Matice podpory kontejnerů v defenderu pro cloud
Upozornění
Tento článek odkazuje na CentOS, linuxovou distribuci, která je od 30. června 2024 konce životnosti (EOL). Zvažte své použití a plánování odpovídajícím způsobem. Další informace najdete v doprovodných materiálech CentOS End Of Life.
Tento článek shrnuje informace o podpoře pro funkce kontejnerů v programu Microsoft Defender for Cloud.
Poznámka:
- Konkrétní funkce jsou ve verzi Preview. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
- Defender for Cloud oficiálně podporuje jenom verze AKS, EKS a GKE podporované dodavatelem cloudu.
Azure
Níže jsou uvedené funkce pro každou z domén v programu Defender for Containers:
Správa stavu zabezpečení
| Funkce | Popis | Podporované prostředky | Stav vydání Linuxu | Stav vydání Windows | Metoda Enablement | Senzor | Plány | Dostupnost cloudů Azure |
|---|---|---|---|---|---|---|---|---|
| Zjišťování bez agentů pro Kubernetes | Poskytuje nulové nároky na využití, zjišťování clusterů Kubernetes založených na rozhraní API, jejich konfigurace a nasazení. | AKS | GA | GA | Povolení zjišťování bez agentů na přepínači Kubernetes | Bez agenta | Defender for Containers OR Defender – CSPM | Komerční cloudy Azure |
| Komplexní možnosti inventáře | Umožňuje zkoumat prostředky, pody, služby, úložiště, image a konfigurace prostřednictvím Průzkumníka zabezpečení a snadno monitorovat a spravovat vaše prostředky. | ACR, AKS | GA | GA | Povolení zjišťování bez agentů na přepínači Kubernetes | Bez agenta | Defender for Containers OR Defender – CSPM | Komerční cloudy Azure |
| Analýza cesty útoku | Grafový algoritmus, který prohledá graf zabezpečení cloudu. Kontroly zpřístupňují zneužitelné cesty, které by útočníci mohli použít k narušení vašeho prostředí. | ACR, AKS | GA | GA | Aktivováno s plánem | Bez agenta | CsPM v programu Defender (vyžaduje, aby bylo povolené zjišťování bez agentů pro Kubernetes) | Komerční cloudy Azure |
| Rozšířené proaktivní vyhledávání rizik | Umožňuje správcům zabezpečení aktivně vyhledávat problémy s stavem v kontejnerizovaných prostředcích prostřednictvím dotazů (integrovaných a vlastních) a přehledů zabezpečení v Průzkumníku zabezpečení. | ACR, AKS | GA | GA | Povolení zjišťování bez agentů na přepínači Kubernetes | Bez agenta | Defender for Containers OR Defender – CSPM | Komerční cloudy Azure |
| Posílení řídicí roviny | Průběžně vyhodnocuje konfigurace vašich clusterů a porovnává je s iniciativami použitými u vašich předplatných. Když najde chybné konfigurace, Defender for Cloud vygeneruje doporučení zabezpečení, která jsou k dispozici na stránce Doporučení pro Defender for Cloud. Doporučení vám umožňují prozkoumat a opravit problémy. | ACR, AKS | GA | GA | Aktivováno s plánem | Bez agenta | Bezplatný | Komerční cloudy Národní cloudy: Azure Government, Azure provozovaný společností 21Vianet |
| Posílení zabezpečení roviny dat Kubernetes | Chraňte úlohy kontejnerů Kubernetes s doporučeními osvědčených postupů. | AKS | GA | - | Povolení přepínače Azure Policy pro Kubernetes | Azure Policy | Bezplatný | Komerční cloudy Národní cloudy: Azure Government, Azure provozovaný společností 21Vianet |
| Docker CIS | Srovnávací test CIS Dockeru | Virtuální počítač, škálovací sada virtuálních počítačů | GA | - | Povoleno s plánem | Agent Log Analytics | Defender for Servers Plan 2 | Komerční cloudy Národní cloudy: Azure Government, Microsoft Azure provozovaný společností 21Vianet |
Posouzení ohrožení zabezpečení
