Container unterstützen Matrix in Defender for Cloud
Achtung
Dieser Artikel bezieht sich auf CentOS, eine Linux-Distribution, deren Dienstende (End-of-Life, EOL) am 30. Juni 2024 ist. Sie sollten Ihre Nutzung entsprechend planen. Weitere Informationen finden Sie im CentOS End-of-Life-Leitfaden.
In diesem Artikel werden Supportinformationen für Containerfunktionen in Microsoft Defender für Cloud zusammengefasst.
Hinweis
- Bestimmte Features befinden sich in der Vorschauphase. Die ergänzenden Bestimmungen für Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
- Nur die vom Cloudanbieter unterstützten Versionen von AKS, EKS und GKE werden offiziell von Defender für Cloud unterstützt.
Azure
Im Folgenden sind die Features für jede der Domänen in Defender für Container aufgeführt:
Sicherheitsstatusverwaltung
Funktion | Beschreibung | Unterstützte Ressourcen | Linux-Releasestatus | Windows-Releasestatus | Aktivierungsmethoden | Sensor | Pläne | Verfügbarkeit von Azure-Clouds |
---|---|---|---|---|---|---|---|---|
Ermittlung ohne Agents für Kubernetes | Bietet eine API-basierte Ermittlung ohne Speicherbedarf für Kubernetes-Cluster sowie für die zugehörigen Konfigurationen und Bereitstellungen. | AKS | Allgemein verfügbar | Allgemein verfügbar | Aktivieren Sie die Option Ermittlung ohne Agents für Kubernetes. | Ohne Agents | Defender for Containers ODER Defender CSPM | Kommerzielle Azure-Clouds |
Umfassende Bestandsfunktionen | Ermöglicht es Ihnen, Ressourcen, Pods, Dienste, Repositorys, Images und Konfigurationen über den Sicherheits-Explorer zu erkunden, um Ihre Ressourcen mühelos zu überwachen und zu verwalten. | ACR, AKS | Allgemein verfügbar | Allgemein verfügbar | Aktivieren Sie die Option Ermittlung ohne Agents für Kubernetes. | Ohne Agents | Defender for Containers ODER Defender CSPM | Kommerzielle Azure-Clouds |
Angriffspfadanalyse | Ein graphbasierter Algorithmus, der das Cloudsicherheitsdiagramm überprüft. Die Scans machen nutzbare Pfade verfügbar, die Angreifer möglicherweise verwenden, um in Ihre Umgebung einzudringen. | ACR, AKS | Allgemein verfügbar | Allgemein verfügbar | Durch Plan aktiviert | Ohne Agents | Defender CSPM (erfordert Aktivieren der agentenlosen Discovery für Kubernetes) | Kommerzielle Azure-Clouds |
Erweiterte Risikosuche | Ermöglicht es Sicherheitsadministrator*innen, mithilfe von (integrierten und benutzerdefinierten) Abfragen sowie über Einblicke in die Sicherheit im Sicherheits-Explorer aktiv nach Statusproblemen in ihren containerisierten Ressourcen zu suchen. | ACR, AKS | Allgemein verfügbar | Allgemein verfügbar | Aktivieren Sie die Option Ermittlung ohne Agents für Kubernetes. | Ohne Agents | Defender for Containers ODER Defender CSPM | Kommerzielle Azure-Clouds |
Härten der Steuerungsebene | Bewertet kontinuierlich die Konfigurationen Ihrer Cluster und vergleicht sie mit den Initiativen, die auf Ihre Abonnements angewendet wurden. Wenn Defender für Cloud Fehlkonfigurationen feststellt, generiert es Sicherheitsempfehlungen, die auf der Seite „Empfehlungen“ von Defender für Cloud verfügbar sind. Die Empfehlungen ermöglichen Ihnen, Probleme zu untersuchen und zu beheben. | ACR, AKS | Allgemein verfügbar | Allgemein verfügbar | Durch Plan aktiviert | Ohne Agents | Kostenlos | Kommerzielle Clouds Nationale Clouds: Azure Government, Azure, betrieben von by 21Vianet |
