Precaución
En este artículo se hace referencia a CentOS, una distribución de Linux que alcanzará la finalización del servicio el 30 de junio de 2024. Tenga en cuenta su uso y realice el planeamiento en consecuencia. Para más información, consulte la Guía de fin de ciclo de vida de CentOS.
En este artículo se resume la información de soporte técnico de las capacidades de contenedor de Microsoft Defender for Cloud.
Nota:
- Las características específicas están en versión preliminar. Los Términos de uso complementarios para las versiones preliminares de Azure incluyen otros términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado con disponibilidad general.
- Solo las versiones de AKS, EKS y GKE compatibles con el proveedor en la nube son admitidas oficialmente por Defender for Cloud.
A continuación se muestran las características proporcionadas por Defender para contenedores para los entornos de nube y los registros de contenedor admitidos.
Características de evaluación de vulnerabilidades (VA)
| Característica |
Descripción |
Recursos compatibles |
Estado de versión de Linux |
Estado de versión de Windows |
Método de habilitación |
Planes |
Disponibilidad de nubes |
| VA del registro de contenedor |
VA para imágenes en registros de contenedor |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
Disponibilidad general |
Disponibilidad general |
Requiere acceso al Registro1 o creación del conector para Docker Hub/Jfrog |
Defender para contenedores o Defender CSPM |
Nubes comerciales
Nubes nacionales: Azure Government, Azure operado por 21Vianet |
| VA de contenedor en tiempo de ejecución: examen del registro basado en |
VA de contenedores que ejecutan imágenes de registros admitidos |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
Disponibilidad general |
Disponibilidad general |
Requiere el acceso al Registro1 o la creación del conector para Docker Hub/Jfrog y el acceso a la API K8S o el sensor de Defender1 |
Defender para contenedores o Defender CSPM |
Nubes comerciales
Nubes nacionales: Azure Government, Azure operado por 21Vianet |
| VA del contenedor en tiempo de ejecución |
Va independiente del registro de imágenes en ejecución de contenedores |
Todos |
Vista previa |
- |
Requiere escaneo sin agente para máquinas y acceso a la API de K8S o sensor de Defender1 |
Defender para contenedores o Defender CSPM |
Nubes comerciales
Nubes nacionales: Azure Government, Azure operado por 21Vianet |
1 Lasnubes nacionales están habilitadas automáticamente y no se pueden deshabilitar.
| Característica |
Descripción |
Recursos compatibles |
Estado de versión de Linux |
Estado de versión de Windows |
Método de habilitación |
Planes |
Disponibilidad de nubes |
| VA del registro de contenedor |
Evaluaciones de vulnerabilidades para imágenes en registros de contenedor |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
Disponibilidad general |
Disponibilidad general |
Requiere acceso al Registro |
Defender para contenedores o Defender CSPM |
AWS |
| VA de contenedor en tiempo de ejecución: examen del registro basado en |
VA de contenedores que ejecutan imágenes de registros admitidos |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
Disponibilidad general |
- |
Requiere el examen sin agentes para máquinas y el acceso a la API de K8S o el sensor de Defender |
Defender para contenedores o Defender CSPM |
AWS |
| Característica |
Descripción |
Recursos compatibles |
Estado de versión de Linux |
Estado de versión de Windows |
Método de habilitación |
Planes |
Disponibilidad de nubes |
| VA del registro de contenedor |
Evaluaciones de vulnerabilidades para imágenes en registros de contenedor |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
Disponibilidad general |
Disponibilidad general |
Requiere acceso al Registro |
Defender para contenedores o Defender CSPM |
Plataforma de Google Cloud (GCP) |
| VA de contenedor en tiempo de ejecución: examen del registro basado en |
VA de contenedores que ejecutan imágenes de registros admitidos |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
Disponibilidad general |
- |
Requiere el examen sin agentes para máquinas y el acceso a la API de K8S o el sensor de Defender |
Defender para contenedores o Defender CSPM |
Plataforma de Google Cloud (GCP) |
