Matice podpory kontejnerů v defenderu pro cloud

Upozornění

Tento článek odkazuje na CentOS, linuxovou distribuci, která je od 30. června 2024 konce životnosti (EOL). Zvažte své použití a plánování odpovídajícím způsobem. Další informace najdete v doprovodných materiálech CentOS End Of Life.

Tento článek shrnuje informace o podpoře pro funkce kontejnerů v programu Microsoft Defender for Cloud.

Poznámka:

  • Konkrétní funkce jsou ve verzi Preview. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
  • Defender for Cloud oficiálně podporuje jenom verze AKS, EKS a GKE podporované dodavatelem cloudu.

Azure

Níže jsou uvedené funkce pro každou z domén v programu Defender for Containers:

Správa stavu zabezpečení

Funkce Popis Podporované prostředky Stav vydání Linuxu Stav vydání Windows Metoda Enablement Senzor Plány Dostupnost cloudů Azure
Zjišťování bez agentů pro Kubernetes Poskytuje nulové nároky na využití, zjišťování clusterů Kubernetes založených na rozhraní API, jejich konfigurace a nasazení. AKS GA GA Povolení zjišťování bez agentů na přepínači Kubernetes Bez agenta Defender for Containers OR Defender – CSPM Komerční cloudy Azure
Komplexní možnosti inventáře Umožňuje zkoumat prostředky, pody, služby, úložiště, image a konfigurace prostřednictvím Průzkumníka zabezpečení a snadno monitorovat a spravovat vaše prostředky. ACR, AKS GA GA Povolení zjišťování bez agentů na přepínači Kubernetes Bez agenta Defender for Containers OR Defender – CSPM Komerční cloudy Azure
Analýza cesty útoku Grafový algoritmus, který prohledá graf zabezpečení cloudu. Kontroly zpřístupňují zneužitelné cesty, které by útočníci mohli použít k narušení vašeho prostředí. ACR, AKS GA GA Aktivováno s plánem Bez agenta CsPM v programu Defender (vyžaduje, aby bylo povolené zjišťování bez agentů pro Kubernetes) Komerční cloudy Azure
Rozšířené proaktivní vyhledávání rizik Umožňuje správcům zabezpečení aktivně vyhledávat problémy s stavem v kontejnerizovaných prostředcích prostřednictvím dotazů (integrovaných a vlastních) a přehledů zabezpečení v Průzkumníku zabezpečení. ACR, AKS GA GA Povolení zjišťování bez agentů na přepínači Kubernetes Bez agenta Defender for Containers OR Defender – CSPM Komerční cloudy Azure
Posílení řídicí roviny Průběžně vyhodnocuje konfigurace vašich clusterů a porovnává je s iniciativami použitými u vašich předplatných. Když najde chybné konfigurace, Defender for Cloud vygeneruje doporučení zabezpečení, která jsou k dispozici na stránce Doporučení pro Defender for Cloud. Doporučení vám umožňují prozkoumat a opravit problémy. ACR, AKS GA GA Aktivováno s plánem Bez agenta Bezplatný Komerční cloudy

Národní cloudy: Azure Government, Azure provozovaný společností 21Vianet
Posílení zabezpečení roviny dat Kubernetes Chraňte úlohy kontejnerů Kubernetes s doporučeními osvědčených postupů. AKS GA - Povolení přepínače Azure Policy pro Kubernetes Azure Policy Bezplatný Komerční cloudy

Národní cloudy: Azure Government, Azure provozovaný společností 21Vianet
Docker CIS Srovnávací test CIS Dockeru Virtuální počítač, škálovací sada virtuálních počítačů GA - Povoleno s plánem Agent Log Analytics Defender for Servers Plan 2 Komerční cloudy

Národní cloudy: Azure Government, Microsoft Azure provozovaný společností 21Vianet

