Figyelemfelhívás
Ez a cikk a CentOS-ra hivatkozik, amely egy linuxos disztribúció, és 2024. június 30-án lesz az élettartamának vége. Ennek megfelelően fontolja meg a használatot és a tervezést. További információ: CentOS End Of Life útmutató.
Ez a cikk az Felhőhöz készült Microsoft Defender tárolófunkcióinak támogatási adatait foglalja össze.
Feljegyzés
- Egyes funkciók előzetes verzióban érhetők el. Az Azure Előzetes verzió kiegészítő feltételei olyan egyéb jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
- A Felhőhöz készült Defender csak az AKS, az EKS és a GKE felhőszolgáltató által támogatott verzióit támogatja hivatalosan.
Az alábbiakban a Defender for Containers által a támogatott felhőkörnyezetekhez és tárolóregisztrációs adatbázisokhoz biztosított funkciók találhatók.
Sebezhetőségi felmérési (VA) funkciók
| Funkció |
Leírás |
Támogatott erőforrások |
Linux kiadási állapot |
A Windows kiadási állapota |
Engedélyezési módszer |
Tervek |
Felhők rendelkezésre állása |
| Konténer-regisztráció VA |
Konténertárolókban lévő képek sebezhetőségi értékelésének (VA) használata |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Beállításjegyzék-hozzáférés1 vagy összekötő létrehozása a Docker Hubhoz/Jfroghoz szükséges. |
Defender for Containers vagy Defender CSPM |
Kereskedelmi felhők
Nemzeti felhők: Azure Government, 21Vianet által üzemeltetett Azure |
| Futtatókörnyezeti tároló VA - Beállításjegyzék-alapú vizsgálat |
Támogatott adatbázisból lemezképeket futtató tárolók VA-jának használata |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Docker Hub/Jfrog esetében szükséges a regiszter-hozzáférés1 vagy csatlakozó létrehozása, és vagy K8S API-hozzáférés vagy Defender szenzor1 használata. |
Defender for Containers vagy Defender CSPM |
Kereskedelmi felhők
Nemzeti felhők: Azure Government, 21Vianet által üzemeltetett Azure |
| Futtatókörnyezeti tároló VA |
Lemezképeket futtató tárolóregisztrációs adatbázis agnosztikus VA-jának használata |
Összes |
Előnézet |
- |
Ügynök nélküli vizsgálatot igényel a gépeken, és K8S API-hozzáférést vagy Defender-érzékelőt1 |
Defender for Containers vagy Defender CSPM |
Kereskedelmi felhők
Nemzeti felhők: Azure Government, 21Vianet által üzemeltetett Azure |
1 Anemzeti felhők automatikusan engedélyezve vannak, és nem tilthatók le.
| Funkció |
Leírás |
Támogatott erőforrások |
Linux kiadási állapot |
A Windows kiadási állapota |
Engedélyezési módszer |
Tervek |
Felhők rendelkezésre állása |
| Konténer-regisztráció VA |
A tárolóregisztrációs adatbázisokban lévő rendszerképek sebezhetőségi felmérései |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Beállításjegyzék-hozzáférést igényel |
Defender for Containers vagy Defender CSPM |
AWS |
| Futtatókörnyezeti tároló VA - Beállításjegyzék-alapú vizsgálat |
Támogatott adatbázisból lemezképeket futtató tárolók VA-jának használata |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
- |
A gépeken ügynök nélküli vizsgálatot igényel, valamint K8S API-hozzáférés vagy Defender-érzékelő szükséges. |
Defender for Containers vagy Defender CSPM |
AWS |
| Funkció |
Leírás |
Támogatott erőforrások |
Linux kiadási állapot |
A Windows kiadási állapota |
Engedélyezési módszer |
Tervek |
Felhők rendelkezésre állása |
| Konténer-regisztráció VA |
A tárolóregisztrációs adatbázisokban lévő rendszerképek sebezhetőségi felmérései |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Beállításjegyzék-hozzáférést igényel |
Defender for Containers vagy Defender CSPM |
Google Cloud Platform |
| Futtatókörnyezeti tároló VA - Beállításjegyzék-alapú vizsgálat |
Támogatott adatbázisból lemezképeket futtató tárolók VA-jának használata |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
- |
A gépeken ügynök nélküli vizsgálatot igényel, valamint K8S API-hozzáférés vagy Defender-érzékelő szükséges. |
Defender for Containers vagy Defender CSPM |
Google Cloud Platform |
| Funkció |
Leírás |
Támogatott erőforrások |
Linux kiadási állapot |
A Windows kiadási állapota |
Engedélyezési módszer |
Tervek |
Felhők rendelkezésre állása |
| Konténer-regisztráció VA |
A tárolóregisztrációs adatbázisokban lévő rendszerképek sebezhetőségi felmérései |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Beállításjegyzék-hozzáférést igényel |
Defender for Containers vagy Defender CSPM |
Ívhez kapcsolódó klaszterek |
| Futtatókörnyezeti tároló VA - Beállításjegyzék-alapú vizsgálat |
Támogatott adatbázisból lemezképeket futtató tárolók VA-jának használata |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
- |
A gépeken ügynök nélküli vizsgálatot igényel, valamint K8S API-hozzáférés vagy Defender-érzékelő szükséges. |
Defender for Containers vagy Defender CSPM |
Ívhez kapcsolódó klaszterek |
A rendszerképek és -adatbázisok támogatják a sebezhetőségi felmérést
| Szempont |
Részletek |
| Nyilvántartások és képek |
Támogatott
* Tárolólemezképek Docker V2 formátumban
* Képek az Open Container Initiative (OCI) képformátum-specifikációval
Nem támogatott
* Szuper-minimalista képek, mint például a Docker scratch képek, jelenleg nem támogatottak.
