Matrice de prise en charge des conteneurs dans Defender pour le cloud

Attention

Cet article fait référence à CentOS, une distribution Linux proche de l’état EOL (End Of Life). Veuillez considérer votre utilisation et votre planification en conséquence.

Cet article résume les informations de prise en charge des capacités de conteneur dans Microsoft Defender pour le cloud.

Remarque

  • Des fonctionnalités spécifiques sont en préversion. Les conditions supplémentaires pour les préversions Azure incluent d’autres conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.
  • Seules les versions d’AKS, EKS et GKE prises en charge par le fournisseur de cloud sont officiellement prises en charge par Defender pour le cloud.

Important

L’évaluation des vulnérabilités des conteneurs Microsoft Defender pour le cloud avec Qualys est en cours de mise à l’arrêt. La mise hors service sera terminé le 6 mars. D'ici là, des résultats partiels peuvent encore apparaître dans les recommandations de Qualys et les résultats de Qualys dans le graphique de sécurité. Tous les clients qui utilisaient cette évaluation doivent effectuer une mise à niveau vers des Évaluations des vulnérabilités pour Azure avec Gestion des vulnérabilités Microsoft Defender. Pour en savoir plus sur la transition vers l’offre d’évaluation des vulnérabilités de conteneur avec Microsoft Defender Vulnerability Management, consultez Transition de Qualys à Microsoft Defender Vulnerability Management.

Azure

Voici les fonctionnalités de chacun des domaines dans Defender pour les conteneurs :

Gestion de la posture de sécurité

Fonctionnalité Description Ressources prises en charge État de mise en production Linux État de mise en production Windows Méthode d’activation Agent Plans Disponibilité des clouds Azure
Découverte sans agent pour Kubernetes Fournit la découverte sans empreinte basée sur l’API des clusters Kubernetes, leurs configurations et leurs déploiements. AKS GA GA Activer le bouton Découverte sans agent sur Kubernetes Sans agent Defender pour les conteneurs OU CSPM Defender Clouds commerciaux Azure
Fonctionnalités d’inventaire complètes Vous permet d’explorer les ressources, les pods, les services, les référentiels, les images et les configurations via l’Explorateur de sécurité pour surveiller et gérer facilement vos ressources. ACR, AKS GA GA Activer le bouton Découverte sans agent sur Kubernetes Sans agent Defender pour les conteneurs OU CSPM Defender Clouds commerciaux Azure
Analyse du chemin d’attaque Algorithme graphique qui analyse le graphique de sécurité du cloud. Les analyses révèlent les chemins exploitables par les attaquants pour pénétrer dans votre environnement. ACR, AKS GA - Activé avec un plan Sans agent CSPM Defender (nécessite la détection sans agent pour que Kubernetes soit activé) Clouds commerciaux Azure
Amélioration de la chasse aux risques Permet aux administrateurs de sécurité de rechercher activement des problèmes de posture dans leurs ressources conteneurisées via des requêtes (intégrées et personnalisées) et des insights de sécurité dans l’Explorateur de sécurité. ACR, AKS GA - Activer le bouton Découverte sans agent sur Kubernetes Sans agent Defender pour les conteneurs OU CSPM Defender Clouds commerciaux Azure
Renforcement du plan de contrôle Évalue en permanence les configurations de vos clusters et les compare aux initiatives appliquées à vos abonnements. Lorsqu’il trouve des configurations incorrectes, Defender pour Cloud génère des recommandations de sécurité disponibles sur la page Recommandations de Defender pour cloud. Les recommandations vous permettent d’examiner et de corriger les problèmes. ACR, AKS GA Aperçu Activé avec un plan Sans agent Gratuit Clouds commerciaux

Clouds nationaux : Azure Government, Azure géré par 21Vianet
Renforcement des plans de données Kubernetes Protégez les charges de travail de vos conteneurs Kubernetes avec des recommandations de meilleures pratiques. AKS GA - Activer le bouton Azure Policy pour Kubernetes Azure Policy Gratuit Clouds commerciaux