Härten der Kubernetes-Datenebene | Schützen Sie Workloads Ihrer Kubernetes-Container mit empfohlenen bewährten Methoden. | AKS | Allgemein verfügbar | - | Aktivieren Sie die Option Azure Policy für Kubernetes. | Azure Policy | Kostenlos | Kommerzielle Clouds Nationale Clouds: Azure Government, Azure, betrieben von by 21Vianet |
Docker CIS | Docker CIS-Benchmark | VM, VM-Skalierungsgruppe | Allgemein verfügbar | - | Durch Plan aktiviert | Log Analytics-Agent | Defender für Server-Plan 2 | Kommerzielle Clouds Nationale Clouds: Azure Government, Microsoft Azure, betrieben von by 21Vianet |
Sicherheitsrisikobewertung
Funktion | Beschreibung | Unterstützte Ressourcen | Linux-Releasestatus | Windows-Releasestatus | Aktivierungsmethoden | Sensor | Pläne | Verfügbarkeit von Azure-Clouds |
---|---|---|---|---|---|---|---|---|
Agentenloser Registrierungsscan (unterstützt von Microsoft Defender Vulnerability Management) unterstützte Pakete | Sicherheitsrisikobewertung für Images in ACR | ACR, Private ACR | Allgemein verfügbar | Allgemein verfügbar | Aktivieren Sie die Option Sicherheitsrisikobewertung ohne Agent für Container. | Ohne Agents | Defender for Containers oder Defender CSPM | Kommerzielle Clouds Nationale Clouds: Azure Government, Azure, betrieben von by 21Vianet |
Runtime ohne/mit Agent (unterstützt von Microsoft Defender Vulnerability Management) unterstützte Pakete | Sicherheitsrisikobewertung für ausgeführte Images in AKS | AKS | Allgemein verfügbar | Allgemein verfügbar | Aktivieren Sie die Option Sicherheitsrisikobewertung ohne Agent für Container. | Agentless (erfordert agentenlose Discovery für Kubernetes) ODER/UND Defender-Sensor | Defender for Containers oder Defender CSPM | Kommerzielle Clouds Nationale Clouds: Azure Government, Azure, betrieben von by 21Vianet |
Runtime-Bedrohungsschutz
Funktion | Beschreibung | Unterstützte Ressourcen | Linux-Releasestatus | Windows-Releasestatus | Aktivierungsmethoden | Sensor | Pläne | Verfügbarkeit von Azure-Clouds |
---|---|---|---|---|---|---|---|---|
Steuerungsebene | Erkennung verdächtiger Aktivitäten für Kubernetes basierend auf Kubernetes-Überwachungspfad | AKS | Allgemein verfügbar | Allgemein verfügbar | Durch Plan aktiviert | Ohne Agents | Defender für Container | Kommerzielle Clouds Nationale Clouds: Azure Government, Azure, betrieben von by 21Vianet |
Workload | Erkennung verdächtiger Aktivitäten für Kubernetes auf Cluster-, Knoten- und Workloadebene | AKS | Allgemein verfügbar | - | Aktivieren Sie die Option Defender Sensor in Azure, ODER stellen Sie die Defender-Sensoren in einzelnen Clustern bereit | Defender-Sensor | Defender für Container | Kommerzielle Clouds Nationale Clouds: Azure Government, Azure China 21Vianet |
Bereitstellung & Überwachung
Funktion | Beschreibung | Unterstützte Ressourcen | Linux-Releasestatus | Windows-Releasestatus | Aktivierungsmethoden | Sensor | Pläne | Verfügbarkeit von Azure-Clouds |