* Nyilvános adattárak
Jegyzékek
|
| Operációs rendszerek |
Támogatott
* Alpine Linux 3.12-3.21
* Red Hat Enterprise Linux 6-9
* CentOS 6-9 (A CentOS 2024. június 30-án megszűnik. További információ: CentOS End Of Life útmutató.)
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless (a Debian GNU/Linux 7-12 alapján)
* Ubuntu 12.04-24.04
* Fedora 31-37
* Azure Linux 1-3
* Windows Server 2016, 2019, 2022
* Chainguard OS/Wolfi OS
* Alma Linux 8.4 vagy újabb
* Rocky Linux 8.7 vagy újabb |
Nyelvspecifikus csomagok
|
Támogatott
*Piton
* Node.js
* PHP
*Rubin
*Rozsda
.NET
*Jáva
*Indul |
Rendszer-védelmi funkciók
| Funkció |
Leírás |
Támogatott erőforrások |
Linux kiadási állapot |
A Windows kiadási állapota |
Engedélyezési módszer |
Tervek |
Felhők rendelkezésre állása |
| Vezérlősík észlelése |
A Kubernetes gyanús tevékenységének észlelése a Kubernetes auditnaplója alapján |
AKS |
GA |
GA |
A csomaggal engedélyezve |
Defender for Containers vagy Defender CSPM |
Kereskedelmi felhők Nemzeti felhők: Azure Government, Azure által üzemeltetett 21Vianet |
| Munkaterhelés észlelése |
Figyeli a tárolóalapú számítási feladatokat a fenyegetésekre, és riasztásokat küld a gyanús tevékenységekről. |
AKS |
GA |
- |
Defender-érzékelőt igényel |
Defender konténerekhez |
Kereskedelmi felhők és nemzeti felhők: Azure Government, 21Vianet által üzemeltetett Azure |
| Bináris eltérésészlelés |
Tárolórendszerképből észleli a futtatókörnyezeti tároló bináris fájlját |
AKS |
GA |
- |
Defender-érzékelőt igényel |
Defender konténerekhez |
Kereskedelmi felhők |
| DNS-észlelés |
DNS-észlelési képességek |
AKS |
Előnézet |
|
Defender-érzékelőt igényel a Helmen keresztül |
Defender konténerekhez |
Kereskedelmi felhők |
| Speciális vadászat az XDR-ben |
Klaszter események és riasztások megtekintése a Microsoft XDR-ben |
AKS |
Előzetes verzió – jelenleg támogatja a naplózási naplók és a folyamatesemények feldolgozását |
Előzetes verzió – jelenleg a naplózási naplókat támogatja |
Defender-érzékelőt igényel |
Defender konténerekhez |
Kereskedelmi felhők és nemzeti felhők: Azure Government, 21Vianet által üzemeltetett Azure |
| Válaszműveletek az XDR-ben |
Automatizált és manuális szervizelést biztosít a Microsoft XDR-ben |
AKS |
Előnézet |
- |
Defender-érzékelőt és K8S hozzáférési API-t igényel |
Defender konténerekhez |
Kereskedelmi felhők és nemzeti felhők: Azure Government, 21Vianet által üzemeltetett Azure |
| Kártevők észlelése |
Kártevők észlelése |
AKS-csomópontok |
GA |
GA |
Ügynök nélküli vizsgálat szükséges a gépeken |
Defender for Containers vagy Defender for Servers Plan 2 |
Kereskedelmi felhők |
Kubernetes-disztribúciók és konfigurációk futtatókörnyezeti veszélyforrások elleni védelemhez az Azure-ban
1 A Cloud Native Computing Foundation (CNCF) által minősített Kubernetes-fürtöket támogatni kell, de csak a megadott fürtöket tesztelték az Azure-ban.
