Partilhar via


Matriz de suporte de contêineres no Defender for Cloud

Atenção

Este artigo faz referência ao CentOS, uma distribuição Linux que é End Of Life (EOL) em 30 de junho de 2024. Por favor, considere o seu uso e planejamento de acordo. Para obter mais informações, consulte as diretrizes de Fim da Vida Útil do CentOS.

Este artigo resume as informações de suporte para recursos de contêiner no Microsoft Defender for Cloud.

Nota

  • Características específicas estão em pré-visualização. Os Termos Suplementares do Azure Preview incluem outros termos legais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
  • Apenas as versões do AKS, EKS e GKE suportadas pelo fornecedor de nuvem são oficialmente suportadas pelo Defender for Cloud.

Azure

A seguir estão os recursos para cada um dos domínios no Defender for Containers:

Gestão da postura de segurança

Funcionalidade Description Recursos suportados Estado da versão Linux Estado de lançamento do Windows Método de habilitação Sensor Planos Disponibilidade das nuvens do Azure
Descoberta sem agente para Kubernetes Fornece descoberta baseada em API de zero pegada de clusters Kubernetes, suas configurações e implantações. AKS GA GA Ativar a descoberta sem agente no Kubernetes alternar Sem agente Defender for Containers OU Defender CSPM Nuvens comerciais do Azure
Recursos abrangentes de inventário Permite que você explore recursos, pods, serviços, repositórios, imagens e configurações por meio do security explorer para monitorar e gerenciar facilmente seus ativos. ACR, AKS GA GA Ativar a descoberta sem agente no Kubernetes alternar Sem agente Defender for Containers OU Defender CSPM Nuvens comerciais do Azure
Análise de trajetória de ataque Um algoritmo baseado em gráficos que verifica o gráfico de segurança na nuvem. As verificações expõem caminhos exploráveis que os invasores podem usar para invadir seu ambiente. ACR, AKS GA GA Ativado com plano Sem agente Defender CSPM (requer a descoberta sem agente para que o Kubernetes seja habilitado) Nuvens comerciais do Azure
Maior caça ao risco Permite que os administradores de segurança procurem ativamente problemas de postura em seus ativos em contêineres por meio de consultas (internas e personalizadas) e informações de segurança no gerenciador de segurança. ACR, AKS GA GA Ativar a descoberta sem agente no Kubernetes alternar Sem agente Defender for Containers OU Defender CSPM Nuvens comerciais do Azure
Endurecimento do plano de controlo Avalia continuamente as configurações dos seus clusters e compara-as com as iniciativas aplicadas às suas subscrições. Quando encontra configurações incorretas, o Defender for Cloud gera recomendações de segurança que estão disponíveis na página Recomendações do Defender for Cloud. As recomendações permitem-lhe investigar e corrigir problemas. ACR, AKS GA GA Ativado com plano Sem agente Gratuito Nuvens comerciais

Nuvens nacionais: Azure Government, Azure operado pela 21Vianet
Proteção do plano de dados do Kubernetes Proteja as cargas de trabalho de seus contêineres Kubernetes com recomendações de práticas recomendadas. AKS GA - Alternar a Política do Azure para Kubernetes Azure Policy Gratuito Nuvens comerciais

Nuvens nacionais: Azure Government, Azure operado pela 21Vianet
Docker CIS Benchmark do Docker CIS VM, Conjunto de Dimensionamento de Máquina Virtual GA - Ativado com plano Agente do Log Analytics Plano 2 do Defender for Servers Nuvens comerciais

Nuvens nacionais: Azure Government, Microsoft Azure operado pela 21Vianet

Avaliação de vulnerabilidades

Funcionalidade Description Recursos suportados Estado da versão Linux Estado de lançamento do Windows Método de habilitação Sensor Planos Disponibilidade das nuvens do Azure
Pacotes suportados para verificação de registro sem agente (com tecnologia Microsoft Defender Vulnerability Management) Avaliação de vulnerabilidade para imagens no ACR ACR, ACR Privado GA GA Ativar a alternância de avaliação de vulnerabilidade de contêiner sem agente Sem agente Defender for Containers ou Defender CSPM Nuvens comerciais

Nuvens nacionais: Azure Government, Azure operado pela 21Vianet
Pacotes suportados de tempo de execução sem agente/baseado em agente (com tecnologia Microsoft Defender Vulnerability Management) Avaliação de vulnerabilidade para execução de imagens no AKS AKS GA GA Ativar a alternância de avaliação de vulnerabilidade de contêiner sem agente Sensor OR/Defender sem agente (requer descoberta sem agente para Kubernetes) Defender for Containers ou Defender CSPM Nuvens comerciais