---|---|---|---|---|---|---|---|---|
Ermittlung von nicht geschützten Clustern | Entdecken von Kubernetes-Clustern mit fehlenden Defender-Sensoren | AKS | Allgemein verfügbar | Allgemein verfügbar | Durch Plan aktiviert | Ohne Agents | Kostenlos | Kommerzielle Clouds Nationale Clouds: Azure Government, Azure, betrieben von by 21Vianet |
Automatische Bestimmung des Defender-Sensors | Automatische Bereitstellung des Defender-Sensors | AKS | Allgemein verfügbar | - | Aktivieren der Umschaltfläche Defender Sensor in Azure | Ohne Agents | Defender für Container | Kommerzielle Clouds Nationale Clouds: Azure Government, Azure, betrieben von by 21Vianet |
Automatische Bereitstellung von Azure Policy für Kubernetes | Automatische Bereitstellung des Azure Policy-Sensors für Kubernetes | AKS | Allgemein verfügbar | - | Aktivieren Sie die Option Azure Policy für Kubernetes. | Ohne Agents | Kostenlos | Kommerzielle Clouds Nationale Clouds: Azure Government, Azure, betrieben von by 21Vianet |
Unterstützung für Registrierungen und Bilder für Azure – Sicherheitsrisikobewertung, unterstützt von Microsoft Defender Vulnerability Management
Aspekt | Details |
---|---|
Registrierungen und Images | Unterstützt * ACR-Registrierungen * ACR-Registrierungen, die mit Azure Private Link geschützt sind (Private Registrierungen benötigen Zugriff auf vertrauenswürdige Dienste) * Containerimages im Docker V2-Format * Images mit der Spezifikation für das Imageformat Open Container Initiative (OCI) Nicht unterstützt * Superminimalistische Images wie Docker-Scratch-Images wird derzeit nicht unterstützt |
Betriebssysteme | Unterstützt * Alpine Linux 3.12–3.19 * Red Hat Enterprise Linux 6–9 * CentOS 6–9 (CentOS erreicht sein Dienstende (End-of-Life, EOL) am 30. Juni 2024. Weitere Informationen finden Sie im Leitfaden zum Dienstende von CentOS.) * Oracle Linux 6–9 * Amazon Linux 1, 2 * openSUSE Leap, openSUSE Tumbleweed * SUSE Enterprise Linux 11–15 * Debian GNU/Linux 7–12 * Google Distroless (basierend auf Debian GNU/Linux 7–12) * Ubuntu 12.04–22.04 * Fedora 31–37 * Mariner 1–2 * Windows Server 2016, 2019, 2022 |
Sprachspezifische Pakete |
Unterstützt * Python * Node.js * .NET * JAVA * Go |
Kubernetes-Verteilungen und Konfigurationen für Azure – Runtime-Bedrohungsschutz
Aspekt | Details |
---|---|
Kubernetes-Verteilungen und -Konfigurationen | Unterstützt * Azure Kubernetes Service (AKS) mit Kubernetes RBAC Unterstützt von Kubernetes mit Arc-Unterstützung 1 2 * Azure Kubernetes Service hybrid * Kubernetes * AKS-Engine * Azure Red Hat OpenShift |
1 Alle durch Cloud Native Computing Foundation (CNCF) zertifizierten Kubernetes-Cluster sollten unterstützt werden, allerdings wurden nur die angegebenen Cluster in Azure getestet.
2 Um den Schutz von Microsoft Defender for Containers für Ihre Umgebungen zu erhalten, müssen Sie ein Onboarding für Kubernetes mit Azure Arc-Unterstützung durchführen und Defender for Containers als Arc-Erweiterung aktivieren.
Hinweis
Weitere Anforderungen für den Kubernetes-Workloadschutz finden Sie unter Vorhandene Einschränkungen.
