Matrice di supporto dei contenitori in Defender per il cloud
Attenzione
Questo articolo fa riferimento a CentOS, una distribuzione Linux che ha raggiunto lo stato EOL (End of Life, fine del ciclo di vita) il 30 giugno 2024. Valutare le proprie esigenze e pianificare di conseguenza. Per ulteriori informazioni, consultare la Guida alla fine del ciclo di vita di CentOS.
Questo articolo riepiloga le informazioni sul supporto per le funzionalità dei contenitori in Microsoft Defender per il cloud.
Nota
- Le funzionalità specifiche sono in anteprima. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
- Solo le versioni del servizio Azure Kubernetes, EKS e GKE supportate dal fornitore del cloud sono ufficialmente supportate da Defender per il cloud.
Azure
Di seguito sono riportate le funzionalità per ognuno dei domini in Defender per contenitori:
Gestione del comportamento di sicurezza
| Funzionalità | Descrizione | Risorse supportate | Stato della versione Linux | Stato della versione Windows | Metodo di abilitazione | Sensore | Piani | Disponibilità dei cloud di Azure |
|---|---|---|---|---|---|---|---|---|
| Individuazione senza agente per Kubernetes | Fornisce un footprint zero, l'individuazione basata su API dei cluster Kubernetes, le relative configurazioni e distribuzioni. | Servizio Azure Kubernetes | Disponibilità generale | Disponibilità generale | Abilitare l'opzione Individuazione senza agente in Kubernetes | Senza agente | Defender per contenitori O Defender CSPM | Cloud commerciali di Azure |
| Funzionalità complete di inventario | Consente di esplorare risorse, pod, servizi, repository, immagini e configurazioni tramite Esploratore sicurezza per monitorare e gestire facilmente gli asset. | ACR, AKS | Disponibilità generale | Disponibilità generale | Abilitare l'opzione Individuazione senza agente in Kubernetes | Senza agente | Defender per contenitori O Defender CSPM | Cloud commerciali di Azure |
| Analisi del percorso di attacco | Algoritmo basato su grafo che analizza il grafo della sicurezza cloud. Le analisi espongono percorsi sfruttabili che gli utenti malintenzionati potrebbero usare per violare l'ambiente. | ACR, AKS | Disponibilità generale | Disponibilità generale | Attivato con piano | Senza agente | Defender CSPM (richiede l'abilitazione dell'individuazione senza agente per Kubernetes) | Cloud commerciali di Azure |
| Ricerca avanzata dei rischi | Consente agli amministratori della sicurezza di cercare attivamente problemi di comportamento negli asset in contenitori tramite query (predefinite e personalizzate) e informazioni dettagliate sulla sicurezza in Esploratore sicurezza. | ACR, AKS | Disponibilità generale | Disponibilità generale | Abilitare l'opzione Individuazione senza agente in Kubernetes | Senza agente | Defender per contenitori O Defender CSPM | Cloud commerciali di Azure |
| Protezione avanzata del piano di controllo | Valuta continuamente le configurazioni dei cluster e le confronta con le iniziative applicate alle sottoscrizioni. Quando rileva errori di configurazione, Defender per il cloud genera raccomandazioni sulla sicurezza disponibili nella pagina Raccomandazioni di Defender per il cloud. Le raccomandazioni consentono di analizzare e correggere i problemi. | ACR, AKS | Disponibilità generale | Disponibilità generale | Attivato con piano | Senza agente | Gratuito | Cloud commerciali Cloud nazionali: Azure per enti pubblici, Azure con gestione 21Vianet |