2 Ahhoz, hogy a Microsoft Defender for Containers védelmet kapjon a környezeteihez, be kell kapcsolnia az Azure Arc-kompatibilis Kubernetes-t, és engedélyeznie kell a Defender for Containerst Arc-bővítményként.
Feljegyzés
A Kubernetes számítási feladatok védelmére vonatkozó további követelményekért tekintse meg a meglévő korlátozásokat.
| Funkció |
Leírás |
Támogatott erőforrások |
Linux kiadási állapot |
A Windows kiadási állapota |
Engedélyezési módszer |
Tervek |
Felhők rendelkezésre állása |
| Vezérlősík észlelése |
A Kubernetes gyanús tevékenységének észlelése a Kubernetes auditnaplója alapján |
EKS |
GA |
GA |
A csomaggal engedélyezve |
Defender for Containers vagy Defender CSPM |
AWS |
| Munkaterhelés észlelése |
Figyeli a tárolóalapú számítási feladatokat a fenyegetésekre, és riasztásokat küld a gyanús tevékenységekről. |
EKS |
GA |
- |
Defender-érzékelőt igényel |
Defender konténerekhez |
AWS |
| Bináris eltérésészlelés |
Tárolórendszerképből észleli a futtatókörnyezeti tároló bináris fájlját |
EKS |
GA |
- |
Defender-érzékelőt igényel |
Defender konténerekhez |
AWS |
| DNS-észlelés |
DNS-észlelési képességek |
EKS |
Előnézet |
|
Defender-érzékelőt igényel a Helmen keresztül |
Defender konténerekhez |
AWS |
| Speciális vadászat az XDR-ben |
Klaszter események és riasztások megtekintése a Microsoft XDR-ben |
EKS |
Előzetes verzió – jelenleg támogatja a naplózási naplók és a folyamatesemények feldolgozását |
Előzetes verzió – jelenleg a naplózási naplókat támogatja |
Defender-érzékelőt igényel |
Defender konténerekhez |
AWS |
| Válaszműveletek az XDR-ben |
Automatizált és manuális szervizelést biztosít a Microsoft XDR-ben |
EKS |
Előnézet |
- |
Defender-érzékelőt és K8S hozzáférési API-t igényel |
Defender konténerekhez |
AWS |
| Kártevők észlelése |
Kártevők észlelése |
- |
- |
- |
- |
- |
- |
A Kubernetes-disztribúciók/konfigurációk támogatják a futtatókörnyezet veszélyforrások elleni védelmét az AWS-ben
1 A Cloud Native Computing Foundation (CNCF) által minősített Kubernetes klasztereket támogatni kell, de csak a megadott klasztereket tesztelték.
2 Ahhoz, hogy a Microsoft Defender for Containers védelmet kapjon a környezeteihez, be kell kapcsolnia az Azure Arc-kompatibilis Kubernetes-t, és engedélyeznie kell a Defender for Containerst Arc-bővítményként.
Feljegyzés
A Kubernetes számítási feladatok védelmére vonatkozó további követelményekért tekintse meg a meglévő korlátozásokat.