AWS
Domäne | Funktion | Unterstützte Ressourcen | Linux-Releasestatus | Windows-Releasestatus | Agentenlos/Sensorbasiert | Tarif |
---|---|---|---|---|---|---|
Sicherheitsstatusverwaltung | Ermittlung ohne Agents für Kubernetes | EKS | Allgemein verfügbar | Allgemein verfügbar | Ohne Agents | Defender for Containers ODER Defender CSPM |
Sicherheitsstatusverwaltung | Umfassende Bestandsfunktionen | ECR, EKS | Allgemein verfügbar | Allgemein verfügbar | Ohne Agents | Defender for Containers ODER Defender CSPM |
Sicherheitsstatusverwaltung | Angriffspfadanalyse | ECR, EKS | Allgemein verfügbar | Allgemein verfügbar | Ohne Agents | Defender CSPM |
Sicherheitsstatusverwaltung | Erweiterte Risikosuche | ECR, EKS | Allgemein verfügbar | Allgemein verfügbar | Ohne Agents | Defender for Containers ODER Defender CSPM |
Sicherheitsstatusverwaltung | Docker CIS | EC2 | Allgemein verfügbar | - | Log Analytics-Agent | Defender für Server-Plan 2 |
Sicherheitsstatusverwaltung | Härten der Steuerungsebene | - | - | - | - | - |
Sicherheitsstatusverwaltung | Härten der Kubernetes-Datenebene | EKS | Allgemein verfügbar | - | Azure Policy für Kubernetes | Defender für Container |
Sicherheitsrisikobewertung | Agentenloser Registrierungsscan (unterstützt von Microsoft Defender Vulnerability Management) unterstützte Pakete | ECR | Allgemein verfügbar | Allgemein verfügbar | Ohne Agents | Defender for Containers oder Defender CSPM |
Sicherheitsrisikobewertung | Runtime ohne/mit Sensor (unterstützt von Microsoft Defender Vulnerability Management) unterstützte Pakete | EKS | Allgemein verfügbar | Allgemein verfügbar | Agentenlos ODER/UND Defender-Sensor | Defender for Containers oder Defender CSPM |
Laufzeitschutz | Steuerungsebene | EKS | Allgemein verfügbar | Allgemein verfügbar | Ohne Agents | Defender für Container |
Laufzeitschutz | Workload | EKS | Allgemein verfügbar | - | Defender-Sensor | Defender für Container |
Bereitstellung & Überwachung | Ermittlung von nicht geschützten Clustern | EKS | Allgemein verfügbar | Allgemein verfügbar | Ohne Agents | Defender für Container |
Bereitstellung & Überwachung | Automatische Bereitstellung des Defender-Sensor | EKS | Allgemein verfügbar | - | - | - |
Bereitstellung & Überwachung | Automatische Bereitstellung von Azure Policy für Kubernetes | EKS | Allgemein verfügbar | - | - | - |
Unterstützung von Registrierungen und Images für AWS – Sicherheitsrisikobewertung, unterstützt von Microsoft Defender Vulnerability Management
Aspekt | Details |
---|---|
Registrierungen und Images | Unterstützt * ECR-Registrierungen * Containerimages im Docker V2-Format * Images mit der Spezifikation für das Imageformat Open Container Initiative (OCI) Nicht unterstützt * Super-minimalistische Images wie Docker Scratch-Images werden derzeit nicht unterstützt * Öffentliche Repositorys * Manifestlisten |
Betriebssysteme | Unterstützt * Alpine Linux 3.12–3.19 * Red Hat Enterprise Linux 6–9 * CentOS 6–9 (CentOS erreicht sein Dienstende (End-of-Life, EOL) am 30. Juni 2024. Weitere Informationen finden Sie im Leitfaden zum Dienstende von CentOS.) * Oracle Linux 6–9 * Amazon Linux 1, 2 * openSUSE Leap, openSUSE Tumbleweed * SUSE Enterprise Linux 11–15 * Debian GNU/Linux 7–12 * Google Distroless (basierend auf Debian GNU/Linux 7–12) * Ubuntu 12.04–22.04 * Fedora 31–37 * Mariner 1–2 * Windows Server 2016, 2019, 2022 |
Sprachspezifische Pakete |
Unterstützt * Python * Node.js * .NET * JAVA * Go |
Kubernetes-Verteilungs-/Konfigurationsunterstützung für AWS – Runtime-Bedrohungsschutz
Aspekt | Details |
---|---|
Kubernetes-Verteilungen und -Konfigurationen | Unterstützt * Amazon Elastic Kubernetes Service (EKS) Unterstützt von Kubernetes mit Arc-Unterstützung 1 2 * Kubernetes Nicht unterstützt * Private EKS-Cluster |
1Alle von der Cloud Native Computing Foundation (CNCF) zertifizierten Kubernetes-Cluster sollten unterstützt werden, aber nur die angegebenen Cluster wurden getestet.
2 Um den Schutz von Microsoft Defender for Containers für Ihre Umgebungen zu erhalten, müssen Sie ein Onboarding für Kubernetes mit Azure Arc-Unterstützung durchführen und Defender for Containers als Arc-Erweiterung aktivieren.
Hinweis
Weitere Anforderungen für den Kubernetes-Workloadschutz finden Sie unter Vorhandene Einschränkungen.
Unterstützung für ausgehende Proxys – AWS
Proxys für ausgehenden Datenverkehr ohne Authentifizierung und mit Standardauthentifizierung werden unterstützt. Proxys für ausgehenden Datenverkehr, von denen Zertifikate erwartet werden, werden aktuell nicht unterstützt.
