你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Defender for Cloud 中的容器支持矩阵

注意

本文引用了 CentOS,这是一个自 2024 年 6 月 30 日起终止服务 (EOL) 的 Linux 发行版。 请相应地考虑你的使用和规划。 有关详细信息,请参阅 CentOS 生命周期结束指南

本文总结了 Microsoft Defender for Cloud 中的容器功能的支持信息。

注意

  • 具体功能正在预览中。 Azure 预览版补充条款包含适用于 beta 版本、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
  • 只有云供应商支持的 AKS、EKS 和 GKE 版本才得到 Defender for Cloud 的正式支持。

Azure

以下是 Defender for Containers 中每个域的功能:

安全态势管理

Feature 说明 支持的资源 Linux 版本状态 Windows 版本状态 启用方法 传感器 Plans Azure 云可用性
Kubernetes 的无代理发现 提供对 Kubernetes 群集及其配置和部署的零占用空间、基于 API 的发现。 AKS GA GA 启用“Kubernetes 上的无代理发现”切换 无代理 Defender for Containers 或 Defender CSPM Azure 商业云
全面的清单功能 使你能够通过安全资源管理器浏览资源、Pod、服务、存储库、映像和配置,从而轻松监视和管理资产。 ACR、AKS GA GA 启用“Kubernetes 上的无代理发现”切换 无代理 Defender for Containers 或 Defender CSPM Azure 商业云
攻击路径分析 基于图的算法,用于扫描云安全图。 扫描会暴露可攻击路径,这些路径可能会被攻击者用来侵入你的环境。 ACR、AKS GA GA 使用计划激活 无代理 Defender CSPM(需要启用 Kubernetes 的无代理发现) Azure 商业云
增强的风险搜寻 使安全管理员能够通过查询(内置和自定义)以及安全资源管理器中的安全见解主动搜寻容器化资产中的状况问题。 ACR、AKS GA GA 启用“Kubernetes 上的无代理发现”切换 无代理 Defender for Containers 或 Defender CSPM Azure 商业云
控制平面强化 持续评估群集的配置,并将其与应用于订阅的计划进行比较。 当发现错误配置时,Defender for Cloud 会生成安全建议,可以在 Defender for Cloud 的建议页上查看这些建议。 可以根据这些建议调查并修正问题。 ACR、AKS GA GA 使用计划激活 无代理 免费 商业云

国家云:Azure 政府,由世纪互联运营的 Azure
Kubernetes 数据平面强化 使用最佳做法建议保护 Kubernetes 容器的工作负荷。 AKS GA - 启用“用于 Kubernetes 的 Azure Policy”切换 Azure Policy 免费 商业云

国家云:Azure 政府,由世纪互联运营的 Azure
Docker CIS Docker CIS 基准 VM、虚拟机规模集 GA - 使用计划启用 Log Analytics 代理 Defender for Servers 计划 2 商业云

国家云:Azure 政府,由世纪互联运营的 Microsoft Azure

漏洞评估

功能 说明 支持的资源 Linux 版本状态 Windows 版本状态 启用方法 传感器 Plans Azure 云可用性
无代理注册表扫描(由 Microsoft Defender Vulnerability Management 提供支持)支持的包 ACR 中映像的漏洞评估 ACR、专用 ACR GA GA 启用“无代理容器漏洞评估”切换 无代理 Defender for Containers 或 Defender CSPM 商业云

国家云:Azure 政府,由世纪互联运营的 Azure
无代理/基于代理的运行时(由 Microsoft Defender Vulnerability Management 提供支持)支持的包 AKS 中运行映像的漏洞评估 AKS GA GA 启用“无代理容器漏洞评估”切换 无代理(需要 Kubernetes 的无代理发现)或/与 Defender 传感器 Defender for Containers 或 Defender CSPM 商业云

