Bagikan melalui


Matriks dukungan kontainer di Defender untuk Cloud

Perhatian

Artikel ini mereferensikan CentOS, distribusi Linux yang merupakan End Of Life (EOL) per 30 Juni 2024. Harap pertimbangkan penggunaan dan perencanaan Anda yang sesuai. Untuk informasi selengkapnya, lihat panduan Akhir Masa Pakai CentOS.

Artikel ini merangkum informasi dukungan untuk kemampuan Kontainer di Microsoft Defender untuk Cloud.

Catatan

  • Fitur tertentu dalam pratinjau. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum lain yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
  • Hanya versi AKS, EKS, dan GKE yang didukung oleh vendor cloud yang secara resmi didukung oleh Defender untuk Cloud.

Azure

Berikut ini adalah fitur untuk setiap domain di Defender untuk Kontainer:

Manajemen postur keamanan

Fitur Deskripsi Sumber daya yang didukung Status rilis Linux Status rilis Windows Metode pengaktifan Sensor Paket Ketersediaan cloud Azure
Penemuan tanpa agen untuk Kubernetes Menyediakan nol jejak, penemuan kluster Kubernetes berbasis API, konfigurasi, dan penyebarannya. AKS GA GA Mengaktifkan penemuan Tanpa Agen pada tombol Kubernetes Tanpa agen Defender untuk Kontainer ATAU Defender CSPM Cloud komersial Azure
Kemampuan inventori yang komprehensif Memungkinkan Anda menjelajahi sumber daya, pod, layanan, repositori, gambar, dan konfigurasi melalui penjelajah keamanan untuk memantau dan mengelola aset Anda dengan mudah. ACR, AKS GA GA Mengaktifkan penemuan Tanpa Agen pada tombol Kubernetes Tanpa agen Defender untuk Kontainer ATAU Defender CSPM Cloud komersial Azure
Analisis jalur serangan Algoritma berbasis grafik yang memindai grafik keamanan cloud. Pemindaian mengekspos jalur yang dapat dieksploitasi yang mungkin digunakan penyerang untuk melanggar lingkungan Anda. ACR, AKS GA GA Diaktifkan dengan paket Tanpa agen Defender CSPM (memerlukan penemuan Tanpa Agen agar Kubernetes diaktifkan) Cloud komersial Azure
Peningkatan perburuan risiko Memungkinkan admin keamanan untuk secara aktif berburu masalah postur dalam aset kontainer mereka melalui kueri (bawaan dan kustom) dan wawasan keamanan di penjelajah keamanan. ACR, AKS GA GA Mengaktifkan penemuan Tanpa Agen pada tombol Kubernetes Tanpa agen Defender untuk Kontainer ATAU Defender CSPM Cloud komersial Azure
Pengerasan sarana kontrol Terus menilai konfigurasi kluster Anda dan membandingkannya dengan inisiatif yang diterapkan pada langganan Anda. Ketika menemukan kesalahan konfigurasi, Defender untuk Cloud menghasilkan rekomendasi keamanan yang tersedia di halaman Rekomendasi Defender untuk Cloud. Rekomendasi ini memungkinkan Anda menyelidiki dan memulihkan masalah. ACR, AKS GA GA Diaktifkan dengan paket Tanpa agen Gratis Cloud komersial

Cloud nasional: Azure Government, Azure yang dioperasikan oleh 21Vianet
Penguatan sarana data Kubernetes Lindungi beban kerja kontainer Kubernetes Anda dengan rekomendasi praktik terbaik. AKS GA - Aktifkan Azure Policy untuk pengalih Kubernetes Kebijakan Azure Gratis Cloud komersial

Cloud nasional: Azure Government, Azure yang dioperasikan oleh 21Vianet
Docker CIS Tolok ukur CIS Docker VM, Set Skala Mesin Virtual GA - Diaktifkan dengan paket Agen Analitik Log Defender untuk Server Paket 2 Cloud komersial

Cloud nasional: Azure Government, Microsoft Azure yang dioperasikan oleh 21Vianet

