Matriz de compatibilidad de contenedores en Defender for Cloud

Precaución

En este artículo se hace referencia a CentOS, una distribución de Linux que está cerca de su finalización del servicio (EOL) desde el 30 de junio de 2024. Tenga en cuenta su uso y planeación en consecuencia. Para más información, consulte la Guía de fin de ciclo de vida de CentOS.

En este artículo se resume la información de soporte técnico de las capacidades de contenedor de Microsoft Defender for Cloud.

Nota:

  • Las características específicas están en versión preliminar. Los Términos de uso complementarios para las versiones preliminares de Azure incluyen otros términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado con disponibilidad general.
  • Solo las versiones de AKS, EKS y GKE compatibles con el proveedor en la nube son admitidas oficialmente por Defender for Cloud.

Azure

A continuación se muestran las características de cada uno de los dominios de Defender para contenedores:

Administración de la posición de seguridad

Característica Descripción Recursos compatibles Estado de versión de Linux Estado de versión de Windows Método de habilitación Sensor Planes Disponibilidad de nubes de Azure
Detección sin agente para Kubernetes Proporciona una detección basada en API y con superficie cero de los clústeres de Kubernetes, sus configuraciones e implementaciones. AKS GA GA Habilitar el botón de alternancia Detección sin agente en Kubernetes Sin agente Defender para contenedores o Defender CSPM Nubes comerciales de Azure
Funcionalidades de inventario completas Le permite explorar recursos, pods, servicios, repositorios, imágenes y configuraciones a través del explorador de seguridad para supervisar y administrar fácilmente los recursos. ACR, AKS Disponibilidad general GA Habilitar el botón de alternancia Detección sin agente en Kubernetes Sin agente Defender para contenedores o Defender CSPM Nubes comerciales de Azure
Análisis de rutas de acceso de ataque Un algoritmo basado en grafos que examina el gráfico de seguridad en la nube. Los exámenes exponen rutas de acceso aprovechables que los atacantes podrían usar para infringir el entorno. ACR, AKS Disponibilidad general GA Activado con plan Sin agente CSPM de Defender (requiere la detección sin agente para que Kubernetes esté habilitado) Nubes comerciales de Azure
Búsqueda de riesgos mejorada Permite a los administradores de seguridad buscar activamente problemas de posición en sus recursos contenedorizados a través de consultas (integradas y personalizadas) e información de seguridad en el explorador de seguridad. ACR, AKS Disponibilidad general GA Habilitar el botón de alternancia Detección sin agente en Kubernetes Sin agente Defender para contenedores o Defender CSPM Nubes comerciales de Azure
Protección del plano de control Evalúa continuamente las configuraciones de los clústeres y las compara con las iniciativas aplicadas a las suscripciones. Cuando encuentra configuraciones incorrectas, Defender for Cloud genera recomendaciones de seguridad que están disponibles en la página Recomendaciones de Defender for Cloud. Las recomendaciones le permiten investigar y corregir problemas. ACR, AKS Disponibilidad general GA Activado con plan Sin agente Gratuito Nubes comerciales

Nubes nacionales: Azure Government, Azure operado por 21Vianet
Protección del plano de datos de Kubernetes Proteja las cargas de trabajo de los contenedores de Kubernetes con recomendaciones de procedimientos recomendados. AKS GA - Habilitar el botón de alternancia Azure Policy para Kubernetes Azure Policy Gratuito Nubes comerciales

Nubes nacionales: Azure Government, Azure operado por 21Vianet
CIS de Docker Prueba comparativa de CIS de Docker Conjunto de escalado de máquinas virtuales GA - Habilitado con plan Agente de Log Analytics Plan 2 de Azure Defender para servidores Nubes comerciales

Nubes nacionales: Azure Government, Microsoft Azure operado por 21Vianet

Evaluación de vulnerabilidades

Característica Descripción Recursos compatibles Estado de versión de Linux Estado de versión de Windows Método de habilitación Sensor Planes Disponibilidad de nubes de Azure
Examen del registro sin agente (con tecnología de Administración de vulnerabilidades de Microsoft Defender) paquetes de registros Evaluación de vulnerabilidades para imágenes en ACR ACR, instancia de ACR privada Disponibilidad general GA Habilitar el botón de alternancia Evaluación de vulnerabilidades de contenedor sin agente Sin agente Defender para contenedores o Defender CSPM Nubes comerciales