国家云:Azure 政府,由世纪互联运营的 Azure

运行时威胁防护

Feature 说明 支持的资源 Linux 版本状态 Windows 版本状态 启用方法 传感器 Plans Azure 云可用性
控制面板 基于 Kubernetes 审核线索检测 Kubernetes 的可疑活动 AKS GA GA 使用计划启用 无代理 Defender for Containers 商业云

国家云:Azure 政府,由世纪互联运营的 Azure
工作负荷 针对群集级别、节点级别和工作负荷级别的 Kubernetes 检测可疑活动 AKS GA - 启用“Azure 中的 Defender 传感器”切换或在单个群集上部署 Defender 传感器 Defender 传感器 Defender for Containers 商业云

国家云:Azure 政府、Azure 中国世纪互联

部署和监视

Feature 说明 支持的资源 Linux 版本状态 Windows 版本状态 启用方法 传感器 Plans Azure 云可用性
发现未受保护的群集 发现缺少 Defender 传感器的 Kubernetes 群集 AKS GA GA 使用计划启用 无代理 免费 商业云

国家云:Azure 政府,由世纪互联运营的 Azure
Defender 传感器自动预配 Defender 传感器的自动部署 AKS GA - 启用“Azure 中的 Defender 传感器”切换 无代理 Defender for Containers 商业云

国家云:Azure 政府,由世纪互联运营的 Azure
适用于 Kubernetes 的 Azure Policy 自动预配 适用于 Kubernetes 的 Azure Policy 传感器自动部署 AKS GA - 启用“适用于 Kubernetes 的 Azure Policy”切换 无代理 免费 商业云

国家云:Azure 政府,由世纪互联运营的 Azure

Azure 的注册表和映像支持 - 由 Microsoft Defender Vulnerability Management 提供支持的漏洞评估

方面 详细信息
注册表和映像 支持
* ACR 注册表
* 受 Azure 专用链接保护的 ACR 注册表(专用注册表需要访问受信任的服务)
* Docker V2 格式的容器映像
* 包含开放容器计划 (OCI) 映像格式规范的映像
不支持
* 超级简单的映像,例如 Docker 暂存映像
当前不受支持
操作系统 支持
* Alpine Linux 3.12-3.19
* Red Hat Enterprise Linux 6-9
* CentOS 6-9。 (CentOS 自 2024 年 6 月 30 日起生命周期结束 (EOL)。 有关详细信息,请参阅 CentOS 生命周期结束指导。)
* Oracle Linux 6-9
* Amazon Linux 1、2
* openSUSE Leap、openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless(基于 Debian GNU/Linux 7-12)
* Ubuntu 12.04-22.04
* Fedora 31-37
* Mariner 1-2
* Windows Server 2016、2019、2022
特定于语言的包

支持
* Python
* Node.js
* .NET
* JAVA
* Go

适用于 Azure 的 Kubernetes 分发和配置 - 运行时威胁防护

方面 详细信息
Kubernetes 发行版和配置 支持
* Azure Kubernetes 服务 (AKS)Kubernetes RBAC

通过已启用 Arc 的 Kubernetes 支持 1 2
* Azure Kubernetes 服务混合
* Kubernetes
* AKS 引擎
* Azure Red Hat OpenShift

1 应支持任何经云原生计算基金会 (CNCF) 认证的 Kubernetes 群集,但仅在 Azure 上测试了指定的群集。

2 若要为你的环境获得 Microsoft Defender for Containers 保护,你需要加入已启用 Azure Arc 的 Kubernetes,并启用 Defender for Containers 作为 Arc 扩展。

