共用方式為


適用於雲端的 Defender 中的容器支援矩陣

警告

本文參考 CentOS,這是 Linux 發行版,已於 2024 年 6 月 30 日終止服務 (EOL)。 請據此考慮您的使用方式和規劃。 如需詳細資訊,請參閱 CentOS 生命週期結束指導

本文摘要說明適用於雲端的 Microsoft Defender 中容器功能的支援資訊。

注意

  • 特定功能目前為預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
  • 只有雲端廠商支援的 AKS、EKS 和 GKE 版本受到適用於雲端的 Defender 正式支援。

以下是適用於容器的Defender針對支援的雲端環境和容器登錄所提供的功能。

Azure

安全性狀態管理

功能 描述 支援的資源 Linux 版本狀態 Windows 版本狀態 啟用方法 Sensor 計劃 Azure 雲端可用性
Kubernetes 的無代理程式探索 提供 Kubernetes 叢集的零使用量、以 API 為基礎的探索、其設定和部署。 AKS GA GA 啟用 [Kubernetes 上的無代理程式探索] 切換 無代理程式 適用於容器的 Defender Defender CSPM Azure 商業雲端
完整的詳細目錄功能 可讓您透過安全性總管探索資源、Pod、服務、存放庫、映像和組態,以輕鬆監視和管理您的資產。 ACR、AKS GA GA 啟用 [Kubernetes 上的無代理程式探索] 切換 無代理程式 適用於容器的 Defender Defender CSPM Azure 商業雲端
攻擊路徑分析 以圖表為基礎的演算法,可掃描雲端安全性圖表。 掃描會公開攻擊者可能用來入侵您環境的惡意探索路徑。 ACR、AKS GA GA 已使用方案啟用 無代理程式 Defender CSPM (需要啟用 Kubernetes 的無代理程式探索) Azure 商業雲端
增強的風險搜捕 可讓安全性系統管理員透過安全性總管中的查詢 (內建和自訂) 和安全性見解,主動搜捕容器化資產中的狀態問題。 ACR、AKS GA GA 啟用 [Kubernetes 上的無代理程式探索] 切換 無代理程式 適用於容器的 Defender Defender CSPM Azure 商業雲端
強化控制平面 持續評定叢集的設定,並將其與套用至訂用帳戶的方案進行比較。 當發現設定錯誤時,適用於雲端的 Defender 會產生適用於雲端的 Defender 建議頁面上可用的安全性建議。 建議可讓您調查和補救問題。 ACR、AKS GA GA 已使用方案啟用 無代理程式 免費 商業雲端

國家雲端:Azure Government、由 21Vianet 營運的 Azure
強化 Kubernetes 資料平面 使用最佳做法建議來保護 Kubernetes 容器的工作負載。 AKS GA - 啟用 [適用於 Kubernetes 的 Azure 原則] 切換 Azure 原則 免費 商業雲端

國家雲端:Azure Government、由 21Vianet 營運的 Azure
Docker CIS Docker CIS 基準 VM、虛擬機器擴展集 GA - 已使用方案啟用 Log Analytics 代理程式 適用於伺服器的 Defender 方案 2 商業雲端

國家雲端:Azure Government、由 21Vianet 營運的 Microsoft Azure

弱點評估

功能 描述 支援的資源 Linux 版本狀態 Windows 版本狀態 啟用方法 Sensor 計劃 Azure 雲端可用性
無代理程式登錄掃描 (由 Microsoft Defender 弱點管理提供) 支援的套件 ACR 中映像的弱點評量 ACR、私人 ACR GA GA 啟用 [無代理程式容器弱點評量] 切換 無代理程式 適用於容器的 Defender 或 Defender CSPM 商業雲端

國家雲端:Azure Government、由 21Vianet 營運的 Azure
無代理程式/代理程式型執行階段 (由 Microsoft Defender 弱點管理提供) 支援的套件 AKS 中執行中映像的弱點評量 AKS GA GA 啟用 [無代理程式容器弱點評量] 切換 無代理程式 (需要 Kubernetes 的無代理程式探索) 或/和 Defender 感應器 適用於容器的 Defender 或 Defender CSPM 商業雲端

國家雲端:Azure Government、由 21Vianet 營運的 Azure
無代理程式 K8s 節點掃描 K8s 節點的弱點評估 AKS 預覽 預覽 啟用機器的無代理程式掃描 無代理程式 適用於容器的Defender或適用於伺服器的Defender P2或 CSPM 商業雲端

