Macierz obsługi kontenerów w usłudze Defender dla Chmury
Uwaga
W tym artykule odwołuje się do systemu CentOS — dystrybucji systemu Linux, która zbliża się do stanu zakończenia życia (EOL). Rozważ odpowiednie użycie i planowanie. Aby uzyskać więcej informacji, zobacz wskazówki dotyczące zakończenia życia systemu CentOS.
Ten artykuł zawiera podsumowanie informacji o obsłudze funkcji kontenera w Microsoft Defender dla Chmury.
Uwaga
- Określone funkcje są dostępne w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują inne postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
- Tylko wersje usług AKS, EKS i GKE obsługiwane przez dostawcę chmury są oficjalnie obsługiwane przez Defender dla Chmury.
Ważne
Ocena luk w zabezpieczeniach kontenerów Defender dla Chmury obsługiwana przez firmę Qualys jest wycofywana. Wycofanie zostanie ukończone do 6 marca, a do tego czasu wyniki częściowe mogą nadal pojawiać się zarówno w rekomendacjach Qualys, jak i Qualys powoduje wykres zabezpieczeń. Wszyscy klienci, którzy wcześniej korzystali z tej oceny, powinni przejść do ocen luk w zabezpieczeniach dla platformy Azure przy użyciu Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender. Aby uzyskać informacje o przejściu do oferty oceny luk w zabezpieczeniach kontenerów obsługiwanej przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender, zobacz Przejście z rozwiązania Qualys do Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender.
Azure
Poniżej przedstawiono funkcje dla każdej domeny w usłudze Defender for Containers:
Zarządzanie stanem zabezpieczeń
| Funkcja | opis | Obsługiwane zasoby | Stan wydania systemu Linux | Stan wydania systemu Windows | Enablement, metoda | Czujnik | Plany | Dostępność chmur platformy Azure |
|---|---|---|---|---|---|---|---|---|
| Odnajdywanie bez agenta dla platformy Kubernetes | Zapewnia zerowe ślady, odnajdywanie oparte na interfejsie API klastrów Kubernetes, ich konfiguracji i wdrożeń. | AKS | Ogólna dostępność | Ogólna dostępność | Włączanie odnajdywania bez agenta na przełączniku Kubernetes | Bez agenta | Defender for Containers OR CSPM w usłudze Defender | Chmury komercyjne platformy Azure |
| Kompleksowe możliwości spisu | Umożliwia eksplorowanie zasobów, zasobników, usług, repozytoriów, obrazów i konfiguracji za pomocą Eksploratora zabezpieczeń w celu łatwego monitorowania zasobów i zarządzania nimi. | ACR, AKS | Ogólna dostępność | Ogólna dostępność | Włączanie odnajdywania bez agenta na przełączniku Kubernetes | Bez agenta | Defender for Containers OR CSPM w usłudze Defender | Chmury komercyjne platformy Azure |
| Analiza ścieżki ataku | Algorytm oparty na grafach, który skanuje wykres zabezpieczeń w chmurze. Skanowania uwidaczniają możliwe do wykorzystania ścieżki, których osoby atakujące mogą używać do naruszenia środowiska. | ACR, AKS | Ogólna dostępność | Ogólna dostępność | Aktywowano z planem | Bez agenta | CSPM w usłudze Defender (wymaga włączenia odnajdywania bez agenta dla platformy Kubernetes) | Chmury komercyjne platformy Azure |
| Ulepszone polowanie na ryzyko | Umożliwia administratorom zabezpieczeń aktywne wyszukiwanie problemów ze stanem w swoich konteneryzowanych zasobach za pośrednictwem zapytań (wbudowanych i niestandardowych) oraz szczegółowych informacji o zabezpieczeniach w Eksploratorze zabezpieczeń. | ACR, AKS | Ogólna dostępność | Ogólna dostępność | Włączanie odnajdywania bez agenta na przełączniku Kubernetes | Bez agenta | Defender for Containers OR CSPM w usłudze Defender | Chmury komercyjne platformy Azure |