Posouzení ohrožení zabezpečení

Funkce Popis Podporované prostředky Stav vydání Linuxu Stav vydání Windows Metoda Enablement Senzor Plány Dostupnost cloudů Azure
Podporované balíčky pro kontrolu registru bez agentů (s podporou Microsoft Defender Správa zranitelností) Posouzení ohrožení zabezpečení pro image v ACR ACR, privátní ACR GA GA Povolení přepínače posouzení ohrožení zabezpečení bez agentů Bez agenta Defender for Containers nebo CSPM v programu Defender Komerční cloudy

Národní cloudy: Azure Government, Azure provozovaný společností 21Vianet
Podporované balíčky bez agentů nebo modulu runtime založeného na agentech (s podporou Microsoft Defender Správa zranitelností) Posouzení ohrožení zabezpečení pro spouštění imagí v AKS AKS GA GA Povolení přepínače posouzení ohrožení zabezpečení bez agentů Bez agentů (vyžaduje zjišťování bez agentů pro Kubernetes) NEBO/A defender Defender for Containers nebo CSPM v programu Defender Komerční cloudy

Národní cloudy: Azure Government, Azure provozovaný společností 21Vianet

Ochrana před internetovými útoky za běhu

Funkce Popis Podporované prostředky Stav vydání Linuxu Stav vydání Windows Metoda Enablement Senzor Plány Dostupnost cloudů Azure
Řídicí rovina Detekce podezřelé aktivity pro Kubernetes na základě záznamu auditu Kubernetes AKS GA GA Povoleno s plánem Bez agenta Defender pro kontejnery Komerční cloudy

Národní cloudy: Azure Government, Azure provozovaný společností 21Vianet
Úloha Detekce podezřelé aktivity pro Kubernetes pro úroveň clusteru, úroveň uzlu a úroveň úloh AKS GA - Povolení senzoru Defenderu v Azure nebo nasazení senzorů Defenderu na jednotlivé clustery Senzor defenderu Defender pro kontejnery Komerční cloudy

Národní cloudy: Azure Government, Azure China 21Vianet

Nasazení a monitorování

Funkce Popis Podporované prostředky Stav vydání Linuxu Stav vydání Windows Metoda Enablement Senzor Plány Dostupnost cloudů Azure
Zjišťování nechráněných clusterů Zjišťování clusterů Kubernetes s chybějícími senzory Defenderu AKS GA GA Povoleno s plánem Bez agenta Bezplatný Komerční cloudy

Národní cloudy: Azure Government, Azure provozovaný společností 21Vianet
Automatické zřizování senzoru Defenderu Automatické nasazení senzoru Defenderu AKS GA - Přepínač Povolení senzoru Defenderu v Azure Bez agenta Defender pro kontejnery Komerční cloudy

Národní cloudy: Azure Government, Azure provozovaný společností 21Vianet
Automatické zřizování Azure Policy pro Kubernetes Automatické nasazení senzoru zásad Azure pro Kubernetes AKS GA - Povolení přepínače Azure Policy pro Kubernetes Bez agenta Bezplatný Komerční cloudy

Národní cloudy: Azure Government, Azure provozovaný společností 21Vianet

Podpora registrů a imagí pro Azure – Posouzení ohrožení zabezpečení s využitím Microsoft Defender Správa zranitelností

Aspekt Detaily
Registry a image Podporuje se
• Registry ACR
Registry ACR chráněné službou Azure Private Link (privátní registry vyžadují přístup k důvěryhodným službám)
• Image kontejnerů ve formátu Docker V2
• Image se specifikací formátu image Open Container Initiative (OCI)
Nepodporuje se
• Super-minimalistické obrázky, jako jsou pomocné image Dockeru
je momentálně nepodporovaný.
Operační systémy Podporuje se
• Alpine Linux 3.12-3.19
• Red Hat Enterprise Linux 6-9
• CentOS 6-9. (CentOS je konec životnosti (EOL) od 30. června 2024. Další informace najdete v doprovodných materiálech CentOS End Of Life.)
• Oracle Linux 6-9
• Amazon Linux 1, 2
• openSUSE Leap, openSUSE Tumbleweed
• SUSE Enterprise Linux 11-15
• Debian GNU/Linux 7-12
• Google Distroless (založený na Debian GNU/Linux 7-12)
• Ubuntu 12.04-22.04
• Fedora 31-37
• Mariner 1-2
• Windows Server 2016, 2019, 2022
Balíčky specifické pro jazyk