注意

有关 Kubernetes 工作负荷保护的其他要求,请参阅现有限制

AWS

功能 支持的资源 Linux 版本状态 Windows 版本状态 无代理/基于传感器 定价层
安全态势管理 Kubernetes 的无代理发现 EKS GA GA 无代理 Defender for Containers 或 Defender CSPM
安全态势管理 全面的清单功能 ECR、EKS GA GA 无代理 Defender for Containers 或 Defender CSPM
安全态势管理 攻击路径分析 ECR、EKS GA GA 无代理 Defender CSPM
安全态势管理 增强的风险搜寻 ECR、EKS GA GA 无代理 Defender for Containers 或 Defender CSPM
安全态势管理 Docker CIS EC2 GA - Log Analytics 代理 Defender for Servers 计划 2
安全态势管理 控制平面强化 - - - - -
安全态势管理 Kubernetes 数据平面强化 EKS GA - 适用于 Kubernetes 的 Azure Policy Defender for Containers
漏洞评估 无代理注册表扫描(由 Microsoft Defender Vulnerability Management 提供支持)支持的包 ECR GA GA 无代理 Defender for Containers 或 Defender CSPM
漏洞评估 无代理/基于传感器的运行时(由 Microsoft Defender Vulnerability Management 提供支持)支持的包 EKS GA GA 无代理或/和 Defender 传感器 Defender for Containers 或 Defender CSPM
运行时保护 控制面板 EKS GA GA 无代理 Defender for Containers
运行时保护 工作负载 EKS GA - Defender 传感器 Defender for Containers
部署和监视 发现未受保护的群集 EKS GA GA 无代理 Defender for Containers
部署和监视 自动预配 Defender 传感器 EKS GA - - -
部署和监视 为 Kubernetes 自动预配 Azure Policy EKS GA - - -

AWS 的注册表和映像支持 - 由 Microsoft Defender Vulnerability Management 提供支持的漏洞评估

方面 详细信息
注册表和映像 支持
* ECR 注册表
* Docker V2 格式的容器映像
* 包含开放容器计划 (OCI) 映像格式规范的映像
不支持
* 超级简单的映像(例如 Docker 暂存映像)目前不受支持
* 公共存储库
* 清单列表
操作系统 支持
* Alpine Linux 3.12-3.19
* Red Hat Enterprise Linux 6-9
* CentOS 6-9(CentOS 自 2024 年 6 月 30 日起生命周期结束 (EOL))。 有关详细信息,请参阅 CentOS 生命周期结束指导。)
* Oracle Linux 6-9
* Amazon Linux 1、2
* openSUSE Leap、openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless(基于 Debian GNU/Linux 7-12)
* Ubuntu 12.04-22.04
* Fedora 31-37
* Mariner 1-2
* Windows Server 2016、2019、2022
特定于语言的包

支持
* Python
* Node.js
* .NET
* JAVA
* Go

AWS 的 Kubernetes 分发/配置支持 - 运行时威胁防护

方面 详细信息
Kubernetes 发行版和配置 支持
* Amazon Elastic Kubernetes Service (EKS)

通过已启用 Arc 的 Kubernetes 支持 1 2
* Kubernetes
不支持
* EKS 专用群集

1 应支持任何经云原生计算基础 (CNCF) 认证的 Kubernetes 群集,但仅测试了指定的群集。

2 若要为你的环境获得 Microsoft Defender for Containers 保护,你需要加入已启用 Azure Arc 的 Kubernetes,并启用 Defender for Containers 作为 Arc 扩展。

注意

有关 Kubernetes 工作负载保护的其他要求,请参阅现有限制

出站代理支持 - AWS

支持无身份验证的出站代理和有基本身份验证的出站代理。 目前不支持需要受信任证书的出站代理。

存在 IP 限制的群集 - AWS

如果 AWS 中的 Kubernetes 群集启用了控制平面 IP 限制(请参阅 Amazon EKS 群集终结点访问控制 - Amazon EKS),相应的控制平面 IP 限制配置则更新为包含 Microsoft Defender for Cloud 的 CIDR 块。