| Wzmacnianie płaszczyzny sterowania | Stale ocenia konfiguracje klastrów i porównuje je z inicjatywami zastosowanymi do subskrypcji. W przypadku znalezienia błędów konfiguracji Defender dla Chmury generuje zalecenia dotyczące zabezpieczeń, które są dostępne na stronie Rekomendacje Defender dla Chmury. Zalecenia umożliwiają badanie i korygowanie problemów. | ACR, AKS | Ogólna dostępność | Wersja Preview | Aktywowano z planem | Bez agenta | Bezpłatna | Chmury komercyjne Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet |
| Wzmacnianie płaszczyzny danych kubernetes | Ochrona obciążeń kontenerów Kubernetes przy użyciu zaleceń dotyczących najlepszych rozwiązań. | AKS | Ogólna dostępność | - | Włączanie przełącznika usługi Azure Policy dla platformy Kubernetes | Azure Policy | Bezpłatna | Chmury komercyjne Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet |
| Ciągła integracja platformy Docker | Test porównawczy ciS platformy Docker | Maszyna wirtualna, zestaw skalowania maszyn wirtualnych | Ogólna dostępność | - | Włączone z planem | Agent Log Analytics | Defender for Servers (Plan 2) | Chmury komercyjne Chmury krajowe: Azure Government, Microsoft Azure obsługiwane przez firmę 21Vianet |
Ocena luk w zabezpieczeniach
| Funkcja | opis | Obsługiwane zasoby | Stan wydania systemu Linux | Stan wydania systemu Windows | Enablement, metoda | Czujnik | Plany | Dostępność chmur platformy Azure |
|---|---|---|---|---|---|---|---|---|
| Skanowanie rejestru bez agenta (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) obsługiwane pakiety | Ocena luk w zabezpieczeniach obrazów w usłudze ACR | ACR, Private ACR | Ogólna dostępność | Ogólna dostępność | Włączanie przełącznika oceny luk w zabezpieczeniach kontenera bez agenta | Bez agenta | Defender for Containers lub CSPM w usłudze Defender | Chmury komercyjne Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet |
| Obsługiwane pakiety środowiska uruchomieniowego bez agenta/agenta (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) | Ocena luk w zabezpieczeniach na potrzeby uruchamiania obrazów w usłudze AKS | AKS | Ogólna dostępność | Ogólna dostępność | Włączanie przełącznika oceny luk w zabezpieczeniach kontenera bez agenta | Bez agenta (wymaga odnajdywania bez agenta dla platformy Kubernetes) LUB/I czujnika usługi Defender | Defender for Containers lub CSPM w usłudze Defender | Chmury komercyjne Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet |
Ochrona przed zagrożeniami w czasie wykonywania
| Funkcja | opis | Obsługiwane zasoby | Stan wydania systemu Linux | Stan wydania systemu Windows | Enablement, metoda | Czujnik | Plany | Dostępność chmur platformy Azure |
|---|---|---|---|---|---|---|---|---|
| Płaszczyzna sterowania | Wykrywanie podejrzanych działań dotyczących platformy Kubernetes na podstawie dziennika inspekcji platformy Kubernetes | AKS | Ogólna dostępność | Ogólna dostępność | Włączone z planem | Bez agenta | Defender dla Kontenerów | Chmury komercyjne Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet |
| Obciążenie | Wykrywanie podejrzanych działań związanych z platformą Kubernetes na poziomie klastra, poziomie węzła i poziomie obciążenia | AKS | Ogólna dostępność | - | Włączanie przełącznika Usługi Defender na platformie Azure lub wdrażanie czujników usługi Defender w poszczególnych klastrach | Czujnik usługi Defender | Defender dla Kontenerów | Chmury komercyjne Chmury krajowe: Azure Government, Azure China 21Vianet |
Wdrażanie i monitorowanie
| Funkcja | opis | Obsługiwane zasoby | Stan wydania systemu Linux | Stan wydania systemu Windows | Enablement, metoda | Czujnik | Plany | Dostępność chmur platformy Azure |
|---|---|---|---|---|---|---|---|---|
| Odnajdywanie niechronionych klastrów | Odnajdywanie klastrów Kubernetes z brakującymi czujnikami usługi Defender | AKS | Ogólna dostępność | Ogólna dostępność | Włączone z planem | Bez agenta | Bezpłatna | Chmury komercyjne Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet |
