Matice podpory kontejnerů v defenderu pro cloud
Upozornění
Tento článek odkazuje na CentOS, linuxovou distribuci, která je od 30. června 2024 konce životnosti (EOL). Zvažte své použití a plánování odpovídajícím způsobem. Další informace najdete v doprovodných materiálech CentOS End Of Life.
Tento článek shrnuje informace o podpoře pro funkce kontejnerů v programu Microsoft Defender for Cloud.
Poznámka:
- Konkrétní funkce jsou ve verzi Preview. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
- Defender for Cloud oficiálně podporuje jenom verze AKS, EKS a GKE podporované dodavatelem cloudu.
Azure
Níže jsou uvedené funkce pro každou z domén v programu Defender for Containers:
Správa stavu zabezpečení
Funkce | Popis | Podporované prostředky | Stav vydání Linuxu | Stav vydání Windows | Metoda Enablement | Senzor | Plány | Dostupnost cloudů Azure |
---|---|---|---|---|---|---|---|---|
Zjišťování bez agentů pro Kubernetes | Poskytuje nulové nároky na využití, zjišťování clusterů Kubernetes založených na rozhraní API, jejich konfigurace a nasazení. | AKS | GA | GA | Povolení zjišťování bez agentů na přepínači Kubernetes | Bez agenta | Defender for Containers OR Defender – CSPM | Komerční cloudy Azure |
Komplexní možnosti inventáře | Umožňuje zkoumat prostředky, pody, služby, úložiště, image a konfigurace prostřednictvím Průzkumníka zabezpečení a snadno monitorovat a spravovat vaše prostředky. | ACR, AKS | GA | GA | Povolení zjišťování bez agentů na přepínači Kubernetes | Bez agenta | Defender for Containers OR Defender – CSPM | Komerční cloudy Azure |
Analýza cesty útoku | Grafový algoritmus, který prohledá graf zabezpečení cloudu. Kontroly zpřístupňují zneužitelné cesty, které by útočníci mohli použít k narušení vašeho prostředí. | ACR, AKS | GA | GA | Aktivováno s plánem | Bez agenta | CsPM v programu Defender (vyžaduje, aby bylo povolené zjišťování bez agentů pro Kubernetes) | Komerční cloudy Azure |
Rozšířené proaktivní vyhledávání rizik | Umožňuje správcům zabezpečení aktivně vyhledávat problémy s stavem v kontejnerizovaných prostředcích prostřednictvím dotazů (integrovaných a vlastních) a přehledů zabezpečení v Průzkumníku zabezpečení. | ACR, AKS | GA | GA | Povolení zjišťování bez agentů na přepínači Kubernetes | Bez agenta | Defender for Containers OR Defender – CSPM | Komerční cloudy Azure |
Posílení řídicí roviny | Průběžně vyhodnocuje konfigurace vašich clusterů a porovnává je s iniciativami použitými u vašich předplatných. Když najde chybné konfigurace, Defender for Cloud vygeneruje doporučení zabezpečení, která jsou k dispozici na stránce Doporučení pro Defender for Cloud. Doporučení vám umožňují prozkoumat a opravit problémy. | ACR, AKS | GA | GA | Aktivováno s plánem | Bez agenta | Bezplatný | Komerční cloudy Národní cloudy: Azure Government, Azure provozovaný společností 21Vianet |
Posílení zabezpečení roviny dat Kubernetes | Chraňte úlohy kontejnerů Kubernetes s doporučeními osvědčených postupů. | AKS | GA | - | Povolení přepínače Azure Policy pro Kubernetes | Azure Policy | Bezplatný | Komerční cloudy Národní cloudy: Azure Government, Azure provozovaný společností 21Vianet |
Docker CIS | Srovnávací test CIS Dockeru | Virtuální počítač, škálovací sada virtuálních počítačů | GA | - | Povoleno s plánem | Agent Log Analytics | Defender for Servers Plan 2 | Komerční cloudy Národní cloudy: Azure Government, Microsoft Azure provozovaný společností 21Vianet |
Posouzení ohrožení zabezpečení