Ochrana před internetovými útoky za běhu
| Funkce | Popis | Podporované prostředky | Stav vydání Linuxu | Stav vydání Windows | Metoda Enablement | Senzor | Plány | Dostupnost cloudů Azure |
|---|---|---|---|---|---|---|---|---|
| Řídicí rovina | Detekce podezřelé aktivity pro Kubernetes na základě záznamu auditu Kubernetes | AKS | GA | GA | Povoleno s plánem | Bez agenta | Defender pro kontejnery | Komerční cloudy Národní cloudy: Azure Government, Azure provozovaný společností 21Vianet |
| Úloha | Detekce podezřelé aktivity pro Kubernetes pro úroveň clusteru, úroveň uzlu a úroveň úloh | AKS | GA | - | Povolení senzoru Defenderu v Azure nebo nasazení senzorů Defenderu na jednotlivé clustery | Senzor defenderu | Defender pro kontejnery | Komerční cloudy Národní cloudy: Azure Government, Azure China 21Vianet |
Nasazení a monitorování
| Funkce | Popis | Podporované prostředky | Stav vydání Linuxu | Stav vydání Windows | Metoda Enablement | Senzor | Plány | Dostupnost cloudů Azure |
|---|---|---|---|---|---|---|---|---|
| Zjišťování nechráněných clusterů | Zjišťování clusterů Kubernetes s chybějícími senzory Defenderu | AKS | GA | GA | Povoleno s plánem | Bez agenta | Bezplatný | Komerční cloudy Národní cloudy: Azure Government, Azure provozovaný společností 21Vianet |
| Automatické zřizování senzoru Defenderu | Automatické nasazení senzoru Defenderu | AKS | GA | - | Přepínač Povolení senzoru Defenderu v Azure | Bez agenta | Defender pro kontejnery | Komerční cloudy Národní cloudy: Azure Government, Azure provozovaný společností 21Vianet |
| Automatické zřizování Azure Policy pro Kubernetes | Automatické nasazení senzoru zásad Azure pro Kubernetes | AKS | GA | - | Povolení přepínače Azure Policy pro Kubernetes | Bez agenta | Bezplatný | Komerční cloudy Národní cloudy: Azure Government, Azure provozovaný společností 21Vianet |
Podpora registrů a imagí pro Azure – Posouzení ohrožení zabezpečení s využitím Microsoft Defender Správa zranitelností
| Aspekt | Detaily |
|---|---|
| Registry a image | Podporuje se • Registry ACR • Registry ACR chráněné službou Azure Private Link (privátní registry vyžadují přístup k důvěryhodným službám) • Image kontejnerů ve formátu Docker V2 • Image se specifikací formátu image Open Container Initiative (OCI) Nepodporuje se • Super-minimalistické obrázky, jako jsou pomocné image Dockeru je momentálně nepodporovaný. |
| Operační systémy | Podporuje se • Alpine Linux 3.12-3.19 • Red Hat Enterprise Linux 6-9 • CentOS 6-9. (CentOS je konec životnosti (EOL) od 30. června 2024. Další informace najdete v doprovodných materiálech CentOS End Of Life.) • Oracle Linux 6-9 • Amazon Linux 1, 2 • openSUSE Leap, openSUSE Tumbleweed • SUSE Enterprise Linux 11-15 • Debian GNU/Linux 7-12 • Google Distroless (založený na Debian GNU/Linux 7-12) • Ubuntu 12.04-22.04 • Fedora 31-37 • Mariner 1-2 • Windows Server 2016, 2019, 2022 |
| Balíčky specifické pro jazyk |
Podporuje se •Krajta • Node.js •.SÍŤ •JAVA •Jít |
Distribuce a konfigurace Kubernetes pro Azure – Ochrana před internetovými útoky za běhu
| Aspekt | Detaily |
|---|---|
| Distribuce a konfigurace Kubernetes | Podporuje se • Azure Kubernetes Service (AKS) s RBAC Kubernetes Podporováno prostřednictvím Kubernetes s podporou Arc 1 2 • Hybridní služba Azure Kubernetes Service • Kubernetes • Modul AKS • Azure Red Hat OpenShift |
1 Všechny clustery Kubernetes s certifikací CLOUD Native Computing Foundation (CNCF) by se měly podporovat, ale v Azure byly testovány pouze zadané clustery.