| Automatyczna aprowizacja czujnika usługi Defender | Automatyczne wdrażanie czujnika usługi Defender | AKS | Ogólna dostępność | - | Włączanie przełącznika Usługi Defender na platformie Azure | Bez agenta | Defender dla Kontenerów | Chmury komercyjne Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet |
| Automatyczne aprowizowanie usługi Azure Policy dla platformy Kubernetes | Automatyczne wdrażanie czujnika zasad platformy Azure dla platformy Kubernetes | AKS | Ogólna dostępność | - | Włączanie usługi Azure Policy dla przełącznika Kubernetes | Bez agenta | Bezpłatna | Chmury komercyjne Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet |
Obsługa rejestrów i obrazów dla platformy Azure — ocena luk w zabezpieczeniach obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
| Aspekt | Szczegóły |
|---|---|
| Rejestry i obrazy | Obsługiwane • Rejestry ACR • Rejestry usługi ACR chronione za pomocą usługi Azure Private Link (rejestry prywatne wymagają dostępu do zaufanych usług) • Obrazy kontenerów w formacie docker V2 • Obrazy ze specyfikacją formatu obrazu Open Container Initiative (OCI) Nieobsługiwane • Bardzo minimalistyczne obrazy, takie jak obrazy tymczasowe platformy Docker jest obecnie nieobsługiwany |
| Systemy operacyjne | Obsługiwane • Alpine Linux 3.12-3.19 • Red Hat Enterprise Linux 6-9 • CentOS 6-9 • Oracle Linux 6-9 • Amazon Linux 1, 2 • openSUSE Leap, openSUSE Tumbleweed • SUSE Enterprise Linux 11-15 • Debian GNU/Linux 7-12 • Google Distroless (oparte na Debian GNU/Linux 7-12) • Ubuntu 12.04-22.04 • Fedora 31-37 • Mariner 1-2 • Windows Server 2016, 2019, 2022 |
| Pakiety specyficzne dla języka |
Obsługiwane •Python •Node.js •.NETTO •JAVA •Przejdź |
Dystrybucje i konfiguracje platformy Kubernetes dla platformy Azure — ochrona przed zagrożeniami w czasie wykonywania
| Aspekt | Szczegóły |
|---|---|
| Dystrybucje i konfiguracje platformy Kubernetes | Obsługiwane • Usługa Azure Kubernetes Service (AKS) z kontrolą dostępu opartą na rolach platformy Kubernetes Obsługiwane za pośrednictwem platformy Kubernetes z obsługą usługi Arc 12 • Hybrydowa usługa Azure Kubernetes Service • Kubernetes • Aparat AKS • Azure Red Hat OpenShift |
1 Wszystkie klastry Kubernetes z certyfikatem Cloud Native Computing Foundation (CNCF) powinny być obsługiwane, ale tylko określone klastry zostały przetestowane na platformie Azure.
2 Aby uzyskać ochronę usługi Microsoft Defender for Containers dla środowisk, należy dołączyć platformę Kubernetes z obsługą usługi Azure Arc i włączyć usługę Defender for Containers jako rozszerzenie usługi Arc.
Uwaga
Aby uzyskać dodatkowe wymagania dotyczące ochrony obciążeń platformy Kubernetes, zobacz istniejące ograniczenia.
Ograniczenia łącza prywatnego
Usługa Defender for Containers korzysta z czujnika usługi Defender dla kilku funkcji. Czujnik usługi Defender nie obsługuje możliwości pozyskiwania danych za pośrednictwem usługi Private Link. Dostęp publiczny do pozyskiwania można wyłączyć, aby tylko maszyny skonfigurowane do wysyłania ruchu za pośrednictwem usługi Azure Monitor Private Link mogły wysyłać dane do tej stacji roboczej. Możesz skonfigurować łącze prywatne, przechodząc do your workspace>sekcji Izolacja sieciowa i ustawiając konfiguracje dostępu sieci wirtualnych na Wartość Nie.
Zezwolenie na pozyskiwanie danych tylko za pośrednictwem zakresu usługi Private Link w ustawieniach izolacji sieciowej obszaru roboczego może spowodować awarie komunikacji i częściową zbieżność zestawu funkcji Defender for Containers.
Dowiedz się, jak używać usługi Azure Private Link do łączenia sieci z usługą Azure Monitor.