Podporuje se
•Krajta
• Node.js
•.SÍŤ
•JAVA
•Jít

Distribuce a konfigurace Kubernetes pro Azure – Ochrana před internetovými útoky za běhu

Aspekt Detaily
Distribuce a konfigurace Kubernetes Podporuje se
Azure Kubernetes Service (AKS) s RBAC Kubernetes

Podporováno prostřednictvím Kubernetes s podporou Arc 1 2
Hybridní služba Azure Kubernetes Service
Kubernetes
Modul AKS
Azure Red Hat OpenShift

1 Všechny clustery Kubernetes s certifikací CLOUD Native Computing Foundation (CNCF) by se měly podporovat, ale v Azure byly testovány pouze zadané clustery.

2 Pokud chcete získat ochranu Microsoft Defenderu pro kontejnery pro vaše prostředí, musíte nasadit Kubernetes s podporou Azure Arc a povolit Defender for Containers jako rozšíření Arc.

Poznámka:

Další požadavky na ochranu úloh Kubernetes najdete v existujících omezeních.

AWS

Doména Funkce Podporované prostředky Stav vydání Linuxu Stav vydání Windows Bez agentů nebo senzory Cenová úroveň
Správa stavu zabezpečení Zjišťování bez agentů pro Kubernetes EKS GA GA Bez agenta Defender for Containers OR Defender – CSPM
Správa stavu zabezpečení Komplexní možnosti inventáře ECR, EKS GA GA Bez agenta Defender for Containers OR Defender – CSPM
Správa stavu zabezpečení Analýza cesty útoku ECR, EKS GA GA Bez agenta Defender CSPM
Správa stavu zabezpečení Rozšířené proaktivní vyhledávání rizik ECR, EKS GA GA Bez agenta Defender for Containers OR Defender – CSPM
Správa stavu zabezpečení Docker CIS EC2 GA - Agent Log Analytics Defender for Servers Plan 2
Správa stavu zabezpečení Posílení řídicí roviny - - - - -
Správa stavu zabezpečení Posílení zabezpečení roviny dat Kubernetes EKS GA - Azure Policy pro Kubernetes Defender pro kontejnery
Posouzení ohrožení zabezpečení Podporované balíčky pro kontrolu registru bez agentů (s podporou Microsoft Defender Správa zranitelností) ECR GA GA Bez agenta Defender for Containers nebo CSPM v programu Defender
Posouzení ohrožení zabezpečení Podporované balíčky bez agenta nebo modul runtime založené na senzorech (s podporou Microsoft Defender Správa zranitelností) EKS GA GA Snímač bez agentů NEBO/AND Defender Defender for Containers nebo CSPM v programu Defender
Ochrana za běhu Řídicí rovina EKS GA GA Bez agenta Defender pro kontejnery
Ochrana za běhu Úloha EKS GA - Senzor defenderu Defender pro kontejnery
Nasazení a monitorování Zjišťování nechráněných clusterů EKS GA GA Bez agenta Defender pro kontejnery
Nasazení a monitorování Automatické zřizování senzoru Defenderu EKS GA - - -
Nasazení a monitorování Automatické zřizování služby Azure Policy pro Kubernetes EKS GA - - -

Podpora registrů a imagí pro AWS – posouzení ohrožení zabezpečení s využitím Microsoft Defender Správa zranitelností