執行階段威脅防護

功能 描述 支援的資源 Linux 版本狀態 Windows 版本狀態 啟用方法 Sensor 計劃 Azure 雲端可用性
控制平面 根據 Kubernetes 稽核線索偵測 Kubernetes 的可疑活動 AKS GA GA 已使用方案啟用 無代理程式 適用於容器的 Defender 商業雲端

國家雲端:Azure Government、由 21Vianet 營運的 Azure
工作負載 針對叢集層級、節點層級和工作負載層級偵測 Kubernetes 的可疑活動 AKS GA - 啟用 Azure 中的 Defender 感應器切換在個別叢集上部署 Defender 感應器 Defender 感應器 適用於容器的 Defender 商業雲端

國家/地區雲端:Azure Government、Azure China 21Vianet
節點 偵測 K8s 節點上的惡意代碼 AKS 預覽 預覽 啟用機器的無代理程式掃描 無代理程式 適用於容器的Defender或適用於伺服器的Defender P2 商業雲端

部署和監視

功能 描述 支援的資源 Linux 版本狀態 Windows 版本狀態 啟用方法 Sensor 計劃 Azure 雲端可用性
探索未受保護的叢集 探索缺少 Defender 感應器的 Kubernetes 叢集 AKS GA GA 已使用方案啟用 無代理程式 免費 商業雲端

國家雲端:Azure Government、由 21Vianet 營運的 Azure
Defender 感應器自動佈建 自動部署 Defender 感應器 AKS GA - 啟用 [Azure 中的 Defender 感應器] 切換 無代理程式 適用於容器的 Defender 商業雲端

國家雲端:Azure Government、由 21Vianet 營運的 Azure
適用於 Kubernetes 的 Azure 原則自動佈建 適用於 Kubernetes 的 Azure 原則感應器自動部署 AKS GA - 啟用 [適用於 Kubernetes 的 Azure 原則] 切換 無代理程式 免費 商業雲端

國家雲端:Azure Government、由 21Vianet 營運的 Azure

Azure 的登錄和映像支援 - 由 Microsoft Defender 弱點管理提供的弱點評量

層面 詳細資料
登錄和映像 支援
* ACR 登錄
* 使用 Azure Private Link 保護的 ACR 登錄(私人登入需要信任服務的存取權 )
* Docker V2 格式的容器映像
* 具有 開放式容器計劃 (OCI) 映像格式規格的 映像
不支援
* 超級極簡主義映射,例如 Docker 臨時 映像
目前不支援
作業系統 支援
* Alpine Linux 3.12-3.19
* Red Hat Enterprise Linux 6-9
* CentOS 6-9。 (CentOS 已於 2024 年 6 月 30 日終止服務 (EOL)。 如需詳細資訊,請參閱 CentOS 終止服務指導。)
* Oracle Linux 6-9
* Amazon Linux 1,2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google 散發套件 (以 Debian GNU/Linux 7-12 為基礎)
* Ubuntu 12.04-22.04
* Fedora 31-37
* 水手 1-2
* Windows Server 2016、2019、2022
語言專屬套件

支援
*蟒
* Node.js
*。網
*爪哇島
*去

適用於 Azure 的 Kubernetes 發行版本和組態 - 執行階段威脅防護

層面 詳細資料
Kubernetes 散發套件和設定 支援
* Azure Kubernetes Service (AKS) 搭配 Kubernetes RBAC

透過已啟用 Arc 的 Kubernetes 支援 1 2
* Azure Kubernetes Service 混合式
* Kubernetes
* AKS 引擎
* Azure Red Hat OpenShift

1 支援任何雲端原生運算基礎 (CNCF) 認證的 Kubernetes 叢集,但僅限經過在 Azure 上測試的指定叢集。

2 若要取得適用於容器的 Microsoft Defender 來保護環境,您必須將已啟用 Azure Arc 的 Kubernetes 上線,並啟用適用於容器的 Defender 作為 Arc 延伸模組。