2 Pokud chcete získat ochranu Microsoft Defenderu pro kontejnery pro vaše prostředí, musíte nasadit Kubernetes s podporou Azure Arc a povolit Defender for Containers jako rozšíření Arc.
Poznámka:
Další požadavky na ochranu úloh Kubernetes najdete v existujících omezeních.
AWS
| Doména | Funkce | Podporované prostředky | Stav vydání Linuxu | Stav vydání Windows | Bez agentů nebo senzory | Cenová úroveň |
|---|---|---|---|---|---|---|
| Správa stavu zabezpečení | Zjišťování bez agentů pro Kubernetes | EKS | GA | GA | Bez agenta | Defender for Containers OR Defender – CSPM |
| Správa stavu zabezpečení | Komplexní možnosti inventáře | ECR, EKS | GA | GA | Bez agenta | Defender for Containers OR Defender – CSPM |
| Správa stavu zabezpečení | Analýza cesty útoku | ECR, EKS | GA | GA | Bez agenta | Defender CSPM |
| Správa stavu zabezpečení | Rozšířené proaktivní vyhledávání rizik | ECR, EKS | GA | GA | Bez agenta | Defender for Containers OR Defender – CSPM |
| Správa stavu zabezpečení | Docker CIS | EC2 | GA | - | Agent Log Analytics | Defender for Servers Plan 2 |
| Správa stavu zabezpečení | Posílení řídicí roviny | - | - | - | - | - |
| Správa stavu zabezpečení | Posílení zabezpečení roviny dat Kubernetes | EKS | GA | - | Azure Policy pro Kubernetes | Defender pro kontejnery |
| Posouzení ohrožení zabezpečení | Podporované balíčky pro kontrolu registru bez agentů (s podporou Microsoft Defender Správa zranitelností) | ECR | GA | GA | Bez agenta | Defender for Containers nebo CSPM v programu Defender |
| Posouzení ohrožení zabezpečení | Podporované balíčky bez agenta nebo modul runtime založené na senzorech (s podporou Microsoft Defender Správa zranitelností) | EKS | GA | GA | Snímač bez agentů NEBO/AND Defender | Defender for Containers nebo CSPM v programu Defender |
| Ochrana za běhu | Řídicí rovina | EKS | GA | GA | Bez agenta | Defender pro kontejnery |
| Ochrana za běhu | Úloha | EKS | GA | - | Senzor defenderu | Defender pro kontejnery |
| Nasazení a monitorování | Zjišťování nechráněných clusterů | EKS | GA | GA | Bez agenta | Defender pro kontejnery |
| Nasazení a monitorování | Automatické zřizování senzoru Defenderu | EKS | GA | - | - | - |
| Nasazení a monitorování | Automatické zřizování služby Azure Policy pro Kubernetes | EKS | GA | - | - | - |
Podpora registrů a imagí pro AWS – posouzení ohrožení zabezpečení s využitím Microsoft Defender Správa zranitelností
| Aspekt | Detaily |
|---|---|
| Registry a image | Podporuje se • Registry ECR • Image kontejnerů ve formátu Docker V2 • Image se specifikací formátu image Open Container Initiative (OCI) Nepodporuje se • V současné době se nepodporují super minimalistické image, jako jsou pomocné image Dockeru. • Veřejná úložiště • Seznamy manifestů |
| Operační systémy | Podporuje se • Alpine Linux 3.12-3.19 • Red Hat Enterprise Linux 6-9 • CentOS 6-9 (CentOS je konec životnosti (EOL) od 30. června 2024. Další informace najdete v doprovodných materiálech CentOS End Of Life.) • Oracle Linux 6-9 • Amazon Linux 1, 2 • openSUSE Leap, openSUSE Tumbleweed • SUSE Enterprise Linux 11-15 • Debian GNU/Linux 7-12 • Google Distroless (založený na Debian GNU/Linux 7-12) • Ubuntu 12.04-22.04 • Fedora 31-37 • Mariner 1-2 • Windows Server 2016, 2019, 2022 |
| Balíčky specifické pro jazyk |
Podporuje se •Krajta • Node.js •.SÍŤ •JAVA •Jít |
Podpora distribucí a konfigurací Kubernetes pro AWS – Ochrana před internetovými útoky za běhu
| Aspekt | Detaily |
|---|---|
| Distribuce a konfigurace Kubernetes | Podporuje se • Amazon Elastic Kubernetes Service (EKS) Podporováno prostřednictvím Kubernetes s podporou Arc 1 2 • Kubernetes Nepodporuje se • Privátní clustery EKS |
1 Všechny clustery Kubernetes certifikované pro CLOUD Native Computing Foundation (CNCF) by se měly podporovat, ale testovaly se pouze zadané clustery.