| Característica |
Descripción |
Recursos compatibles |
Estado de versión de Linux |
Estado de versión de Windows |
Método de habilitación |
Planes |
Disponibilidad de nubes |
| VA del registro de contenedor |
Evaluaciones de vulnerabilidades para imágenes en registros de contenedor |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
Disponibilidad general |
Disponibilidad general |
Requiere acceso al Registro |
Defender para contenedores o Defender CSPM |
Clústeres conectados a Arc |
| VA de contenedor en tiempo de ejecución: examen del registro basado en |
VA de contenedores que ejecutan imágenes de registros admitidos |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
Disponibilidad general |
- |
Requiere el examen sin agentes para máquinas y el acceso a la API de K8S o el sensor de Defender |
Defender para contenedores o Defender CSPM |
Clústeres conectados a Arc |
Compatibilidad con registros e imágenes para la evaluación de vulnerabilidades
| Aspecto |
Detalles |
| Registros e imágenes |
Compatible
* Imágenes de contenedor en formato Docker V2
* Imágenes con Open Container Initiative (OCI) especificación de formato de imagen
No compatible
* Actualmente no se admiten imágenes super minimalistas, como imágenes vacías de Docker
* Repositorios públicos
• Listas de manifiestos
|
| Sistemas operativos |
Compatible
* Alpine Linux 3.12-3.21
* Red Hat Enterprise Linux 6-9
* CentOS 6-9 (CentOS alcanzará la finalización del servicio el 30 de junio de 2024. Para más información, consulte la Guía sobre la finalización del servicio de CentOS).
* Oracle Linux 6 a 9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11 a 15
* Debian GNU/Linux 7 a 12
* Google Distroless (basado en Debian GNU/Linux 7-12)
* Ubuntu 12.04-22.04
* Fedora 31 a 37
* Azure Linux 1-2
Windows Server 2016, 2019, 2022 |
Paquetes específicos del idioma
|
Compatible
*Python
* Node.js
* PHP
*Rubí
*Óxido
*.NET
*Java
* Go |
Características de protección en tiempo de ejecución
| Característica |
Descripción |
Recursos compatibles |
Estado de versión de Linux |
Estado de versión de Windows |
Método de habilitación |
Planes |
Disponibilidad de nubes |
| Detección del plano de control |
Detección de actividad sospechosa para Kubernetes basada en la pista de auditoría de Kubernetes |
AKS |
Disponibilidad general |
Disponibilidad general |
Habilitado según el plan |
Defender para contenedores o Defender CSPM |
Nubes comerciales Nubes nacionales: Azure Government, Azure operado por 21Vianet |
| Detección de cargas de trabajo |
Supervisa las cargas de trabajo en contenedores para detectar amenazas y proporciona alertas a actividades sospechosas. |
AKS |
Disponibilidad general |
- |
Requiere el sensor de Defender |
Defender para contenedores |
Nubes comerciales y nubes nacionales: Azure Government, Azure operado por 21Vianet |
| Detección de desfase binario |
Detecta el binario del contenedor en tiempo de ejecución de la imagen de contenedor |
AKS |
Disponibilidad general |
- |
Requiere el sensor de Defender |
Defender para contenedores |
Nubes comerciales |
| Búsqueda avanzada en XDR |
Visualización de incidentes y alertas de clúster en Microsoft XDR |
AKS |
Versión preliminar: actualmente admite registros de auditoría y eventos de procesos |
Versión preliminar: actualmente admite registros de auditoría |
Requiere el sensor de Defender |
Defender para contenedores |
Nubes comerciales y nubes nacionales: Azure Government, Azure operado por 21Vianet |
| Acciones de respuesta en XDR |
Proporciona corrección automatizada y manual en Microsoft XDR |
AKS |
Vista previa |
- |
Requiere el sensor de Defender y la API de acceso K8S |
Defender para contenedores |
Nubes comerciales y nubes nacionales: Azure Government, Azure operado por 21Vianet |
| Detección de malware |
Detección de malware |
Nodos de AKS |
Disponibilidad general |
Disponibilidad general |
Requiere el examen sin agente de máquinas |
Defender for Containers o Defender for Servers Plan 2 |
Nubes comerciales |
Distribuciones y configuraciones de Kubernetes para la protección contra amenazas en tiempo de ejecución en Azure
1 Todos los clústeres de Kubernetes certificados por Cloud Native Computing Foundation (CNCF) deben ser compatibles, pero solo se han probado los clústeres especificados.