| Protezione avanzata del piano dati Kubernetes | Proteggere i carichi di lavoro dei contenitori Kubernetes con raccomandazioni sulle procedure consigliate. | Servizio Azure Kubernetes | Disponibilità generale | - | Abilitare l'opzione Criteri di Azure per Kubernetes | Criteri di Azure | Gratuito | Cloud commerciali Cloud nazionali: Azure per enti pubblici, Azure con gestione 21Vianet |
| Docker CIS | Benchmark CIS Docker | Macchina virtuale, set di scalabilità di macchine virtuali | Disponibilità generale | - | Abilitato con piano | Agente di Log Analytics | Defender per server Piano 2 | Cloud commerciali Cloud nazionali: Azure per enti pubblici, Microsoft Azure con gestione 21Vianet |
Valutazione della vulnerabilità
| Funzionalità | Descrizione | Risorse supportate | Stato della versione Linux | Stato della versione Windows | Metodo di abilitazione | Sensore | Piani | Disponibilità dei cloud di Azure |
|---|---|---|---|---|---|---|---|---|
| Pacchetti supportati dall'analisi del Registro di sistema senza agente (con tecnologia Microsoft Defender Vulnerability Management) | Valutazione delle vulnerabilità per le immagini nel Registro Azure Container | Registro Azure Container, Registro Azure Container privato | Disponibilità generale | Disponibilità generale | Abilitare l'opzione Valutazione della vulnerabilità del contenitore senza agente | Senza agente | Defender per contenitori o Defender CSPM | Cloud commerciali Cloud nazionali: Azure per enti pubblici, Azure con gestione 21Vianet |
| Pacchetti supportati dal runtime senza agente/basato su agente (basato su Microsoft Defender Vulnerability Management) | Valutazione della vulnerabilità per l'esecuzione di immagini nel servizio Azure Kubernetes | Servizio Azure Kubernetes | Disponibilità generale | Disponibilità generale | Abilitare l'opzione Valutazione della vulnerabilità del contenitore senza agente | Senza agente (richiede l'individuazione senza agente per Kubernetes) O/E sensore Defender | Defender per contenitori o Defender CSPM | Cloud commerciali Cloud nazionali: Azure per enti pubblici, Azure con gestione 21Vianet |
Protezione dalle minacce di runtime
| Funzionalità | Descrizione | Risorse supportate | Stato della versione Linux | Stato della versione Windows | Metodo di abilitazione | Sensore | Piani | Disponibilità dei cloud di Azure |
|---|---|---|---|---|---|---|---|---|
| Piano di controllo | Rilevamento di attività sospette per Kubernetes in base all'audit trail di Kubernetes | Servizio Azure Kubernetes | Disponibilità generale | Disponibilità generale | Abilitato con piano | Senza agente | Defender per contenitori | Cloud commerciali Cloud nazionali: Azure per enti pubblici, Azure con gestione 21Vianet |
| Carico di lavoro | Rilevamento di attività sospette per Kubernetes a livello di cluster, livello di nodo e livello di carico di lavoro | Servizio Azure Kubernetes | Disponibilità generale | - | Abilitare Sensore Defender in Azure OPPURE distribuire sensori Defender in singoli cluster | Sensore Defender | Defender per contenitori | Cloud commerciali Cloud nazionali: Azure per enti pubblici, Azure China (21Vianet) |
Distribuzione e monitoraggio