Nuvens nacionais: Azure Government, Azure operado pela 21Vianet

Proteção contra ameaças em tempo de execução

Funcionalidade Description Recursos suportados Estado da versão Linux Estado de lançamento do Windows Método de habilitação Sensor Planos Disponibilidade das nuvens do Azure
Plano de controlo Deteção de atividades suspeitas para o Kubernetes com base na trilha de auditoria do Kubernetes AKS GA GA Ativado com plano Sem agente Defender para Contentores Nuvens comerciais

Nuvens nacionais: Azure Government, Azure operado pela 21Vianet
Carga de trabalho Deteção de atividades suspeitas para o Kubernetes para nível de cluster, nível de nó e nível de carga de trabalho AKS GA - Habilitar o Sensor Defender no Azure OU implantar sensores Defender em clusters individuais Sensor Defender Defender para Contentores Nuvens comerciais

Nuvens nacionais: Azure Government, Azure China 21Vianet

Implantação e monitoramento

Funcionalidade Description Recursos suportados Estado da versão Linux Estado de lançamento do Windows Método de habilitação Sensor Planos Disponibilidade das nuvens do Azure
Descoberta de clusters desprotegidos Descobrindo clusters Kubernetes sem sensores Defender AKS GA GA Ativado com plano Sem agente Gratuito Nuvens comerciais

Nuvens nacionais: Azure Government, Azure operado pela 21Vianet
Provisionamento automático do sensor Defender Implantação automática do sensor Defender AKS GA - Ativar o Sensor Defender no Azure alternar Sem agente Defender para Contentores Nuvens comerciais

Nuvens nacionais: Azure Government, Azure operado pela 21Vianet
Política do Azure para provisionamento automático do Kubernetes Implantação automática do sensor de política do Azure para Kubernetes AKS GA - Alternar a política do Azure para Kubernetes Sem agente Gratuito Nuvens comerciais

Nuvens nacionais: Azure Government, Azure operado pela 21Vianet

Suporte a registros e imagens para o Azure - Avaliação de vulnerabilidades fornecida pelo Microsoft Defender Vulnerability Management

Aspeto Detalhes
Registos e imagens Suportado
* Registos ACR
* Registos ACR protegidos com o Azure Private Link (os registos privados requerem acesso aos Serviços Fidedignos)
* Imagens de contêiner no formato Docker V2
* Imagens com especificação de formato de imagem Open Container Initiative (OCI)
Não suportado
* Imagens super-minimalistas, como imagens de rascunho do Docker
não é suportado no momento
Sistemas operativos Suportado
* Linux alpino 3.12-3.19
* Red Hat Enterprise Linux 6-9
* CentOS 6-9. (CentOS é End Of Life (EOL) a partir de 30 de junho de 2024. Para obter mais informações, consulte as diretrizes de Fim da Vida Útil do CentOS.)
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless (baseado no Debian GNU/Linux 7-12)
* Ubuntu 12.04-22.04
* Fedora 31-37
* Mariner 1-2
* Windows Server 2016, 2019, 2022
Pacotes linguísticos específicos

Suportado
* Python
* Node.js
* .NET
* JAVA
* Ir

Distribuições e configurações do Kubernetes para Azure - Proteção contra ameaças em tempo de execução

Aspeto Detalhes
Distribuições e configurações do Kubernetes Suportado
* Serviço Kubernetes do Azure (AKS) com RBAC do Kubernetes

Suportado via Arc habilitado Kubernetes 1 2
* Serviço Kubernetes do Azure híbrido
* Kubernetes
* Motor AKS
* Azure Red Hat OpenShift

1 Qualquer cluster Kubernetes certificado pela Cloud Native Computing Foundation (CNCF) deve ser suportado, mas apenas os clusters especificados foram testados no Azure.

2 Para obter proteção do Microsoft Defender for Containers para seus ambientes, você precisa integrar o Kubernetes habilitado para Azure Arc e habilitar o Defender for Containers como uma extensão Arc.

Nota

Para obter requisitos adicionais para a proteção da carga de trabalho do Kubernetes, consulte as limitações existentes.

