Matrice de prise en charge des conteneurs dans Defender pour le cloud
Article
Attention
Cet article fait référence à CentOS qui est une distribution Linux dont la fin de service est prévue pour le 30 juin 2024. Veuillez considérer votre utilisation et votre planification en conséquence. Pour plus d’informations, consultez l’aide relative à la fin de vie de CentOS.
Cet article résume les informations de prise en charge des capacités de conteneur dans Microsoft Defender pour le cloud.
Notes
Des fonctionnalités spécifiques sont en préversion. Les conditions supplémentaires pour les préversions Azure incluent d’autres conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.
Seules les versions d’AKS, EKS et GKE prises en charge par le fournisseur de cloud sont officiellement prises en charge par Defender pour le cloud.
Voici les fonctionnalités fournies par Defender pour conteneurs, pour les environnements cloud et les registres de conteneurs pris en charge.
Fournit la découverte sans empreinte basée sur l’API des clusters Kubernetes, leurs configurations et leurs déploiements.
AKS
GA
GA
Activer le bouton Découverte sans agent sur Kubernetes
Sans agent
Defender pour les conteneurs OU CSPM Defender
Clouds commerciaux Azure
Fonctionnalités d’inventaire complètes
Vous permet d’explorer les ressources, les pods, les services, les référentiels, les images et les configurations via l’Explorateur de sécurité pour surveiller et gérer facilement vos ressources.
ACR, AKS
GA
GA
Activer le bouton Découverte sans agent sur Kubernetes
Sans agent
Defender pour les conteneurs OU CSPM Defender
Clouds commerciaux Azure
Analyse du chemin d’attaque
Algorithme graphique qui analyse le graphique de sécurité du cloud. Les analyses révèlent les chemins exploitables par les attaquants pour pénétrer dans votre environnement.
ACR, AKS
GA
GA
Activé avec un plan
Sans agent
CSPM Defender (nécessite la détection sans agent pour que Kubernetes soit activé)
Clouds commerciaux Azure
Amélioration de la chasse aux risques
Permet aux administrateurs de sécurité de rechercher activement des problèmes de posture dans leurs ressources conteneurisées via des requêtes (intégrées et personnalisées) et des insights de sécurité dans l’Explorateur de sécurité.
ACR, AKS
GA
GA
Activer le bouton Découverte sans agent sur Kubernetes
Évalue en permanence les configurations de vos clusters et les compare aux initiatives appliquées à vos abonnements. Lorsqu’il trouve des configurations incorrectes, Defender pour Cloud génère des recommandations de sécurité disponibles sur la page Recommandations de Defender pour cloud. Les recommandations vous permettent d’examiner et de corriger les problèmes.
ACR, AKS
GA
GA
Activé avec un plan
Sans agent
Gratuit
Clouds commerciaux
Clouds nationaux : Azure Government, Azure géré par 21Vianet
Protégez les charges de travail de vos conteneurs Kubernetes avec des recommandations de meilleures pratiques.
AKS
GA
-
Activer le bouton Azure Policy pour Kubernetes
Azure Policy
Gratuit
Clouds commerciaux
Clouds nationaux : Azure Government, Azure géré par 21Vianet
Docker CIS
Point de référence CIS Docker
Machine virtuelle, groupe de machines virtuelles identiques
GA
-
Activé avec le plan
Agent Log Analytics
Defender pour les serveurs Plan 2
Clouds commerciaux
Clouds nationaux : Azure Government, Microsoft Azure géré par 21Vianet
1 Cette fonctionnalité peut être activée pour un cluster individuel lors de l’activation de Defender pour les conteneurs au niveau de la ressource de cluster.
Évaluation des vulnérabilités
Fonctionnalité
Description
Ressources prises en charge
État de mise en production Linux
État de mise en production Windows
Méthode d’activation
Capteur
Plans
Disponibilité des clouds Azure
Analyse de registre sans agent (avec Gestion des vulnérabilités Microsoft Defender) Packages pris en charge
Évaluation des vulnérabilités pour les images dans ACR
ACR, ACR privé
GA
GA
Activer le bouton bascule Évaluation de la vulnérabilité des conteneurs sans agent (les clouds nationaux sont automatiquement activés et ne peuvent pas être désactivés)
Sans agent
Defender pour les conteneurs ou CSPM Defender
Clouds commerciaux
Clouds nationaux : Azure Government, Azure géré par 21Vianet
Runtime sans agent/basé sur agent (avec Gestion des vulnérabilités Microsoft Defender) Packages pris en charge
Évaluation des vulnérabilités pour l’exécution d’images dans AKS
AKS
GA
GA
Activer le bouton bascule Évaluation de la vulnérabilité des conteneurs sans agent (les clouds nationaux sont automatiquement activés et ne peuvent pas être désactivés)
Sans agent (nécessite la découverte sans agent pour Kubernetes) OU/ET capteur Defender
Defender pour les conteneurs ou CSPM Defender
Clouds commerciaux
Clouds nationaux : Azure Government, Azure géré par 21Vianet
Découverte de clusters Kubernetes sans capteurs Defender
AKS
GA
GA
Activé avec le plan
Sans agent
Gratuit
Clouds commerciaux
Clouds nationaux : Azure Government, Azure géré par 21Vianet
Provisionnement automatique du capteur Defender
Déploiement automatique du capteur Defender
AKS
GA
-
Activer le bouton bascule Capteur Defender dans Azure
Sans agent
Defender pour les conteneurs
Clouds commerciaux
Clouds nationaux : Azure Government, Azure géré par 21Vianet
Approvisionnement automatique d’Azure Policy pour Kubernetes 1
Déploiement automatique du capteur de stratégie Azure pour Kubernetes
AKS
GA
-
Activer le bouton Stratégie Azure pour Kubernetes
Sans agent
Gratuit
Clouds commerciaux
Clouds nationaux : Azure Government, Azure géré par 21Vianet
1 Cette fonctionnalité peut être activée pour un cluster individuel lors de l’activation de Defender pour les conteneurs au niveau de la ressource de cluster.