| Funzionalità | Descrizione | Risorse supportate | Stato della versione Linux | Stato della versione Windows | Metodo di abilitazione | Sensore | Piani | Disponibilità dei cloud di Azure |
|---|---|---|---|---|---|---|---|---|
| Individuazione di cluster non protetti | Individuazione dei cluster Kubernetes mancanti nei sensori Defender | Servizio Azure Kubernetes | Disponibilità generale | Disponibilità generale | Abilitato con piano | Senza agente | Gratuito | Cloud commerciali Cloud nazionali: Azure per enti pubblici, Azure con gestione 21Vianet |
| Provisioning automatico del sensore Defender | Distribuzione automatica del sensore Defender | Servizio Azure Kubernetes | Disponibilità generale | - | Abilitare l'opzione Sensore Defender in Azure | Senza agente | Defender per contenitori | Cloud commerciali Cloud nazionali: Azure per enti pubblici, Azure con gestione 21Vianet |
| Provisioning automatico di Criteri di Azure per Kubernetes | Distribuzione automatica del sensore criteri di Azure per Kubernetes | Servizio Azure Kubernetes | Disponibilità generale | - | Abilitare l'opzione Criteri di Azure per Kubernetes | Senza agente | Gratuito | Cloud commerciali Cloud nazionali: Azure per enti pubblici, Azure con gestione 21Vianet |
Supporto di registri e immagini per Azure - Valutazione della vulnerabilità basata sulla gestione delle vulnerabilità di Microsoft Defender
| Aspetto | Dettagli |
|---|---|
| Registri e immagini | Supportata * Registri del Registro Azure Container * Registri del Registro Azure Container protetti con collegamento privato di Azure (i registri privati richiedono l'accesso a Servizi attendibili) * Immagini del contenitore in formato Docker V2 * Immagini con specifica del formato di immagine OCI (Open Container Initiative) Non supportata * Immagini super-minimaliste come immagini docker scratch supporto attualmente non presente |
| Sistemi operativi | Supportata * Alpine Linux 3.12-3.19 * Red Hat Enterprise Linux 6-9 * CentOS 6-9. CentOS ha raggiunto il periodo EOL il 30 giugno 2024. Per altre informazioni, vedere le Linee guida per la fine del ciclo di vita di CentOS. * Oracle Linux 6-9 * Amazon Linux 1, 2 * openSUSE Leap, openSUSE Tumbleweed * SUSE Enterprise Linux 11-15 * Debian GNU/Linux 7-12 * Google Distroless (basato su Debian GNU/Linux 7-12) * Ubuntu 12.04-22.04 * Fedora 31-37 * Mariner 1-2 * Windows Server 2016, 2019, 2022 |
| Pacchetti specifici della lingua |
Supportata *Pitone * Node.js *.RETE *GIAVA *Andare |
Distribuzioni e configurazioni Kubernetes per Azure - Protezione dalle minacce di runtime
| Aspetto | Dettagli |
|---|---|
| Distribuzioni e configurazioni Kubernetes | Supportata * servizio Azure Kubernetes (AKS) con il controllo degli accessi in base al ruolo di Kubernetes Supportato tramite Kubernetes abilitato per Arc 1 2 * servizio Azure Kubernetes ibrido * Kubernetes * Motore del servizio Azure Kubernetes * Azure Red Hat OpenShift |
1 I cluster Kubernetes certificati Cloud Native Computing Foundation (CNF) sono potenzialmente supportati, ma sono stati testati in Azure solo i cluster specificati.
2 Per ottenere la protezione di Microsoft Defender per contenitori per gli ambienti, è necessario eseguire l'onboarding di Kubernetes abilitato per Azure Arc e abilitare Defender per contenitori come estensione Arc.
Nota
Per altri requisiti per la protezione del carico di lavoro Kubernetes, vedere limitazioni esistenti.