Penilaian kerentanan

Fitur Deskripsi Sumber daya yang didukung Status rilis Linux Status rilis Windows Metode pengaktifan Sensor Paket Ketersediaan cloud Azure
Pemindaian registri tanpa agen (didukung oleh Pengelolaan Kerentanan Microsoft Defender) paket yang didukung Penilaian kerentanan untuk gambar di ACR ACR, ACR Pribadi GA GA Mengaktifkan pengalih penilaian kerentanan kontainer tanpa agen Tanpa agen Defender untuk Kontainer atau Defender CSPM Cloud komersial

Cloud nasional: Azure Government, Azure yang dioperasikan oleh 21Vianet
Runtime berbasis agen/agen (didukung oleh Pengelolaan Kerentanan Microsoft Defender) paket yang didukung Penilaian kerentanan untuk menjalankan gambar di AKS AKS GA GA Mengaktifkan pengalih penilaian kerentanan kontainer tanpa agen Tanpa agen (Memerlukan penemuan Tanpa Agen untuk Kubernetes) SENSOR OR/AND Defender Defender untuk Kontainer atau Defender CSPM Cloud komersial

Cloud nasional: Azure Government, Azure yang dioperasikan oleh 21Vianet

Perlindungan ancaman runtime

Fitur Deskripsi Sumber daya yang didukung Status rilis Linux Status rilis Windows Metode pengaktifan Sensor Paket Ketersediaan cloud Azure
Sarana kontrol Deteksi aktivitas mencurigakan untuk Kubernetes berdasarkan jejak audit Kubernetes AKS GA GA Diaktifkan dengan paket Tanpa agen Defender untuk Kontainers Cloud komersial

Cloud nasional: Azure Government, Azure yang dioperasikan oleh 21Vianet
Beban kerja Deteksi aktivitas mencurigakan untuk Kubernetes untuk tingkat kluster, tingkat node, dan tingkat beban kerja AKS GA - Aktifkan Sensor Defender di Azure alihkan ATAU sebarkan sensor Defender pada kluster individual Sensor pertahanan Defender untuk Kontainers Cloud komersial

Cloud nasional: Azure Government, Azure Tiongkok

Penyebaran & pemantauan

Fitur Deskripsi Sumber daya yang didukung Status rilis Linux Status rilis Windows Metode pengaktifan Sensor Paket Ketersediaan cloud Azure
Penemuan kluster yang tidak terlindungi Menemukan kluster Kubernetes yang kehilangan sensor Defender AKS GA GA Diaktifkan dengan paket Tanpa agen Gratis Cloud komersial

Cloud nasional: Azure Government, Azure yang dioperasikan oleh 21Vianet
Provisi otomatis sensor defender Penyebaran otomatis sensor Defender AKS GA - Aktifkan Sensor Defender di pengalih Azure Tanpa agen Defender untuk Kontainers Cloud komersial

Cloud nasional: Azure Government, Azure yang dioperasikan oleh 21Vianet
Azure Policy untuk provisi otomatis Kubernetes Penyebaran otomatis sensor kebijakan Azure untuk Kubernetes AKS GA - Mengaktifkan kebijakan Azure untuk pengalih Kubernetes Tanpa agen Gratis Cloud komersial

Cloud nasional: Azure Government, Azure yang dioperasikan oleh 21Vianet

Dukungan registri dan gambar untuk Azure - Penilaian kerentanan yang didukung oleh Pengelolaan Kerentanan Microsoft Defender

Aspek Detail
Registri dan citra Didukung
* Registri ACR
* Registri ACR yang dilindungi dengan Azure Private Link (Registri privat memerlukan akses ke Layanan Tepercaya)
* Gambar kontainer dalam format Docker V2
* Gambar dengan spesifikasi format gambar Open Container Initiative (OCI)
Tidak didukung
* Gambar super minimalis seperti gambar goresan Docker
saat ini tidak didukung
Sistem operasi Didukung
* Alpine Linux 3.12-3.19
* Red Hat Enterprise Linux 6-9
* CentOS 6-9. (CentOS adalah Akhir Masa Pakai (EOL) per 30 Juni 2024. Untuk informasi selengkapnya, lihat panduan Akhir Masa Pakai CentOS.)
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless (berdasarkan Debian GNU/Linux 7-12)
* Ubuntu 12.04-22.04
* Fedora 31-37
* Marinir 1-2
* Windows Server 2016, 2019, 2022
Paket khusus bahasa

