Matrice de prise en charge des conteneurs dans Defender pour le cloud

Attention

Cet article fait référence à CentOS, une distribution Linux en fin de vie (EOL) dès le 30 juin 2024. Veuillez considérer votre utilisation et votre planification en conséquence. Pour plus d’informations, consultez l’aide relative à la fin de vie de CentOS.

Cet article résume les informations de prise en charge des capacités de conteneur dans Microsoft Defender pour le cloud.

Remarque

  • Des fonctionnalités spécifiques sont en préversion. Les conditions supplémentaires pour les préversions Azure incluent d’autres conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.
  • Seules les versions d’AKS, EKS et GKE prises en charge par le fournisseur de cloud sont officiellement prises en charge par Defender pour le cloud.

Azure

Voici les fonctionnalités de chacun des domaines dans Defender pour les conteneurs :

Gestion de la posture de sécurité

Fonctionnalité Description Ressources prises en charge État de mise en production Linux État de mise en production Windows Méthode d’activation Capteur Plans Disponibilité des clouds Azure
Découverte sans agent pour Kubernetes Fournit la découverte sans empreinte basée sur l’API des clusters Kubernetes, leurs configurations et leurs déploiements. AKS GA GA Activer le bouton Découverte sans agent sur Kubernetes Sans agent Defender pour les conteneurs OU CSPM Defender Clouds commerciaux Azure
Fonctionnalités d’inventaire complètes Vous permet d’explorer les ressources, les pods, les services, les référentiels, les images et les configurations via l’Explorateur de sécurité pour surveiller et gérer facilement vos ressources. ACR, AKS GA GA Activer le bouton Découverte sans agent sur Kubernetes Sans agent Defender pour les conteneurs OU CSPM Defender Clouds commerciaux Azure
Analyse du chemin d’attaque Algorithme graphique qui analyse le graphique de sécurité du cloud. Les analyses révèlent les chemins exploitables par les attaquants pour pénétrer dans votre environnement. ACR, AKS GA GA Activé avec un plan Sans agent CSPM Defender (nécessite la détection sans agent pour que Kubernetes soit activé) Clouds commerciaux Azure
Amélioration de la chasse aux risques Permet aux administrateurs de sécurité de rechercher activement des problèmes de posture dans leurs ressources conteneurisées via des requêtes (intégrées et personnalisées) et des insights de sécurité dans l’Explorateur de sécurité. ACR, AKS GA GA Activer le bouton Découverte sans agent sur Kubernetes Sans agent Defender pour les conteneurs OU CSPM Defender Clouds commerciaux Azure
Renforcement du plan de contrôle Évalue en permanence les configurations de vos clusters et les compare aux initiatives appliquées à vos abonnements. Lorsqu’il trouve des configurations incorrectes, Defender pour Cloud génère des recommandations de sécurité disponibles sur la page Recommandations de Defender pour cloud. Les recommandations vous permettent d’examiner et de corriger les problèmes. ACR, AKS GA GA Activé avec un plan Sans agent Gratuit Clouds commerciaux

Clouds nationaux : Azure Government, Azure géré par 21Vianet
Renforcement des plans de données Kubernetes Protégez les charges de travail de vos conteneurs Kubernetes avec des recommandations de meilleures pratiques. AKS GA - Activer le bouton Azure Policy pour Kubernetes Azure Policy Gratuit Clouds commerciaux

Clouds nationaux : Azure Government, Azure géré par 21Vianet
Docker CIS Point de référence CIS Docker Machine virtuelle, groupe de machines virtuelles identiques GA - Activé avec le plan Agent Log Analytics Defender pour les serveurs Plan 2 Clouds commerciaux