AWS

Domínio Caraterística Recursos suportados Estado da versão Linux Estado de lançamento do Windows Sem agente/baseado em sensor Escalão de preço
Gestão da postura de segurança Descoberta sem agente para Kubernetes EKS GA GA Sem agente Defender for Containers OU Defender CSPM
Gestão da postura de segurança Recursos abrangentes de inventário ECR, EKS GA GA Sem agente Defender for Containers OU Defender CSPM
Gestão da postura de segurança Análise de trajetória de ataque ECR, EKS GA GA Sem agente GPSC do Defender
Gestão da postura de segurança Maior caça ao risco ECR, EKS GA GA Sem agente Defender for Containers OU Defender CSPM
Gestão da postura de segurança Docker CIS EC2 GA - Agente do Log Analytics Plano 2 do Defender for Servers
Gestão da postura de segurança Endurecimento do plano de controlo - - - - -
Gestão da postura de segurança Proteção do plano de dados do Kubernetes EKS GA - Azure Policy para o Kubernetes Defender para Contentores
Avaliação de vulnerabilidades Pacotes suportados para verificação de registro sem agente (com tecnologia Microsoft Defender Vulnerability Management) ECR GA GA Sem agente Defender for Containers ou Defender CSPM
Avaliação de vulnerabilidades Pacotes suportados de tempo de execução sem agente/baseado em sensor (com tecnologia Microsoft Defender Vulnerability Management) EKS GA GA Sensor OR/And Defender sem agente Defender for Containers ou Defender CSPM
Proteção em tempo de execução Plano de controlo EKS GA GA Sem agente Defender para Contentores
Proteção em tempo de execução Carga de trabalho EKS GA - Sensor Defender Defender para Contentores
Implantação e monitoramento Descoberta de clusters desprotegidos EKS GA GA Sem agente Defender para Contentores
Implantação e monitoramento Provisionamento automático do sensor Defender EKS GA - - -
Implantação e monitoramento Provisionamento automático da Política do Azure para Kubernetes EKS GA - - -

Suporte a registros e imagens para AWS - Avaliação de vulnerabilidades fornecida pelo Microsoft Defender Vulnerability Management

Aspeto Detalhes
Registos e imagens Suportado
* Registos ECR
* Imagens de contêiner no formato Docker V2
* Imagens com especificação de formato de imagem Open Container Initiative (OCI)
Não suportado
* Imagens super-minimalistas, como imagens de rascunho do Docker, não são suportadas no momento
* Repositórios públicos
* Listas de manifestos
Sistemas operativos Suportado
* Linux alpino 3.12-3.19
* Red Hat Enterprise Linux 6-9
* CentOS 6-9 (CentOS é o fim da vida útil (EOL) a partir de 30 de junho de 2024. Para obter mais informações, consulte as diretrizes de Fim da Vida Útil do CentOS.)
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless (baseado no Debian GNU/Linux 7-12)
* Ubuntu 12.04-22.04
* Fedora 31-37
* Mariner 1-2
* Servidor Windows 2016, 2019, 2022
Pacotes linguísticos específicos

Suportado
* Python
* Node.js
* .NET
* JAVA
* Ir

Suporte a distribuições/configurações do Kubernetes para AWS - Proteção contra ameaças em tempo de execução

Aspeto Detalhes
Distribuições e configurações do Kubernetes Suportado
* Amazon Elastic Kubernetes Service (EKS)

Suportado via Arc habilitado Kubernetes 1 2
* Kubernetes
Não suportado
* Clusters privados EKS

1 Qualquer cluster Kubernetes certificado pela Cloud Native Computing Foundation (CNCF) deve ser suportado, mas apenas os clusters especificados foram testados.

2 Para obter proteção do Microsoft Defender for Containers para seus ambientes, você precisa integrar o Kubernetes habilitado para Azure Arc e habilitar o Defender for Containers como uma extensão Arc.

Nota

Para obter requisitos adicionais para a proteção da carga de trabalho do Kubernetes, consulte as limitações existentes.

Suporte a proxy de saída - AWS

O proxy de saída sem autenticação e o proxy de saída com autenticação básica são suportados. O proxy de saída que espera certificados fidedignos não é suportado no momento.

Clusters com restrições de IP - AWS

Se o cluster do Kubernetes na AWS tiver restrições de IP do plano de controle habilitadas (consulte Controle de acesso ao endpoint do cluster do Amazon EKS - Amazon EKS, ), a configuração de restrição de IP do plano de controle será atualizada para incluir o bloco CIDR do Microsoft Defender for Cloud.