Ochrana před internetovými útoky za běhu
Funkce | Popis | Podporované prostředky | Stav vydání Linuxu | Stav vydání Windows | Metoda Enablement | Senzor | Plány | Dostupnost cloudů Azure |
---|---|---|---|---|---|---|---|---|
Řídicí rovina | Detekce podezřelé aktivity pro Kubernetes na základě záznamu auditu Kubernetes | AKS | GA | GA | Povoleno s plánem | Bez agenta | Defender pro kontejnery | Komerční cloudy Národní cloudy: Azure Government, Azure provozovaný společností 21Vianet |
Úloha | Detekce podezřelé aktivity pro Kubernetes pro úroveň clusteru, úroveň uzlu a úroveň úloh | AKS | GA | - | Povolení senzoru Defenderu v Azure nebo nasazení senzorů Defenderu na jednotlivé clustery | Senzor defenderu | Defender pro kontejnery | Komerční cloudy Národní cloudy: Azure Government, Azure China 21Vianet |
Nasazení a monitorování
Funkce | Popis | Podporované prostředky | Stav vydání Linuxu | Stav vydání Windows | Metoda Enablement | Senzor | Plány | Dostupnost cloudů Azure |
---|---|---|---|---|---|---|---|---|
Zjišťování nechráněných clusterů | Zjišťování clusterů Kubernetes s chybějícími senzory Defenderu | AKS | GA | GA | Povoleno s plánem | Bez agenta | Bezplatný | Komerční cloudy Národní cloudy: Azure Government, Azure provozovaný společností 21Vianet |
Automatické zřizování senzoru Defenderu | Automatické nasazení senzoru Defenderu | AKS | GA | - | Přepínač Povolení senzoru Defenderu v Azure | Bez agenta | Defender pro kontejnery | Komerční cloudy Národní cloudy: Azure Government, Azure provozovaný společností 21Vianet |
Automatické zřizování Azure Policy pro Kubernetes | Automatické nasazení senzoru zásad Azure pro Kubernetes | AKS | GA | - | Povolení přepínače Azure Policy pro Kubernetes | Bez agenta | Bezplatný | Komerční cloudy Národní cloudy: Azure Government, Azure provozovaný společností 21Vianet |
Podpora registrů a imagí pro Azure – Posouzení ohrožení zabezpečení s využitím Microsoft Defender Správa zranitelností
Aspekt | Detaily |
---|---|
Registry a image | Podporuje se * Registry ACR * Registry ACR chráněné službou Azure Private Link (privátní registry vyžadují přístup k důvěryhodným službám) * Image kontejnerů ve formátu Docker V2 * Image se specifikací formátu image Open Container Initiative (OCI) Nepodporuje se * Super minimalistické obrázky, jako jsou pomocné image Dockeru je momentálně nepodporovaný. |
Operační systémy | Podporuje se * Alpine Linux 3.12-3.19 * Red Hat Enterprise Linux 6-9 * CentOS 6-9. (CentOS je konec životnosti (EOL) od 30. června 2024. Další informace najdete v doprovodných materiálech CentOS End Of Life.) * Oracle Linux 6-9 * Amazon Linux 1, 2 * openSUSE Leap, openSUSE Tumbleweed * SUSE Enterprise Linux 11-15 * Debian GNU/Linux 7-12 * Google Distroless (založený na Debian GNU/Linux 7-12) * Ubuntu 12.04-22.04 * Fedora 31-37 * Mariner 1-2 * Windows Server 2016, 2019, 2022 |
Balíčky specifické pro jazyk |
Podporuje se *Krajta * Node.js *.SÍŤ *JAVA *Jít |
Distribuce a konfigurace Kubernetes pro Azure – Ochrana před internetovými útoky za běhu
Aspekt | Detaily |
---|---|
Distribuce a konfigurace Kubernetes | Podporuje se * Azure Kubernetes Service (AKS) s RBAC Kubernetes Podporováno prostřednictvím Kubernetes s podporou Arc 1 2 * Hybridní služba Azure Kubernetes Service * Kubernetes * Modul AKS * Azure Red Hat OpenShift |
1 Všechny clustery Kubernetes s certifikací CLOUD Native Computing Foundation (CNCF) by se měly podporovat, ale v Azure byly testovány pouze zadané clustery.