Didukung
*Ular sawah
* Node.js
*.JARING
*JAWA
*Pergi

Distribusi dan konfigurasi Kubernetes untuk Azure - Perlindungan ancaman runtime

Aspek Detail
Kubernetes distribusi dan konfigurasi Didukung
* Azure Kubernetes Service (AKS) dengan Kubernetes RBAC

Didukung melalui Kubernetes 1 2 dengan dukungan Arc
* Hibrid Azure Kubernetes Service
* Kubernetes
* Mesin AKS
* Azure Red Hat OpenShift

1 Kluster Kubernetes bersertifikat Cloud Native Computing Foundation (CNCF) apa pun harus didukung, tetapi hanya kluster yang ditentukan yang telah diuji di Azure.

2 Untuk mendapatkan perlindungan Pertahanan Microsoft untuk Kontainer untuk lingkungan Anda, Anda perlu melakukan onboarding Kubernetes dengan dukungan Azure Arc dan mengaktifkan Defender untuk Kontainer sebagai ekstensi Arc.

Catatan

Untuk persyaratan tambahan untuk perlindungan beban kerja Kube, lihat batasan yang ada.

AWS

Domain Fitur Sumber Daya yang Didukung Status rilis Linux Status rilis Windows Tanpa Agen/Berbasis sensor Tingkatan harga
Manajemen postur keamanan Penemuan tanpa agen untuk Kubernetes EKS GA GA Tanpa agen Defender untuk Kontainer ATAU Defender CSPM
Manajemen postur keamanan Kemampuan inventori yang komprehensif ECR, EKS GA GA Tanpa agen Defender untuk Kontainer ATAU Defender CSPM
Manajemen postur keamanan Analisis jalur serangan ECR, EKS GA GA Tanpa agen Defender CSPM
Manajemen postur keamanan Peningkatan perburuan risiko ECR, EKS GA GA Tanpa agen Defender untuk Kontainer ATAU Defender CSPM
Manajemen postur keamanan Docker CIS EC2 GA - Agen Analitik Log Defender untuk Server Paket 2
Manajemen postur keamanan Pengerasan sarana kontrol - - - - -
Manajemen postur keamanan Kubernetes pemastian bidang data EKS GA - Azure Policy untuk Kube Defender untuk Kontainers
Penilaian kerentanan Pemindaian registri tanpa agen (didukung oleh Pengelolaan Kerentanan Microsoft Defender) paket yang didukung ECR GA GA Tanpa agen Defender untuk Kontainer atau Defender CSPM
Penilaian kerentanan Runtime berbasis agen/sensor (didukung oleh Pengelolaan Kerentanan Microsoft Defender) paket yang didukung EKS GA GA Sensor Pertahanan OR/AND Tanpa Agen Defender untuk Kontainer atau Defender CSPM
Perlindungan {i>runtime Sarana kontrol EKS GA GA Tanpa agen Defender untuk Kontainers
Perlindungan {i>runtime Beban kerja EKS GA - Sensor pertahanan Defender untuk Kontainers
Penyebaran & pemantauan Penemuan kluster yang tidak terlindungi EKS GA GA Tanpa agen Defender untuk Kontainers
Penyebaran & pemantauan Provisi otomatis sensor Defender EKS GA - - -
Penyebaran & pemantauan Provisi otomatis Azure Policy untuk Kubernetes EKS GA - - -

Dukungan registri dan gambar untuk AWS - Penilaian kerentanan yang didukung oleh Pengelolaan Kerentanan Microsoft Defender

Aspek Detail
Registri dan citra Didukung
* Registri ECR
* Gambar kontainer dalam format Docker V2
* Gambar dengan spesifikasi format gambar Open Container Initiative (OCI)
Tidak didukung
* Gambar super minimalis seperti gambar goresan Docker saat ini tidak didukung
* Repositori publik
* Daftar manifes
Sistem operasi Didukung
* Alpine Linux 3.12-3.19
* Red Hat Enterprise Linux 6-9
* CentOS 6-9 (CentOS adalah End Of Life (EOL) per 30 Juni 2024. Untuk informasi selengkapnya, lihat panduan Akhir Masa Pakai CentOS.)
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless (berdasarkan Debian GNU/Linux 7-12)
* Ubuntu 12.04-22.04
* Fedora 31-37
* Marinir 1-2
* Windows server 2016, 2019, 2022
Paket khusus bahasa