Clouds nationaux : Azure Government, Microsoft Azure géré par 21Vianet

Évaluation des vulnérabilités

Fonctionnalité Description Ressources prises en charge État de mise en production Linux État de mise en production Windows Méthode d’activation Capteur Plans Disponibilité des clouds Azure
Analyse de registre sans agent (avec Gestion des vulnérabilités Microsoft Defender) Packages pris en charge Évaluation des vulnérabilités pour les images dans ACR ACR, ACR privé GA GA Activer le bouton Évaluation des vulnérabilités de conteneur sans agent Sans agent Defender pour les conteneurs ou CSPM Defender Clouds commerciaux

Clouds nationaux : Azure Government, Azure géré par 21Vianet
Runtime sans agent/basé sur agent (avec Gestion des vulnérabilités Microsoft Defender) Packages pris en charge Évaluation des vulnérabilités pour l’exécution d’images dans AKS AKS GA GA Activer le bouton Évaluation des vulnérabilités de conteneur sans agent Sans agent (nécessite la découverte sans agent pour Kubernetes) OU/ET capteur Defender Defender pour les conteneurs ou CSPM Defender Clouds commerciaux

Clouds nationaux : Azure Government, Azure géré par 21Vianet

Protection contre les menaces de runtime

Fonctionnalité Description Ressources prises en charge État de mise en production Linux État de mise en production Windows Méthode d’activation Capteur Plans Disponibilité des clouds Azure
Plan de contrôle Détection d’activités suspectes pour Kubernetes basée sur la piste d’audit Kubernetes AKS GA GA Activé avec le plan Sans agent Defender pour les conteneurs Clouds commerciaux

Clouds nationaux : Azure Government, Azure géré par 21Vianet
Charge de travail Détection d’activités suspectes pour Kubernetes au niveau du cluster, au niveau du nœud et au niveau de la charge de travail AKS GA - Activer le bouton bascule Capteur Defender dans Azure OU déployer des capteurs Defender sur des clusters individuels Capteur Defender Defender pour les conteneurs Clouds commerciaux

Clouds nationaux : Azure Government, Azure China 21Vianet

Déploiement et supervision

Fonctionnalité Description Ressources prises en charge État de mise en production Linux État de mise en production Windows Méthode d’activation Capteur Plans Disponibilité des clouds Azure
Détection de clusters non protégés Découverte de clusters Kubernetes sans capteurs Defender AKS GA GA Activé avec le plan Sans agent Gratuit Clouds commerciaux

Clouds nationaux : Azure Government, Azure géré par 21Vianet
Provisionnement automatique du capteur Defender Déploiement automatique du capteur Defender AKS GA - Activer le bouton bascule Capteur Defender dans Azure Sans agent Defender pour les conteneurs Clouds commerciaux

Clouds nationaux : Azure Government, Azure géré par 21Vianet
Approvisionnement automatique d’Azure Policy pour Kubernetes Déploiement automatique du capteur de stratégie Azure pour Kubernetes AKS GA - Activer le bouton Stratégie Azure pour Kubernetes Sans agent Gratuit Clouds commerciaux

Clouds nationaux : Azure Government, Azure géré par 21Vianet

Prise en charge des registres et des images pour Azure – Évaluation des vulnérabilités avec Gestion des vulnérabilités Microsoft Defender

Aspect Détails
Registres et images Pris en charge
* Registres ACR
* Registres ACR protégés avec Azure Private Link (Les registres privés requièrent l’accès aux services de confiance)
* Images conteneur au format Docker V2
* Images avec Spécification du format d’image Open Container Initiative (OCI)
Non pris en charge
* Images ultra-minimalistes telles que les images de base Docker
actuellement non pris en charge
Systèmes d’exploitation Pris en charge
* Alpine Linux 3.12-3.19
* Red Hat Enterprise Linux 6-9
* CentOS 6-9. (CentOS est fin de vie (EOL) à compter du 30 juin 2024. Pour plus d’informations, consultez l’aide sur la fin de vie de CentOS.)
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless (basé sur Debian GNU/Linux 7-12)
* Ubuntu 12.04-22.04
* Fedora 31-37
* Mariner 1-2
* Windows Server 2016, 2019, 2022
Packages spécifiques au langage