2 Pokud chcete získat ochranu Microsoft Defenderu pro kontejnery pro vaše prostředí, musíte nasadit Kubernetes s podporou Azure Arc a povolit Defender for Containers jako rozšíření Arc.
Poznámka:
Další požadavky na ochranu úloh Kubernetes najdete v existujících omezeních.
AWS
Doména | Funkce | Podporované prostředky | Stav vydání Linuxu | Stav vydání Windows | Bez agentů nebo senzory | Cenová úroveň |
---|---|---|---|---|---|---|
Správa stavu zabezpečení | Zjišťování bez agentů pro Kubernetes | EKS | GA | GA | Bez agenta | Defender for Containers OR Defender – CSPM |
Správa stavu zabezpečení | Komplexní možnosti inventáře | ECR, EKS | GA | GA | Bez agenta | Defender for Containers OR Defender – CSPM |
Správa stavu zabezpečení | Analýza cesty útoku | ECR, EKS | GA | GA | Bez agenta | Defender CSPM |
Správa stavu zabezpečení | Rozšířené proaktivní vyhledávání rizik | ECR, EKS | GA | GA | Bez agenta | Defender for Containers OR Defender – CSPM |
Správa stavu zabezpečení | Docker CIS | EC2 | GA | - | Agent Log Analytics | Defender for Servers Plan 2 |
Správa stavu zabezpečení | Posílení řídicí roviny | - | - | - | - | - |
Správa stavu zabezpečení | Posílení zabezpečení roviny dat Kubernetes | EKS | GA | - | Azure Policy pro Kubernetes | Defender pro kontejnery |
Posouzení ohrožení zabezpečení | Podporované balíčky pro kontrolu registru bez agentů (s podporou Microsoft Defender Správa zranitelností) | ECR | GA | GA | Bez agenta | Defender for Containers nebo CSPM v programu Defender |
Posouzení ohrožení zabezpečení | Podporované balíčky bez agenta nebo modul runtime založené na senzorech (s podporou Microsoft Defender Správa zranitelností) | EKS | GA | GA | Snímač bez agentů NEBO/AND Defender | Defender for Containers nebo CSPM v programu Defender |
Ochrana za běhu | Řídicí rovina | EKS | GA | GA | Bez agenta | Defender pro kontejnery |
Ochrana za běhu | Úloha | EKS | GA | - | Senzor defenderu | Defender pro kontejnery |
Nasazení a monitorování | Zjišťování nechráněných clusterů | EKS | GA | GA | Bez agenta | Defender pro kontejnery |
Nasazení a monitorování | Automatické zřizování senzoru Defenderu | EKS | GA | - | - | - |
Nasazení a monitorování | Automatické zřizování služby Azure Policy pro Kubernetes | EKS | GA | - | - | - |
Podpora registrů a imagí pro AWS – posouzení ohrožení zabezpečení s využitím Microsoft Defender Správa zranitelností
Aspekt | Detaily |
---|---|
Registry a image | Podporuje se * Registry ECR * Image kontejnerů ve formátu Docker V2 * Image se specifikací formátu image Open Container Initiative (OCI) Nepodporuje se * Super minimalistické image, jako jsou pomocné image Dockeru, se v současné době nepodporuje. * Veřejná úložiště * Seznamy manifestu |
Operační systémy | Podporuje se * Alpine Linux 3.12-3.19 * Red Hat Enterprise Linux 6-9 * CentOS 6-9 (CentOS is End Of Life ( EOL) od 30. června 2024. Další informace najdete v doprovodných materiálech CentOS End Of Life.) * Oracle Linux 6-9 * Amazon Linux 1, 2 * openSUSE Leap, openSUSE Tumbleweed * SUSE Enterprise Linux 11-15 * Debian GNU/Linux 7-12 * Google Distroless (založený na Debian GNU/Linux 7-12) * Ubuntu 12.04-22.04 * Fedora 31-37 * Mariner 1-2 * Windows Server 2016, 2019, 2022 |
Balíčky specifické pro jazyk |
Podporuje se *Krajta * Node.js *.SÍŤ *JAVA *Jít |
Podpora distribucí a konfigurací Kubernetes pro AWS – Ochrana před internetovými útoky za běhu
Aspekt | Detaily |
---|---|
Distribuce a konfigurace Kubernetes | Podporuje se * Amazon Elastic Kubernetes Service (EKS) Podporováno prostřednictvím Kubernetes s podporou Arc 1 2 * Kubernetes Nepodporuje se * Privátní clustery EKS |
1 Všechny clustery Kubernetes certifikované pro CLOUD Native Computing Foundation (CNCF) by se měly podporovat, ale testovaly se pouze zadané clustery.