AWS
| Domain | Funkcja | Obsługiwane zasoby | Stan wydania systemu Linux | Stan wydania systemu Windows | Bez agenta/oparty na czujnikach | Warstwa cenowa |
|---|---|---|---|---|---|---|
| Zarządzanie stanem zabezpieczeń | Odnajdywanie bez agenta dla platformy Kubernetes | EKS | Ogólna dostępność | Ogólna dostępność | Bez agenta | Defender for Containers OR CSPM w usłudze Defender |
| Zarządzanie stanem zabezpieczeń | Kompleksowe możliwości spisu | ECR, EKS | Ogólna dostępność | Ogólna dostępność | Bez agenta | Defender for Containers OR CSPM w usłudze Defender |
| Zarządzanie stanem zabezpieczeń | Analiza ścieżki ataku | ECR, EKS | Ogólna dostępność | Ogólna dostępność | Bez agenta | Defender CSPM |
| Zarządzanie stanem zabezpieczeń | Ulepszone polowanie na ryzyko | ECR, EKS | Ogólna dostępność | Ogólna dostępność | Bez agenta | Defender for Containers OR CSPM w usłudze Defender |
| Zarządzanie stanem zabezpieczeń | Ciągła integracja platformy Docker | EC2 | Ogólna dostępność | - | Agent Log Analytics | Defender for Servers (Plan 2) |
| Zarządzanie stanem zabezpieczeń | Wzmacnianie płaszczyzny sterowania | - | - | - | - | - |
| Zarządzanie stanem zabezpieczeń | Wzmacnianie płaszczyzny danych kubernetes | EKS | Ogólna dostępność | - | Azure Policy dla platformy Kubernetes | Defender dla Kontenerów |
| Ocena luk w zabezpieczeniach | Skanowanie rejestru bez agenta (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) obsługiwane pakiety | ECR | Ogólna dostępność | Ogólna dostępność | Bez agenta | Defender for Containers lub CSPM w usłudze Defender |
| Ocena luk w zabezpieczeniach | Obsługiwane pakiety środowiska uruchomieniowego bez agenta/czujnika (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) | EKS | Ogólna dostępność | Ogólna dostępność | Czujnik BEZ agenta LUB/I Defender | Defender for Containers lub CSPM w usłudze Defender |
| Ochrona środowiska uruchomieniowego | Płaszczyzna sterowania | EKS | Ogólna dostępność | Ogólna dostępność | Bez agenta | Defender dla Kontenerów |
| Ochrona środowiska uruchomieniowego | Obciążenie | EKS | Ogólna dostępność | - | Czujnik usługi Defender | Defender dla Kontenerów |
| Wdrażanie i monitorowanie | Odnajdywanie niechronionych klastrów | EKS | Ogólna dostępność | Ogólna dostępność | Bez agenta | Defender dla Kontenerów |
| Wdrażanie i monitorowanie | Automatyczna aprowizacja czujnika usługi Defender | EKS | Ogólna dostępność | - | - | - |
| Wdrażanie i monitorowanie | Automatyczna aprowizacja usługi Azure Policy dla platformy Kubernetes | EKS | Ogólna dostępność | - | - | - |
Obsługa rejestrów i obrazów dla platformy AWS — ocena luk w zabezpieczeniach obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
| Aspekt | Szczegóły |
|---|---|
| Rejestry i obrazy | Obsługiwane • Rejestry ECR • Obrazy kontenerów w formacie docker V2 • Obrazy ze specyfikacją formatu obrazu Open Container Initiative (OCI) Nieobsługiwane • Bardzo minimalistyczne obrazy, takie jak obrazy tymczasowe platformy Docker, są obecnie nieobsługiwane • Repozytoria publiczne • Listy manifestów |
| Systemy operacyjne | Obsługiwane • Alpine Linux 3.12-3.19 • Red Hat Enterprise Linux 6-9 • CentOS 6-9 • Oracle Linux 6-9 • Amazon Linux 1, 2 • openSUSE Leap, openSUSE Tumbleweed • SUSE Enterprise Linux 11-15 • Debian GNU/Linux 7-12 • Google Distroless (oparte na Debian GNU/Linux 7-12) • Ubuntu 12.04-22.04 • Fedora 31-37 • Mariner 1-2 • Windows Server 2016, 2019, 2022 |
| Pakiety specyficzne dla języka |
Obsługiwane •Python •Node.js •.NETTO •JAVA •Przejdź |
Obsługa dystrybucji/konfiguracji platformy Kubernetes dla platformy AWS — ochrona przed zagrożeniami w czasie wykonywania
| Aspekt | Szczegóły |
|---|---|
| Dystrybucje i konfiguracje platformy Kubernetes | Obsługiwane • Amazon Elastic Kubernetes Service (EKS) Obsługiwane za pośrednictwem platformy Kubernetes z obsługą usługi Arc 12 • Kubernetes Nieobsługiwane • Klastry prywatne EKS |
1 Wszystkie klastry Kubernetes z certyfikatem Cloud Native Computing Foundation (CNCF) powinny być obsługiwane, ale przetestowano tylko określone klastry.