| Funkció |
Leírás |
Támogatott erőforrások |
Linux kiadási állapot |
A Windows kiadási állapota |
Engedélyezési módszer |
Tervek |
Felhők rendelkezésre állása |
| Vezérlősík észlelése |
A Kubernetes gyanús tevékenységének észlelése a Kubernetes auditnaplója alapján |
GKE (Google Kubernetes Engine) |
GA |
GA |
A csomaggal engedélyezve |
Defender konténerekhez |
Google Cloud Platform |
| Munkaterhelés észlelése |
Figyeli a tárolóalapú számítási feladatokat a fenyegetésekre, és riasztásokat küld a gyanús tevékenységekről. |
GKE (Google Kubernetes Engine) |
GA |
- |
Defender-érzékelőt igényel |
Defender konténerekhez |
Google Cloud Platform |
| Bináris eltérésészlelés |
Tárolórendszerképből észleli a futtatókörnyezeti tároló bináris fájlját |
GKE (Google Kubernetes Engine) |
GA |
- |
Defender-érzékelőt igényel |
Defender konténerekhez |
Google Cloud Platform |
| DNS-észlelés |
DNS-észlelési képességek |
GKE (Google Kubernetes Engine) |
Előnézet |
|
Defender-érzékelőt igényel a Helmen keresztül |
Defender konténerekhez |
Google Cloud Platform |
| Speciális vadászat az XDR-ben |
Klaszter események és riasztások megtekintése a Microsoft XDR-ben |
GKE (Google Kubernetes Engine) |
Előzetes verzió – jelenleg támogatja a naplózási naplók és a folyamatesemények feldolgozását |
Előzetes verzió – jelenleg a naplózási naplókat támogatja |
Defender-érzékelőt igényel |
Defender konténerekhez |
Google Cloud Platform |
| Válaszműveletek az XDR-ben |
Automatizált és manuális szervizelést biztosít a Microsoft XDR-ben |
GKE (Google Kubernetes Engine) |
Előnézet |
- |
Defender-érzékelőt és K8S hozzáférési API-t igényel |
Defender konténerekhez |
Google Cloud Platform |
| Kártevők észlelése |
Kártevők észlelése |
- |
- |
- |
- |
- |
- |
A Kubernetes-disztribúciók/konfigurációk támogatják a futtatókörnyezeti veszélyforrások elleni védelmet a GCP-ben
| Szempont |
Részletek |
| Kubernetes-disztribúciók és konfigurációk |
Támogatott
*
Google Kubernetes Engine (GKE) Standard
Arc által engedélyezett Kubernetes támogatásával12
*
Kubernetes
Nem támogatott
* Privát hálózati fürtök
* GKE autopilot (automatizált üzemmód)
* GKE AuthorizedNetworksConfig (Engedélyezett Hálózatok Konfigurálása) |
1 A Cloud Native Computing Foundation (CNCF) által minősített Kubernetes klasztereket támogatni kell, de csak a megadott klasztereket tesztelték.
2 Ahhoz, hogy a Microsoft Defender for Containers védelmet kapjon a környezeteihez, be kell kapcsolnia az Azure Arc-kompatibilis Kubernetes-t, és engedélyeznie kell a Defender for Containerst Arc-bővítményként.
Feljegyzés
A Kubernetes számítási feladatok védelmére vonatkozó további követelményekért tekintse meg a meglévő korlátozásokat.
| Funkció |
Leírás |
Támogatott erőforrások |
Linux kiadási állapot |
A Windows kiadási állapota |
Engedélyezési módszer |
Tervek |
Felhők rendelkezésre állása |
| Vezérlősík észlelése |
A Kubernetes gyanús tevékenységének észlelése a Kubernetes auditnaplója alapján |
Arc-kompatibilis K8s-fürtök |
Előnézet |
Előnézet |
Defender-érzékelőt igényel |
Defender konténerekhez |
|
| Munkaterhelés észlelése |
Figyeli a tárolóalapú számítási feladatokat a fenyegetésekre, és riasztásokat küld a gyanús tevékenységekről. |
Arc-engedélyezett Kubernetes-fürtök |
Előnézet |
- |
Defender-érzékelőt igényel |
Defender konténerekhez |
|
| Bináris eltérésészlelés |
Tárolórendszerképből észleli a futtatókörnyezeti tároló bináris fájlját |
|
- |
- |
- |
- |
- |
| Speciális vadászat az XDR-ben |
Klaszter események és riasztások megtekintése a Microsoft XDR-ben |
Arc-engedélyezett Kubernetes-fürtök |
Előzetes verzió – jelenleg támogatja a naplózási naplók és a folyamatesemények feldolgozását |
Előzetes verzió – jelenleg támogatja a naplózási naplók és a folyamatesemények feldolgozását |
Defender-érzékelőt igényel |
Defender konténerekhez |
|
| Válaszműveletek az XDR-ben |
Automatizált és manuális szervizelést biztosít a Microsoft XDR-ben |
- |
- |
- |
- |
- |
|
| Kártevők észlelése |
Kártevők észlelése |
- |
- |
- |
- |
- |
- |
Kubernetes-disztribúciók/konfigurációk futásidejű veszélyforrások elleni védelemhez az Arc-kompatibilis Kubernetesben
1 A Cloud Native Computing Foundation (CNCF) által minősített Kubernetes klasztereket támogatni kell, de csak a megadott klasztereket tesztelték.
2 Ahhoz, hogy a Microsoft Defender for Containers védelmet kapjon a környezeteihez, be kell kapcsolnia az Azure Arc-kompatibilis Kubernetes-t, és engedélyeznie kell a Defender for Containerst Arc-bővítményként.
Feljegyzés
A Kubernetes számítási feladatok védelmére vonatkozó további követelményekért tekintse meg a meglévő korlátozásokat.