Aspekt Detaily
Registry a image Podporuje se
• Registry ECR
• Image kontejnerů ve formátu Docker V2
• Image se specifikací formátu image Open Container Initiative (OCI)
Nepodporuje se
• V současné době se nepodporují super minimalistické image, jako jsou pomocné image Dockeru.
• Veřejná úložiště
• Seznamy manifestů
Operační systémy Podporuje se
• Alpine Linux 3.12-3.19
• Red Hat Enterprise Linux 6-9
• CentOS 6-9 (CentOS je konec životnosti (EOL) od 30. června 2024. Další informace najdete v doprovodných materiálech CentOS End Of Life.)
• Oracle Linux 6-9
• Amazon Linux 1, 2
• openSUSE Leap, openSUSE Tumbleweed
• SUSE Enterprise Linux 11-15
• Debian GNU/Linux 7-12
• Google Distroless (založený na Debian GNU/Linux 7-12)
• Ubuntu 12.04-22.04
• Fedora 31-37
• Mariner 1-2
• Windows Server 2016, 2019, 2022
Balíčky specifické pro jazyk

Podporuje se
•Krajta
• Node.js
•.SÍŤ
•JAVA
•Jít

Podpora distribucí a konfigurací Kubernetes pro AWS – Ochrana před internetovými útoky za běhu

Aspekt Detaily
Distribuce a konfigurace Kubernetes Podporuje se
Amazon Elastic Kubernetes Service (EKS)

Podporováno prostřednictvím Kubernetes s podporou Arc 1 2
Kubernetes
Nepodporuje se
• Privátní clustery EKS

1 Všechny clustery Kubernetes certifikované pro CLOUD Native Computing Foundation (CNCF) by se měly podporovat, ale testovaly se pouze zadané clustery.

2 Pokud chcete získat ochranu Microsoft Defenderu pro kontejnery pro vaše prostředí, musíte nasadit Kubernetes s podporou Azure Arc a povolit Defender for Containers jako rozšíření Arc.

Poznámka:

Další požadavky na ochranu úloh Kubernetes najdete v existujících omezeních.

Podpora odchozího proxy serveru – AWS

Odchozí proxy server bez ověřování a odchozí proxy server se základním ověřováním jsou podporovány. Odchozí proxy server, který očekává důvěryhodné certifikáty, není v současné době podporován.

Clustery s omezeními IP adres – AWS

Pokud má váš cluster Kubernetes v AWS povolené omezení IP roviny řízení (viz Řízení přístupu ke koncovému bodu clusteru Amazon EKS – Amazon EKS), aktualizuje se konfigurace omezení IP řídicí roviny tak, aby zahrnovala blok CIDR programu Microsoft Defender for Cloud.

GCP

Doména Funkce Podporované prostředky Stav vydání Linuxu Stav vydání Windows Bez agentů nebo senzory Cenová úroveň
Správa stavu zabezpečení Zjišťování bez agentů pro Kubernetes GKE GA GA Bez agenta Defender for Containers OR Defender – CSPM
Správa stavu zabezpečení Komplexní možnosti inventáře GAR, GCR, GKE GA GA Bez agenta Defender for Containers OR Defender – CSPM
Správa stavu zabezpečení Analýza cesty útoku GAR, GCR, GKE GA GA Bez agenta Defender CSPM
Správa stavu zabezpečení Rozšířené proaktivní vyhledávání rizik GAR, GCR, GKE GA GA Bez agenta Defender for Containers OR Defender – CSPM
Správa stavu zabezpečení Docker CIS Virtuální počítače GCP GA - Agent Log Analytics Defender for Servers Plan 2
Správa stavu zabezpečení Posílení řídicí roviny GKE GA GA Bez agenta Bezplatný
Správa stavu zabezpečení Posílení zabezpečení roviny dat Kubernetes GKE GA - Azure Policy pro Kubernetes Defender pro kontejnery
Posouzení ohrožení zabezpečení Podporované balíčky pro kontrolu registru bez agentů (s podporou Microsoft Defender Správa zranitelností) GAR, GCR GA GA Bez agenta Defender for Containers nebo CSPM v programu Defender
Posouzení ohrožení zabezpečení Podporované balíčky bez agenta nebo modul runtime založené na senzorech (s podporou Microsoft Defender Správa zranitelností) GKE GA GA Snímač bez agentů NEBO/AND Defender Defender for Containers nebo CSPM v programu Defender
Ochrana za běhu Řídicí rovina GKE GA GA Bez agenta Defender pro kontejnery
Ochrana za běhu Úloha GKE GA - Senzor defenderu Defender pro kontejnery
Nasazení a monitorování Zjišťování nechráněných clusterů GKE GA GA Bez agenta Defender pro kontejnery
Nasazení a monitorování Automatické zřizování senzoru Defenderu GKE GA - Bez agenta Defender pro kontejnery
Nasazení a monitorování Automatické zřizování služby Azure Policy pro Kubernetes GKE GA - Bez agenta Defender pro kontejnery

