é entrará no Fim do Serviço (EOL) em 30 de junho de 2024. Para obter mais informações, veja a orientação CentOS End Of Life.)
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
• Google Distroless (baseado no Debian GNU/Linux 7-12)
* Ubuntu 12.04-22.04
* Fedora 31-37
* Mariner 1-2
Windows Server 2016, 2019, 2022.
Pacotes específicos de idioma

Com suporte
* Python
* Node.js
* .NET
* Java
* Go

Suporte a distribuições/configurações do Kubernetes para AWS - Proteção contra ameaças em tempo de execução

Aspecto Detalhes
Distribuições e configurações do Kubernetes Com suporte
* Amazon EKS (Elastic Kubernetes Service)

Compatível com Kubernetes habilitado para Arc 1 2
* Kubernetes
Sem suporte
• Clusters privados do EKS

1 Todos os clusters de Kubernetes certificados pela CNCF (Cloud Native Computing Foundation) devem ter suporte, mas apenas os clusters especificados foram testados.

2 Para obter proteção do Microsoft Defender para contêineres para seus ambientes, você precisa integrar o Kubernetes habilitado para Azure Arc e habilitar o Defender para contêineres como uma extensão do Arc.

Observação

Para obter requisitos adicionais para a proteção de cargas de trabalho do Kubernetes, confira limitações existentes.

Suporte a proxy de saída – AWS

Há suporte para proxy de saída sem autenticação e proxy de saída com autenticação básica. Não há suporte para o proxy de saída que espera certificados confiáveis no momento.

Clusters com restrições de IP — AWS

Se o seu cluster do Kubernetes na AWS tiver restrições de IP do plano de controle habilitadas (consulte Controle de acesso de ponto de extremidade de cluster do Amazon EKS — Amazon EKS), a configuração de restrição de IP do plano de controle será atualizada para incluir o bloco CIDR do Microsoft Defender para Nuvem.

GCP

Domínio Recurso Recursos com suporte Estado da versão do Linux Estado da versão do Windows Baseado em Sensor/Sem agente Tipo de preços
Gerenciamento da postura de segurança Descoberta sem agente para o Kubernetes GKE GA GA Sem agente Defender para contêineres OU GPSN do Defender
Gerenciamento da postura de segurança Funcionalidades abrangentes de inventário GAR, GCR, GKE GA GA Sem agente Defender para contêineres OU GPSN do Defender
Gerenciamento da postura de segurança Análise do caminho de ataque GAR, GCR, GKE GA GA Sem agente GPSN do Defender
Gerenciamento da postura de segurança Busca de risco aprimorada GAR, GCR, GKE GA GA Sem agente Defender para contêineres OU GPSN do Defender
Gerenciamento da postura de segurança Docker CIS VMs GCP GA - Agente do Log Analytics Plano 2 do Defender para Servidores
Gerenciamento da postura de segurança Proteção do painel de controle GKE GA GA Sem agente Gratuita
Gerenciamento da postura de segurança Proteção do plano de dados do Kubernetes GKE GA - Azure Policy para Kubernetes Defender para Contêineres
Avaliação de vulnerabilidade Verificação de registro sem agente (da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender) pacotes com suporte GAR, GCR GA GA Sem agente Defender para Contêineres ou Defender CSPM
Avaliação de vulnerabilidade Pacotes compatíveis com o runtime baseado em sem agente/sensor (alimentado pelo Gerenciamento de Vulnerabilidades do Microsoft Defender) GKE GA GA Se, agente OU/E sensor do Defender Defender para Contêineres ou Defender CSPM
Proteção do runtime Painel de controle GKE GA GA Sem agente Defender para Contêineres
Proteção do runtime Carga de trabalho GKE GA - Sensor do Defender Defender para Contêineres
Implantação e monitoramento Descoberta de clusters descobertos/desprotegidos GKE GA GA Sem agente Defender para Contêineres
Implantação e monitoramento Provisionamento automático do sensor do Defender GKE GA - Sem agente Defender para Contêineres
Implantação e monitoramento Provisionamento automático de Azure Policy para Kubernetes GKE GA - Sem agente Defender para Contêineres