AWS
| Domain | Funzionalità | Risorse supportate | Stato della versione Linux | Stato della versione Windows | Senza agente/basato su sensore | Piano tariffario |
|---|---|---|---|---|---|---|
| Gestione del comportamento di sicurezza | Individuazione senza agente per Kubernetes | EKS | Disponibilità generale | Disponibilità generale | Senza agente | Defender per contenitori O Defender CSPM |
| Gestione del comportamento di sicurezza | Funzionalità complete di inventario | ECR, EKS | Disponibilità generale | Disponibilità generale | Senza agente | Defender per contenitori O Defender CSPM |
| Gestione del comportamento di sicurezza | Analisi del percorso di attacco | ECR, EKS | Disponibilità generale | Disponibilità generale | Senza agente | Defender CSPM |
| Gestione del comportamento di sicurezza | Ricerca avanzata dei rischi | ECR, EKS | Disponibilità generale | Disponibilità generale | Senza agente | Defender per contenitori O Defender CSPM |
| Gestione del comportamento di sicurezza | Docker CIS | EC2 | Disponibilità generale | - | Agente di Log Analytics | Defender per server Piano 2 |
| Gestione del comportamento di sicurezza | Protezione avanzata del piano di controllo | - | - | - | - | - |
| Gestione del comportamento di sicurezza | Protezione avanzata del piano dati Kubernetes | EKS | Disponibilità generale | - | Criteri di Azure per Kubernetes | Defender per contenitori |
| Valutazione della vulnerabilità | Pacchetti supportati dall'analisi del Registro di sistema senza agente (con tecnologia Microsoft Defender Vulnerability Management) | ECR | Disponibilità generale | Disponibilità generale | Senza agente | Defender per contenitori o Defender CSPM |
| Valutazione della vulnerabilità | Pacchetti supportati dal runtime senza agente/basato su sensori (basato su Microsoft Defender Vulnerability Management) | EKS | Disponibilità generale | Disponibilità generale | Sensore Defender OR/AND senza agente | Defender per contenitori o Defender CSPM |
| Protezione del runtime | Piano di controllo | EKS | Disponibilità generale | Disponibilità generale | Senza agente | Defender per contenitori |
| Protezione del runtime | Carico di lavoro | EKS | Disponibilità generale | - | Sensore Defender | Defender per contenitori |
| Distribuzione e monitoraggio | Individuazione di cluster non protetti | EKS | Disponibilità generale | Disponibilità generale | Senza agente | Defender per contenitori |
| Distribuzione e monitoraggio | Provisioning automatico del sensore Defender | EKS | Disponibilità generale | - | - | - |
| Distribuzione e monitoraggio | Provisioning automatica di Criteri di Azure per Kubernetes | EKS | Disponibilità generale | - | - | - |
Supporto di registri e immagini per AWS - Valutazione della vulnerabilità basata sulla gestione delle vulnerabilità di Microsoft Defender
| Aspetto | Dettagli |
|---|---|
| Registri e immagini | Supportata * Registri ECR * Immagini del contenitore in formato Docker V2 * Immagini con specifica del formato di immagine OCI (Open Container Initiative) Non supportata * Immagini super-minimaliste, ad esempio immagini Docker scratch non sono attualmente supportate * Repository pubblici * Elenchi di manifesti |
| Sistemi operativi | Supportata * Alpine Linux 3.12-3.19 * Red Hat Enterprise Linux 6-9 * CentOS 6-9 (CentOS è End Of Life (EOL) a partire dal 30 giugno 2024. Per altre informazioni, vedere le Linee guida per la fine del ciclo di vita di CentOS. * Oracle Linux 6-9 * Amazon Linux 1, 2 * openSUSE Leap, openSUSE Tumbleweed * SUSE Enterprise Linux 11-15 * Debian GNU/Linux 7-12 * Google Distroless (basato su Debian GNU/Linux 7-12) * Ubuntu 12.04-22.04 * Fedora 31-37 * Mariner 1-2 * Windows server 2016, 2019, 2022 |
| Pacchetti specifici della lingua |
Supportata *Pitone * Node.js *.RETE *GIAVA *Andare |
Supporto di distribuzioni/configurazioni di Kubernetes per AWS - Protezione dalle minacce di runtime
| Aspetto | Dettagli |
|---|---|
| Distribuzioni e configurazioni Kubernetes | Supportata • * Amazon Elastic Kubernetes Service (EKS) Supportato tramite Kubernetes abilitato per Arc 1 2 * Kubernetes Non supportata * Cluster privati del servizio Azure Kubernetes |
1 I cluster Kubernetes certificati Cloud Native Computing Foundation (CNF) sono potenzialmente supportati, ma sono stati testati solo i cluster specificati.
2 Per ottenere la protezione di Microsoft Defender per contenitori per gli ambienti, è necessario eseguire l'onboarding di Kubernetes abilitato per Azure Arc e abilitare Defender per contenitori come estensione Arc.
Nota
Per altri requisiti per la protezione del carico di lavoro Kubernetes, vedere limitazioni esistenti.