Pris en charge
* Python
* Node.js
* .NET
* JAVA
* Go

Distributions et configurations Kubernetes pour Azure - Protection contre les menaces de runtime

Aspect Détails
Distributions et configurations Kubernetes Pris en charge
* Azure Kubernetes Service (AKS) avec Kubernetes RBAC

Pris en charge via Kubernetes avec Arc 1 2
* Azure Kubernetes Service hybride
* Kubernetes
* Moteur AKS
* Azure Red Hat OpenShift

1 Tous les clusters Kubernetes certifiés CNCF (Cloud Native Computing Foundation) doivent être pris en charge, mais seuls les clusters spécifiés ont été testés.

2 Pour faire bénéficier à vos environnements de la protection Microsoft Defender pour les conteneurs, vous devez intégrer Kubernetes avec Azure Arc et activer Defender pour les conteneurs en tant qu’extension Arc.

Remarque

Pour plus d’exigences concernant la protection des charges de travail Kubernetes, consultez les limitations existantes.

AWS

Domain Fonctionnalité Ressources prises en charge État de mise en production Linux État de mise en production Windows Sans agent/basé sur le capteur Niveau tarifaire
Gestion de la posture de sécurité Découverte sans agent pour Kubernetes EKS GA GA Sans agent Defender pour les conteneurs OU CSPM Defender
Gestion de la posture de sécurité Fonctionnalités d’inventaire complètes ERC, EKS GA GA Sans agent Defender pour les conteneurs OU CSPM Defender
Gestion de la posture de sécurité Analyse du chemin d’attaque ERC, EKS GA GA Sans agent Defender CSPM
Gestion de la posture de sécurité Amélioration de la chasse aux risques ERC, EKS GA GA Sans agent Defender pour les conteneurs OU CSPM Defender
Gestion de la posture de sécurité Docker CIS EC2 GA - Agent Log Analytics Defender pour les serveurs Plan 2
Gestion de la posture de sécurité Renforcement du plan de contrôle - - - - -
Gestion de la posture de sécurité Renforcement des plans de données Kubernetes EKS GA - Azure Policy pour Kubernetes Defender pour les conteneurs
Évaluation des vulnérabilités Analyse de registre sans agent (avec Gestion des vulnérabilités Microsoft Defender) Packages pris en charge ECR GA GA Sans agent Defender pour les conteneurs ou CSPM Defender
Évaluation des vulnérabilités Runtime sans agent/basé sur le capteur (avec la Gestion des vulnérabilités Microsoft Defender) packages pris en charge EKS GA GA Sans agent OU/ET capteur Defender Defender pour les conteneurs ou CSPM Defender
Protection du Runtime Plan de contrôle EKS GA GA Sans agent Defender pour les conteneurs
Protection du Runtime Charge de travail EKS GA - Capteur Defender Defender pour les conteneurs
Déploiement et supervision Détection de clusters non protégés EKS GA GA Sans agent Defender pour les conteneurs
Déploiement et supervision Provisionnement automatique du capteur Defender EKS GA - - -
Déploiement et supervision Provisionnement automatique de Azure Policy for Kubernetes EKS GA - - -

Prise en charge des registres et des images pour AWS – Évaluation des vulnérabilités avec Gestion des vulnérabilités Microsoft Defender

Aspect Détails
Registres et images Pris en charge
* ECR registries
* Images conteneur au format Docker V2
* Images avec Spécification du format d’image Open Container Initiative (OCI)
Non pris en charge
* Les images super minimalistes telles que les images de base Docker ne sont actuellement pas prises en charge
* Référentiels publics
* Listes de manifestes
Systèmes d’exploitation Pris en charge
* Alpine Linux 3.12-3.19
* Red Hat Enterprise Linux 6-9
* CentOS 6-9 (CentOS en fin de vie (EOL) à compter du 30 juin 2024. Pour plus d’informations, consultez l’aide sur la fin de vie de CentOS.)
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless (basé sur Debian GNU/Linux 7-12)
* Ubuntu 12.04-22.04
* Fedora 31-37
* Mariner 1-2
* Windows server 2016, 2019, 2022
Packages spécifiques au langage