Nubes nacionales: Azure Government, Azure operado por 21Vianet
Tiempo de ejecución basado en agente o sin agente (con tecnología de Administración de vulnerabilidades de Microsoft Defender) paquetes de registros Evaluación de vulnerabilidades para ejecutar imágenes en AKS AKS GA GA Habilitar el botón de alternancia Evaluación de vulnerabilidades de contenedor sin agente Sensor sin agente (requiere la detección sin agente para Kubernetes) O/Y de Defender Defender para contenedores o Defender CSPM Nubes comerciales

Nubes nacionales: Azure Government, Azure operado por 21Vianet

Protección contra amenazas en tiempo de ejecución

Característica Descripción Recursos compatibles Estado de versión de Linux Estado de versión de Windows Método de habilitación Sensor Planes Disponibilidad de nubes de Azure
Plano de control Detección de actividad sospechosa para Kubernetes basada en la pista de auditoría de Kubernetes AKS GA GA Habilitado con plan Sin agente Defender para contenedores Nubes comerciales

Nubes nacionales: Azure Government, Azure operado por 21Vianet
Carga de trabajo Detección de actividad sospechosa para Kubernetes para el nivel de clúster, el nivel de nodo y el nivel de carga de trabajo AKS GA - Habilitar el botón de alternancia Sensor de Defender de Azure O implementar sensores de Defender en clústeres individuales Sensor de Defender Defender para contenedores Nubes comerciales

Nubes nacionales: Azure Government, Azure China 21Vianet

Implementación y supervisión

Característica Descripción Recursos compatibles Estado de versión de Linux Estado de versión de Windows Método de habilitación Sensor Planes Disponibilidad de nubes de Azure
Detección de clústeres no protegidos Detección de sensor de Defender que faltan en los clústeres de Kubernetes AKS GA GA Habilitado con plan Sin agente Gratuito Nubes comerciales

Nubes nacionales: Azure Government, Azure operado por 21Vianet
Aprovisionamiento automático del sensor de Defender Implementación automática del sensor de Defender AKS GA - Activación del botón de alternancia Sensor de Defender en Azure Sin agente Defender para contenedores Nubes comerciales

Nubes nacionales: Azure Government, Azure operado por 21Vianet
Aprovisionamiento automático de Azure Policy para Kubernetes Implementación automática del sensor de Azure Policy para Kubernetes AKS GA - Habilitar el botón de alternancia Directiva de Azure para Kubernetes Sin agente Gratuito Nubes comerciales

Nubes nacionales: Azure Government, Azure operado por 21Vianet

Registros e imágenes compatibles con Azure: evaluación de vulnerabilidades con tecnología de Administración de vulnerabilidades de Microsoft Defender

Aspecto Detalles
Registros e imágenes Compatible
• Registros de ACR
Registros de ACR protegidos con Azure Private Link (los registros privados requieren acceso a servicios de confianza)
• Las imágenes de contenedor en formato Docker V2
*Imágenes con la especificación del formato de imagen Open Container Initiative (OCI)
No admitidas
• Imágenes súper minimalistas como las imágenes de Docker temporales
no se admiten actualmente
Sistemas operativos Compatible
• Alpine Linux 3.12-3.19
• Red Hat Enterprise Linux 6-9
• CentOS 6-9. (CentOS alcanzará la finalización del servicio (EOL) el 30 de junio de 2024. Para más información, vea laguía de finalización del servicio de CentOS).
• Oracle Linux 6-9
• Amazon Linux 1, 2
• openSUSE Leap, openSUSE Tumbleweed
• SUSE Enterprise Linux 11-15
• Debian GNU/Linux 7-12
• Google Distroless (basado en Debian GNU/Linux 7-12)
• Ubuntu 12.04-22.04
• Fedora 31-37 y superiores
• Mariner 1-2
• Windows Server 2016, 2019, 2022
Paquetes específicos del idioma