Clouds nationaux : Azure Government, Azure géré par 21Vianet
Docker CIS Point de référence CIS Docker Machine virtuelle, groupe de machines virtuelles identiques GA - Activé avec le plan Agent Log Analytics Defender pour les serveurs Plan 2 Clouds commerciaux

Clouds nationaux : Azure Government, Microsoft Azure géré par 21Vianet

Évaluation des vulnérabilités

Fonctionnalité Description Ressources prises en charge État de mise en production Linux État de mise en production Windows Méthode d’activation Agent Plans Disponibilité des clouds Azure
Analyse de registre sans agent (avec Gestion des vulnérabilités Microsoft Defender) Packages pris en charge Évaluation des vulnérabilités pour les images dans ACR ACR, ACR privé GA Aperçu Activer le bouton Évaluation des vulnérabilités de conteneur sans agent Sans agent Defender pour les conteneurs ou CSPM Defender Clouds commerciaux

Clouds nationaux : Azure Government, Azure géré par 21Vianet
Runtime sans agent/basé sur agent (avec Gestion des vulnérabilités Microsoft Defender) Packages pris en charge Évaluation des vulnérabilités pour l’exécution d’images dans AKS AKS GA Aperçu Activer le bouton Évaluation des vulnérabilités de conteneur sans agent Sans agent (nécessite la découverte sans agent pour Kubernetes) OU/ET agent Defender Defender pour les conteneurs ou CSPM Defender Clouds commerciaux

Clouds nationaux : Azure Government, Azure géré par 21Vianet

Protection contre les menaces de runtime

Fonctionnalité Description Ressources prises en charge État de mise en production Linux État de mise en production Windows Méthode d’activation Agent Plans Disponibilité des clouds Azure
Plan de contrôle Détection d’activités suspectes pour Kubernetes basée sur la piste d’audit Kubernetes AKS GA GA Activé avec le plan Sans agent Defender pour les conteneurs Clouds commerciaux

Clouds nationaux : Azure Government, Azure géré par 21Vianet
Charge de travail Détection d’activités suspectes pour Kubernetes au niveau du cluster, au niveau du nœud et au niveau de la charge de travail AKS GA - Activer le bouton bascule Agent Defender dans AzureOU déployer l’agent Defender sur des clusters individuels Agent Defender Defender pour les conteneurs Clouds commerciaux

Clouds nationaux : Azure Government, Azure China 21Vianet

Déploiement et supervision

Fonctionnalité Description Ressources prises en charge État de mise en production Linux État de mise en production Windows Méthode d’activation Agent Plans Disponibilité des clouds Azure
Détection de clusters non protégés Découverte de clusters Kubernetes sans agents Defender AKS GA GA Activé avec le plan Sans agent Gratuit Clouds commerciaux

Clouds nationaux : Azure Government, Azure géré par 21Vianet
Approvisionnement automatique de l’agent Defender Déploiement automatique de l’agent Defender AKS GA - Activer le bouton bascule Agent Defender dans Azure Sans agent Defender pour les conteneurs Clouds commerciaux

Clouds nationaux : Azure Government, Azure géré par 21Vianet
Approvisionnement automatique d’Azure Policy pour Kubernetes Déploiement automatique de l’agent de stratégie Azure pour Kubernetes AKS GA - Activer le bouton Stratégie Azure pour Kubernetes Sans agent Gratuit Clouds commerciaux

Clouds nationaux : Azure Government, Azure géré par 21Vianet

Prise en charge des registres et des images pour Azure – Évaluation des vulnérabilités avec Gestion des vulnérabilités Microsoft Defender

Aspect Détails
Registres et images Pris en charge
• Registres ACR
Registres ACR protégés avec Azure Private Link (Les registres privés requièrent l’accès aux services de confiance)
• Images conteneur au format Docker V2
• Images avec spécification du format d’image Open Container Initiative (OCI)
Non pris en charge
• Images ultra-minimalistes telles que les images de base Docker
actuellement non pris en charge
Systèmes d’exploitation Pris en charge
• Alpine Linux 3.12-3.16
• Red Hat Enterprise Linux 6-9
• CentOS 6-9
• Oracle Linux 6-9
• Amazon Linux 1, 2
• openSUSE Leap, openSUSE Tumbleweed
• SUSE Enterprise Linux 11-15
• Debian GNU/Linux 7-12
• Distroless Google (basé sur Debian GNU/Linux 7-12)
• Ubuntu 12.04-22.04
• Fedora 31-37
• Mariner 1-2
• Windows Server 2016, 2019, 2022
Packages spécifiques au langage