Pris en charge
* Python
* Node.js
* .NET
* JAVA
* Go

Prise en charge des distributions/configurations Kubernetes pour AWS – Protection contre les menaces du runtime

Aspect Détails
Distributions et configurations Kubernetes Pris en charge
* Amazon Elastic Kubernetes Service (EKS)

Pris en charge via Kubernetes avec Arc 1 2
* Kubernetes
Non pris en charge
* Clusters privés EKS

1 Les clusters Kubernetes certifiés CNCF (Cloud Native Computing Foundation) doivent être pris en charge, mais seuls les clusters spécifiés ont été testés.

2 Pour faire bénéficier à vos environnements de la protection Microsoft Defender pour les conteneurs, vous devez intégrer Kubernetes avec Azure Arc et activer Defender pour les conteneurs en tant qu’extension Arc.

Remarque

Pour plus d’exigences concernant la protection des charges de travail Kubernetes, consultez les limitations existantes.

Prise en charge du proxy sortant – AWS

Les proxys sortants sans authentification et les proxys sortants avec l’authentification de base sont pris en charge. Les proxys sortants qui attendent des certificats approuvés ne sont pas pris en charge actuellement.

Clusters avec des restrictions d’adresse IP – AWS

Si des restrictions d’adresse IP du plan de contrôle sont activées sur votre cluster Kubernetes dans AWS (consultez Contrôle d’accès au point de terminaison de cluster Amazon EKS – Amazon EKS, ), la configuration de restrictions d’adresse IP du plan de contrôle est mise à jour pour inclure le bloc CIDR de Microsoft Defender pour le cloud.

GCP

Domain Fonctionnalité Ressources prises en charge État de mise en production Linux État de mise en production Windows Sans agent/basé sur le capteur Niveau tarifaire
Gestion de la posture de sécurité Découverte sans agent pour Kubernetes GKE GA GA Sans agent Defender pour les conteneurs OU CSPM Defender
Gestion de la posture de sécurité Fonctionnalités d’inventaire complètes GAR, GCR, GKE GA GA Sans agent Defender pour les conteneurs OU CSPM Defender
Gestion de la posture de sécurité Analyse du chemin d’attaque GAR, GCR, GKE GA GA Sans agent Defender CSPM
Gestion de la posture de sécurité Amélioration de la chasse aux risques GAR, GCR, GKE GA GA Sans agent Defender pour les conteneurs OU CSPM Defender
Gestion de la posture de sécurité Docker CIS Machines virtuelles GCP GA - Agent Log Analytics Defender pour les serveurs Plan 2
Gestion de la posture de sécurité Renforcement du plan de contrôle GKE GA GA Sans agent Gratuit
Gestion de la posture de sécurité Renforcement des plans de données Kubernetes GKE GA - Azure Policy pour Kubernetes Defender pour les conteneurs
Évaluation des vulnérabilités Analyse de registre sans agent (avec Gestion des vulnérabilités Microsoft Defender) Packages pris en charge GAR, GCR GA GA Sans agent Defender pour les conteneurs ou CSPM Defender
Évaluation des vulnérabilités Runtime sans agent/basé sur le capteur (avec la Gestion des vulnérabilités Microsoft Defender) packages pris en charge GKE GA GA Sans agent OU/ET capteur Defender Defender pour les conteneurs ou CSPM Defender
Protection du Runtime Plan de contrôle GKE GA GA Sans agent Defender pour les conteneurs
Protection du Runtime Charge de travail GKE GA - Capteur Defender Defender pour les conteneurs
Déploiement et supervision Détection de clusters non protégés GKE GA GA Sans agent Defender pour les conteneurs
Déploiement et supervision Provisionnement automatique du capteur Defender GKE GA - Sans agent Defender pour les conteneurs
Déploiement et supervision Provisionnement automatique de Azure Policy for Kubernetes GKE GA - Sans agent Defender pour les conteneurs