2 Aby uzyskać ochronę usługi Microsoft Defender for Containers dla środowisk, należy dołączyć platformę Kubernetes z obsługą usługi Azure Arc i włączyć usługę Defender for Containers jako rozszerzenie usługi Arc.
Uwaga
Aby uzyskać dodatkowe wymagania dotyczące ochrony obciążeń platformy Kubernetes, zobacz istniejące ograniczenia.
Obsługa serwera proxy ruchu wychodzącego — AWS
Obsługiwany jest serwer proxy ruchu wychodzącego bez uwierzytelniania i serwer proxy ruchu wychodzącego z uwierzytelnianiem podstawowym. Serwer proxy ruchu wychodzącego, który oczekuje zaufanych certyfikatów, nie jest obecnie obsługiwany.
GCP
| Domain | Funkcja | Obsługiwane zasoby | Stan wydania systemu Linux | Stan wydania systemu Windows | Bez agenta/oparty na czujnikach | Warstwa cenowa |
|---|---|---|---|---|---|---|
| Zarządzanie stanem zabezpieczeń | Odnajdywanie bez agenta dla platformy Kubernetes | GKE | Ogólna dostępność | Ogólna dostępność | Bez agenta | Defender for Containers OR CSPM w usłudze Defender |
| Zarządzanie stanem zabezpieczeń | Kompleksowe możliwości spisu | GAR, GCR, GKE | Ogólna dostępność | Ogólna dostępność | Bez agenta | Defender for Containers OR CSPM w usłudze Defender |
| Zarządzanie stanem zabezpieczeń | Analiza ścieżki ataku | GAR, GCR, GKE | Ogólna dostępność | Ogólna dostępność | Bez agenta | Defender CSPM |
| Zarządzanie stanem zabezpieczeń | Ulepszone polowanie na ryzyko | GAR, GCR, GKE | Ogólna dostępność | Ogólna dostępność | Bez agenta | Defender for Containers OR CSPM w usłudze Defender |
| Zarządzanie stanem zabezpieczeń | Ciągła integracja platformy Docker | Maszyny wirtualne GCP | Ogólna dostępność | - | Agent Log Analytics | Defender for Servers (Plan 2) |
| Zarządzanie stanem zabezpieczeń | Wzmacnianie płaszczyzny sterowania | GKE | Ogólna dostępność | Ogólna dostępność | Bez agenta | Bezpłatna |
| Zarządzanie stanem zabezpieczeń | Wzmacnianie płaszczyzny danych kubernetes | GKE | Ogólna dostępność | - | Azure Policy dla platformy Kubernetes | Defender dla Kontenerów |
| Ocena luk w zabezpieczeniach | Skanowanie rejestru bez agenta (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) obsługiwane pakiety | GAR, GCR | Ogólna dostępność | Ogólna dostępność | Bez agenta | Defender for Containers lub CSPM w usłudze Defender |
| Ocena luk w zabezpieczeniach | Obsługiwane pakiety środowiska uruchomieniowego bez agenta/czujnika (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) | GKE | Ogólna dostępność | Ogólna dostępność | Czujnik BEZ agenta LUB/I Defender | Defender for Containers lub CSPM w usłudze Defender |
| Ochrona środowiska uruchomieniowego | Płaszczyzna sterowania | GKE | Ogólna dostępność | Ogólna dostępność | Bez agenta | Defender dla Kontenerów |
| Ochrona środowiska uruchomieniowego | Obciążenie | GKE | Ogólna dostępność | - | Czujnik usługi Defender | Defender dla Kontenerów |
| Wdrażanie i monitorowanie | Odnajdywanie niechronionych klastrów | GKE | Ogólna dostępność | Ogólna dostępność | Bez agenta | Defender dla Kontenerów |
| Wdrażanie i monitorowanie | Automatyczna aprowizacja czujnika usługi Defender | GKE | Ogólna dostępność | - | Bez agenta | Defender dla Kontenerów |
| Wdrażanie i monitorowanie | Automatyczna aprowizacja usługi Azure Policy dla platformy Kubernetes | GKE | Ogólna dostępność | - | Bez agenta | Defender dla Kontenerów |
Obsługa rejestrów i obrazów dla platformy GCP — ocena luk w zabezpieczeniach obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