Prise en charge des registres et des images pour Azure – Évaluation des vulnérabilités avec Gestion des vulnérabilités Microsoft Defender
Pris en charge * Alpine Linux 3.12-3.21 * Red Hat Enterprise Linux 6-9 * CentOS 6-9. (CentOS a atteint la fin de service le 30 juin 2024. Pour plus d’informations, consultez l’aide sur la fin de vie de CentOS.) * Oracle Linux 6-9 * Amazon Linux 1, 2 * openSUSE Leap, openSUSE Tumbleweed * SUSE Enterprise Linux 11-15 * Debian GNU/Linux 7-12 * Google Distroless (basé sur Debian GNU/Linux 7-12) * Ubuntu 12.04-22.04 * Fedora 31-37 * Mariner 1-2 * Windows Server 2016, 2019, 2022
Packages spécifiques au langage
Pris en charge * Python * Node.js * PHP * Ruby * Rust * .NET * Java * Go
Distributions et configurations Kubernetes pour Azure - Protection contre les menaces de runtime
1 Tous les clusters Kubernetes certifiés CNCF (Cloud Native Computing Foundation) doivent être pris en charge, mais seuls les clusters spécifiés ont été testés.
Runtime sans agent/basé sur le capteur (avec la Gestion des vulnérabilités Microsoft Defender) packages pris en charge
EKS
GA
GA
Sans agent OU/ET capteur Defender
Defender pour les conteneurs ou CSPM Defender
Protection du Runtime
Plan de contrôle
EKS
GA
GA
Sans agent
Defender pour les conteneurs
Protection du Runtime
Charge de travail
EKS
GA
-
Capteur Defender
Defender pour les conteneurs
Déploiement et supervision
Détection de clusters non protégés
EKS
GA
GA
Sans agent
Defender pour les conteneurs
Déploiement et supervision
Provisionnement automatique du capteur Defender
EKS
GA
-
-
-
Déploiement et supervision
Provisionnement automatique de Azure Policy for Kubernetes
EKS
GA
-
-
-
Prise en charge des registres et des images pour AWS – Évaluation des vulnérabilités avec Gestion des vulnérabilités Microsoft Defender
Aspect
Détails
Registres et images
Pris en charge * ECR registries * Images conteneur au format Docker V2 * Images avec Spécification du format d’image Open Container Initiative (OCI) Non pris en charge * Les images super minimalistes telles que les images de base Docker ne sont actuellement pas prises en charge * Référentiels publics * Listes de manifestes
Systèmes d’exploitation
Pris en charge * Alpine Linux 3.12-3.21 * Red Hat Enterprise Linux 6-9 * CentOS 6-9 (CentOS a atteint la fin de service le 30 juin 2024). Pour plus d’informations, consultez l’aide sur la fin de vie de CentOS.) * Oracle Linux 6-9 * Amazon Linux 1, 2 * openSUSE Leap, openSUSE Tumbleweed * SUSE Enterprise Linux 11-15 * Debian GNU/Linux 7-12 * Google Distroless (basé sur Debian GNU/Linux 7-12) * Ubuntu 12.04-22.04 * Fedora 31-37 * Mariner 1-2 * Windows server 2016, 2019, 2022
Packages spécifiques au langage
Pris en charge * Python * Node.js * PHP * Ruby * Rust * .NET * Java * Go
Prise en charge des distributions/configurations Kubernetes pour AWS – Protection contre les menaces du runtime
Pris en charge via Kubernetes avec Arc12
*
Kubernetes Non pris en charge * Clusters privés EKS
1 Les clusters Kubernetes certifiés CNCF (Cloud Native Computing Foundation) doivent être pris en charge, mais seuls les clusters spécifiés ont été testés.
Pour plus d’exigences concernant la protection des charges de travail Kubernetes, consultez les limitations existantes.