Cluster mit IP-Einschränkungen – AWS
Wenn Ihr Kubernetes-Cluster in AWS Steuerungsebenen-IP-Einschränkungen aktiviert hat (siehe Amazon EKS-Cluster-Zugriffssteuerung – Amazon EKS), wird die IP-Einschränkungskonfiguration der Steuerungsebene aktualisiert, um den CIDR-Block von Microsoft Defender for Cloud einzuschließen.
GCP
Domäne | Funktion | Unterstützte Ressourcen | Linux-Releasestatus | Windows-Releasestatus | Agentenlos/Sensorbasiert | Tarif |
---|---|---|---|---|---|---|
Sicherheitsstatusverwaltung | Ermittlung ohne Agents für Kubernetes | GKE | Allgemein verfügbar | Allgemein verfügbar | Ohne Agents | Defender for Containers ODER Defender CSPM |
Sicherheitsstatusverwaltung | Umfassende Bestandsfunktionen | GAR, GCR, GKE | Allgemein verfügbar | Allgemein verfügbar | Ohne Agents | Defender for Containers ODER Defender CSPM |
Sicherheitsstatusverwaltung | Angriffspfadanalyse | GAR, GCR, GKE | Allgemein verfügbar | Allgemein verfügbar | Ohne Agents | Defender CSPM |
Sicherheitsstatusverwaltung | Erweiterte Risikosuche | GAR, GCR, GKE | Allgemein verfügbar | Allgemein verfügbar | Ohne Agents | Defender for Containers ODER Defender CSPM |
Sicherheitsstatusverwaltung | Docker CIS | GCP-VMs | Allgemein verfügbar | - | Log Analytics-Agent | Defender für Server-Plan 2 |
Sicherheitsstatusverwaltung | Härten der Steuerungsebene | GKE | Allgemein verfügbar | Allgemein verfügbar | Ohne Agents | Kostenlos |
Sicherheitsstatusverwaltung | Härten der Kubernetes-Datenebene | GKE | Allgemein verfügbar | - | Azure Policy für Kubernetes | Defender für Container |
Sicherheitsrisikobewertung | Agentenloser Registrierungsscan (unterstützt von Microsoft Defender Vulnerability Management) unterstützte Pakete | GAR, GCR | Allgemein verfügbar | Allgemein verfügbar | Ohne Agents | Defender for Containers oder Defender CSPM |
Sicherheitsrisikobewertung | Runtime ohne/mit Sensor (unterstützt von Microsoft Defender Vulnerability Management) unterstützte Pakete | GKE | Allgemein verfügbar | Allgemein verfügbar | Agentenlos ODER/UND Defender-Sensor | Defender for Containers oder Defender CSPM |
Laufzeitschutz | Steuerungsebene | GKE | Allgemein verfügbar | Allgemein verfügbar | Ohne Agents | Defender für Container |
Laufzeitschutz | Workload | GKE | Allgemein verfügbar | - | Defender-Sensor | Defender für Container |
Bereitstellung & Überwachung | Ermittlung von nicht geschützten Clustern | GKE | Allgemein verfügbar | Allgemein verfügbar | Ohne Agents | Defender für Container |
Bereitstellung & Überwachung | Automatische Bereitstellung des Defender-Sensor | GKE | Allgemein verfügbar | - | Ohne Agents | Defender für Container |
Bereitstellung & Überwachung | Automatische Bereitstellung von Azure Policy für Kubernetes | GKE | Allgemein verfügbar | - | Ohne Agents | Defender für Container |
Unterstützung für Registrierungen und Images für GCP – Sicherheitsrisikobewertung, unterstützt von Microsoft Defender Vulnerability Management
Aspekt | Details |
---|---|
Registrierungen und Images | Unterstützt * Google Registries (GAR, GCR) * Containerimages im Docker V2-Format * Images mit der Spezifikation für das Imageformat Open Container Initiative (OCI) Nicht unterstützt * Super-minimalistische Images wie Docker Scratch-Images werden derzeit nicht unterstützt * Öffentliche Repositorys * Manifestlisten |