| Aspekt | Szczegóły |
|---|---|
| Rejestry i obrazy | Obsługiwane • Rejestry Google (GAR, GCR) • Obrazy kontenerów w formacie docker V2 • Obrazy ze specyfikacją formatu obrazu Open Container Initiative (OCI) Nieobsługiwane • Bardzo minimalistyczne obrazy, takie jak obrazy tymczasowe platformy Docker, są obecnie nieobsługiwane • Repozytoria publiczne • Listy manifestów |
| Systemy operacyjne | Obsługiwane • Alpine Linux 3.12-3.19 • Red Hat Enterprise Linux 6-9 • CentOS 6-9 • Oracle Linux 6-9 • Amazon Linux 1, 2 • openSUSE Leap, openSUSE Tumbleweed • SUSE Enterprise Linux 11-15 • Debian GNU/Linux 7-12 • Google Distroless (oparte na Debian GNU/Linux 7-12) • Ubuntu 12.04-22.04 • Fedora 31-37 • Mariner 1-2 • Windows Server 2016, 2019, 2022 |
| Pakiety specyficzne dla języka |
Obsługiwane •Python •Node.js •.NETTO •JAVA •Przejdź |
Obsługa dystrybucji/konfiguracji platformy Kubernetes dla platformy GCP — ochrona przed zagrożeniami w czasie wykonywania
| Aspekt | Szczegóły |
|---|---|
| Dystrybucje i konfiguracje platformy Kubernetes | Obsługiwane • Google Kubernetes Engine (GKE) Standard Obsługiwane za pośrednictwem platformy Kubernetes z obsługą usługi Arc 12 • Kubernetes Nieobsługiwane • Klastry sieci prywatnej • Autopilot GKE • GKE AuthorizedNetworksConfig |
1 Wszystkie klastry Kubernetes z certyfikatem Cloud Native Computing Foundation (CNCF) powinny być obsługiwane, ale przetestowano tylko określone klastry.
2 Aby uzyskać ochronę usługi Microsoft Defender for Containers dla środowisk, należy dołączyć platformę Kubernetes z obsługą usługi Azure Arc i włączyć usługę Defender for Containers jako rozszerzenie usługi Arc.
Uwaga
Aby uzyskać dodatkowe wymagania dotyczące ochrony obciążeń platformy Kubernetes, zobacz istniejące ograniczenia.
Obsługa serwera proxy ruchu wychodzącego — GCP
Obsługiwany jest serwer proxy ruchu wychodzącego bez uwierzytelniania i serwer proxy ruchu wychodzącego z uwierzytelnianiem podstawowym. Serwer proxy ruchu wychodzącego, który oczekuje zaufanych certyfikatów, nie jest obecnie obsługiwany.
Lokalne klastry Kubernetes z obsługą usługi Arc
| Domain | Funkcja | Obsługiwane zasoby | Stan wydania systemu Linux | Stan wydania systemu Windows | Bez agenta/oparty na czujnikach | Warstwa cenowa |
|---|---|---|---|---|---|---|
| Zarządzanie stanem zabezpieczeń | Ciągła integracja platformy Docker | Maszyny wirtualne z obsługą usługi Arc | Wersja Preview | - | Agent Log Analytics | Defender for Servers (Plan 2) |
| Zarządzanie stanem zabezpieczeń | Wzmacnianie płaszczyzny sterowania | - | - | - | - | - |
| Zarządzanie stanem zabezpieczeń | Wzmacnianie płaszczyzny danych kubernetes | Klastry K8s z obsługą usługi Arc | Ogólna dostępność | - | Azure Policy dla platformy Kubernetes | Defender dla Kontenerów |
| Ochrona środowiska uruchomieniowego | Ochrona przed zagrożeniami (płaszczyzna sterowania) | Klastry K8s z obsługą usługi Arc | Wersja Preview | Wersja Preview | Czujnik usługi Defender | Defender dla Kontenerów |
| Ochrona środowiska uruchomieniowego | Ochrona przed zagrożeniami (obciążenie) | Klastry K8s z obsługą usługi Arc | Wersja Preview | - | Czujnik usługi Defender | Defender dla Kontenerów |
| Wdrażanie i monitorowanie | Odnajdywanie niechronionych klastrów | Klastry K8s z obsługą usługi Arc | Wersja Preview | - | Bez agenta | Bezpłatna |