2 Pokud chcete získat ochranu Microsoft Defenderu pro kontejnery pro vaše prostředí, musíte nasadit Kubernetes s podporou Azure Arc a povolit Defender for Containers jako rozšíření Arc.
Poznámka:
Další požadavky na ochranu úloh Kubernetes najdete v existujících omezeních.
Podpora odchozího proxy serveru – AWS
Odchozí proxy server bez ověřování a odchozí proxy server se základním ověřováním jsou podporovány. Odchozí proxy server, který očekává důvěryhodné certifikáty, není v současné době podporován.
Clustery s omezeními IP adres – AWS
Pokud má váš cluster Kubernetes v AWS povolené omezení IP roviny řízení (viz Řízení přístupu ke koncovému bodu clusteru Amazon EKS – Amazon EKS), aktualizuje se konfigurace omezení IP řídicí roviny tak, aby zahrnovala blok CIDR programu Microsoft Defender for Cloud.
GCP
| Doména | Funkce | Podporované prostředky | Stav vydání Linuxu | Stav vydání Windows | Bez agentů nebo senzory | Cenová úroveň |
|---|---|---|---|---|---|---|
| Správa stavu zabezpečení | Zjišťování bez agentů pro Kubernetes | GKE | GA | GA | Bez agenta | Defender for Containers OR Defender – CSPM |
| Správa stavu zabezpečení | Komplexní možnosti inventáře | GAR, GCR, GKE | GA | GA | Bez agenta | Defender for Containers OR Defender – CSPM |
| Správa stavu zabezpečení | Analýza cesty útoku | GAR, GCR, GKE | GA | GA | Bez agenta | Defender CSPM |
| Správa stavu zabezpečení | Rozšířené proaktivní vyhledávání rizik | GAR, GCR, GKE | GA | GA | Bez agenta | Defender for Containers OR Defender – CSPM |
| Správa stavu zabezpečení | Docker CIS | Virtuální počítače GCP | GA | - | Agent Log Analytics | Defender for Servers Plan 2 |
| Správa stavu zabezpečení | Posílení řídicí roviny | GKE | GA | GA | Bez agenta | Bezplatný |
| Správa stavu zabezpečení | Posílení zabezpečení roviny dat Kubernetes | GKE | GA | - | Azure Policy pro Kubernetes | Defender pro kontejnery |
| Posouzení ohrožení zabezpečení | Podporované balíčky pro kontrolu registru bez agentů (s podporou Microsoft Defender Správa zranitelností) | GAR, GCR | GA | GA | Bez agenta | Defender for Containers nebo CSPM v programu Defender |
| Posouzení ohrožení zabezpečení | Podporované balíčky bez agenta nebo modul runtime založené na senzorech (s podporou Microsoft Defender Správa zranitelností) | GKE | GA | GA | Snímač bez agentů NEBO/AND Defender | Defender for Containers nebo CSPM v programu Defender |
| Ochrana za běhu | Řídicí rovina | GKE | GA | GA | Bez agenta | Defender pro kontejnery |
| Ochrana za běhu | Úloha | GKE | GA | - | Senzor defenderu | Defender pro kontejnery |
| Nasazení a monitorování | Zjišťování nechráněných clusterů | GKE | GA | GA | Bez agenta | Defender pro kontejnery |