Biztonsági helyzetkezelési funkciók
| Funkció |
Leírás |
Támogatott erőforrások |
Linux kiadási állapot |
A Windows kiadási állapota |
Engedélyezési módszer |
Tervek |
Felhők rendelkezésre állása |
|
Ügynök nélküli felderítés a Kubernetes számára |
A Kubernetes-fürtök, azok konfigurációinak és üzembe helyezéseinek nyom nélküli, API-alapú felderítése. |
AKS |
GA |
GA |
K8S API-hozzáférésre van szükség |
Defender tárolók védelmére VAGY Defender CSPM |
Azure-beli kereskedelmi felhők |
| Átfogó leltározási képességek |
Lehetővé teszi az erőforrások, podok, szolgáltatások, adattárak, rendszerképek és konfigurációk feltárására a Security Explorer használatával az eszközök egyszerű monitorozásához és kezeléséhez. |
ACR, AKS |
GA |
GA |
K8S API-hozzáférésre van szükség |
Defender tárolók védelmére VAGY Defender CSPM |
Azure-beli kereskedelmi felhők |
| Támadási útvonal elemzése |
Gráfalapú algoritmus, amely a felhőbiztonsági gráfot vizsgálja. A vizsgálatok olyan kihasználható útvonalakat fednek fel, amelyeket a támadók a környezet megsértésére használhatnak. |
ACR, AKS |
GA |
GA |
K8S API-hozzáférésre van szükség |
Defender CSPM |
Azure-beli kereskedelmi felhők |
| Fokozott kockázatkeresés |
Lehetővé teszi a biztonsági rendszergazdák számára, hogy aktívan kutassák fel a tárolóalapú objektumok testtartási problémáit lekérdezésekkel (beépített és egyéni) és biztonsági betekintésekkel a Security Explorerben. |
ACR, AKS |
GA |
GA |
K8S API-hozzáférésre van szükség |
Defender tárolók védelmére VAGY Defender CSPM |
Azure-beli kereskedelmi felhők |
|
Vezérlősík keményítése1 |
Folyamatosan értékeli a fürtök konfigurációit, és összehasonlítja ezeket az előfizetésekre alkalmazott kezdeményezésekkel. Ha helytelen konfigurációkat talál, Felhőhöz készült Defender biztonsági javaslatokat hoz létre, amelyek Felhőhöz készült Defender Javaslatok lapján érhetők el. A javaslatok lehetővé teszik a problémák kivizsgálását és elhárítását. |
ACR, AKS |
GA |
GA |
A csomaggal engedélyezve |
Ingyenes |
Kereskedelmi felhők
Nemzeti felhők: Azure Government, 21Vianet által üzemeltetett Azure |
|
Számítási feladatok megkeményedése1 |
Ajánlott eljárásokkal védheti a Kubernetes-tárolók számítási feladatait. |
AKS |
GA |
- |
Azure Policy-ra van szükség |
Ingyenes |
Kereskedelmi felhők
Nemzeti felhők: Azure Government, 21Vianet által üzemeltetett Azure |
| CIS Azure Kubernetes Service |
CIS Azure Kubernetes Service Benchmark |
AKS |
GA |
- |
Biztonsági szabványként van hozzárendelve |
Defender tárolók védelmére VAGY Defender CSPM |
Kereskedelmi felhők
|
1 Ez a funkció egy adott fürt esetében engedélyezhető, ha a Defender for Containers-t a fürt erőforrásszintjén engedélyezi.