2 Pokud chcete získat ochranu Microsoft Defenderu pro kontejnery pro vaše prostředí, musíte nasadit Kubernetes s podporou Azure Arc a povolit Defender for Containers jako rozšíření Arc.
Poznámka:
Další požadavky na ochranu úloh Kubernetes najdete v existujících omezeních.
Podpora odchozího proxy serveru – AWS
Odchozí proxy server bez ověřování a odchozí proxy server se základním ověřováním jsou podporovány. Odchozí proxy server, který očekává důvěryhodné certifikáty, není v současné době podporován.
Clustery s omezeními IP adres – AWS
Pokud má váš cluster Kubernetes v AWS povolené omezení IP roviny řízení (viz Řízení přístupu ke koncovému bodu clusteru Amazon EKS – Amazon EKS), aktualizuje se konfigurace omezení IP řídicí roviny tak, aby zahrnovala blok CIDR programu Microsoft Defender for Cloud.
GCP
Doména | Funkce | Podporované prostředky | Stav vydání Linuxu | Stav vydání Windows | Bez agentů nebo senzory | Cenová úroveň |
---|---|---|---|---|---|---|
Správa stavu zabezpečení | Zjišťování bez agentů pro Kubernetes | GKE | GA | GA | Bez agenta | Defender for Containers OR Defender – CSPM |
Správa stavu zabezpečení | Komplexní možnosti inventáře | GAR, GCR, GKE | GA | GA | Bez agenta | Defender for Containers OR Defender – CSPM |
Správa stavu zabezpečení | Analýza cesty útoku | GAR, GCR, GKE | GA | GA | Bez agenta | Defender CSPM |
Správa stavu zabezpečení | Rozšířené proaktivní vyhledávání rizik | GAR, GCR, GKE | GA | GA | Bez agenta | Defender for Containers OR Defender – CSPM |
Správa stavu zabezpečení | Docker CIS | Virtuální počítače GCP | GA | - | Agent Log Analytics | Defender for Servers Plan 2 |
Správa stavu zabezpečení | Posílení řídicí roviny | GKE | GA | GA | Bez agenta | Bezplatný |
Správa stavu zabezpečení | Posílení zabezpečení roviny dat Kubernetes | GKE | GA | - | Azure Policy pro Kubernetes | Defender pro kontejnery |
Posouzení ohrožení zabezpečení | Podporované balíčky pro kontrolu registru bez agentů (s podporou Microsoft Defender Správa zranitelností) | GAR, GCR | GA | GA | Bez agenta | Defender for Containers nebo CSPM v programu Defender |
Posouzení ohrožení zabezpečení | Podporované balíčky bez agenta nebo modul runtime založené na senzorech (s podporou Microsoft Defender Správa zranitelností) | GKE | GA | GA | Snímač bez agentů NEBO/AND Defender | Defender for Containers nebo CSPM v programu Defender |
Ochrana za běhu | Řídicí rovina | GKE | GA | GA | Bez agenta | Defender pro kontejnery |
Ochrana za běhu | Úloha | GKE | GA | - | Senzor defenderu | Defender pro kontejnery |
Nasazení a monitorování | Zjišťování nechráněných clusterů | GKE | GA | GA | Bez agenta | Defender pro kontejnery |