注意

如需 Kuberenetes 工作負載保護的其他需求,請參閱現有的限制

AWS

網域 功能 支援的資源 Linux 版本狀態 Windows 版本狀態 無代理程式/感應器型 定價層
安全性狀態管理 Kubernetes 的無代理程式探索 EKS GA GA 無代理程式 適用於容器的 Defender Defender CSPM
安全性狀態管理 完整的詳細目錄功能 ECR、EKS GA GA 無代理程式 適用於容器的 Defender Defender CSPM
安全性狀態管理 攻擊路徑分析 ECR、EKS GA GA 無代理程式 Defender CSPM
安全性狀態管理 增強的風險搜捕 ECR、EKS GA GA 無代理程式 適用於容器的 Defender Defender CSPM
安全性狀態管理 Docker CIS EC2 GA - Log Analytics 代理程式 適用於伺服器的 Defender 方案 2
安全性狀態管理 強化控制平面 - - - - -
安全性狀態管理 Kubernetes 資料平面強化 EKS GA - 適用於 Kubernetes 的 Azure 原則 適用於容器的 Defender
弱點評估 無代理程式登錄掃描 (由 Microsoft Defender 弱點管理提供) 支援的套件 ECR GA GA 無代理程式 適用於容器的 Defender 或 Defender CSPM
弱點評估 無代理程式/感應器型執行階段 (由 Microsoft Defender 弱點管理提供) 支援的套件 EKS GA GA 無代理程式或/和 Defender 感應器 適用於容器的 Defender 或 Defender CSPM
執行階段保護 控制平面 EKS GA GA 無代理程式 適用於容器的 Defender
執行階段保護 工作負載 EKS GA - Defender 感應器 適用於容器的 Defender
部署和監視 探索未受保護的叢集 EKS GA GA 無代理程式 適用於容器的 Defender
部署和監視 Defender 感應器的自動佈建 EKS GA - - -
部署和監視 適用於 Kubernetes 的 Azure 原則自動佈建 EKS GA - - -

AWS 的登錄和映像支援 - 由 Microsoft Defender 弱點管理提供的弱點評量

層面 詳細資料
登錄和映像 支援
* ECR 登錄
* Docker V2 格式的容器映像
* 具有 開放式容器計劃 (OCI) 映像格式規格的 映像
不支援
* 目前不支援 Docker 臨時映射等超級極簡映像
* 公用存放庫
* 指令清單清單
作業系統 支援
* Alpine Linux 3.12-3.19
* Red Hat Enterprise Linux 6-9
* CentOS 6-9 (CentOS 截至 2024 年 6 月 30 日結束生命週期 (EOL)。 如需詳細資訊,請參閱 CentOS 終止服務指導。)
* Oracle Linux 6-9
* Amazon Linux 1,2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google 散發套件 (以 Debian GNU/Linux 7-12 為基礎)
* Ubuntu 12.04-22.04
* Fedora 31-37
* 水手 1-2
* Windows Server 2016、2019、2022
語言專屬套件

支援
*蟒
* Node.js
*。網
*爪哇島
*去

AWS 的 Kubernetes 發行版本/組態支援 - 執行階段威脅防護

層面 詳細資料
Kubernetes 散發套件和設定 支援
* Amazon Elastic Kubernetes Service (EKS)

透過已啟用 Arc 的 Kubernetes 支援 1 2
* Kubernetes
不支援
* EKS 私人叢集

1 支援任何雲端原生運算基礎 (CNCF) 認證的 Kubernetes 叢集,但僅限經過測試的指定叢集。

2 若要取得適用於容器的 Microsoft Defender 來保護環境,您必須將已啟用 Azure Arc 的 Kubernetes 上線,並啟用適用於容器的 Defender 作為 Arc 延伸模組。

注意

如需 Kuberenetes 工作負載保護的其他需求,請參閱現有的限制

輸出 Proxy 支援 - AWS

支援沒有驗證的輸出 Proxy 和具有基本驗證的輸出 Proxy。 目前不支援預期受信任憑證的輸出 Proxy

具有 IP 限制的叢集 - AWS

如果您的 AWS 中的 Kubernetes 叢集已啟用控制平面 IP 限制(請參閱 Amazon EKS 叢集端點存取控制 - Amazon EKS,),則會更新控制平面的 IP 限制設定,以包含 適用於雲端的 Microsoft Defender 的 CIDR 區塊。