Compatible
• Python
• Node.js
• .NET
• JAVA
• Go

Distribuciones y configuraciones de Kubernetes para Azure: protección contra amenazas en tiempo de ejecución

Aspecto Detalles
Distribuciones y configuraciones de Kubernetes Compatible
Azure Kubernetes Service (AKS) con control de acceso basado en rol de Kubernetes

Se admiten a través de Kubernetes habilitado para Arc 1 2
Azure Kubernetes Service híbrido
Kubernetes
Motor de AKS
Red Hat OpenShift en Azure

1 Todos los clústeres de Kubernetes certificados por Cloud Native Computing Foundation (CNCF) deben ser compatibles, pero solo se han probado los clústeres especificados.

2 Para conseguir la protección de Microsoft Defender para contenedores para sus entornos, tendrá que incorporar Kubernetes habilitado para Azure Arc y habilitar Defender para contenedores como extensión de Arc.

Nota:

Para más información sobre los requisitos adicionales para la protección de cargas de trabajo de Kubernetes, consulta las limitaciones existentes.

AWS

Dominio Característica Recursos compatibles Estado de versión de Linux Estado de versión de Windows Basado en sensor o sin agente Plan de tarifa
Administración de la posición de seguridad Detección sin agente para Kubernetes EKS Disponibilidad general Disponibilidad general Sin agente Defender para contenedores o Defender CSPM
Administración de la posición de seguridad Funcionalidades de inventario completas ECR, EKS Disponibilidad general Disponibilidad general Sin agente Defender para contenedores o Defender CSPM
Administración de la posición de seguridad Análisis de rutas de acceso de ataque ECR, EKS Disponibilidad general Disponibilidad general Sin agente Administración de la posición de seguridad en la nube de Defender
Administración de la posición de seguridad Búsqueda de riesgos mejorada ECR, EKS Disponibilidad general Disponibilidad general Sin agente Defender para contenedores o Defender CSPM
Administración de la posición de seguridad CIS de Docker EC2 GA - Agente de Log Analytics Plan 2 de Azure Defender para servidores
Administración de la posición de seguridad Protección del plano de control - - - - -
Administración de la posición de seguridad Protección del plano de datos de Kubernetes EKS GA - Azure Policy para Kubernetes Defender para contenedores
Evaluación de vulnerabilidades Examen del registro sin agente (con tecnología de Administración de vulnerabilidades de Microsoft Defender) paquetes de registros ECR Disponibilidad general Disponibilidad general Sin agente Defender para contenedores o Defender CSPM
Evaluación de vulnerabilidades Paquetes de registros del entorno de ejecución basado en sensor o sin agente (con tecnología de Administración de vulnerabilidades de Microsoft Defender) EKS Disponibilidad general GA Sensor sin agente O/Y de Defender Defender para contenedores o Defender CSPM
Protección en tiempo de ejecución Plano de control EKS Disponibilidad general Disponibilidad general Sin agente Defender para contenedores
Protección en tiempo de ejecución Carga de trabajo EKS GA - Sensor de Defender Defender para contenedores
Implementación y supervisión Detección de clústeres no protegidos EKS Disponibilidad general Disponibilidad general Sin agente Defender para contenedores
Implementación y supervisión Aprovisionamiento automático del sensor de Defender EKS GA - - -
Implementación y supervisión Aprovisionamiento automático de Azure Policy para Kubernetes EKS GA - - -

Registros e imágenes compatibles con AWS: evaluación de vulnerabilidades con tecnología de Administración de vulnerabilidades de Microsoft Defender