Didukung
*Ular sawah
* Node.js
*.JARING
*JAWA
*Pergi

Dukungan distribusi/konfigurasi Kubernetes untuk AWS - Perlindungan ancaman runtime

Aspek Detail
Kubernetes distribusi dan konfigurasi Didukung
* Amazon Elastic Kubernetes Service (EKS)

Didukung melalui Kubernetes 1 2 dengan dukungan Arc
* Kubernetes
Tidak didukung
* Kluster privat EKS

1 Semua kluster Kubernetes bersertifikat Cloud Native Computing Foundation (CNCF) akan didukung, tetapi hanya kluster tertentu yang telah diuji.

2 Untuk mendapatkan perlindungan Pertahanan Microsoft untuk Kontainer untuk lingkungan Anda, Anda perlu melakukan onboarding Kubernetes dengan dukungan Azure Arc dan mengaktifkan Defender untuk Kontainer sebagai ekstensi Arc.

Catatan

Untuk persyaratan tambahan untuk perlindungan beban kerja Kube, lihat batasan yang ada.

Dukungan proksi keluar - AWS

Proksi keluar tanpa autentikasi dan proksi keluar dengan autentikasi dasar didukung. Proksi keluar yang mengharapkan sertifikat tepercaya saat ini tidak didukung.

Kluster dengan pembatasan IP - AWS

Jika kluster Kubernetes Anda di AWS mengaktifkan pembatasan IP sarana kontrol (lihat kontrol akses titik akhir kluster Amazon EKS - Amazon EKS, ), konfigurasi pembatasan IP sarana kontrol diperbarui untuk menyertakan blok CIDR Microsoft Defender untuk Cloud.

GCP

Domain Fitur Sumber Daya yang Didukung Status rilis Linux Status rilis Windows Tanpa Agen/Berbasis sensor Tingkatan harga
Manajemen postur keamanan Penemuan tanpa agen untuk Kubernetes GKE GA GA Tanpa agen Defender untuk Kontainer ATAU Defender CSPM
Manajemen postur keamanan Kemampuan inventori yang komprehensif GAR, GCR, GKE GA GA Tanpa agen Defender untuk Kontainer ATAU Defender CSPM
Manajemen postur keamanan Analisis jalur serangan GAR, GCR, GKE GA GA Tanpa agen Defender CSPM
Manajemen postur keamanan Peningkatan perburuan risiko GAR, GCR, GKE GA GA Tanpa agen Defender untuk Kontainer ATAU Defender CSPM
Manajemen postur keamanan Docker CIS VM GCP GA - Agen Analitik Log Defender untuk Server Paket 2
Manajemen postur keamanan Pengerasan sarana kontrol GKE GA GA Tanpa agen Gratis
Manajemen postur keamanan Kubernetes pemastian bidang data GKE GA - Azure Policy untuk Kube Defender untuk Kontainers
Penilaian kerentanan Pemindaian registri tanpa agen (didukung oleh Pengelolaan Kerentanan Microsoft Defender) paket yang didukung GAR, GCR GA GA Tanpa agen Defender untuk Kontainer atau Defender CSPM
Penilaian kerentanan Runtime berbasis agen/sensor (didukung oleh Pengelolaan Kerentanan Microsoft Defender) paket yang didukung GKE GA GA Sensor Pertahanan OR/AND Tanpa Agen Defender untuk Kontainer atau Defender CSPM
Perlindungan {i>runtime Sarana kontrol GKE GA GA Tanpa agen Defender untuk Kontainers
Perlindungan {i>runtime Beban kerja GKE GA - Sensor pertahanan Defender untuk Kontainers
Penyebaran & pemantauan Penemuan kluster yang tidak terlindungi GKE GA GA Tanpa agen Defender untuk Kontainers
Penyebaran & pemantauan Provisi otomatis sensor Defender GKE GA - Tanpa agen Defender untuk Kontainers
Penyebaran & pemantauan Provisi otomatis Azure Policy untuk Kubernetes GKE GA - Tanpa agen Defender untuk Kontainers