Supporto proxy per traffico in uscita - AWS
Il proxy in uscita senza autenticazione e proxy in uscita con autenticazione di base è supportato. Il proxy in uscita che prevede certificati attendibili non è attualmente supportato.
Cluster con restrizioni IP - AWS
Se il cluster Kubernetes in AWS ha restrizioni IP del piano di controllo abilitate (vedere Controllo di accesso degli endpoint del cluster Amazon EKS - Amazon EKS, ), la configurazione della restrizione IP del piano di controllo viene aggiornata per includere il blocco CIDR di Microsoft Defender per il cloud.
GCP
| Domain | Funzionalità | Risorse supportate | Stato della versione Linux | Stato della versione Windows | Senza agente/basato su sensore | Piano tariffario |
|---|---|---|---|---|---|---|
| Gestione del comportamento di sicurezza | Individuazione senza agente per Kubernetes | GKE | Disponibilità generale | Disponibilità generale | Senza agente | Defender per contenitori O Defender CSPM |
| Gestione del comportamento di sicurezza | Funzionalità complete di inventario | GAR, GCR, GKE | Disponibilità generale | Disponibilità generale | Senza agente | Defender per contenitori O Defender CSPM |
| Gestione del comportamento di sicurezza | Analisi del percorso di attacco | GAR, GCR, GKE | Disponibilità generale | Disponibilità generale | Senza agente | Defender CSPM |
| Gestione del comportamento di sicurezza | Ricerca avanzata dei rischi | GAR, GCR, GKE | Disponibilità generale | Disponibilità generale | Senza agente | Defender per contenitori O Defender CSPM |
| Gestione del comportamento di sicurezza | Docker CIS | Macchine virtuali GCP | Disponibilità generale | - | Agente di Log Analytics | Defender per server Piano 2 |
| Gestione del comportamento di sicurezza | Protezione avanzata del piano di controllo | GKE | Disponibilità generale | Disponibilità generale | Senza agente | Gratuito |
| Gestione del comportamento di sicurezza | Protezione avanzata del piano dati Kubernetes | GKE | Disponibilità generale | - | Criteri di Azure per Kubernetes | Defender per contenitori |
| Valutazione della vulnerabilità | Pacchetti supportati dall'analisi del Registro di sistema senza agente (con tecnologia Microsoft Defender Vulnerability Management) | GAR, GCR | Disponibilità generale | Disponibilità generale | Senza agente | Defender per contenitori o Defender CSPM |
| Valutazione della vulnerabilità | Pacchetti supportati dal runtime senza agente/basato su sensori (basato su Microsoft Defender Vulnerability Management) | GKE | Disponibilità generale | Disponibilità generale | Sensore Defender OR/AND senza agente | Defender per contenitori o Defender CSPM |
| Protezione del runtime | Piano di controllo | GKE | Disponibilità generale | Disponibilità generale | Senza agente | Defender per contenitori |
| Protezione del runtime | Carico di lavoro | GKE | Disponibilità generale | - | Sensore Defender | Defender per contenitori |
| Distribuzione e monitoraggio | Individuazione di cluster non protetti | GKE | Disponibilità generale | Disponibilità generale | Senza agente | Defender per contenitori |
| Distribuzione e monitoraggio | Provisioning automatico del sensore Defender | GKE | Disponibilità generale | - | Senza agente | Defender per contenitori |
| Distribuzione e monitoraggio | Provisioning automatica di Criteri di Azure per Kubernetes | GKE | Disponibilità generale | - | Senza agente | Defender per contenitori |
Supporto di registri e immagini per GCP - Valutazione della vulnerabilità basata sulla gestione delle vulnerabilità di Microsoft Defender
| Aspetto | Dettagli |
|---|---|