Aspecto Detalles
Registros e imágenes Compatible
• Registros de ECR
• Las imágenes de contenedor en formato Docker V2
*Imágenes con la especificación del formato de imagen Open Container Initiative (OCI)
No admitidas
• Actualmente no se admiten imágenes superminimalistas, como imágenes desde cero de Docker
• Repositorios públicos
• Listas de manifiestos
Sistemas operativos Compatible
• Alpine Linux 3.12-3.19
• Red Hat Enterprise Linux 6-9
• CentOS 6-9 (CentOS alcanzará la finalización del servicio (EOL) el 30 de junio de 2024. Para más información, vea laguía de finalización del servicio de CentOS).
• Oracle Linux 6-9
• Amazon Linux 1, 2
• openSUSE Leap, openSUSE Tumbleweed
• SUSE Enterprise Linux 11-15
• Debian GNU/Linux 7-12
• Google Distroless (basado en Debian GNU/Linux 7-12)
• Ubuntu 12.04-22.04
• Fedora 31-37 y superiores
• Mariner 1-2
• Windows Server 2016, 2019, 2022
Paquetes específicos del idioma

Compatible
• Python
• Node.js
• .NET
• JAVA
• Go

Compatibilidad con las distribuciones y configuraciones de Kubernetes para AWS: protección contra amenazas en tiempo de ejecución

Aspecto Detalles
Distribuciones y configuraciones de Kubernetes Compatible
Amazon Elastic Kubernetes Service (EKS)

Se admiten a través de Kubernetes habilitado para Arc 1 2
Kubernetes
No admitidas
• Clústeres privados EKS

1 Todos los clústeres de Kubernetes certificados por Cloud Native Computing Foundation (CNCF) deben ser compatibles, pero solo se han probado los clústeres especificados.

2 Para conseguir la protección de Microsoft Defender para contenedores para sus entornos, tendrá que incorporar Kubernetes habilitado para Azure Arc y habilitar Defender para contenedores como extensión de Arc.

Nota:

Para más información sobre los requisitos adicionales para la protección de cargas de trabajo de Kubernetes, consulta las limitaciones existentes.

Compatibilidad con proxy de salida: AWS

Se admiten un proxy de salida sin autenticación y un proxy de salida con autenticación básica. Actualmente no se admite un proxy de salida que espera certificados de confianza.

Clústeres con restricciones de IP: AWS

Si el clúster de Kubernetes en AWS tiene habilitadas restricciones de IP del plano de control (consulte Control de acceso al punto de conexión del clúster de Amazon EKS: Amazon EKS,), la configuración de restricción de IP del plano de control se actualiza para incluir el bloque CIDR de Microsoft Defender for Cloud.

GCP

Dominio Característica Recursos compatibles Estado de versión de Linux Estado de versión de Windows Basado en sensor o sin agente Plan de tarifa
Administración de la posición de seguridad Detección sin agente para Kubernetes GKE Disponibilidad general Disponibilidad general Sin agente Defender para contenedores o Defender CSPM
Administración de la posición de seguridad Funcionalidades de inventario completas GAR, GCR, GKE Disponibilidad general Disponibilidad general Sin agente Defender para contenedores o Defender CSPM
Administración de la posición de seguridad Análisis de rutas de acceso de ataque GAR, GCR, GKE Disponibilidad general Disponibilidad general Sin agente Administración de la posición de seguridad en la nube de Defender
Administración de la posición de seguridad Búsqueda de riesgos mejorada GAR, GCR, GKE Disponibilidad general Disponibilidad general Sin agente Defender para contenedores o Defender CSPM
Administración de la posición de seguridad CIS de Docker Máquinas virtuales de GCP GA - Agente de Log Analytics Plan 2 de Azure Defender para servidores
Administración de la posición de seguridad Protección del plano de control GKE Disponibilidad general Disponibilidad general Sin agente Gratuito
Administración de la posición de seguridad Protección del plano de datos de Kubernetes GKE GA - Azure Policy para Kubernetes Defender para contenedores
Evaluación de vulnerabilidades Examen del registro sin agente (con tecnología de Administración de vulnerabilidades de Microsoft Defender) paquetes de registros GAR, GCR Disponibilidad general Disponibilidad general Sin agente Defender para contenedores o Defender CSPM
Evaluación de vulnerabilidades Paquetes de registros del entorno de ejecución basado en sensor o sin agente (con tecnología de Administración de vulnerabilidades de Microsoft Defender) GKE Disponibilidad general GA Sensor sin agente O/Y de Defender Defender para contenedores o Defender CSPM
Protección en tiempo de ejecución Plano de control GKE Disponibilidad general Disponibilidad general Sin agente Defender para contenedores
Protección en tiempo de ejecución Carga de trabajo GKE GA - Sensor de Defender Defender para contenedores
Implementación y supervisión Detección de clústeres no protegidos GKE Disponibilidad general Disponibilidad general Sin agente Defender para contenedores
Implementación y supervisión Aprovisionamiento automático del sensor de Defender GKE GA - Sin agente Defender para contenedores
Implementación y supervisión Aprovisionamiento automático de Azure Policy para Kubernetes GKE GA - Sin agente Defender para contenedores

