Матрица поддержки контейнеров в Defender для облака
Статья
Внимание!
Эта статья ссылается на CentOS, дистрибутив Linux, который является окончанием службы с 30 июня 2024 года. Пожалуйста, рассмотрите возможность использования и планирования соответствующим образом. Дополнительные сведения см. в руководстве centOS End Of Life.
В этой статье приведены сведения о поддержке возможностей контейнеров в Microsoft Defender для облака.
Примечание
Конкретные функции доступны в предварительной версии.
Дополнительные условия использования предварительной версии Azure включают прочие юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не являются общедоступными по другим причинам.
Только версии AKS, EKS и GKE, поддерживаемые поставщиком облачных служб, официально поддерживаются Defender для облака.
Ниже приведены функции, предоставляемые Defender для контейнеров, для поддерживаемых облачных сред и реестров контейнеров.
Обеспечивает нулевое пространство, обнаружение кластеров Kubernetes на основе API, их конфигурации и развертывания.
AKS
Общедоступная версия
Общедоступная версия
Включение обнаружения без агента в kubernetes переключатель
Безагентное
Защитник для контейнеров ИЛИ CSPM Defender
Коммерческие облака Azure
Комплексные возможности инвентаризации
Позволяет просматривать ресурсы, модули pod, службы, репозитории, образы и конфигурации с помощью обозревателя безопасности, чтобы легко отслеживать ресурсы и управлять ими.
ACR, AKS
Общедоступная версия
Общедоступная версия
Включение обнаружения без агента в kubernetes переключатель
Безагентное
Защитник для контейнеров ИЛИ CSPM Defender
Коммерческие облака Azure
Анализ пути атаки
Алгоритм на основе графа, который сканирует граф облачной безопасности. Сканирование предоставляет пути, доступные для эксплойтов, которые злоумышленники могут использовать для нарушения среды.
ACR, AKS
Общедоступная версия
Общедоступная версия
Активировано с помощью плана
Безагентное
CSPM Defender (требуется, чтобы обнаружение без агента для Kubernetes было включено)
Коммерческие облака Azure
Улучшенная охота на риск
Позволяет администраторам безопасности активно искать проблемы с состоянием в контейнерных ресурсах с помощью запросов (встроенных и настраиваемых) и аналитических сведений о безопасности в обозревателе безопасности.
ACR, AKS
Общедоступная версия
Общедоступная версия
Включение обнаружения без агента в kubernetes переключатель
Непрерывно оценивает конфигурации кластеров и сравнивает их с инициативами, применяемыми к подпискам. При обнаружении неправильных настроек Defender для облака создает рекомендации по безопасности, доступные на странице рекомендаций Defender для облака. Рекомендации позволяют исследовать и устранять проблемы.
ACR, AKS
Общедоступная версия
Общедоступная версия
Активировано с помощью плана
Безагентное
Бесплатно
Коммерческие облака
Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet
Поддерживается * Alpine Linux 3.12-3.21 * Red Hat Enterprise Linux 6-9 * CentOS 6-9. (CentOS — конец службы с 30 июня 2024 г. Дополнительные сведения см. в руководстве centOS End Of Life.) * Oracle Linux 6-9 * Amazon Linux 1, 2 * openSUSE Leap, openSUSE Tumbleweed * SUSE Enterprise Linux 11-15 * Debian GNU/Linux 7-12 * Google Distroless (на основе Debian GNU/Linux 7-12) * Ubuntu 12.04-22.04 * Fedora 31-37 * Маринр 1-2 * Windows Server 2016, 2019, 2022
1 Все сертифицированные кластеры Kubernetes Cloud Native Computing Foundation (CNCF) должны поддерживаться, но в Azure тестируются только указанные кластеры.