Nasazení a monitorování | Automatické zřizování senzoru Defenderu | GKE | GA | - | Bez agenta | Defender pro kontejnery |
Nasazení a monitorování | Automatické zřizování služby Azure Policy pro Kubernetes | GKE | GA | - | Bez agenta | Defender pro kontejnery |
Podpora registrů a imagí pro GCP – Posouzení ohrožení zabezpečení s využitím Microsoft Defender Správa zranitelností
Aspekt | Detaily |
---|---|
Registry a image | Podporuje se * Registry Google (GAR, GCR) * Image kontejnerů ve formátu Docker V2 * Image se specifikací formátu image Open Container Initiative (OCI) Nepodporuje se * Super minimalistické image, jako jsou pomocné image Dockeru, se v současné době nepodporuje. * Veřejná úložiště * Seznamy manifestu |
Operační systémy | Podporuje se * Alpine Linux 3.12-3.19 * Red Hat Enterprise Linux 6-9 * CentOS 6-9 (CentOS is End Of Life ( EOL) od 30. června 2024. Další informace najdete v doprovodných materiálech CentOS End Of Life.) * Oracle Linux 6-9 * Amazon Linux 1, 2 * openSUSE Leap, openSUSE Tumbleweed * SUSE Enterprise Linux 11-15 * Debian GNU/Linux 7-12 * Google Distroless (založený na Debian GNU/Linux 7-12) * Ubuntu 12.04-22.04 * Fedora 31-37 * Mariner 1-2 * Windows Server 2016, 2019, 2022 |
Balíčky specifické pro jazyk |
Podporuje se *Krajta * Node.js *.SÍŤ *JAVA *Jít |
Podpora distribucí a konfigurací Kubernetes pro GCP – Ochrana před hrozbami za běhu
Aspekt | Detaily |
---|---|
Distribuce a konfigurace Kubernetes | Podporuje se * Google Kubernetes Engine (GKE) Standard Podporováno prostřednictvím Kubernetes s podporou Arc 1 2 * Kubernetes Nepodporuje se * Privátní síťové clustery * GKE Autopilot * GKE AuthorizedNetworksConfig |
1 Všechny clustery Kubernetes certifikované pro CLOUD Native Computing Foundation (CNCF) by se měly podporovat, ale testovaly se pouze zadané clustery.
2 Pokud chcete získat ochranu Microsoft Defenderu pro kontejnery pro vaše prostředí, musíte nasadit Kubernetes s podporou Azure Arc a povolit Defender for Containers jako rozšíření Arc.
Poznámka:
Další požadavky na ochranu úloh Kubernetes najdete v existujících omezeních.
Podpora odchozího proxy serveru – GCP
Odchozí proxy server bez ověřování a odchozí proxy server se základním ověřováním jsou podporovány. Odchozí proxy server, který očekává důvěryhodné certifikáty, není v současné době podporován.
Clustery s omezeními IP adres – GCP
Pokud má váš cluster Kubernetes v GCP povolená omezení IP roviny řízení (viz Přidání autorizovaných sítí pro přístup k řídicí rovině | Google Kubernetes Engine (GKE) | Google Cloud ), konfigurace omezení IP řídicí roviny se aktualizuje tak, aby zahrnovala blok CIDR programu Microsoft Defender for Cloud.