Prise en charge des registres et des images pour GCP – Évaluation des vulnérabilités avec Gestion des vulnérabilités Microsoft Defender

Aspect Détails
Registres et images Pris en charge
* Registres Google (GAR, GCR)
* Images conteneur au format Docker V2
* Images avec Spécification du format d’image Open Container Initiative (OCI)
Non pris en charge
* Les images super minimalistes telles que les images de base Docker ne sont actuellement pas prises en charge
* Référentiels publics
* Listes de manifestes
Systèmes d’exploitation Pris en charge
* Alpine Linux 3.12-3.19
* Red Hat Enterprise Linux 6-9
* CentOS 6-9 (CentOS en fin de vie (EOL) à compter du 30 juin 2024. Pour plus d’informations, consultez l’aide sur la fin de vie de CentOS.)
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless (basé sur Debian GNU/Linux 7-12)
* Ubuntu 12.04-22.04
* Fedora 31-37
* Mariner 1-2
* Windows server 2016, 2019, 2022
Packages spécifiques au langage

Pris en charge
* Python
* Node.js
* .NET
* JAVA
* Go

Prise en charge des distributions/configurations Kubernetes pour GCP – Protection contre les menaces du runtime

Aspect Détails
Distributions et configurations Kubernetes Pris en charge
* Google Kubernetes Engine (GKE) Standard

Pris en charge via Kubernetes avec Arc 1 2
* Kubernetes

Non pris en charge
* Clusters de réseau privé
* Autopilot GKE
* GKE AuthorizedNetworksConfig

1 Les clusters Kubernetes certifiés CNCF (Cloud Native Computing Foundation) doivent être pris en charge, mais seuls les clusters spécifiés ont été testés.

2 Pour faire bénéficier à vos environnements de la protection Microsoft Defender pour les conteneurs, vous devez intégrer Kubernetes avec Azure Arc et activer Defender pour les conteneurs en tant qu’extension Arc.

Remarque

Pour plus d’exigences concernant la protection des charges de travail Kubernetes, consultez les limitations existantes.

Prise en charge du proxy sortant – GCP

Les proxys sortants sans authentification et les proxys sortants avec l’authentification de base sont pris en charge. Les proxys sortants qui attendent des certificats approuvés ne sont pas pris en charge actuellement.

Clusters avec restrictions d’adresse IP – GCP

Si des restrictions d’adresse IP de plan de contrôle sont activées sur votre cluster Kubernetes dans GCP (voir Ajouter des réseaux autorisés pour l’accès au plan de contrôle | Google Kubernetes Engine (GKE) | Google Cloud), la configuration de restrictions d’adresse IP du plan de contrôle est mise à jour pour inclure le bloc CIDR de Microsoft Defender pour le cloud.

Clusters Kubernetes locaux avec Arc

Domain Fonctionnalité Ressources prises en charge État de mise en production Linux État de mise en production Windows Sans agent/basé sur le capteur Niveau tarifaire
Gestion de la posture de sécurité Docker CIS Machines virtuelles avec Arc PRÉVERSION - Agent Log Analytics Defender pour les serveurs Plan 2
Gestion de la posture de sécurité Renforcement du plan de contrôle - - - - -
Gestion de la posture de sécurité Renforcement des plans de données Kubernetes Clusters K8 avec Arc GA - Azure Policy pour Kubernetes Defender pour les conteneurs
Protection du Runtime Protection contre les menaces (plan de contrôle) Clusters OpenShift avec Arc Aperçu Aperçu Capteur Defender Defender pour les conteneurs
Protection du Runtime Protection contre les menaces (charge de travail) Clusters OpenShift avec Arc Aperçu - Capteur Defender Defender pour les conteneurs
Déploiement et supervision Détection de clusters non protégés Clusters K8 avec Arc PRÉVERSION - Sans agent Gratuit
Déploiement et supervision Provisionnement automatique du capteur Defender Clusters K8 avec Arc PRÉVERSION PRÉVERSION Sans agent Defender pour les conteneurs
Déploiement et supervision Provisionnement automatique de Azure Policy for Kubernetes Clusters K8 avec Arc PRÉVERSION - Sans agent Defender pour les conteneurs