| Funkció |
Leírás |
Támogatott erőforrások |
Linux kiadási állapot |
A Windows kiadási állapota |
Engedélyezési módszer |
Tervek |
Felhők rendelkezésre állása |
|
Ügynök nélküli felderítés Kubernetes számára |
A Kubernetes-fürtök, azok konfigurációinak és üzembe helyezéseinek nyom nélküli, API-alapú felderítése. |
EKS |
GA |
GA |
K8S API-hozzáférésre van szükség |
Defender tárolók védelmére VAGY Defender CSPM |
Azure-beli kereskedelmi felhők |
| Átfogó leltározási képességek |
Lehetővé teszi az erőforrások, podok, szolgáltatások, adattárak, rendszerképek és konfigurációk feltárására a Security Explorer használatával az eszközök egyszerű monitorozásához és kezeléséhez. |
ECR, EKS |
GA |
GA |
K8S API-hozzáférésre van szükség |
Defender tárolók védelmére VAGY Defender CSPM |
AWS |
| Támadási útvonal elemzése |
Gráfalapú algoritmus, amely a felhőbiztonsági gráfot vizsgálja. A vizsgálatok olyan kihasználható útvonalakat fednek fel, amelyeket a támadók a környezet megsértésére használhatnak. |
ECR, EKS |
GA |
GA |
K8S API-hozzáférésre van szükség |
Defender CSPM (a Kubernetes engedélyezéséhez ügynök nélküli felderítés szükséges) |
AWS |
| Fokozott kockázatkeresés |
Lehetővé teszi a biztonsági rendszergazdák számára, hogy aktívan kutassák fel a tárolóalapú objektumok testtartási problémáit lekérdezésekkel (beépített és egyéni) és biztonsági betekintésekkel a Security Explorerben. |
ECR, EKS |
GA |
GA |
K8S API-hozzáférésre van szükség |
Defender tárolók védelmére VAGY Defender CSPM |
AWS |
|
Vezérlősík megerősítése |
Folyamatosan értékeli a fürtök konfigurációit, és összehasonlítja ezeket az előfizetésekre alkalmazott kezdeményezésekkel. Ha helytelen konfigurációkat talál, Felhőhöz készült Defender biztonsági javaslatokat hoz létre, amelyek Felhőhöz készült Defender Javaslatok lapján érhetők el. A javaslatok lehetővé teszik a problémák kivizsgálását és elhárítását. |
- |
- |
- |
- |
- |
- |
|
Feldolgozási terhelés erősítése |
Ajánlott eljárásokkal védheti a Kubernetes-tárolók számítási feladatait. |
EKS |
GA |
- |
Az Azure Arc számára szükséges az Azure Policy-bővítmény automatikus telepítése |
Ingyenes |
AWS |
| CIS Azure Kubernetes Service |
CIS Azure Kubernetes Service Benchmark |
EKS |
GA |
- |
Biztonsági szabványként van hozzárendelve |
Defender tárolók védelmére VAGY Defender CSPM |
AWS |
| Funkció |
Leírás |
Támogatott erőforrások |
Linux kiadási állapot |
A Windows kiadási állapota |
Engedélyezési módszer |
Tervek |
Felhők rendelkezésre állása |
|
Ügynök nélküli felderítés Kubernetes számára |
A Kubernetes-fürtök, azok konfigurációinak és üzembe helyezéseinek nyom nélküli, API-alapú felderítése. |
GKE (Google Kubernetes Engine) |
GA |
GA |
K8S API-hozzáférésre van szükség |
Defender tárolók védelmére VAGY Defender CSPM |
Google Cloud Platform |
| Átfogó leltározási képességek |
Lehetővé teszi az erőforrások, podok, szolgáltatások, adattárak, rendszerképek és konfigurációk feltárására a Security Explorer használatával az eszközök egyszerű monitorozásához és kezeléséhez. |
GCR, GAR, GKE |
GA |
GA |
K8S API-hozzáférésre van szükség |
Defender tárolók védelmére VAGY Defender CSPM |
Google Cloud Platform |
| Támadási útvonal elemzése |
Gráfalapú algoritmus, amely a felhőbiztonsági gráfot vizsgálja. A vizsgálatok olyan kihasználható útvonalakat fednek fel, amelyeket a támadók a környezet megsértésére használhatnak. |
GCR, GAR, GKE |
GA |
GA |
K8S API-hozzáférésre van szükség |
Defender CSPM |
Google Cloud Platform |
| Fokozott kockázatkeresés |
Lehetővé teszi a biztonsági rendszergazdák számára, hogy aktívan kutassák fel a tárolóalapú objektumok testtartási problémáit lekérdezésekkel (beépített és egyéni) és biztonsági betekintésekkel a Security Explorerben. |
GCR, GAR, GKE |
GA |
GA |
K8S API-hozzáférésre van szükség |
Defender tárolók védelmére VAGY Defender CSPM |
Google Cloud Platform |
|
Vezérlősík megerősítése |