| Wdrażanie i monitorowanie | Automatyczna aprowizacja czujnika usługi Defender | Klastry K8s z obsługą usługi Arc | Wersja Preview | Wersja Preview | Bez agenta | Defender dla Kontenerów |
| Wdrażanie i monitorowanie | Automatyczna aprowizacja usługi Azure Policy dla platformy Kubernetes | Klastry K8s z obsługą usługi Arc | Wersja Preview | - | Bez agenta | Defender dla Kontenerów |
Dystrybucje i konfiguracje platformy Kubernetes
| Aspekt | Szczegóły |
|---|---|
| Dystrybucje i konfiguracje platformy Kubernetes | Obsługiwane za pośrednictwem platformy Kubernetes z obsługą usługi Arc 12 • Hybrydowa usługa Azure Kubernetes Service • Kubernetes • Aparat AKS • Azure Red Hat OpenShift • Red Hat OpenShift (wersja 4.6 lub nowsza) • VMware Tanzu Kubernetes Grid • Aparat Kubernetes rancher |
1 Wszystkie klastry Kubernetes z certyfikatem Cloud Native Computing Foundation (CNCF) powinny być obsługiwane, ale przetestowano tylko określone klastry.
2 Aby uzyskać ochronę usługi Microsoft Defender for Containers dla środowisk, należy dołączyć platformę Kubernetes z obsługą usługi Azure Arc i włączyć usługę Defender for Containers jako rozszerzenie usługi Arc.
Uwaga
Aby uzyskać dodatkowe wymagania dotyczące ochrony obciążeń platformy Kubernetes, zobacz istniejące ograniczenia.
Obsługiwane systemy operacyjne hosta
Usługa Defender for Containers korzysta z czujnika usługi Defender dla kilku funkcji. Czujnik usługi Defender jest obsługiwany w następujących systemach operacyjnych hosta:
- Amazon Linux 2
- CentOS 8
- Debian 10
- Debian 11
- System operacyjny Zoptymalizowany pod kątem kontenera Google
- Mariner 1.0
- Mariner 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
Upewnij się, że węzeł Kubernetes jest uruchomiony w jednym ze zweryfikowanych obsługiwanych systemów operacyjnych. Klastry z różnymi systemami operacyjnymi hosta uzyskują tylko częściowe pokrycie.
Ograniczenia czujnika usługi Defender
Czujnik usługi Defender w usłudze AKS w wersji 1.28 lub starszej nie jest obsługiwany w węzłach ARM64.
Ograniczenia sieci
Łącze prywatne
Usługa Defender for Containers korzysta z czujnika usługi Defender dla kilku funkcji. Czujnik usługi Defender nie obsługuje możliwości pozyskiwania danych za pośrednictwem usługi Private Link. Dostęp publiczny do pozyskiwania można wyłączyć, aby tylko maszyny skonfigurowane do wysyłania ruchu za pośrednictwem usługi Azure Monitor Private Link mogły wysyłać dane do tej stacji roboczej. Możesz skonfigurować łącze prywatne, przechodząc do your workspace>sekcji Izolacja sieciowa i ustawiając konfiguracje dostępu sieci wirtualnych na Wartość Nie.
Zezwolenie na pozyskiwanie danych tylko za pośrednictwem zakresu usługi Private Link w ustawieniach izolacji sieciowej obszaru roboczego może spowodować awarie komunikacji i częściową zbieżność zestawu funkcji Defender for Containers.
Dowiedz się, jak używać usługi Azure Private Link do łączenia sieci z usługą Azure Monitor.
Obsługa wychodzącego serwera proxy
Obsługiwany jest serwer proxy ruchu wychodzącego bez uwierzytelniania i serwer proxy ruchu wychodzącego z uwierzytelnianiem podstawowym. Serwer proxy ruchu wychodzącego, który oczekuje zaufanych certyfikatów, nie jest obecnie obsługiwany.
Następne kroki
- Dowiedz się, jak Defender dla Chmury zbiera dane przy użyciu agenta usługi Log Analytics.
- Dowiedz się, jak Defender dla Chmury zarządza danymi i zabezpiecza je.
- Przejrzyj platformy, które obsługują Defender dla Chmury.