Prise en charge du proxy sortant – AWS
Les proxys sortants sans authentification et les proxys sortants avec l’authentification de base sont pris en charge. Les proxys sortants qui attendent des certificats approuvés ne sont pas pris en charge actuellement.
Clusters avec des restrictions d’adresse IP – AWS
Dans AWS, si des restrictions d’adresses IP du plan de contrôle sont activées dans votre cluster Kubernetes (consultez Contrôle d’accès au point de terminaison du cluster – Amazon EKS), la configuration des restrictions d’adresses IP du plan de contrôle est mise à jour pour inclure le bloc CIDR de Microsoft Defender for Cloud.
Runtime sans agent/basé sur le capteur (avec la Gestion des vulnérabilités Microsoft Defender) packages pris en charge
GKE
GA
GA
Sans agent OU/ET capteur Defender
Defender pour les conteneurs ou CSPM Defender
Protection du Runtime
Plan de contrôle
GKE
GA
GA
Sans agent
Defender pour les conteneurs
Protection du Runtime
Charge de travail
GKE
GA
-
Capteur Defender
Defender pour les conteneurs
Déploiement et supervision
Détection de clusters non protégés
GKE
GA
GA
Sans agent
Defender pour les conteneurs
Déploiement et supervision
Provisionnement automatique du capteur Defender
GKE
GA
-
Sans agent
Defender pour les conteneurs
Déploiement et supervision
Provisionnement automatique de Azure Policy for Kubernetes
GKE
GA
-
Sans agent
Defender pour les conteneurs
Prise en charge des registres et des images pour GCP – Évaluation des vulnérabilités avec Gestion des vulnérabilités Microsoft Defender
Aspect
Détails
Registres et images
Pris en charge * Registres Google (GAR, GCR) * Images conteneur au format Docker V2 * Images avec Spécification du format d’image Open Container Initiative (OCI) Non pris en charge * Les images super minimalistes telles que les images de base Docker ne sont actuellement pas prises en charge * Référentiels publics * Listes de manifestes
Systèmes d’exploitation
Pris en charge * Alpine Linux 3.12-3.21 * Red Hat Enterprise Linux 6-9 * CentOS 6-9 (CentOS a atteint la fin de service le 30 juin 2024). Pour plus d’informations, consultez l’aide sur la fin de vie de CentOS.) * Oracle Linux 6-9 * Amazon Linux 1, 2 * openSUSE Leap, openSUSE Tumbleweed * SUSE Enterprise Linux 11-15 * Debian GNU/Linux 7-12 * Google Distroless (basé sur Debian GNU/Linux 7-12) * Ubuntu 12.04-22.04 * Fedora 31-37 * Mariner 1-2 * Windows server 2016, 2019, 2022
Pris en charge via Kubernetes avec Arc12
*
Kubernetes
Non pris en charge * Clusters de réseau privé * Autopilot GKE * GKE AuthorizedNetworksConfig
1 Les clusters Kubernetes certifiés CNCF (Cloud Native Computing Foundation) doivent être pris en charge, mais seuls les clusters spécifiés ont été testés.
Pour plus d’exigences concernant la protection des charges de travail Kubernetes, consultez les limitations existantes.
Prise en charge du proxy sortant – GCP
Les proxys sortants sans authentification et les proxys sortants avec l’authentification de base sont pris en charge. Les proxys sortants qui attendent des certificats approuvés ne sont pas pris en charge actuellement.
1 Les clusters Kubernetes certifiés CNCF (Cloud Native Computing Foundation) doivent être pris en charge, mais seuls les clusters spécifiés ont été testés.
Pour plus d’exigences concernant la protection des charges de travail Kubernetes, consultez les limitations existantes.
Systèmes d’exploitation hôtes pris en charge
Defender pour les conteneurs dépend du capteur Defender pour plusieurs fonctionnalités. Le capteur Defender est pris en charge uniquement avec le noyau Linux 5.4 et versions ultérieures, sur les systèmes d’exploitation hôtes suivants :
Amazon Linux 2
CentOS 8 (CentOS a atteint la fin de service le 30 juin 2024). Pour plus d’informations, consultez l’aide sur la fin de vie de CentOS.)
Debian 10
Debian 11
Système d’exploitation optimisé Google Container
Mariner 1.0
Mariner 2.0
Red Hat Enterprise Linux 8
Ubuntu 16.04
Ubuntu 18.04
Ubuntu 20.04
Ubuntu 22.04
Vérifiez que votre nœud Kubernetes s’exécute sur l’un de ces systèmes d’exploitation vérifiés. Les clusters avec des systèmes d’exploitation hôtes non pris en charge ne bénéficient pas des avantages des fonctionnalités reposant sur le capteur Defender.
Limitations du capteur Defender
Le capteur Defender dans AKS V1.28 et versions antérieures n’est pas pris en charge sur les nœuds ARM64.
Restrictions réseau
Prise en charge du proxy sortant
Les proxys sortants sans authentification et les proxys sortants avec l’authentification de base sont pris en charge. Les proxys sortants qui attendent des certificats approuvés ne sont pas pris en charge actuellement.