| Registri e immagini | Supportata * Registri Google (GAR, GCR) * Immagini del contenitore in formato Docker V2 * Immagini con specifica del formato di immagine OCI (Open Container Initiative) Non supportata * Immagini super-minimaliste, ad esempio immagini Docker scratch non sono attualmente supportate * Repository pubblici * Elenchi di manifesti |
| Sistemi operativi | Supportata * Alpine Linux 3.12-3.19 * Red Hat Enterprise Linux 6-9 * CentOS 6-9 (CentOS è End Of Life (EOL) a partire dal 30 giugno 2024. Per altre informazioni, vedere le Linee guida per la fine del ciclo di vita di CentOS. * Oracle Linux 6-9 * Amazon Linux 1, 2 * openSUSE Leap, openSUSE Tumbleweed * SUSE Enterprise Linux 11-15 * Debian GNU/Linux 7-12 * Google Distroless (basato su Debian GNU/Linux 7-12) * Ubuntu 12.04-22.04 * Fedora 31-37 * Mariner 1-2 * Windows server 2016, 2019, 2022 |
| Pacchetti specifici della lingua |
Supportata *Pitone * Node.js *.RETE *GIAVA *Andare |
Supporto di distribuzioni/configurazioni di Kubernetes per GCP - Protezione dalle minacce di runtime
| Aspetto | Dettagli |
|---|---|
| Distribuzioni e configurazioni Kubernetes | Supportata * Google Kubernetes Engine (GKE) Standard Supportato tramite Kubernetes abilitato per Arc 1 2 * Kubernetes Non supportata * Cluster di rete privata * GKE autopilot * GKE AuthorizedNetworksConfig |
1 I cluster Kubernetes certificati Cloud Native Computing Foundation (CNF) sono potenzialmente supportati, ma sono stati testati solo i cluster specificati.
2 Per ottenere la protezione di Microsoft Defender per contenitori per gli ambienti, è necessario eseguire l'onboarding di Kubernetes abilitato per Azure Arc e abilitare Defender per contenitori come estensione Arc.
Nota
Per altri requisiti per la protezione del carico di lavoro Kubernetes, vedere limitazioni esistenti.
Supporto proxy per traffico in uscita - GCP
Il proxy in uscita senza autenticazione e proxy in uscita con autenticazione di base è supportato. Il proxy in uscita che prevede certificati attendibili non è attualmente supportato.
Cluster con restrizioni IP - GCP
Se il cluster Kubernetes in GCP ha restrizioni IP del piano di controllo abilitate (vedere Aggiungere reti autorizzate per l'accesso al piano di controllo | Google Kubernetes Engine (GKE) | Google Cloud ), la configurazione delle restrizioni IP del piano di controllo viene aggiornata per includere il blocco CIDR di Microsoft Defender per il cloud.
Cluster Kubernetes locali abilitati per Arc
| Domain | Funzionalità | Risorse supportate | Stato della versione Linux | Stato della versione Windows | Senza agente/basato su sensore | Piano tariffario |
|---|---|---|---|---|---|---|
| Gestione del comportamento di sicurezza | Docker CIS | Macchine virtuali con abilitazione Arc | Anteprima | - | Agente di Log Analytics | Defender per server Piano 2 |
| Gestione del comportamento di sicurezza | Protezione avanzata del piano di controllo | - | - | - | - | - |
| Gestione del comportamento di sicurezza | Protezione avanzata del piano dati Kubernetes | Cluster K8s abilitati per Arc | Disponibilità generale | - | Criteri di Azure per Kubernetes | Defender per contenitori |
| Protezione del runtime | Protezione dalle minacce (piano di controllo) | Cluster OpenShift abilitati per Arc | Anteprima | Anteprima | Sensore Defender | Defender per contenitori |
| Protezione del runtime | Protezione dalle minacce (carico di lavoro) | Cluster OpenShift abilitati per Arc | Anteprima | - | Sensore Defender | Defender per contenitori |
| Distribuzione e monitoraggio | Individuazione di cluster non protetti | Cluster K8s abilitati per Arc | Anteprima | - | Senza agente | Gratuito |