2 Para conseguir la protección de Microsoft Defender para contenedores para sus entornos, tendrá que incorporar Kubernetes habilitado para Azure Arc y habilitar Defender para contenedores como extensión de Arc.
Nota:
Para más información sobre los requisitos adicionales para la protección de cargas de trabajo de Kubernetes, consulta las limitaciones existentes.
| Característica |
Descripción |
Recursos compatibles |
Estado de versión de Linux |
Estado de versión de Windows |
Método de habilitación |
Planes |
Disponibilidad de nubes |
| Detección del plano de control |
Detección de actividad sospechosa para Kubernetes basada en la pista de auditoría de Kubernetes |
EKS |
Disponibilidad general |
Disponibilidad general |
Habilitado según el plan |
Defender para contenedores o Defender CSPM |
AWS |
| Detección de cargas de trabajo |
Supervisa las cargas de trabajo en contenedores para detectar amenazas y proporciona alertas a actividades sospechosas. |
EKS |
Disponibilidad general |
- |
Requiere el sensor de Defender |
Defender para contenedores |
AWS |
| Detección de desfase binario |
Detecta el binario del contenedor en tiempo de ejecución de la imagen de contenedor |
EKS |
Disponibilidad general |
- |
Requiere el sensor de Defender |
Defender para contenedores |
AWS |
| Búsqueda avanzada en XDR |
Visualización de incidentes y alertas de clúster en Microsoft XDR |
EKS |
Versión preliminar: actualmente admite registros de auditoría y eventos de procesos |
Versión preliminar: actualmente admite registros de auditoría |
Requiere el sensor de Defender |
Defender para contenedores |
AWS |
| Acciones de respuesta en XDR |
Proporciona corrección automatizada y manual en Microsoft XDR |
EKS |
Vista previa |
- |
Requiere el sensor de Defender y la API de acceso K8S |
Defender para contenedores |
AWS |
| Detección de malware |
Detección de malware |
- |
- |
- |
- |
- |
- |
Compatibilidad con las distribuciones y configuraciones de Kubernetes para la protección contra amenazas en tiempo de ejecución en AWS
1 Todos los clústeres de Kubernetes certificados por Cloud Native Computing Foundation (CNCF) deben ser compatibles, pero solo se han probado los clústeres especificados.
2 Para conseguir la protección de Microsoft Defender para contenedores para sus entornos, tendrá que incorporar Kubernetes habilitado para Azure Arc y habilitar Defender para contenedores como extensión de Arc.
Nota:
Para más información sobre los requisitos adicionales para la protección de cargas de trabajo de Kubernetes, consulta las limitaciones existentes.