| Nasazení a monitorování | Automatické zřizování senzoru Defenderu | GKE | GA | - | Bez agenta | Defender pro kontejnery |
| Nasazení a monitorování | Automatické zřizování služby Azure Policy pro Kubernetes | GKE | GA | - | Bez agenta | Defender pro kontejnery |
Podpora registrů a imagí pro GCP – Posouzení ohrožení zabezpečení s využitím Microsoft Defender Správa zranitelností
| Aspekt | Detaily |
|---|---|
| Registry a image | Podporuje se • Registry Google (GAR, GCR) • Image kontejnerů ve formátu Docker V2 • Image se specifikací formátu image Open Container Initiative (OCI) Nepodporuje se • V současné době se nepodporují super minimalistické image, jako jsou pomocné image Dockeru. • Veřejná úložiště • Seznamy manifestů |
| Operační systémy | Podporuje se • Alpine Linux 3.12-3.19 • Red Hat Enterprise Linux 6-9 • CentOS 6-9 (CentOS je konec životnosti (EOL) od 30. června 2024. Další informace najdete v doprovodných materiálech CentOS End Of Life.) • Oracle Linux 6-9 • Amazon Linux 1, 2 • openSUSE Leap, openSUSE Tumbleweed • SUSE Enterprise Linux 11-15 • Debian GNU/Linux 7-12 • Google Distroless (založený na Debian GNU/Linux 7-12) • Ubuntu 12.04-22.04 • Fedora 31-37 • Mariner 1-2 • Windows Server 2016, 2019, 2022 |
| Balíčky specifické pro jazyk |
Podporuje se •Krajta • Node.js •.SÍŤ •JAVA •Jít |
Podpora distribucí a konfigurací Kubernetes pro GCP – Ochrana před hrozbami za běhu
| Aspekt | Detaily |
|---|---|
| Distribuce a konfigurace Kubernetes | Podporuje se • Google Kubernetes Engine (GKE) Standard Podporováno prostřednictvím Kubernetes s podporou Arc 1 2 • Kubernetes Nepodporuje se • Clustery privátní sítě • GKE Autopilot • GKE AuthorizedNetworksConfig |
1 Všechny clustery Kubernetes certifikované pro CLOUD Native Computing Foundation (CNCF) by se měly podporovat, ale testovaly se pouze zadané clustery.
2 Pokud chcete získat ochranu Microsoft Defenderu pro kontejnery pro vaše prostředí, musíte nasadit Kubernetes s podporou Azure Arc a povolit Defender for Containers jako rozšíření Arc.
Poznámka:
Další požadavky na ochranu úloh Kubernetes najdete v existujících omezeních.
Podpora odchozího proxy serveru – GCP
Odchozí proxy server bez ověřování a odchozí proxy server se základním ověřováním jsou podporovány. Odchozí proxy server, který očekává důvěryhodné certifikáty, není v současné době podporován.
Clustery s omezeními IP adres – GCP
Pokud má váš cluster Kubernetes v GCP povolená omezení IP roviny řízení (viz Přidání autorizovaných sítí pro přístup k řídicí rovině | Google Kubernetes Engine (GKE) | Google Cloud ), konfigurace omezení IP řídicí roviny se aktualizuje tak, aby zahrnovala blok CIDR programu Microsoft Defender for Cloud.