Registres de conteneurs externes

Domain Fonctionnalité Ressources prises en charge État de mise en production Linux État de mise en production Windows Sans agent/basé sur le capteur Niveau tarifaire
Gestion de la posture de sécurité Fonctionnalités d’inventaire complètes Docker Hub , Jfrog Artifactory Aperçu PRÉVERSION Sans agent CSPM Fondamental OU Defender pour les conteneurs OU Defender CSPM
Gestion de la posture de sécurité Analyse du chemin d’attaque Docker Hub , Jfrog Artifactory Aperçu PRÉVERSION Sans agent Defender CSPM
Évaluation des vulnérabilités Analyse de registre sans agent (avec Gestion des vulnérabilités Microsoft Defender) Packages pris en charge Docker Hub , JfFrog Artifactory Aperçu PRÉVERSION Sans agent Defender pour les conteneurs OU CSPM Defender
Évaluation des vulnérabilités Runtime sans agent/basé sur le capteur (avec la Gestion des vulnérabilités Microsoft Defender) packages pris en charge Docker Hub , Jfrog Artifactory Aperçu Aperçu Sans agent OU/ET capteur Defender Defender pour les conteneurs OU CSPM Defender

Distributions et configurations Kubernetes

Aspect Détails
Distributions et configurations Kubernetes Pris en charge via Kubernetes avec Arc 1 2
* Azure Kubernetes Service hybride
* Kubernetes
* Moteur AKS
* Azure Red Hat OpenShift
* Red Hat OpenShift (version 4.6 ou plus récente)
* VMware Tanzu Kubernetes Grid
* Rancher Kubernetes Engine

1 Les clusters Kubernetes certifiés CNCF (Cloud Native Computing Foundation) doivent être pris en charge, mais seuls les clusters spécifiés ont été testés.

2 Pour faire bénéficier à vos environnements de la protection Microsoft Defender pour les conteneurs, vous devez intégrer Kubernetes avec Azure Arc et activer Defender pour les conteneurs en tant qu’extension Arc.

Remarque

Pour plus d’exigences concernant la protection des charges de travail Kubernetes, consultez les limitations existantes.

Systèmes d’exploitation hôtes pris en charge

Defender pour les conteneurs dépend du capteur Defender pour plusieurs fonctionnalités. Le capteur Defender est pris en charge uniquement avec le noyau Linux 5.4 et versions ultérieures, sur les systèmes d’exploitation hôtes suivants :

  • Amazon Linux 2
  • CentOS 8 (CentOS est fin de vie (EOL) à compter du 30 juin 2024. Pour plus d’informations, consultez l’aide sur la fin de vie de CentOS.)
  • Debian 10
  • Debian 11
  • Système d’exploitation optimisé Google Container
  • Mariner 1.0
  • Mariner 2.0
  • Red Hat Enterprise Linux 8
  • Ubuntu 16.04
  • Ubuntu 18.04
  • Ubuntu 20.04
  • Ubuntu 22.04

Vérifiez que votre nœud Kubernetes s’exécute sur l’un de ces systèmes d’exploitation vérifiés. Les clusters avec des systèmes d’exploitation hôtes non pris en charge ne bénéficient pas des avantages des fonctionnalités reposant sur le capteur Defender.

Limitations du capteur Defender

Le capteur Defender dans AKS V1.28 et versions antérieures n’est pas pris en charge sur les nœuds ARM64.

Restrictions réseau

Prise en charge du proxy sortant

Les proxys sortants sans authentification et les proxys sortants avec l’authentification de base sont pris en charge. Les proxys sortants qui attendent des certificats approuvés ne sont pas pris en charge actuellement.

Étapes suivantes