| Característica |
Descripción |
Recursos compatibles |
Estado de versión de Linux |
Estado de versión de Windows |
Método de habilitación |
Planes |
Disponibilidad de nubes |
| Detección del plano de control |
Detección de actividad sospechosa para Kubernetes basada en la pista de auditoría de Kubernetes |
GKE |
Disponibilidad general |
Disponibilidad general |
Habilitado según el plan |
Defender para contenedores |
Plataforma de Google Cloud (GCP) |
| Detección de cargas de trabajo |
Supervisa las cargas de trabajo en contenedores para detectar amenazas y proporciona alertas a actividades sospechosas. |
GKE |
Disponibilidad general |
- |
Requiere el sensor de Defender |
Defender para contenedores |
Plataforma de Google Cloud (GCP) |
| Detección de desfase binario |
Detecta el binario del contenedor en tiempo de ejecución de la imagen de contenedor |
GKE |
Disponibilidad general |
- |
Requiere el sensor de Defender |
Defender para contenedores |
Plataforma de Google Cloud (GCP) |
| Búsqueda avanzada en XDR |
Visualización de incidentes y alertas de clúster en Microsoft XDR |
GKE |
Versión preliminar: actualmente admite registros de auditoría y eventos de procesos |
Versión preliminar: actualmente admite registros de auditoría |
Requiere el sensor de Defender |
Defender para contenedores |
Plataforma de Google Cloud (GCP) |
| Acciones de respuesta en XDR |
Proporciona corrección automatizada y manual en Microsoft XDR |
GKE |
Vista previa |
- |
Requiere el sensor de Defender y la API de acceso K8S |
Defender para contenedores |
Plataforma de Google Cloud (GCP) |
| Detección de malware |
Detección de malware |
- |
- |
- |
- |
- |
- |
Compatibilidad con las distribuciones y configuraciones de Kubernetes para la protección contra amenazas en tiempo de ejecución en GCP
| Aspecto |
Detalles |
| Distribuciones y configuraciones de Kubernetes |
Compatible
• * Google Kubernetes Engine (GKE) Estándar
Se admiten a través de Kubernetes habilitado para Arc.12
* Kubernetes
No compatible
* Clústeres de red privada
* GKE autopilot
* GKE AuthorizedNetworksConfig |
1 Todos los clústeres de Kubernetes certificados por Cloud Native Computing Foundation (CNCF) deben ser compatibles, pero solo se han probado los clústeres especificados.
2 Para conseguir la protección de Microsoft Defender para contenedores para sus entornos, tendrá que incorporar Kubernetes habilitado para Azure Arc y habilitar Defender para contenedores como extensión de Arc.
Nota:
Para más información sobre los requisitos adicionales para la protección de cargas de trabajo de Kubernetes, consulta las limitaciones existentes.
| Característica |
Descripción |
Recursos compatibles |
Estado de versión de Linux |
Estado de versión de Windows |
Método de habilitación |
Planes |
Disponibilidad de nubes |
| Detección del plano de control |
Detección de actividad sospechosa para Kubernetes basada en la pista de auditoría de Kubernetes |
Clústeres K8s habilitados para Arc |
Vista previa |
Vista previa |
Requiere el sensor de Defender |
Defender para contenedores |
|
| Detección de cargas de trabajo |
Supervisa las cargas de trabajo en contenedores para detectar amenazas y proporciona alertas a actividades sospechosas. |
Clústeres de Kubernetes habilitados para Arc |
Vista previa |
- |
Requiere el sensor de Defender |
Defender para contenedores |
|
| Detección de desfase binario |
Detecta el binario del contenedor en tiempo de ejecución de la imagen de contenedor |
|
- |
- |
- |
- |
- |
| Búsqueda avanzada en XDR |
Visualización de incidentes y alertas de clúster en Microsoft XDR |
Clústeres de Kubernetes habilitados para Arc |
Versión preliminar: actualmente admite registros de auditoría y eventos de procesos |
Versión preliminar: actualmente admite registros de auditoría y eventos de procesos |
Requiere el sensor de Defender |
Defender para contenedores |
|
| Acciones de respuesta en XDR |
Proporciona corrección automatizada y manual en Microsoft XDR |
- |
- |
- |
- |
- |
|
| Detección de malware |
Detección de malware |
- |
- |
- |
- |
- |
- |
Distribuciones y configuraciones de Kubernetes para la protección contra amenazas en tiempo de ejecución en Kubernetes habilitado para Arc
1 Todos los clústeres de Kubernetes certificados por Cloud Native Computing Foundation (CNCF) deben ser compatibles, pero solo se han probado los clústeres especificados.
2 Para conseguir la protección de Microsoft Defender para contenedores para sus entornos, tendrá que incorporar Kubernetes habilitado para Azure Arc y habilitar Defender para contenedores como extensión de Arc.
Nota:
Para más información sobre los requisitos adicionales para la protección de cargas de trabajo de Kubernetes, consulta las limitaciones existentes.