Pris en charge
• Python
• Node.js
• .NET
• JAVA
• Go

Distributions et configurations Kubernetes pour Azure - Protection contre les menaces de runtime

Aspect Détails
Distributions et configurations Kubernetes Pris en charge
Azure Kubernetes Service (AKS) avec Kubernetes RBAC

Pris en charge via Kubernetes compatible avec Arc12
Azure Kubernetes Service hybride
Kubernetes
AKS Engine
Azure Red Hat OpenShift

1 Tous les clusters Kubernetes certifiés CNCF (Cloud Native Computing Foundation) doivent être pris en charge, mais seuls les clusters spécifiés ont été testés.

2 Pour faire bénéficier à vos environnements de la protection Microsoft Defender pour les conteneurs, vous devez intégrer Kubernetes avec Azure Arc et activer Defender pour les conteneurs en tant qu’extension Arc.

Remarque

Pour plus d’exigences concernant la protection des charges de travail Kubernetes, consultez les limitations existantes.

Defender pour les conteneurs s’appuie sur l’agent Defender pour plusieurs fonctionnalités. L’agent Defender ne prend pas en charge la possibilité d’ingérer des données via Private Link. Vous pouvez désactiver l’accès public pour l’ingestion afin que seules les machines configurées pour envoyer du trafic par le biais d’Azure Monitor Private Link puissent envoyer des données à cette station de travail. Vous pouvez configurer une liaison privée en accédant à your workspace>Isolement réseau et en définissant les configurations d’accès aux réseaux virtuels sur Non.

Screenshot that shows where to go to turn off data ingestion.

Si vous autorisez l’ingestion des données uniquement via l’étendue de liaison privée dans les paramètres d’isolement réseau de votre espace de travail, cela peut entraîner des échecs de communication et une convergence partielle du jeu de fonctionnalités Defender pour les conteneurs.

Découvrez comment utiliser Azure Private Link pour connecter des réseaux à Azure Monitor.

AWS

Domain Fonctionnalité Ressources prises en charge État de mise en production Linux État de mise en production Windows Sans agent/Basé sur agent Niveau tarifaire
Gestion de la posture de sécurité Découverte sans agent pour Kubernetes EKS PRÉVERSION PRÉVERSION Sans agent Defender pour les conteneurs OU CSPM Defender
Gestion de la posture de sécurité Fonctionnalités d’inventaire complètes ERC, EKS Aperçu PRÉVERSION Sans agent Defender pour les conteneurs OU CSPM Defender
Gestion de la posture de sécurité Analyse du chemin d’attaque ERC, EKS Aperçu - Sans agent Defender CSPM
Gestion de la posture de sécurité Amélioration de la chasse aux risques ERC, EKS Aperçu PRÉVERSION Sans agent Defender pour les conteneurs OU CSPM Defender
Gestion de la posture de sécurité Docker CIS EC2 PRÉVERSION - Agent Log Analytics Defender pour les serveurs Plan 2
Gestion de la posture de sécurité Renforcement du plan de contrôle - - - - -
Gestion de la posture de sécurité Renforcement des plans de données Kubernetes EKS GA - Azure Policy pour Kubernetes Defender pour les conteneurs
Évaluation des vulnérabilités Analyse de registre sans agent (avec Gestion des vulnérabilités Microsoft Defender) Packages pris en charge ECR Aperçu PRÉVERSION Sans agent Defender pour les conteneurs ou CSPM Defender
Évaluation des vulnérabilités Runtime sans agent/basé sur agent (avec Gestion des vulnérabilités Microsoft Defender) Packages pris en charge EKS PRÉVERSION Aperçu Sans agent OU/ET agent Defender Defender pour les conteneurs ou CSPM Defender
Protection du Runtime Plan de contrôle EKS PRÉVERSION PRÉVERSION Sans agent Defender pour les conteneurs
Protection du Runtime Charge de travail EKS Aperçu - Agent Defender Defender pour les conteneurs
Déploiement et supervision Détection de clusters non protégés EKS PRÉVERSION - Sans agent Gratuit
Déploiement et supervision Provisionnement automatique de l’agent Defender - - - - -
Déploiement et supervision Provisionnement automatique de Azure Policy for Kubernetes - - - - -

