Disponibilité des fonctionnalités Defender pour les conteneurs

Les onglets ci-dessous présentent les fonctionnalités disponibles, par environnement, pour Microsoft Defender pour les conteneurs.

Fonctionnalités prises en charge par environnement

Domain Fonctionnalité Ressources prises en charge État de mise en production Linux 1 État de mise en production Windows 1 Sans agent/Basé sur agent Niveau de tarification Disponibilité des clouds Azure
Conformité Docker CIS Machine virtuelle, groupe de machines virtuelles identiques GA - Agent Log Analytics Defender pour les serveurs Plan 2 Clouds commerciaux

Clouds nationaux : Azure Government, Azure China 21Vianet
Évaluation des vulnérabilités 2 Analyse du Registre – Packages de système d’exploitation ACR, ACR privé GA PRÉVERSION Sans agent Defender pour les conteneurs Clouds commerciaux

Clouds nationaux : Azure Government, Azure China 21Vianet
Évaluation des vulnérabilités 3 Analyse du Registre – Packages spécifiques au langage ACR, ACR privé PRÉVERSION - Sans agent Defender pour les conteneurs Clouds commerciaux
Évaluation des vulnérabilités Afficher les vulnérabilités pour les images en cours d’exécution AKS PRÉVERSION PRÉVERSION Profil Defender Defender pour les conteneurs Clouds commerciaux
Renforcement de la sécurité Recommandations relatives au plan de contrôle ACR, AKS GA GA Sans agent Gratuit Clouds commerciaux

Clouds nationaux : Azure Government, Azure China 21Vianet
Renforcement de la sécurité Recommandations relatives au plan de données Kubernetes AKS GA - Azure Policy Gratuit Clouds commerciaux

Clouds nationaux : Azure Government, Azure China 21Vianet
Protection du Runtime Détection des menaces (plan de contrôle) AKS GA GA Sans agent Defender pour les conteneurs Clouds commerciaux

Clouds nationaux : Azure Government, Azure China 21Vianet
Protection du Runtime Détection des menaces (charge de travail) AKS GA - Profil Defender Defender pour les conteneurs Clouds commerciaux
Détection et approvisionnement Détection de clusters non protégés AKS GA GA Sans agent Gratuit Clouds commerciaux

Clouds nationaux : Azure Government, Azure China 21Vianet
Détection et approvisionnement Collecte de données de menace du plan de contrôle AKS GA GA Sans agent Defender pour les conteneurs Clouds commerciaux

Clouds nationaux : Azure Government, Azure China 21Vianet
Détection et approvisionnement Provisionnement automatique de profil Defender AKS GA - Sans agent Defender pour les conteneurs Clouds commerciaux

Clouds nationaux : Azure Government, Azure China 21Vianet
Détection et approvisionnement Provisionnement automatique de module complémentaire de stratégie Azure AKS GA - Sans agent Gratuit Clouds commerciaux

Clouds nationaux : Azure Government, Azure China 21Vianet

1 Des fonctionnalités spécifiques sont en préversion. Les conditions supplémentaires pour les préversions Azure incluent d’autres conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.

2 VA peut détecter les vulnérabilités pour ces packages de système d’exploitation.

3 VA peut détecter les vulnérabilités pour ces packages spécifiques au langage.

Informations supplémentaires sur l’environnement

Registres et images

Aspect Détails
Registres et images Pris en charge
Registres ACR protégés avec Azure Private Link (Les registres privés requièrent l’accès aux services de confiance)
• Images Windows utilisant le système d’exploitation Windows version 1709 et ultérieure (préversion). Ceci est gratuit pendant la préversion, et entraînera des frais (basés sur le plan Defender pour les conteneurs) lors du passage à la disponibilité générale.

Non pris en charge
• Images ultra-minimalistes telles que les images de base Docker
• Images « Distroless » qui contiennent uniquement une application et ses dépendances au moment de l’exécution, sans gestionnaire de package, interpréteur de commandes ou OS
• Images avec spécification du format d’image OCI (Open Container Initiative)
Packages de système d’exploitation Pris en charge
• Alpine Linux 3.12-3.16
• Red Hat Enterprise Linux 6, 7, 8
• CentOS 6, 7
• Oracle Linux 6, 7, 8
• Amazon Linux 1, 2
• openSUSE Leap 42, 15
• SUSE Enterprise Linux 11, 12, 15
• Debian GNU/Linux wheezy, jessie, stretch, buster, bullseye
• Ubuntu 10.10-22.04
• FreeBSD 11.1-13.1
• Fedora 32, 33, 34, 35
Packages spécifiques au langage (préversion)

(Uniquement pris en charge pour les images Linux)
Pris en charge
• Python
• Node.js
• .NET
• JAVA
• Go

Distributions et configurations Kubernetes

Aspect Détails
Distributions et configurations Kubernetes Pris en charge
• Tout cluster Kubernetes certifié CNCF (Cloud Native Computing Foundation)
Azure Kubernetes Service (AKS) avec Kubernetes RBAC
Amazon Elastic Kubernetes Service (EKS)
Google Kubernetes Engine (GKE) Standard

Pris en charge via Kubernetes compatible avec Arc12
Azure Kubernetes Service sur Azure Stack HCI
Kubernetes
AKS Engine
Azure Red Hat OpenShift
Red Hat OpenShift (version 4.6 ou ultérieure)
VMware Tanzu Kubernetes Grid
Rancher Kubernetes Engine

1 Les clusters Kubernetes certifiés CNCF (Cloud Native Computing Foundation) doivent être pris en charge, mais seuls les clusters spécifiés ont été testés.

2 Pour faire bénéficier à vos environnements de la protection Microsoft Defender pour les conteneurs, vous devez intégrer Kubernetes avec Azure Arc et activer Defender pour les conteneurs en tant qu’extension Arc.

Notes

Pour plus d’exigences concernant la protection des charges de travail Kuberenetes, consultez Limitations existantes.

Restrictions réseau

Defender pour les conteneurs s’appuie sur le profil/l’extension Defender pour plusieurs fonctionnalités. Le profil/l’extension Defender ne prend pas en charge la possibilité d’ingérer des données via Private Link. Vous pouvez désactiver l’accès public pour l’ingestion afin que seules les machines configurées pour envoyer du trafic par le biais d’Azure Monitor Private Link puissent envoyer des données à cette station de travail. Vous pouvez configurer une liaison privée en accédant à your workspace>Isolement réseau et en définissant les configurations d’accès aux réseaux virtuels sur Non.

Capture d’écran montrant où désactiver l’ingestion des données.

Si vous autorisez l’ingestion des données uniquement via l’étendue de liaison privée dans les paramètres d’isolement réseau de votre espace de travail, cela peut entraîner des échecs de communication et une convergence partielle du jeu de fonctionnalités Defender pour les conteneurs.

Découvrez comment utiliser Azure Private Link pour connecter des réseaux à Azure Monitor.

Étapes suivantes