Podpora registrů a imagí pro GCP – Posouzení ohrožení zabezpečení s využitím Microsoft Defender Správa zranitelností

Aspekt Detaily
Registry a image Podporuje se
• Registry Google (GAR, GCR)
• Image kontejnerů ve formátu Docker V2
• Image se specifikací formátu image Open Container Initiative (OCI)
Nepodporuje se
• V současné době se nepodporují super minimalistické image, jako jsou pomocné image Dockeru.
• Veřejná úložiště
• Seznamy manifestů
Operační systémy Podporuje se
• Alpine Linux 3.12-3.19
• Red Hat Enterprise Linux 6-9
• CentOS 6-9 (CentOS je konec životnosti (EOL) od 30. června 2024. Další informace najdete v doprovodných materiálech CentOS End Of Life.)
• Oracle Linux 6-9
• Amazon Linux 1, 2
• openSUSE Leap, openSUSE Tumbleweed
• SUSE Enterprise Linux 11-15
• Debian GNU/Linux 7-12
• Google Distroless (založený na Debian GNU/Linux 7-12)
• Ubuntu 12.04-22.04
• Fedora 31-37
• Mariner 1-2
• Windows Server 2016, 2019, 2022
Balíčky specifické pro jazyk

Podporuje se
•Krajta
• Node.js
•.SÍŤ
•JAVA
•Jít

Podpora distribucí a konfigurací Kubernetes pro GCP – Ochrana před hrozbami za běhu

Aspekt Detaily
Distribuce a konfigurace Kubernetes Podporuje se
Google Kubernetes Engine (GKE) Standard

Podporováno prostřednictvím Kubernetes s podporou Arc 1 2
Kubernetes

Nepodporuje se
• Clustery privátní sítě
• GKE Autopilot
• GKE AuthorizedNetworksConfig

1 Všechny clustery Kubernetes certifikované pro CLOUD Native Computing Foundation (CNCF) by se měly podporovat, ale testovaly se pouze zadané clustery.

2 Pokud chcete získat ochranu Microsoft Defenderu pro kontejnery pro vaše prostředí, musíte nasadit Kubernetes s podporou Azure Arc a povolit Defender for Containers jako rozšíření Arc.

Poznámka:

Další požadavky na ochranu úloh Kubernetes najdete v existujících omezeních.

Podpora odchozího proxy serveru – GCP

Odchozí proxy server bez ověřování a odchozí proxy server se základním ověřováním jsou podporovány. Odchozí proxy server, který očekává důvěryhodné certifikáty, není v současné době podporován.

Clustery s omezeními IP adres – GCP

Pokud má váš cluster Kubernetes v GCP povolená omezení IP roviny řízení (viz Přidání autorizovaných sítí pro přístup k řídicí rovině | Google Kubernetes Engine (GKE) | Google Cloud ), konfigurace omezení IP řídicí roviny se aktualizuje tak, aby zahrnovala blok CIDR programu Microsoft Defender for Cloud.