GCP

網域 功能 支援的資源 Linux 版本狀態 Windows 版本狀態 無代理程式/感應器型 定價層
安全性狀態管理 Kubernetes 的無代理程式探索 GKE GA GA 無代理程式 適用於容器的 Defender Defender CSPM
安全性狀態管理 完整的詳細目錄功能 GAR、GCR、GKE GA GA 無代理程式 適用於容器的 Defender Defender CSPM
安全性狀態管理 攻擊路徑分析 GAR、GCR、GKE GA GA 無代理程式 Defender CSPM
安全性狀態管理 增強的風險搜捕 GAR、GCR、GKE GA GA 無代理程式 適用於容器的 Defender Defender CSPM
安全性狀態管理 Docker CIS GCP VM GA - Log Analytics 代理程式 適用於伺服器的 Defender 方案 2
安全性狀態管理 強化控制平面 GKE GA GA 無代理程式 免費
安全性狀態管理 Kubernetes 資料平面強化 GKE GA - 適用於 Kubernetes 的 Azure 原則 適用於容器的 Defender
弱點評估 無代理程式登錄掃描 (由 Microsoft Defender 弱點管理提供) 支援的套件 GAR、GCR GA GA 無代理程式 適用於容器的 Defender 或 Defender CSPM
弱點評估 無代理程式/感應器型執行階段 (由 Microsoft Defender 弱點管理提供) 支援的套件 GKE GA GA 無代理程式或/和 Defender 感應器 適用於容器的 Defender 或 Defender CSPM
執行階段保護 控制平面 GKE GA GA 無代理程式 適用於容器的 Defender
執行階段保護 工作負載 GKE GA - Defender 感應器 適用於容器的 Defender
部署和監視 探索未受保護的叢集 GKE GA GA 無代理程式 適用於容器的 Defender
部署和監視 Defender 感應器的自動佈建 GKE GA - 無代理程式 適用於容器的 Defender
部署和監視 適用於 Kubernetes 的 Azure 原則自動佈建 GKE GA - 無代理程式 適用於容器的 Defender

GCP 的登錄和映像支援 - 由 Microsoft Defender 弱點管理提供的弱點評量

層面 詳細資料
登錄和映像 支援
* Google 登入 (GAR, GCR)
* Docker V2 格式的容器映像
* 具有 開放式容器計劃 (OCI) 映像格式規格的 映像
不支援
* 目前不支援 Docker 臨時映射等超級極簡映像
* 公用存放庫
* 指令清單清單
作業系統 支援
* Alpine Linux 3.12-3.19
* Red Hat Enterprise Linux 6-9
* CentOS 6-9 (CentOS 截至 2024 年 6 月 30 日結束生命週期 (EOL)。 如需詳細資訊,請參閱 CentOS 終止服務指導。)
* Oracle Linux 6-9
* Amazon Linux 1,2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google 散發套件 (以 Debian GNU/Linux 7-12 為基礎)
* Ubuntu 12.04-22.04
* Fedora 31-37
* 水手 1-2
* Windows Server 2016、2019、2022
語言專屬套件

支援
*蟒
* Node.js
*。網
*爪哇島
*去

GCP 的 Kubernetes 發行版本/組態支援 - 執行階段威脅防護

層面 詳細資料
Kubernetes 散發套件和設定 支援
* Google Kubernetes Engine (GKE) Standard

透過已啟用 Arc 的 Kubernetes 支援 1 2
* Kubernetes

不支援
* 專用網叢集
* GKE autopilot
* GKE AuthorizedNetworksConfig

1 支援任何雲端原生運算基礎 (CNCF) 認證的 Kubernetes 叢集,但僅限經過測試的指定叢集。

2 若要取得適用於容器的 Microsoft Defender 來保護環境,您必須將已啟用 Azure Arc 的 Kubernetes 上線,並啟用適用於容器的 Defender 作為 Arc 延伸模組。

注意

如需 Kuberenetes 工作負載保護的其他需求,請參閱現有的限制

輸出 Proxy 支援 - GCP

支援沒有驗證的輸出 Proxy 和具有基本驗證的輸出 Proxy。 目前不支援預期受信任憑證的輸出 Proxy

具有 IP 限制的叢集 - GCP

如果您的 GCP 中的 Kubernetes 叢集已啟用控制平面 IP 限制(請參閱新增授權的網路以控制平面存取 |Google Kubernetes Engine (GKE) |Google Cloud ),控制平面的IP限制設定會更新為包含 適用於雲端的 Microsoft Defender CIDR 區塊。