Folyamatosan értékeli a fürtök konfigurációit, és összehasonlítja ezeket az előfizetésekre alkalmazott kezdeményezésekkel. Ha helytelen konfigurációkat talál, Felhőhöz készült Defender biztonsági javaslatokat hoz létre, amelyek Felhőhöz készült Defender Javaslatok lapján érhetők el. A javaslatok lehetővé teszik a problémák kivizsgálását és elhárítását. |
GKE (Google Kubernetes Engine) |
GA |
GA |
Csomaggal aktiválva |
Ingyenes |
Google Cloud Platform |
|
Feldolgozási terhelés erősítése |
Ajánlott eljárásokkal védheti a Kubernetes-tárolók számítási feladatait. |
GKE (Google Kubernetes Engine) |
GA |
- |
Az Azure Arc számára szükséges az Azure Policy-bővítmény automatikus telepítése |
Ingyenes |
Google Cloud Platform |
| CIS Azure Kubernetes Service |
CIS Azure Kubernetes Service Benchmark |
GKE (Google Kubernetes Engine) |
GA |
- |
Biztonsági szabványként van hozzárendelve |
Defender tárolók védelmére VAGY Defender CSPM |
Google Cloud Platform |
| Funkció |
Leírás |
Támogatott erőforrások |
Linux kiadási állapot |
A Windows kiadási állapota |
Engedélyezési módszer |
Tervek |
Felhők rendelkezésre állása |
|
Ügynök nélküli felderítés Kubernetes számára |
A Kubernetes-fürtök, azok konfigurációinak és üzembe helyezéseinek nyom nélküli, API-alapú felderítése. |
- |
- |
- |
- |
- |
- |
| Átfogó leltározási képességek |
Lehetővé teszi az erőforrások, podok, szolgáltatások, adattárak, rendszerképek és konfigurációk feltárására a Security Explorer használatával az eszközök egyszerű monitorozásához és kezeléséhez. |
- |
- |
- |
- |
- |
- |
| Támadási útvonal elemzése |
Gráfalapú algoritmus, amely a felhőbiztonsági gráfot vizsgálja. A vizsgálatok olyan kihasználható útvonalakat fednek fel, amelyeket a támadók a környezet megsértésére használhatnak. |
- |
- |
- |
- |
- |
- |
| Fokozott kockázatkeresés |
Lehetővé teszi a biztonsági rendszergazdák számára, hogy aktívan kutassák fel a tárolóalapú objektumok testtartási problémáit lekérdezésekkel (beépített és egyéni) és biztonsági betekintésekkel a Security Explorerben. |
- |
- |
- |
- |
- |
- |
|
Vezérlősík megerősítése |
Folyamatosan értékeli a fürtök konfigurációit, és összehasonlítja ezeket az előfizetésekre alkalmazott kezdeményezésekkel. Ha helytelen konfigurációkat talál, Felhőhöz készült Defender biztonsági javaslatokat hoz létre, amelyek Felhőhöz készült Defender Javaslatok lapján érhetők el. A javaslatok lehetővé teszik a problémák kivizsgálását és elhárítását. |
- |
- |
- |
- |
- |
- |
|
Feldolgozási terhelés erősítése |
Ajánlott eljárásokkal védheti a Kubernetes-tárolók számítási feladatait. |
Arc-engedélyezett Kubernetes-fürt |
GA |
- |
Az Azure Arc számára szükséges az Azure Policy-bővítmény automatikus telepítése |
Defender tárolókhoz |
Arc-engedélyezett Kubernetes-fürt |
| CIS Azure Kubernetes Service |
CIS Azure Kubernetes Service Benchmark |
Arc-kompatibilis virtuális gépek |
Előnézet |
- |
Biztonsági szabványként van hozzárendelve |
Defender tárolók védelmére VAGY Defender CSPM |
Arc-engedélyezett Kubernetes-fürt |
| Funkció |
Leírás |
Támogatott erőforrások |
Linux kiadási állapot |
A Windows kiadási állapota |
Engedélyezési módszer |
Tervek |
Felhők rendelkezésre állása |
| Átfogó leltározási képességek |
Lehetővé teszi az erőforrások, podok, szolgáltatások, adattárak, rendszerképek és konfigurációk feltárására a Security Explorer használatával az eszközök egyszerű monitorozásához és kezeléséhez. |
Docker Hub, JFrog Artifactory |
Előnézet |
Előnézet |
Összekötő létrehozása |
Alapszintű CSPM VAGY Defender CSPM VAGY Defender konténerekhez |
- |
| Támadási útvonal elemzése |
Gráfalapú algoritmus, amely a felhőbiztonsági gráfot vizsgálja. A vizsgálatok olyan kihasználható útvonalakat fednek fel, amelyeket a támadók a környezet megsértésére használhatnak. |
Docker Hub, JFrog Artifactory |
Előnézet |
Előnézet |
Összekötő létrehozása |
Defender CSPM |
- |
| Fokozott kockázatkeresés |