Místní clustery Kubernetes s podporou arc

Doména Funkce Podporované prostředky Stav vydání Linuxu Stav vydání Windows Bez agentů nebo senzory Cenová úroveň
Správa stavu zabezpečení Docker CIS Virtuální počítače s podporou arc Preview - Agent Log Analytics Defender for Servers Plan 2
Správa stavu zabezpečení Posílení řídicí roviny - - - - -
Správa stavu zabezpečení Posílení zabezpečení roviny dat Kubernetes Clustery K8s s podporou arc GA - Azure Policy pro Kubernetes Defender pro kontejnery
Ochrana za běhu Ochrana před hrozbami (řídicí rovina) Clustery K8s s podporou arc Preview Preview Senzor defenderu Defender pro kontejnery
Ochrana za běhu Ochrana před hrozbami (úloha) Clustery K8s s podporou arc Preview - Senzor defenderu Defender pro kontejnery
Nasazení a monitorování Zjišťování nechráněných clusterů Clustery K8s s podporou arc Preview - Bez agenta Bezplatný
Nasazení a monitorování Automatické zřizování senzoru Defenderu Clustery K8s s podporou arc Preview Preview Bez agenta Defender pro kontejnery
Nasazení a monitorování Automatické zřizování služby Azure Policy pro Kubernetes Clustery K8s s podporou arc Preview - Bez agenta Defender pro kontejnery

Externí registry kontejnerů

Doména Funkce Podporované prostředky Stav vydání Linuxu Stav vydání Windows Bez agentů nebo senzory Cenová úroveň
Správa stavu zabezpečení Komplexní možnosti inventáře Docker Hub Preview Preview Bez agenta Základní CSPM OR Defender for Containers NEBO CSPM
Správa stavu zabezpečení Analýza cesty útoku Docker Hub Preview Preview Bez agenta Defender CSPM
Posouzení ohrožení zabezpečení Podporované balíčky pro kontrolu registru bez agentů (s podporou Microsoft Defender Správa zranitelností) Docker Hub Preview Preview Bez agenta Defender for Containers OR Defender – CSPM
Posouzení ohrožení zabezpečení Podporované balíčky bez agenta nebo modul runtime založené na senzorech (s podporou Microsoft Defender Správa zranitelností) Docker Hub Preview Preview Snímač bez agentů NEBO/AND Defender Defender for Containers OR Defender – CSPM

Distribuce a konfigurace Kubernetes

Aspekt Detaily
Distribuce a konfigurace Kubernetes Podporováno prostřednictvím Kubernetes s podporou Arc 1 2
Hybridní služba Azure Kubernetes Service
Kubernetes
Modul AKS
Azure Red Hat OpenShift
Red Hat OpenShift (verze 4.6 nebo novější)
VMware Tanzu Kubernetes Grid
Modul Rancher Kubernetes

1 Všechny clustery Kubernetes certifikované pro CLOUD Native Computing Foundation (CNCF) by se měly podporovat, ale testovaly se pouze zadané clustery.

2 Pokud chcete získat ochranu Microsoft Defenderu pro kontejnery pro vaše prostředí, musíte nasadit Kubernetes s podporou Azure Arc a povolit Defender for Containers jako rozšíření Arc.

Poznámka:

Další požadavky na ochranu úloh Kubernetes najdete v existujících omezeních.

Podporované hostitelské operační systémy

Defender for Containers využívá senzor Defenderu pro několik funkcí. Senzor Defenderu je podporovaný v následujících hostitelských operačních systémech:

  • Amazon Linux 2
  • CentOS 8 (CentOS je konec životnosti (EOL) od 30. června 2024. Další informace najdete v doprovodných materiálech CentOS End Of Life.)
  • Debian 10
  • Debian 11
  • Operační systém optimalizovaný pro kontejnery Google
  • Mariner 1.0
  • Mariner 2.0
  • Red Hat Enterprise Linux 8
  • Ubuntu 16.04
  • Ubuntu 18.04
  • Ubuntu 20.04
  • Ubuntu 22.04

Ujistěte se, že váš uzel Kubernetes běží na jednom z ověřených podporovaných operačních systémů. Clustery s různými hostitelskými operačními systémy získají pouze částečné pokrytí.

Omezení senzoru Defenderu

Senzor Defenderu v AKS V1.28 a níže není na uzlech Arm64 podporovaný.

Omezení sítě

Podpora odchozího proxy serveru

Odchozí proxy server bez ověřování a odchozí proxy server se základním ověřováním jsou podporovány. Odchozí proxy server, který očekává důvěryhodné certifikáty, není v současné době podporován.

Další kroky