Registros e imágenes compatibles con GCP: evaluación de vulnerabilidades con tecnología de Administración de vulnerabilidades de Microsoft Defender

Aspecto Detalles
Registros e imágenes Compatible
• Registros de Google (GAR, GCR)
• Las imágenes de contenedor en formato Docker V2
*Imágenes con la especificación del formato de imagen Open Container Initiative (OCI)
No admitidas
• Actualmente no se admiten imágenes superminimalistas, como imágenes desde cero de Docker
• Repositorios públicos
• Listas de manifiestos
Sistemas operativos Compatible
• Alpine Linux 3.12-3.19
• Red Hat Enterprise Linux 6-9
• CentOS 6-9 (CentOS alcanzará la finalización del servicio (EOL) el 30 de junio de 2024. Para más información, vea laguía de finalización del servicio de CentOS).
• Oracle Linux 6-9
• Amazon Linux 1, 2
• openSUSE Leap, openSUSE Tumbleweed
• SUSE Enterprise Linux 11-15
• Debian GNU/Linux 7-12
• Google Distroless (basado en Debian GNU/Linux 7-12)
• Ubuntu 12.04-22.04
• Fedora 31-37 y superiores
• Mariner 1-2
• Windows Server 2016, 2019, 2022
Paquetes específicos del idioma

Compatible
• Python
• Node.js
• .NET
• JAVA
• Go

Compatibilidad de las distribuciones y configuraciones de Kubernetes con GCP: protección contra amenazas en tiempo de ejecución

Aspecto Detalles
Distribuciones y configuraciones de Kubernetes Compatible
Google Kubernetes Engine (GKE) Estándar

Se admiten a través de Kubernetes habilitado para Arc 1 2
Kubernetes

No admitidas
• Clústeres de red privada
• GKE Autopilot
• GKE AuthorizedNetworksConfig

1 Todos los clústeres de Kubernetes certificados por Cloud Native Computing Foundation (CNCF) deben ser compatibles, pero solo se han probado los clústeres especificados.

2 Para conseguir la protección de Microsoft Defender para contenedores para sus entornos, tendrá que incorporar Kubernetes habilitado para Azure Arc y habilitar Defender para contenedores como extensión de Arc.

Nota:

Para más información sobre los requisitos adicionales para la protección de cargas de trabajo de Kubernetes, consulta las limitaciones existentes.

Compatibilidad con proxy de salida: GCP

Se admiten un proxy de salida sin autenticación y un proxy de salida con autenticación básica. Actualmente no se admite un proxy de salida que espera certificados de confianza.

Clústeres con restricciones de IP: GCP

Si el clúster de Kubernetes de GCP tiene habilitadas restricciones IP del plano de control (consulte Adición de redes autorizadas para el acceso al plano de control | Google Kubernetes Engine (GKE) | Google Cloud), la configuración de restricción de IP del plano de control se actualiza para incluir el bloque CIDR de Microsoft Defender for Cloud.