Betriebssysteme | Unterstützt * Alpine Linux 3.12–3.19 * Red Hat Enterprise Linux 6–9 * CentOS 6–9 (CentOS erreicht sein Dienstende (End-of-Life, EOL) am 30. Juni 2024. Weitere Informationen finden Sie im Leitfaden zum Dienstende von CentOS.) * Oracle Linux 6–9 * Amazon Linux 1, 2 * openSUSE Leap, openSUSE Tumbleweed * SUSE Enterprise Linux 11–15 * Debian GNU/Linux 7–12 * Google Distroless (basierend auf Debian GNU/Linux 7–12) * Ubuntu 12.04–22.04 * Fedora 31–37 * Mariner 1–2 * Windows Server 2016, 2019, 2022 |
Sprachspezifische Pakete |
Unterstützt * Python * Node.js * .NET * JAVA * Go |
Kubernetes-Verteilungs-/Konfigurationsunterstützung für GCP – Runtime-Bedrohungsschutz
Aspekt | Details |
---|---|
Kubernetes-Verteilungen und -Konfigurationen | Unterstützt * Google Kubernetes Engine (GKE) Standard Unterstützt von Kubernetes mit Arc-Unterstützung 1 2 * Kubernetes Nicht unterstützt * Private Netzwerkcluster * GKE-Autopilot * GKE AuthorizedNetworksConfig |
1Alle von der Cloud Native Computing Foundation (CNCF) zertifizierten Kubernetes-Cluster sollten unterstützt werden, aber nur die angegebenen Cluster wurden getestet.
2 Um den Schutz von Microsoft Defender for Containers für Ihre Umgebungen zu erhalten, müssen Sie ein Onboarding für Kubernetes mit Azure Arc-Unterstützung durchführen und Defender for Containers als Arc-Erweiterung aktivieren.
Hinweis
Weitere Anforderungen für den Kubernetes-Workloadschutz finden Sie unter Vorhandene Einschränkungen.
Unterstützung für ausgehende Proxys – GCP
Proxys für ausgehenden Datenverkehr ohne Authentifizierung und mit Standardauthentifizierung werden unterstützt. Proxys für ausgehenden Datenverkehr, von denen Zertifikate erwartet werden, werden aktuell nicht unterstützt.
Cluster mit IP-Einschränkungen – GCP
Wenn Ihr Kubernetes-Cluster in GCP Steuerungsebenen-IP-Einschränkungen aktiviert hat (siehe Hinzufügen autorisierter Netzwerke für den Zugriff auf die Steuerungsebene | Google Kubernetes Engine (GKE) | Google Cloud), wird die IP-Einschränkungskonfiguration der Steuerungsebene aktualisiert, um den CIDR-Block von Microsoft Defender for Cloud einzuschließen.
Lokale Kubernetes-Cluster mit Arc-Unterstützung
Domäne | Funktion | Unterstützte Ressourcen | Linux-Releasestatus | Windows-Releasestatus | Agentenlos/Sensorbasiert | Tarif |
---|---|---|---|---|---|---|
Sicherheitsstatusverwaltung | Docker CIS | VMs mit Arc-Unterstützung | Vorschau | - | Log Analytics-Agent | Defender für Server-Plan 2 |
Sicherheitsstatusverwaltung | Härten der Steuerungsebene | - | - | - | - | - |
Sicherheitsstatusverwaltung | Härten der Kubernetes-Datenebene | K8s-Cluster mit Arc-Unterstützung | Allgemein verfügbar | - | Azure Policy für Kubernetes | Defender für Container |
Laufzeitschutz | Bedrohungsschutz (Steuerungsebene) | Arc-aktivierte OpenShift-Cluster | Vorschau | Vorschau | Defender-Sensor | Defender für Container |
Laufzeitschutz | Bedrohungsschutz (Workload) | Arc-aktivierte OpenShift-Cluster | Vorschau | - | Defender-Sensor | Defender für Container |
Bereitstellung & Überwachung | Ermittlung von nicht geschützten Clustern | K8s-Cluster mit Arc-Unterstützung | Vorschau | - | Ohne Agents | Kostenlos |
Bereitstellung & Überwachung | Automatische Bereitstellung des Defender-Sensor | K8s-Cluster mit Arc-Unterstützung | Vorschau | Vorschau | Ohne Agents | Defender für Container |