Características de administración de la posición de seguridad
| Característica |
Descripción |
Recursos compatibles |
Estado de versión de Linux |
Estado de versión de Windows |
Método de habilitación |
Planes |
Disponibilidad de nubes |
| Detección sin agente para Kubernetes1 |
Proporciona una detección basada en API y con superficie cero de los clústeres de Kubernetes, sus configuraciones e implementaciones. |
AKS |
Disponibilidad general |
Disponibilidad general |
Requiere acceso a la API K8S |
Defender para contenedores O Defender CSPM |
Nubes comerciales de Azure |
| Funcionalidades de inventario completas |
Le permite explorar recursos, pods, servicios, repositorios, imágenes y configuraciones a través del explorador de seguridad para supervisar y administrar fácilmente los recursos. |
ACR, AKS |
Disponibilidad general |
Disponibilidad general |
Requiere acceso a la API K8S |
Defender para contenedores O Defender CSPM |
Nubes comerciales de Azure |
| Análisis de rutas de acceso de ataque |
Un algoritmo basado en grafos que examina el gráfico de seguridad en la nube. Los análisis exponen rutas de acceso explotables que los atacantes podrían usar para comprometer tu entorno. |
ACR, AKS |
Disponibilidad general |
Disponibilidad general |
Requiere acceso a la API K8S |
Defender CSPM |
Nubes comerciales de Azure |
| Búsqueda de riesgos mejorada |
Permite a los administradores de seguridad buscar activamente problemas de posición en sus recursos contenedorizados a través de consultas (integradas y personalizadas) e información de seguridad en el explorador de seguridad. |
ACR, AKS |
Disponibilidad general |
Disponibilidad general |
Requiere acceso a la API K8S |
Defender para contenedores O Defender CSPM |
Nubes comerciales de Azure |
| Protección del plano de control1 |
Evalúa continuamente las configuraciones de los clústeres y las compara con las iniciativas aplicadas a las suscripciones. Cuando encuentra configuraciones incorrectas, Defender for Cloud genera recomendaciones de seguridad que están disponibles en la página Recomendaciones de Defender for Cloud. Las recomendaciones le permiten investigar y corregir problemas. |
ACR, AKS |
Disponibilidad general |
Disponibilidad general |
Habilitado según el plan |
Gratuito |
Nubes comerciales
Nubes nacionales: Azure Government, Azure operado por 21Vianet |
| Fortalecimiento de cargas de trabajo1 |
Proteja las cargas de trabajo de los contenedores de Kubernetes con recomendaciones de procedimientos recomendados. |
AKS |
Disponibilidad general |
- |
Requiere Azure Policy |
Gratuito |
Nubes comerciales
Nubes nacionales: Azure Government, Azure operado por 21Vianet |
| CIS Azure Kubernetes Service |
Punto de referencia de Azure Kubernetes Service de CIS |
AKS |
Disponibilidad general |
- |
Asignado como estándar de seguridad |
Defender para contenedores O Defender CSPM |
Nubes comerciales
|
1 Esta característica se puede habilitar para un clúster individual al habilitar Defender para contenedores en el nivel de recursos del clúster.