GCP

Domínio Caraterística Recursos suportados Estado da versão Linux Estado de lançamento do Windows Sem agente/baseado em sensor Escalão de preço
Gestão da postura de segurança Descoberta sem agente para Kubernetes GKE GA GA Sem agente Defender for Containers OU Defender CSPM
Gestão da postura de segurança Recursos abrangentes de inventário GAR, GCR, GKE GA GA Sem agente Defender for Containers OU Defender CSPM
Gestão da postura de segurança Análise de trajetória de ataque GAR, GCR, GKE GA GA Sem agente GPSC do Defender
Gestão da postura de segurança Maior caça ao risco GAR, GCR, GKE GA GA Sem agente Defender for Containers OU Defender CSPM
Gestão da postura de segurança Docker CIS GCP VMs GA - Agente do Log Analytics Plano 2 do Defender for Servers
Gestão da postura de segurança Endurecimento do plano de controlo GKE GA GA Sem agente Gratuito
Gestão da postura de segurança Proteção do plano de dados do Kubernetes GKE GA - Azure Policy para o Kubernetes Defender para Contentores
Avaliação de vulnerabilidades Pacotes suportados para verificação de registro sem agente (com tecnologia Microsoft Defender Vulnerability Management) GAR, GCR GA GA Sem agente Defender for Containers ou Defender CSPM
Avaliação de vulnerabilidades Pacotes suportados de tempo de execução sem agente/baseado em sensor (com tecnologia Microsoft Defender Vulnerability Management) GKE GA GA Sensor OR/And Defender sem agente Defender for Containers ou Defender CSPM
Proteção em tempo de execução Plano de controlo GKE GA GA Sem agente Defender para Contentores
Proteção em tempo de execução Carga de trabalho GKE GA - Sensor Defender Defender para Contentores
Implantação e monitoramento Descoberta de clusters desprotegidos GKE GA GA Sem agente Defender para Contentores
Implantação e monitoramento Provisionamento automático do sensor Defender GKE GA - Sem agente Defender para Contentores
Implantação e monitoramento Provisionamento automático da Política do Azure para Kubernetes GKE GA - Sem agente Defender para Contentores

Suporte a registros e imagens para GCP - Avaliação de vulnerabilidades fornecida pelo Microsoft Defender Vulnerability Management

Aspeto Detalhes
Registos e imagens Suportado
* Registros do Google (GAR, GCR)
* Imagens de contêiner no formato Docker V2
* Imagens com especificação de formato de imagem Open Container Initiative (OCI)
Não suportado
* Imagens super-minimalistas, como imagens de rascunho do Docker, não são suportadas no momento
* Repositórios públicos
* Listas de manifestos
Sistemas operativos Suportado
* Linux alpino 3.12-3.19
* Red Hat Enterprise Linux 6-9
* CentOS 6-9 (CentOS é o fim da vida útil (EOL) a partir de 30 de junho de 2024. Para obter mais informações, consulte as diretrizes de Fim da Vida Útil do CentOS.)
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless (baseado no Debian GNU/Linux 7-12)
* Ubuntu 12.04-22.04
* Fedora 31-37
* Mariner 1-2
* Servidor Windows 2016, 2019, 2022
Pacotes linguísticos específicos

Suportado
* Python
* Node.js
* .NET
* JAVA
* Ir

Suporte a distribuições/configurações do Kubernetes para GCP - Proteção contra ameaças em tempo de execução

Aspeto Detalhes
Distribuições e configurações do Kubernetes Suportado
* Padrão do Google Kubernetes Engine (GKE)

Suportado via Arc habilitado Kubernetes 1 2
* Kubernetes

Não suportado
* Clusters de rede privada
* Piloto automático GKE
* GKE AuthorizedNetworksConfig

1 Qualquer cluster Kubernetes certificado pela Cloud Native Computing Foundation (CNCF) deve ser suportado, mas apenas os clusters especificados foram testados.

2 Para obter proteção do Microsoft Defender for Containers para seus ambientes, você precisa integrar o Kubernetes habilitado para Azure Arc e habilitar o Defender for Containers como uma extensão Arc.

Nota

Para obter requisitos adicionais para a proteção da carga de trabalho do Kubernetes, consulte as limitações existentes.

Suporte a proxy de saída - GCP

O proxy de saída sem autenticação e o proxy de saída com autenticação básica são suportados. O proxy de saída que espera certificados fidedignos não é suportado no momento.

Clusters com restrições de IP - GCP

Se o cluster Kubernetes no GCP tiver restrições de IP do plano de controle habilitadas (consulte Adicionar redes autorizadas para acesso ao plano de controle | Motor Kubernetes do Google (GKE) | Google Cloud ), a configuração de restrição de IP do plano de controle é atualizada para incluir o bloco CIDR do Microsoft Defender for Cloud.