Clústeres de Kubernetes habilitados para Arc en el entorno local

Dominio Característica Recursos compatibles Estado de versión de Linux Estado de versión de Windows Basado en sensor o sin agente Plan de tarifa
Administración de la posición de seguridad CIS de Docker Máquinas virtuales habilitadas para Arc Vista previa - Agente de Log Analytics Plan 2 de Azure Defender para servidores
Administración de la posición de seguridad Protección del plano de control - - - - -
Administración de la posición de seguridad Protección del plano de datos de Kubernetes Clústeres K8s habilitados para Arc GA - Azure Policy para Kubernetes Defender para contenedores
Protección en tiempo de ejecución Protección contra amenazas (plano de control) Clústeres K8s habilitados para Arc Vista previa Vista previa Sensor de Defender Defender para contenedores
Protección en tiempo de ejecución Protección contra amenazas (carga de trabajo) Clústeres K8s habilitados para Arc Vista previa - Sensor de Defender Defender para contenedores
Implementación y supervisión Detección de clústeres no protegidos Clústeres K8s habilitados para Arc Vista previa - Sin agente Gratuito
Implementación y supervisión Aprovisionamiento automático del sensor de Defender Clústeres K8s habilitados para Arc Vista previa Vista previa Sin agente Defender para contenedores
Implementación y supervisión Aprovisionamiento automático de Azure Policy para Kubernetes Clústeres K8s habilitados para Arc Vista previa - Sin agente Defender para contenedores

Registros de contenedor externos

Dominio Característica Recursos compatibles Estado de versión de Linux Estado de versión de Windows Basado en sensor o sin agente Plan de tarifa
Administración de la posición de seguridad Funcionalidades de inventario completas Docker Hub Vista previa Vista previa Sin agente CSPM básico o Defender para contenedores o Defender CSPM
Administración de la posición de seguridad Análisis de rutas de acceso de ataque Docker Hub Vista previa Vista previa Sin agente Administración de la posición de seguridad en la nube de Defender
Evaluación de vulnerabilidades Examen del registro sin agente (con tecnología de Administración de vulnerabilidades de Microsoft Defender) paquetes de registros Docker Hub Vista previa Vista previa Sin agente Defender para contenedores o Defender CSPM
Evaluación de vulnerabilidades Paquetes de registros del entorno de ejecución basado en sensor o sin agente (con tecnología de Administración de vulnerabilidades de Microsoft Defender) Docker Hub Vista previa Vista previa Sensor sin agente O/Y de Defender Defender para contenedores o Defender CSPM

Distribuciones y configuraciones de Kubernetes

Aspecto Detalles
Distribuciones y configuraciones de Kubernetes Se admiten a través de Kubernetes habilitado para Arc 1 2
Azure Kubernetes Service híbrido
Kubernetes
Motor de AKS
Red Hat OpenShift en Azure
Red Hat OpenShift (versión 4.6 o posterior)
VMware Tanzu Kubernetes Grid
Rancher Kubernetes Engine

1 Todos los clústeres de Kubernetes certificados por Cloud Native Computing Foundation (CNCF) deben ser compatibles, pero solo se han probado los clústeres especificados.

2 Para conseguir la protección de Microsoft Defender para contenedores para sus entornos, tendrá que incorporar Kubernetes habilitado para Azure Arc y habilitar Defender para contenedores como extensión de Arc.

Nota:

Para más información sobre los requisitos adicionales para la protección de cargas de trabajo de Kubernetes, consulta las limitaciones existentes.

Sistemas operativos de host compatibles

Defender para contenedores se basa en el sensor de Defender para varias características. El sensor de Defender se admite en los siguientes sistemas operativos host:

  • Amazon Linux 2
  • • CentOS 8 (CentOS alcanzará la finalización del servicio (EOL) el 30 de junio de 2024. Para más información, vea laguía de finalización del servicio de CentOS).
  • Debian 10
  • Debian 11
  • Sistema operativo Container-Optimized de Google
  • Mariner 1.0
  • Mariner 2.0
  • Red Hat Enterprise Linux 8
  • Ubuntu 16.04
  • Ubuntu 18.04
  • Ubuntu 20.04
  • Ubuntu 22.04

Asegúrese de que el nodo de Kubernetes se ejecuta en uno de los sistemas operativos compatibles comprobados. Los clústeres con diferentes sistemas operativos de host solo obtendrán cobertura parcial.

Limitaciones del sensor de Defender

El sensor de Defender en AKS V1.28 y anteriores no se admite en nodos Arm64.

Restricciones de la red

Compatibilidad con proxy de salida

Se admiten un proxy de salida sin autenticación y un proxy de salida con autenticación básica. Actualmente no se admite un proxy de salida que espera certificados de confianza.

Pasos siguientes