| Característica |
Descripción |
Recursos compatibles |
Estado de versión de Linux |
Estado de versión de Windows |
Método de habilitación |
Planes |
Disponibilidad de nubes |
| Detección sin agente para Kubernetes |
Proporciona una detección basada en API y con superficie cero de los clústeres de Kubernetes, sus configuraciones e implementaciones. |
EKS |
Disponibilidad general |
Disponibilidad general |
Requiere acceso a la API K8S |
Defender para contenedores O Defender CSPM |
Nubes comerciales de Azure |
| Funcionalidades de inventario completas |
Le permite explorar recursos, pods, servicios, repositorios, imágenes y configuraciones a través del explorador de seguridad para supervisar y administrar fácilmente los recursos. |
ECR, EKS |
Disponibilidad general |
Disponibilidad general |
Requiere acceso a la API K8S |
Defender para contenedores O Defender CSPM |
AWS |
| Análisis de rutas de acceso de ataque |
Un algoritmo basado en grafos que examina el gráfico de seguridad en la nube. Los análisis exponen rutas de acceso explotables que los atacantes podrían usar para comprometer tu entorno. |
ECR, EKS |
Disponibilidad general |
Disponibilidad general |
Requiere acceso a la API K8S |
CSPM de Defender (requiere la detección sin agente para que Kubernetes esté habilitado) |
AWS |
| Búsqueda de riesgos mejorada |
Permite a los administradores de seguridad buscar activamente problemas de posición en sus recursos contenedorizados a través de consultas (integradas y personalizadas) e información de seguridad en el explorador de seguridad. |
ECR, EKS |
Disponibilidad general |
Disponibilidad general |
Requiere acceso a la API K8S |
Defender para contenedores O Defender CSPM |
AWS |
| Protección del plano de control |
Evalúa continuamente las configuraciones de los clústeres y las compara con las iniciativas aplicadas a las suscripciones. Cuando encuentra configuraciones incorrectas, Defender for Cloud genera recomendaciones de seguridad que están disponibles en la página Recomendaciones de Defender for Cloud. Las recomendaciones le permiten investigar y corregir problemas. |
- |
- |
- |
- |
- |
- |
| Endurecimiento de cargas de trabajo |
Proteja las cargas de trabajo de los contenedores de Kubernetes con recomendaciones de procedimientos recomendados. |
EKS |
Disponibilidad general |
- |
Requiere aprovisionamiento automático de la extensión de Azure Policy para Azure Arc |
Gratuito |
AWS |
| CIS Azure Kubernetes Service |
Punto de referencia de Azure Kubernetes Service de CIS |
EKS |
Disponibilidad general |
- |
Asignado como estándar de seguridad |
Defender para contenedores O Defender CSPM |
AWS |
| Característica |
Descripción |
Recursos compatibles |
Estado de versión de Linux |
Estado de versión de Windows |
Método de habilitación |
Planes |
Disponibilidad de nubes |
| Detección sin agente para Kubernetes |
Proporciona una detección basada en API y con superficie cero de los clústeres de Kubernetes, sus configuraciones e implementaciones. |
GKE |
Disponibilidad general |
Disponibilidad general |
Requiere acceso a la API K8S |
Defender para contenedores O Defender CSPM |
Plataforma de Google Cloud (GCP) |
| Funcionalidades de inventario completas |
Le permite explorar recursos, pods, servicios, repositorios, imágenes y configuraciones a través del explorador de seguridad para supervisar y administrar fácilmente los recursos. |
GCR, GAR, GKE |
Disponibilidad general |
Disponibilidad general |
Requiere acceso a la API K8S |
Defender para contenedores O Defender CSPM |
Plataforma de Google Cloud (GCP) |
| Análisis de rutas de acceso de ataque |
Un algoritmo basado en grafos que examina el gráfico de seguridad en la nube. Los análisis exponen rutas de acceso explotables que los atacantes podrían usar para comprometer tu entorno. |
GCR, GAR, GKE |
Disponibilidad general |
Disponibilidad general |
Requiere acceso a la API K8S |
Defender CSPM |
Plataforma de Google Cloud (GCP) |
| Búsqueda de riesgos mejorada |
Permite a los administradores de seguridad buscar activamente problemas de posición en sus recursos contenedorizados a través de consultas (integradas y personalizadas) e información de seguridad en el explorador de seguridad. |
GCR, GAR, GKE |
Disponibilidad general |
Disponibilidad general |
Requiere acceso a la API K8S |
Defender para contenedores O Defender CSPM |