Místní clustery Kubernetes s podporou arc
Doména | Funkce | Podporované prostředky | Stav vydání Linuxu | Stav vydání Windows | Bez agentů nebo senzory | Cenová úroveň |
---|---|---|---|---|---|---|
Správa stavu zabezpečení | Docker CIS | Virtuální počítače s podporou arc | Preview | - | Agent Log Analytics | Defender for Servers Plan 2 |
Správa stavu zabezpečení | Posílení řídicí roviny | - | - | - | - | - |
Správa stavu zabezpečení | Posílení zabezpečení roviny dat Kubernetes | Clustery K8s s podporou arc | GA | - | Azure Policy pro Kubernetes | Defender pro kontejnery |
Ochrana za běhu | Ochrana před hrozbami (řídicí rovina) | Clustery OpenShift s podporou Arc | Preview | Preview | Senzor defenderu | Defender pro kontejnery |
Ochrana za běhu | Ochrana před hrozbami (úloha) | Clustery OpenShift s podporou Arc | Preview | - | Senzor defenderu | Defender pro kontejnery |
Nasazení a monitorování | Zjišťování nechráněných clusterů | Clustery K8s s podporou arc | Preview | - | Bez agenta | Bezplatný |
Nasazení a monitorování | Automatické zřizování senzoru Defenderu | Clustery K8s s podporou arc | Preview | Preview | Bez agenta | Defender pro kontejnery |
Nasazení a monitorování | Automatické zřizování služby Azure Policy pro Kubernetes | Clustery K8s s podporou arc | Preview | - | Bez agenta | Defender pro kontejnery |
Externí registry kontejnerů
Doména | Funkce | Podporované prostředky | Stav vydání Linuxu | Stav vydání Windows | Bez agentů nebo senzory | Cenová úroveň |
---|---|---|---|---|---|---|
Správa stavu zabezpečení | Komplexní možnosti inventáře | Docker Hub | Preview | Preview | Bez agenta | Základní CSPM OR Defender for Containers NEBO CSPM |
Správa stavu zabezpečení | Analýza cesty útoku | Docker Hub | Preview | Preview | Bez agenta | Defender CSPM |
Posouzení ohrožení zabezpečení | Podporované balíčky pro kontrolu registru bez agentů (s podporou Microsoft Defender Správa zranitelností) | Docker Hub | Preview | Preview | Bez agenta | Defender for Containers OR Defender – CSPM |
Posouzení ohrožení zabezpečení | Podporované balíčky bez agenta nebo modul runtime založené na senzorech (s podporou Microsoft Defender Správa zranitelností) | Docker Hub | Preview | Preview | Snímač bez agentů NEBO/AND Defender | Defender for Containers OR Defender – CSPM |
Distribuce a konfigurace Kubernetes
Aspekt | Detaily |
---|---|
Distribuce a konfigurace Kubernetes | Podporováno prostřednictvím Kubernetes s podporou Arc 1 2 * Hybridní služba Azure Kubernetes Service * Kubernetes * Modul AKS * Azure Red Hat OpenShift * Red Hat OpenShift (verze 4.6 nebo novější) * VMware Tanzu Kubernetes Grid * Modul Rancher Kubernetes |
1 Všechny clustery Kubernetes certifikované pro CLOUD Native Computing Foundation (CNCF) by se měly podporovat, ale testovaly se pouze zadané clustery.
2 Pokud chcete získat ochranu Microsoft Defenderu pro kontejnery pro vaše prostředí, musíte nasadit Kubernetes s podporou Azure Arc a povolit Defender for Containers jako rozšíření Arc.
Poznámka:
Další požadavky na ochranu úloh Kubernetes najdete v existujících omezeních.
Podporované hostitelské operační systémy
Defender for Containers využívá senzor Defenderu pro několik funkcí. Senzor Defenderu je podporován pouze s linuxovým jádrem 5.4 a novějším v následujících hostitelských operačních systémech:
- Amazon Linux 2
- CentOS 8 (CentOS je konec životnosti (EOL) od 30. června 2024. Další informace najdete v doprovodných materiálech CentOS End Of Life.)
- Debian 10
- Debian 11
- Operační systém optimalizovaný pro kontejnery Google
- Mariner 1.0
- Mariner 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
Ujistěte se, že váš uzel Kubernetes běží na jednom z těchto ověřených operačních systémů. Clustery s nepodporovanými hostitelskými operačními systémy nezískají výhody funkcí závislých na senzoru Defenderu.
Omezení senzoru Defenderu
Senzor Defenderu v AKS V1.28 a níže není na uzlech Arm64 podporovaný.
Omezení sítě
Podpora odchozího proxy serveru
Odchozí proxy server bez ověřování a odchozí proxy server se základním ověřováním jsou podporovány. Odchozí proxy server, který očekává důvěryhodné certifikáty, není v současné době podporován.
Další kroky
- Zjistěte, jak Defender pro cloud shromažďuje data pomocí agenta Log Analytics.
- Zjistěte, jak Defender pro cloud spravuje a chrání data.
- Projděte si platformy, které podporují Defender for Cloud.