Lehetővé teszi a biztonsági rendszergazdák számára, hogy aktívan kutassák fel a tárolóalapú objektumok testtartási problémáit lekérdezésekkel (beépített és egyéni) és biztonsági betekintésekkel a Security Explorerben. |
Docker Hub, JFrog |
Előnézet |
Előnézet |
Összekötő létrehozása |
Defender tárolók védelmére VAGY Defender CSPM |
|
Szoftverellátási lánc védelmi funkciói tárolók esetében
| Funkció |
Leírás |
Támogatott erőforrások |
Linux kiadási állapot |
A Windows kiadási állapota |
Engedélyezési módszer |
Tervek |
Felhők rendelkezésre állása |
| Ellenőrzött üzembe helyezés |
Tárolólemezképek zárt üzembe helyezése a Kubernetes-környezetben |
AKS 1.32 vagy újabb |
Előnézet |
Előnézet |
A csomaggal engedélyezve |
Defender for Containers vagy Defender CSPM |
Kereskedelmi felhők Nemzeti felhők: Azure Government, Azure által üzemeltetett 21Vianet |
| Funkció |
Leírás |
Támogatott erőforrások |
Linux kiadási állapot |
A Windows kiadási állapota |
Engedélyezési módszer |
Tervek |
Felhők rendelkezésre állása |
| Ellenőrzött üzembe helyezés |
Tárolólemezképek zárt üzembe helyezése a Kubernetes-környezetben |
- |
- |
- |
- |
- |
- |
| Funkció |
Leírás |
Támogatott erőforrások |
Linux kiadási állapot |
A Windows kiadási állapota |
Engedélyezési módszer |
Tervek |
Felhők rendelkezésre állása |
| Ellenőrzött üzembe helyezés |
Tárolólemezképek zárt üzembe helyezése a Kubernetes-környezetben |
- |
- |
- |
- |
- |
- |
| Funkció |
Leírás |
Támogatott erőforrások |
Linux kiadási állapot |
A Windows kiadási állapota |
Engedélyezési módszer |
Tervek |
Felhők rendelkezésre állása |
| Ellenőrzött üzembe helyezés |
Tárolólemezképek zárt üzembe helyezése a Kubernetes-környezetben |
- |
- |
- |
- |
- |
- |
Hálózati korlátozások
| Szempont |
Részletek |
| Kimenő proxy támogatás |
A kimenő proxy hitelesítés nélkül és a kimenő proxy alapvető hitelesítéssel támogatott. A megbízható tanúsítványokat elváró kimenő proxy jelenleg nem támogatott. |
| IP-korlátozásokkal rendelkező fürtök |
Ha az AWS-ben található Kubernetes-fürtön engedélyezve vannak a vezérlősík IP-korlátozásai (lásd: Amazon EKS-fürtvégpont-hozzáférés-vezérlés – Amazon EKS), a vezérlősík IP-korlátozási konfigurációja frissül, hogy tartalmazza a Felhőhöz készült Microsoft Defender CIDR-blokkját. |
| Szempont |
Részletek |
| Kimenő proxy támogatás |
A kimenő proxy hitelesítés nélkül és a kimenő proxy alapvető hitelesítéssel támogatott. A megbízható tanúsítványokat elváró kimenő proxy jelenleg nem támogatott. |
| IP-korlátozásokkal rendelkező fürtök |
Ha a Kubernetes-fürt a GCP-n a vezérlősík IP-korlátozásai engedélyezve vannak (lásd GKE – Engedélyezett hálózatok hozzáadása vezérlősík-hozzáféréshez), a vezérlősík IP-korlátozási konfigurációja úgy frissül, hogy tartalmazza a Microsoft Defender for Cloud CIDR-tartományát. |
| Szempont |
Részletek |
| Kimenő proxy támogatás |
A kimenő proxy hitelesítés nélkül és a kimenő proxy alapvető hitelesítéssel támogatott. A megbízható tanúsítványokat elváró kimenő proxy jelenleg nem támogatott. |
Támogatott host operációs rendszerek
A Defender for Containers számos funkcióhoz a Defender érzékelőre támaszkodik. A Defender-érzékelő csak a Linux kernel 5.4-es és újabb verzióin támogatott az alábbi gazdagép operációs rendszereken:
- Amazon Linux 2
- CentOS 8 (A CentOS 2024. június 30-án megszűnik. További információ: CentOS End Of Life útmutató.)
- Debian 10
- Debian 11
- Google Konténer-optimalizált operációs rendszer
- Azure Linux 1.0
- Azure Linux 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
Győződjön meg arról, hogy a Kubernetes-csomópont ezen ellenőrzött operációs rendszerek egyikén fut. A nem támogatott gazdagép operációs rendszerek nem kapják meg a Defender-érzékelőre támaszkodó funkciók előnyeit.
A Defender érzékelőinek korlátozásai
Az AKS V1.28-ban és az alatta lévő Defender-érzékelő arm64-csomópontokon nem támogatott.
Következő lépések