Plataforma de Google Cloud (GCP) |
| Protección del plano de control |
Evalúa continuamente las configuraciones de los clústeres y las compara con las iniciativas aplicadas a las suscripciones. Cuando encuentra configuraciones incorrectas, Defender for Cloud genera recomendaciones de seguridad que están disponibles en la página Recomendaciones de Defender for Cloud. Las recomendaciones le permiten investigar y corregir problemas. |
GKE |
Disponibilidad general |
Disponibilidad general |
Activado con plan |
Gratuito |
Plataforma de Google Cloud (GCP) |
| Endurecimiento de cargas de trabajo |
Proteja las cargas de trabajo de los contenedores de Kubernetes con recomendaciones de procedimientos recomendados. |
GKE |
Disponibilidad general |
- |
Requiere aprovisionamiento automático de la extensión de Azure Policy para Azure Arc |
Gratuito |
Plataforma de Google Cloud (GCP) |
| CIS Azure Kubernetes Service |
Punto de referencia de Azure Kubernetes Service de CIS |
GKE (Google Kubernetes Engine) |
Disponibilidad general |
- |
Asignado como estándar de seguridad |
Defender para contenedores O Defender CSPM |
Plataforma de Google Cloud (GCP) |
| Característica |
Descripción |
Recursos compatibles |
Estado de versión de Linux |
Estado de versión de Windows |
Método de habilitación |
Planes |
Disponibilidad de nubes |
| Detección sin agente para Kubernetes |
Proporciona una detección basada en API y con superficie cero de los clústeres de Kubernetes, sus configuraciones e implementaciones. |
- |
- |
- |
- |
- |
- |
| Funcionalidades de inventario completas |
Le permite explorar recursos, pods, servicios, repositorios, imágenes y configuraciones a través del explorador de seguridad para supervisar y administrar fácilmente los recursos. |
- |
- |
- |
- |
- |
- |
| Análisis de rutas de acceso de ataque |
Un algoritmo basado en grafos que examina el gráfico de seguridad en la nube. Los análisis exponen rutas de acceso explotables que los atacantes podrían usar para comprometer tu entorno. |
- |
- |
- |
- |
- |
- |
| Búsqueda de riesgos mejorada |
Permite a los administradores de seguridad buscar activamente problemas de posición en sus recursos contenedorizados a través de consultas (integradas y personalizadas) e información de seguridad en el explorador de seguridad. |
- |
- |
- |
- |
- |
- |
| Protección del plano de control |
Evalúa continuamente las configuraciones de los clústeres y las compara con las iniciativas aplicadas a las suscripciones. Cuando encuentra configuraciones incorrectas, Defender for Cloud genera recomendaciones de seguridad que están disponibles en la página Recomendaciones de Defender for Cloud. Las recomendaciones le permiten investigar y corregir problemas. |
- |
- |
- |
- |
- |
- |
| Endurecimiento de cargas de trabajo |
Proteja las cargas de trabajo de los contenedores de Kubernetes con recomendaciones de procedimientos recomendados. |
Clúster de Kubernetes habilitado con Arc |
Disponibilidad general |
- |
Requiere aprovisionamiento automático de la extensión de Azure Policy para Azure Arc |
Defender para contenedores |
Clúster de Kubernetes habilitado con Arc |
| CIS Azure Kubernetes Service |
Punto de referencia de Azure Kubernetes Service de CIS |
Máquinas virtuales habilitadas para Arc |
Vista previa |
- |
Asignado como estándar de seguridad |
Defender para contenedores O Defender CSPM |
Clúster de Kubernetes habilitado con Arc |
| Característica |
Descripción |
Recursos compatibles |
Estado de versión de Linux |
Estado de versión de Windows |
Método de habilitación |
Planes |
Disponibilidad de nubes |
| Funcionalidades de inventario completas |
Le permite explorar recursos, pods, servicios, repositorios, imágenes y configuraciones a través del explorador de seguridad para supervisar y administrar fácilmente los recursos. |
Docker Hub, JFrog Artifactory |
Vista previa |
Vista previa |
Creación del conector |
CSPM básico O Defender CSPM O Defender para contenedores |
- |
| Análisis de rutas de acceso de ataque |
Un algoritmo basado en grafos que examina el gráfico de seguridad en la nube. Los análisis exponen rutas de acceso explotables que los atacantes podrían usar para comprometer tu entorno. |
Docker Hub, JFrog Artifactory |
Vista previa |
Vista previa |
Creación del conector |
Defender CSPM |
- |