GCP

功能 支持的资源 Linux 版本状态 Windows 版本状态 无代理/基于传感器 定价层
安全态势管理 Kubernetes 的无代理发现 GKE GA GA 无代理 Defender for Containers 或 Defender CSPM
安全态势管理 全面的清单功能 GAR、GCR、GKE GA GA 无代理 Defender for Containers 或 Defender CSPM
安全态势管理 攻击路径分析 GAR、GCR、GKE GA GA 无代理 Defender CSPM
安全态势管理 增强的风险搜寻 GAR、GCR、GKE GA GA 无代理 Defender for Containers 或 Defender CSPM
安全态势管理 Docker CIS GCP VM GA - Log Analytics 代理 Defender for Servers 计划 2
安全态势管理 控制平面强化 GKE GA GA 无代理 免费
安全态势管理 Kubernetes 数据平面强化 GKE GA - 适用于 Kubernetes 的 Azure Policy Defender for Containers
漏洞评估 无代理注册表扫描(由 Microsoft Defender Vulnerability Management 提供支持)支持的包 GAR、GCR GA GA 无代理 Defender for Containers 或 Defender CSPM
漏洞评估 无代理/基于传感器的运行时(由 Microsoft Defender Vulnerability Management 提供支持)支持的包 GKE GA GA 无代理或/和 Defender 传感器 Defender for Containers 或 Defender CSPM
运行时保护 控制面板 GKE GA GA 无代理 Defender for Containers
运行时保护 工作负载 GKE GA - Defender 传感器 Defender for Containers
部署和监视 发现未受保护的群集 GKE GA GA 无代理 Defender for Containers
部署和监视 自动预配 Defender 传感器 GKE GA - 无代理 Defender for Containers
部署和监视 为 Kubernetes 自动预配 Azure Policy GKE GA - 无代理 Defender for Containers

GCP 的注册表和映像支持 - 由 Microsoft Defender Vulnerability Management 提供支持的漏洞评估

方面 详细信息
注册表和映像 支持
* Google 注册表(GAR、GCR)
* Docker V2 格式的容器映像
* 包含开放容器计划 (OCI) 映像格式规范的映像
不支持
* 超级简单的映像(例如 Docker 暂存映像)目前不受支持
* 公共存储库
* 清单列表
操作系统 支持
* Alpine Linux 3.12-3.19
* Red Hat Enterprise Linux 6-9
* CentOS 6-9(CentOS 自 2024 年 6 月 30 日起生命周期结束 (EOL))。 有关详细信息,请参阅 CentOS 生命周期结束指导。)
* Oracle Linux 6-9
* Amazon Linux 1、2
* openSUSE Leap、openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless(基于 Debian GNU/Linux 7-12)
* Ubuntu 12.04-22.04
* Fedora 31-37
* Mariner 1-2
* Windows Server 2016、2019、2022
特定于语言的包

支持
* Python
* Node.js
* .NET
* JAVA
* Go

GCP 的 Kubernetes 分发/配置支持 - 运行时威胁防护

方面 详细信息
Kubernetes 发行版和配置 支持
* Google Kubernetes 引擎 (GKE) 标准

通过已启用 Arc 的 Kubernetes 支持 1 2
* Kubernetes

不支持
* 专用网络群集
* GKE autopilot
* GKE AuthorizedNetworksConfig

1 应支持任何经云原生计算基础 (CNCF) 认证的 Kubernetes 群集,但仅测试了指定的群集。

2 若要为你的环境获得 Microsoft Defender for Containers 保护,你需要加入已启用 Azure Arc 的 Kubernetes,并启用 Defender for Containers 作为 Arc 扩展。

注意

有关 Kubernetes 工作负载保护的其他要求,请参阅现有限制

出站代理支持 - GCP

支持无身份验证的出站代理和有基本身份验证的出站代理。 目前不支持需要受信任证书的出站代理。

存在 IP 限制的群集 - GCP

如果 GCP 中的 Kubernetes 群集启用了控制平面 IP 限制(请参阅添加用于控制平面访问的授权网络 | Google Kubernetes 引擎 (GKE) | Google Cloud),相应的控制平面 IP 限制配置则更新为包含 Microsoft Defender for Cloud 的 CIDR 块。