Suporte a registros e imagens para GCP – Avaliação de vulnerabilidades alimentada pelo Gerenciamento de Vulnerabilidades do Microsoft Defender

Aspecto Detalhes
Registros e imagens Com suporte
• Registros do Google (GAR, GCR)
• Imagens de contêiner no formato do Docker V2
Imagens com especificação de formato de imagem de Open Container Initiative (OCI)
Sem suporte
• No momento, imagens super minimalistas, como imagens de rascunhos do Docker, não têm suporte
• Repositórios públicos
• Listas de manifesto
Sistemas operacionais Com suporte
* Alpine Linux 3.12-3.21
* Red Hat Enterprise Linux 6-9
• CentOS 6-9 (o CentOS é entrará no Fim do Serviço (EOL) em 30 de junho de 2024. Para obter mais informações, veja a orientação CentOS End Of Life.)
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
• Google Distroless (baseado no Debian GNU/Linux 7-12)
* Ubuntu 12.04-22.04
* Fedora 31-37
* Mariner 1-2
Windows Server 2016, 2019, 2022.
Pacotes específicos de idioma

Com suporte
* Python
* Node.js
* .NET
* Java
* Go

Suporte a distribuições/configurações do Kubernetes para GCP - Proteção contra ameaças em tempo de execução

Aspecto Detalhes
Distribuições e configurações do Kubernetes Com suporte
* Google Kubernetes Engine (GKE) Standard

Compatível com Kubernetes habilitado para Arc 1 2
* Kubernetes

Sem suporte
• Clusters de rede privada
• GKE autopilot
• GKE AuthorizedNetworksConfig

1 Todos os clusters de Kubernetes certificados pela CNCF (Cloud Native Computing Foundation) devem ter suporte, mas apenas os clusters especificados foram testados.

2 Para obter proteção do Microsoft Defender para contêineres para seus ambientes, você precisa integrar o Kubernetes habilitado para Azure Arc e habilitar o Defender para contêineres como uma extensão do Arc.

Observação

Para obter requisitos adicionais para a proteção de cargas de trabalho do Kubernetes, confira limitações existentes.

Suporte a proxy de saída – GCP

Há suporte para proxy de saída sem autenticação e proxy de saída com autenticação básica. Não há suporte para o proxy de saída que espera certificados confiáveis no momento.

Clusters com restrições de IP — GCP

Se o seu cluster do Kubernetes no GCP tiver restrições de IP do plano de controle habilitadas (consulte Adicionar redes autorizadas para acesso ao plano de controle | Google Kubernetes Engine (GKE) | Google Cloud), a configuração de restrição de IP do plano de controle será atualizada para incluir o bloco CIDR do Microsoft Defender para Nuvem.

Clusters Kubernetes locais habilitados para Arc

Domínio Recurso Recursos com suporte Estado da versão do Linux Estado da versão do Windows Baseado em Sensor/Sem agente Tipo de preços
Gerenciamento da postura de segurança Docker CIS VMs habilitadas para Arc Versão Prévia - Agente do Log Analytics Plano 2 do Defender para Servidores
Gerenciamento da postura de segurança Proteção do painel de controle - - - - -
Gerenciamento da postura de segurança Proteção do plano de dados do Kubernetes Clusters K8s habilitados para Arc GA - Azure Policy para Kubernetes Defender para Contêineres
Proteção do runtime Proteção contra ameaças (painel de controle) Clusters K8s habilitados para Arc Versão Prévia Versão Prévia Sensor do Defender Defender para Contêineres
Proteção do runtime Proteção contra ameaças (carga de trabalho) Clusters K8s habilitados para Arc Visualizar - Sensor do Defender Defender para Contêineres
Implantação e monitoramento Descoberta de clusters descobertos/desprotegidos Clusters K8s habilitados para Arc Versão Prévia - Sem agente Gratuita
Implantação e monitoramento Provisionamento automático do sensor do Defender Clusters K8s habilitados para Arc Versão Prévia Versão Prévia Sem agente Defender para Contêineres
Implantação e monitoramento Provisionamento automático de Azure Policy para Kubernetes Clusters K8s habilitados para Arc Versão Prévia - Sem agente Defender para Contêineres