| Búsqueda de riesgos mejorada |
Permite a los administradores de seguridad buscar activamente problemas de posición en sus recursos contenedorizados a través de consultas (integradas y personalizadas) e información de seguridad en el explorador de seguridad. |
Docker Hub, JFrog |
Vista previa |
Vista previa |
Creación del conector |
Defender para contenedores O Defender CSPM |
|
Las características de protección de la cadena de suministro del software de contenedores
| Característica |
Descripción |
Recursos compatibles |
Estado de versión de Linux |
Estado de versión de Windows |
Método de habilitación |
Planes |
Disponibilidad de nubes |
| Implementación controlada |
Implementación controlada de imágenes de contenedor en el entorno de Kubernetes |
AKS 1.32 o posterior |
Vista previa |
Vista previa |
Habilitado según el plan |
Defender para contenedores o Defender CSPM |
Nubes comerciales Nubes nacionales: Azure Government, Azure operado por 21Vianet |
| Característica |
Descripción |
Recursos compatibles |
Estado de versión de Linux |
Estado de versión de Windows |
Método de habilitación |
Planes |
Disponibilidad de nubes |
| Implementación controlada |
Implementación controlada de imágenes de contenedor en el entorno de Kubernetes |
- |
- |
- |
- |
- |
- |
| Característica |
Descripción |
Recursos compatibles |
Estado de versión de Linux |
Estado de versión de Windows |
Método de habilitación |
Planes |
Disponibilidad de nubes |
| Implementación controlada |
Implementación controlada de imágenes de contenedor en el entorno de Kubernetes |
- |
- |
- |
- |
- |
- |
| Característica |
Descripción |
Recursos compatibles |
Estado de versión de Linux |
Estado de versión de Windows |
Método de habilitación |
Planes |
Disponibilidad de nubes |
| Implementación controlada |
Implementación controlada de imágenes de contenedor en el entorno de Kubernetes |
- |
- |
- |
- |
- |
- |
Restricciones de la red
| Aspecto |
Detalles |
| Compatibilidad con proxy de salida |
Se admiten un proxy de salida sin autenticación y un proxy de salida con autenticación básica. Actualmente, no se admite un proxy saliente que requiera certificados confiables. |
| Clústeres con restricciones de IP |
Si el clúster de Kubernetes en AWS tiene habilitadas restricciones de IP del plano de control (consulte control de acceso al punto de conexión del clúster de Amazon EKS: Amazon EKS ), la configuración de restricción de IP del plano de control se actualizará para incluir el bloque CIDR de Microsoft Defender for Cloud. |
| Aspecto |
Detalles |
| Compatibilidad con proxy de salida |
Se admiten un proxy de salida sin autenticación y un proxy de salida con autenticación básica. Actualmente, no se admite un proxy saliente que requiera certificados confiables. |
| Clústeres con restricciones de IP |
Si el clúster de Kubernetes en GCP tiene habilitadas las restricciones ip del plano de control (consulte GKE: Agregar redes autorizadas para el acceso al plano de control ), la configuración de restricción de IP del plano de control se actualiza para incluir el bloque CIDR de Microsoft Defender for Cloud. |
| Aspecto |
Detalles |
| Compatibilidad con proxy de salida |
Se admiten un proxy de salida sin autenticación y un proxy de salida con autenticación básica. Actualmente, no se admite un proxy saliente que requiera certificados confiables. |
Sistemas operativos de host compatibles
Defender para contenedores se basa en el sensor de Defender para varias funcionalidades. El sensor de Defender solo se admite con kernel de Linux 5.4 y versiones posteriores, en los siguientes sistemas operativos host:
- Amazon Linux 2
- CentOS 8 (CentOS alcanzará la finalización del servicio el 30 de junio de 2024. Para más información, consulte la Guía sobre la finalización del servicio de CentOS).
- Debian 10
- Debian 11
- Sistema operativo Container-Optimized de Google
- Azure Linux 1.0
- Azure Linux 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
Asegúrese de que el nodo de Kubernetes se ejecuta en uno de estos sistemas operativos comprobados. Los clústeres con sistemas operativos host no compatibles no obtienen las ventajas de las características que dependen del sensor de Defender.
Limitaciones del sensor de Defender
El sensor de Defender en AKS V1.28 y anteriores no se admite en nodos Arm64.
Pasos siguientes