本地已启用 Arc 的 Kubernetes 群集

功能 支持的资源 Linux 版本状态 Windows 版本状态 无代理/基于传感器 定价层
安全态势管理 Docker CIS 已启用 Arc 的 VM 预览 - Log Analytics 代理 Defender for Servers 计划 2
安全态势管理 控制平面强化 - - - - -
安全态势管理 Kubernetes 数据平面强化 已启用 Arc 的 K8s 群集 GA - 适用于 Kubernetes 的 Azure Policy Defender for Containers
运行时保护 威胁防护(控制平面) 已启用 Arc 的 OpenShift 群集 预览 预览 Defender 传感器 Defender for Containers
运行时保护 威胁防护(工作负荷) 已启用 Arc 的 OpenShift 群集 预览 - Defender 传感器 Defender for Containers
部署和监视 发现未受保护的群集 已启用 Arc 的 K8s 群集 预览 - 无代理 免费
部署和监视 自动预配 Defender 传感器 已启用 Arc 的 K8s 群集 预览 预览 无代理 Defender for Containers
部署和监视 为 Kubernetes 自动预配 Azure Policy 已启用 Arc 的 K8s 群集 预览 - 无代理 Defender for Containers

外部容器注册表

Domain 功能 支持的资源 Linux 版本状态 Windows 版本状态 无代理/基于传感器 定价层
安全态势管理 全面的清单功能 Docker Hub, Jfrog Artifactory 预览 预览 无代理 基础 CSPM Defender for Containers Defender CSPM
安全态势管理 攻击路径分析 Docker Hub, Jfrog Artifactory 预览 预览 无代理 Defender CSPM
漏洞评估 无代理注册表扫描(由 Microsoft Defender Vulnerability Management 提供支持)支持的包 Docker Hub, JFrog Artifactory 预览 预览 无代理 Defender for Containers 或 Defender CSPM
漏洞评估 无代理/基于传感器的运行时(由 Microsoft Defender Vulnerability Management 提供支持)支持的包 Docker Hub, Jfrog Artifactory 预览 预览 无代理或/和 Defender 传感器 Defender for Containers 或 Defender CSPM

Kubernetes 发行版和配置

方面 详细信息
Kubernetes 发行版和配置 通过已启用 Arc 的 Kubernetes 支持 1 2
* Azure Kubernetes 服务混合
* Kubernetes
* AKS 引擎
* Azure Red Hat OpenShift
* Red Hat OpenShift(4.6 或更高版本)
* VMware Tanzu Kubernetes 网格
* Rancher Kubernetes 引擎

1 应支持任何经云原生计算基础 (CNCF) 认证的 Kubernetes 群集,但仅测试了指定的群集。

2 若要为你的环境获得 Microsoft Defender for Containers 保护,你需要加入已启用 Azure Arc 的 Kubernetes,并启用 Defender for Containers 作为 Arc 扩展。

注意

有关 Kubernetes 工作负荷保护的其他要求,请参阅现有限制

支持的主机操作系统

Defender for Containers 依赖于 Defender 传感器来实现多项功能。 在以下主机操作系统上,仅在 Linux 内核 5.4 及以上版本支持 Defender 传感器:

  • Amazon Linux 2
  • • CentOS 8(CentOS 自 2024 年 6 月 30 日起生命周期结束 (EOL)。 有关详细信息,请参阅 CentOS 生命周期结束指导。)
  • Debian 10
  • Debian 11
  • Google 容器优化 OS
  • Mariner 1.0
  • Mariner 2.0
  • Red Hat Enterprise Linux 8
  • Ubuntu 16.04
  • Ubuntu 18.04
  • Ubuntu 20.04
  • Ubuntu 22.04

确保 Kubernetes 节点在经过验证的操作系统之一上运行。 具有不受支持的主机操作系统的群集无法从依赖于 Defender 传感器的功能中获益。

Defender 传感器限制

Arm64 节点上不支持 AKS V1.28 及更低版本中的 Defender 传感器。

网络限制

出站代理支持

支持无身份验证的出站代理和有基本身份验证的出站代理。 目前不支持需要受信任证书的出站代理。

后续步骤