Dukungan registri dan gambar untuk GCP - Penilaian kerentanan yang didukung oleh Pengelolaan Kerentanan Microsoft Defender

Aspek Detail
Registri dan citra Didukung
* Google Registries (GAR, GCR)
* Gambar kontainer dalam format Docker V2
* Gambar dengan spesifikasi format gambar Open Container Initiative (OCI)
Tidak didukung
* Gambar super minimalis seperti gambar goresan Docker saat ini tidak didukung
* Repositori publik
* Daftar manifes
Sistem operasi Didukung
* Alpine Linux 3.12-3.19
* Red Hat Enterprise Linux 6-9
* CentOS 6-9 (CentOS adalah End Of Life (EOL) per 30 Juni 2024. Untuk informasi selengkapnya, lihat panduan Akhir Masa Pakai CentOS.)
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless (berdasarkan Debian GNU/Linux 7-12)
* Ubuntu 12.04-22.04
* Fedora 31-37
* Marinir 1-2
* Windows server 2016, 2019, 2022
Paket khusus bahasa

Didukung
*Ular sawah
* Node.js
*.JARING
*JAWA
*Pergi

Dukungan distribusi/konfigurasi Kubernetes untuk GCP - Perlindungan ancaman runtime

Aspek Detail
Kubernetes distribusi dan konfigurasi Didukung
* Google Kubernetes Engine (GKE) Standard

Didukung melalui Kubernetes 1 2 dengan dukungan Arc
* Kubernetes

Tidak didukung
* Kluster jaringan privat
* Autopilot GKE
* GKE AuthorizedNetworksConfig

1 Semua kluster Kubernetes bersertifikat Cloud Native Computing Foundation (CNCF) akan didukung, tetapi hanya kluster tertentu yang telah diuji.

2 Untuk mendapatkan perlindungan Pertahanan Microsoft untuk Kontainer untuk lingkungan Anda, Anda perlu melakukan onboarding Kubernetes dengan dukungan Azure Arc dan mengaktifkan Defender untuk Kontainer sebagai ekstensi Arc.

Catatan

Untuk persyaratan tambahan untuk perlindungan beban kerja Kube, lihat batasan yang ada.

Dukungan proksi keluar - GCP

Proksi keluar tanpa autentikasi dan proksi keluar dengan autentikasi dasar didukung. Proksi keluar yang mengharapkan sertifikat tepercaya saat ini tidak didukung.

Kluster dengan pembatasan IP - GCP

Jika kluster Kubernetes di GCP mengaktifkan pembatasan IP sarana kontrol (lihat Menambahkan jaringan resmi untuk akses sarana kontrol | Google Kubernetes Engine (GKE) | Google Cloud ), konfigurasi pembatasan IP sarana kontrol diperbarui untuk menyertakan blok CIDR Microsoft Defender untuk Cloud.

Kluster Kube yang diaktifkan Arc lokal

Domain Fitur Sumber Daya yang Didukung Status rilis Linux Status rilis Windows Tanpa Agen/Berbasis sensor Tingkatan harga
Manajemen postur keamanan Docker CIS VM yang diaktifkan arc Pratinjau - Agen Analitik Log Defender untuk Server Paket 2
Manajemen postur keamanan Pengerasan sarana kontrol - - - - -
Manajemen postur keamanan Kubernetes pemastian bidang data Kluster K8s yang diaktifkan arc GA - Azure Policy untuk Kube Defender untuk Kontainers
Perlindungan {i>runtime Perlindungan ancaman (sarana kontrol) Kluster OpenShift dengan dukungan Arc Pratinjau Pratinjau Sensor pertahanan Defender untuk Kontainers
Perlindungan {i>runtime Perlindungan ancaman (beban kerja) Kluster OpenShift dengan dukungan Arc Pratinjau - Sensor pertahanan Defender untuk Kontainers
Penyebaran & pemantauan Penemuan kluster yang tidak terlindungi Kluster K8s yang diaktifkan arc Pratinjau - Tanpa agen Gratis
Penyebaran & pemantauan Provisi otomatis sensor Defender Kluster K8s yang diaktifkan arc Pratinjau Pratinjau Tanpa agen Defender untuk Kontainers
Penyebaran & pemantauan Provisi otomatis Azure Policy untuk Kubernetes Kluster K8s yang diaktifkan arc Pratinjau - Tanpa agen Defender untuk Kontainers