| Distribuzione e monitoraggio | Provisioning automatico del sensore Defender | Cluster K8s abilitati per Arc | Anteprima | Anteprima | Senza agente | Defender per contenitori |
| Distribuzione e monitoraggio | Provisioning automatica di Criteri di Azure per Kubernetes | Cluster K8s abilitati per Arc | Anteprima | - | Senza agente | Defender per contenitori |
Registri contenitori esterni
| Domain | Funzionalità | Risorse supportate | Stato della versione Linux | Stato della versione Windows | Senza agente/basato su sensore | Piano tariffario |
|---|---|---|---|---|---|---|
| Gestione del comportamento di sicurezza | Funzionalità complete di inventario | Hub docker | Anteprima | Anteprima | Senza agente | CSPM di base O Defender per contenitori O CSPM Defender |
| Gestione del comportamento di sicurezza | Analisi del percorso di attacco | Hub docker | Anteprima | Anteprima | Senza agente | Defender CSPM |
| Valutazione della vulnerabilità | Pacchetti supportati dall'analisi del Registro di sistema senza agente (con tecnologia Microsoft Defender Vulnerability Management) | Hub docker | Anteprima | Anteprima | Senza agente | Defender per contenitori O Defender CSPM |
| Valutazione della vulnerabilità | Pacchetti supportati dal runtime senza agente/basato su sensori (basato su Microsoft Defender Vulnerability Management) | Hub docker | Anteprima | Anteprima | Sensore Defender OR/AND senza agente | Defender per contenitori O Defender CSPM |
Distribuzioni e configurazioni Kubernetes
| Aspetto | Dettagli |
|---|---|
| Distribuzioni e configurazioni Kubernetes | Supportato tramite Kubernetes abilitato per Arc 1 2 * servizio Azure Kubernetes ibrido * Kubernetes * Motore del servizio Azure Kubernetes * Azure Red Hat OpenShift * Red Hat OpenShift (versione 4.6 o successiva) * Griglia Kubernetes di VMware Tanzu * Rancher Kubernetes Engine |
1 I cluster Kubernetes certificati Cloud Native Computing Foundation (CNF) sono potenzialmente supportati, ma sono stati testati solo i cluster specificati.
2 Per ottenere la protezione di Microsoft Defender per contenitori per gli ambienti, è necessario eseguire l'onboarding di Kubernetes abilitato per Azure Arc e abilitare Defender per contenitori come estensione Arc.
Nota
Per altri requisiti per la protezione del carico di lavoro Kubernetes, vedere limitazioni esistenti.
Sistemi operativi host supportati
Defender per contenitori si basa sul sensore Defender per diverse funzionalità. Il sensore Defender è supportato solo con Linux Kernel 5.4 e versioni successive, nei sistemi operativi host seguenti:
- Amazon Linux 2
- CentOS 8 ha raggiunto il periodo EOL il 30 giugno 2024. Per altre informazioni, vedere le Linee guida per la fine del ciclo di vita di CentOS.
- Debian 10
- Debian 11
- Sistema operativo ottimizzato per Google Container
- Mariner 1.0
- Mariner 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
Verificare che il nodo Kubernetes sia in esecuzione in uno di questi sistemi operativi verificati. I cluster con sistemi operativi host non supportati non ottengono i vantaggi delle funzionalità che si basano sul sensore di Defender.
Limitazioni dei sensori di Defender
Il sensore Defender in AKS V1.28 e versioni successive non è supportato sui nodi Arm64.
Restrizioni di rete
Supporto proxy in uscita
Il proxy in uscita senza autenticazione e proxy in uscita con autenticazione di base è supportato. Il proxy in uscita che prevede certificati attendibili non è attualmente supportato.
Passaggi successivi
- Informazioni su come Defender per il cloud raccoglie i dati usando l'agente di Log Analytics.
- Informazioni su come Defender per il cloud gestisce e protegge i dati.
- Esaminare le piattaforme che supportano Defender per il cloud.