Prise en charge des registres et des images pour AWS – Évaluation des vulnérabilités avec Gestion des vulnérabilités Microsoft Defender

Aspect Détails
Registres et images Pris en charge
• Registres ECR
• Images conteneur au format Docker V2
• Images avec spécification du format d’image Open Container Initiative (OCI)
Non pris en charge
• Les images super minimalistes telles que les images scratch Docker ne sont actuellement pas prises en charge
• Référentiels publics
• Listes de manifestes
Systèmes d’exploitation Pris en charge
• Alpine Linux 3.12-3.16
• Red Hat Enterprise Linux 6-9
• CentOS 6-9
• Oracle Linux 6-9
• Amazon Linux 1, 2
• openSUSE Leap, openSUSE Tumbleweed
• SUSE Enterprise Linux 11-15
• Debian GNU/Linux 7-12
• Distroless Google (basé sur Debian GNU/Linux 7-12)
• Ubuntu 12.04-22.04
• Fedora 31-37
• Mariner 1-2
• Windows Server 2016, 2019, 2022
Packages spécifiques au langage

Pris en charge
• Python
• Node.js
• .NET
• JAVA
• Go

Prise en charge des distributions/configurations Kubernetes pour AWS – Protection contre les menaces du runtime

Aspect Détails
Distributions et configurations Kubernetes Pris en charge
Amazon Elastic Kubernetes Service (EKS)

Pris en charge via Kubernetes compatible avec Arc12
Kubernetes
Non pris en charge
• Clusters privés EKS

1 Les clusters Kubernetes certifiés CNCF (Cloud Native Computing Foundation) doivent être pris en charge, mais seuls les clusters spécifiés ont été testés.

2 Pour faire bénéficier à vos environnements de la protection Microsoft Defender pour les conteneurs, vous devez intégrer Kubernetes avec Azure Arc et activer Defender pour les conteneurs en tant qu’extension Arc.

Remarque

Pour plus d’exigences concernant la protection des charges de travail Kubernetes, consultez les limitations existantes.

Prise en charge du proxy sortant – AWS

Les proxys sortants sans authentification et les proxys sortants avec l’authentification de base sont pris en charge. Les proxys sortants qui attendent des certificats approuvés ne sont pas pris en charge actuellement.