Поддерживаемые пакеты среды выполнения на основе агента или датчика (на основе Управление уязвимостями Microsoft Defender)
EKS
Общедоступная версия
Общедоступная версия
Датчик без агента ИЛИ/AND Defender
Defender для контейнеров или CSPM Defender
защиты среды выполнения;
Уровень управления
EKS
Общедоступная версия
Общедоступная версия
Безагентное
Defender для контейнеров
защиты среды выполнения;
Рабочая нагрузка
EKS
Общедоступная версия
-
Датчик Defender
Defender для контейнеров
Развертывание и мониторинг
Обнаружение незащищенных кластеров
EKS
Общедоступная версия
Общедоступная версия
Безагентное
Defender для контейнеров
Развертывание и мониторинг
Автоматическая подготовка датчика Defender
EKS
Общедоступная версия
-
-
-
Развертывание и мониторинг
Автоматическая подготовка Политика Azure для Kubernetes
EKS
Общедоступная версия
-
-
-
Поддержка реестров и образов для AWS — оценка уязвимостей на основе Управление уязвимостями Microsoft Defender
Аспект
Сведения
Реестры и образы
Поддерживается * Реестры ECR * Образы контейнеров в формате Docker версии 2 * Изображения с спецификацией формата изображений Open Container Initiative (OCI) Не поддерживается * Супер-минималистские изображения, такие как образы с нуля Docker в настоящее время неподдерживаемые * Общедоступные репозитории * Списки манифестов
Операционные системы
Поддерживается * Alpine Linux 3.12-3.21 * Red Hat Enterprise Linux 6-9 * CentOS 6-9 (CentOS — конец службы с 30 июня 2024 г. Дополнительные сведения см. в руководстве centOS End Of Life.) * Oracle Linux 6-9 * Amazon Linux 1, 2 * openSUSE Leap, openSUSE Tumbleweed * SUSE Enterprise Linux 11-15 * Debian GNU/Linux 7-12 * Google Distroless (на основе Debian GNU/Linux 7-12) * Ubuntu 12.04-22.04 * Fedora 31-37 * Маринр 1-2 * Windows Server 2016, 2019, 2022
Поддерживается исходящий прокси-сервер без аутентификации и исходящий прокси с обычной проверкой подлинности. Исходящий прокси-сервер, для которого требуются доверенные сертификаты, сейчас не поддерживается.
Поддерживаемые пакеты среды выполнения на основе агента или датчика (на основе Управление уязвимостями Microsoft Defender)
GKE
Общедоступная версия
Общедоступная версия
Датчик без агента ИЛИ/AND Defender
Defender для контейнеров или CSPM Defender
защиты среды выполнения;
Уровень управления
GKE
Общедоступная версия
Общедоступная версия
Безагентное
Defender для контейнеров
защиты среды выполнения;
Рабочая нагрузка
GKE
Общедоступная версия
-
Датчик Defender
Defender для контейнеров
Развертывание и мониторинг
Обнаружение незащищенных кластеров
GKE
Общедоступная версия
Общедоступная версия
Безагентное
Defender для контейнеров
Развертывание и мониторинг
Автоматическая подготовка датчика Defender
GKE
Общедоступная версия
-
Безагентное
Defender для контейнеров
Развертывание и мониторинг
Автоматическая подготовка Политика Azure для Kubernetes
GKE
Общедоступная версия
-
Безагентное
Defender для контейнеров
Поддержка реестров и образов для GCP — оценка уязвимостей на основе Управление уязвимостями Microsoft Defender
Аспект
Сведения
Реестры и образы
Поддерживается * Реестры Google (GAR, GCR) * Образы контейнеров в формате Docker версии 2 * Изображения с спецификацией формата изображений Open Container Initiative (OCI) Не поддерживается * Супер-минималистские изображения, такие как образы с нуля Docker в настоящее время неподдерживаемые * Общедоступные репозитории * Списки манифестов
Операционные системы
Поддерживается * Alpine Linux 3.12-3.21 * Red Hat Enterprise Linux 6-9 * CentOS 6-9 (CentOS — конец службы с 30 июня 2024 г. Дополнительные сведения см. в руководстве centOS End Of Life.) * Oracle Linux 6-9 * Amazon Linux 1, 2 * openSUSE Leap, openSUSE Tumbleweed * SUSE Enterprise Linux 11-15 * Debian GNU/Linux 7-12 * Google Distroless (на основе Debian GNU/Linux 7-12) * Ubuntu 12.04-22.04 * Fedora 31-37 * Маринр 1-2 * Windows Server 2016, 2019, 2022
Поддерживается исходящий прокси-сервер без аутентификации и исходящий прокси с обычной проверкой подлинности. Исходящий прокси-сервер, для которого требуются доверенные сертификаты, сейчас не поддерживается.
Поддерживаемые операционные системы сервера виртуальных машин
Defender для контейнеров использует датчик Defender для нескольких функций. Датчик Defender поддерживается только с ядром Linux 5.4 и выше в следующих операционных системах узла:
Amazon Linux 2
CentOS 8 (CentOS — конец службы с 30 июня 2024 г. Дополнительные сведения см. в руководстве centOS End Of Life.)
Debian 10
Debian 11
ОС Google, оптимизированная для контейнеров
Mariner 1.0
Mariner 2.0
Red Hat Enterprise Linux 8
Ubuntu 16.04
Ubuntu 18.04
Ubuntu 20.04
Ubuntu 22.04
Убедитесь, что узел Kubernetes запущен на одном из этих проверенных операционных систем. Кластеры с неподдерживаемые операционные системы узла не получают преимущества функций, основанных на датчике Defender.
Ограничения датчика Defender
Датчик Defender в AKS версии 1.28 и ниже не поддерживается на узлах Arm64.
Сетевые ограничения
Поддержка прокси-сервера для исходящих подключений
Поддерживается исходящий прокси-сервер без аутентификации и исходящий прокси с обычной проверкой подлинности. Исходящий прокси-сервер, для которого требуются доверенные сертификаты, сейчас не поддерживается.