Clusters Kubernetes locais habilitados para Arc

Domínio Caraterística Recursos suportados Estado da versão Linux Estado de lançamento do Windows Sem agente/baseado em sensor Escalão de preço
Gestão da postura de segurança Docker CIS VMs habilitadas para Arc Pré-visualizar - Agente do Log Analytics Plano 2 do Defender for Servers
Gestão da postura de segurança Endurecimento do plano de controlo - - - - -
Gestão da postura de segurança Proteção do plano de dados do Kubernetes Clusters K8s habilitados para Arc GA - Azure Policy para o Kubernetes Defender para Contentores
Proteção em tempo de execução Proteção contra ameaças (plano de controlo) Clusters OpenShift habilitados para Arc Pré-visualizar Pré-visualizar Sensor Defender Defender para Contentores
Proteção em tempo de execução Proteção contra ameaças (carga de trabalho) Clusters OpenShift habilitados para Arc Pré-visualizar - Sensor Defender Defender para Contentores
Implantação e monitoramento Descoberta de clusters desprotegidos Clusters K8s habilitados para Arc Pré-visualizar - Sem agente Gratuito
Implantação e monitoramento Provisionamento automático do sensor Defender Clusters K8s habilitados para Arc Pré-visualizar Pré-visualizar Sem agente Defender para Contentores
Implantação e monitoramento Provisionamento automático da Política do Azure para Kubernetes Clusters K8s habilitados para Arc Pré-visualizar - Sem agente Defender para Contentores

Registos de contentores externos

Domínio Caraterística Recursos suportados Estado da versão Linux Estado de lançamento do Windows Sem agente/baseado em sensor Escalão de preço
Gestão da postura de segurança Recursos abrangentes de inventário Docker Hub, Jfrog Artifactory Pré-visualizar Pré-visualizar Sem agente CSPM Fundamental OU Defender for Containers OU Defender CSPM
Gestão da postura de segurança Análise de trajetória de ataque Docker Hub, Jfrog Artifactory Pré-visualizar Pré-visualizar Sem agente GPSC do Defender
Avaliação de vulnerabilidades Pacotes suportados para verificação de registro sem agente (com tecnologia Microsoft Defender Vulnerability Management) Docker Hub , JfFrog Artifactory Pré-visualizar Pré-visualizar Sem agente Defender for Containers OU Defender CSPM
Avaliação de vulnerabilidades Pacotes suportados de tempo de execução sem agente/baseado em sensor (com tecnologia Microsoft Defender Vulnerability Management) Docker Hub, Jfrog Artifactory Pré-visualizar Pré-visualizar Sensor OR/And Defender sem agente Defender for Containers OU Defender CSPM

Distribuições e configurações do Kubernetes

Aspeto Detalhes
Distribuições e configurações do Kubernetes Suportado via Arc habilitado Kubernetes 1 2
* Serviço Kubernetes do Azure híbrido
* Kubernetes
* Motor AKS
* Azure Red Hat OpenShift
* Red Hat OpenShift (versão 4.6 ou mais recente)
* VMware Tanzu Kubernetes Grid
* Motor Rancher Kubernetes

1 Qualquer cluster Kubernetes certificado pela Cloud Native Computing Foundation (CNCF) deve ser suportado, mas apenas os clusters especificados foram testados.

2 Para obter proteção do Microsoft Defender for Containers para seus ambientes, você precisa integrar o Kubernetes habilitado para Azure Arc e habilitar o Defender for Containers como uma extensão Arc.

Nota

Para obter requisitos adicionais para a proteção da carga de trabalho do Kubernetes, consulte as limitações existentes.

Sistemas operacionais de host suportados

O Defender for Containers conta com o sensor Defender para vários recursos. O sensor Defender é suportado apenas com Linux Kernel 5.4 e superior, nos seguintes sistemas operacionais host:

  • Amazon Linux 2
  • CentOS 8 (CentOS é End Of Life (EOL) a partir de 30 de junho de 2024. Para obter mais informações, consulte as diretrizes de Fim da Vida Útil do CentOS.)
  • Debian 10
  • Debian 11
  • SO otimizado para contêiner do Google
  • Mariner 1,0
  • Mariner 2,0
  • Red Hat Enterprise Linux 8
  • Ubuntu 16.04
  • Ubuntu 18.04
  • Ubuntu 20.04
  • Ubuntu 22.04

Verifique se o nó Kubernetes está sendo executado em um desses sistemas operacionais verificados. Clusters com sistemas operacionais host não suportados não obtêm os benefícios dos recursos que dependem do sensor Defender.

Limitações do sensor Defender

O sensor Defender no AKS V1.28 e inferior não é suportado nos nós Arm64.

Restrições de rede

Suporte do proxy de saída

O proxy de saída sem autenticação e o proxy de saída com autenticação básica são suportados. O proxy de saída que espera certificados fidedignos não é suportado no momento.

Próximos passos