GCP

Domain Fonctionnalité Ressources prises en charge État de mise en production Linux État de mise en production Windows Sans agent/Basé sur agent Niveau tarifaire
Gestion de la posture de sécurité Découverte sans agent pour Kubernetes GKE PRÉVERSION PRÉVERSION Sans agent Defender pour les conteneurs OU CSPM Defender
Gestion de la posture de sécurité Fonctionnalités d’inventaire complètes GAR, GCR, GKE Aperçu PRÉVERSION Sans agent Defender pour les conteneurs OU CSPM Defender
Gestion de la posture de sécurité Analyse du chemin d’attaque GAR, GCR, GKE Aperçu - Sans agent Defender CSPM
Gestion de la posture de sécurité Amélioration de la chasse aux risques GAR, GCR, GKE Aperçu PRÉVERSION Sans agent Defender pour les conteneurs OU CSPM Defender
Gestion de la posture de sécurité Docker CIS Machines virtuelles GCP PRÉVERSION - Agent Log Analytics Defender pour les serveurs Plan 2
Gestion de la posture de sécurité Renforcement du plan de contrôle GKE GA GA Sans agent Gratuit
Gestion de la posture de sécurité Renforcement des plans de données Kubernetes GKE GA - Azure Policy pour Kubernetes Defender pour les conteneurs
Évaluation des vulnérabilités Analyse de registre sans agent (avec Gestion des vulnérabilités Microsoft Defender) Packages pris en charge GAR, GCR Aperçu PRÉVERSION Sans agent Defender pour les conteneurs ou CSPM Defender
Évaluation des vulnérabilités Runtime sans agent/basé sur agent (avec Gestion des vulnérabilités Microsoft Defender) Packages pris en charge GKE PRÉVERSION Aperçu Sans agent OU/ET agent Defender Defender pour les conteneurs ou CSPM Defender
Protection du Runtime Plan de contrôle GKE PRÉVERSION PRÉVERSION Sans agent Defender pour les conteneurs
Protection du Runtime Charge de travail GKE Aperçu - Agent Defender Defender pour les conteneurs
Déploiement et supervision Détection de clusters non protégés GKE PRÉVERSION - Sans agent Gratuit
Déploiement et supervision Provisionnement automatique de l’agent Defender GKE PRÉVERSION - Sans agent Defender pour les conteneurs
Déploiement et supervision Provisionnement automatique de Azure Policy for Kubernetes GKE PRÉVERSION - Sans agent Defender pour les conteneurs

Prise en charge des registres et des images pour GCP – Évaluation des vulnérabilités avec Gestion des vulnérabilités Microsoft Defender

Aspect Détails
Registres et images Pris en charge
• Registres Google (GAR, GCR)
• Images conteneur au format Docker V2
• Images avec spécification du format d’image Open Container Initiative (OCI)
Non pris en charge
• Les images super minimalistes telles que les images scratch Docker ne sont actuellement pas prises en charge
• Référentiels publics
• Listes de manifestes
Systèmes d’exploitation Pris en charge
• Alpine Linux 3.12-3.16
• Red Hat Enterprise Linux 6-9
• CentOS 6-9
• Oracle Linux 6-9
• Amazon Linux 1, 2
• openSUSE Leap, openSUSE Tumbleweed
• SUSE Enterprise Linux 11-15
• Debian GNU/Linux 7-12
• Distroless Google (basé sur Debian GNU/Linux 7-12)
• Ubuntu 12.04-22.04
• Fedora 31-37
• Mariner 1-2
• Windows Server 2016, 2019, 2022
Packages spécifiques au langage

Pris en charge
• Python
• Node.js
• .NET
• JAVA
• Go

Prise en charge des distributions/configurations Kubernetes pour GCP – Protection contre les menaces du runtime

Aspect Détails
Distributions et configurations Kubernetes Pris en charge
Google Kubernetes Engine (GKE) Standard

Pris en charge via Kubernetes compatible avec Arc12
Kubernetes

Non pris en charge
• Clusters de réseau privé
• Autopilot GKE
• GKE AuthorizedNetworksConfig

1 Les clusters Kubernetes certifiés CNCF (Cloud Native Computing Foundation) doivent être pris en charge, mais seuls les clusters spécifiés ont été testés.

2 Pour faire bénéficier à vos environnements de la protection Microsoft Defender pour les conteneurs, vous devez intégrer Kubernetes avec Azure Arc et activer Defender pour les conteneurs en tant qu’extension Arc.

Remarque

Pour plus d’exigences concernant la protection des charges de travail Kubernetes, consultez les limitations existantes.

Prise en charge du proxy sortant – GCP

Les proxys sortants sans authentification et les proxys sortants avec l’authentification de base sont pris en charge. Les proxys sortants qui attendent des certificats approuvés ne sont pas pris en charge actuellement.