Bereitstellung & Überwachung | Automatische Bereitstellung von Azure Policy für Kubernetes | K8s-Cluster mit Arc-Unterstützung | Vorschau | - | Ohne Agents | Defender für Container |
Externe Containerregistrierungen
Domäne | Funktion | Unterstützte Ressourcen | Linux-Releasestatus | Windows-Releasestatus | Agentenlos/Sensorbasiert | Tarif |
---|---|---|---|---|---|---|
Sicherheitsstatusverwaltung | Umfassende Bestandsfunktionen | Docker Hub | Vorschau | Vorschau | Ohne Agents | Grundlegendes CSPM ODER Defender for Containers ODER Defender CSPM |
Sicherheitsstatusverwaltung | Angriffspfadanalyse | Docker Hub | Vorschau | Vorschau | Ohne Agents | Defender CSPM |
Sicherheitsrisikobewertung | Agentenloser Registrierungsscan (unterstützt von Microsoft Defender Vulnerability Management) unterstützte Pakete | Docker Hub | Vorschau | Vorschau | Ohne Agents | Defender for Containers ODER Defender CSPM |
Sicherheitsrisikobewertung | Runtime ohne/mit Sensor (unterstützt von Microsoft Defender Vulnerability Management) unterstützte Pakete | Docker Hub | Vorschau | Vorschau | Agentenlos ODER/UND Defender-Sensor | Defender for Containers ODER Defender CSPM |
Kubernetes-Verteilungen und -Konfigurationen
Aspekt | Details |
---|---|
Kubernetes-Verteilungen und -Konfigurationen | Unterstützt von Kubernetes mit Arc-Unterstützung 1 2 * Azure Kubernetes Service hybrid * Kubernetes * AKS-Engine * Azure Red Hat OpenShift * Red Hat OpenShift (Version 4.6 oder höher) * VMware Tanzu Kubernetes Grid * Rancher Kubernetes Engine |
1Alle von der Cloud Native Computing Foundation (CNCF) zertifizierten Kubernetes-Cluster sollten unterstützt werden, aber nur die angegebenen Cluster wurden getestet.
2 Um den Schutz von Microsoft Defender for Containers für Ihre Umgebungen zu erhalten, müssen Sie ein Onboarding für Kubernetes mit Azure Arc-Unterstützung durchführen und Defender for Containers als Arc-Erweiterung aktivieren.
Hinweis
Weitere Anforderungen für den Kubernetes-Workloadschutz finden Sie unter Vorhandene Einschränkungen.
Unterstützte Hostbetriebssysteme
Defender for Containers ist für mehrere Features vom Defender-Sensor abhängig. Der Defender-Sensor wird nur mit Linux Kernel 5.4 und höher auf den folgenden Host-Betriebssystemen unterstützt:
- Amazon Linux 2
- CentOS 8 (CentOS erreicht sein Dienstende (End-of-Life, EOL) am 30. Juni 2024. Weitere Informationen finden Sie im Leitfaden zum Dienstende von CentOS.)
- Debian 10
- Debian 11
- Google Container-Optimized OS
- Mariner 1.0
- Mariner 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
Stellen Sie sicher, dass Ihr Kubernetes-Knoten auf einem dieser überprüften Betriebssysteme ausgeführt wird. Cluster mit nicht unterstützten Host-Betriebssystemen können die Vorteile von Funktionen, die auf dem Defender-Sensor basieren, nicht nutzen.
Einschränkungen des Defender-Sensors
Der Defender-Sensor in AKS V1.28 und darunter wird auf Arm64-Knoten nicht unterstützt.
Netzwerkeinschränkungen
Unterstützung für ausgehende Proxys
Proxys für ausgehenden Datenverkehr ohne Authentifizierung und mit Standardauthentifizierung werden unterstützt. Proxys für ausgehenden Datenverkehr, von denen Zertifikate erwartet werden, werden aktuell nicht unterstützt.
Nächste Schritte
- Erfahren Sie, wie Defender für Cloud mit dem Log Analytics-Agent Daten sammelt.
- Erfahren Sie, wie Defender für Cloud Daten verwaltet und schützt.
- Überprüfen Sie die Plattformen, die Defender für Cloud unterstützen.