Registros de contêiner externos

Domínio Recurso Recursos com suporte Estado da versão do Linux Estado da versão do Windows Baseado em Sensor/Sem agente Tipo de preços
Gerenciamento da postura de segurança Funcionalidades abrangentes de inventário Docker Hub, JFrog Artifactory Versão Prévia Versão Prévia Sem agente CSPM fundamental OU Defender para contêineres OU Defender CSPM
Gerenciamento da postura de segurança Análise do caminho de ataque Docker Hub, JFrog Artifactory Versão Prévia Versão Prévia Sem agente GPSN do Defender
Avaliação de vulnerabilidade Verificação de registro sem agente (da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender) pacotes com suporte Hub do Docker, JfFrog Artifactory Versão Prévia Versão Prévia Sem agente Defender para contêineres OU GPSN do Defender
Avaliação de vulnerabilidade Pacotes compatíveis com o runtime baseado em sem agente/sensor (alimentado pelo Gerenciamento de Vulnerabilidades do Microsoft Defender) Docker Hub, JFrog Artifactory Versão Prévia Versão Prévia Se, agente OU/E sensor do Defender Defender para contêineres OU GPSN do Defender

Distribuições e configurações do Kubernetes

Aspecto Detalhes
Distribuições e configurações do Kubernetes Compatível com Kubernetes habilitado para Arc 1 2
* Serviço de Kubernetes do Azure híbrido
* Red Hat OpenShift no Azure
* Red Hat OpenShift (versão 4.6 ou mais nova)

1 Todos os clusters de Kubernetes certificados pela CNCF (Cloud Native Computing Foundation) devem ter suporte, mas apenas os clusters especificados foram testados.

2 Para obter proteção do Microsoft Defender para contêineres para seus ambientes, você precisa integrar o Kubernetes habilitado para Azure Arc e habilitar o Defender para contêineres como uma extensão do Arc.

Observação

Para obter requisitos adicionais para a proteção de cargas de trabalho do Kubernetes, confira limitações existentes.

Sistemas operacionais do host com suporte

O Defender para Contêineres depende do Sensor do Defender de vários recursos. O sensor do Defender tem suporte apenas com o Kernel 5.4 do Linux e posteriores, nos seguintes sistemas operacionais host:

  • Amazon Linux 2
  • CentOS 8 (CentOS é End Of Life (EOL) em 30 de junho de 2024. Para obter mais informações, veja a orientação CentOS End Of Life.)
  • Debian 10
  • Debian 11
  • Sistema operacional do otimizado para contêiner do Google
  • Mariner 1.0
  • Mariner 2.0
  • Red Hat Enterprise Linux 8
  • Ubuntu 16.04
  • Ubuntu 18.04
  • Ubuntu 20.04
  • Ubuntu 22.04

Verifique se o nó do Kubernetes está em execução em um dos sistemas operacionais com suporte verificados. Clusters com sistemas operacionais host sem suporte não recebem os benefícios dos recursos que dependem do sensor do Defender.

Limitações do sensor do Defender

O sensor do Defender no AKS V1.28 e inferior não tem suporte nos nós Arm64.

Restrições de rede

Suporte a proxy de saída

Há suporte para proxy de saída sem autenticação e proxy de saída com autenticação básica. Não há suporte para o proxy de saída que espera certificados confiáveis no momento.

Próximas etapas