Místní clustery Kubernetes s podporou arc
| Doména | Funkce | Podporované prostředky | Stav vydání Linuxu | Stav vydání Windows | Bez agentů nebo senzory | Cenová úroveň |
|---|---|---|---|---|---|---|
| Správa stavu zabezpečení | Docker CIS | Virtuální počítače s podporou arc | Preview | - | Agent Log Analytics | Defender for Servers Plan 2 |
| Správa stavu zabezpečení | Posílení řídicí roviny | - | - | - | - | - |
| Správa stavu zabezpečení | Posílení zabezpečení roviny dat Kubernetes | Clustery K8s s podporou arc | GA | - | Azure Policy pro Kubernetes | Defender pro kontejnery |
| Ochrana za běhu | Ochrana před hrozbami (řídicí rovina) | Clustery K8s s podporou arc | Preview | Preview | Senzor defenderu | Defender pro kontejnery |
| Ochrana za běhu | Ochrana před hrozbami (úloha) | Clustery K8s s podporou arc | Preview | - | Senzor defenderu | Defender pro kontejnery |
| Nasazení a monitorování | Zjišťování nechráněných clusterů | Clustery K8s s podporou arc | Preview | - | Bez agenta | Bezplatný |
| Nasazení a monitorování | Automatické zřizování senzoru Defenderu | Clustery K8s s podporou arc | Preview | Preview | Bez agenta | Defender pro kontejnery |
| Nasazení a monitorování | Automatické zřizování služby Azure Policy pro Kubernetes | Clustery K8s s podporou arc | Preview | - | Bez agenta | Defender pro kontejnery |
Externí registry kontejnerů
| Doména | Funkce | Podporované prostředky | Stav vydání Linuxu | Stav vydání Windows | Bez agentů nebo senzory | Cenová úroveň |
|---|---|---|---|---|---|---|
| Správa stavu zabezpečení | Komplexní možnosti inventáře | Docker Hub | Preview | Preview | Bez agenta | Základní CSPM OR Defender for Containers NEBO CSPM |
| Správa stavu zabezpečení | Analýza cesty útoku | Docker Hub | Preview | Preview | Bez agenta | Defender CSPM |
| Posouzení ohrožení zabezpečení | Podporované balíčky pro kontrolu registru bez agentů (s podporou Microsoft Defender Správa zranitelností) | Docker Hub | Preview | Preview | Bez agenta | Defender for Containers OR Defender – CSPM |
| Posouzení ohrožení zabezpečení | Podporované balíčky bez agenta nebo modul runtime založené na senzorech (s podporou Microsoft Defender Správa zranitelností) | Docker Hub | Preview | Preview | Snímač bez agentů NEBO/AND Defender | Defender for Containers OR Defender – CSPM |
Distribuce a konfigurace Kubernetes
| Aspekt | Detaily |
|---|---|
| Distribuce a konfigurace Kubernetes | Podporováno prostřednictvím Kubernetes s podporou Arc 1 2 • Hybridní služba Azure Kubernetes Service • Kubernetes • Modul AKS • Azure Red Hat OpenShift • Red Hat OpenShift (verze 4.6 nebo novější) • VMware Tanzu Kubernetes Grid • Modul Rancher Kubernetes |
1 Všechny clustery Kubernetes certifikované pro CLOUD Native Computing Foundation (CNCF) by se měly podporovat, ale testovaly se pouze zadané clustery.
2 Pokud chcete získat ochranu Microsoft Defenderu pro kontejnery pro vaše prostředí, musíte nasadit Kubernetes s podporou Azure Arc a povolit Defender for Containers jako rozšíření Arc.
Poznámka:
Další požadavky na ochranu úloh Kubernetes najdete v existujících omezeních.
Podporované hostitelské operační systémy
Defender for Containers využívá senzor Defenderu pro několik funkcí. Senzor Defenderu je podporovaný v následujících hostitelských operačních systémech:
- Amazon Linux 2
- CentOS 8 (CentOS je konec životnosti (EOL) od 30. června 2024. Další informace najdete v doprovodných materiálech CentOS End Of Life.)
- Debian 10
- Debian 11
- Operační systém optimalizovaný pro kontejnery Google
- Mariner 1.0
- Mariner 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
Ujistěte se, že váš uzel Kubernetes běží na jednom z ověřených podporovaných operačních systémů. Clustery s různými hostitelskými operačními systémy získají pouze částečné pokrytí.
Omezení senzoru Defenderu
Senzor Defenderu v AKS V1.28 a níže není na uzlech Arm64 podporovaný.
Omezení sítě
Podpora odchozího proxy serveru
Odchozí proxy server bez ověřování a odchozí proxy server se základním ověřováním jsou podporovány. Odchozí proxy server, který očekává důvěryhodné certifikáty, není v současné době podporován.
Další kroky
- Zjistěte, jak Defender pro cloud shromažďuje data pomocí agenta Log Analytics.
- Zjistěte, jak Defender pro cloud spravuje a chrání data.
- Projděte si platformy, které podporují Defender for Cloud.