內部部署、已啟用 Arc 的 Kubernetes 叢集

網域 功能 支援的資源 Linux 版本狀態 Windows 版本狀態 無代理程式/感應器型 定價層
安全性狀態管理 Docker CIS 已啟用 Arc 的 VM 預覽​​ - Log Analytics 代理程式 適用於伺服器的 Defender 方案 2
安全性狀態管理 強化控制平面 - - - - -
安全性狀態管理 Kubernetes 資料平面強化 已啟用 Arc 的 K8s 叢集 GA - 適用於 Kubernetes 的 Azure 原則 適用於容器的 Defender
執行階段保護 威脅防護 (控制平面) 已啟用 Arc 的 OpenShift 叢集 預覽 預覽 Defender 感應器 適用於容器的 Defender
執行階段保護 威脅防護 (工作負載) 已啟用 Arc 的 OpenShift 叢集 預覽​​ - Defender 感應器 適用於容器的 Defender
部署和監視 探索未受保護的叢集 已啟用 Arc 的 K8s 叢集 預覽​​ - 無代理程式 免費
部署和監視 Defender 感應器的自動佈建 已啟用 Arc 的 K8s 叢集 預覽 預覽 無代理程式 適用於容器的 Defender
部署和監視 適用於 Kubernetes 的 Azure 原則自動佈建 已啟用 Arc 的 K8s 叢集 預覽​​ - 無代理程式 適用於容器的 Defender

外部容器登錄

網域 功能 支援的資源 Linux 版本狀態 Windows 版本狀態 無代理程式/感應器型 定價層
安全性狀態管理 完整的詳細目錄功能 Docker Hub 、JFrog Artifactory 預覽 預覽 無代理程式 基礎 CSPM 適用於容器的 DefenderDefender CSPM
安全性狀態管理 攻擊路徑分析 Docker Hub 、JFrog Artifactory 預覽 預覽 無代理程式 Defender CSPM
弱點評估 無代理程式登錄掃描 (由 Microsoft Defender 弱點管理提供) 支援的套件 Docker Hub 、JfFrog Artifactory 預覽 預覽 無代理程式 適用於容器的 Defender Defender CSPM
弱點評估 無代理程式/感應器型執行階段 (由 Microsoft Defender 弱點管理提供) 支援的套件 Docker Hub 、JFrog Artifactory 預覽 預覽 無代理程式或/和 Defender 感應器 適用於容器的 Defender Defender CSPM

Kubernetes 散發套件和設定

層面 詳細資料
Kubernetes 散發套件和設定 透過已啟用 Arc 的 Kubernetes 支援 1 2
* Azure Kubernetes Service 混合式
* Azure Red Hat OpenShift
* Red Hat OpenShift (4.6 版或更新版本)

1 支援任何雲端原生運算基礎 (CNCF) 認證的 Kubernetes 叢集,但僅限經過測試的指定叢集。

2 若要取得適用於容器的 Microsoft Defender 來保護環境,您必須將已啟用 Azure Arc 的 Kubernetes 上線,並啟用適用於容器的 Defender 作為 Arc 延伸模組。

注意

如需 Kuberenetes 工作負載保護的其他需求,請參閱現有的限制

支援的主機作業系統

適用於容器的 Defender 有數項功能依賴 Defender 感應器。 只有在下列主機操作系統上,Linux Kernel 5.4 和更新版本才支援 Defender 感測器:

  • Amazon Linux 2
  • CentOS 8 (CentOS 已於 2024 年 6 月 30 日終止服務 (EOL)。 如需詳細資訊,請參閱 CentOS 終止服務指導。)
  • Debian 10
  • Debian 11
  • Google Container-Optimized OS
  • Mariner 1.0
  • Mariner 2.0
  • Red Hat Enterprise Linux 8
  • Ubuntu 16.04
  • Ubuntu 18.04
  • Ubuntu 20.04
  • Ubuntu 22.04

請確定您的 Kubernetes 節點正在其中一個已驗證的作業系統上執行。 具有不支援主機操作系統的叢集不會取得依賴Defender感測器的功能優點。

Defender 感應器限制

Arm64 節點上不支援 AKS V1.28 和以下的 Defender 感應器。

網路限制

輸出 Proxy 支援

支援沒有驗證的輸出 Proxy 和具有基本驗證的輸出 Proxy。 目前不支援預期受信任憑證的輸出 Proxy

下一步