Registri kontainer eksternal

Domain Fitur Sumber Daya yang Didukung Status rilis Linux Status rilis Windows Tanpa Agen/Berbasis sensor Tingkatan harga
Manajemen postur keamanan Kemampuan inventori yang komprehensif Docker Hub Pratinjau Pratinjau Tanpa agen CSPM ATAU Pertahanan Dasar untuk Kontainer ATAU Defender CSPM
Manajemen postur keamanan Analisis jalur serangan Docker Hub Pratinjau Pratinjau Tanpa agen Defender CSPM
Penilaian kerentanan Pemindaian registri tanpa agen (didukung oleh Pengelolaan Kerentanan Microsoft Defender) paket yang didukung Docker Hub Pratinjau Pratinjau Tanpa agen Defender untuk Kontainer ATAU Defender CSPM
Penilaian kerentanan Runtime berbasis agen/sensor (didukung oleh Pengelolaan Kerentanan Microsoft Defender) paket yang didukung Docker Hub Pratinjau Pratinjau Sensor Pertahanan OR/AND Tanpa Agen Defender untuk Kontainer ATAU Defender CSPM

Kubernetes distribusi dan konfigurasi

Aspek Detail
Kubernetes distribusi dan konfigurasi Didukung melalui Kubernetes 1 2 dengan dukungan Arc
* Hibrid Azure Kubernetes Service
* Kubernetes
* Mesin AKS
* Azure Red Hat OpenShift
* Red Hat OpenShift (versi 4.6 atau yang lebih baru)
* VMware Tanzu Kubernetes Grid
* Mesin Rancher Kube

1 Semua kluster Kubernetes bersertifikat Cloud Native Computing Foundation (CNCF) akan didukung, tetapi hanya kluster tertentu yang telah diuji.

2 Untuk mendapatkan perlindungan Pertahanan Microsoft untuk Kontainer untuk lingkungan Anda, Anda perlu melakukan onboarding Kubernetes dengan dukungan Azure Arc dan mengaktifkan Defender untuk Kontainer sebagai ekstensi Arc.

Catatan

Untuk persyaratan tambahan untuk perlindungan beban kerja Kube, lihat batasan yang ada.

Sistem operasi host yang didukung

Defender untuk Kontainer bergantung pada sensor Defender untuk beberapa fitur. Sensor Defender hanya didukung dengan Linux Kernel 5.4 ke atas, pada sistem operasi host berikut:

  • Amazon Linux 2
  • CentOS 8 (CentOS is End Of Life (EOL) per 30 Juni 2024. Untuk informasi selengkapnya, lihat panduan Akhir Masa Pakai CentOS.)
  • Debian 10
  • Debian 11
  • OS yang Dioptimalkan Kontainer Google
  • Mariner 1.0
  • Mariner 2.0
  • Red Hat Enterprise Linux 8
  • Ubuntu 16.04
  • Ubuntu 18.04
  • Ubuntu 20.04
  • Ubuntu 22.04

Pastikan node Kubernetes Anda berjalan pada salah satu sistem operasi terverifikasi ini. Kluster dengan sistem operasi host yang tidak didukung tidak mendapatkan manfaat fitur yang mengandalkan sensor Defender.

Batasan sensor defender

Sensor Defender di AKS V1.28 ke bawah tidak didukung pada simpul Arm64.

Pembatasan jaringan

Dukungan proksi keluar

Proksi keluar tanpa autentikasi dan proksi keluar dengan autentikasi dasar didukung. Proksi keluar yang mengharapkan sertifikat tepercaya saat ini tidak didukung.

Langkah berikutnya