Clusters Kubernetes locaux avec Arc

Domain Fonctionnalité Ressources prises en charge État de mise en production Linux État de mise en production Windows Sans agent/Basé sur agent Niveau tarifaire
Gestion de la posture de sécurité Docker CIS Machines virtuelles avec Arc PRÉVERSION - Agent Log Analytics Defender pour les serveurs Plan 2
Gestion de la posture de sécurité Renforcement du plan de contrôle - - - - -
Gestion de la posture de sécurité Renforcement des plans de données Kubernetes Clusters K8 avec Arc GA - Azure Policy pour Kubernetes Defender pour les conteneurs
Protection du Runtime Protection contre les menaces (plan de contrôle) Clusters K8 avec Arc PRÉVERSION Aperçu Agent Defender Defender pour les conteneurs
Protection du Runtime Protection contre les menaces (charge de travail) Clusters K8 avec Arc Aperçu - Agent Defender Defender pour les conteneurs
Déploiement et supervision Détection de clusters non protégés Clusters K8 avec Arc PRÉVERSION - Sans agent Gratuit
Déploiement et supervision Provisionnement automatique de l’agent Defender Clusters K8 avec Arc PRÉVERSION PRÉVERSION Sans agent Defender pour les conteneurs
Déploiement et supervision Provisionnement automatique de Azure Policy for Kubernetes Clusters K8 avec Arc PRÉVERSION - Sans agent Defender pour les conteneurs

Distributions et configurations Kubernetes

Aspect Détails
Distributions et configurations Kubernetes Pris en charge via Kubernetes compatible avec Arc12
Azure Kubernetes Service hybride
Kubernetes
AKS Engine
Azure Red Hat OpenShift
Red Hat OpenShift (version 4.6 ou ultérieure)
VMware Tanzu Kubernetes Grid
Rancher Kubernetes Engine

1 Les clusters Kubernetes certifiés CNCF (Cloud Native Computing Foundation) doivent être pris en charge, mais seuls les clusters spécifiés ont été testés.

2 Pour faire bénéficier à vos environnements de la protection Microsoft Defender pour les conteneurs, vous devez intégrer Kubernetes avec Azure Arc et activer Defender pour les conteneurs en tant qu’extension Arc.

Remarque

Pour plus d’exigences concernant la protection des charges de travail Kubernetes, consultez les limitations existantes.

Systèmes d’exploitation hôtes pris en charge

Defender pour les conteneurs s’appuie sur l’agent Defender pour plusieurs fonctionnalités. L’agent Defender est prise en charge sur les systèmes d’exploitation hôtes suivants :

  • Amazon Linux 2
  • CentOS 8
  • Debian 10
  • Debian 11
  • Système d’exploitation optimisé Google Container
  • Mariner 1.0
  • Mariner 2.0
  • Red Hat Enterprise Linux 8
  • Ubuntu 16.04
  • Ubuntu 18.04
  • Ubuntu 20.04
  • Ubuntu 22.04

Vérifiez que votre nœud Kubernetes s’exécute sur l’un des systèmes d’exploitation vérifiés pris en charge. Les clusters avec différents systèmes d’exploitation hôtes ne bénéficient que d’une couverture partielle.

Limitations de l’agent Defender

L’agent Defender dans AKS V1.28 et moins n’est pas pris en charge sur les nœuds ARM64.

Restrictions réseau

Defender pour les conteneurs s’appuie sur l’agent Defender pour plusieurs fonctionnalités. L’agent Defender ne prend pas en charge la possibilité d’ingérer des données via Private Link. Vous pouvez désactiver l’accès public pour l’ingestion afin que seules les machines configurées pour envoyer du trafic par le biais d’Azure Monitor Private Link puissent envoyer des données à cette station de travail. Vous pouvez configurer une liaison privée en accédant à your workspace>Isolement réseau et en définissant les configurations d’accès aux réseaux virtuels sur Non.

Screenshot that shows where to go to turn off data ingestion.

Si vous autorisez l’ingestion des données uniquement via l’étendue de liaison privée dans les paramètres d’isolement réseau de votre espace de travail, cela peut entraîner des échecs de communication et une convergence partielle du jeu de fonctionnalités Defender pour les conteneurs.

Découvrez comment utiliser Azure Private Link pour connecter des réseaux à Azure Monitor.

Prise en charge du proxy sortant

Les proxys sortants sans authentification et les proxys sortants avec l’authentification de base sont pris en charge. Les proxys sortants qui attendent des certificats approuvés ne sont pas pris en charge actuellement.

Étapes suivantes